Bull AIX 5.3 Manuel utilisateur

Ajouter à Mes manuels
674 Des pages
Bull
Guide de gestion syst&egrave;me AIX 5L
Communications et r&eacute;seaux
AIX
REFERENCE
86 F2 47EM 01
Bull
Guide de gestion syst&egrave;me AIX 5L
Communications et r&eacute;seaux
AIX
Logiciel
Mars 2005
BULL CEDOC
357 AVENUE PATTON
B.P.20845
49008 ANGERS CEDEX 01
FRANCE
REFERENCE
86 F2 47EM 01
L’avis juridique de copyright ci–apr&egrave;s place le pr&eacute;sent document sous la protection des lois de Copyright
des &Eacute;tats–Unis d’Am&eacute;rique et des autres pays qui prohibent, sans s’y limiter, des actions comme la copie,
la distribution, la modification et la cr&eacute;ation de produits d&eacute;riv&eacute;s &agrave; partir du pr&eacute;sent document.
Copyright
Bull S.A. 1992, 2005
Imprim&eacute; en France
Vos suggestions sur la forme et le fond de ce manuel seront les bienvenues.
Une feuille destin&eacute;e &agrave; recevoir vos remarques se trouve &agrave; la fin de ce document.
Pour commander d’autres exemplaires de ce manuel ou d’autres publications
techniques Bull, veuillez utiliser le bon de commande &eacute;galement fourni en fin de
manuel.
Marques d&eacute;pos&eacute;es
Toutes les marques d&eacute;pos&eacute;es sont la propri&eacute;t&eacute; de leurs titulaires respectifs.
AIXR est une marque d&eacute;pos&eacute;e d’IBM Corp. et est utilis&eacute;e sous licence.
UNIX est une marque d&eacute;pos&eacute;e aux Etats–Unis et dans d’autres pays, licenci&eacute;e exclusivement par Open Group.
Linux est une marque d&eacute;pos&eacute;e de Linus Torvalds.
Les informations contenues dans le pr&eacute;sent document peuvent &ecirc;tre modifi&eacute;es sans pr&eacute;avis. Bull ne pourra
&ecirc;tre tenu pour responsable des erreurs qu’il peut contenir ni des dommages accessoires ou indirects que son
utilisation peut causer.
Pr&eacute;face
Le Guide de gestion du syst&egrave;me :Communications et r&eacute;seaux fournit aux administrateurs
syst&egrave;me des informations d&eacute;taill&eacute;es sur la configuration des param&egrave;tres TCP/IP,
l’am&eacute;lioration de la s&eacute;curit&eacute; du r&eacute;seau et le contr&ocirc;le du syst&egrave;me. Il comporte &eacute;galement des
sections sur la configuration et la r&eacute;solution d’incidents li&eacute;es &agrave; Mail, NFS (Network File
System), HA–NFS (High Availability–NFS), BNU (Basic Networking Utilities), aux
communications s&eacute;rielles et les unit&eacute;s TTY, ainsi qu’au protocole SNMP (Simple Network
Management Protocol). Cette publication est &eacute;galement disponible sur le “Hypertext Library
for AIX 5.3” CD-ROM fourni avec le syst&egrave;me d’exploitation.
Conventions typographiques
Les conventions typographiques suivantes sont utilis&eacute;es dans ce manuel :
Gras
Commandes, mots-cl&eacute;s, fichiers, r&eacute;pertoires et autres &eacute;l&eacute;ments
dont le nom est pr&eacute;d&eacute;fini par le syst&egrave;me.
Italique
Param&egrave;tres dont le nom ou la valeur est fourni par l’utilisateur.
Espacement
fixe
Exemples (valeurs sp&eacute;cifiques, texte affich&eacute;, code programme),
messages syst&egrave;me ou donn&eacute;es entr&eacute;es par l’utilisateur.
Distinction majuscules/minuscules dans AIX
La distinction majuscules/minuscules s’applique &agrave; toutes les donn&eacute;es entr&eacute;es dans le
syst&egrave;me d’exploitation AIX. Vous pouvez, par exemple, utiliser la commande ls pour afficher
la liste des fichiers. Si vous entrez LS, le syst&egrave;me affiche un message d’erreur indiquant
que la commande entr&eacute;e est introuvable. De la m&ecirc;me mani&egrave;re, FICHEA, FiChea et fichea
sont trois noms de fichiers distincts, m&ecirc;me s’ils se trouvent dans le m&ecirc;me r&eacute;pertoire.
Pour &eacute;viter toute action ind&eacute;sirable, v&eacute;rifiez syst&eacute;matiquement que vous utilisez la casse
appropri&eacute;e.
Pr&eacute;face
iii
ISO 9000
Ce produit a &eacute;t&eacute; d&eacute;velopp&eacute; et fabriqu&eacute; conform&eacute;ment aux proc&eacute;dures de qualit&eacute; ISO 9000.
Bibliographie
Les manuels suivants compl&egrave;tent la documentation sur les communications.
• AIX 5L Version 5.3 System Management Guide: Operating System and Devices
• AIX 5L Version 5.3 System Management Concepts: Operating System and Devices
• AIX 5L Version 5.3 System User’s Guide: Communications and Networks
• AIX 5L Version 5.3 General Programming Concepts: Writing and Debugging Programs
• AIX 5L Version 5.3 Network Information Service (NIS and NIS+) Guide
• AIX 5L Version 5.3 Commands Reference
• AIX 5L Version 5.3 R&eacute;f&eacute;rences et guide d’installation
• AIX 5L Version 5.3 Security Guide
iv
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Table des mati&egrave;res
Pr&eacute;face . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distinction majuscules/minuscules dans AIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ISO 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iii
iii
iii
iv
iv
Table des mati&egrave;res . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
v
Chapitre 1. Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau . . . . . . . . . . . . . . . .
Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4 . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Configuration des h&ocirc;tes pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du routeur pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au d&eacute;marrage .
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au d&eacute;marrage
Mise &agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2
et versions ult&eacute;rieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1 : Configuration des h&ocirc;tes pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2 : Configuration du routeur pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au d&eacute;marrage .
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au d&eacute;marrage
Configuration de la tunnelisation dans IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise en oeuvre d’un tunnel automatique dans IPv6 . . . . . . . . . . . . . . . . . . . . . . . .
Mise en oeuvre des tunnels configur&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Migration de SNMPv1 vers SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Migration des informations de communaut&eacute; . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Migration des informations d’affichage . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Migration des informations d’interruption . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 4. Migration des informations smux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’utilisateurs dans SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Cr&eacute;ation de l’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Configuration des permissions d’acc&egrave;s et d’affichage . . . . . . . . . . . . . .
Etape 4. Configuration des entr&eacute;es d’interruption pour l’utilisateur . . . . . . . . . . . .
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 6. Test de votre configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute;
dans SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique . . . . . . . . . . . . . . . . . . . . .
Configuration des serveurs de nom de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Configuration du serveur de noms ma&icirc;tre . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du serveur de noms esclave . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Configuration du serveur de noms d’indices . . . . . . . . . . . . . . . . . . . . . . .
1-1
1-2
1-2
1-3
1-3
1-4
Pr&eacute;face
1-5
1-5
1-6
1-6
1-7
1-8
1-8
1-9
1-10
1-10
1-11
1-12
1-13
1-13
1-14
1-14
1-15
1-16
1-17
1-18
1-18
1-19
1-22
1-23
1-24
1-27
1-29
v
vi
Chapitre 2. Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . .
Fonctions de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation des r&eacute;seaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;seaux physiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;mes r&eacute;seau et protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Passerelles et ponts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Noeud local et noeud distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Client et serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication avec d’autres syst&egrave;mes d’exploitation . . . . . . . . . . . . . . . . . . . . . . . .
2-1
2-2
2-3
2-5
2-6
2-6
2-6
2-6
2-7
2-7
2-7
2-7
2-8
Chapitre 3. Messagerie &eacute;lectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion du courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du fichier /etc/rc.tcpip pour lancer le d&eacute;mon sendmail . . . . . . . . . .
Gestion des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/mail/aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’alias de syst&egrave;me local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’une base de donn&eacute;es d’alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des fichiers et r&eacute;pertoires de file d’attente courrier . . . . . . . . . . . . . . . . . . . .
Impression de la file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de contr&ocirc;le q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sp&eacute;cification des d&eacute;lais au d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ex&eacute;cution forc&eacute;e de la file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intervalle de traitement de la file d’attente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transfert de file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arr&ecirc;t du d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion de la journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion du journal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Journalisation du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Journalisation des donn&eacute;es statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage des informations des programmes facteurs . . . . . . . . . . . . . . . . . . . . . .
Mise au point de sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles IMAP (Internet Message Access Protocol) et POP
(Post Office Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des serveurs IMAP et POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tests de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations de r&eacute;f&eacute;rence du courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers et r&eacute;pertoires courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commande sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes IMAP et POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-1
3-3
3-3
3-4
3-4
3-5
3-5
3-6
3-6
3-6
3-7
3-8
3-9
3-9
3-9
3-10
3-10
3-11
3-12
3-12
3-13
3-14
3-15
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
3-16
3-16
3-16
3-16
3-17
3-18
3-19
3-19
3-19
3-19
3-20
3-20
Chapitre 4. Protocole TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration du r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation et configuration pour TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des syst&egrave;mes h&ocirc;te . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des h&ocirc;tes en tant que serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes de gestion syst&egrave;me TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une liste de contr&ocirc;le du r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IP version 6 - G&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage et adressage &eacute;tendus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Simplification de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Simplification du format d’en-t&ecirc;te . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Am&eacute;lioration du contr&ocirc;le trafic/qualit&eacute; du service . . . . . . . . . . . . . . . . . . . . . . . .
Tunnellisation IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Support IPv6 des adresses locales du site et des liens Multihomed . . . . . . . .
Suivi de paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
En-t&ecirc;tes de paquet au niveau interface de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . .
En-t&ecirc;tes de trame pour carte Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
En-t&ecirc;te de trame pour r&eacute;seau en anneau &agrave; jeton . . . . . . . . . . . . . . . . . . . . . . . .
En-t&ecirc;tes de trame 802.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole de r&eacute;solution d’adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de messages ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau transport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finitions de zones d’en-t&ecirc;te TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole DOMAIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole EGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;mes autonomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de messages EGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole FINGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole HELLO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole d’ex&eacute;cution de commande &agrave; distance . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole d’ouverture de session &agrave; distance . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole SHELL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole Wake On LAN (WOL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
protocole TIMED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nombres r&eacute;serv&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes de r&eacute;seau local (LAN) TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation d’une carte r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration et gestion des cartes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN) . . . . . . . . . . . . . .
Pr&eacute;face
4-1
4-2
4-3
4-3
4-3
4-3
4-4
4-4
4-4
4-4
4-5
4-6
4-9
4-10
4-11
4-12
4-14
4-15
4-16
4-16
4-17
4-18
4-19
4-19
4-21
4-22
4-22
4-23
4-24
4-24
4-27
4-27
4-28
4-30
4-31
4-32
4-32
4-32
4-33
4-34
4-34
4-35
4-35
4-36
4-36
4-36
4-36
4-36
4-36
4-37
4-37
4-38
4-38
4-39
4-40
vii
Identification des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilisation de cartes ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Technologie ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Connexions ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TCP/IP sur ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une carte ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Statistiques sur la carte ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Statistiques ATM Micro Channel compl&eacute;mentaires . . . . . . . . . . . . . . . . . . . . . . .
Statistiques propres &agrave; la carte ATM PCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaces de r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration automatique des interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . .
Configuration Ethernet par d&eacute;faut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration 802.3 par d&eacute;faut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Valeurs de configuration par d&eacute;faut de l’anneau &agrave; jeton . . . . . . . . . . . . . . . . . .
Configuration SLIP par d&eacute;faut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration optique s&eacute;rie par d&eacute;faut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration ATM par d&eacute;faut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;seaux avec plusieurs interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion d’interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Options du r&eacute;seau sp&eacute;cifiques &agrave; l’interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adressage TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de classe A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse de classe B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse de classe C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses Internet avec z&eacute;ros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de sous-r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Masques de sous-r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comparaison d’adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de diffusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de bouclage local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution de noms sous TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me d’appellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autorit&eacute; d’appellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conventions d’appellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Appellation des h&ocirc;tes de votre r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Serveurs de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole RARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution locale des noms (/etc/hosts) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Serveur de noms : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des serveurs de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un serveur de courrier de domaine . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un serveur exp&eacute;diteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de serveur exclusivement exp&eacute;diteur . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un h&ocirc;te avec serveur de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de zones dynamiques sur le serveur de noms DNS . . . . . . . . . . . .
Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BIND 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transaction Signatures (TSIG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature (SIG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
viii
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
4-41
4-41
4-42
4-42
4-43
4-44
4-47
4-47
4-49
4-51
4-52
4-53
4-53
4-54
4-54
4-55
4-55
4-55
4-56
4-56
4-57
4-59
4-60
4-60
4-60
4-61
4-61
4-62
4-62
4-63
4-64
4-65
4-65
4-66
4-66
4-66
4-68
4-68
4-69
4-72
4-74
4-74
4-75
4-76
4-77
4-78
4-80
4-81
4-83
4-85
4-87
4-88
4-88
4-90
Planification et configuration pour la r&eacute;solution de noms LDAP
(Sch&eacute;ma de r&eacute;pertoire SecureWay) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification et configuration pour la r&eacute;solution de noms NIS_LDAP
(Sch&eacute;ma RFC 2307) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation des adresses et param&egrave;tres TCP/IP - Protocole DHCP . . . . . . . . . . . . .
Le serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La base de donn&eacute;es DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le moteur de protocole DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations DHCP encha&icirc;n&eacute;es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personnalisation d’un fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP et DDNS (Dynamic Domain Name System –
Syst&egrave;me de noms de domaine dynamique) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilit&eacute; DHCP avec les versions ant&eacute;rieures . . . . . . . . . . . . . . . . . . . . . . . . .
Options connues du fichier de serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–option de conteneur fournisseur de l’environnement PXE
(Preboot Execution Environment) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple de fichier de configuration prenant en charge les clients PXE . . . . .
Syntaxe du fichier de serveur DHCP
pour le fonctionnement g&eacute;n&eacute;ral du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la syntaxe du fichier de serveur DHCP
pour la base de donn&eacute;es db_file : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP et gestion NIM (Network Installation Management) . . . . . . . . . . . . . . . . . .
Dynamic Host Configuration Protocol version 6 (DHCPv6) . . . . . . . . . . . . . . . . . . . .
Le serveur DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La base de donn&eacute;es DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations DHCP encha&icirc;n&eacute;es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/dhcpv6/dhcpsdv6.cnf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration client DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mots–cl&eacute;s de journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mot–cl&eacute; DUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mot–cl&eacute; informatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Renouvellement du bail et mot–cl&eacute; de ce renouvellement . . . . . . . . . . . . . . . .
Demande du mot–cl&eacute; de retransmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mots–cl&eacute;s d’option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
mots–cl&eacute;s d’interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Agent relais DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon DHCP avec structure PXED
(Preboot Execution Environment Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le serveur DHCP proxy PXE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La base de donn&eacute;es PXED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le moteur de protocole PXED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations PXED encha&icirc;n&eacute;es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du serveur PXED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–options du conteneur fournisseur PXE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur PXED pour le fonctionnement
g&eacute;n&eacute;ral du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la syntaxe du fichier de serveur PXED
pour la base de donn&eacute;es db_file : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon BINLD (Boot Image Negotiation Layer Daemon) . . . . . . . . . . . . . . . . . . . . . .
Le serveur BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La base de donn&eacute;es BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;face
4-92
4-93
4-96
4-97
4-97
4-99
4-99
4-100
4-100
4-101
4-105
4-107
4-109
4-109
4-114
4-115
4-116
4-121
4-142
4-143
4-144
4-144
4-147
4-148
4-148
4-151
4-160
4-160
4-161
4-161
4-161
4-162
4-162
4-166
4-166
4-169
4-169
4-169
4-169
4-169
4-170
4-171
4-175
4-177
4-178
4-186
4-186
4-186
ix
Le moteur de protocole BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations BINLD encha&icirc;n&eacute;es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le fichier de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral
du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral
du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous-syst&egrave;mes et sous-serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonction SRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes SRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon inetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services r&eacute;seau client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services r&eacute;seau serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage statique ou dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Passerelles int&eacute;rieures et ext&eacute;rieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles de passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification des passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nombre de passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Type de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; des routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;tection des passerelles non op&eacute;rationnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clonage de route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression manuelle de routes dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon routed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon gated . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon gated pour l’ex&eacute;cution de IPv6 . . . . . . . . . . . . . . . . . .
Obtention d’un num&eacute;ro de syst&egrave;me autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compr&eacute;hension de la s&eacute;curit&eacute; du mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement de Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arr&ecirc;t de Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse IP virtuelle (VIPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion de VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajout d’une carte &agrave; un VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Retrait d’une carte d’un VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple d’environnement VIPA dans AIX 5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autres informations techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EtherChannel et IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes prises en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de Network Interface Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Options d’&eacute;quilibrage de charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Circulaire (round–robin) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Standard ou 8023ad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
x
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
4-186
4-186
4-187
4-188
4-191
4-194
4-201
4-201
4-202
4-202
4-204
4-205
4-206
4-208
4-209
4-209
4-210
4-210
4-211
4-211
4-212
4-212
4-214
4-214
4-215
4-215
4-215
4-216
4-218
4-219
4-220
4-221
4-222
4-222
4-223
4-223
4-224
4-224
4-224
4-224
4-225
4-225
4-226
4-227
4-227
4-228
4-229
4-229
4-230
4-232
4-235
4-236
4-237
Gestion d’EtherChannel et de IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . .
Affichage de la liste des EtherChannels ou des Link Aggregations . . . . . . . . .
Modification de l’adresse de remplacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dynamic Adapter Membership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajout, suppression ou changement de cartes dans un EtherChannel
ou Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression d’un EtherChannel ou d’un Link Aggregation . . . . . . . . . . . . . . . .
Configuration ou suppression d’une carte de secours
sur un EtherChannel ou un Link Aggregation existant . . . . . . . . . . . . . . . . . . . .
Identification des incidents d’EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suivi d’EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage des statistiques d’ EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Am&eacute;lioration de la prise de relais lente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Les cartes ne prennent pas le relais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilisation de trames jumbo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vidage &agrave; distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . .
Gestion de IEEE 802.3ad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification et r&eacute;solution des incidents IEEE 802.3ad . . . . . . . . . . . . . . . . . . .
Sc&eacute;narios d’interop&eacute;rabilit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole Internet (IP) par Fibre Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration IP par Fibre Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activer le pilote d’unit&eacute; du Fibre Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectez les propri&eacute;t&eacute;s r&eacute;seau &agrave; l’interface Fibre Channel. . . . . . . . . . . . . . . . .
Initiateur logiciel iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de l’initiateur logiciel iSCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques suppl&eacute;mentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la s&eacute;curit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur les performances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole de transmission du contr&ocirc;le de flot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement et interruption de l’association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
API de socket SCTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Recherche de MTU d’acc&egrave;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes QoS (Qualit&eacute; du service) TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mod&egrave;les QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services int&eacute;gr&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services diff&eacute;renci&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes prises en charge et &eacute;bauches de normes . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arr&ecirc;t et d&eacute;marrage du sous–syst&egrave;me QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de l’agent RSVP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de l’agent de politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des probl&egrave;mes au niveau du QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sp&eacute;cification de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ReadFromDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ServiceCategories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ServicePolicyRules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instructions relatives aux environnements DiffServ . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de configuration policyd exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de configuration policyd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chargement de politiques dans le serveur
de r&eacute;pertoires SecureWay Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;face
4-238
4-238
4-238
4-238
4-239
4-241
4-241
4-241
4-241
4-241
4-242
4-242
4-242
4-243
4-243
4-244
4-244
4-246
4-246
4-246
4-248
4-248
4-248
4-249
4-250
4-250
4-251
4-252
4-253
4-254
4-255
4-256
4-258
4-260
4-261
4-261
4-261
4-262
4-263
4-263
4-263
4-263
4-264
4-266
4-266
4-267
4-267
4-268
4-268
4-269
4-269
4-270
xi
xii
Sch&eacute;ma LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du syst&egrave;me . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Politiques superpos&eacute;es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilisation de sockets UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conflits de politiques avec des r&eacute;servations RSVP . . . . . . . . . . . . . . . . . . . . . .
Sp&eacute;cification de la profondeur du compartiment &agrave; jeton . . . . . . . . . . . . . . . . . .
Modification de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; aux normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mod&egrave;le IntServ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mod&egrave;le DiffServ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prise en charge de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le du d&eacute;mon de politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;f&eacute;rence QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
M&eacute;thodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de r&eacute;solution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
H&ocirc;te client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
H&ocirc;te serveur de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autres possibilit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents SRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents li&eacute;s &agrave; telnet ou rlogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distorsion de l’&eacute;cran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise au point par telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise au point du d&eacute;mon telnetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programmes utilisant la biblioth&egrave;que curses &eacute;tendue . . . . . . . . . . . . . . . . . . . .
Incidents de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents courants sur les interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents sur une interface de r&eacute;seau SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents sur l’interface de r&eacute;seau Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents li&eacute;s &agrave; une interface de r&eacute;seau en anneau &agrave; jeton . . . . . . . . . . . . . . .
Incidents avec un pont anneau &agrave; jeton/Ethernet . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents sur un pont reliant deux r&eacute;seaux en anneau &agrave; jeton . . . . . . . . . . . . .
Incidents de livraison de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication avec un h&ocirc;te distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;ponses snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents au niveau du protocole DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations de r&eacute;f&eacute;rence TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des d&eacute;mons TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des m&eacute;thodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des RFC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-271
4-272
4-272
4-272
4-272
4-272
4-272
4-272
4-272
4-272
4-273
4-273
4-273
4-273
4-273
4-274
4-274
4-274
4-275
4-275
4-276
4-277
4-277
4-278
4-278
4-278
4-279
4-280
4-280
4-280
4-281
4-282
4-282
4-282
4-283
4-284
4-284
4-284
4-284
4-285
4-285
4-286
4-286
4-286
4-287
Chapitre 5. Administration du r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administration de r&eacute;seau avec SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation de SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Architecture SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Agent SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–agents DPI2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Homologues smux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestionnaire SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1
5-2
5-3
5-4
5-5
5-5
5-5
5-6
5-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Variables MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cl&eacute;s utilisateur SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cl&eacute;s d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cl&eacute;s de confidentialit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G&eacute;n&eacute;ration de cl&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise &agrave; jour des cl&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Emission de requ&ecirc;tes SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SNMPv1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Politiques d’acc&egrave;s SNMPv1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
fichier /etc/snmpd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonctionnement du d&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’un message et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une requ&ecirc;te . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une r&eacute;ponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une interruption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Support du d&eacute;mon SNMP pour la famille EGP de variables MIB . . . . . . . . . . . . .
Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification et r&eacute;solution des incidents li&eacute;s au d&eacute;mon SNMP . . . . . . . . . . . . . . .
Interruption pr&eacute;matur&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;faillance du d&eacute;mon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acc&egrave;s impossible aux variables MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acc&egrave;s impossible aux variables MIB dans une entr&eacute;e de communaut&eacute; . . . . .
Absence de r&eacute;ponse de l’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Message noSuchName . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-6
5-7
5-7
5-7
5-8
5-9
5-10
5-11
5-13
5-14
5-15
5-16
5-16
5-17
5-17
5-18
5-18
5-20
5-22
5-32
5-35
5-35
5-36
5-36
5-37
5-37
5-38
Chapitre 6. Syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listes de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NFS4 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AIX ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me de fichiers cache (CacheFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappage de fichiers sous NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportation et montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportation de r&eacute;pertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montage de r&eacute;pertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus de montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/xtab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/nfs/hostkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/nfs/local_domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/nfs/realm.map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/nfs/princmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/nfs/security_default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Impl&eacute;mentation de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole RPC (Remote Procedure Call) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole XDR (eXternal Data Representation) . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon portmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modification du nombre de d&eacute;mons biod et nfsd . . . . . . . . . . . . . . . . . . . . . . . . .
6-1
6-2
6-2
6-3
6-4
6-4
6-5
6-7
6-7
6-8
6-8
6-9
6-10
6-10
6-10
6-11
6-11
6-11
6-11
6-12
6-12
6-12
6-12
6-12
6-13
6-13
6-14
Pr&eacute;face
xiii
Modification des arguments des d&eacute;mons contr&ocirc;l&eacute;s par SRC . . . . . . . . . . . . . .
Lancement des d&eacute;mons NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arr&ecirc;t des d&eacute;mons NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etat des d&eacute;mons NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prise en charge de NFS version 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation et configuration de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etapes de configuration de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement des d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me . . . . . . . . . . . . . . . . . . .
Configuration d’un serveur NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un client NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappage d’identit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportation d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un r&eacute;seau pour RPCSEC–GSS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Annulation de l’exportation d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . .
Modification d’un syst&egrave;me de fichiers export&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation de l’acc&egrave;s racine &agrave; un syst&egrave;me de fichiers export&eacute; . . . . . . . . . . . . . . . .
Montage explicite d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–syst&egrave;me Automount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappes directes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappes indirectes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappes d’h&ocirc;tes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montage automatique d’un syst&egrave;me de fichiers &agrave; l’aide de AutoFS . . . . . . . .
Etablissement de montages NFS pr&eacute;d&eacute;finis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;montage d’un syst&egrave;me de fichiers mont&eacute; explicitement
ou automatiquement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression de montages NFS pr&eacute;d&eacute;finis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service d’authentification PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service d’impression en diff&eacute;r&eacute; PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V&eacute;rification de la disponibilit&eacute; du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des mappes LDAP Automount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WebNFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestionnaire NLM (Network Lock Manager) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Architecture du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verrouillage des fichiers du r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus de reprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;pannage du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Limitation des plages de port NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inaccessibilit&eacute; des fichiers en montage fixe ou logiciel . . . . . . . . . . . . . . . . . . . . . .
Liste de contr&ocirc;le pour l’identification des incidents NFS . . . . . . . . . . . . . . . . . . . . .
Erreurs d’&eacute;criture asynchrone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’erreur NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Message d’erreur nfs_server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’erreur mount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Probl&egrave;mes de temps d’acc&egrave;s &agrave; NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V&eacute;rification des connexions r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Taille UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tailles de files d’attente de transmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intervention sur programmes bloqu&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Droits d’acc&egrave;s et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
xiv
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
6-14
6-14
6-14
6-15
6-15
6-16
6-16
6-16
6-16
6-17
6-18
6-18
6-19
6-22
6-23
6-24
6-24
6-25
6-25
6-25
6-25
6-26
6-27
6-31
6-31
6-32
6-32
6-32
6-33
6-33
6-34
6-35
6-36
6-37
6-37
6-37
6-38
6-38
6-39
6-40
6-41
6-42
6-42
6-42
6-44
6-44
6-44
6-44
6-46
6-46
6-46
6-46
6-47
6-47
R&eacute;solution des noms d’h&ocirc;te sur un serveur NFS . . . . . . . . . . . . . . . . . . . . . . . .
Limitation du nombre de groupes dans la structure NFS . . . . . . . . . . . . . . . . . .
Montage &agrave; partir de serveurs &eacute;quip&eacute;s d’une version NFS ant&eacute;rieure . . . . . . .
Identification des incidents RPCSEC–GSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents EIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cons&eacute;quences d’une extension de noyau NFS non charg&eacute;e . . . . . . . . . . . . . .
Cons&eacute;quences lorsque le support kerberos n’est pas install&eacute; . . . . . . . . . . . . .
Point &agrave; v&eacute;rifier si le d&eacute;mon registry n’est pas en cours d’ex&eacute;cution . . . . . . . . .
Informations de r&eacute;f&eacute;rence NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers NFS (Network File System) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des d&eacute;mons NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verrouillage des d&eacute;mons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilitaires et d&eacute;mons de service r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilitaires et d&eacute;mons de s&eacute;curit&eacute; du r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Support des clients sans disque Sun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–routines NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-48
6-48
6-48
6-49
6-50
6-51
6-51
6-51
6-52
6-52
6-52
6-53
6-53
6-53
6-54
6-54
6-54
Chapitre 7. Server Message Block File System . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de SMBFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montage du syst&egrave;me de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents SMBFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-1
7-1
7-1
7-3
Chapitre 8. Communications asynchrones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification des communications asynchrones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vitesses de ligne non–POSIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Evaluation des options de communication asynchrones . . . . . . . . . . . . . . . . . . . .
Ports asynchrones connect&eacute;s &agrave; la carte principale syst&egrave;me . . . . . . . . . . . . . . .
Port asynchrone connect&eacute; &agrave; une carte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Port asynchrone connect&eacute; &agrave; un noeud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la s&eacute;lection des produits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crit&egrave;res de s&eacute;lection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vocation des cartes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sc&eacute;narios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Topologie : observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication s&eacute;rie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Synchrone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Asynchrone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Param&egrave;tres de communication s&eacute;rie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bits par caract&egrave;re . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bits par seconde (bps) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;bit en bauds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Parit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bits de d&eacute;part, d’arr&ecirc;t et indicateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La norme EIA 232D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
M&eacute;thodes de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le de flux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RTS/CTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DTR/DSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XON/XOFF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un port pour l’&eacute;tablissement
d’une liaison mat&eacute;rielle RTS/CTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G&eacute;n&eacute;ralit&eacute;s TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-1
8-2
8-3
8-4
8-5
8-5
8-6
8-6
8-7
8-7
8-8
8-9
8-10
8-11
8-12
8-12
8-13
8-14
8-14
8-14
8-14
8-14
8-15
8-16
8-16
8-16
8-17
8-17
8-17
Pr&eacute;face
8-17
8-18
xv
Variable TERM pour diff&eacute;rents &eacute;crans et terminaux . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des caract&eacute;ristiques de terminal TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des attributs de l’unit&eacute; TTY raccord&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des unit&eacute;s TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;g&eacute;n&eacute;ration trop rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations journalis&eacute;es et identificateurs de journal TTY . . . . . . . . . . . . . . . .
D&eacute;blocage d’un port tty bloqu&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modems – g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes de t&eacute;l&eacute;communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transmissions en duplex int&eacute;gral et semi-duplex . . . . . . . . . . . . . . . . . . . . . . . .
Normes de communications UIT-TSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole MNP (Microcom Networking Protocol) . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur les modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modems pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signal DCD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vitesses des ETTD/ETCD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signaux de contr&ocirc;le des modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C&acirc;blage de modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des modems g&eacute;n&eacute;riques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une unit&eacute; TTY sur le syst&egrave;me d’exploitation . . . . . . . . . . . . . .
Raccordez le modem avec les c&acirc;bles appropri&eacute;s . . . . . . . . . . . . . . . . . . . . . . . .
Ajout d’un TTY pour le modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configurez le modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modems Hayes et compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution des probl&egrave;mes de modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Questionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;capitulatif des commandes AT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aide suppl&eacute;mentaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es du fichier d’exemple /usr/lib/uucp/Dialers . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des options de terminal avec stty–cxma . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole asynchrone point &agrave; point (PPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du protocole asynchrone PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles PPP et SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation de PPP SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Applications de communications asynchrones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etapes de la configuration du protocole SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur les modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration manuelle des modems via cu . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration automatique des modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de SLIP pour modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de SLIP pour c&acirc;ble de modem nul . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;sactivation d’une connexion SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation d’une connexion SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression d’une interface SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;bogage des incidents SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents courants et messages d’erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Questionnaire SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Emulation de terminal asynchrone (ATE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personnalisation d’ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier r&eacute;pertoire des num&eacute;ros d’appel ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Appels sortants via ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
xvi
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
8-18
8-18
8-19
8-20
8-21
8-22
8-24
8-27
8-30
8-31
8-31
8-31
8-32
8-33
8-33
8-33
8-33
8-34
8-36
8-37
8-37
8-38
8-38
8-38
8-42
8-43
8-45
8-45
8-49
8-49
8-55
8-58
8-58
8-59
8-63
8-63
8-65
8-66
8-66
8-67
8-68
8-69
8-70
8-72
8-74
8-74
8-74
8-75
8-77
8-78
8-81
8-82
8-83
8-87
8-92
Transfert de fichiers via ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;ception de fichiers via ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution des probl&egrave;mes ATE courants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilitaire dscreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de configuration de terminal dsinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation des touches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touche de s&eacute;lection (Select) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touche de blocage (Block) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touche de cr&eacute;ation d’&eacute;cran (New) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touches d’arr&ecirc;t et de sortie (End et Quit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touche d’&eacute;cran pr&eacute;c&eacute;dent (Previous) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Touche de listage (List) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation dynamique d’&eacute;cran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Description du fichier dsinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Format des entr&eacute;es pour dsinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de cha&icirc;ne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-92
8-93
8-94
8-95
8-95
8-95
8-96
8-96
8-96
8-96
8-96
8-97
8-97
8-97
8-98
8-99
8-100
8-101
Chapitre 9. Protocole DLC (Data Link Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . .
Environnement GDLC – g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crit&egrave;res GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise en oeuvre de l’interface GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations ioctl sur l’interface GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Point d’acc&egrave;s au service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Station de liaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode Local-Busy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode Short-Hold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Test et suivi d’une liaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services sp&eacute;ciaux du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des pilotes d’unit&eacute;s DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9-1
9-2
9-4
9-5
9-6
9-7
9-8
9-8
9-8
9-8
9-9
9-9
9-10
9-12
Chapitre 10. Utilitaires r&eacute;seau (BNU) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonctionnement de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Support NLS (National Language Support) pour les commandes BNU . . . . .
Structure des fichiers et r&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;pertoires publics BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de configuration BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;pertoires et fichiers administratifs BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de verrouillage BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ID de connexion uucp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ID de connexion BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; et fichiers Systems et remote.unknown . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; et fichier Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon uucico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon uusched . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon uuxqt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon uucpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10-1
10-2
10-3
10-3
10-3
10-3
10-3
10-5
10-6
10-6
10-6
10-7
10-7
10-8
10-8
10-8
10-9
10-9
10-10
Pr&eacute;face
xvii
Configuration de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Collecte des informations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du contr&ocirc;le automatique de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;alables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Appel automatique BNU des syst&egrave;mes distants . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/uucp/Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition des fichiers Devices pour connexion c&acirc;bl&eacute;e . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’une entr&eacute;e de nom de syst&egrave;me . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’une entr&eacute;e directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition du fichier Devices pour connexion automatique . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition du fichier Devices pour TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Maintenance de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers journaux BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers journaux des r&eacute;pertoires .Log et .Old . . . . . . . . . . . . . . . . . . . . . . . . . . .
Autres fichiers journaux BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers journaux au niveau syst&egrave;me utilis&eacute;s par BNU . . . . . . . . . . . . . . . . . . .
Commandes de maintenance BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes de nettoyage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes de contr&ocirc;le d’&eacute;tat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dures shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le d’une connexion distante BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le du transfert de fichier BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le du transfert de fichier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution des incidents BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’&eacute;tat de la phase 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution des incidents de connexion BNU via le d&eacute;mon uucico . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication avec des syst&egrave;mes UNIX via la commande tip . . . . . . . . . . . . . .
Variables de tip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de configuration de tip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de configuration BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple de configuration BNU pour connexion TCP/IP . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es dans les fichiers du syst&egrave;me local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es dans les fichiers du syst&egrave;me distant . . . . . . . . . . . . . . . . . . . . . . . . . . . .
xviii
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
10-11
10-11
10-11
10-12
10-15
10-15
10-15
10-16
10-16
10-16
10-16
10-17
10-17
10-17
10-17
10-18
10-18
10-18
10-18
10-18
10-18
10-19
10-19
10-19
10-20
10-20
10-21
10-21
10-21
10-22
10-22
10-22
10-22
10-23
10-23
10-24
10-24
10-25
10-25
10-26
10-26
10-28
10-28
10-28
10-28
10-28
10-30
10-30
10-31
10-32
10-33
10-33
10-34
Exemple de configuration BNU pour connexion t&eacute;l&eacute;phonique . . . . . . . . . . . . . . . .
Entr&eacute;es sur le syst&egrave;me local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es sur le syst&egrave;me distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple de configuration BNU pour connexion directe . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es dans les fichiers du syst&egrave;me local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entr&eacute;es dans les fichiers du syst&egrave;me distant . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;f&eacute;rence des fichiers, commandes et r&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10-35
10-35
10-36
10-37
10-37
10-38
10-40
10-40
10-40
10-41
10-42
Annexe A. Cartes PCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes PCI WAN (Wide Area Network) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pilote d’unit&eacute; multiprotocole HDLC 2 ports : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . .
Configuration de la carte multiprotocole 2 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte ARTIC960Hx PCI : G&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du pilote d’&eacute;mulation MPQP COMIO
sur la carte ARTIC960Hx PCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A-1
A-1
A-1
A-2
A-2
Annexe B. Cartes asynchrones standard, Micro Channel 8 et 16 ports . . . . . .
Micro Channel 8 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ISA Bus 8 ports EIA 232 ou EIA 232/EIA 422 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Micro Channel 16 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte 128 ports (Micro Channel, ISA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Avec SMIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte ISA/PCI asynchrone 8 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation des cartes 8 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de la carte ISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des options de terminal Micro Channel et ISA avec stty–cxma . . .
Ports d’E/S standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une unit&eacute; terminal asynchrone EIA 232 . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une imprimante ou d’un traceur asynchrone EIA 232 . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones Micro Channel 8 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 8 ports – description EIA 232 . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 8 ports : installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 8 ports : informations concernant le mat&eacute;riel . . . . . . . . . . . . . .
Priorit&eacute; des voies de transmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 8 ports : description de la logique des interruptions . . . . . . . .
Logique de g&eacute;n&eacute;ration des interruptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Logique d’arbitrage des interruptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 8 ports MIL–STD 188 : signaux d’interface . . . . . . . . . . . . .
Niveaux de tension de signal MIL–STD 188 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polarit&eacute;s Marque et Espace normales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inversion des polarit&eacute;s Marque et Espace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 8 ports EIA 422A : signaux d’interface . . . . . . . . . . . . . . . . .
Niveaux de tension du signal EIA 422A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Circuit de protection contre la surtension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Circuit &agrave; s&eacute;curit&eacute; int&eacute;gr&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 8 ports EIA 232 : signaux d’interface . . . . . . . . . . . . . . . . . . .
B-1
B-3
B-3
B-3
B-4
B-4
B-4
B-5
B-5
B-5
B-5
B-5
B-6
B-6
B-6
B-6
B-7
B-7
B-8
B-9
B-9
B-10
B-10
B-10
B-11
B-11
B-11
B-11
B-12
B-12
B-12
B-12
B-12
B-13
Pr&eacute;face
A-3
xix
xx
Niveaux de tension de signal EIA 232 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 8 ports : logique de commande . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 16 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 16 ports – description EIA 422A . . . . . . . . . . . . . . . . . . . . . . . . .
Caract&eacute;ristiques : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 16 ports : installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 16 ports : informations concernant le mat&eacute;riel . . . . . . . . . . . . .
Carte asynchrone 16 ports : priorit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Priorit&eacute; des voies de transmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte asynchrone 16 ports : description de la logique des interruptions . . . . . . .
Logique de g&eacute;n&eacute;ration des interruptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Logique d’arbitrage des interruptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 16 ports EIA 232 : signaux d’interface . . . . . . . . . . . . . . . . . .
Niveaux de tension de signal EIA 232 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes asynchrones 16 ports EIA 422A : signaux d’interface . . . . . . . . . . . . . . . .
Niveaux de tension du signal EIA 422A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Circuit de protection contre la surtension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Circuit &agrave; s&eacute;curit&eacute; int&eacute;gr&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B-13
B-13
B-13
B-14
B-14
B-14
B-15
B-16
B-17
B-17
B-17
B-17
B-18
B-18
B-18
B-18
B-19
B-19
B-19
B-19
B-19
Annexe C. Remarques sur la migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C-1
Annexe D. Configuration de la sauvegarde de l’interface r&eacute;seau
dans les versions pr&eacute;c&eacute;dentes d’AIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D-1
Annexe E. Table de conversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E-1
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
X-1
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chapitre 1. Proc&eacute;dures des t&acirc;ches
d’administration r&eacute;seau
Le pr&eacute;sent chapitre contient des instructions sur l’ex&eacute;cution des t&acirc;ches d’administration
r&eacute;seau courantes :
• Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4, page 1-2
• Mise &agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2 et versions ult&eacute;rieures,
page 1-5
• Configuration de la tunnellisation dans IPv6, page 1-8
• Migration de SNMPv1 vers SNMPv3, page 1-10
• Cr&eacute;ation d’utilisateurs dans SNMPv3, page 1-14
• Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3,
page 1-19
• Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique, page 1-22
• Configuration des serveurs de noms de domaine, page 1-23
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-1
Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4
Dans ce sc&eacute;nario, vous r&eacute;alisez une mise &agrave; niveau manuelle d’une configuration IPv4 vers
IPv6. Le r&eacute;seau utilis&eacute; dans cet exemple est constitu&eacute; d’un routeur et de deux
sous–r&eacute;seaux. Il y a deux h&ocirc;tes sur chaque sous–r&eacute;seau : le routeur et un autre h&ocirc;te. Vous
allez mettre &agrave; niveau chaque machine sur ce r&eacute;seau vers la configuration IPv6. A la fin du
sc&eacute;nario, le routeur annonce le pr&eacute;fixe 3ffe:0:0:aaaa::/64 sur l’interface r&eacute;seau en0
et le pr&eacute;fixe 3ffe:0:0:bbbb::/64 sur l’interface r&eacute;seau en1. Vous allez d’abord
configurer les machines pour qu’elles prennent en charge de fa&ccedil;on temporaire IPv6 &agrave; des
fins de test. Vous les configurerez ensuite pour qu’elles soient pr&ecirc;tes en configuration IPv6
au moment du d&eacute;marrage.
Si vous ex&eacute;cutez AIX 5.2 et n’avez pas configur&eacute; vos param&egrave;tres IPv4, reportez–vous &agrave; Mise
&agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2 et versions ult&eacute;rieures page 1-5.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2. Les
r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version ou niveau
de AIX.
Etape 1. Configuration des h&ocirc;tes pour IPv6
Sur les h&ocirc;tes des deux sous–r&eacute;seaux, effectuez les actions suivantes :
1. V&eacute;rifiez que IPv4 est configur&eacute; en tapant la commande suivante :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
en0
en0
lo0
lo0
lo0
Mtu
1500
1500
16896
16896
16896
Network
link#2
9.3.230.64
link#1
127
::1
Address
0.6.29.4.55.ec
9.3.230.117
127.0.0.1
Ipkts Ierrs
279393
279393
913
913
913
0
0
0
0
0
Opkts Oerrs
2510
2510
919
919
919
Coll
0
0
0
0
0
0
0
0
0
0
2. Avec les droits d’acc&egrave;s root, configurez vos param&egrave;tres IPv6 en sp&eacute;cifiant la commande
suivante :
autoconf6
3. Ex&eacute;cutez &agrave; nouveau la commande suivante :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
en0
en0
en0
sit0
sit0
lo0
lo0
lo0
Mtu
1500
1500
1500
1480
1480
16896
16896
16896
Network
Address
link#2
0.6.29.4.55.ec
9.3.230.64 9.3.230.117
fe80::206:29ff:fe04:55ec
link#3
9.3.230.117
::9.3.230.117
link#1
127
127.0.0.1
::1
Ipkts Ierrs
279679
279679
279679
0
0
2343
2343
2343
0
0
0
0
0
0
0
0
Opkts Oerrs
2658
2658
2658
0
0
2350
2350
2350
Coll
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
4. Lancez les d&eacute;mons ndpd–host en tapant la commande suivante :
startsrc –s ndpd–host
L’h&ocirc;te est d&eacute;sormais pr&ecirc;t pour la configuration IPv6. R&eacute;p&eacute;tez cette proc&eacute;dure pour chaque
h&ocirc;te du sous–r&eacute;seau.
1-2
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Etape 2. Configuration du routeur pour IPv6
1. V&eacute;rifiez que les param&egrave;tres IPv4 sont configur&eacute;s en entrant la commande suivante :
netstat –ni
2. Avec les droits d’acc&egrave;s root, entrez la commande suivante :
autoconf6
3. Configurez manuellement les adresses g&eacute;n&eacute;rales sur les interfaces du routeur
appartenant &agrave; chacun des deux sous–r&eacute;seaux en entrant les commandes suivantes :
# ifconfig en0 inet6 3ffe:0:0:aaaa::/64 eui64 alias
# ifconfig en1 inet6 3ffe:0:0:bbbb::/64 eui64 alias
Vous devrez r&eacute;it&eacute;rer cette action pour chaque sous–r&eacute;seau auquel votre routeur envoie
des paquets.
4. Pour activer le r&eacute;acheminement IPv6, entrez la commande suivante :
no –o ip6forwarding=1
5. Pour d&eacute;marrer le d&eacute;mon ndpd–router, saisissez :
startsrc –s ndpd–router
Le d&eacute;mon ndpd–router annonce des pr&eacute;fixes correspondant aux adresses g&eacute;n&eacute;rales
que vous avez configur&eacute;es sur le routeur. Dans ce cas, le ndpd–router annonce le
pr&eacute;fixe 3ffe:0:0:aaaa::/64 sur en0 et le pr&eacute;fixe 3ffe:0:0:bbbb::/64 sur en1.
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes
au d&eacute;marrage
Votre nouvelle configuration IPv6 est supprim&eacute;e lorsque vous red&eacute;marrez la machine.
Pour activer la fonctionnalit&eacute; d’h&ocirc;te IPv6 &agrave; chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez
comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire des lignes suivantes :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
# Start up ndpd–host daemon
start /usr/sbin/ndpd–host ”$src_running”
Au red&eacute;marrage, la configuration IPv6 est d&eacute;finie. R&eacute;p&eacute;tez ce processus pour chaque h&ocirc;te.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-3
Etape 4 : D&eacute;finition d’IPv6 pour une configuration
sur le routeur au d&eacute;marrage
Votre nouvelle configuration IPv6 est supprim&eacute;e lorsque vous red&eacute;marrez la machine.
Pour activer la fonctionnalit&eacute; de routeur IPv6 &agrave; chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez
comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire de la ligne suivante :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
3. Ajoutez les lignes suivantes imm&eacute;diatement &agrave; la suite de la ligne dont vous venez
de supprimer la mise en commentaire :
# Configure global addresses for router
ifconfig en0 inet6 3ffe:0:0:aaaa::/64 eui64 alias
ifconfig en1 inet6 3ffe:0:0:bbbb::/64 eui64 alias
Dans ce sc&eacute;nario, le r&eacute;seau comporte uniquement deux sous–r&eacute;seaux, en0 et en1.
Vous devrez ajouter une ligne dans ce fichier pour chaque sous–r&eacute;seau auquel votre
routeur envoie des paquets.
4. Supprimez la mise en commentaire de la ligne suivante :
# Start up ndpd–router daemon
start /usr/sbin/ndpd– router ”$src_running”
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
1-4
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mise &agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2
et versions ult&eacute;rieures
Le pr&eacute;sent sc&eacute;nario indique comment configurer des h&ocirc;tes et un routeur pour IPv6 sans
que les param&egrave;tres IPv4 soient configur&eacute;s. Le r&eacute;seau utilis&eacute; dans cet exemple est constitu&eacute;
d’un routeur et de deux sous–r&eacute;seaux. Il y a deux h&ocirc;tes sur chaque sous–r&eacute;seau : le
routeur et un autre h&ocirc;te. A la fin du sc&eacute;nario, le routeur annonce le pr&eacute;fixe
3ffe:0:0:aaaa::/64 sur l’interface r&eacute;seau en0 et le pr&eacute;fixe 3ffe:0:0:bbbb::/64
sur l’interface r&eacute;seau en1. Vous allez d’abord configurer les machines pour qu’elles
prennent en charge de fa&ccedil;on temporaire IPv6 &agrave; des fins de test. Vous les configurerez
ensuite pour qu’elles soient pr&ecirc;tes en configuration IPv6 au moment du d&eacute;marrage.
Ce sc&eacute;nario part du principe que le fichier bos.net.tcp.client est install&eacute;.
Pour effectuer une mise &agrave; niveau IPv6 avec IPv4 d&eacute;j&agrave; configur&eacute;, reportez–vous &agrave; Mise &agrave;
niveau vers IPv6 &agrave; partir d’une configuration d’IPv4 page 1-2.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Etape 1 : Configuration des h&ocirc;tes pour IPv6
1. Avec les droits d’acc&egrave;s racine, entrez la commande suivante sur chaque h&ocirc;te du
sous–r&eacute;seau :
autoconf6 –A
Toutes les interfaces adapt&eacute;es &agrave; IPv6 sur le syst&egrave;me sont affich&eacute;es.
Remarque :
Pour afficher un sous–ensemble d’interfaces, utilisez l’indicateur –i.
Par exemple, autoconf6 –i en0 en1 affiche les interfaces en0
et en1.
2. Entrez la commande suivante pour afficher vos interfaces :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
en0
en0
lo0
lo0
lo0
Mtu
1500
1500
16896
16896
16896
Network
Address
link#3
0.4.ac.17.b4.11
fe80::204:acff:fe17:b411
link#1
127
127.0.0.1
::1
Ipkts Ierrs
7
0
7
0
436
0
436
0
436
0
Opkts Oerrs
17
0
17
0
481
0
481
0
481
0
Coll
0
0
0
0
0
3. Lancez les d&eacute;mons ndpd–host en tapant la commande suivante :
startsrc –s ndpd–host
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-5
Etape 2 : Configuration du routeur pour IPv6
1. Avec les droits d’acc&egrave;s racine, entrez la commande suivante sur l’h&ocirc;te du routeur :
autoconf6 –A
Toutes les interfaces adapt&eacute;es &agrave; IPv6 sur le syst&egrave;me sont affich&eacute;es.
Remarque :
Pour afficher un sous–ensemble d’interfaces, utilisez l’indicateur –i.
Par exemple, autoconf6 –i en0 en1 affiche les interfaces en0
et en1.
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
en1
en1
en0
en0
lo0
lo0
lo0
Mtu
1500
1500
1500
1500
16896
16896
16896
Network
Address
link#2
0.6.29.dc.15.45
fe80::206:29ff:fedc:1545
link#3
0.4.ac.17.b4.11
fe80::204:acff:fe17:b411
link#1
127
127.0.0.1
::1
Ipkts Ierrs
0
0
0
0
7
0
7
0
436
0
436
0
436
0
Opkts Oerrs
7
0
7
0
17
0
17
0
481
0
481
0
481
0
Coll
0
0
0
0
0
0
0
2. Configurez manuellement les adresses g&eacute;n&eacute;rales sur les interfaces du routeur
appartenant &agrave; chacun des deux sous–r&eacute;seaux en entrant les commandes suivantes :
# ifconfig en0 inet6 3ffe:0:0:aaaa::/64 eui64 alias
# ifconfig en1 inet6 3ffe:0:0:bbbb::/64 eui64 alias
Remarque :
Vous devrez r&eacute;it&eacute;rer cette action pour chaque sous–r&eacute;seau auquel votre
routeur envoie des paquets.
3. Pour activer le r&eacute;acheminement IPv6, entrez la commande suivante :
no –o ip6forwarding=1
4. Pour d&eacute;marrer le d&eacute;mon ndpd–router, saisissez :
startsrc –s ndpd–router
Le d&eacute;mon ndpd–router annonce des pr&eacute;fixes correspondant aux adresses g&eacute;n&eacute;rales
que vous avez configur&eacute;es sur le routeur. Dans ce cas, le routeur annonce le pr&eacute;fixe
3ffe:0:0:aaaa::/64 sur l’interface r&eacute;seau en0 et le pr&eacute;fixe
3ffe:0:0:bbbb::/64 sur l’interface r&eacute;seau en1.
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes
au d&eacute;marrage
Lorsque vous aurez ex&eacute;cut&eacute; l’&eacute;tape 1 pour chaque h&ocirc;te, la configuration IPv6 sera
supprim&eacute;e lorsque vous red&eacute;marrez la machine. Pour activer la fonctionnalit&eacute; d’h&ocirc;te IPv6 &agrave;
chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire des lignes suivantes :
# D&eacute;marrer processus autoconf6
start /usr/sbin/autoconf6 ””
# D&eacute;marrer le d&eacute;mon ndpd–host
start /usr/sbin/ndpd–host ”$src_running”
3. Ajoutez l’indicateur –A &agrave; start /usr/sbin/autoconf6 ””:
start /usr/sbin/autoconf6 ”” –A
4. R&eacute;p&eacute;tez ce processus pour chaque h&ocirc;te.
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
1-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur
au d&eacute;marrage
Lorsque vous aurez ex&eacute;cut&eacute; l’&eacute;tape 2 pour le routeur, la configuration IPv6 sera supprim&eacute;e
lorsque vous red&eacute;marrez la machine. Pour activer la fonctionnalit&eacute; de routeur IPv6 &agrave;
chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire de la ligne suivante :
# D&eacute;marrer processus autoconf6
start /usr/sbin/autoconf6 ””
3. Ajoutez l’indicateur –A &agrave; cette ligne :
start /usr/sbin/autoconf6 ”” –A
4. Ajoutez les lignes suivantes imm&eacute;diatement &agrave; la suite de la ligne dont vous venez de
supprimer la mise en commentaire :
# Configurer les adresses g&eacute;n&eacute;rales pour le routeur
ifconfig en0 inet6 3ffe:0:0:aaaa::/64 eui64 alias
ifconfig en1 inet6 3ffe:0:0:bbbb::/64 eui64 alias
Dans ce sc&eacute;nario, le r&eacute;seau comporte uniquement deux sous–r&eacute;seaux, en0 et en1.
Vous devrez ajouter une ligne dans ce fichier pour chaque sous–r&eacute;seau auquel votre
routeur envoie des paquets.
5. Supprimez la mise en commentaire de la ligne suivante :
# D&eacute;marre le d&eacute;mon ndpd–router
start /usr/sbin/ndpd–router ”$src_running”
6. Ex&eacute;cutez la commande ci–apr&egrave;s pour activer le r&eacute;acheminement IP au moment du
d&eacute;marrage :
no –r –o ip6forwarding=1
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-7
Configuration de la tunnelisation dans IPv6
Vous avez le choix entre deux m&eacute;thodes : pr&eacute;voir un tunnel automatique ou mettre en place
un tunnel configur&eacute;.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.3.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Mise en oeuvre d’un tunnel automatique dans IPv6
Dans ce sc&eacute;nario, vous allez faire appel &agrave; la commande autoconf6 pour configurer IPv6 et
mettre en place un tunnel automatique via l’interface principale, en2. Vous utiliserez ensuite
la commande autoconf6 pour configurer un tunnel via l’interface secondaire, en0.
Voici le r&eacute;sultat obtenu avec la commande netstat –ni qui permet d’afficher la configuration
r&eacute;seau actuelle du syst&egrave;me :
en0
en0
en2
en2
1500
1500
1500
1500
link#2
1.1
link#3
10.1
MAC address here
1.1.1.3
MAC address here
10.1.1.1
0
0
79428
79428
0
0
0
0
33
33
409
409
0
0
0
0
0
0
0
0
• Pour activer IPv6 et un tunnel automatique, tapez la commande suivante :
autoconf6
L’ex&eacute;cution de la commande netstat –ni g&eacute;n&egrave;re &agrave; pr&eacute;sent les r&eacute;sultats suivants :
# netstat –in
en0
1500 link#2
MAC address here
en0
1500 1.1
1.1.1.3
en0
1500 fe80::204:acff:fe49:4910
en2
1500 link#3
MAC address here
en2
1500 10.1
10.1.1.1
en2
1500 fe80::220:35ff:fe12:3ae8
sit0 1480 link#7
10.1.1.1
sit0 1480 ::10.1.1.1
0
0
0
79428
79428
0
0
0
0
0
33
33
33
409
409
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Si en2 (adresse IP 10.1.1.1) est l’interface principale, l’adresse ::10.1.1.1 peut
maintenant est utilis&eacute;e pour la tunnelisation automatique via l’interface en2.
• Pour activer un tunnel automatique via l’interface en0, entrez la commande suivante :
autoconf6 –s –i en0
L’ex&eacute;cution de la commande netstat –ni g&eacute;n&egrave;re &agrave; pr&eacute;sent les r&eacute;sultats suivants :
# netstat –in
en0
1500 link#2
MAC address here
en0
1500 1.1
1.1.1.3
en0
1500 fe80::204:acff:fe49:4910
en2
1500 link#3
MAC address here
en2
1500 10.1
10.1.1.1
en2
1500 fe80::220:35ff:fe12:3ae8
sit0 1480 link#7
1.1.1.3
sit0 1480 ::10.1.1.1
sit0 1480 ::1.1.1.3
0
0
0
79428
79428
0
0
0
0
0
33
33
33
409
409
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
3
3
3
0
0
0
0
0
0
Cette action a pour effet d’ajouter une adresse IPv6 compatible IPv4 &agrave; l’interface SIT
existante, sit0. La tunnelisation est &eacute;galement activ&eacute;e pour l’interface en0 utilisant
l’adresse ::1.1.1.3. La m&ecirc;me interface, sit0, sera utilis&eacute;e pour les deux tunnels.
1-8
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarque :
Les tunnels automatiques sont supprim&eacute;s au red&eacute;marrage du syst&egrave;me.
Pour conserver le tunnel automatique au d&eacute;marrage, ajoutez les
arguments obligatoires &agrave; la commande autoconf6 dans le fichier
/etc/rc.tcpip.
Mise en oeuvre des tunnels configur&eacute;s
Dans ce sc&eacute;nario, SMIT est utilis&eacute; pour mettre en place un tunnel configur&eacute;. Ce tunnel sera
disponible lors du red&eacute;marrage du syst&egrave;me, car il est stock&eacute; dans le gestionnaire d’objets
(ODM). Vous allez configurer un tunnel entre les syst&egrave;mes alpha et beta. L’adresse IPv4
du syst&egrave;me alpha est 10.1.1.1 et celle du syst&egrave;me beta est 10.1.1.2.
Pour mettre en oeuvre les tunnels configur&eacute;s, proc&eacute;dez comme suit :
1. Pour configurer un tunnel entre alpha et beta, entrez la commande suivante sur les
deux syst&egrave;mes :
smit ctinet6
2. S&eacute;lectionnez l’option permettant d’ajouter un IPV6 &agrave; l’interface de tunnel IPV4 sur les
deux syst&egrave;mes.
3. Dans ce sc&eacute;nario, nous avons compl&eacute;t&eacute; les valeurs de la fa&ccedil;on suivante sur alpha, en
fonction des adresses IPv4 :
* Adresse source IPV4 (d&eacute;cimale &agrave; points)
* Adresse de destination IPV4 (d&eacute;cimale &agrave; points)
Adresse source IPV6 (s&eacute;parateur :)
Adresse de destination IPV6 (s&eacute;parateur :)
[10.1.1.1]
[10.1.1.2]
[]
[]
Voici les valeurs sp&eacute;cifi&eacute;es sur beta :
* Adresse source IPV4 (d&eacute;cimale &agrave; points)
* Adresse de destination IPV4 (d&eacute;cimale &agrave; points)
Adresse source IPV6 (s&eacute;parateur :)
Adresse de destination IPV6 (s&eacute;parateur :)
[10.1.1.2]
[10.1.1.1]
[]
[]
4. Pour afficher les interfaces configur&eacute;es, entrez la commande suivante :
ifconfig cti
X
o&ugrave; X est le num&eacute;ro de l’interface. Dans ce sc&eacute;nario, voici les r&eacute;sultats qui ont &eacute;t&eacute;
renvoy&eacute;s :
Sur alpha :
cti0: flags=8080051&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt;
inet6 fe80::a01:101/128 ––&gt; fe80::a01:102
Sur beta :
cti0: flags=8080051 &lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt;
inet6 fe80::a01:102/128 ––&gt; fe80::a01:101
SMIT cr&eacute;e automatiquement les adresses IPv6 pour les deux extr&eacute;mit&eacute;s du tunnel &agrave; l’aide
de la m&eacute;thode suivante :
• Les 32 bits inf&eacute;rieurs contiennent l’adresse IPv4.
• Les 96 bits sup&eacute;rieurs contiennent le pr&eacute;fixe fe80::/96.
Vous pouvez renseigner des adresses IPv6 sp&eacute;cifiques, si cela est n&eacute;cessaire.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-9
Migration de SNMPv1 vers SNMPv3
Le pr&eacute;sent sc&eacute;nario pr&eacute;sente une migration classique de SNMPv1 vers SNMPv3.
Dans AIX 5.2 et les versions sup&eacute;rieures, l’agent SNMP par d&eacute;faut s’ex&eacute;cutant au moment
de l’amor&ccedil;age du syst&egrave;me est la version non chiffr&eacute;e de SNMPv3. SNMPv3 utilise le fichier
/etc/snmpdv3.conf comme fichier de configuration. Vous devez faire migrer tous les
param&egrave;tres que vous avez configur&eacute;s dans le fichier /etc/snmpd.conf, qui est utilis&eacute;
par SNMPv1 dans AIX 5.1 et versions ant&eacute;rieures, dans le fichier /etc/snmpdv3.conf.
Dans ce sc&eacute;nario, les communaut&eacute;s et les interruption configur&eacute;es dans le fichier
/etc/snmpd.conf seront migr&eacute;es vers le fichier /etc/snmpdv3.conf. A la fin du sc&eacute;nario,
SNMPv3 fournira une fonctionnalit&eacute; identique &agrave; celle propos&eacute;e par SNMPv1. Si vous n’avez
configur&eacute; aucun de vos signaux d’interruption ou communaut&eacute;s SNMPv1, vous n’avez pas
besoin de suivre cette proc&eacute;dure.
Ce fichier ne contient aucune information sur les fonctions disponibles dans SNMPv3.
Pour plus d’informations sur la cr&eacute;ation d’utilisateurs avec des fonctions de SNMPv3 non
disponibles dans SNMPv1, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3
page 1-14.
Le fichier suivant est l’exemple de fichier /etc/snmpd.conf qui va faire l’objet de la
migration. Les communaut&eacute;s suivantes sont configur&eacute;es : daniel, vasu, et david. Vous
devez les faire migrer manuellement.
logging
logging
file=/usr/tmp/snmpd.log
size=0
community
community
community
daniel
vasu
david
view 1.17.35
view 10.3.5
udp icmp snmp 1.3.6.1.2.1.25
system interfaces tcp icmp
trap
trap
trap
daniel
vasu
david
smux
1.3.6.1.4.1.2.3.1.2.3.1.1
enabled
level=0
0.0.0.0
0.0.0.0
readWrite
9.3.149.49 255.255.255.255 readOnly
9.53.150.67 255.255.255.255 readWrite
9.3.149.49
9.3.149.49
9.53.150.67
1.17.35
10.3.5
1.17.35
1.17.35
10.3.5
1.17.35
fe
fe
fe
sampled_password
# sampled
Pour ex&eacute;cuter les &eacute;tapes de ce sc&eacute;nario, reportez–vous au fichier /etc/snmpd.conf.
Gardez &agrave; votre port&eacute;e une copie de ce fichier lorsque vous d&eacute;marrez cette proc&eacute;dure.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Etape 1. Migration des informations de communaut&eacute;
Les noms de communaut&eacute; du fichier /etc/snmpd.conf sont int&eacute;gr&eacute;s aux entr&eacute;es
VACM_GROUP du fichier /etc/snmpdv3.conf. Chaque communaut&eacute; doit &ecirc;tre plac&eacute;e dans
un groupe. Vous accordez ensuite aux groupes les droits d’acc&egrave;s et d’affichage
n&eacute;cessaires.
1. Avec les droits de l’utilisateur racine, ouvrez le fichier /etc/snmpdv3.conf avec votre
&eacute;diteur favori. Recherchez les entr&eacute;es VACM_GROUP dans le fichier.
2. Cr&eacute;ez une entr&eacute;e VACM_GROUP pour chaque communaut&eacute; que vous voulez faire
migrer. Si plusieurs communaut&eacute;s doivent partager les m&ecirc;mes droits d’acc&egrave;s et
d’affichage, vous ne devez cr&eacute;er qu’un seul groupe pour elles. Les noms de
communaut&eacute; du fichier /etc/snmpd.conf deviennent les valeurs securityName des
entr&eacute;es VACM_GROUP. Dans ce sc&eacute;nario, les entr&eacute;es suivantes ont &eacute;t&eacute; ajout&eacute;es pour
vasu, daniel, et david:
1-10
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# entr&eacute;es VACM_GROUP
#
D&eacute;finit un groupe de s&eacute;curit&eacute;
(compos&eacute; d’utilisateurs ou de communaut&eacute;s)
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName securityModel securityName storageType
VACM_GROUP group2 SNMPv1 vasu –
VACM_GROUP group3 SNMPv1 daniel –
VACM_GROUP group3 SNMPv1 david –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– groupName peut &ecirc;tre la valeur de vote choix, sauf group1.
– securityModel reste SNMPv1 car nous migrons les communaut&eacute;s SNMPv1.
– Dans ce sc&eacute;nario, daniel et david partagent les m&ecirc;mes droits d’affichage et
d’acc&egrave;s au fichier /etc/snmpd.conf. Par cons&eacute;quent, ils sont tous les deux membres
de group3 dans le fichier /etc/snmpdv3.conf. La communaut&eacute; vasu est plac&eacute;e
dans un groupe diff&eacute;rent parce ses droits d’acc&egrave;s et d’affichage sont diff&eacute;rents de
ceux de david et daniel.
Les communaut&eacute;s sont d&eacute;sormais plac&eacute;es dans des groupes.
Etape 2. Migration des informations d’affichage
Les informations d’affichage du fichier /etc/snmpd.conf deviennent les entr&eacute;es
COMMUNITY, VACM_VIEW, et VACM_ACCESS dans le fichier /etc/snmpdv3.conf.
Ces entr&eacute;es d&eacute;terminent les droits d’acc&egrave;s et d’affichage pour chaque groupe.
1. Cr&eacute;ez les entr&eacute;es COMMUNITY pour daniel, vasu, et david, en conservant les
m&ecirc;mes adresses IP pour netAddr et netMask que celles indiqu&eacute;es dans le fichier
/etc/snmpd.conf.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# COMMUNITY
#
D&eacute;finit une communaut&eacute; pour une s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute;.
# Format :
# communityName securityName securityLevel netAddr netMask storageType
COMMUNITY public
public
noAuthNoPriv 0.0.0.0
0.0.0.0
–
COMMUNITY daniel
daniel
noAuthNoPriv 0.0.0.0
0.0.0.0
–
COMMUNITY vasu
vasu
noAuthNoPriv 9.3.149.49 255.255.255.255 –
COMMUNITY david
david
noAuthNoPriv 9.53.150.67 255.255.255.255 –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
2. Cr&eacute;ez une entr&eacute;e VACM_VIEW pour chaque objet ou variable MIB auquel chaque
groupe a acc&egrave;s. D’apr&egrave;s le fichier /etc/snmpd.conf, daniel et david ont acc&egrave;s &agrave;
udp, icmp, snmp, et 1.3.6.1.2.1.25 (sous–arborescence h&ocirc;te d&eacute;finie dans RFC
1514), et vasu a acc&egrave;s aux interfaces system, interfaces, tcp, et icmp. La
migration de ces entr&eacute;es d’affichage dans le fichier /etc/snmpdv3.conf s’effectue
comme suit :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_VIEW
#
D&eacute;finit un ensemble particulier de donn&eacute;es MIB, appel&eacute; une vue, pour le
#
Mod&egrave;le VACM (View–based Access Control Model).
# Format :
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW
VACM_VIEW
VACM_VIEW
VACM_VIEW
group2View
group2View
group2View
group2View
system
interfaces
tcp
icmp
–
–
–
–
included
included
included
included
–
–
–
–
VACM_VIEW group3View
udp
– included –
VACM_VIEW group3View
icmp
– included –
VACM_VIEW group3View
snmp
– included –
VACM_VIEW group3View
1.3.6.1.2.1.25
– included –
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-11
3. D&eacute;finissez les droits d’acc&egrave;s aux variables MIB d&eacute;finies dans les entr&eacute;es VACM_VIEW
en ajoutant les entr&eacute;es VACM_ACCESS. Dans le fichier /etc/snmpd.conf, daniel et
david ont tous les deux un droit readWrite sur leurs variables MIB, tandis que vasu
a le droit readOnly.
D&eacute;finissez ces droits en ajoutant les entr&eacute;es VACM_ACCESS . Dans ce sc&eacute;nario, nous
avons donn&eacute; &agrave; group2 ( vasu ) group2View pour readView, mais lui avons donn&eacute;
– pour writeView car vasu avait le droit readOnly dans le fichier
/etc/snmpd.conf. Nous avons donn&eacute; &agrave; group3 ( daniel et david ) group3View
pour &agrave; la fois readView et writeView car ces groupes avaient un acc&egrave;s readWrite
dans /etc/snmpd.conf. Voir l’exemple ci–apr&egrave;s.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_ACCESS
#
Identifie les droits d’acc&egrave;s accord&eacute;s aux diff&eacute;rents groupe de s&eacute;curit&eacute;
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName contextPrefix contextMatch securityLevel securityModel readView
writeView notifyView storageType
VACM_ACCESS group1 – – noAuthNoPriv SNMPv1 defaultView – defaultView –
VACM_ACCESS group2 – – noAuthNoPriv SNMPv1 group2View – group2View –
VACM_ACCESS group3 – – noAuthNoPriv SNMPv1 group3View group3View
group3View –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Etape 3. Migration des informations d’interruption
Les informations d’interruption du fichier /etc/snmpd.conf deviennent les entr&eacute;es NOTIFY,
TARGET_ADDRESS, et TARGET_PARAMETERS dans le fichier /etc/snmpdv3.conf.
Toutefois, seuls TARGET_ADDRESS et TARGET_PARAMETERS ont besoin d’&ecirc;tre migr&eacute;s.
1. Les adresses IP figurant dans les entr&eacute;es d’interruption du fichier /etc/snmpd.conf
sont int&eacute;gr&eacute;s aux entr&eacute;es TARGET_ADDRESS du fichier /etc/snmpdv3.conf. Cette ligne
sp&eacute;cifie l’h&ocirc;te vers lequel le signal d’interruption sera envoy&eacute;. Vous pouvez d&eacute;finir les
entr&eacute;es targetParams. Dans ce sc&eacute;nario, nous utilisons trapparms1, trapparms2,
trapparms3, et trapparms4, qui seront d&eacute;finis dans les entr&eacute;es
TARGET_PARAMETERS .
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_ADDRESS
#
D&eacute;finit l’adresse et les param&egrave;tres d’une application de gestion
#
&agrave; utiliser pour envoyer des notifications.
# Format :
# targetAddrName tDomain tAddress tagList targetParams timeout retryCount
storageType
TARGET_ADDRESS Target1 UDP 127.0.0.1
traptag trapparms1 – – –
TARGET_ADDRESS Target2 UDP 9.3.149.49
traptag trapparms2 – – –
TARGET_ADDRESS Target3 UDP 9.3.149.49
traptag trapparms3 – – –
TARGET_ADDRESS Target4 UDP 9.53.150.67 traptag trapparms4 – – –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
2. Les noms de communaut&eacute; figurant dans les entr&eacute;es d’interruption du fichier
/etc/snmpd.conf sont int&eacute;gr&eacute;s aux entr&eacute;es TARGET_ PARAMETERS du fichier
/etc/snmpdv3.conf. Les noms de communaut&eacute; doivent &ecirc;tre mapp&eacute;s avec une entr&eacute;e
TARGET_ADDRESS sp&eacute;cifique avec les valeurs targetParams. Par exemple, la
communaut&eacute; daniel est mapp&eacute;e avec trapparms2, qui, sous l’entr&eacute;e
TARGET_ADDRESS est mapp&eacute;e avec l’adresse IP 9.3.149.49. La communaut&eacute;
daniel et l’adresse IP 9.3.149.49 &eacute;taient &agrave; l’origine une entr&eacute;e d’interruption
dans le fichier /etc/snmpd.conf. Voir l’exemple ci–apr&egrave;s :
1-12
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_PARAMETERS
#
D&eacute;finit les param&egrave;tres de traitement des messages et de s&eacute;curit&eacute; &agrave;
#
utiliser pour envoyer les notifications &agrave; une cible de gestion
particuli&egrave;re.
# Format :
# paramsName mpModel securityModel securityName securityLevel storageType
TARGET_PARAMETERS trapparms1 SNMPv1 SNMPv1 public noAuthNoPriv –
TARGET_PARAMETERS trapparms2 SNMPv1 SNMPv1 daniel noAuthNoPriv –
TARGET_PARAMETERS trapparms3 SNMPv1 SNMPv1 vasu
noAuthNoPriv –
TARGET_PARAMETERS trapparms4 SNMPv1 SNMPv1 david
noAuthNoPriv –
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
3. Les informations trapmask du fichier /etc/snmpd.conf ne migrent pas vers le fichier
/etc/snmpdv3.conf.
Etape 4. Migration des informations smux
Si vous disposez des informations smux que vous devez faire migrer, vous pouvez copier
ces lignes directement dans le nouveau fichier. Dans ce sc&eacute;nario, l’entr&eacute;e smux sampled
a &eacute;t&eacute; configur&eacute;e dans le fichier /etc/snmpd.conf. Cette ligne doit &ecirc;tre copi&eacute;e dans le fichier
/etc/snmpdv3.conf.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
#
smux &lt;client OIdentifier&gt; &lt;password&gt; &lt;address&gt; &lt;netmask&gt;
smux
1.3.6.1.4.1.2.3.1.2.3.1.1
sampled_password #
sampled
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd
Une fois termin&eacute;e la migration du d&eacute;mon /etc/snmpd.conf vers le fichier
/etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon snmpd. Vous devez arr&ecirc;ter et d&eacute;marrer
le d&eacute;mon snmpd chaque fois que vous modifiez le fichier /etc/snmpdv3.conf.
1. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon :
stopsrc –s snmpd
2. Entrez la commande suivante pour red&eacute;marrer le d&eacute;mon :
startsrc –s snmpd
Remarque :
La simple actualisation de l’agent SNMPv3 ne fonctionne pas comme sous
SNMPv1. Si vous modifiez le fichier /etc/snmpdv3.conf, vous devez
arr&ecirc;ter et red&eacute;marrer le d&eacute;mon, comme indiqu&eacute; dans la proc&eacute;dure
pr&eacute;c&eacute;dente. La fonction de configuration dynamique prise en charge dans
SNMPv3 ne vous permet pas d’actualisation.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-13
Cr&eacute;ation d’utilisateurs dans SNMPv3
Ce sc&eacute;nario montre comment cr&eacute;er un utilisateur dans SNMPv3 en &eacute;ditant manuellement
les fichiers /etc/snmpdv3.conf et /etc/clsnmp.conf.
L’utilisateur u1 sera cr&eacute;&eacute; dans ce sc&eacute;nario. L’utilisateur u1 re&ccedil;oit des cl&eacute;s d’autorisation
mais pas des cl&eacute;s de confidentialit&eacute; (qui sont disponibles uniquement si vous avez install&eacute;
le fichier snmp.crypto). Le protocole HMAC–MD5 servira &agrave; cr&eacute;er les cl&eacute;s d’autorisation de
u1. Une fois qu’u1 aura &eacute;t&eacute; configur&eacute;, il sera plac&eacute; dans un groupe, puis les droits d’acc&egrave;s
d’affichage de ce groupe seront d&eacute;finis. Enfin, des entr&eacute;es de signaux d’interruption seront
cr&eacute;&eacute;es pour u1.
Chaque valeur individuelle utilis&eacute;e dans les fichiers /etc/snmpdv3.conf et
/etc/clsnmp.conf ne doit pas exc&eacute;der 32 octets.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Etape 1. Cr&eacute;ation de l’utilisateur
1. Choisissez le protocole de s&eacute;curit&eacute; &agrave; utiliser, HMAC–MD5 ou HMAC–SHA.
Dans le pr&eacute;sent sc&eacute;nario, HMAC–MD5 est utilis&eacute;.
2. G&eacute;n&eacute;rez les cl&eacute;s d’authentification &agrave; l’aide de la commande pwtokey. Votre sortie peut
diff&eacute;rer, selon le protocole d’authentification utilis&eacute; et l’utilisation ou non de cl&eacute;s de
confidentialit&eacute;. Ces cl&eacute;s sont utilis&eacute;es dans les fichiers /etc/snmpdv3.conf et
/etc/clsnmp.conf. La commande employ&eacute;e pour l’utilisateur u1 est la suivante :
pwtokey –p HMAC–MD5 –u auth
anypassword
9.3.230.119
L’adresse IP sp&eacute;cifi&eacute;e est celle o&ugrave; s’ex&eacute;cute l’agent. Le mot de passe est quelconque,
mais veillez &agrave; le conserver en un lieu s&ucirc;r en vue d’une utilisation ult&eacute;rieure. Le r&eacute;sultat
est pr&eacute;sent&eacute; de la mani&egrave;re suivante :
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 localized
authKey :
63960c12520dc8829d27f7fbaf5a0470
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 localized
authKey :
b3b6c6306d67e9c6f8e7e664a47ef9a0
3. Avec les droits de l’utilisateur racine, ouvrez le fichier /etc/snmpdv3.conf avec votre
&eacute;diteur favori.
4. Cr&eacute;ez un utilisateur en ajoutant une entr&eacute;e USM_USER suivant le format donn&eacute; dans
le fichier. La valeur authKey est la cl&eacute; d’authentification localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la
commande pwtokey. L’entr&eacute;e associ&eacute;e &agrave; l’utilisateur u1 est la suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es USM_USER
# D&eacute;finit l’utilisateur pour le mod&egrave;le USM (User–based Security Model).
# Format :
# userName engineID authProto authKey privProto privKey keyType storageType
#
USM_USER u1 – HMAC–MD5 b3b6c6306d67e9c6f8e7e664a47ef9a0 – – L –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– userName est le nom de l’utilisateur. Dans ce cas, il s’agit de u1.
– authProto doit &ecirc;tre le protocole que vous avez utilis&eacute; lors de la cr&eacute;ation des cl&eacute;s.
Dans ce cas, il s’agit de HMAC–MD5.
– authKey est la cl&eacute; d’authentification localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la commande pwtokey.
1-14
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
– privProto et privkey ne sont pas pr&eacute;cis&eacute;s car nous n’utilisons pas les cl&eacute;s de
confidentialit&eacute; dans ce sc&eacute;nario.
– keyType est L parce que nous utilisons la cl&eacute; d’authentification localis&eacute;e.
5. Sauvegardez puis fermez le fichier /etc/snmpdv3.conf.
6. Ouvrez le fichier /etc/clsnmp.conf du gestionnaire SNMP sous votre &eacute;diteur favori.
7. Ajoutez le nouvel utilisateur selon le format donn&eacute; dans le fichier. L’entr&eacute;e associ&eacute;e &agrave;
l’utilisateur u1 est la suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
#
# Format des entr&eacute;es :
# winSnmpName targetAgent admin secName password context secLevel authProto
authKey privProto privKey
#
user1 9.3.230.119 SNMPv3 u1 – – AuthNoPriv HMAC–MD5
63960c12520dc8829d27f7fbaf5a0470 – –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– winSnmpName peut &ecirc;tre la valeur de votre choix. Cette valeur est utilis&eacute;e lors des
requ&ecirc;tes SNMP &agrave; l’aide de la commande clsnmp.
– targetAgent repr&eacute;sente l’adresse IP d’ex&eacute;cution de l’agent, qui a &eacute;galement servi
lors de la cr&eacute;ation des cl&eacute;s d’authentification.
– admin est d&eacute;fini comme SNMPv3 car nous allons envoyer des requ&ecirc;tes SNMPv3.
– secName est le nom de l’utilisateur que vous cr&eacute;ez. Dans ce cas, il s’agit de u1.
– seclevel est d&eacute;fini comme AuthNoPriv car il est configur&eacute; pour utiliser
l’authentification mais pas la confidentialit&eacute; (par cons&eacute;quent, il n’y a pas de valeurs
pour privProto et privKey ).
– authproto est d&eacute;fini comme le protocole d’authentification utilis&eacute; pour cr&eacute;er les
cl&eacute;s d’authentification.
– authKey est la cl&eacute; d’authentification non localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la commande
pwtokey.
8. Sauvegardez et fermez le fichier /etc/clsnmp.conf.
Etape 2. Configuration du groupe
L’utilisateur doit maintenant &ecirc;tre plac&eacute; dans un groupe. Si vous disposez d&eacute;j&agrave; d’un groupe
configur&eacute; avec tous les droits d’acc&egrave;s et d’affichage que vous voulez accorder &agrave; cet
utilisateur, vous pouvez y placer l’utilisateur. Si vous voulez doter cet utilisateur de droits
d’acc&egrave;s et d’affichage n’existant dans aucun groupe existant, cr&eacute;ez un groupe dans lequel
vous ajoutez l’utilisateur.
Pour ajouter l’utilisateur &agrave; un nouveau groupe, cr&eacute;ez une nouvelle entr&eacute;e VACM_GROUP
dans le fichier /etc/snmpdv3.conf. L’entr&eacute;e de groupe associ&eacute;e &agrave; l’utilisateur u1 est la
suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# entr&eacute;es VACM_GROUP
# D&eacute;finit un groupe de s&eacute;curit&eacute; (compos&eacute; d’utilisateurs ou de communaut&eacute;s)
# pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName securityModel securityName storageType
VACM_GROUP group1 USM u1 –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
• groupName peut &ecirc;tre le nom de votre choix. Il devient le nom du groupe.
Dans ce cas, il s’agit de group1.
• securityModel est d&eacute;fini comme USM, qui tire parti des fonctionnalit&eacute;s de s&eacute;curit&eacute;
SNMPv3.
• securityName est le nom de l’utilisateur. Dans ce cas, il s’agit de u1.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-15
Etape 3. Configuration des permissions d’acc&egrave;s et d’affichage
Les droits d’acc&egrave;s et d’affichage doivent &ecirc;tre d&eacute;finis pour le nouveau groupe que vous
venez de cr&eacute;er. Ces droits sont d&eacute;finis en ajoutant les entr&eacute;es VACM_VIEW
etVACM_ACCESS au fichier /etc/snmpdv3.conf.
1. Choisissez les droits d’acc&egrave;s et d’affichage &agrave; accorder au groupe.
2. Ajoutez les entr&eacute;es VACM_VIEW au fichier /etc/snmpdv3.conf pour d&eacute;finir les objets
MIB auquel le groupe peut acc&eacute;der. Dans ce sc&eacute;nario, group1 aura acc&egrave;s aux
sous–arborescences MIB interfaces, tcp, icmp, et system . Nous allons toutefois
limiter l’acc&egrave;s de group1 &agrave; la variable MIB sysObjectID au sein de la
sous–arborescence MIB syst&egrave;me.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_VIEW
#
D&eacute;finit un ensemble particulier de donn&eacute;es MIB, appel&eacute; une vue, pour le
#
Mod&egrave;le VACM (View–based Access Control Model).
# Format :
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW group1View
interfaces
– included –
VACM_VIEW group1View
tcp
– included –
VACM_VIEW group1View
icmp
– included –
VACM_VIEW group1View
system
– included –
VACM_VIEW group1View
sysObjectID
– excluded –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
–
viewName est le nom de la vue. Dans ce cas, il s’agit de group1View.
– viewSubtree est la sous–arborescence MIB &agrave; laquelle vous voulez donner acc&egrave;s.
– viewType d&eacute;termine si les sous–arborescences MIB d&eacute;finies sont incluses dans la
vue. Dans le cas pr&eacute;sent, toutes les sous–arborescences sont incluses, &agrave; l’exception
de la variable MIB sysObjectIDqui fait partie de la sous–arborescence system.
3. Ajoutez une entr&eacute;e VACM_ACCESS au fichier /etc/snmpdv3.conf afin de d&eacute;finir les
droits accord&eacute;s au groupe sur les objets MIB indiqu&eacute;s ci–dessus. Pour group1, un
acc&egrave;s en lecture seule est accord&eacute;.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_ACCESS
#
Identifie les droits d’acc&egrave;s accord&eacute;s aux diff&eacute;rents groupe de s&eacute;curit&eacute;
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName contextPrefix contextMatch securityLevel securityModel readView
writeView notifyView storageType
VACM_ACCESS group1 – – AuthNoPriv USM group1View – group1View –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– groupName est le nom du groupe. Dans ce cas, il s’agit de group1.
– securityLevel est le niveau de s&eacute;curit&eacute; utilis&eacute;. Dans le pr&eacute;sent sc&eacute;nario, des cl&eacute;s
d’authentification sont utilis&eacute;es, mais pas des cl&eacute;s de confidentialit&eacute;. La valeur est
donc d&eacute;finie sur AuthNoPriv.
– securityModel correspond au mod&egrave;le de s&eacute;curit&eacute; que vous utilisez (SNMPv1,
SNMPv2c ou USM). Dans le pr&eacute;sent sc&eacute;nario, il est d&eacute;fini sur USM pour permettre
l’utilisation des dispositifs de s&eacute;curit&eacute; SNMPv3.
– readView d&eacute;termine les VACM_VIEWs auxquels le groupe a un acc&egrave;s en lecture.
Dans ce sc&eacute;nario, group1View est accord&eacute;, ce qui donne &agrave; group1 un acc&egrave;s en
lecture aux entr&eacute;es group1View VACM_VIEW.
– writeView d&eacute;termine les VACM_VIEWs auxquels le groupe a un acc&egrave;s en &eacute;criture.
Dans le pr&eacute;sent sc&eacute;nario, aucun acc&egrave;s en &eacute;criture n’est accord&eacute; au group1.
1-16
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
– notifyView sp&eacute;cifie le nom de la vue &agrave; appliquer en cas de signal d’interruption
ex&eacute;cut&eacute; sous le contr&ocirc;le de l’entr&eacute;e dans la table d’acc&egrave;s.
Remarque :
Il arrive que plusieurs entr&eacute;es VACM_ACCESS soient n&eacute;cessaires pour
un groupe. Si des utilisateurs du groupe ont des param&egrave;tres
d’authentification et de confidentialit&eacute; diff&eacute;rents ( noAuthNoPriv,
AuthNoPriv, ou AuthPriv ), plusieurs entr&eacute;es VACM_ACCESS sont
requises et le param&egrave;tre securityLevel doit &ecirc;tre d&eacute;fini en
cons&eacute;quence.
Etape 4. Configuration des entr&eacute;es d’interruption pour l’utilisateur
Les entr&eacute;es d’interruption dans SNMPv3 sont cr&eacute;&eacute;es en ajoutant les entr&eacute;es NOTIFY,
TARGET_ADDRESS etTARGET_PARAMETERS au fichier /etc/snmpdv3.conf. L’entr&eacute;e
TARGET_ADDRESS indique la destination des interruptions et l’entr&eacute;e
TARGET_PARAMETERS &eacute;tablit une &eacute;quivalence entre les informations de
TARGET_ADDRESS et group1.
L’entr&eacute;e NOTIFY a &eacute;t&eacute; configur&eacute;e par d&eacute;faut. Voici l’entr&eacute;e NOTIFY par d&eacute;faut :
NOTIFY notify1 traptag trap –
Dans le pr&eacute;sent sc&eacute;nario, nous utilisons la valeur qui est sp&eacute;cifi&eacute;e dans l’entr&eacute;e par d&eacute;faut,
traptag.
1. Ajoutez une entr&eacute;e TARGET_ADDRESS pour sp&eacute;cifier la destination des signaux
d’interruption.
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_ADDRESS
#
D&eacute;finit l’adresse et les param&egrave;tres d’une application de gestion
#
&agrave; utiliser pour envoyer des notifications.
# Format :
# targetAddrName tDomain tAddress tagList targetParams timeout retryCount
storageType
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
TARGET_ADDRESS Target1 UDP 9.3.207.107
traptag trapparms1 – – –
– targetAddrName peut &ecirc;tre le nom de votre choix. Dans ce sc&eacute;nario,
nous avons utilis&eacute; Target1.
– tAddress est l’adresse IP &agrave; laquelle doivent &ecirc;tre envoy&eacute;s les signaux
d’interruption du groupe.
– tagList est le nom configur&eacute; dans l’entr&eacute;e NOTIFY . Dans ce cas,
il s’agit de traptag.
– targetParams peut &ecirc;tre la valeur de votre choix. Nous avons utilis&eacute; trapparms1,
qui sera employ&eacute; dans l’entr&eacute;e TARGET_PARAMETERS.
2. Ajoutez une entr&eacute;e TARGET_PARAMETERS.
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_PARAMETERS
#
D&eacute;finit les param&egrave;tres de traitement des messages et de s&eacute;curit&eacute;
#
&agrave; utiliser pour envoyer les notifications &agrave; une cible de gestion
particuli&egrave;re.
# Format :
# paramsName mpModel securityModel securityName securityLevel storageType
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
TARGET_PARAMETERS trapparms1 SNMPv3 USM
u1
AuthNoPriv –
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-17
– paramsName est identique &agrave; la valeur targetParams dans l’entr&eacute;e
TARGET_ADDRESS qui, dans ce cas, est trapparms1.
– mpModel est la version de SNMP qui est utilis&eacute;e.
– securityModel correspond au mod&egrave;le de s&eacute;curit&eacute; que vous utilisez (SNMPv1,
SNMPv3 ou USM). Dans le pr&eacute;sent sc&eacute;nario, il est d&eacute;fini sur USM pour permettre
l’utilisation des dispositifs de s&eacute;curit&eacute; SNMPv3.
– securityName est le nom d’utilisateur indiqu&eacute;e dans l’entr&eacute;e USM_USER qui,
dans ce cas, est u1.
– securityLevel est d&eacute;fini comme AuthNoPriv car nous utilisons des cl&eacute;s
d’authentification mais pas des cl&eacute;s de confidentialit&eacute;.
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd
Apr&egrave;s avoir modifi&eacute; le fichier /etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon snmpd.
1. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon snmpd :
stopsrc –s snmpd
2. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon snmpd :
startsrc –s snmpd
Les nouveaux param&egrave;tres sont d&eacute;sormais valid&eacute;s.
Remarque :
La simple actualisation de l’agent SNMPv3 utilisant refresh –s snmpd
ne fonctionne pas comme sous SNMPv1. Si vous modifiez le fichier
/etc/snmpdv3.conf, vous devez arr&ecirc;ter et red&eacute;marrer le d&eacute;mon,
comme indiqu&eacute; dans la proc&eacute;dure pr&eacute;c&eacute;dente. La fonction de configuration
dynamique prise en charge dans SNMPv3 ne vous permet pas
d’actualisation.
Etape 6. Test de votre configuration
Pour v&eacute;rifier que votre configuration est correcte, vous pouvez lancer la commande
suivante dans le gestionnaire SNMP.
clsnmp –h user1 walk
mib
o&ugrave; mib est une sous–arborescence MIB &agrave; laquelle l’utilisateur a acc&egrave;s. Dans ce sc&eacute;nario,
il peut s’agir de interfaces, tcp, icmp, ou system. Si la configuration est correcte, vous
visualisez les informations dans la sous–arborescence sp&eacute;cifi&eacute;e.
Si la sortie obtenue n’est pas correcte, r&eacute;visez les &eacute;tapes pr&eacute;sent&eacute;es dans ce document
et v&eacute;rifiez que vous avez entr&eacute; correctement toutes les informations.
1-18
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mise &agrave; jour dynamique des cl&eacute;s d’authentification
et de confidentialit&eacute; dans SNMPv3
Le pr&eacute;sent sc&eacute;nario d&eacute;montre comment mettre &agrave; jour dynamiquement des cl&eacute;s pour
un utilisateur dans SNMPv3. Dans ce sc&eacute;nario, l’utilisateur u4 met &agrave; jour les cl&eacute;s
d’authentification pour l’utilisateur u8. Les deux utilisateurs u4 et u8 ont d&eacute;j&agrave; cr&eacute;&eacute; des cl&eacute;s
d’authentification bas&eacute;es sur le mot de passe defaultpassword et l’adresse IP
9.3.149.49, et le tout fonctionne correctement.
Dans ce sc&eacute;nario, de nouvelles cl&eacute;s sont cr&eacute;&eacute;es pour l’utilisateur u8 et le fichier
/etc/snmpdv3.conf est mis &agrave; jour dynamiquement. La cl&eacute; d’authentification de l’utilisateur
u8 se trouvant dans le fichier /etc/clsnmp.conf c&ocirc;t&eacute; gestionnaire doit &ecirc;tre modifi&eacute;e
manuellement pour correspondre aux nouvelles cl&eacute;s.
Effectuez une sauvegarde du fichier /etc/snmpdv3.conf dans l’agent SNMP et une
sauvegarde du fichier /etc/clsnmp.conf dans le gestionnaire SNMP avant de d&eacute;marrer
la proc&eacute;dure.
Ci–dessous se trouve le fichier /etc/snmpdv3.conf qui va &ecirc;tre mis &agrave; jour dynamiquement :
USM_USER u4 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f – – N –
USM_USER u8 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 – – N –
VACM_GROUP group1 SNMPv1 public
VACM_GROUP group2 USM u4 –
VACM_GROUP group2 USM u8 –
VACM_VIEW defaultView
VACM_ACCESS
VACM_ACCESS
VACM_ACCESS
VACM_ACCESS
group1
group2
group2
group2
–
–
–
–
–
internet
–
–
–
–
– included –
noAuthNoPriv SNMPv1 defaultView – defaultView –
noAuthNoPriv USM defaultView defaultView defaultView –
AuthNoPriv USM defaultView defaultView defaultView –
AuthPriv USM defaultView defaultView defaultView –
NOTIFY notify1 traptag trap –
TARGET_ADDRESS Target1 UDP 127.0.0.1
TARGET_ADDRESS Target2 UDP 9.3.149.49
TARGET_ADDRESS Target3 UDP 9.3.149.49
TARGET_ADDRESS Target4 UDP 9.3.149.49
traptag trapparms1 – – –
traptag trapparms2 – – –
traptag trapparms3 – – –
traptag trapparms4 – – –
TARGET_PARAMETERS trapparms1 SNMPv1 SNMPv1 public noAuthNoPriv –
TARGET_PARAMETERS trapparms3 SNMPv2c SNMPv2c publicv2c noAuthNoPriv –
TARGET_PARAMETERS trapparms4 SNMPv3 USM
u4 AuthNoPriv –
Ci–dessous se trouve le fichier /etc/clsnmp.conf qui va &ecirc;tre mis &agrave; jour pour l’utilisateur u8 :
testu4 9.3.149.49 snmpv3 u4 – – AuthNoPriv HMAC–MD5
18a2c7b78f3df552367383eef9db2e9f – –
testu8 9.3.149.49 snmpv3 u8 – – AuthNoPriv HMAC–SHA
754ebf6ab740556be9f0930b2a2256ca40e76ef9 – –
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Pour mettre &agrave; jour votre mot de passe et vos cl&eacute;s d’authentification, proc&eacute;dez comme suit :
1. Du c&ocirc;t&eacute; du gestionnaire SNMP, ex&eacute;cutez la commande pwchange. Dans ce sc&eacute;nario,
la commande suivante est ex&eacute;cut&eacute;e :
pwchange –u auth –p HMAC–SHA defaultpassword newpassword 9.3.149.49
Cette commande g&eacute;n&egrave;re une nouvelle cl&eacute; d’authentification.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-19
– –u auth pr&eacute;cise que seule une cl&eacute; d’authentification sera cr&eacute;&eacute;e. Si vous mettez &agrave;
jour les cl&eacute;s de confidentialit&eacute; &eacute;galement, indiquez –u all.
– –p HMAC–SHA indique le protocole qui sera utilis&eacute; pour cr&eacute;er la cl&eacute;
d’authentification. Si vous mettez &agrave; jour les cl&eacute;s de confidentialit&eacute; &eacute;galement,
indiquez –p all.
– defaultpassword est le mot de passe utilis&eacute; pour cr&eacute;er la derni&egrave;re cl&eacute;
d’authentification (par exemple si bluepen aurait &eacute;t&eacute; utilis&eacute; pour cr&eacute;er la derni&egrave;re
cl&eacute; d’authentification, bluepen serait aussi utilis&eacute; ici)
– newpassword est le nouveau mot de passe qui sera utilis&eacute; pour g&eacute;n&eacute;rer le cl&eacute;
d’authentification. Conservez–le pour r&eacute;f&eacute;rence ult&eacute;rieure.
– 9.3.149.49 est l’adresse IP o&ugrave; s’ex&eacute;cute l’agent SNMP.
Cette commande a g&eacute;n&eacute;r&eacute; le r&eacute;sultat suivant :
Clich&eacute; de la valeur de 40 octets HMAC–SHA authKey keyChange :
8173701d7c00913af002a3379d4b150a
f9566f56a4dbde21dd778bb166a86249
4aa3a477e3b96e7d
Vous utiliserez cette cl&eacute; d’authentification &agrave; l’&eacute;tape suivante.
Remarque :
Conservez en lieu s&ucirc;r les nouveaux mots de passe que vous utilisez.
Vous devrez les r&eacute;utiliser lorsque vous effectuerez des modifications
ult&eacute;rieurement.
2. Sur le gestionnaire SNMP, l’utilisateur u4 modifiera la cl&eacute; d’authentification pour
l’utilisateur u8 en entrant la commande suivante :
clsnmp –h testu4 set
usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56
\’8173701d7c00913af002a3379d4b150af9566f56a4dbde21dd778bb166a862494aa3a47
7e3b96e7d\’h
– testu4 est utilis&eacute; car il est mapp&eacute; avec l’utilisateur u4 dans le fichier
/etc/clsnmp.conf.
– L’ID d’instance de usmUserAuthKeyChange inclut, en valeurs d&eacute;cimales, l’ID de
moteur de l’agent SNMP o&ugrave; se produit la mise &agrave; jour et le nom d’utilisateur dont la cl&eacute;
d’authentification est mise &agrave; jour. L’ID moteur peut &ecirc;tre trouv&eacute; dans le fichier
/etc/snmpd.boots (le fichier /etc/snmpd.boots contient deux cha&icirc;nes de chiffres.
L’ID moteur correspond &agrave; la premi&egrave;re cha&icirc;ne. Ignorez la deuxi&egrave;me cha&icirc;ne.
Il est n&eacute;cessaire de convertir les valeurs hexad&eacute;cimales de cet ID moteur pour
pouvoir l’utiliser. Tous les deux chiffres de l’ID moteur hexad&eacute;cimal se convertissent
en une seule valeur d&eacute;cimale. Par exemple, l’ID moteur
000000020000000009039531 sera lu sous la forme 00 00 00 02 00 00 00
00 09 03 95 31. Chacun de ces nombres doit &ecirc;tre converti en valeurs d&eacute;cimales,
donnant 0.0.0.2.0.0.0.0.9.3.149.49 (vous trouverez une table de
conversion dans Annexe E. Table de conversion page E-1). Le premier nombre de la
cha&icirc;ne est le nombre d’octets de la cha&icirc;ne d&eacute;cimale. Dans ce cas, il s’agit de 12,
dont le r&eacute;sultat est 12.0.0.0.2.0.0.0.0.9.3.149.49.
Le nombre suivant est le nombre d’octets du nom d’utilisateur, suivi des valeurs
d&eacute;cimales du nom d’utilisateur lui–m&ecirc;me. Dans ce cas, le nom d’utilisateur est u8.
Lorsqu’il est converti en valeurs d&eacute;cimales, u8 devient 117.56. Parce que le nom
d’utilisateur a une longueur de 2 octets, la valeur repr&eacute;sentant le nom d’utilisateur
devient 2.117.56. Vous pouvez l’ajouter &agrave; la fin de l’ID moteur d&eacute;cimal (vous
trouverez une table de conversion dans Annexe E. Table de conversion page E-1).
Dans ce cas, le r&eacute;sultat est 12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56.
– La valeur suivante de la commande est la nouvelle cl&eacute; d’authentification g&eacute;n&eacute;r&eacute;e &agrave;
l’aide de la commande pwchange dans l’&eacute;tape pr&eacute;c&eacute;dente.
1-20
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarque :
Si des cl&eacute;s de confidentialit&eacute; sont &eacute;galement configur&eacute;es pour
l’utilisateur, cette proc&eacute;dure soit &ecirc;tre r&eacute;it&eacute;r&eacute;e pour leur mise &agrave; jour.
Lors de la mise &agrave; jour des cl&eacute;s de confidentialit&eacute;, utilisez la valeur
usmUserPrivKeyChange &agrave; la place de la valeur
usmUserAuthKeyChange.
L’utilisation de usmUserOwnAuthKeyChange au lieu de
usmUserAuthKeyChange permet &agrave; l’utilisateur de modifier sa propre cl&eacute;
d’authentification. Par exemple, l’utilisateur u4 peut modifier sa propre cl&eacute;
d’authentification avec usmUserOwnAuthKeyChange.
La sortie de la commande est la suivante :
1.3.6.1.6.3.15.1.2.2.1.6.12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56 =
’8173701d7c00913af002a3379
d4b150af9566f56a4dbde21dd778bb166a862494aa3a477e3b96e7d’h
Une fois la commande termin&eacute;e, le fichier /etc/snmpdv3.conf est automatiquement mis
&agrave; jour, au bout de 5 minutes, c&ocirc;t&eacute; agent SNMP. Vous pouvez &eacute;galement arr&ecirc;ter puis
d&eacute;marrer le d&eacute;mon SNMP pour mettre &agrave; jour le fichier. L’entr&eacute;e suivant pour l’utilisateur
u8 est mise &agrave; jour dynamiquement dans le fichier /etc/snmpdv3.conf :
USM_USER u8 000000020000000009039531 HMAC–SHA
4be657b3ae92beee322ee5eaeef665b338caf2d9
None – L nonVolatile
3. C&ocirc;t&eacute; gestionnaire SNMP, lancez la commande pwtokey pour g&eacute;n&eacute;rer la nouvelle cl&eacute;
d’authentification sur la base du nouveau mot de passe &agrave; placer dans le fichier
/etc/clsnmp.conf. Dans ce sc&eacute;nario, la commande suivante est ex&eacute;cut&eacute;e :
pwtokey –u auth –p HMAC–SHA
newpassword 9.3.149.49
– –u auth pr&eacute;cise que seule une cl&eacute; d’authentification sera cr&eacute;&eacute;e.
Si vous mettez &agrave; jour les cl&eacute;s de confidentialit&eacute; &eacute;galement, indiquez –u all.
– –p HMAC–SHA indique le protocole qui sera utilis&eacute; pour cr&eacute;er la cl&eacute;
d’authentification. Si vous mettez &agrave; jour les cl&eacute;s de confidentialit&eacute; &eacute;galement,
indiquez –p all.
– Le mot de passe utilis&eacute; (dans ce cas newpassword) doit &ecirc;tre le m&ecirc;me que le mot de
passe utilis&eacute; lors de la g&eacute;n&eacute;ration de nouvelles cl&eacute;s d’authentification avec la
commande pwchange.
– L’adresse IP utilis&eacute;e (dans le cas pr&eacute;sent, 9.3.149.49) doit &ecirc;tre celle o&ugrave; s’ex&eacute;cute
l’agent.
Le r&eacute;sultat donne les cl&eacute;s d’authentification localis&eacute;es et non localis&eacute;es :
Affichage de la cl&eacute; d’authentification 20 octets HMAC–SHA authKey :
79ce23370c820332a7f2c7840c3439d12826c10d
Affichage de la cl&eacute; d’authentification localis&eacute;e 20 octets HMAC–SHA
localized authKey :
b07086b278163a4b873aace53a1a9ca250913f91
4. Ouvrez le fichier /etc/clsnmp.conf avec l’&eacute;diteur de votre choix et placez la cl&eacute;
d’authentification non localis&eacute;e sur la ligne correspondant &agrave; l’utilisateur dont les cl&eacute;s
sont mises &agrave; jour. Dans le pr&eacute;sent sc&eacute;nario, l’entr&eacute;e est la suivante :
testu8 9.3.149.49 snmpv3 u8 – – AuthNoPriv HMAC–SHA
79ce23370c820332a7f2c7840c3439d12826c10d – –
Enregistrez, puis fermez le fichier.
5. Testez la configuration mise &agrave; jour en ex&eacute;cutant la commande suivante :
clsnmp –v –h testu8 walk
mib
o&ugrave; mib est une variable MIB &agrave; laquelle l’utilisateur u8 a un acc&egrave;s en lecture.
Dans ce cas, l’utilisateur u8 a acc&egrave;s &agrave; Internet.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-21
Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique
La cr&eacute;ation d’alias locaux pour la messagerie &eacute;lectronique permet de cr&eacute;er des groupes
ou des listes de distribution auxquels du courrier peut &ecirc;tre envoy&eacute;.
Dans ce sc&eacute;nario, geo@medussa, mark@zeus, ctw@athena, and dsf@plato sont ajout&eacute;s
&agrave; l’alias de messagerie testers. Une fois l’alias testers cr&eacute;&eacute;, glenda@hera re&ccedil;oit la
propri&eacute;t&eacute; de l’alias.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Une fois l’alias testers ajout&eacute; au fichier /etc/mail/aliases, la base de donn&eacute;es des alias
est recompil&eacute;e &agrave; l’aide de la commande sendmail. Une fois la base de donn&eacute;es
recompil&eacute;e, des messages &eacute;lectroniques peuvent &ecirc;tre envoy&eacute;s &agrave; l’alias testers.
1. Ouvrez le fichier /etc/mail/aliases sous votre &eacute;diteur favori.
2. Sur une ligne vierge, ajoutez un nom d’alias suivi de deux points (:) et d’une liste de
destinataires s&eacute;par&eacute;s par une virgule. Par exemple, l’entr&eacute;e suivante d&eacute;finit l’alias
testers :
testers: geo@medussa, mark@zeus, ctw@athena, dsf@plato
3. Cr&eacute;ez le propri&eacute;taire de l’alias. Si la commande sendmail ne parvient pas &agrave; envoyer
du courrier &agrave; l’alias, elle envoie un message d’erreur au propri&eacute;taire.
Ajoutez une ligne dans /etc/mail/aliases pour indiquer le propri&eacute;taire. Le format de cette
ligne est owner– groupname: owner, o&ugrave; groupname est le nom de l’alias et owner
l’adresse &eacute;lectronique du propri&eacute;taire. Dans cet exemple, glenda@hera est d&eacute;fini
comme le propri&eacute;taire de l’alias testers :
testers: geo@medussa, mark@zeus, ctw@athena, dsf@plato
owner–testers: glenda@hera
4. Une fois l’alias cr&eacute;&eacute;, ex&eacute;cutez la commande sendmail –bi pour recompiler la base
de donn&eacute;es des alias. Vous devez ex&eacute;cuter cette commande &agrave; chaque fois que vous
mettez &agrave; jour le fichier /etc/mail/aliases.
Vous pouvez maintenant envoyer des messages &agrave; l’alias testers.
1-22
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration des serveurs de nom de domaine
Dans ce sc&eacute;nario, un serveur de noms ma&icirc;tre, un serveur de noms esclave et un serveur
de noms d’indice est configur&eacute; pour effectuer une r&eacute;solution de noms. Chaque serveur de
noms est une machine distincte et pour chacun, un fichier /etc/named.conf est configur&eacute;,
m&ecirc;me si les informations de chacun sont diff&eacute;rentes. Le fichier /etc/named.conf est lu
chaque fois que le d&eacute;mon named est d&eacute;marr&eacute;. Il indique le type du serveur
(ma&icirc;tre, esclave, indice) et l’endroit o&ugrave; il obtient ses donn&eacute;es de r&eacute;solution de noms.
Chacun de ces serveurs de noms ex&eacute;cute BIND 8.
Le serveur de noms ma&icirc;tre est configur&eacute; pour fournir une r&eacute;solution de noms pour la zone
abc.aus.century.com. Dans ce sc&eacute;nario, l’adresse IP du serveur de noms ma&icirc;tre est
192.9.201.1, et son nom h&ocirc;te est venus.abc.aus.century.com. Il fournit une
r&eacute;solution de noms pour les noms h&ocirc;te venus, earth, mars, et jupiter. Le fichier
/etc/named.conf est configur&eacute; pour indiquer que le d&eacute;mon named doit rechercher les
fichiers de donn&eacute;es dans le r&eacute;pertoire /usr/local/domain. Les fichiers de donn&eacute;es qui
seront configur&eacute;s pour le serveur de noms ma&icirc;tre sont named.ca, named.abc.local,
named.abc.data, et named.abc.rev.
Un serveur de noms esclave est alors configur&eacute;. Le nom h&ocirc;te du serveur de noms esclave
est earth.abc.aus.century.com, et son adresse IP est 192.9.201.5. Dans le fichier
/etc/named.conf du serveur de noms esclave, nous indiquons l’adresse du serveur de
noms ma&icirc;tre de fa&ccedil;on &agrave; ce que le serveur de noms esclave puisse r&eacute;pliquer les fichiers
named.abc.data et named.abc.rev du serveur de noms ma&icirc;tre. En outre, les fichiers de
donn&eacute;es named.ca et named.abc.local sont configur&eacute;s pour ce serveur.
Un serveur de noms d’indices est alors configur&eacute;. Le serveur de noms d’indices stocke une
cache locale contenant le nom h&ocirc;te et les &eacute;quivalences d’adresses. Si une adresse ou un
nom h&ocirc;te demand&eacute; ne se trouve pas dans sa cache, le serveur d’indices contacte le
serveur de noms ma&icirc;tre, obtient les informations de r&eacute;solution et les ajoute &agrave; sa cache.
En outre, les fichiers de donn&eacute;es named.ca et named.abc.local sont configur&eacute;s pour ce
serveur.
Toutes les informations des fichiers de donn&eacute;es named (pas le fichier /etc/named.conf)
des serveurs de noms doivent avoir le format Standard Resource Record Format. Pour
plus de d&eacute;tails sur les informations contenues dans les fichiers de donn&eacute;es named,
reportez–vous &agrave; Standard Resource Record Format for TCP/IP dans le manuel AIX 5L
Version 5.3 Files Reference
L’administrateur de chacun des serveurs de noms est
gail.zeus.abc.aus.century.com. Ceci est indiqu&eacute; dans les fichiers de donn&eacute;es
locaux de chaque serveur de noms. En outre, dans ce sc&eacute;nario, le serveur de noms racine
est relay.century.com, avec l’adresse IP 129.114.1.2.
A la fin de ce sc&eacute;nario, la r&eacute;solution de noms est fournie pour les h&ocirc;tes venus, earth, mars,
et jupiter. En outre, une r&eacute;solution de noms inverse (adresse IP en nom h&ocirc;te) est fournie.
Lorsqu’une demande impossible &agrave; r&eacute;soudre est re&ccedil;ue, le serveur de noms ma&icirc;tre contacte
relay.century.com pour trouver les informations requises.
El&eacute;ments &agrave; prendre en consid&eacute;ration
Les informations contenues dans ces instructions ont &eacute;t&eacute; test&eacute;es avec AIX 5.2.
Les r&eacute;sultats peuvent &ecirc;tre sensiblement diff&eacute;rents si vous utilisez une autre version
ou niveau de AIX.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-23
Etape 1. Configuration du serveur de noms ma&icirc;tre
1. Sur le serveur de noms ma&icirc;tre, ouvrez le fichier /etc/named.conf. S’il n’existe pas
de fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
Si vous choisissez de ne pas indiquer de r&eacute;pertoire, les fichiers de donn&eacute;es requis sont
recherch&eacute;s dans le r&eacute;pertoire /etc.
b. Pour stocker des donn&eacute;es d’enregistrement en dehors des zones d&eacute;finies, sp&eacute;cifiez
le nom du fichier de zone d’indices. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
zone ”.” IN {
type hint;
file ”named.ca”;
};
c. Ajoutez les strophes suivantes pour sp&eacute;cifier chaque zone, le type de serveur de
noms que vous configurez et le fichier de donn&eacute;es du domaine de votre serveur de
noms. Dans ce sc&eacute;nario, le serveur ma&icirc;tre des zones avant et inverse est le suivant :
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data”;
};
zone ”201.9.192.in–addr.arpa” in {
type master;
file ”named.abc.rev”;
};
d. D&eacute;finissez le nom du fichier named local. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Ouvrez le fichier /usr/local/domain/named.ca. Ajoutez les adresses des serveurs de
noms racine du domaine. Ce qui suit a &eacute;t&eacute; ajout&eacute; dans ce sc&eacute;nario :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
3. Ouvrez le fichier /usr/local/domain/named.abc.local. Ajoutez les informations
suivantes :
1-24
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live)
par d&eacute;faut. Ce qui suit a &eacute;t&eacute; ajout&eacute; dans ce sc&eacute;nario :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
(
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Ouvrez le fichier /usr/local/domain/named.abc.data. Ajoutez les informations
suivantes :
– La valeur de SOA (Start Of Authority) et les d&eacute;lais TTL (timetolive) par d&eacute;faut de
la zone. Cet article indique le d&eacute;but de la zone. Un seul article de SOA par zone est
autoris&eacute;. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
3600
;negative caching TTL
)
– Les enregistrements du serveur de noms de tous les serveurs de noms ma&icirc;tres de
la zone. Ins&eacute;rez une tabulation au d&eacute;but de la ligne. Le d&eacute;mon named remplace la
tabulation par le nom de zone :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
– Les informations de r&eacute;solution de noms en adresses pour tous les h&ocirc;tes dans la zone
d’autorit&eacute; du serveur de noms.
venus
earth
mars
jupiter
IN
IN
IN
IN
A
A
A
A
192.9.201.1
192.9.201.5
192.9.201.3
192.9.201.7
Ins&eacute;rez d’autres types d’entr&eacute;e : articles de nom canonique ou de serveur de noms
(facultatif). Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-25
5. Ouvrez le fichier /usr/local/domain/named.abc.rev. Ajoutez les informations suivantes :
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live) par
d&eacute;faut. Cet article indique le d&eacute;but de la zone. Un seul article de SOA par zone est
autoris&eacute; :
$TTL 3h
@
(
IN
;3 hour
SOA
venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– Les autres types d’entr&eacute;es, tels que les articles de serveur de noms. Si vous incluez
ces articles, ins&eacute;rez une tabulation au d&eacute;but de la ligne. Le d&eacute;mon named remplace
la tabulation par le nom de zone. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
– Des informations de r&eacute;solution adresse–nom sur tous les h&ocirc;tes &agrave; placer dans la zone
d’autorit&eacute; du serveur de noms.
1
5
3
7
IN
IN
IN
IN
PTR
PTR
PTR
PTR
venus.abc.aus.century.com.
earth.abc.aus.century.com.
mars.abc.aus.century.com.
jupiter.abc.aus.century.com.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
La pr&eacute;sence de ce fichier indique que l’h&ocirc;te doit utiliser un serveur de noms pour la
r&eacute;solution de noms.
7. Ajoutez l’entr&eacute;e suivante dans le fichier /etc/resolv.conf :
nameserver 127.0.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui–m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain abc.aus.century.com
Dans ce cas, abc.aus.century.com est le nom du domaine. Apr&egrave;s avoir &eacute;dit&eacute; le
fichier, enregistrez–le et fermez–le.
8. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
1-26
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Etape 2. Configuration du serveur de noms esclave
Pour configurer un serveur de noms esclave, utilisez la proc&eacute;dure suivante.
Editez une s&eacute;rie de fichiers puis utilisez SMIT pour d&eacute;marrer le d&eacute;mon named.
1. Sur le serveur de noms esclave, ouvrez le fichier /etc/named.conf. S’il n’existe pas
de fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
Si vous choisissez de ne pas indiquer de r&eacute;pertoire, le d&eacute;mon named recherche les
fichiers de donn&eacute;es requis dans le r&eacute;pertoire /etc.
b. Pour stocker des donn&eacute;es d’enregistrement en dehors des zones d&eacute;finies,
sp&eacute;cifiez le nom du fichier de zone d’indices pour le serveur de noms.
zone ”.” IN {
type hint;
file ”named.ca”;
};
c. Sp&eacute;cifiez les clauses de zone esclave. Chaque strophe comprend le type de zone,
un nom de fichier dans lequel le serveur de noms peut sauvegarder ses donn&eacute;es et
l’adresse IP du serveur de noms ma&icirc;tre, &agrave; partir duquel le serveur de noms ma&icirc;tre
peut r&eacute;pliquer ses fichiers de donn&eacute;es. Dans ce sc&eacute;nario, nous avons ajout&eacute; les
clauses de zone esclave suivantes :
zone ”abc.aus.century.com” IN {
type slave;
file ”named.abc.data.bak”;
masters { 192.9.201.1; };
};
zone ”201.9.192.in–addr.arpa” IN {
type slave;
file ”named.abc.rev.bak”;
masters { 192.9.201.1; };
};
d. Pour supporter l’adressage en boucle, indiquez une zone de type ma&icirc;tre avec comme
source le fichier named.abc.local, ainsi que le domaine dont le serveur de noms
est responsable.
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Editez le fichier /usr/local/domain/named.ca
Ce fichier contient le serveur d’adresses qui est le serveur de domaine racine du r&eacute;seau.
Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-27
3. Ouvrez le fichier /usr/local/domain/named.abc.local. Dans ce sc&eacute;nario,
ce qui suit a &eacute;t&eacute; ajout&eacute; :
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live)
par d&eacute;faut :
$TTL 3h
;3 hour
@ IN SOA earth.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
(
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone. Par exemple :
IN
&lt;tab&gt;
NS
earth.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
5. Ajoutez les lignes suivantes au fichier :
nameserver 127.0.0.1
domain abc.aus.century.com
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
1-28
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Etape 3. Configuration du serveur de noms d’indices
Pour configurer un serveur de noms d’indices ou de m&eacute;moire cache uniquement, suivez la
proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a recours &agrave; SMIT ou &agrave; la ligne de
commande pour d&eacute;marrer le d&eacute;mon named.
1. Sur le serveur de noms d’indices, ouvrez le fichier /etc/named.conf. S’il n’existe pas
de fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
b. Pour supporter l’adressage en boucle, indiquez une zone de type ma&icirc;tre avec comme
source le fichier named.abc.local, ainsi que le domaine dont le serveur de noms est
responsable. Dans cet exemple, le mot–cl&eacute; du r&eacute;pertoire d’options a &eacute;t&eacute; indiqu&eacute; dans
le fichier /etc/named.conf.
zone ”0.0.127.in–addr.arpa” IN {
type master;
file ”named.abc.local”;
};
c. Sp&eacute;cifiez le nom du fichier de zone de cache. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Editez le fichier /usr/local/domain/named.ca
Ce fichier contient l’adresse des serveurs de noms ”experts” pour le domaine racine
(root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
3. Editez le fichier /usr/local/domain/named.local. Dans ce sc&eacute;nario, les informations
suivantes ont &eacute;t&eacute; ajout&eacute;es :
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live)
par d&eacute;faut :
$TTL 3h
@
(
IN
;3 hour
SOA
venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
;serial
;refresh
;retry
;expire
;negative caching TTL
)
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-29
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
5. Ajoutez les lignes suivantes au fichier :
nameserver 127.0.0.1
domain abc.aus.century.com
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
1-30
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chapitre 2. Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
Ce chapitre pr&eacute;sente les concepts de base pour la compr&eacute;hension des syst&egrave;mes
en r&eacute;seau. Il est destin&eacute; &agrave; l’administrateur syst&egrave;me peu familiaris&eacute; avec les r&eacute;seaux.
Ceux qui ma&icirc;trisent d&eacute;j&agrave; ces concepts sous UNIX peuvent passer directement
au chapitre suivant.
Un r&eacute;seau est la combinaison d’un ou plusieurs ordinateurs interconnect&eacute;s.
Le r&eacute;seau physique regroupe les &eacute;l&eacute;ments mat&eacute;riels du r&eacute;seau (cartes, c&acirc;bles,
lignes t&eacute;l&eacute;phoniques, etc). Quant au r&eacute;seau logique, il comporte les &eacute;l&eacute;ments
logiciels et le mod&egrave;le conceptuel du r&eacute;seau.
Les concepts pr&eacute;sent&eacute;s sont les suivants :
• Fonctions de communication, page 2-2
• Pr&eacute;sentation des r&eacute;seaux, page 2-3
• R&eacute;seaux physiques, page 2-5
• Syst&egrave;mes et protocoles r&eacute;seau, page 2-6
• Communication avec d’autres syst&egrave;mes d’exploitation, page 2-8
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-1
Fonctions de communication
Les r&eacute;seaux offrent diverses fonctions de communication d&eacute;di&eacute;es aux applications et aux
utilisateurs. Ils permettent par exemple aux utilisateurs d’effectuer les t&acirc;ches suivantes :
• Envoi de courrier &eacute;lectronique (e–mail)
• Emulation d’un terminal ou connexion &agrave; un autre ordinateur.
• Transfert de donn&eacute;es.
• Ex&eacute;cution de programmes r&eacute;sidant sur un nœud distant.
L’application de r&eacute;seau la plus r&eacute;pandue est la messagerie &eacute;lectronique, qui permet aux
utilisateurs d’&eacute;changer des messages. Les utilisateurs peuvent se trouver sur le m&ecirc;me
syst&egrave;me (dans ce cas un r&eacute;seau n’est pas n&eacute;cessaire), sur des syst&egrave;mes diff&eacute;rents situ&eacute;s
dans des immeubles diff&eacute;rents, voire des pays diff&eacute;rents.
Un r&eacute;seau de communication permet &eacute;galement &agrave; un syst&egrave;me d’en simuler un autre de
fa&ccedil;on &agrave; acc&eacute;der aux informations, comme s’il &eacute;tait un autre type d’ordinateur ou de terminal.
La connexion par le r&eacute;seau &agrave; un syst&egrave;me distant donne acc&egrave;s aux m&ecirc;mes programmes et
fichiers qu’avec une connexion locale sans r&eacute;seau.
La connexion par le r&eacute;seau &agrave; un syst&egrave;me distant donne acc&egrave;s aux m&ecirc;mes programmes et
fichiers qu’avec une connexion locale sans r&eacute;seau. Les donn&eacute;es sont transf&eacute;rables par le
r&eacute;seau d’un syst&egrave;me &agrave; un autre, qu’il s’agisse de fichiers, de r&eacute;pertoires ou de syst&egrave;mes de
fichiers complets. Elles peuvent &ecirc;tre sauvegard&eacute;es &agrave; distance et dupliqu&eacute;es sur plusieurs
machines pour parer aux d&eacute;faillances mat&eacute;rielles.
Il existe plusieurs protocoles permettant aux applications et aux utilisateurs d’un syst&egrave;me
d’appeler des proc&eacute;dures et des applications d’un autre syst&egrave;me, ce qui est utile pour
r&eacute;partir la charge des routines particuli&egrave;rement lourdes.
2-2
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Pr&eacute;sentation des r&eacute;seaux
La complexit&eacute; des r&eacute;seaux informatiques modernes a donn&eacute; lieu &agrave; plusieurs mod&egrave;les
conceptuels de r&eacute;seaux. Le plus connu est le mod&egrave;le de r&eacute;f&eacute;rence pour l’interconnexion
des syst&egrave;mes ouverts (OSI) propos&eacute; par l’organisation internationale de normalisation
(ISO), aussi appel&eacute; mod&egrave;le OSI en sept couches. Les sept couches du mod&egrave;le OSI
sont num&eacute;rot&eacute;es comme suit :
7
Application
6
Pr&eacute;sentation
5
Session
4
Transport
3
R&eacute;seau
2
Liaison
1
Physique
Les niveaux 1 &agrave; 3 sont propres aux r&eacute;seaux et varient en fonction du r&eacute;seau physique
utilis&eacute;. Les niveaux 4 &agrave; 7 couvrent les fonctions de haut niveau, ind&eacute;pendantes du r&eacute;seau.
Chacune de ces couches d&eacute;crit une fonction de communication sp&eacute;cifique et non un
protocole donn&eacute;. Les sept couches fonctionnent du niveau le plus bas (niveau machine)
au niveau le plus haut (le niveau auquel la plupart des &eacute;changes humains interviennent),
comme suit :
Application
Englobe les applications qui utilisent le r&eacute;seau.
Pr&eacute;sentation
Met en forme les donn&eacute;es pour les rendre coh&eacute;rentes pour les
applications.
Session
G&egrave;re les connexions entre les applications.
Transport
Assure l’acheminement des donn&eacute;es sans erreur.
R&eacute;seau
G&egrave;re les connexions aux autres machines du r&eacute;seau.
Liaison
Assure la transmission des donn&eacute;es &agrave; travers la couche physique
(qui, par nature, n’est pas fiable).
Physique
D&eacute;crit les supports physiques du r&eacute;seau. Par exemple, le c&acirc;ble &agrave;
fibre optique requis pour un r&eacute;seau FDDI (Fiber Distributed Data
Interface) fait partie de la couche physique.
Remarque :
Le mod&egrave;le de r&eacute;f&eacute;rence OSI, utile pour la pr&eacute;sentation conceptuelle,
n’est en pratique pas toujours scrupuleusement suivi par les protocoles
de r&eacute;seau. Par exemple, lors de la discussion du protocole TCP/IP, les
fonctions des couches Application et Pr&eacute;sentation peuvent &ecirc;tre combin&eacute;es,
de m&ecirc;me que les couches Session et Transport, ainsi que les couches
Liaison et Physique.
Chaque couche du mod&egrave;le OSI communique avec la couche &eacute;quivalente sur la machine
distante (cf. figure Mod&egrave;le de r&eacute;f&eacute;rence OSI). Elle transmet les donn&eacute;es uniquement aux
couches situ&eacute;es imm&eacute;diatement au-dessus ou au-dessous d’elle. Chaque couche
encapsule les informations h&eacute;rit&eacute;es des couches sup&eacute;rieures et ajoute ses propres
informations d’en-t&ecirc;te (et de fin pour la couche Liaison).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-3
Figure 1. Mod&egrave;le de r&eacute;f&eacute;rence OSI Cette illustration montre les diff&eacute;rents niveaux
de communication du Mod&egrave;le OSI d&eacute;crits dans le texte pr&eacute;c&eacute;dent.
Donn&eacute;es
7 Application
En–t&ecirc;te
6 Pr&eacute;sentation
5 Session
En–t&ecirc;te
En–t&ecirc;te
4 Transport
En–t&ecirc;te
3 R&eacute;seau
En–t&ecirc;te
2 Liaison
1 Physique
En–t&ecirc;te
Donn&eacute;es
Donn&eacute;es
Donn&eacute;es
Donn&eacute;es
Donn&eacute;es
Bas de page
Donn&eacute;es
Les r&eacute;seaux offrent nombre de possibilit&eacute;s aux entreprises et aux particuliers :
• Entr&eacute;e de donn&eacute;es,
• Recherche de donn&eacute;es,
• Soumission par lots &agrave; distance,
• Partage des ressources
• Partage des donn&eacute;es,
• Courrier &eacute;lectronique.
Une entr&eacute;e de donn&eacute;es correspond &agrave; une importation de donn&eacute;es directement dans des
fichiers de donn&eacute;es locaux ou distants. Par l&agrave;-m&ecirc;me, les risques d’&eacute;chec ou d’erreur li&eacute;s
&agrave; un transfert en plusieurs &eacute;tapes sont r&eacute;duits. La recherche des donn&eacute;es consiste &agrave;
examiner des fichiers de donn&eacute;es pour obtenir des informations particuli&egrave;res. Leur mise &agrave;
jour consiste &agrave; modifier, ajouter ou supprimer des informations stock&eacute;es dans des fichiers
locaux ou distants. La soumission par lots &agrave; distance consiste &agrave; entrer &agrave; distance des trains
de donn&eacute;es trait&eacute;s le plus souvent durant la nuit ou une p&eacute;riode de faible activit&eacute;. Pour
toutes ces fonctions, les communications et r&eacute;seaux se r&eacute;v&egrave;lent non seulement
souhaitables mais aussi indispensables.
Les r&eacute;seaux autorisent &eacute;galement le partage des ressources : donn&eacute;es, programmes,
espace de stockage et p&eacute;riph&eacute;riques (tels que les imprimantes, les modems, les terminaux
et les disques inamovibles). Cette particularit&eacute; accro&icirc;t &agrave; la fois la rentabilit&eacute; du syst&egrave;me
(p&eacute;riph&eacute;riques partag&eacute;s) et sa fonctionnalit&eacute; (une seule copie des programmes et fichiers,
&eacute;vitant ainsi tout probl&egrave;me de coh&eacute;rence inh&eacute;rent aux copies multiples).
2-4
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
R&eacute;seaux physiques
Le r&eacute;seau physique est constitu&eacute; par l’ensemble des c&acirc;bles (coaxiaux, &agrave; paire torsad&eacute;e,
optiques ou t&eacute;l&eacute;phoniques) qui relient les unit&eacute;s mat&eacute;rielles, les cartes des syst&egrave;mes h&ocirc;tes
raccord&eacute;s et les &eacute;ventuels concentrateurs, r&eacute;p&eacute;teurs, routeurs et ponts utilis&eacute;s sur le
r&eacute;seau. (Le terme h&ocirc;te est employ&eacute; dans le sens d’ordinateur connect&eacute; au r&eacute;seau.)
Les r&eacute;seaux physiques varient en fonction de leur taille et du type de mat&eacute;riel qui les
composent. On distingue g&eacute;n&eacute;ralement les r&eacute;seaux locaux (LAN) des r&eacute;seaux longue
distance (WAN). Un r&eacute;seau local couvre une zone g&eacute;ographiquement r&eacute;duite (1 &agrave; 10 km),
comme par exemple un immeuble de bureaux, un entrep&ocirc;t, un campus, par opposition au
r&eacute;seau longue distance (WAN) qui dessert une zone plus vaste (pays, continent, etc.) Un
r&eacute;seau longue distance (WAN) fournit des communications de donn&eacute;es dans une zone plus
vaste (pays, continent, etc.) que celle desservie par un r&eacute;seau local (LAN). Un mod&egrave;le
interm&eacute;diaire de r&eacute;seau existe &eacute;galement, appel&eacute; metropolitan area networks (MAN).
Dans ce guide, les r&eacute;seaux MAN sont g&eacute;n&eacute;ralement englob&eacute;s dans les r&eacute;seaux WAN.
Les r&eacute;seaux locaux utilisent g&eacute;n&eacute;ralement des &eacute;quipements Ethernet standard,
IEEE 802.3 ou en anneau &agrave; jeton, et les r&eacute;seaux longue distance et asynchrones utilisent
les moyens de communication fournis par les entreprises de t&eacute;l&eacute;communications.
Dans les deux cas, les op&eacute;rations effectu&eacute;es sur le r&eacute;seau physique sont g&eacute;n&eacute;ralement
soumises &agrave; des normes de communications r&eacute;seau telles que l’EIA (Electronics Industry
Association) ou l’ITU (International Telecommunication Union).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-5
Syst&egrave;mes r&eacute;seau et protocoles
Toute communication sur un r&eacute;seau requiert un support mat&eacute;riel et logiciel. Le mat&eacute;riel est
l’&eacute;quipement physique connect&eacute; au r&eacute;seau physique. Le logiciel regroupe les programmes
et les pilotes de p&eacute;riph&eacute;rique utilis&eacute;s pour l’exploitation d’un syst&egrave;me.
L’&eacute;quipement mat&eacute;riel d’un syst&egrave;me comprend les cartes et autres dispositifs qui donnent
acc&egrave;s ou font office d’interface entre la partie logicielle du syst&egrave;me et le r&eacute;seau physique.
Chacune de ces cartes doit &ecirc;tre install&eacute;e &agrave; un emplacement de carte d’entr&eacute;e/sortie (E/S)
sur le syst&egrave;me. D’autres dispositifs, tels que les modems, peuvent &ecirc;tre raccord&eacute;s &agrave; un port
standard de l’ordinateur.
Ces cartes sont compatibles avec les normes du r&eacute;seau physique (par exemple, EIA 232D,
Smartmodem, V.25 bis, EIA 422A, X.21 ou V.35) et avec les protocoles utilis&eacute;s (par
exemple, les protocoles SDLC, HDLC et bisynchrones). Le support logiciel, s’il n’est pas
int&eacute;gr&eacute; &agrave; la carte, est fourni par le pilote de la carte.
Protocoles
Tout logiciel de communication fait appel &agrave; un protocole (ou plusieurs), ensemble de r&egrave;gles
s&eacute;mantiques et syntaxiques qui d&eacute;finissent comment les unit&eacute;s fonctionnelles assurent la
communication : livraison de l’information, conditionnement des donn&eacute;es pour en assurer
l’int&eacute;grit&eacute; jusqu’&agrave; destination, et chemin d’acc&egrave;s. Les protocoles se chargent &eacute;galement de
coordonner le flux de messages et leur acquittement.
Les protocoles interviennent &agrave; diff&eacute;rents niveaux du noyau et ne peuvent &ecirc;tre manipul&eacute;s
directement. Leur activation s’effectue en fonction des programmes sollicit&eacute;s par l’utilisateur
au niveau de l’interface de programmation d’application (API) lors de l’ex&eacute;cution des t&acirc;ches
(transfert de fichiers, connexion &agrave; distance, &eacute;mulation de terminal, etc.).
Adresses
Les adresses associ&eacute;es &agrave; la fois au logiciel et au mat&eacute;riel, indiquent &agrave; la station exp&eacute;ditrice
ou au poste de contr&ocirc;le comment identifier la station du destinataire : elles permettent de
localiser les emplacements de stockage et de r&eacute;ception. Une adresse physique est un code
unique attribu&eacute; &agrave; chaque unit&eacute; ou station connect&eacute;e &agrave; un r&eacute;seau.
Par exemple, sur un r&eacute;seau en anneau &agrave; jeton, la commande netstat –iv affiche l’adresse
de la carte d&eacute;di&eacute;e &agrave; ce type de r&eacute;seau. Il s’agit de l’adresse physique. La commande
netstat –iv procure &eacute;galement des informations d’adressage au niveau de l’utilisateur et de
la classe. Les adresses sont souvent d&eacute;finies par le logiciel, mais il arrive qu’elles soient
cr&eacute;&eacute;es &eacute;galement par l’utilisateur.
Domaines
Li&eacute;e au concept d’adresse, la notion de domaine est commune &agrave; un grand nombre de
r&eacute;seaux de communication. La structure d’Internet, par exemple, illustre comment les
domaines d&eacute;finissent l’adresse IP (Internet Protocol). Internet est un r&eacute;seau extensif qui
regroupe de nombreux r&eacute;seaux de moindre envergure. Les adresses Internet sont
structur&eacute;es hi&eacute;rarchiquement en domaines pour faciliter le routage et l’adressage.
Au sommet de la structure se trouvent les cat&eacute;gories les plus g&eacute;n&eacute;rales, par exemple com
pour le secteur commercial, edu pour le secteur de l’enseignement et gov.
Le domaine com est divis&eacute; en domaines plus restreints correspondant aux entreprises
individuelles, ibm, par exemple. Ce domaine ibm.com est &agrave; son tour divis&eacute; en
sous-domaines qui, cette fois, correspondent aux adresses Internet des divers sites, par
exemple austin.ibm.com ou raleigh.ibm.com. C’est &agrave; ce niveau que commencent &agrave;
appara&icirc;tre le nom des h&ocirc;tes. Dans ce contexte, les h&ocirc;tes sont les ordinateurs connect&eacute;s au
r&eacute;seau. Par exemple, le domaine austin.ibm.com peut comporter les syst&egrave;mes hamlet
et lear, aux adresses respectives hamlet.austin.ibm.com et
lear.austin.ibm.com.
2-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Passerelles et ponts
Le r&eacute;seau Internet regroupe une grande vari&eacute;t&eacute; de r&eacute;seaux faisant intervenir divers
mat&eacute;riels et logiciels. La communication entre ces r&eacute;seaux h&eacute;t&eacute;rog&egrave;nes s’effectue par le
biais de passerelles et de ponts. Un pont est une unit&eacute; fonctionnelle qui relie deux r&eacute;seaux
locaux pouvant utiliser la m&ecirc;me proc&eacute;dure de contr&ocirc;le de liaison logique (LLC), Ethernet
par exemple, mais des proc&eacute;dures de contr&ocirc;le d’acc&egrave;s au support (MAC) diff&eacute;rentes. La
passerelle couvre un champ plus large : elle intervient au–dessus de la couche Liaison et
assure, s’il y a lieu, la conversion des protocoles et des interfaces pour permettre &agrave; deux
protocoles de communiquer entre eux. Elle permet le transfert des donn&eacute;es &agrave; travers les
divers r&eacute;seaux qui composent Internet.
Routage
L’utilisation de noms de domaines pour l’adressage et de passerelles pour le transfert
facilite grandement le routage, op&eacute;ration qui consiste &agrave; d&eacute;finir le parcours d’un message
jusqu’&agrave; sa destination. En effet, c’est le nom du domaine qui d&eacute;finit la destination : dans un
r&eacute;seau &eacute;tendu comme Internet, l’information est achemin&eacute;e d’un r&eacute;seau de communication
au suivant jusqu’&agrave; destination. Chacun des r&eacute;seaux v&eacute;rifie le nom du domaine en fonction
de ceux qu’il conna&icirc;t et achemine l’information, jusqu’&agrave; l’extr&eacute;mit&eacute; logique suivante. Ainsi,
chaque r&eacute;seau par lequel les donn&eacute;es transitent participe au processus de routage.
Noeud local et noeud distant
Un r&eacute;seau physique est utilis&eacute; par les syst&egrave;mes h&ocirc;tes qui y r&eacute;sident. Chacun de ces
syst&egrave;mes h&ocirc;tes est un noeud sur le r&eacute;seau. C’est-&agrave;-dire un point adressable du r&eacute;seau qui
offre des services de traitement h&ocirc;te. L’intercommunication entre ces diff&eacute;rents nœuds
engendre les notions de local et de distant. Local s’applique aux unit&eacute;s, fichiers ou
syst&egrave;mes directement accessibles &agrave; partir de votre syst&egrave;me, sans recourir &agrave; une ligne de
communication. Distant s’applique aux unit&eacute;s, fichiers ou syst&egrave;mes accessibles &agrave; partir de
votre syst&egrave;me via une ligne de communication. En effet, les fichiers locaux sont implant&eacute;s
sur votre syst&egrave;me alors que les fichiers distants r&eacute;sident sur un serveur de fichiers ou un
autre noeud accessible via un r&eacute;seau physique, par exemple, un r&eacute;seau Ethernet, un
r&eacute;seau en anneau &agrave; jeton ou des lignes t&eacute;l&eacute;phoniques.
Client et serveur
Les concepts de client et de serveur sont li&eacute;s aux notions de ”local” et de ”distant”. Un
serveur est un ordinateur qui contient des donn&eacute;es ou fournit des services accessibles aux
autres ordinateurs du r&eacute;seau. Les types de serveur les plus courants sont les serveurs de
fichiers dans lesquels sont stock&eacute;s des fichiers, les serveurs de noms qui stockent les noms
et adresses, les serveurs d’application qui stockent les programmes et applications et les
serveurs d’impression, qui planifient et dirigent les travaux d’impression vers leur
destination.
Un client est un ordinateur qui sollicite des services ou des donn&eacute;es aupr&egrave;s d’un serveur.
Par exemple, un client peut demander un code de programme mis &agrave; jour ou une application
aupr&egrave;s d’un serveur de code. Pour obtenir un nom ou une adresse, le client contacte un
serveur de noms. Un client peut &eacute;galement interroger un serveur de fichiers pour retrouver
des fichiers et des donn&eacute;es, et effectuer des op&eacute;rations (saisie de donn&eacute;es, recherches,
mise &agrave; jour d’articles).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-7
Communication avec d’autres syst&egrave;mes d’exploitation
Un r&eacute;seau peut relier divers types d’ordinateurs (mod&egrave;les ou constructeurs h&eacute;t&eacute;rog&egrave;nes).
Des programmes de communication sont alors utilis&eacute;s pour pallier les disparit&eacute;s entre les
syst&egrave;mes d’exploitation install&eacute;s sur ces machines.
Parfois, ces programmes n&eacute;cessitent l’installation pr&eacute;alable d’un autre programme sur le
r&eacute;seau. Certains programmes peuvent n&eacute;cessiter la pr&eacute;sence sur le r&eacute;seau d’un autre
programme ou de protocoles de connexion (tels que TCP/IP ou SNA).
Par exemple, avec AIX 4.3.2 et les versions sup&eacute;rieures, AIX Fast Connect permet aux
clients PC d’acc&eacute;der aux fichiers du syst&egrave;me d’exploitation et aux imprimantes &agrave; l’aide du
logiciel r&eacute;seau client du PC natif. Les utilisateurs PC peuvent acc&eacute;der directement aux
syst&egrave;mes de fichiers distants &agrave; partir de leurs machines comme si ces fichiers &eacute;taient
sauvegard&eacute;s en local. De plus, ils peuvent lancer des t&acirc;ches d’impression sur des
imprimantes utilisant le syst&egrave;me de spoulage, visualiser celles qui sont disponibles et
configurer une imprimante en r&eacute;seau. Pour plus d’informations sur AIX Fast Connect,
reportez–vous au Guide AIX Fast Connect Version 3.1.
2-8
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chapitre 3. Messagerie &eacute;lectronique
La messagerie fournit un outil d’&eacute;change du courrier &eacute;lectronique (e–mail) entre les
utilisateurs d’un m&ecirc;me syst&egrave;me ou de syst&egrave;mes distincts connect&eacute;s via un r&eacute;seau.
Ce chapitre d&eacute;crit le syst&egrave;me de messagerie, l’interface utilisateur standard, et les
protocoles IMAP (Internet Message Access Protocol) et POP (Post Office Protocol).
La messagerie, outil de livraison de messages interr&eacute;seau, comprend une interface
utilisateur, un programme de routage et un programme de livraison des messages
(aussi appel&eacute; programme facteur). L’acheminement des messages est assur&eacute; entre
deux utilisateurs d’un m&ecirc;me syst&egrave;me h&ocirc;te ou de syst&egrave;mes h&ocirc;tes ou r&eacute;seaux diff&eacute;rents.
L’outil comporte &eacute;galement une fonction d’&eacute;dition limit&eacute;e pour pr&eacute;senter les en-t&ecirc;tes dans
un format reconnu par l’h&ocirc;te r&eacute;cepteur.
Une interface utilisateur permet aux utilisateurs de cr&eacute;er, envoyer et recevoir des
messages. La messagerie propose deux interfaces : mail et mhmail. La commande mail
est l’interface utilisateur standard des syst&egrave;mes UNIX. La commande mhmail est l’interface
utilisateur du gestionnaire de message (MH). Plus &eacute;volu&eacute;e, cette derni&egrave;re s’adresse aux
utilisateurs chevronn&eacute;s.
Un programme de routage des messages sert &agrave; acheminer les messages jusqu’&agrave;
destination. Dans la messagerie pr&eacute;sent&eacute;e ici, il s’agit du programme sendmail. Ce
programme, int&eacute;gr&eacute; au syst&egrave;me d’exploitation de base (BOS), est install&eacute; avec ce dernier.
Sendmail est un d&eacute;mon qui utilise les informations des fichiers /etc/mail/sendmail.cf et
/etc/mail/aliases pour effectuer le routage n&eacute;cessaire.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les fichiers sendmail.cf et aliases
sont respectivement situ&eacute;s dans /etc/sendmail.cf et /etc/mail/aliases.
En fonction de la route, la commande sendmail fait appel &agrave; diff&eacute;rents programmes facteur
pour livrer les messages.
Mail
3-1
Figure 2. Programmes facteur utilis&eacute;s par la commande Sendmail Cette illustration
repr&eacute;sente un type d’organigramme structur&eacute; du haut vers le bas avec la messagerie et MH
en haut. Il en part des branches correspondant &agrave; bellmail, BNU et SMTP. Sous le niveau
pr&eacute;c&eacute;dent se trouvent respectivement la bo&icirc;te aux lettres locale, la liaison UUCP et la
liaison TCP/IP. Sous la liaison UUCP et sous la liaison TCP/IP se trouvent des bo&icirc;tes aux
lettres distantes.
Mail
MH
sendmail
bellmail
BNU
SM TP
local
bo&icirc;te aux lettres
UUCP
liaison
TCP/IP
liaison
distant
bo&icirc;te aux lettres
distant
bo&icirc;te aux lettres
Comme l’illustre la figure :
• Pour acheminer un courrier local, le programme sendmail achemine les messages au
programme bellmail. Le programme bellmail transmet le courrier au syst&egrave;me local,
dans la bo&icirc;te aux lettres syst&egrave;me de l’utilisateur, situ&eacute;e dans le r&eacute;pertoire
/var/spool/mail.
• Pour acheminer le courrier via une liaison r&eacute;seau UUCP, le programme sendmail
achemine les messages &agrave; l’aide de BNU (Basic Network Utilities).
• Pour transmettre un courrier via TCP/IP, la commande sendmail &eacute;tablit une connexion
TCP/IP au syst&egrave;me distant et utilise le protocole SMTP (Simple Mail Transfer Protocol)
pour effectuer le transfert.
3-2
System Management Guide: Communications and Networks
Gestion du courrier
L’administrateur du courrier est responsable de l’ex&eacute;cution des t&acirc;ches suivantes :
1. Pour que sendmail soit ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me, configurez le fichier
/etc/rc.tcpip comme suit. Reportez–vous &agrave; Configuration du fichier /etc/rc.tcpip pour
lancer le d&eacute;mon sendmail, page 3-3.
2. Personnaliser le fichier de configuration /etc/mail/sendmail.cf. Le fichier par d&eacute;faut
/etc/mail/sendmail.cf est configur&eacute; pour permettre la livraison du courrier local et du
courrier TCP/IP. Le fichier /etc/mail/sendmail.cf doit &ecirc;tre personnalis&eacute; pour pouvoir
acheminer le courrier via une liaison BNU. Pour plus d’informations, reportez–vous au
Fichier sendmail.cf dans les R&eacute;f&eacute;rences fichiers AIX 5L Version 5.3.
3. D&eacute;finir les alias de courrier aux niveaux syst&egrave;me et domaine dans le fichier
/etc/mail/aliases. Pour plus d’informations, reportez–vous &agrave; Gestion des alias courrier,
page 3-4.
4. G&eacute;rer les files d’attente de messages. Pour plus d’informations, reportez–vous &agrave; Gestion
des fichiers et r&eacute;pertoires de file d’attente courrier, page 3-6.
5. G&eacute;rer le journal des messages. Pour plus d’informations, reportez–vous &agrave; Gestion de
journalisation, page 3-11.
Configuration du fichier /etc/rc.tcpip pour lancer le d&eacute;mon sendmail
Pour que sendmail soit ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me, configurez le fichier /etc/rc.tcpip
comme suit :
1. Modifiez le fichier /etc/rc.tcpip avec l’&eacute;diteur de votre choix.
2. Recherchez la ligne introduite par start /usr/lib/sendmail. Par d&eacute;faut, cette ligne ne doit
pas &ecirc;tre en commentaire, c’est-&agrave;-dire pr&eacute;c&eacute;d&eacute;e du signe #. Si ce signe figure en d&eacute;but
de ligne, supprimez-le.
3. Sauvegardez le fichier.
Le d&eacute;mon sendmail sera ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me.
Mail
3-3
Gestion des alias
Les alias mettent en correspondance des noms et des listes d’adresses par le biais de
fichiers personnels, syst&egrave;me ou domaine. Il existe trois types d’alias :
personnel
D&eacute;fini par l’utilisateur dans son fichier $HOME/.mailrc.
syst&egrave;me
local
D&eacute;fini par l’administrateur du syst&egrave;me de messagerie dans le fichier
/etc/mail/aliases. Les alias de ce type s’appliquent au courrier trait&eacute; par le
programme sendmail sur le syst&egrave;me local. Ils ont rarement besoin d’&ecirc;tre
modifi&eacute;s.
domaine
Par d&eacute;faut, le programme sendmail lit /etc/alias pour convertir les alias.
Pour effacer les param&egrave;tres par d&eacute;faut et utiliser NIS, modifiez ou cr&eacute;ez la
commande /etc/netsvc.conf et ajoutez la ligne :
aliases=nis
Fichier /etc/mail/aliases
Le fichier /etc/mail/aliases se compose d’une s&eacute;rie d’entr&eacute;es au format suivant :
Alias:
Nom1 , Nom2 , ...
NomX
Alias &eacute;tant une cha&icirc;ne alphanum&eacute;rique de votre choix (sans caract&egrave;res sp&eacute;ciaux, tels
que @ et !). Les variables Nom1 &agrave; NomX repr&eacute;sentent une liste de noms de destinataires.
Cette liste de noms peut s’&eacute;tendre sur plusieurs lignes. Chaque ligne de suite doit
commencer par un espace ou une tabulation. Les lignes blanches ou pr&eacute;c&eacute;d&eacute;es d’un di&egrave;se
(#) sont des commentaires.
Le fichier /etc/mail/aliases doit comporter les trois alias suivants :
MAILER-DAEMON
ID de l’utilisateur destinataire des messages adress&eacute;s au d&eacute;mon du
programme facteur. Ce nom est attribu&eacute; initialement &agrave; l’utilisateur
racine :
MAILER-DAEMON: root
postmaster
ID de l’utilisateur charg&eacute; de l’exploitation de la messagerie locale.
L’alias postmaster d&eacute;finit une adresse de bo&icirc;te aux lettres unique
valable sur chaque syst&egrave;me du r&eacute;seau. Cette adresse permet
d’envoyer des requ&ecirc;tes &agrave; l’alias postmaster &agrave; partir de n’importe
quel syst&egrave;me, sans conna&icirc;tre l’adresse exacte de l’utilisateur sur ce
syst&egrave;me. Ce nom est attribu&eacute; initialement &agrave; l’utilisateur racine :
postmaster: root
nobody
ID destinataire des messages adress&eacute;s aux programmes tels que
news et msgs. Ce nom est attribu&eacute; initialement &agrave; /dev/null :
nobody: /dev/null
Pour recevoir ces messages, d&eacute;clarez l’alias comme utilisateur
valide.
A chaque modification du fichier, vous devez le recompiler dans un format de base de
donn&eacute;es exploitable par la commande sendmail. Reportez–vous &agrave; Cr&eacute;ation d’une base de
donn&eacute;es d’alias, page 3-5.
3-4
System Management Guide: Communications and Networks
Cr&eacute;ation d’alias de syst&egrave;me local
Pour obtenir des instructions pas &agrave; pas sur la cr&eacute;ation d’un local system alias,
reportez–vous &agrave; Cr&eacute;er un alias local de messagerie, page 1-22.
Cr&eacute;ation d’une base de donn&eacute;es d’alias
La commande sendmail n’utilise pas directement les d&eacute;finitions d’alias dans le fichier
/etc/mail/aliases du syst&egrave;me local. Elle fait appel &agrave; une version de ce fichier g&eacute;n&eacute;r&eacute;e par le
gestionnaire de base de donn&eacute;es. Pour compiler la base de donn&eacute;es d’alias, vous avez le
choix entre les m&eacute;thodes suivantes :
• Lancez la commande /usr/sbin/sendmail assortie de l’indicateur -bi.
• Ex&eacute;cutez la commande newaliases. Cette commande provoque la lecture, par
sendmail, du fichier /etc/mail/aliases du syst&egrave;me local et la cr&eacute;ation d’un nouveau
fichier contenant les informations de la base d’alias. Ce fichier est au format Berkeley,
plus efficace :
/etc/mail/aliases.db
(Les versions ant&eacute;rieures &agrave; AIX 5.1 cr&eacute;aient deux fichiers de bases de donn&eacute;es,
/etc/aliases.dir et /etc/aliases.pag.)
• Lancez la commande sendmail assortie de l’indicateur Rebuild Aliases. Cette
commande reconstruit automatiquement la base de donn&eacute;es d’alias lorsqu’elle est
p&eacute;rim&eacute;e. Le reconstruction automatique peut &ecirc;tre dangereuse sur des machines tr&egrave;s
charg&eacute;es, contenant de gros fichiers d’alias. Si la reconstruction dure plus longtemps que
le d&eacute;lai imparti (normalement, 5 minutes), il y a des chances que plusieurs processus la
lancent simultan&eacute;ment.
Remarques :
1. Sans ces fichiers, la commande sendmail ne peut pas traiter le courrier et g&eacute;n&egrave;re un
message d’erreur.
2. Si plusieurs bases de donn&eacute;es d’alias sont sp&eacute;cifi&eacute;es, l’indicateur -bi reconstruit tous les
types qu’il peut interpr&eacute;ter (il peut, par exemple, reconstruire les bases de donn&eacute;es
NDBM, et non les bases NIS).
Le fichier /etc/netsvc.conf contient l’ordonnancement des services syst&egrave;me. Pour sp&eacute;cifier
l’ordonnancement des services des alias, ajoutez la ligne suivante :
aliases=service, service
service pouvant &ecirc;tre files ou nis. Par exemple:
aliases=files, nis
Indique &agrave; la commande sendmail de tenter d’abord le fichier d’alias local puis, en cas
d’&eacute;chec, d’essayer nis. Si nis est d&eacute;fini comme un service, il doit &ecirc;tre actif.
Pour plus d’informations sur le fichier /etc/ netsvc.conf, reportez–vous &agrave; AIX 5L
Version 5.3 Files Reference.
Mail
3-5
Gestion des fichiers et r&eacute;pertoires de file d’attente courrier
La file d’attente courrier est un r&eacute;pertoire qui stocke des donn&eacute;es et g&egrave;re les files d’attente
de messages distribu&eacute;s par la commande sendmail. Son nom par d&eacute;faut est
/var/spool/mqueue.
Les messages peuvent &ecirc;tre mis en attente pour diverses raisons : si la commande
sendmail est configur&eacute;e pour ex&eacute;cuter la file d’attente &agrave; intervalles r&eacute;guliers et non
imm&eacute;diatement, les messages y sont stock&eacute;s temporairement. Par ailleurs, si un syst&egrave;me
h&ocirc;te distant ne r&eacute;pond pas &agrave; une demande de connexion courrier, la messagerie met les
messages en attente en vue d’une tentative ult&eacute;rieure.
Impression de la file d’attente courrier
Pour imprimer le contenu de la file d’attente, lancez la commande mailq
(ou sp&eacute;cifiez l’indicateur -bp avec la commande sendmail).
Une liste des ID de file d’attente est g&eacute;n&eacute;r&eacute;e, indiquant la taille de chaque
message, la date de son insertion dans la file et les noms d’exp&eacute;diteur et de
destinataire.
Fichiers de file d’attente courrier
Chaque message en attente est associ&eacute; &agrave; un certain nombre de fichiers, d&eacute;sign&eacute;s par :
TypefID
ID est l’ID unique de file d’attente et Type, le type du fichier symbolis&eacute; par une lettre :
d
Fichier de donn&eacute;es contenant le corps du texte du message sans l’en-t&ecirc;te.
q
Fichier de contr&ocirc;le de file d’attente contenant les informations utiles au traitement
du travail.
t
Fichier temporaire correspondant &agrave; l’image du fichier q lors de sa reconstitution.
Tr&egrave;s vite renomm&eacute; q.
x
Fichier de transcription cr&eacute;&eacute; pour la dur&eacute;e d’une session, dans lequel sont
consign&eacute;s tous les &eacute;v&eacute;nements de la session.
Par exemple, soit le message portant l’ID de file d’attente AA00269, les fichiers suivants
sont g&eacute;n&eacute;r&eacute;s et supprim&eacute;s du r&eacute;pertoire de file d’attente courrier pendant que sendmail
tente de livrer ce message :
3-6
dfAA00269
Fichier de donn&eacute;es
qfAA00269
Fichier de contr&ocirc;le
tfAA00269
Fichier temporaire
xfAA00269
Fichier de transcription
System Management Guide: Communications and Networks
Fichier de contr&ocirc;le q
Ce fichier contient une s&eacute;rie de lignes commen&ccedil;ant par les lettres suivantes :
B
Sp&eacute;cifie le body type. Le reste de la ligne est une cha&icirc;ne de texte d&eacute;finissant le
body type. En l’absence de ce champ, le body type est de 7 bits par d&eacute;faut et
aucun traitement particulier n’est entrepris. Valeurs possibles : 7BIT et 8BITMIME.
C
Contient l’adresse de contr&ocirc;le. Pour les adresses de destinataires constitu&eacute;es
d’un fichier ou d’un programme, sendmail se comporte comme le propri&eacute;taire du
fichier ou du programme. L’utilisateur de contr&ocirc;le devient propri&eacute;taire du fichier ou
du programme. Les adresses de destinataires sont lues &agrave; partir d’un fichier
.forward ou :include: comportant aussi un utilisateur de contr&ocirc;le propri&eacute;taire du
fichier. sendmail d&eacute;livre les messages &agrave; ces destinataires en tant qu’utilisateur de
contr&ocirc;le, puis retourne &agrave; la racine.
F
Contient des bits d’indicateur. Les indicateurs sont une combinaison de w,
indiquant le message d’avertissement EF_WARNING, r, indiquant le message de
r&eacute;ponse EF_RESPONSE, 8, d&eacute;finissant l’indicateur EF_HAS8BIT et b,
d&eacute;finissant l’indicateur EF_DELETE_BCC. Les autres lettres sont ignor&eacute;es.
H
Ligne(s) contenant la d&eacute;finition de l’en-t&ecirc;te. Le nombre de lignes est indiff&eacute;rent.
L’ordre d’apparition des lignes H d&eacute;termine leur disposition dans le message final.
Elles utilisent la syntaxe de d&eacute;finition des en-t&ecirc;tes appliqu&eacute;e dans le fichier
/etc/mail/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1, ce fichier est
/etc/sendmail.cf.)
I
D&eacute;finit l’information sur le i–node et l’unit&eacute; pour le fichier df. Utile pour recouvrer la
file d’attente courrier apr&egrave;s un crash de disque.
K
Heure (en secondes) de la derni&egrave;re tentative de distribution.
M
Lorsqu’un message est mis en file d’attente suite &agrave; une erreur lors d’une tentative
de livraison, le type d’erreur est stock&eacute; sur la ligne M.
N
Nombre total de tentatives de distribution.
O
Sp&eacute;cifie la valeur MTS originale de la transaction ESMTP. Utilis&eacute; exclusivement
pour les Notifications d’&eacute;tat de distribution.
P
Ligne pr&eacute;cisant le niveau de priorit&eacute; du message courant, lequel d&eacute;termine l’ordre
d’ex&eacute;cution des messages en file d’attente. Plus le num&eacute;ro est &eacute;lev&eacute;, plus la
priorit&eacute; est basse, autrement dit, la priorit&eacute; cro&icirc;t &agrave; mesure que l’on descend dans
la liste des messages. Autrement dit, la priorit&eacute; cro&icirc;t &agrave; mesure que l’on descend
dans la liste des messages. Le niveau de priorit&eacute; initial est fonction de la classe et
de la taille du message.
Q
Destinataire initial tel que sp&eacute;cifi&eacute; par le champ ORCPT= dans une transaction
ESMTP. Utilis&eacute; exclusivement pour les Notifications d’&eacute;tat de distribution. Il ne
s’applique qu’&agrave; la ligne ”R” figurant imm&eacute;diatement apr&egrave;s.
R
Lignes comportant chacune une adresse de destinataire.
S
Lignes comportant chacune une adresse d’exp&eacute;diteur.
T
Ligne indiquant l’heure de cr&eacute;ation, qui sert &agrave; calculer le d&eacute;lai de r&eacute;tention du
message en file d’attente.
V
Num&eacute;ro de version du format de fichier de file d’attente utilis&eacute; pour que les
nouveaux fichiers binaires sendmail puissent lire les fichiers cr&eacute;&eacute;s sous les
versions ant&eacute;rieures. Valeur par d&eacute;faut : zero. Si pr&eacute;sent, doit figurer sur la
premi&egrave;re ligne du fichier.
Z
ID enveloppe initiale (issu de la transaction SMTP). Utilis&eacute; exclusivement pour les
Notifications d’&eacute;tat de distribution.
$
Contient une d&eacute;finition de macro. Les valeurs de certaines macros ($r et $s) sont
pass&eacute;es au cours de la phase d’ex&eacute;cution de la file.
Mail
3-7
Le fichier q associ&eacute; au message adress&eacute; &agrave; amy@zeus se pr&eacute;senterait comme suit :
P217031
T566755281
MDeferred: Connection timed out during user open with zeus
Sgeo
Ramy@zeus
H?P?return-path: &lt;geo&gt;
Hreceived: by george (0.13 (NL support)/0.01)
id AA00269; Thu, 17 Dec 87 10:01:21 CST
H?D?date: Thu, 17 Dec 87 10:01:21 CST
H?F?From: geo
Hmessage-id: &lt;8712171601.AA00269@george&gt;
HTo: amy@zeus
Hsubject: test
o&ugrave; :
P217031
Priorit&eacute; du message
T566755281
Temps de soumission en secondes
MDeferred: Connection timed out
during user open with zeus
Message d’&eacute;tat
Sgeo
ID de l’exp&eacute;diteur
Ramy@zeus
ID du destinataire
HLines
Informations d’en-t&ecirc;te du message.
Sp&eacute;cification des d&eacute;lais au d&eacute;mon sendmail
Un format horaire sp&eacute;cial est pr&eacute;vu pour sp&eacute;cifier les d&eacute;lais associ&eacute;s au message et les
intervalles de traitement des files d’attente. Ce format est le suivant :
–qNombreUnit&eacute;
Nombre est un entier et Unit&eacute; est une des lettres symbolisant l’unit&eacute; utilis&eacute;e. Unit&eacute; peut
avoir l’une des valeurs suivantes :
s
secondes
m
minutes
h
heures
d
jours
w
semaines
L’unit&eacute; de temps par d&eacute;faut est la minute (m). Voici trois exemples :
/usr/sbin/sendmail -q15d
Avec cette commande, sendmail traite la file d’attente tous les 15 jours.
/usr/sbin/sendmail -q15h
Avec cette commande, sendmail traite la file d’attente toutes les 15 heures.
/usr/sbin/sendmail -q15
Avec cette commande, sendmail traite la file d’attente toutes les 15 minutes.
3-8
System Management Guide: Communications and Networks
Ex&eacute;cution forc&eacute;e de la file d’attente courrier
Si vous trouvez qu’une file d’attente commence &agrave; saturer, vous pouvez forcer son ex&eacute;cution
par le biais de l’indicateur –q (sans autre valeur). Vous pouvez &eacute;galement sp&eacute;cifier
l’indicateur –v (verbose) pour voir ce qui se passe :
/usr/sbin/sendmail -q-v
Vous pouvez &eacute;galement limiter les travaux &agrave; ceux dot&eacute;s d’un identificateur de file,
d’un exp&eacute;diteur ou d’un destinataire donn&eacute;, via l’un des modificateurs de file d’attente.
Par exemple, -qRsally limite l’ex&eacute;cution de la file d’attente aux travaux dont l’adresse d’un
des destinataires contient la cha&icirc;ne sally. De m&ecirc;me, -qS cha&icirc;ne limite l’ex&eacute;cution &agrave;
quelques exp&eacute;diteurs et -qI cha&icirc;ne, &agrave; quelques identificateurs de file d’attente.
Intervalle de traitement de la file d’attente
L’intervalle de traitement de la file d’attente courrier par le d&eacute;mon sendmail est d&eacute;termin&eacute;
par l’indicateur -q, qui est pris en compte au lancement du d&eacute;mon.
G&eacute;n&eacute;ralement, sendmail est lanc&eacute; par le fichier /etc/rc.tcpip au d&eacute;marrage du syst&egrave;me.
Ce fichier contient la variable QPI (Queue Processing Interval), qui sert &agrave; attribuer une
valeur &agrave; l’indicateur -q &agrave; l’ex&eacute;cution du d&eacute;mon sendmail. Par d&eacute;faut, la valeur de qpi est
30 minutes. Pour la modifier :
1. Modifiez le fichier /etc/rc.tcpip avec l’&eacute;diteur de votre choix.
2. Recherchez la ligne qui d&eacute;finit cette valeur, par exemple :
qpi=30m
3. Changez la valeur de qpi en fonction de vos besoins.
Ces modifications prendront effet au prochain lancement du syst&egrave;me. Pour une prise en
compte imm&eacute;diate, arr&ecirc;tez puis relancez le d&eacute;mon sendmail en sp&eacute;cifiant la nouvelle
valeur pour l’indicateur –q. Pour plus d’informations, reportez-vous &agrave; ”Arr&ecirc;t du d&eacute;mon
sendmail”, page3-10 et ”Lancement du d&eacute;mon sendmail”, page 3-10.
Transfert de file d’attente courrier
Si un syst&egrave;me h&ocirc;te est hors service pendant quelques temps, de nombreux messages
envoy&eacute;s ou en transit sur ce syst&egrave;me sont peut-&ecirc;tre stock&eacute;s dans votre file d’attente
courrier. Ce ph&eacute;nom&egrave;ne alourdit le traitement de la file d’attente au d&eacute;triment des
performances de votre syst&egrave;me. Dans ce cas, vous avez la possibilit&eacute; de transf&eacute;rer
temporairement la file d’attente vers un autre emplacement et d’en cr&eacute;er une nouvelle. Vous
pourrez ainsi traiter l’ancienne file une fois le syst&egrave;me h&ocirc;te remis en service. Pour effectuer
ces op&eacute;rations :
1. Arr&ecirc;tez le d&eacute;mon sendmail en suivant les instructions dans Arr&ecirc;t du d&eacute;mon sendmail,
page 3-10.
2. D&eacute;placez la totalit&eacute; du r&eacute;pertoire de file d’attente :
cd/var/spool
mv mqueue omqueue
3. Relancez le d&eacute;mon sendmail en suivant les instructions dans Lancement du d&eacute;mon
sendmail, page 3-10.
4. Pour traiter l’ancienne file d’attente, entrez :
/usr/sbin/sendmail -oQ/var/spool/omqueue -q.
L’indicateur –oQ d&eacute;signe le r&eacute;pertoire temporaire de la file transf&eacute;r&eacute;e, et l’indicateur –q
demande l’ex&eacute;cution de tous les travaux de la file. Pour obtenir un compte rendu du
d&eacute;roulement des op&eacute;rations, pr&eacute;cisez -v.
Remarque :
Cette op&eacute;ration peut durer un certain temps.
Mail
3-9
5. Supprimez fichiers journaux et r&eacute;pertoire temporaire une fois la file d’attente vid&eacute;e :
rm /var/spool/omqueue/*
rmdir /var/spool/omqueue
Lancement du d&eacute;mon sendmail
Pour lancer le d&eacute;mon sendmail, entrez :
startsrc –s sendmail –a ”–bd –q15”
/usr/lib/sendmail –bd –q15
Si sendmail est d&eacute;j&agrave; activ&eacute; &agrave; l’ex&eacute;cution de ces commandes, un message vous indique que
le d&eacute;mon ne peut &ecirc;tre lanc&eacute; plusieurs fois :
The sendmail subsystem is already active. Multiple instances are
not supported.
Sinon, un message vous confirme le lancement du d&eacute;mon.
Arr&ecirc;t du d&eacute;mon sendmail
Pour arr&ecirc;ter le d&eacute;mon sendmail, ex&eacute;cutez la commande stopsrc -s sendmail. Sinon :
• Recherchez l’ID de processus de sendmail.
• Saisissez la commande kill sendmail_pid
(o&ugrave; sendmail_pid est l’ID de processus du processus sendmail).
3-10
System Management Guide: Communications and Networks
Gestion de la journalisation
La commande sendmail consigne dans un journal les activit&eacute;s de la messagerie en faisant
appel au d&eacute;mon syslogd. Le d&eacute;mon syslogd doit &ecirc;tre configur&eacute; et ex&eacute;cut&eacute; pour permettre
la journalisation. Dans le fichier /etc/syslog.conf notamment, la ligne ci-apr&egrave;s doit &ecirc;tre
activ&eacute;e (et non mise en commentaire) :
mail.debug
/var/spool/mqueue/log
Si elle est d&eacute;sactiv&eacute;e, modifiez-la &agrave; l’aide de l’&eacute;diteur de votre choix, en prenant soin
d’indiquer le chemin d’acc&egrave;s correct. Si vous modifiez le fichier /etc/syslog.conf au cours
de l’ex&eacute;cution du d&eacute;mon syslogd, vous devez r&eacute;g&eacute;n&eacute;rer le d&eacute;mon comme suit :
refresh –s syslogd
Si le fichier /var/spool/mqueue/log n’existe pas, vous devez le cr&eacute;er via la commande :
touch /var/spool/mqueue/log
Les messages sont consign&eacute;s dans le fichier journal au format suivant :
Chaque ligne d’un journal syst&egrave;me comporte un horodateur, le nom de la machine qui l’a
g&eacute;n&eacute;r&eacute; (pour les journaux concernant plusieurs machines d’un r&eacute;seau local), le mot
”sendmail:,” et un message. La plupart des messages sont constitu&eacute;s d’une s&eacute;rie de
paires nom=valeur.
Deux lignes communes sont consign&eacute;es lorsqu’un message est trait&eacute;. La premi&egrave;re indique
la r&eacute;ception d’un message : il y en a une par message. Certains champs peuvent &ecirc;tre omis.
Les champs du message sont les suivants :
from
Adresse de l’exp&eacute;diteur de l’enveloppe.
size
Taille du message (en octets).
class
Classe (priorit&eacute; num&eacute;rique) du message.
pri
Priorit&eacute; initiale du message (pour le tri des files d’attente).
nrcpts
Nombre de destinataires de l’enveloppe pour ce message
(apr&egrave;s d&eacute;finition d’alias et transmission).
proto
Protocole utilis&eacute; pour la r&eacute;ception du message
(par exemple, ESMTP ou UUCP).
relay
Machine d’o&ugrave; provient le message.
Une autre ligne est consign&eacute;e &agrave; chaque tentative de livraison (il peut donc y en avoir
plusieurs par message - si le message est diff&eacute;r&eacute; ou qu’il y a plusieurs destinataires).
Les champs du message sont les suivants :
to
Liste des destinataires, s&eacute;par&eacute;s par une virgule.
ctladdr
“Utilisateur contr&ocirc;leur”, c’est-&agrave;-dire nom de l’utilisateur dont les r&eacute;f&eacute;rences
sont utilis&eacute;es pour la livraison.
delay
D&eacute;lai total entre le moment o&ugrave; le message a &eacute;t&eacute; re&ccedil;u et le moment
o&ugrave; il a &eacute;t&eacute; d&eacute;livr&eacute;.
xdelay
Dur&eacute;e n&eacute;cessaire pour cette tentative de livraison.
mailer
Nom du programme facteur utilis&eacute; pour d&eacute;livrer &agrave; ce destinataire.
relay
Nom de l’h&ocirc;te qui a effectivement accept&eacute; (ou rejet&eacute;) ce destinataire.
stat
Etat de la livraison.
Mail
3-11
Les informations qui peuvent &ecirc;tre consign&eacute;es sont nombreuses. Le journal est structur&eacute; en
niveaux. Au niveau le plus bas, seules les situations tr&egrave;s inhabituelles sont consign&eacute;es.
Au niveau le plus &eacute;lev&eacute;, m&ecirc;me les &eacute;v&eacute;nements insignifiants le sont. Par convention, les
niveaux inf&eacute;rieurs &agrave; 10 sont consid&eacute;r&eacute;s utiles. Les niveaux sup&eacute;rieurs &agrave; 64 sont r&eacute;serv&eacute;s &agrave;
la mise au point et les niveaux interm&eacute;diaires (11–64), d&eacute;di&eacute;s aux informations d&eacute;taill&eacute;es.
Les types d’activit&eacute; consign&eacute;s par la commande sendmail dans le journal sont sp&eacute;cifi&eacute;s
via l’option L dans le fichier /etc/mail/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1,
ce fichier est /etc/sendmail.cf.)
Gestion du journal
Sans cesse aliment&eacute; par de nouvelles donn&eacute;es, le journal peut prendre des proportions non
n&eacute;gligeables. Par ailleurs, il arrive que certains incidents g&eacute;n&egrave;rent des entr&eacute;es inattendues
dans la file d’attente courrier. Pour limiter l’encombrement du journal et de la file d’attente,
ex&eacute;cutez le script shell /usr/lib/smdemon.cleanu. Ce script force la commande sendmail
&agrave; traiter la file d’attente et tient &agrave; jour quatre copies des fichiers journaux &agrave; des niveaux de
mise &agrave; jour croissants log.0, log.1, log.2 et log.3. A chaque ex&eacute;cution du script, le contenu
des fichiers est transf&eacute;r&eacute; comme suit :
• log.2 &agrave; log.3
• log.1 &agrave; log.2
• log.0 &agrave; log.1
• log &agrave; log.0.
Ces transferts permettent de reprendre la journalisation sur un nouveau fichier.
Ex&eacute;cutez le script manuellement ou &agrave; intervalle r&eacute;gulier &agrave; l’aide du d&eacute;mon cron.
Journalisation du trafic
De nombreuses versions de SMTP n’impl&eacute;mentent pas compl&egrave;tement le protocole.
Par exemple, certains SMTP bas&eacute;s sur PC ne savent pas interpr&eacute;ter les lignes de suite
dans les codes de r&eacute;ponse. Ceci peut &ecirc;tre tr&egrave;s difficile &agrave; d&eacute;celer. Si vous suspectez un
probl&egrave;me de cet ordre, vous pouvez activer la journalisation du trafic via l’indicateur -X.
Par exemple :
/usr/sbin/sendmail-X /tmp/traffic -bd
Cette commande consigne l’int&eacute;gralit&eacute; du trafic dans le fichier /tmp/traffic.
Cette op&eacute;ration consigne une &eacute;norme quantit&eacute; de donn&eacute;es en tr&egrave;s peu de temps et ne doit
jamais &ecirc;tre effectu&eacute;e dans le cadre de l’exploitation normale. Apr&egrave;s avoir lanc&eacute; un d&eacute;mon
de ce type, forcez l’impl&eacute;mentation errant &agrave; envoyer un message &agrave; votre h&ocirc;te. Tout le trafic
entrant et sortant de sendmail, trafic SMTP entrant compris, sera consign&eacute; dans ce fichier.
Via sendmail, vous pouvez consigner un clich&eacute; des fichiers ouverts et du cache de
connexion en lui envoyant un signal SIGUSR1. Les r&eacute;sultats sont consign&eacute;s avec la priorit&eacute;
LOG_DEBUG.
3-12
System Management Guide: Communications and Networks
Journalisation des donn&eacute;es statistiques
La commande sendmail assure le suivi du volume de courrier trait&eacute; par chaque programme
facteur qui communique avec la commande. Ces programmes sont d&eacute;finis dans le fichier
/etc/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1, ce fichier est /etc/sendmail.cf.)
Figure 3. Programmes facteur utilis&eacute;s par la commande Sendmail Cette illustration
repr&eacute;sente un type d’organigramme structur&eacute; du haut vers le bas avec la messagerie et MH
en haut. Il en part des branches correspondant &agrave; bellmail, BNU et SMTP. Sous le niveau
pr&eacute;c&eacute;dent se trouvent respectivement la bo&icirc;te aux lettres locale, la liaison UUCP et la
liaison TCP/IP. Sous la liaison UUCP et sous la liaison TCP/IP se trouvent des bo&icirc;tes aux
lettres distantes.
Mail
MH
sendmail
bellmail
BNU
SMTP
local
bo&icirc;te aux lettres
UUCP
liaison
TCP/IP
liaison
distant
bo&icirc;te aux lettres
distant
bo&icirc;te aux lettres
Pour lancer la collecte des donn&eacute;es statistiques, cr&eacute;ez le fichier /var/tmp/sendmail.st
comme suit :
touch /var/tmp/sendmail.st
Si la commande sendmail rencontre des erreurs pendant l’enregistrement des donn&eacute;es
statistiques, elle inscrit un message via la sous-routine syslog. Ces erreurs n’entravent
pas les autres op&eacute;rations de sendmail.
La commande sendmail met les informations &agrave; jour chaque fois qu’un courrier est trait&eacute;.
La taille du fichier reste &eacute;gale, mais les nombres dans le fichier augmentent.
Ils repr&eacute;sentent le volume de courrier depuis que vous avez cr&eacute;&eacute; ou r&eacute;initialis&eacute; le fichier
/etc/mail/statistics.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les statistiques &eacute;taient conserv&eacute;es
dans le fichier /var/tmp/sendmail.st.
Mail
3-13
Affichage des informations des programmes facteurs
Les donn&eacute;es statistiques conserv&eacute;es dans le fichier /etc/mail/statistics sont sauvegard&eacute;es
sous un format de base de donn&eacute;es, et ne peuvent donc &ecirc;tre consult&eacute;es comme un fichier
texte. Pour les afficher, tapez ceci &agrave; une invite de commande :
/usr/sbin/mailstats
Cette commande lit les donn&eacute;es du fichier /etc/mail/statistics, et les formate avant de les
envoyer vers la sortie standard. Pour obtenir de plus amples informations sur la sortie de la
commande /usr/sbin/mailstats, lisez sa description dans la AIX Version 5.3 Commands
Reference.
3-14
System Management Guide: Communications and Networks
Mise au point de sendmail
Il existe de nombreux indicateurs de mise au point, int&eacute;gr&eacute;s &agrave; la commande sendmail.
A chaque indicateur sont associ&eacute;s un num&eacute;ro et un niveau, les niveaux sup&eacute;rieurs indiquant
un accroissement des informations. Par convention, les niveaux sup&eacute;rieurs &agrave; 9 fournissent
tellement d’informations que vous ne souhaiterez pas les consulter - sauf pour mettre au
point un module particulier de code source. Les indicateurs de mise au point sont d&eacute;finis via
l’indicateur –d, comme illustr&eacute; dans l’exemple ci-dessous :
debug–flag:
debug–list:
debug–flag:
debug–range:
debug–level:
–d debug–list
debug–flag[.debug–flag]*
debug–range[.debug–level]
integer|integer–integer
integer
–d12
–d12.3
–d3–17
–d3–17.4
Set
Set
Set
Set
flag 12
flag 12
flags 3
flags 3
to level 1
to level 3
through 17 to level 1
through 17 to level 4
Les indicateurs de mise au point disponibles sont les suivants :
–d0
Mise au point g&eacute;n&eacute;rale.
–d1
Affiche les informations d’envoi.
–d2
Prend fin avec fini ( ).
–d3
Indique la charge moyenne.
–d4
Espace disque suffisant.
–d5
Affiche les &eacute;v&eacute;nements.
–d6
Affiche le courrier non parvenu.
–d7
Nom du fichier de file d’attente.
–d8
R&eacute;solution de noms DNS.
–d9
Effectue un suivi des requ&ecirc;tes RFC1413.
–d9.1
Met le nom d’h&ocirc;te sous forme canonique.
–d10
Affiche le courrier re&ccedil;u par le destinataire.
–d11
Effectue un suivi des livraisons.
–d12
Affiche le mappage de l’h&ocirc;te relatif.
–d13
Affiche les livraisons.
–d14
Affiche les virgules du champ d’en-t&ecirc;te.
–d15
Affiche l’activit&eacute; des requ&ecirc;tes d’obtention (get) du r&eacute;seau.
–d16
Connexions sortantes.
–d17
Affiche la liste des h&ocirc;tes MX.
Remarque : Il existe d&eacute;sormais pr&egrave;s de 200 indicateurs de mise au point d&eacute;finis
dans le programme sendmail.
Mail
3-15
Protocoles IMAP (Internet Message Access Protocol)
et POP (Post Office Protocol)
Pour l’acc&egrave;s &agrave; distance &agrave; la messagerie, il existe deux serveurs de protocole de messagerie
&eacute;lectronique bas&eacute;s sur Internet :
• POP (Post Office Protocol),
• IMAP (Internet Message Access Protocol).
Ces deux types de serveur stockent le courrier &eacute;lectronique et y donnent acc&egrave;s. Gr&acirc;ce &agrave;
ces protocoles, l’ordinateur n’a plus besoin d’&ecirc;tre allum&eacute; pour la r&eacute;ception du courrier.
Le serveur POP fournissant un syst&egrave;me de courrier &eacute;lectronique hors ligne, par le biais du
logiciel client POP, le client a acc&egrave;s &agrave; distance au serveur de messagerie pour r&eacute;ceptionner
son courrier. Il peut t&eacute;l&eacute;charger son courrier et, ensuite, soit le supprimer imm&eacute;diatement du
serveur, soit le conserver sur le serveur POP. Le courrier, une fois charg&eacute; sur la machine
cliente, est trait&eacute; localement sur cette machine. Le serveur POP autorise l’acc&egrave;s &agrave; une bo&icirc;te
aux lettres utilisateur &agrave; un seul client &agrave; la fois.
Le serveur IMAP propose un ”super-ensemble” de fonctions POP, mais avec une autre
interface. Le serveur IMAP fournit un service hors ligne, un service en ligne et un service
d&eacute;connect&eacute;. Le protocole IMAP permet de manipuler des bo&icirc;tes aux lettres &agrave; distance
comme si elles &eacute;taient locales. Par exemple, les clients peuvent faire des recherches dans
les messages et y ins&eacute;rer des indicateurs d’&eacute;tat tels que ”deleted” ou ”answered”
(”supprim&eacute;” ou ”r&eacute;pondu”). En outre, les messages peuvent &ecirc;tre conserv&eacute;s dans la base de
donn&eacute;es du serveur tant qu’ils ne sont pas supprim&eacute;s explicitement. Le serveur IMAP
permet &agrave; plusieurs clients d’acc&eacute;der de fa&ccedil;on interactive et simultan&eacute;e aux bo&icirc;tes aux
lettres utilisateur.
Les serveurs IMAP et POP sont exclusivement des serveurs d’acc&egrave;s au courrier. Pour
l’envoi du courrier, ils utilisent le protocole SMTP (Simple Mail Transfer Protocol).
IMAP et POP sont tous deux des protocoles ouverts, qui reposent sur les normes d&eacute;crites
dans les RFC (Request for Comments). Le serveur IMAP repose sur le RFC 1730 et le
serveur POP sur le RFC 1725. Les deux serveurs sont “ orient&eacute;s connexion ” et utilisent des
sockets TCP. L’&eacute;coute IMAP et POP a respectivement lieu sur les ports identifi&eacute;s 143
et 110. En outre, le d&eacute;mon inetd g&egrave;re les deux serveurs.
Configuration des serveurs IMAP et POP
Pr&eacute;requis
Vous devez &ecirc;tre utilisateur racine (root).
Proc&eacute;dure
1. D&eacute;sactivez le commentaire des entr&eacute;es imapd et pop3d dans le fichier /etc/inetd.conf.
2. Rafra&icirc;chissez le d&eacute;mon inetd avec la commande :
refresh –s inetd
3-16
System Management Guide: Communications and Networks
Tests de configuration
Vous pouvez lancer quelques tests pour vous assurer que les serveurs imapd et pop3d sont
op&eacute;rationnels.
Tout d’abord, v&eacute;rifiez que leur &eacute;coute a lieu sur les ports identifi&eacute;s : Pour cela, proc&eacute;dez
comme suit :
netstat –a | grep imap
netstat –a | grep pop
En principe, le r&eacute;sultat de la commande netstat donne :
tcp
tcp
0
0
0
0
*.imap2
*.pop3
*.*
*.*
LISTEN
LISTEN
Si vous n’obtenez pas ce r&eacute;sultat, v&eacute;rifiez &agrave; nouveau les entr&eacute;es dans le fichier
/etc/inetd.conf, puis relancez la commande refresh –s inetd.
Testez la configuration du serveur imapd, via telnet, au niveau du imap2, port 143. En vous
connectant via telnet, vous obtenez l’invite imapd. Vous pouvez entrer les commandes
IMAP version 4 d&eacute;finies dans la RFC 1730. Pour ce faire, tapez un point (.) puis un espace
suivi du nom de la commande de jeton, ainsi que tous les param&egrave;tres. Le jeton est
utilis&eacute; pour ordonner le nom de la commande. Par exemple :
.
Param&egrave;tres du nom de la commande de jeton
Notez l’&eacute;cho des mots de passe quand telnet est utilis&eacute; vers le serveur imapd.
Dans l’exemple telnet suivant, vous devez indiquer votre propre mot de passe &agrave; la place
de id_password dans la commande login.
telnet e–xbelize 143
Trying...
Connected to e–xbelize.austin.ibm.com.
Escape character is ’^]’.
* OK e–xbelize.austin.ibm.com IMAP4 server ready
. 1 login id id_password
. OK
. 2 examine /usr/spool/mail/root
* FLAGS (\Answered \Flagged \Draft \Deleted \Seen)
* OK [PERMANENTFLAGS (\Answered \Flagged \Draft \Deleted \Seen \*)
* 0 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 823888143]
. OK [READ–ONLY] Examine completed
. 3 logout
* BYE Server terminating connection
. OK Logout completed
Connection closed.
Testez la configuration du serveur pop3d, via telnet, au niveau du port pop3, 110.
Vous obtenez l’invite pop3d. Vous pouvez entrer les commandes POP d&eacute;finies dans la
RFC 1725. Pour ce faire, tapez un point (.) puis un espace suivi du nom de la commande.
Par exemple :
.
CommandName
Notez l’&eacute;cho des mots de passe quand telnet est utilis&eacute; vers le serveur pop3d.
Mail
3-17
Dans l’exemple telnet suivant, vous devez indiquer votre propre mot de passe &agrave; la place
de id_password dans la commande pass.
telnet e–xbelize 110
Trying...
Connected to e–xbelize.austin.ibm.com.
Escape character is ’^]’.
+OK e–xbelize.austin.ibm.com POP3 server ready
user id
+OK Name is a valid mailbox
pass id_password
+OK Maildrop locked and ready
list
+OK scan listing follows
.
stat
+OK 0 0
quit
+OK
Connection closed.
syslog
Le logiciel serveur IMAP et POP adresse des journaux &agrave; l’outil syslog.
Pour configurer la journalisation IMAP et POP sur votre syst&egrave;me par le biais de syslog,
vous devez &ecirc;tre un utilisateur racine. Editez le fichier de configuration /etc/syslog.conf
pour y ajouter une entr&eacute;e pour *.debug comme suit :
*.debug /usr/adm/imapd.log
Le fichier usr/adm/imapd.log doit &ecirc;tre existant avant la relecture par le d&eacute;mon syslogd
du fichier /etc/syslog.conf. Pour cr&eacute;er usr/adm/imapd.log, utilisez la commande :
touch /usr/adm/imapd.log
Ensuite, rafra&icirc;chissez syslogd avec la commande suivante pour la relecture de son fichier
de configuration :
refresh –s syslogd
3-18
System Management Guide: Communications and Networks
Informations de r&eacute;f&eacute;rence du courrier
Cette section fournit un bref r&eacute;capitulatif des commandes, fichiers et r&eacute;pertoires intervenant
dans la messagerie.
Liste des commandes
Cette liste r&eacute;pertorie les commandes d’exploitation et de gestion de la messagerie.
bugfiler
Enregistre les comptes rendus d’anomalies dans des
r&eacute;pertoires courrier sp&eacute;cifiques.
comsat
Avertit les utilisateurs de l’arriv&eacute;e d’un courrier (d&eacute;mon).
mailq
Imprime le contenu de la file d’attente courrier.
mailstats
Affiche les statistiques relatives au trafic du courrier.
newaliases
Cr&eacute;e une copie de la base de donn&eacute;es d’alias &agrave; partir
du fichier /etc/aliases.
rmail
G&egrave;re le courrier distant re&ccedil;u via la commande uucp de
BNU.
sendbug
Envoie un compte rendu d’anomalies &agrave; une adresse
sp&eacute;cifique.
sendmail
D&eacute;livre le courrier en local ou sur le r&eacute;seau.
smdemon.cleanu
Epure la file d’attente sendmail pour les t&acirc;ches de
routine.
Liste des fichiers et r&eacute;pertoires courrier
Les fichiers et r&eacute;pertoires sont pr&eacute;sent&eacute;s par fonction.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les fichiers sendmail.cf et aliases
sont respectivement situ&eacute;s dans /etc/sendmail.cf et /etc/aliases.
Messagerie
/usr/share/lib/Mail.rc
D&eacute;finit les valeurs par d&eacute;faut du syst&egrave;me local pour tous
les utilisateurs de la messagerie. Fichier de texte
modifiable pour d&eacute;finir les caract&eacute;ristiques par d&eacute;faut de
la commande mail.
$HOME/.mailrc
Permet de modifier les valeurs par d&eacute;faut du syst&egrave;me
local pour la messagerie.
$HOME/mbox
Stocke le courrier trait&eacute; d’un utilisateur.
/usr/bin/Mail, /usr/bin/mail,
ou /usr/bin/mailx
Indique trois noms associ&eacute;s au m&ecirc;me programme.
La messagerie est l’une des interfaces entre l’utilisateur
et le syst&egrave;me de messagerie.
/var/spool/mail
Indique le r&eacute;pertoire par d&eacute;faut de d&eacute;p&ocirc;t du courrier.
Le courrier est stock&eacute; par d&eacute;faut dans le fichier
/var/spool/mail/nom-utilisateur.
/usr/bin/bellmail
Prend en charge la livraison du courrier local.
/usr/bin/rmail
Assure l’interface courrier distant pour BNU.
/var/spool/mqueue
Contient le fichier journal et les fichiers temporaires
associ&eacute;s aux messages de la file d’attente courrier.
Mail
3-19
Commande sendmail
/usr/sbin/sendmail
Commande sendmail.
/usr/ucb/mailq
Pointe sur le fichier /usr/sbin/sendmail.
Equivaut &agrave; /usr/sbin/sendmail –bp.
/usr/ucb/newaliases
Pointe sur le fichier /usr/sbin/sendmail.
Equivaut &agrave; /usr/sbin/sendmail –bi.
/etc/netsvc.conf
Sp&eacute;cifie l’ordre de certains services de r&eacute;solution
de noms.
/usr/sbin/mailstats
Formate et affiche les donn&eacute;es statistiques sendmail
recueillies dans le fichier par d&eacute;faut /etc/sendmail.st,
s’il existe. Vous pouvez sp&eacute;cifier un autre fichier.
/etc/aliases
D&eacute;crit une version texte du fichier d’alias pour la
commande sendmail. Vous pouvez &eacute;diter ce fichier pour
cr&eacute;er, modifier ou supprimer des alias de votre syst&egrave;me.
/etc/aliasesDB
D&eacute;crit un r&eacute;pertoire contenant les fichiers de base de
donn&eacute;es d’alias, DB.dir et DB.pag, cr&eacute;&eacute;s &agrave; partir du
fichier /etc/aliases &agrave; l’ex&eacute;cution de la commande
sendmail –bi.
/etc/sendmail.cf
Contient les informations de configuration de sendmail
dans un format texte. Editez ce fichier pour modifier les
informations.
/usr/lib/smdemon.cleanu
Sp&eacute;cifie un fichier shell qui ex&eacute;cute la file d’attente
courrier et tient &agrave; jour des fichiers journaux sendmail
dans le r&eacute;pertoire /var/spool/mqueue.
/var/tmp/sendmail.st
Rassemble les statistiques relatives au trafic du courrier.
Ce fichier a une taille fixe. Utilisez la commande
/usr/sbin/mailstats pour afficher son contenu.
Supprimez-le si vous ne voulez pas recueillir ce type
d’informations.
/var/spool/mqueue
D&eacute;signe le r&eacute;pertoire contenant les fichiers temporaires
associ&eacute;s &agrave; chaque message en file d’attente. Ce
r&eacute;pertoire peut contenir le fichier journal.
/var/spool/cron/crontabs
D&eacute;signe le r&eacute;pertoire contenant les fichiers lus par le
d&eacute;mon cron pour d&eacute;terminer le travail &agrave; ex&eacute;cuter. Le
fichier root comporte une ligne d’ex&eacute;cution du script shell
smdemon.cleanu.
Liste des commandes IMAP et POP
3-20
/usr/sbin/imapd
Process serveur IMAP
(Internet Message Access Protocol).
/usr/sbin/pop3d
Process serveur POP3
(Post Office Protocol version 3.
System Management Guide: Communications and Networks
Chapitre 4. Protocole TCP/IP
Ce chapitre d&eacute;crit la suite de logiciels r&eacute;seau TCP/IP (Transmission Control
Protocol/Internet Protocol). TCP/IP est un protocole normalis&eacute; souple et puissant,
permettant de connecter plusieurs ordinateurs &agrave; d’autres machines.
Ce chapitre traite des points suivants :
• Pr&eacute;paration du r&eacute;seau TCP/IP, page 4-2
• Installation et configuration de TCP/IP, page 4-3
• Protocoles TCP/IP, page 4-6
• Cartes r&eacute;seau LAN TCP/IP, page 4-38
• Interfaces r&eacute;seau TCP/IP, page 4-52
• Adressage TCP/IP, page 4-60
• R&eacute;solution de noms sous TCP/IP, page 4-66
• Affectation des adresses et param&egrave;tres TCP/IP – Protocole DHCP, page 4-96
• D&eacute;mon DHCP avec structure PXED (Preboot Execution Environment Proxy), page 4-169
• D&eacute;mon BINLD (Boot Image Negotiation Layer Daemon), page 4-186
• D&eacute;mons TCP/IP, page 4-201
• Routage TCP/IP, page 4-208
• Mobile IPv6, page 4-220
• Adresse IP virtuelle (VIPA), page 4-224
• Agr&eacute;gation de liaison EtherChannel et IEEE 802.3ad, page 4-227
• Protocole Internet (IP) via Fibre Channel, page 4-248
• Initiateur logiciel iSCSI, page 4-250
• Protocole de transmission du contr&ocirc;le de flot, page 4–247
• D&eacute;tection de la MTU d’acc&egrave;s, page 4-258
• Qualit&eacute; de Service (QoS) TCP/IP, page 4-260
• D&eacute;termination des incidents TCP/IP, page 4-274
• R&eacute;f&eacute;rence TCP/IP, page 4-285
Remarque :
La plupart des t&acirc;ches abord&eacute;es dans ce chapitre n&eacute;cessitent les droits
d’utilisateur racine.
Protocole TCP/IP
4-1
Pr&eacute;paration du r&eacute;seau TCP/IP
TCP/IP &eacute;tant un protocole r&eacute;seau tr&egrave;s souple, vous pouvez le personnaliser et l’adapter aux
besoins sp&eacute;cifiques de votre organisation. Les principaux points &agrave; prendre en compte pour
pr&eacute;parer votre r&eacute;seau sont les suivants. Chaque point fait l’objet d’un &eacute;tude d&eacute;taill&eacute;e dans la
suite de ce manuel. Cette liste vous permettra simplement d’&eacute;valuer la port&eacute;e des actions
possibles.
1. Choisissez le type de mat&eacute;riel r&eacute;seau que vous souhaitez utiliser : anneau &agrave; jeton
(token–ring), Ethernet Version 2, IEEE 802.3, interface FDDI (Fiber Distributed Data
Interface), canal optique s&eacute;rie (Serial Optical Channel, SOC) ou protocole SLIP
(Serial Line Interface Protocol).
2. Tracez l’implantation physique du r&eacute;seau.
R&eacute;fl&eacute;chissez aux fonctions que devra assurer chaque machine h&ocirc;te. Par exemple,
vous devez choisir &agrave; ce stade les machines qui serviront de passerelles avant de passer
au c&acirc;blage du r&eacute;seau.
3. Optez selon vos besoins pour un r&eacute;seau plat ou une structure de r&eacute;seau hi&eacute;rarchis&eacute;e.
Si votre r&eacute;seau est de petite taille, concentr&eacute; sur un seul site, et ne comprend qu’un
r&eacute;seau physique, un r&eacute;seau plat peut parfaitement convenir. Si votre r&eacute;seau est tr&egrave;s
&eacute;tendu, complexe, avec de nombreux sites ou plusieurs r&eacute;seaux physiques, il sera
peut–&ecirc;tre plus pratique d’opter pour un r&eacute;seau hi&eacute;rarchis&eacute;.
4. Si votre r&eacute;seau doit &ecirc;tre raccord&eacute; &agrave; d’autres r&eacute;seaux, vous devez r&eacute;fl&eacute;chir &agrave; l’installation
et &agrave; la configuration des passerelles qui seront n&eacute;cessaires. Les &eacute;l&eacute;ments &agrave; prendre en
compte sont :
a. choisir les machines qui serviront de passerelles ;
b. d&eacute;cider si vous utiliserez le routage statique ou le routage dynamique, &agrave; moins que
vous ne choisissiez une combinaison des deux. Si vous optez pour le routage
dynamique, choisissez les d&eacute;mons de routage que devra utiliser chaque passerelle,
en tenant compte des diff&eacute;rents types de protocoles de communication &agrave; prendre en
charge.
5. pr&eacute;parez un sch&eacute;ma d’adressage.
Si votre r&eacute;seau n’est pas destin&eacute; &agrave; faire partie d’un interr&eacute;seau plus &eacute;tendu, choisissez
le sch&eacute;ma d’adressage convenant le mieux &agrave; vos besoins. Si vous souhaitez int&eacute;grer
votre r&eacute;seau au sein d’un interr&eacute;seau plus &eacute;tendu tel qu’Internet, vous devrez vous
procurer un jeu officiel d’adresses aupr&egrave;s de votre fournisseur d’acc&egrave;s &agrave; Internet (FAI).
6. Voyez s’il convient d’envisager la division de votre syst&egrave;me en plusieurs sous–r&eacute;seaux.
Si oui, d&eacute;cidez du mode d’attribution des masques de sous–r&eacute;seau.
7. Choisissez des conventions de noms. Chaque machine du r&eacute;seau doit poss&eacute;der un nom
d’h&ocirc;te unique.
8. D&eacute;cidez si votre r&eacute;seau requiert un serveur de noms pour la r&eacute;solution des noms ou si le
recours au fichier /etc/hosts est suffisant.
Si vous d&eacute;cidez d’utiliser des serveurs de noms, choisissez le type de serveur
n&eacute;cessaire et combien de serveurs de noms vous devez pr&eacute;voir pour &ecirc;tre efficace.
9. D&eacute;cidez des types de services que le r&eacute;seau doit, selon vous, proposer aux utilisateurs
distants : services de messagerie, d’impression, partage de fichiers, connexion &agrave;
distance, ex&eacute;cution de commandes &agrave; distance, etc.
4-2
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Installation et configuration pour TCP/IP
Pour plus d’informations sur l’installation de TCP/IP, reportez–vous au manuel AIX 5L
Version 5.3 Installation Guide and Reference.
Configuration de TCP/IP
Une fois TCP/IP install&eacute;, la configuration du syst&egrave;me peut &ecirc;tre effectu&eacute;e.
Pour configurer TCP/IP, vous pouvez :
• utiliser l’application Web–based System Manager Network (raccourci wsm network),
• utiliser SMIT (System Management Interface System),
• &eacute;diter un format de fichier,
• lancer une commande &agrave; partir de l’invite du shell.
Par exemple, le script shell rc.net effectue la configuration minimale du syst&egrave;me h&ocirc;te pour
TCP/IP au d&eacute;marrage du syst&egrave;me (ce script est lanc&eacute; &agrave; la seconde phase de l’amor&ccedil;age
par le gestionnaire de configuration). Si vous utilisez SMIT ou Web–based System Manager
pour configurer le syst&egrave;me h&ocirc;te, le fichier rc.net est automatiquement configur&eacute;.
Vous pouvez &eacute;galement configurer le fichier /etc/rc.bsdnet &agrave; l’aide d’un &eacute;diteur de texte
standard. Cette m&eacute;thode vous permet de sp&eacute;cifier les commandes de configuration
traditionnelles UNIX TCP/IP comme ifconfig, nom h&ocirc;te et route. Pour plus d’informations,
reportez–vous &agrave; laListe des commandes TCP/IP, page 4-285. Si vous utilisez la m&eacute;thode
d’&eacute;dition de fichiers, entrez le raccourci smit configtcp puis s&eacute;lectionnez une
configuration rc de type BSD.
Certaines t&acirc;ches, telles que la configuration d’un serveur de noms, ne peuvent &ecirc;tre
accomplies via SMIT ou via Web–based System Manager.
Configuration des syst&egrave;mes h&ocirc;te
Chaque syst&egrave;me h&ocirc;te du r&eacute;seau doit &ecirc;tre adapt&eacute; aux besoins des utilisateurs et aux
contraintes du r&eacute;seau. Pour chaque h&ocirc;te, vous devez configurer l’interface de r&eacute;seau,
d&eacute;finir l’adresse Internet, le nom d’h&ocirc;te et les routes statiques vers les passerelles ou les
autres syst&egrave;mes h&ocirc;te. Il faut &eacute;galement sp&eacute;cifier les d&eacute;mons &agrave; lancer par d&eacute;faut et
configurer le fichier /etc/hosts pour la r&eacute;solution des noms (ou configurer l’h&ocirc;te de telle
sorte qu’il utilise le serveur de noms).
Configuration des h&ocirc;tes en tant que serveurs
Si la machine h&ocirc;te joue un r&ocirc;le sp&eacute;cifique (passerelle, serveur de fichiers ou serveur
de noms), la configuration de base doit &ecirc;tre compl&eacute;t&eacute;e.
Par exemple, si le r&eacute;seau est organis&eacute; hi&eacute;rarchiquement et que vous utilisez le protocole
DOMAIN pour la r&eacute;solution des noms dans les adresses Internet, vous devez configurer
au moins un serveur de noms.
N’oubliez pas qu’un h&ocirc;te serveur n’a pas besoin d’&ecirc;tre une machine d&eacute;di&eacute;e : elle peut
&eacute;galement servir &agrave; d’autres fonctions. Par exemple, si la fonction de serveur de noms est
relativement limit&eacute;e, la machine peut &eacute;galement &ecirc;tre utilis&eacute;e comme station de travail ou
serveur de fichiers sur le r&eacute;seau.
Remarque :
Si NIS ou NIS+ est install&eacute; sur votre syst&egrave;me, ces services peuvent
&eacute;galement vous aider &agrave; la r&eacute;solution des noms. Pour plus d’informations,
reportez–vous au AIX 5L Version 5.3 Network Information Services
(NIS and NIS+) Guide.
Protocole TCP/IP
4-3
Configuration des passerelles
Si vous envisagez de connecter votre r&eacute;seau &agrave; d’autres r&eacute;seaux, il vous faut configurer au
moins une machine h&ocirc;te passerelle. Pour cela, vous devez d&eacute;terminer les protocoles de
communication n&eacute;cessaires et les d&eacute;mons de routage (routed ou gated) correspondants.
Commandes de gestion syst&egrave;me TCP/IP
Voici la liste des commandes utiles pour configurer et g&eacute;rer le r&eacute;seau TCP/IP :
arp
Affichage/modification des tables de traduction d’adresse Internet en
adresse mat&eacute;rielle, utilis&eacute;es par ARP (Address Resolution Protocol).
finger
Retour d’informations concernant les utilisateurs sur un h&ocirc;te
sp&eacute;cifique.
host
Affichage de l’adresse Internet d’un h&ocirc;te sp&eacute;cifique ou d’un nom
d’h&ocirc;te figurant dans une adresse Internet sp&eacute;cifique.
hostname
Affichage ou d&eacute;finition du nom et de l’adresse Internet d’un syst&egrave;me
h&ocirc;te local.
ifconfig
Configuration des interfaces de r&eacute;seau.
netstat
Affichage des adresses locales et distantes, des tables de routage,
des donn&eacute;es statistiques sur le mat&eacute;riel et du compte rendu des
paquets transf&eacute;r&eacute;s.
no
Affichage ou d&eacute;finition des options courantes du noyau de r&eacute;seau.
ping
D&eacute;termination de l’accessibilit&eacute; d’un syst&egrave;me h&ocirc;te.
route
Manipulation des tables de routage.
ruptime
Affichage des informations d’&eacute;tat sur les h&ocirc;tes connect&eacute;s aux
r&eacute;seaux physiques locaux et ex&eacute;cutant le serveur rwhod.
rwho
Affichage des informations d’&eacute;tat sur les utilisateurs des h&ocirc;tes
connect&eacute;s aux r&eacute;seaux physiques locaux et ex&eacute;cutant le
serveur rwhod.
setclock
Calage de l’heure et de la date de l’h&ocirc;te local sur celles du service
horaire du r&eacute;seau.
timedc
Informations sur le d&eacute;mon timed.
trpt
Compte rendu de suivi du protocole sur les prises TCP.
whois
Service du r&eacute;pertoire de noms Internet.
Configuration d’une liste de contr&ocirc;le du r&eacute;seau TCP/IP
Utilisez la proc&eacute;dure suivante comme guide de configuration de votre r&eacute;seau.
Prenez le temps n&eacute;cessaire pour rassembler les informations et comprendre les
instructions.
Une fois le r&eacute;seau install&eacute; et op&eacute;rationnel, cette liste de contr&ocirc;le vous servira &agrave; r&eacute;soudre
des incidents.
Pr&eacute;requis
1. Les mat&eacute;riels r&eacute;seau sont install&eacute;s et c&acirc;bl&eacute;s. Reportez–vous &agrave; la documentation Cartes
r&eacute;seau LAN TCP/IP, page 4-38.
2. Le logiciel TCP/IP est install&eacute;. Reportez–vous &agrave; Guide d’installation et r&eacute;f&eacute;rence AIX 5L
Version 5.3.
4-4
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Proc&eacute;dure
1. Consultez “Protocoles TCP/IP”, page 4-6, pour la structure de base de TCP/IP.
Vous devez comprendre :
– la structure en couches de TCP/IP
(diff&eacute;rents protocoles r&eacute;sidant sur diff&eacute;rentes couches),
– le m&eacute;canisme de flux des donn&eacute;es &agrave; travers les couches.
2. Effectuez la configuration minimale de chaque machine h&ocirc;te du r&eacute;seau : ajout d’une
interface r&eacute;seau, affectation d’une adresse IP, attribution d’un nom d’h&ocirc;te &agrave; chaque
machine h&ocirc;te et d&eacute;finition d’une route par d&eacute;faut d’acc&egrave;s au r&eacute;seau. Consultez tout
d’abord les sections “Interfaces de r&eacute;seau TCP/IP”, page 4-52, “Adressage TCP/IP”,
page 4-60 et “D&eacute;finition des noms d’h&ocirc;te”, page 4-68.
3. Adressage TCP/IP page 4-60, et Choix des noms pour les h&ocirc;tes de votre r&eacute;seau
page 4-68.
Remarque : Chaque machine du r&eacute;seau doit subir cette configuration minimale, qu’il
s’agisse d’un h&ocirc;te utilisateur, d’un serveur de fichiers, d’une passerelle ou d’un serveur
de noms.
4. Configurez et lancez le d&eacute;mon inetd sur chaque machine h&ocirc;te du r&eacute;seau. Consultez la
section “D&eacute;mons TCP/IP”, page 4-201, et proc&eacute;dez comme indiqu&eacute; &agrave; “Configuration du
d&eacute;mon inetd”, page 4-204.
5. Configurez chaque machine h&ocirc;te pour effectuer la r&eacute;solution des noms en local ou
utiliser le serveur de noms. Si vous installez un syst&egrave;me hi&eacute;rarchique de type DOMAIN,
vous devez configurer au moins une machine h&ocirc;te en tant que serveur de noms.
Reportez-vous &agrave; “R&eacute;solution de noms sous TCP/IP”, page 4-66.
6. Si votre r&eacute;seau doit &ecirc;tre connect&eacute; &agrave; d’autres r&eacute;seaux distants, configurez au moins une
machine h&ocirc;te comme passerelle. Pour l’acheminement interr&eacute;seau, la passerelle peut
utiliser des routes statiques ou un d&eacute;mon de routage. Reportez-vous &agrave;
“Routage TCP/IP”, page 4-208.
7. D&eacute;terminez pour chaque machine h&ocirc;te du r&eacute;seau, les services accessibles. Par d&eacute;faut,
ils le sont tous. Pour changer cette configuration, proc&eacute;dez comme indiqu&eacute; &agrave; “Services
r&eacute;seau client”, page 4-205.
8. D&eacute;signez, parmi les machines h&ocirc;tes, celles qui joueront le r&ocirc;le de serveurs et d&eacute;finissez
leurs services respectifs. Pour lancer les d&eacute;mons de serveur de votre choix,
reportez-vous &agrave; ”Services r&eacute;seau serveur”, page 4-206.
9. Configurez les serveurs d’impression &agrave; distance n&eacute;cessaires. Pour en savoir plus,
reportez-vous aux g&eacute;n&eacute;ralit&eacute;s sur les imprimantes dans AIX 5L Version 5.3 Guide to
Printers and Printing.
10.Si vous le souhaitez, configurez une machine &agrave; utiliser comme serveur horaire ma&icirc;tre
pour le r&eacute;seau. Pour en savoir plus, reportez-vous au d&eacute;mon timed dans le manuel AIX
5L Version 5.3 Commands Reference.
Protocole TCP/IP
4-5
Protocoles TCP/IP
Cette section traite des points suivants :
• IP (Internet Protocol) Version 6 : G&eacute;n&eacute;ralit&eacute;s, page 4-9
• Suivi de paquet, page 4-17
• En-t&ecirc;tes de paquets au niveau interface de r&eacute;seau, page 4-18
• Protocoles Internet de niveau r&eacute;seau, page 4-22
• Protocoles Internet de niveau transport, page 4-27
• Protocoles Internet de niveau application, page 4-31
• Nombres r&eacute;serv&eacute;s, page 4-37
Les protocoles sont des ensembles de r&egrave;gles de formats de message et de proc&eacute;dures qui
permettent aux machines et aux applications d’&eacute;changer des informations. Ces r&egrave;gles
doivent &ecirc;tre observ&eacute;es par chaque machine impliqu&eacute;e dans la communication pour que le
message puisse &ecirc;tre interpr&eacute;t&eacute; par le syst&egrave;me destinataire.
La suite de protocoles TCP/IP (voir figure) peut &ecirc;tre repr&eacute;sent&eacute;e en couches (ou niveaux).
Figure 4. Suite de protocoles TCP/IP Cette illustration repr&eacute;sente les couches du
protocole TCP/IP. Ce sont, &agrave; partir du haut : couche d’application, couche de transport,
couche r&eacute;seau, couche d’interface r&eacute;seau et mat&eacute;riel.
COUCHE
Application
Transport
PROTOCOLE
APPLICATION
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
TCP/IP d&eacute;finit pr&eacute;cis&eacute;ment l’acheminement de l’information de l’&eacute;metteur au destinataire.
Les messages ou trains de donn&eacute;es sont envoy&eacute;s par les programmes d’application &agrave; l’un
des deux protocoles Internet de niveau transport : UDP (User Datagram Protocol) ou TCP
(Transmission Control Protocol). A la r&eacute;ception des donn&eacute;es, ces protocoles les divisent
en paquets, y ajoutent une adresse de destination et les transmettent &agrave; la couche de
protocole suivante, la couche R&eacute;seau Internet.
La couche R&eacute;seau Internet encapsule le paquet dans un datagramme IP (Internet
Protocol), ins&egrave;re les donn&eacute;es d’en-t&ecirc;te et de fin, d&eacute;cide de la destination du datagramme
(directement &agrave; destination ou via une passerelle) et transmet le datagramme &agrave; la couche
Interface r&eacute;seau.
La couche Interface r&eacute;seau r&eacute;ceptionne les datagrammes IP et les transmet sous forme
de trames &agrave; travers un r&eacute;seau sp&eacute;cifique, tel que Ethernet ou anneau &agrave; jeton (voir figure).
4-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Figure 5. Mouvement des informations de l’application &eacute;mettrice vers l’h&ocirc;te
r&eacute;cepteur Cette illustration repr&eacute;sente le flux d’informations descendant dans les couches
de protocole TCP/IP de l’&eacute;metteur vers l’h&ocirc;te.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole
de transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Les trames re&ccedil;ues par une machine h&ocirc;te sont r&eacute;exp&eacute;di&eacute;es &agrave; travers les couches de
protocoles dans le sens inverse. Chaque couche supprime l’information d’en-t&ecirc;te
correspondante jusqu’&agrave; ce que les donn&eacute;es atteignent de nouveau la couche Application
(reportez–vous &agrave; la figure).
Protocole TCP/IP
4-7
Figure 6. Mouvement des informations de l’h&ocirc;te vers l’application Cette illustration
repr&eacute;sente le flux d’informations remontant les couches de protocole TCP/IP de l’h&ocirc;te vers
l’&eacute;metteur.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole
de transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Les machines h&ocirc;tes envoient et re&ccedil;oivent des informations simultan&eacute;ment. En ce sens,
la figure Transmission et r&eacute;ception des donn&eacute;es h&ocirc;tes repr&eacute;sente avec plus d’exactitude
le mode de communication de l’h&ocirc;te.
Les h&ocirc;tes d’un r&eacute;seau envoient et re&ccedil;oivent les informations simultan&eacute;ment. La Figure 7
page 4-9 repr&eacute;sente avec davantage de pr&eacute;cision un h&ocirc;te en cours de communication.
4-8
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Figure 7. Transmissions et r&eacute;ceptions des donn&eacute;es h&ocirc;te Cette illustration repr&eacute;sente
les flux de donn&eacute;es dans les deux sens dans les couches TCP/IP.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole de
transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Remarque : Les en–t&ecirc;tes sont ajout&eacute;s et supprim&eacute;s dans chaque couche de protocole
au fur et &agrave; mesure que les donn&eacute;es sont transmises et re&ccedil;ues par l’h&ocirc;te.
IP version 6 - G&eacute;n&eacute;ralit&eacute;s
IP (Internet Protocol) version 6 (IPv6 ou IP ng) est la prochaine g&eacute;n&eacute;ration IP, con&ccedil;ue
comme une &eacute;volution d’IP version 4 (IPv4). Si IPv4 a permis le d&eacute;veloppement d’un Internet
global, il n’est cependant pas capable de progresser davantage &agrave; cause de deux facteurs
fondamentaux : espace d’adressage limit&eacute; et complexit&eacute; du routage. Les adresses 32 bits
IPv4 ne fournissent pas suffisamment de flexibilit&eacute; pour le routage global Internet. Le
d&eacute;ploiement de CIDR (Classless InterDomain Routing) a &eacute;tendu la dur&eacute;e de vie du routage
IPv4 d’un certain nombre d’ann&eacute;es, mais l’effort de gestion du routage continue toutefois &agrave;
augmenter. M&ecirc;me si le routage IPv4 pouvait &ecirc;tre augment&eacute;, Internet finirait par &ecirc;tre &agrave; court
de num&eacute;ros de r&eacute;seau.
L’IETF (Internet Engineering Task Force) ayant reconnu qu’IPv4 ne serait pas capable
d’assumer la croissance ph&eacute;nom&eacute;nale d’Internet, le groupe de travail IETF IP ng a &eacute;t&eacute;
form&eacute;. Parmi les propositions effectu&eacute;es, SIPP (Simple Internet Protocol Plus) a &eacute;t&eacute;
choisi comme &eacute;tape dans le d&eacute;veloppement d’IP. Il a &eacute;t&eacute; renomm&eacute; IP ng, et RFC1883 a &eacute;t&eacute;
finalis&eacute; en d&eacute;cembre 1995.
IPv6 &eacute;tend le nombre maximal d’adresses Internet de fa&ccedil;on &agrave; g&eacute;rer la croissance de la
population utilisatrice d’Internet. Par rapport &agrave; IPv4, IPv6 pr&eacute;sente l’avantage de permettre
la coexistence des nouveaut&eacute;s et des &eacute;l&eacute;ments existants. Ceci permet une migration
ordonn&eacute;e d’IPv4 (adressage 35 bits) &agrave; IPv6 (adressage 128 bits) sur un r&eacute;seau
op&eacute;rationnel.
Cette pr&eacute;sentation est destin&eacute;e &agrave; donner au lecteur une compr&eacute;hension g&eacute;n&eacute;rale du
protocole IPng. Pour plus d’informations, veuillez vous reporter &agrave; RFC 2460, 2373, 2465,
1886, 2461, 2462 et 2553.
Protocole TCP/IP
4-9
Routage et adressage &eacute;tendus
IPv6 augmente la taille de l’adresse IP de 32 bits &agrave; 128 bits, prenant ainsi en charge
davantage de niveaux dans la hi&eacute;rarchie d’adressage, un nombre beaucoup plus grand de
nœuds adressables et une configuration automatique plus simple des adresses.
Dans IPv6, il existe trois types d’adresses :
unicast
Un paquet envoy&eacute; &agrave; une adresse unicast est livr&eacute; &agrave;
l’interface identifi&eacute;e par cette adresse. Une adresse unicast
a une port&eacute;e particuli&egrave;re : local–liaison, local–site, global. Il
existe &eacute;galement deux adresses unicast sp&eacute;ciales :
•
::/128 (adresse non sp&eacute;cifi&eacute;e)
•
::1/128 (adresse en boucle)
multicast
Un paquet envoy&eacute; &agrave; une adresse multicast est livr&eacute; &agrave;
l’interface identifi&eacute;e par cette adresse. Une adresse
multicast est identifi&eacute;e par le pr&eacute;fixe ff::/8. Les adresses
multicast ont une port&eacute;e semblable &agrave; celle des adresses
unicast : local–nœud, local–liaison, local–site et
local–organisation.
anycast
Une adresse anycast a un seul exp&eacute;diteur, plusieurs
auditeurs et un seul interlocuteur (normalement le “plus
proche”, conform&eacute;ment &agrave; la mesure de distance des
protocoles de routage). Par exemple, il peut y avoir
plusieurs serveurs Web &agrave; l’&eacute;coute d’une adresse anycast.
Lorsqu’une requ&ecirc;te est envoy&eacute;e &agrave; cette adresse, un seul
serveur r&eacute;pond.
Une adresse anycast ne se distingue pas d’une
adresse unicast. Une adresse unicast devient une
adresse anycast lorsque plus d’une interface est
configur&eacute;e avec cette adresse.
Remarque :
Il n’existe pas d’adresse de diffusion dans IPv6. Cette fonction est
remplac&eacute;e par l’adresse multicast.
Configuration automatique
Les principaux m&eacute;canismes disponibles, permettant &agrave; un nœud de s’initialiser et de
commencer &agrave; communiquer avec d’autres nœuds sur un r&eacute;seau IPv4 sont le codage
“hard–coding”, BOOTP et DHCP.
IPv6 introduit le concept de port&eacute;e aux adresses IP, dont l’une est local–liaison. Ceci
permet &agrave; un h&ocirc;te &agrave; cr&eacute;er une adresse valide &agrave; partir du pr&eacute;fixe local–liaison pr&eacute;d&eacute;fini et son
identificateur local. Cet identificateur local est en g&eacute;n&eacute;ral extrait de l’adresse MAC
(medium access control) de l’interface &agrave; configurer. A l’aide de cette adresse, le nœud peut
communiquer avec les autres h&ocirc;tes sur le m&ecirc;me sous–r&eacute;seau et, pour un sous–r&eacute;seau
enti&egrave;rement isol&eacute;, peut ne pas avoir besoin d’une autre configuration d’adresse.
Adresses significatives
Avec IPv4, la seule signification g&eacute;n&eacute;ralement identifiable dans les adresses est la diffusion
(en g&eacute;n&eacute;ral tout 1 ou tout 0), et les classes (par exemple, une classe D est multicast).
Avec IPv6, il est possible d’examiner rapidement le pr&eacute;fixe pour d&eacute;terminer la port&eacute;e
(par exemple, local-liaison), multicast ou unicast, et un m&eacute;canisme d’affectation (bas&eacute; sur
le fournisseur, sur l’implantation g&eacute;ographique, etc.).
Les informations de routage peuvent &eacute;galement &ecirc;tre charg&eacute;es explicitement dans les bits
sup&eacute;rieurs des adresses, bien que l’IETF n’ait pas encore finalis&eacute; ce point (pour les
adresses bas&eacute;es sur le fournisseur, les informations de routage sont implicitement
pr&eacute;sentes dans l’adresse).
4-10
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&eacute;tection d’adresse en double
Lorsqu’une interface est initialis&eacute;e, ou r&eacute;initialis&eacute;e, elle se sert de la configuration
automatique pour essayer d’associer une adresse de type local-liaison &agrave; cette interface
(l’adresse n’est pas encore affect&eacute;e &agrave; cette interface dans le sens traditionnel). A ce stade,
l’interface rejoint les groupes multicast tous nœuds et nœuds sollicit&eacute;s, et leur envoie un
message de d&eacute;couverte de voisinage. Avec l’adresse multicast, le noeud peut d&eacute;terminer
si cette adresse local-liaison particuli&egrave;re a &eacute;t&eacute; pr&eacute;alablement affect&eacute;e, puis choisir une autre
adresse. Ceci &eacute;vite une des erreurs communes de gestion de r&eacute;seau, c’est-&agrave;-dire
l’affectation de la m&ecirc;me adresse &agrave; deux interfaces diff&eacute;rentes sur le m&ecirc;me lien.
(Il est encore possible de cr&eacute;er des adresses en double de port&eacute;e globale pour les nœuds
ne se trouvant pas sur le m&ecirc;me lien.)
Configuration automatique de d&eacute;couverte voisinage/adresse sans &eacute;tat
Le protocole NDP (Neighbor Discovery Protocol) pour IPv6 est utilis&eacute; par des nœuds
(h&ocirc;tes et routeurs) pour d&eacute;terminer les adresses de couche liaison pour les voisins connus
sur des liens rattach&eacute;s, et maintient les tables de routage par destination pour les
connexions actives. Les h&ocirc;tes utilisent &eacute;galement NDP pour d&eacute;couvrir des routeurs de
voisinage d&eacute;sireux d’acheminer des paquets pour leur compte et d&eacute;tectent les adresses de
couche liaison modifi&eacute;es. NDP (Neighbor Discovery Protocol) utilise ICMP (Internet Control
Message Protocol) version 6 avec ses propres types de messages uniques. D’une fa&ccedil;on
g&eacute;n&eacute;rale, le protocole NDP IPv6 correspond &agrave; la combinaison du protocole ARP IPv4,
RDISC (ICMP Router Discovery) et ICMP Redirect (ICMPv4), avec beaucoup
d’am&eacute;liorations.
IPv6 d&eacute;finit le m&eacute;canisme de configuration automatique d’une adresse avec et sans &eacute;tat. La
configuration automatique sans &eacute;tat n’exige pas de configuration manuelle des h&ocirc;tes, une
configuration, &eacute;ventuelle, minimale des routeurs; et pas de serveur suppl&eacute;mentaire. Le
m&eacute;canisme sans &eacute;tat permet &agrave; un h&ocirc;te de g&eacute;n&eacute;rer ses propres adresses &agrave; l’aide d’une
combinaison d’informations disponibles localement et pr&eacute;sent&eacute;es par les routeurs. Les
routeurs annoncent les pr&eacute;fixes qui identifient le(s) sous–r&eacute;seau(x) associ&eacute;s &agrave; un lien,
tandis que les h&ocirc;tes g&eacute;n&egrave;rent un jeton d’interface qui identifie de fa&ccedil;on unique une interface
sur un sous–r&eacute;seau. Une adresse est form&eacute;e par la combinaison des deux &eacute;l&eacute;ments.
En l’absence de routeurs, un h&ocirc;te ne peut g&eacute;n&eacute;rer que des adresses de type local-liaison.
Ces adresses sont toutefois suffisantes pour la communication entre nœuds rattach&eacute;s au
m&ecirc;me lien.
Simplification de routage
Pour simplifier les probl&egrave;mes de routage, les adresses IPv6 sont d&eacute;compos&eacute;es en deux
parties : un pr&eacute;fixe et un ID. La diff&eacute;rence avec le d&eacute;coupage des adresses IPv4 n’est pas
tr&egrave;s sensible, mais pr&eacute;sente deux avantages :
absence de classe
Il n’y a pas de nombre fixe de bits pour le pr&eacute;fixe ou l’ID, ce
qui permet de r&eacute;duire les pertes dues &agrave; une suraffectation.
imbrication
Il est possible d’utiliser un nombre arbitraire de divisions si
l’on consid&egrave;re diff&eacute;rents nombres de bits comme pr&eacute;fixe.
Protocole TCP/IP
4-11
Cas 1 :
_________________________________________________________________
|
128 bits
|
|_______________________________________________________________|
|
Adresse de nœud
|
|_______________________________________________________________|
Cas 2 :
__________________________________________________________________|
|
n bits
|
128– n bits
|
|____________________________________________|____________________|
|
Pr&eacute;fixe sous–r&eacute;seau
|
ID interface
|
|____________________________________________|____________________|
Cas 3 :
__________________________________________________________________|
|
n bits
|
80– n bits
|
48 bits
|
|_________________________|___________________|___________________|
|
Pr&eacute;fixe abonn&eacute;
| ID sous–r&eacute;seau
|
ID interface
|
|_________________________|___________________|___________________|
Cas 4 :
__________________________________________________________________|
|
|
|
|
|
|
s bits
|
n bits
|
m bits | 128–s–n–m bits |
|__________________|________________|____________|________________|
|
|
|
|
|
| Pr&eacute;fixe abonn&eacute;
| ID zone
| ID sous–
| ID interface
|
|__________________|________________|____________|________________|
En g&eacute;n&eacute;ral, IPv4 ne peut aller au del&agrave; du cas 3, m&ecirc;me avec VLSM (Variable Length Subnet
Mask, masque de sous–r&eacute;seau de longueur variable). (VLSM est un moyen d’allouer des
ressources d’adresses IP &agrave; des sous–r&eacute;seaux selon leurs besoins plut&ocirc;t qu’en respectant
des r&egrave;gles g&eacute;n&eacute;rales &agrave; l’&eacute;chelle du r&eacute;seau). Il s’agit autant d’un artefact de la longueur
d’adresse la plus courte que de la d&eacute;finition des pr&eacute;fixes de longueur variable, mais cela
m&eacute;rite cependant d’&ecirc;tre not&eacute;.
Simplification du format d’en-t&ecirc;te
IPv6 simplifie l’en-t&ecirc;te IP, soit par suppression compl&egrave;te soit par d&eacute;placement sur un en-t&ecirc;te
d’extension de certains champs trouv&eacute;s dans l’en-t&ecirc;te IPV4, et il d&eacute;finit un format plus
souple pour les informations facultatives (en-t&ecirc;tes d’extension). Sp&eacute;cifiquement, notez
l’absence de :
• longueur d’en-t&ecirc;te (la longueur est constante)
• identification
• indicateurs
• d&eacute;calage de fragment (d&eacute;plac&eacute; dans les en-t&ecirc;tes d’extension de fragmentation)
• total de contr&ocirc;le d’en-t&ecirc;te (l’en-t&ecirc;te de protocole de couche sup&eacute;rieure ou d’extension
de s&eacute;curit&eacute; g&egrave;re l’int&eacute;grit&eacute; des donn&eacute;es)
4-12
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Tableau 1. En–t&ecirc;te IPv4 :
IHL
Version
Type de service
Identification
Dur&eacute;e de vie
Longueur totale
Identificateurs
Protocole
D&eacute;calage
fragment
(Offset)
Total de contr&ocirc;le
d’en–t&ecirc;te (checksum)
Adresse source
Adresse de destination
Options
Remplissage
Tableau 2. En–t&ecirc;te Ipv6 :
Prio
Version
Longueur bloc
Libell&eacute; du flux
En–t&ecirc;te suivant
Limite de
tron&ccedil;on
Adresse source
Adresse de destination
IP ng inclut un m&eacute;canisme d’options am&eacute;lior&eacute; par rapport &agrave; IPv4. Les options IPv6 sont
plac&eacute;es dans des en-t&ecirc;tes d’extension s&eacute;par&eacute;s qui r&eacute;sident entre l’en-t&ecirc;te IPv6 et l’en-t&ecirc;te
de couche transport dans un paquet. La plupart des en-t&ecirc;tes d’extension ne sont pas
examin&eacute;s ou trait&eacute;s par un routeur le long du chemin de livraison de paquets.
Ce m&eacute;canisme apporte une grande am&eacute;lioration aux performance du routeur pour les
paquets contenant des options. Dans IPv4, la pr&eacute;sence d’options requiert l’examen de
toutes les options par le routeur.
Une autre am&eacute;lioration provient du fait que, contrairement aux options IPv4, les en-t&ecirc;tes
d’extension IPv6 peuvent &ecirc;tre d’une longueur arbitraire et le nombre total d’options
transmises dans un paquet n’est pas limit&eacute; &agrave; 40 octets. Cette fonction, ainsi que la fa&ccedil;on
dont elle est trait&eacute;e, permet aux options IPv6 d’&ecirc;tre utilis&eacute;es pour les fonctions qui n’&eacute;taient
pas pratiques dans IPv4, comme les options d’authentification et d’encapsulage de
s&eacute;curit&eacute; IPv6.
Pour am&eacute;liorer les performances de gestion des en-t&ecirc;tes d’option suivants et du protocole
de transport qui suit, les options IPv6 sont toujours un multiple entier de huit octets, pour
conserver cet alignement pour les en–t&ecirc;tes suivants.
En utilisant des en-t&ecirc;tes d’extension au lieu d’un sp&eacute;cificateur de protocole et de champs
d’options, l’int&eacute;gration des extensions nouvellement d&eacute;finies est plus facile.
Les sp&eacute;cifications actuelles d&eacute;finissent les en-t&ecirc;tes d’extension comme suit :
• Options bond par bond s’appliquant &agrave; chaque bond (routeur) sur le chemin
• En-t&ecirc;te de routage pour un routage de source strict ou non (rarement utilis&eacute;)
• Un fragment d&eacute;finit le paquet comme un fragment et contient des informations &agrave; ce sujet
(les routeur Ipv6 ne fragmentent pas les paquets)
• Authentification (reportez–vous &agrave; S&eacute;curit&eacute; IP dans AIX 5L Version 5.3 Security Guide
• Chiffrement (reportez–vous &agrave; S&eacute;curit&eacute; IP dans AIX 5L Version 5.3 Security Guide
• Options de destination pour le nœud de destination (ignor&eacute; par les routeurs)
Protocole TCP/IP
4-13
Am&eacute;lioration du contr&ocirc;le trafic/qualit&eacute; du service
La qualit&eacute; du service peut &ecirc;tre contr&ocirc;l&eacute;e &agrave; l’aide d’un protocole de contr&ocirc;le comme RSVP,
et IPv6 fournit une d&eacute;finition de priorit&eacute; explicite pour les paquets en utilisant le champ de
priorit&eacute; dans l’en-t&ecirc;te IP. Un nœud peut d&eacute;finir cette valeur pour indiquer la priorit&eacute; relative
d’un paquet ou d’un ensemble de paquets, pouvant &ecirc;tre alors utilis&eacute;s par le nœud, un
ou plusieurs routeurs, ou la destination pour indiquer que faire du paquet (l’abandonner
ou non).
IPv6 sp&eacute;cifie deux types de priorit&eacute;s, une pour le trafic contr&ocirc;le en cas de congestion,
et une pour le trafic non contr&ocirc;l&eacute; en cas de congestion. Il n’y a aucun ordre relatif entre
ces deux types.
Le trafic contr&ocirc;le en cas de congestion est un trafic r&eacute;pondant aux embouteillages par
un algorithme de limitation. Dans ce cas, les priorit&eacute;s sont :
0
trafic non caract&eacute;ris&eacute;
1
trafic ”de remplissage” (par exemple, informations sur le r&eacute;seau)
2
transfert de donn&eacute;es non assist&eacute; (par exemple, messagerie automatique)
3
(r&eacute;serv&eacute;)
4
transfert de lot assist&eacute; (par exemple, FTP)
5
(r&eacute;serv&eacute;)
6
trafic interactif (par exemple, Telnet)
7
trafic de contr&ocirc;le (par exemple, protocoles de routage)
Le trafic non contr&ocirc;l&eacute; en cas de congestion est un trafic r&eacute;pondant &agrave; des situations
d’embouteillage par l’abandon (ou simplement la non r&eacute;exp&eacute;dition) des paquets, par
exemple le trafic vid&eacute;o, audio ou autre trafic en temps r&eacute;el. Les niveaux explicites ne sont
pas d&eacute;finis avec des exemples, mais l’ordre est semblable &agrave; celui utilis&eacute; pour le trafic
contr&ocirc;l&eacute; en cas de congestion.
• La valeur la plus basse que la source cherche le plus &agrave; rejeter doit &ecirc;tre utilis&eacute;e
pour le trafic.
• La valeur la plus haute que la source cherche le moins &agrave; rejeter doit &ecirc;tre utilis&eacute;e
pour le trafic.
Ce contr&ocirc;le de priorit&eacute; ne s’applique qu’au trafic provenant d’une adresse source
particuli&egrave;re. Le contr&ocirc;le de trafic &agrave; partir d’une adresse ne constitue pas une priorit&eacute;
explicitement sup&eacute;rieure &agrave; un transfert de lot assist&eacute; &agrave; partir d’une autre adresse.
Libell&eacute; du flux
En-dehors de la d&eacute;finition de priorit&eacute; de base pour le trafic, IPv6 d&eacute;finit un m&eacute;canisme de
sp&eacute;cification d’un flux particulier de paquets. En termes IPv6, un flux est une suite de
paquets envoy&eacute;s &agrave; partir d’une source sp&eacute;cifique vers une destination sp&eacute;cifique (unicast
ou multicast), pour laquelle la source recherche un traitement sp&eacute;cial par les routeurs
intervenants.
Cette identification de flux peut servir pour le contr&ocirc;le de priorit&eacute;, mais peut &eacute;galement &ecirc;tre
utilis&eacute;e pour un certain nombre de contr&ocirc;les.
Le libell&eacute; de flux est choisi de fa&ccedil;on al&eacute;atoire, et ne doit pas &ecirc;tre utilis&eacute; pour identifier une
caract&eacute;ristique du trafic diff&eacute;rente du flux correspondant. Un routeur ne peut donc pas
d&eacute;terminer qu’un paquet est d’un type particulier (par exemple, FTP) par le seul examen du
libell&eacute; de flux. Il pourra cependant d&eacute;terminer qu’il s’agit d’une partie de la m&ecirc;me suite de
paquets que le dernier paquet portant ce libell&eacute;.
Remarque :
4-14
Jusqu’&agrave; g&eacute;n&eacute;ralisation de l’utilisation d’IPv6, le libell&eacute; de flux est
principalement exp&eacute;rimental. Les utilisations et les contr&ocirc;les impliquant
des libell&eacute;s de flux n’ont pas encore &eacute;t&eacute; d&eacute;finis ni standardis&eacute;s.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Tunnellisation IPv6
La cl&eacute; d’une transition IPv6 r&eacute;ussie est la compatibilit&eacute; avec la base install&eacute;e existante
d’h&ocirc;tes IPv4 et de routeurs. Le maintien de cette compatibilit&eacute; permet un passage en
douceur d’Internet sur IPv6.
Dans la plupart des cas, l’infrastructure de routage IPv6 &eacute;volue dans le temps. Pendant le
d&eacute;ploiement de l’infrastructure IPv6, l’infrastructure de routage IPv4 existante peut rester
fonctionnelle et peut servir &agrave; acheminer le trafic IPv6. L’utilisation de tunnels permet
d’utiliser une infrastructure de routage IPv4 existante pour acheminer le trafic IPv6.
Les h&ocirc;tes et routeurs IPv6/IPv4 peuvent utiliser des tunnels pour les datagrammes IPv6
sur des zones de la topologie de routage IPv4 en les encapsulant dans des paquets IPv4.
Le tunnel peut &ecirc;tre utilis&eacute; d’une multitude de fa&ccedil;ons.
Routeur-routeur
Les routeurs IPv6/IPv4 interconnect&eacute;s par une
infrastructure IPv4 peuvent faire passer dans un tunnel les
reliant des paquets IPv6. Dans ce cas, le tunnel fractionne
un segment du chemin complet qu’emprunte le paquet
IPv6.
H&ocirc;te-routeur
Les h&ocirc;tes IPv6/IPv4 peuvent faire passer dans un tunnel
des paquets IPv6 vers un routeur interm&eacute;diaire IPv6/IPv4
accessible via une infrastructure IPv4. Ce type de tunnel
fractionne le premier segment du chemin complet du
paquet.
H&ocirc;te-h&ocirc;te
Les h&ocirc;tes IPv6/IPv4 interconnect&eacute;s par une infrastructure
IPv4 peuvent faire passer des paquets IPv6 dans un tunnel
les reliant. Dans ce cas, le tunnel fractionne tout le chemin
qu’emprunte le paquet.
Routeur-h&ocirc;te
Les routeurs IPv6/IPv4 peuvent faire passer dans un tunnel
des paquets IPv6 jusqu’&agrave; leur h&ocirc;te final IPv6/IPv4. Dans ce
cas, le tunnel ne fractionne que le dernier segment du
chemin complet.
Les techniques de tunnel sont g&eacute;n&eacute;ralement class&eacute;es en fonction du m&eacute;canisme par lequel
le nœud d’encapsulage d&eacute;termine l’adresse du nœud en fin de tunnel. Dans les m&eacute;thodes
routeur-routeur ou h&ocirc;te-routeur, le paquet IPv6 est achemin&eacute; par tunnel vers un routeur.
Dans les m&eacute;thodes h&ocirc;te-h&ocirc;te ou routeur-h&ocirc;te, le paquet IPv6 passe dans un tunnel tout le
long jusqu’&agrave; sa destination.
Le noeud d’entr&eacute;e du tunnel (noeud d’encapsulage) cr&eacute;e un en-t&ecirc;te IPv4 d’encapsulage et
transmet le paquet encapsul&eacute;. Le noeud de sortie du tunnel (noeud de d&eacute;capsulage) re&ccedil;oit
le paquet encapsul&eacute;, supprime l’en-t&ecirc;te IPv4, met &agrave; jour l’en-t&ecirc;te IPv6 et traite le paquet
IPv6 re&ccedil;u. Toutefois, le nœud d’encapsulage doit mettre &agrave; jour les informations sur l’&eacute;tat du
logiciel pour chaque tunnel, par exemple MTU pour chaque tunnel, pour traiter les
paquets IPv6 achemin&eacute;s dans le tunnel.
Deux types de tunnel existent dans IPv6 : des tunnels automatiques et des tunnels
configur&eacute;s.
Tunnels automatiques
Les tunnels automatiques sont configur&eacute;s &agrave; l’aide des informations de l’adresse IPv4
incorpor&eacute;es dans une adresse IPv6. L’adresse IPv6 de l’h&ocirc;te de destination inclut des
informations sur l’adresse IPv4 &agrave; laquelle le paquet doit &ecirc;tre raccord&eacute;.
Tunnels configur&eacute;s
La configuration des tunnels configur&eacute;s doit &ecirc;tre effectu&eacute;e manuellement. Vous utilisez les
tunnels configur&eacute;s lorsque vous travaillez avec des adresses IPv6 qui ne contiennent pas
d’informations IPv4. Les adresses IPv6 et IPv4 des extr&eacute;mit&eacute;s du tunnel doivent &ecirc;tre
sp&eacute;cifi&eacute;es.
Protocole TCP/IP
4-15
Pour plus d’informations sur la configuration automatique et les tunnels configur&eacute;s,
reportez–vous &agrave; la section Configuration de la tunnellisation dans IPv6, page 1-8.
S&eacute;curit&eacute; IPv6
Pour plus d’informations sur la s&eacute;curit&eacute; IP, versions 4 et 6, reportez–vous &agrave; la section
S&eacute;curit&eacute; du protocole (IP) dans le manuel AIX 5L Version 5.3 – Guide de s&eacute;curit&eacute;.
Support IPv6 des adresses locales du site et des liens Multihomed
Plusieurs interfaces peuvent &ecirc;tre d&eacute;finies pour un h&ocirc;te. Un h&ocirc;te comportant deux ou
plusieurs interfaces interactives est dit multihomed. Chaque interface est associ&eacute;e &agrave; une
adresse de type local. Ces adresses sont suffisantes pour la communication entre nœuds
rattach&eacute;s &agrave; un m&ecirc;me lien.
Un h&ocirc;te multihomed est associ&eacute;s &agrave; deux ou plusieurs adresses de type local. Dans cette
impl&eacute;mentation IPv6, 4 options permettent de d&eacute;terminer comment la r&eacute;solution des
adresses de couche liaison s’effectue sur les h&ocirc;tes multihomed. L’option 1 est activ&eacute;e par
d&eacute;faut.
4-16
Option 0
Aucune action multihomed n’est effectu&eacute;e. Les transmissions sortent
par la premi&egrave;re interface de type local. Lorsque le protocole NDP
(Neighbor Discovery Protocol) doit r&eacute;soudre les adresses, il
envoie (multicast) un message de d&eacute;couverte de voisinage sur
chaque interface pour laquelle est d&eacute;finie cette adresse de type
local. NDP met le paquet de donn&eacute;es en attente jusqu’&agrave; ce qu’il
re&ccedil;oive le premier message d’avis de voisinage (Neighbor
Advertisement). Le paquet de donn&eacute;es est alors transmis par cette
liaison.
Option 1
Lorsque le protocole NDP doit r&eacute;soudre une adresse (lorsqu’il
envoie un paquet de donn&eacute;es vers une destination et que les
informations relatives &agrave; la liaison pour le tron&ccedil;on suivant ne sont pas
dans le cache de voisinage (Neighbor Cache), il envoie (multicast)
un message de d&eacute;couverte de voisinage sur chaque interface pour
laquelle est d&eacute;finie cette adresse de type local. NDP met alors le
paquet de donn&eacute;es en attente jusqu’&agrave; ce qu’il re&ccedil;oive les
informations concernant la liaison. NDP attend de recevoir la
r&eacute;ponse de chaque interface. Ceci permet de garantir que les
paquets de donn&eacute;es sont envoy&eacute;s par l’interm&eacute;diaire des interfaces
sortantes appropri&eacute;es. Si NDP r&eacute;pondait au premier avis de
voisinage sans attendre les autres r&eacute;ponses, il pourrait arriver qu’un
paquet de donn&eacute;es soit envoy&eacute; sur une liaison non associ&eacute;e &agrave;
l’adresse source du paquet. Comme NDP doit attendre toutes les
r&eacute;ponses, on constate un certain d&eacute;lai avant l’envoi du premier
paquet. De toute fa&ccedil;on, un d&eacute;lai est &eacute;galement &agrave; pr&eacute;voir lors de
l’attente de la premi&egrave;re r&eacute;ponse.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Option 2
Le fonctionnement multihomed est autoris&eacute; mais l’exp&eacute;dition d’un
paquet de donn&eacute;es est limit&eacute;e &agrave; l’interface sp&eacute;cifi&eacute;e par main_if6.
Lorsque le protocole NDP doit r&eacute;soudre les adresses, il envoie
(multicast) un message de d&eacute;couverte de voisinage sur chaque
interface pour laquelle est d&eacute;finie cette adresse de type local. Il
attend alors le message d’avis de voisinage en provenance de
l’interface sp&eacute;cifi&eacute;e par main_if6 (voir la commande no). D&egrave;s qu’il
re&ccedil;oit la r&eacute;ponse de cette interface, le paquet de donn&eacute;es est
envoy&eacute; sur cette liaison.
Option 3
Le fonctionnement multihomed est autoris&eacute; mais l’exp&eacute;dition d’un
paquet de donn&eacute;es est limit&eacute;e &agrave; l’interface sp&eacute;cifi&eacute;e par main_if6 et
les adresses de type local ne sont achemin&eacute;es que pour l’interface
sp&eacute;cifi&eacute;e par main_site6 (voir la commande no). Le protocole NDP
fonctionne comme avec l’option 2. Pour les applications qui
acheminent des paquets de donn&eacute;es en utilisant des adresses de
type local, sur un h&ocirc;te multihomed, seule l’adresse locale sp&eacute;cifi&eacute;e
par main_site6 est utilis&eacute;e.
Suivi de paquet
Le suivi de paquet consiste &agrave; contr&ocirc;ler le parcours d’un paquet &agrave; travers les couches
jusqu’&agrave; destination. La commande iptrace permet d’effectuer ce contr&ocirc;le au niveau de la
couche Interface de r&eacute;seau. La commande ipreport g&eacute;n&egrave;re en sortie un compte rendu de
suivi aux formats hexad&eacute;cimal et ASCII. La commande trpt effectue le contr&ocirc;le au niveau
de la couche transport pour le protocole TCP. La sortie de la commande trpt est plus
d&eacute;taill&eacute;e : elle comprend des informations sur la date et l’heure, l’&eacute;tat TCP et la mise en
s&eacute;quence des paquets.
Protocole TCP/IP
4-17
En-t&ecirc;tes de paquet au niveau interface de r&eacute;seau
Au niveau de la couche Interface de r&eacute;seau, des en-t&ecirc;tes sont associ&eacute;s aux donn&eacute;es
sortantes.
Figure 8. Flux de paquet dans la structure de l’interface r&eacute;seau Cette illustration
repr&eacute;sente un flux de donn&eacute;es bidirectionnel dans les couches de la structure de l’interface
r&eacute;seau. Ce sont, en partant du haut : (logiciel) couche r&eacute;seau, couche d’interface r&eacute;seau,
pilote de p&eacute;riph&eacute;rique, et (mat&eacute;riel) carte adaptateur r&eacute;seau ou connexion.
R&eacute;seau
Interface de r&eacute;seau
Pilote d’unit&eacute;
LOGICIEL
MATERIEL
Carte r&eacute;seau
Carte/Connexion
Les paquets transitent alors par la carte de r&eacute;seau vers le r&eacute;seau correspondant. Ils
traversent parfois plusieurs passerelles avant d’atteindre leur destination. Une fois arriv&eacute;s
au r&eacute;seau de destination, ces en-t&ecirc;tes sont supprim&eacute;s et les donn&eacute;es envoy&eacute;es &agrave; l’h&ocirc;te
concern&eacute;.
Ce processus s’applique aux informations d’en-t&ecirc;te de plusieurs interfaces de r&eacute;seau
courantes.
4-18
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
En-t&ecirc;tes de trame pour carte Ethernet
Le tableau ci-apr&egrave;s repr&eacute;sente un en-t&ecirc;te de trame IP (Internet Protocol) ou ARP
(Address Resolution Protocol) pour la carte Ethernet.
En-t&ecirc;te de trame de carte Ethernet
Zone
Longueur
D&eacute;finition
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute;
&agrave; 1, l’information de routage (RI) est pr&eacute;sente.
Type
2 octets
Type du paquet : IP ou ARP. IP ou ARP (le type est
repr&eacute;sent&eacute; par des num&eacute;ros, comme indiqu&eacute;
ci-dessous).
Num&eacute;ros de la zone Type :
IP
0800
ARP
0806
En-t&ecirc;te de trame pour r&eacute;seau en anneau &agrave; jeton
L’en-t&ecirc;te MAC (Medium Access Control) pour carte anneau &agrave; jeton se compose des cinq
zones ci-dessous :
En-t&ecirc;te MAC pour r&eacute;seau en anneau &agrave; jeton
Zone
Longueur
D&eacute;finition
AC
1 octet
Contr&ocirc;le d’acc&egrave;s. La valeur x‘00’ conf&egrave;re &agrave; l’en-t&ecirc;te la priorit&eacute; 0.
FC
1 octet
Contr&ocirc;le de la zone. La valeur x‘40’ indique une trame LLC
(Logical Link Control).
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute; &agrave; 1,
l’information de routage (RI) est pr&eacute;sente.
RI
18 octets
Information de routage. Les valeurs possibles sont fournies plus
loin.
L’en-t&ecirc;te MAC comprend deux zones d’informations sur le routage, de 2 octets chacune :
le contr&ocirc;le de routage (RC) et les num&eacute;ros de segment. Huit num&eacute;ros de segment au
maximum peuvent &ecirc;tre utilis&eacute;s pour d&eacute;signer les destinataires d’une diffusion limit&eacute;e.
Les informations RC sont fournies aux octets 0 et 1 de la zone RI. Les deux premiers bits
de la zone RC peuvent prendre les valeurs suivantes :
bit (0) = 0
Utilisation de la route de non–diffusion, sp&eacute;cifi&eacute;e dans la zone RI.
bit (0) = 1
Cr&eacute;ation de la zone RI et diffusion vers tous les anneaux.
bit (0) = 1
Diffusion via tous les ponts.
bit (1) = 1
Diffusion via certains ponts.
Protocole TCP/IP
4-19
L’en-t&ecirc;te LLC (contr&ocirc;le de liaison logique) comporte les cinq zones suivantes :
En-t&ecirc;te LLC 802.3
Zone
Longueur
D&eacute;finition
DSAP
1 octet
Point d’acc&egrave;s au service de destination. La valeur est x‘aa’.
SSAP
1 octet
Point d’acc&egrave;s au service source. La valeur est x‘aa’.
CONTROL 1 octet
Commandes et r&eacute;ponses LLC (contr&ocirc;le de liaison logique).
Trois valeurs possibles (pr&eacute;sent&eacute;es plus loin).
PROT_ID
3 octets
ID de protocole. Cette zone est r&eacute;serv&eacute;e. Sa valeur est de x‘0’.
TYPE
2 octets
Type du paquet : IP ou ARP.
Valeurs de la zone CONTROL
4-20
x‘03’
Trame d’information non num&eacute;rot&eacute;e (UI). Mode de transmission normale
ou non s&eacute;quentielle des donn&eacute;es de la carte anneau &agrave; jeton sur le r&eacute;seau.
Les donn&eacute;es sont mises en s&eacute;quence par TCP/IP.
x‘AF’
Trame XID (Exchange Identification). Elle transmet les caract&eacute;ristiques
de l’h&ocirc;te &eacute;metteur.
x‘E3’
Trame de test. Cette trame teste la route de transmission,
et renvoie les donn&eacute;es re&ccedil;ues.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
En-t&ecirc;tes de trame 802.3
L’en-t&ecirc;te MAC (Medium Access Control) pour la carte 802.3 est compos&eacute; de deux zones,
comme vous pouvez le constater dans le tableau d’en–t&ecirc;tes suivant.
En-t&ecirc;te MAC 802.3
Zone
Longueur
D&eacute;finition
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute; &agrave; 1,
l’information de routage (RI) est pr&eacute;sente.
L’en-t&ecirc;te LLC (Logical Link Control) pour la carte 802.3 est identique &agrave; l’en-t&ecirc;te MAC
de l’anneau &agrave; jeton.
Protocole TCP/IP
4-21
Protocoles Internet de niveau r&eacute;seau
Les protocoles Internet de niveau r&eacute;seau g&egrave;rent la communication entre les machines.
Autrement dit, c’est la couche qui assure le routage TCP/IP. Ces protocoles r&eacute;ceptionnent
les demandes de transmission de paquets (dot&eacute;s de l’adresse r&eacute;seau de la machine
destinataire) issues de la couche Transport, convertissent les paquets en datagrammes
et les communiquent &agrave; la couche Interface de r&eacute;seau (voir figure).
Figure 9. Couche r&eacute;seau de la suite de protocoles TCP/IP Cette illustration repr&eacute;sente
les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la couche
d’application comprend l’application. La couche de transport comprend UDP et TCP.
La couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient
le r&eacute;seau physique.
PROTOCOLE
COUCHE
Application
APPLICATION
Transport
UDP
R&eacute;seau
Interface de r&eacute;seau
TCP
PROTOCOLE INTERNET
INTERFACE DE RESEAU (MATERIEL)
Mat&eacute;riel
RESEAU PHYSIQUE
TCP/IP fournit les protocoles requis pour &ecirc;tre conforme &agrave; RFC 1100 (Official Internet
Protocols), ainsi que d’autres protocoles couramment utilis&eacute;s par les machines h&ocirc;tes
en environnement Internet.
Remarque : Sous TCP/IP, l’utilisation des num&eacute;ros de r&eacute;seau, version, prise,
service et protocole Internet est &eacute;galement conforme &agrave; RFC 1010 (Assigned Numbers).
Protocole de r&eacute;solution d’adresse
Le premier protocole intervenant au niveau r&eacute;seau est le protocole de r&eacute;solution
d’adresse (ARP). Ce protocole est charg&eacute; de traduire dynamiquement les adresses
Internet en adresses mat&eacute;rielles uniques sur les r&eacute;seaux locaux.
Pour illustrer le fonctionnement d’ARP, prenons le cas de deux noeuds, jim et fred. Si le
nœud jim d&eacute;sire communiquer avec fred, et que jim et fred ne r&eacute;sident pas sur le
m&ecirc;me r&eacute;seau local (LAN), jim et fred doivent utiliser des ponts, routeurs ou passerelles
et des adresses IP. Au sein d’un r&eacute;seau local, les nœuds requi&egrave;rent en outre les adresses
mat&eacute;rielles (niveau inf&eacute;rieur).
Les noeuds implant&eacute;s sur le m&ecirc;me segment d’un r&eacute;seau local font appel au protocole ARP
pour d&eacute;terminer l’adresse mat&eacute;rielle d’autres noeuds. Tout d’abord, le noeud jim diffuse
une demande ARP pour conna&icirc;tre l’adresse mat&eacute;rielle de fred. Cette demande comporte
les adresses IP et mat&eacute;rielle de jim et l’adresse IP de fred. Lorsque fred re&ccedil;oit la
requ&ecirc;te ARP, il place une entr&eacute;e destin&eacute;e &agrave; jim dans sa m&eacute;moire cache ARP (utilis&eacute;e pour
&eacute;tablir rapidement l’&eacute;quivalence entre l’adresse IP et l’adresse mat&eacute;rielle). Ensuite, fred
renvoie directement &agrave; jim une r&eacute;ponse ARP avec l’adresse IP et l’adresse mat&eacute;rielle de
fred. Lorsque le nœud jim re&ccedil;oit cette r&eacute;ponse, il place &agrave; son tour une entr&eacute;e destin&eacute;e &agrave;
fred dans sa m&eacute;moire cache ARP.
D&egrave;s lors, jim peut correspondre directement avec fred sans recours au protocole ARP
(&agrave; moins que l’entr&eacute;e en m&eacute;moire cache ARP destin&eacute;e &agrave; fred ne soit supprim&eacute;e).
Contrairement &agrave; la plupart des protocoles, les en-t&ecirc;tes de paquet ARP n’ont pas un format
fixe. Le message est con&ccedil;u pour s’adapter &agrave; diverses technologies de r&eacute;seau, telles que :
• Carte de r&eacute;seau local Ethernet (qui prend en charge les protocoles Ethernet et 802.3)
4-22
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• Carte de r&eacute;seau en anneau &agrave; jeton
• Carte de r&eacute;seau FDDI (Fiber Distributed Data Interface)
En revanche, ARP ne traduit pas les adresses pour SLIP ou convertisseur optique s&eacute;rie
(SOC), car il s’agit de connexions point &agrave; point.
Les tables de traduction sont tenues &agrave; jour par le noyau et les utilisateurs ou les
applications n’ont pas d’acc&egrave;s direct &agrave; ARP. Lorsqu’une application envoie un paquet
Internet &agrave; l’un des pilotes d’interface, le pilote demande l’&eacute;quivalence d’adresse. Si cette
&eacute;quivalence ne figure pas dans la table, un paquet ARP de diffusion est envoy&eacute; aux h&ocirc;tes
du r&eacute;seau local via le pilote d’interface demandeur.
Les entr&eacute;es de la table d’&eacute;quivalence (mappage) ARP sont supprim&eacute;es au bout de
20 minutes et les entr&eacute;es incompl&egrave;tes au bout de 3 minutes. Pour ins&eacute;rer une entr&eacute;e
permanente dans la table, lancez la commande arp assortie du param&egrave;tre pub :
arp –s 802.3 host2 0:dd:0:a:8s:0 pub
Lorsqu’un h&ocirc;te prenant en charge ARP re&ccedil;oit un paquet de demande ARP, il note l’adresse
IP et l’adresse mat&eacute;rielle du syst&egrave;me demandeur et met &agrave; jour sa table d’&eacute;quivalence. Si
son adresse IP ne correspond pas &agrave; l’adresse demand&eacute;e, il rejette le paquet. Sinon, il
envoie un paquet de r&eacute;ponse au syst&egrave;me demandeur. Le syst&egrave;me demandeur enregistre la
nouvelle &eacute;quivalence pour l’appliquer aux paquets Internet similaires en attente.
Protocole ICMP
Le deuxi&egrave;me protocole intervenant au niveau r&eacute;seau est le protocole de message de
contr&ocirc;le interr&eacute;seau (ICMP). Ce protocole, partie int&eacute;grante de toute impl&eacute;mentation IP g&egrave;re
les messages d’erreur et de contr&ocirc;le pour IP. Il est utilis&eacute; par les passerelles et les
syst&egrave;mes h&ocirc;tes pour transmettre les comptes rendus d’incidents aux machines &eacute;mettrices
d’un paquet. Il est charg&eacute; de :
• tester l’accessibilit&eacute; d’une destination,
• signaler les erreurs de param&egrave;tres dans un en-t&ecirc;te de datagramme,
• effectuer la synchronisation horaire et &eacute;valuer le temps de transit,
• obtenir les adresses Internet et les masques de sous-r&eacute;seau.
Remarque :
ICMP utilise la prise en charge de base d’IP comme s’il s’agissait d’un
protocole de niveau sup&eacute;rieur. ICMP fait partie int&eacute;grante du protocole IP
et doit &ecirc;tre mis en œuvre par tout module IP.
ICMP rend compte des anomalies de l’environnement de communications sans garantir
pour autant la fiabilit&eacute; du protocole IP. Autrement dit, il ne garantit pas la livraison d’un
paquet IP ni l’envoi d’un message ICMP &agrave; l’h&ocirc;te source en cas d’&eacute;chec ou d’erreur de
livraison.
Les messages ICMP sont &eacute;mis dans les cas suivants :
• destination d’un paquet inaccessible,
• capacit&eacute; tampon insuffisante sur l’h&ocirc;te passerelle pour la r&eacute;exp&eacute;dition d’un paquet,
• passerelle capable d’obtenir que l’h&ocirc;te achemine le courrier via un chemin plus court.
TCP/IP envoie et re&ccedil;oit plusieurs types de message ICMP (reportez–vous &agrave; Types de
messages ICMP page 4-24). Le protocole ICMP int&eacute;gr&eacute; au noyau, ne dispose d’aucune
interface API.
Protocole TCP/IP
4-23
Types de messages ICMP
ICMP peut envoyer ou recevoir des messages du type :
echo request
Demande d’&eacute;cho envoy&eacute;e par les h&ocirc;tes et les passerelles
pour tester l’accessibilit&eacute; de la destination.
information request
Demande d’information envoy&eacute;e par les h&ocirc;tes et les
passerelles pour obtenir l’adresse Internet d’un r&eacute;seau auquel
ils sont connect&eacute;s. Avec ce type de message, la portion
r&eacute;seau de l’adresse de destination IP est positionn&eacute;e &agrave; 0.
timestamp request
Demande de l’heure courante &agrave; la machine de destination.
address mask request
Demande de masque d’adresse envoy&eacute;e par l’h&ocirc;te pour
identifier son masque de sous-r&eacute;seau. Cette demande est
envoy&eacute;e &agrave; une passerelle s’il en conna&icirc;t l’adresse ou sous
forme de message de diffusion.
destination unreachable Message envoy&eacute; lorsqu’une passerelle ne parvient pas &agrave;
livrer un datagramme IP.
source quench
Demande effectu&eacute;e aupr&egrave;s de l’&eacute;metteur de datagrammes
lorsque son d&eacute;bit d’&eacute;mission est trop &eacute;lev&eacute; pour que les
passerelles ou h&ocirc;tes puissent traiter les datagrammes
entrants.
redirect message
Message de redirection envoy&eacute; lorsqu’une passerelle d&eacute;tecte
qu’un h&ocirc;te n’utilise pas une route optimale.
echo reply
R&eacute;ponse d’&eacute;cho renvoy&eacute;e, par la machine r&eacute;ceptrice,
&agrave; l’&eacute;metteur d’une demande d’&eacute;cho.
information reply
Message envoy&eacute; par les passerelles en r&eacute;ponse aux
demandes d’adresse (avec les zones source et destination
du datagramme IP renseign&eacute;es).
timestamp reply
R&eacute;ponse indiquant l’heure courante.
address mask reply
R&eacute;ponse de masque d’adresse envoy&eacute;e aux machines
qui requi&egrave;rent des masques de sous-r&eacute;seau.
parameter problem
Message envoy&eacute; lorsqu’un h&ocirc;te ou une passerelle rel&egrave;ve
une anomalie dans un en-t&ecirc;te de datagramme.
time exceeded
Message envoy&eacute; lorsque les conditions ci–dessous sont
r&eacute;unies :
• A chaque datagramme IP est associ&eacute;e une dur&eacute;e de vie
(nombre de bonds), d&eacute;cr&eacute;ment&eacute;e par chaque passerelle.
• Un datagramme est rejet&eacute; par une passerelle,
sa dur&eacute;e de vie ayant atteint la valeur 0.
Internet Timestamp
Horodateur Internet utilis&eacute; pour enregistrer les dates
et heures durant le parcours.
Protocole Internet
Le troisi&egrave;me protocole intervenant au niveau r&eacute;seau est le protocole Internet (IP).
IP est un protocole sans connexion car il traite chaque paquet d’informations s&eacute;par&eacute;ment.
Il effectue la livraison des paquets pour Internet, sans garantie de livraison (aucun
acquittement de message n’est exig&eacute; aupr&egrave;s des h&ocirc;tes &eacute;metteur, r&eacute;cepteur et
interm&eacute;diaires) et sans connexion (chaque paquet d’informations est trait&eacute; s&eacute;par&eacute;ment).
4-24
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
IP assure l’interface avec les protocoles de niveau Interface de r&eacute;seau. Les connexions
physiques d’un r&eacute;seau transmettent l’information sous forme d’une trame compos&eacute;e d’un
en-t&ecirc;te et de donn&eacute;es. L’en-t&ecirc;te contient les adresses source et destination. IP utilise un
datagramme Internet contenant des informations similaires &agrave; celles de la trame physique.
Son en–t&ecirc;te comporte &eacute;galement les adresses Internet source et de destination des
donn&eacute;es.
IP d&eacute;finit le format des donn&eacute;es achemin&eacute;es sur le r&eacute;seau Internet (voir figure).
Figure 10. En–t&ecirc;te de paquet IP (Internet Protocol) Cette illustration repr&eacute;sente les
premiers 32 bits d’un en–t&ecirc;te de paquet IP typique. Le tableau ci–dessous dresse la liste
des diff&eacute;rentes entit&eacute;s.
Bits
31
4
8
0
16
19
Longueur totale
Version Longueur Type de service
D&eacute;calage fragment
Identi–
Identificateur
ficateur
(Offset)
Contr&ocirc;le d’en–t&ecirc;te (checksum)
Dur&eacute;e de vie
Protocole
Adresse source
Adresse de destination
Option
Donn&eacute;es
D&eacute;finitions des zones d’en-t&ecirc;te IP
Version
Version IP utilis&eacute;e. La version courante du protocole IP est 4.
Longueur
Longueur de l’en-t&ecirc;te du datagramme, en nombre de mots de
32 bits.
Type de service
Zone comprenant cinq champs qui d&eacute;finissent pour le paquet
concern&eacute; le type de priorit&eacute;, le d&eacute;lai, le d&eacute;bit et le niveau de
fiabilit&eacute; souhait&eacute;s. Cette demande n’est pas garantie par Internet.
Les param&egrave;tres par d&eacute;faut de ces cinq champs sont normaux.
Actuellement, cette zone n’est pas utilis&eacute;e par Internet de fa&ccedil;on
g&eacute;n&eacute;ralis&eacute;e. La mise en œuvre d’IP est conforme &agrave; la
sp&eacute;cification IP RFC 791, Internet Protocol.
Longueur totale
Longueur du datagramme, en octets, incluant l’en-t&ecirc;te et les
donn&eacute;es. La fragmentation en paquets au niveau des passerelles
et le r&eacute;assemblage &agrave; destination sont assur&eacute;s. La longueur totale
du paquet IP peut &ecirc;tre configur&eacute;e par interface individuelle &agrave; l’aide
de wsm de Web-based System Manager, de la commande
ifconfig ou via le raccourci smit chinet de SMIT. Pour d&eacute;clarer
ces valeurs comme permanentes dans la base de donn&eacute;es de
configuration, utilisez Web-based System Manager ou SMIT,
et pour les d&eacute;finir ou les modifier dans le syst&egrave;me en ex&eacute;cution,
utilisez la commande ifconfig.
Identificateur
Nombre entier unique identifiant le datagramme.
Indicateurs (flags)
de fragment
Contr&ocirc;le la fragmentation du datagramme ainsi que le champ
Identification. Indique si le datagramme doit &ecirc;tre fragment&eacute; et
si le fragment courant est le dernier.
Protocole TCP/IP
4-25
D&eacute;calage fragment
(Offset)
D&eacute;calage du fragment dans le datagramme d’origine, en unit&eacute;s
de 8 octets.
Dur&eacute;e de vie
Dur&eacute;e de r&eacute;tention du datagramme sur Internet. Ce param&egrave;tre
&eacute;vite de conserver ind&eacute;finiment sur Internet les datagrammes
qui n’ont pas abouti. La dur&eacute;e de r&eacute;tention par d&eacute;faut est de
255 secondes.
Protocole
Type de protocole de niveau sup&eacute;rieur.
Total de contr&ocirc;le
d’en–t&ecirc;te
(checksum)
Nombre calcul&eacute; pour assurer l’int&eacute;grit&eacute; des valeurs d’en-t&ecirc;te.
Adresse source
Adresse Internet de l’h&ocirc;te &eacute;metteur.
Adresse de
destination
Adresse Internet de l’h&ocirc;te r&eacute;cepteur.
Options
Options de test et de mise au point du r&eacute;seau. Zone facultative
pour certains datagrammes.
End of Option List
Indique la fin de la liste des options. Utilis&eacute; &agrave; la fin de la liste des
options (et non de chaque option) Cette option doit &ecirc;tre utilis&eacute;e
uniquement si la fin de la liste ne co&iuml;ncide par avec la fin de
l’en–t&ecirc;te IP. Cette option n’est utilis&eacute;e que si les options
exc&egrave;dent la longueur du datagramme.
No Operation
Permet l’alignement avec d’autres options. Par exemple,
alignement &agrave; 32 bits du d&eacute;but de l’option suivante.
Loose Source and record Route
Informations de routage fournies par la source du datagramme
Internet aux passerelles, qui les utilisent pour exp&eacute;dier le
datagramme &agrave; destination et les enregistrent. Il s’agit d’une
route source libre : la passerelle ou l’IP h&ocirc;te peut utiliser
n’importe quelle route via un nombre quelconque de passerelles
interm&eacute;diaires pour atteindre l’adresse suivante dans la route.
Strict Source and record Route
Informations de routage fournies par la source du datagramme
Internet aux passerelles, qui les utilisent pour exp&eacute;dier le
datagramme &agrave; destination et les enregistrent. Il s’agit d’une
route source impos&eacute;e : la passerelle ou l’IP h&ocirc;te doit envoyer le
datagramme directement &agrave; l’adresse suivante sp&eacute;cifi&eacute;e par la
route source en passant par le r&eacute;seau direct indiqu&eacute; dans
l’adresse, pour atteindre la passerelle ou l’h&ocirc;te suivant sp&eacute;cifi&eacute;
dans la route.
Record Route
Cette option permet d’enregistrer le parcours suivi par le
datagramme Internet.
Stream Identifier
Cette option v&eacute;hicule un identificateur de flot (stream) &agrave; travers
des r&eacute;seaux qui ne prennent pas en charge le concept de flot.
Internet Timestamp
Enregistre la date et l’heure le long du parcours du
datagramme.
L’en-t&ecirc;te IP est automatiquement pr&eacute;fix&eacute; aux paquets sortants, et supprim&eacute; des paquets
entrants qui vont &ecirc;tre envoy&eacute;s aux protocoles de niveau sup&eacute;rieur. Le protocole IP procure
un syst&egrave;me d’adressage universel des h&ocirc;tes sur le r&eacute;seau Internet.
4-26
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Protocoles Internet de niveau transport
Les protocoles TCP/IP de niveau transport (voir figure) permettent aux programmes
d’application de communiquer entre eux.
Figure 11. Couche de transport de la suite de protocoles TCP/IP Cette illustration
repr&eacute;sente les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la
couche d’application comprend l’application. La couche de transport comprend UDP et TCP.
La couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient le
r&eacute;seau physique.
COUCHE
Application
Transport
PROTOCOLE
APPLICATION
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
Les protocoles UDP (User Datagram Protocol) et TCP en sont les principaux : ils
autorisent l’interconnexion d’h&ocirc;tes Internet et l’&eacute;change de messages entre applications
implant&eacute;es sur des h&ocirc;tes diff&eacute;rents. Le m&eacute;canisme est le suivant : lorsqu’une application
envoie &agrave; la couche Transport une demande d’exp&eacute;dition de message, les protocoles UDP
et TCP fragmentent l’information en paquets qu’ils dotent d’un en-t&ecirc;te portant l’adresse de
destination. Ces paquets sont alors soumis par les protocoles &agrave; la couche r&eacute;seau. Pour
d&eacute;terminer la destination exacte du message, les protocoles TCP et UDP se servent des
ports de protocole de l’h&ocirc;te.
Les protocoles et applications de niveau sup&eacute;rieur utilisent UDP pour les connexions
datagramme et TCP pour les connexion Stream (trains de donn&eacute;es). Ces protocoles
sont mis en œuvre par l’interface Sockets du syst&egrave;me d’exploitation.
Protocole UDP
Le protocole UDP intervient lorsqu’une application de r&eacute;seau doit envoyer des messages &agrave;
une application ou un process d’un autre r&eacute;seau : il fournit aux applications d’h&ocirc;tes Internet
le moyen de communiquer par datagramme. L’&eacute;metteur d’un message ne conna&icirc;t pas les
process actifs au moment de l’envoi, c’est pourquoi le protocole UDP utilise les ports de
protocole de destination (ou sur un h&ocirc;te, points de destination abstraits dans une machine),
identifi&eacute;s par des nombres entiers positifs, pour envoyer les messages &agrave; un ou plusieurs
points de destination. A la r&eacute;ception des messages, les ports de protocole placent les
messages dans des files d’attente, o&ugrave; ils seront r&eacute;cup&eacute;r&eacute;s en temps voulu par les
applications du r&eacute;seau r&eacute;cepteur.
UDP fait appel &agrave; l’IP sous–jacent pour envoyer ses datagrammes, il assure donc la livraison
des messages sans connexion comme le fait le protocole IP, mais sans garantie de livraison
ni de protection contre la duplication. UDP pr&eacute;sente cependant deux particularit&eacute;s : il
autorise l’&eacute;metteur &agrave; sp&eacute;cifier le num&eacute;ro des ports source et cible et calcule le total de
contr&ocirc;le de l’en-t&ecirc;te et des donn&eacute;es. Il offre ainsi aux applications &eacute;mettrices et r&eacute;ceptrices
un moyen de fiabiliser la livraison d’un message.
Protocole TCP/IP
4-27
Figure 12. En–t&ecirc;te de paquet UDP (User Datagram Protocol) Cette illustration
repr&eacute;sente les premiers 32 bits d’un en–t&ecirc;te de paquet UDP typique. Les 16 premiers bits
contiennent le num&eacute;ro de port source et la longueur. Les 16 bits suivants contiennent le
num&eacute;ro de port de destination et le total de contr&ocirc;le.
Bits
16
0
NUMERO DE PORT SOURCE
LONGUEUR
31
NUMERO DE PORT CIBLE
TOTAL DE CONTROLE
Les applications qui exigent une garantie de livraison des datagrammes doivent exercer
elles-m&ecirc;mes un contr&ocirc;le si elles utilisent UDP. Les applications qui exigent une garantie de
livraison des flots de donn&eacute;es doivent recourir &agrave; TCP.
D&eacute;finitions des zones d’en-t&ecirc;te UDP
Num&eacute;ro de port source
Adresse du port de protocole &eacute;metteur de l’information.
Num&eacute;ro de port cible
Adresse du port de protocole r&eacute;cepteur de l’information.
Longueur
Longueur en octets du datagramme UDP.
Total de contr&ocirc;le
(Checksum)
Contr&ocirc;le du datagramme UDP sur la base du m&ecirc;me
algorithme que le protocole IP.
L’interface de programmation d’applications (API) avec UDP est constitu&eacute;e d’un ensemble
de sous-routines de biblioth&egrave;que fourni par l’interface Sockets.
Protocole TCP
Le protocole TCP (Transmission Control Protocol) assure le transfert fiable des flots entre
les h&ocirc;tes Internet. Comme UDP, il fait appel au protocole sous-jacent IP pour v&eacute;hiculer les
datagrammes et en assurer la transmission par bloc en flot continu d’un port de process &agrave;
l’autre. Contrairement &agrave; UDP, TCP garantit une livraison fiable des messages. Il garantit que
les donn&eacute;es ne seront livr&eacute;es au process destinataire sans que les donn&eacute;es soient alt&eacute;r&eacute;es,
perdues, dupliqu&eacute;es ou restitu&eacute;es dans le d&eacute;sordre. Ainsi, les programmeurs d’applications
ne sont pas contraints de g&eacute;rer ce type d’erreurs dans leur logiciel.
4-28
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
TCP pr&eacute;sente les caract&eacute;ristiques suivantes :
Transfert de donn&eacute;es
de base
TCP peut v&eacute;hiculer entre ses utilisateurs un flot continu
d’octets 8 bits en regroupant des octets en segments pour
les transmettre par Internet. Avec TCP, la taille des segments
atteint au moins 1024 octets. En g&eacute;n&eacute;ral, c’est TCP qui
d&eacute;termine le moment propice pour assembler et exp&eacute;dier les
paquets.
Fiabilit&eacute;
TCP doit r&eacute;cup&eacute;rer les donn&eacute;es alt&eacute;r&eacute;es, perdues,
dupliqu&eacute;es ou d&eacute;sorganis&eacute;es par Internet. Pour ce faire, il
affecte un num&eacute;ro de s&eacute;quence &agrave; chaque octet transmis et
exige un accus&eacute; de r&eacute;ception positif (ACK) de la part du TCP
r&eacute;cepteur. S’il ne re&ccedil;oit pas cet accus&eacute; apr&egrave;s un certain d&eacute;lai,
les donn&eacute;es sont retransmises. Ce d&eacute;lai est fix&eacute;
dynamiquement pour chaque connexion, en fonction du
temps de transmission aller-retour. C&ocirc;t&eacute; destinataire, les
num&eacute;ros de s&eacute;quence servent &agrave; r&eacute;ordonner les segments et
&agrave; &eacute;liminer les doublons. Les donn&eacute;es alt&eacute;r&eacute;es sont trait&eacute;es
gr&acirc;ce au total de contr&ocirc;le ajout&eacute; &agrave; chaque segment : ce total
est v&eacute;rifi&eacute; &agrave; la r&eacute;ception des segments et les segments
alt&eacute;r&eacute;s sont rejet&eacute;s.
Contr&ocirc;le de flux
TCP permet de r&eacute;guler le d&eacute;bit des donn&eacute;es &eacute;mises, en
associant &agrave; chaque accus&eacute; de r&eacute;ception une fen&ecirc;tre
indiquant l’intervalle de num&eacute;ros de s&eacute;quence admis au-del&agrave;
du dernier segment re&ccedil;u. La fen&ecirc;tre pr&eacute;cise le nombre
d’octets que l’&eacute;metteur est autoris&eacute; &agrave; envoyer avant de
recevoir la prochaine autorisation.
Multiplexage
TCP permet &agrave; un grand nombre de process d’un m&ecirc;me h&ocirc;te
d’utiliser simultan&eacute;ment les fonctions de communication TCP.
TCP re&ccedil;oit un ensemble d’adresses de ports pour chaque
h&ocirc;te et combine le num&eacute;ro de port &agrave; l’adresse r&eacute;seau et &agrave;
l’adresse h&ocirc;te pour pouvoir identifier chaque prise de fa&ccedil;on
unique. Une paire de prises identifie &agrave; son tour chaque
connexion de fa&ccedil;on unique.
Connexions
TCP doit initialiser et tenir &agrave; jour certaines informations d’&eacute;tat
pour chaque flot de donn&eacute;es. La combinaison de ces
informations (prises, num&eacute;ros de s&eacute;quence, tailles de
fen&ecirc;tre) est appel&eacute;e connexion. Chaque connexion est
identifi&eacute;e par une paire de prises uniques, une pour chaque
extr&eacute;mit&eacute;.
Priorit&eacute; et protection
Les utilisateurs de TCP peuvent sp&eacute;cifier un niveau de
priorit&eacute; et de protection pour leurs communications. Sinon,
des valeurs par d&eacute;faut sont pr&eacute;vues.
La figure d’un en–t&ecirc;te de paquet TCP illustre ces caract&eacute;ristiques.
Protocole TCP/IP
4-29
Figure 13. En–t&ecirc;te de paquet TCP (Transmission Control Protocol) Cette illustration
repr&eacute;sente le contenu de l’en–t&ecirc;te du paquet TCP. Les entit&eacute;s individuelles sont
r&eacute;pertori&eacute;es dans le texte ci–dessous.
Bits
0
16
8
31
Port cible
Port source
Num&eacute;ro de s&eacute;quence
Num&eacute;ro d’acquittement
D&eacute;calage
R&eacute;serv&eacute;
Code
Total de contr&ocirc;le (Checksum)
Fen&ecirc;tre
Pointeur urgent
Options
Remplissage
Donn&eacute;es
D&eacute;finitions de zones d’en-t&ecirc;te TCP
Port source
Num&eacute;ro de port du programme d’application source.
Port cible
Num&eacute;ro de port du programme d’application cible.
Num&eacute;ro de s&eacute;quence
Num&eacute;ro d’ordre du premier octet de donn&eacute;es dans le
segment.
Num&eacute;ro d’acquittement
Num&eacute;ro identifiant la position du plus grand octet re&ccedil;u.
D&eacute;calage
D&eacute;calage (Offset) de la portion de donn&eacute;es du segment.
R&eacute;serv&eacute;
Zone r&eacute;serv&eacute;e &agrave; un usage ult&eacute;rieur.
Code
Bits de contr&ocirc;le servant &agrave; identifier l’objet d’un segment :
URG
La zone Pointeur urgent est valide.
ACK
La zone Acquittement est valide.
PSH
Le segment requiert un PUSH.
RTS
R&eacute;initialise la connexion.
SYN
Synchronise les num&eacute;ros de s&eacute;quence.
FIN
Fin du flot d’octets.
4-30
Fen&ecirc;tre
Volume de donn&eacute;es admissible par la destination.
Total de contr&ocirc;le
(Checksum)
V&eacute;rifie l’int&eacute;grit&eacute; des donn&eacute;es et de l’en-t&ecirc;te du segment.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Pointeur urgent
Indique les donn&eacute;es &agrave; livrer d&egrave;s que possible.
Le pointeur marque la fin des donn&eacute;es urgentes.
Options
End of Option List
Utilis&eacute; &agrave; la fin de la liste des options options (et non
de chaque option) uniquement si la fin de la liste ne
co&iuml;ncide par avec la fin de l’en–t&ecirc;te TCP.
No Operation
Indique la limite entre deux options. Par exemple,
alignement du d&eacute;but d’une option suivante sur un mot.
L’&eacute;metteur n’&eacute;tant pas oblig&eacute; d’utiliser cette option, le
destinataire doit &ecirc;tre pr&ecirc;t &agrave; traiter les options m&ecirc;me ne
commen&ccedil;ant pas sur un mot.
Maximum Segment Size
Taille maximale de segment acceptable par TCP
(indiqu&eacute;e dans la demande de connexion initiale).
Cette option doit &ecirc;tre envoy&eacute;e uniquement dans
la demande de connexion initiale.
L’interface de programmation d’applications (API) avec TCP est constitu&eacute;e d’un ensemble
de sous-routines de biblioth&egrave;que fourni par l’interface Sockets.
Protocoles Internet de niveau application
Au niveau du programme d’application, TCP/IP met en œuvre des protocoles Internet de
niveau sup&eacute;rieur (voir figure).
Figure 14. Couche d’application de la suite de protocoles TCP/IP Cette illustration
repr&eacute;sente les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la
couche d’application comprend l’application. La couche de transport comprend UDP et TCP.
La couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient le
r&eacute;seau physique.
PROTOCOLE
COUCHE
Application
APPLICATION
Transport
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
Lorsqu’une application doit envoyer des donn&eacute;es &agrave; une application sur un h&ocirc;te diff&eacute;rent, les
informations sont envoy&eacute;es aux protocoles de niveau transport pour &ecirc;tre pr&eacute;par&eacute;es &agrave; la
transmission.
Les protocoles Internet de niveau application officiels englobent :
• Domain Name Protocol ( Domain Name Protocol, page 4-32)
• Exterior Gateway Protoco l ( Exterior Gateway Protocol, page 4-32)
• File Transfer Protocol ( File Transfer Protocol, page 4-34)
• Protocole Name/Finger ( Protocole Name/Finger, page 4-35)
• Telnet Protocol ( Telnet Protocol, page 4-34)
• Protocole TFTP ( Protocole TFTP, page 4-35)
Protocole TCP/IP
4-31
TCP/IP met en œuvre d’autres protocoles de niveau sup&eacute;rieur, non officiels, mais
couramment utilis&eacute;s par la communaut&eacute; Internet pour les programmes d’application.
A savoir :
• Distributed Computer Network (DCN) Local–Network Protocol
( Distributed Computer Network Local–Network Protocol, page 4-36)
• Remote Command Execution Protocol
( Remote Command Execution Protocol, page 4-36)
• Remote Login Protocol ( Remote Login Protocol, page 4-36)
• Remote Shell Protocol ( Remote Shell Protocol, page 4-36)
• Wake On LAN Protocol ( Wake On LAN (WOL) Protocol, page 4-36)
• Routing Information Protocol ( Routing Information Protocol, page 4-36)
• Time Server Protocol ( Time Server Protocol, page 4-37).
TCP/IP ne fournit pas d’interface API &agrave; ces protocoles situ&eacute;s au niveau de l’application.
Protocole DOMAIN
Le protocole DOMAIN permet &agrave; un syst&egrave;me h&ocirc;te membre d’un domaine de jouer le r&ocirc;le de
serveur de noms aupr&egrave;s des autres syst&egrave;mes h&ocirc;tes de son domaine. Il utilise comme
protocole sous-jacent le protocole UDP ou TCP et permet &agrave; un r&eacute;seau local d’affecter des
noms d’h&ocirc;te dans son domaine ind&eacute;pendamment des autres domaines. Normalement, le
protocole DOMAIN utilise UDP. Toutefois, si la r&eacute;ponse UDP est tronqu&eacute;e, DOMAIN fait
appel au protocole TCP. Le protocole DOMAIN de TCP/IP prend en charge les deux.
Pour r&eacute;soudre les noms et adresses Internet, les routines de r&eacute;solution locales du syst&egrave;me
d’appellation hi&eacute;rarchique DOMAIN peuvent recourir &agrave; la base de r&eacute;solution de noms locale
tenue par le d&eacute;mon named. Si le nom demand&eacute; par l’h&ocirc;te ne figure pas dans cette base, la
routine de r&eacute;solution interroge un serveur de noms DOMAIN distant. Dans tous les cas, en
cas d’&eacute;chec, la routine tente d’utiliser le fichier /etc/hosts.
Remarque :
TCP/IP configure les routines de r&eacute;solution locales pour le protocole
DOMAIN, si le fichier local /etc/resolv.conf existe. Sinon, TCP/IP les
configure pour qu’elles utilisent la base de donn&eacute;es /etc/hosts.
TCP/IP impl&eacute;mente le protocole DOMAIN dans le d&eacute;mon named et les routines de
r&eacute;solution, mais ne lui fournit pas d’interface API.
Protocole EGP
Le protocole EGP (Exterior Gateway Protocol) est le m&eacute;canisme qui permet &agrave; la
passerelle ext&eacute;rieure d’un syst&egrave;me autonome de partager les informations de routage avec
des passerelles ext&eacute;rieures d’autres syst&egrave;mes autonomes.
Syst&egrave;mes autonomes
Un syst&egrave;me autonome est un groupe de r&eacute;seaux et de passerelles sous la responsabilit&eacute;
d’une autorit&eacute; administrative. Les passerelles sont dites int&eacute;rieures limitrophes si elles
r&eacute;sident sur le m&ecirc;me syst&egrave;me autonome et ext&eacute;rieures limitrophes si elles r&eacute;sident sur des
syst&egrave;mes autonomes diff&eacute;rents. Les passerelles qui &eacute;changent des informations de routage
via le protocole EGP sont appel&eacute;es passerelles limitrophes ou homologues EGP.
Le protocole EGP permet aux passerelles de syst&egrave;mes autonomes d’acc&eacute;der aux
informations de leurs homologues EGP.
Via EGP, une passerelle ext&eacute;rieure peut demander &agrave; &eacute;changer des informations d’acc&egrave;s
avec une autre passerelle ext&eacute;rieure. EGP v&eacute;rifie en permanence que ses passerelles
homologues r&eacute;pondent aux demandes, et les aident dans ces &eacute;changes par des messages
de mise &agrave; jour de routage.
4-32
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
EGP limite la port&eacute;e d’une passerelle ext&eacute;rieure aux r&eacute;seaux de destination accessibles en
tous points dans le syst&egrave;me autonome de cette passerelle. Autrement dit, une passerelle
ext&eacute;rieure utilisant EGP peut transmettre les informations aux passerelles EGP limitrophes,
mais ne peut fournir des informations concernant ses passerelles limitrophes hors de son
syst&egrave;me autonome.
EGP n’interpr&egrave;te aucune distance m&eacute;trique sp&eacute;cifi&eacute;e dans les messages de mise &agrave; jour de
routage issus d’autres protocoles. EGP utilise la zone de distance pour indiquer si un
chemin existe (la valeur 255 signifiant qu’un r&eacute;seau est inaccessible). La valeur sp&eacute;cifi&eacute;e ne
peut pas servir &agrave; d&eacute;terminer le chemin le plus court entre deux routes, sauf si ces derni&egrave;res
sont situ&eacute;es dans un seul syst&egrave;me autonome. C’est pourquoi EGP n’est pas utilis&eacute; comme
algorithme de routage. De ce fait, un seul chemin peut &ecirc;tre emprunt&eacute; entre la passerelle
ext&eacute;rieure et un r&eacute;seau.
Contrairement au protocole RIP (Routing Information Protocol), qui peut &ecirc;tre appliqu&eacute; &agrave;
un syst&egrave;me autonome de r&eacute;seaux Internet qui reconfigurent dynamiquement les routes, les
routes EGP sont pr&eacute;d&eacute;termin&eacute;es dans le fichier /etc/gated.conf. EGP consid&egrave;re que IP est
le protocole sous-jacent implicite.
Types de messages EGP
Neighbor Acquisition Request
Demande &eacute;mise par les passerelles ext&eacute;rieures
pour devenir limitrophes.
Neighbor Acquisition Reply
R&eacute;ponse favorable des passerelles ext&eacute;rieures
pour devenir limitrophes.
Neighbor Acquisition Refusal
R&eacute;ponse d&eacute;favorable des passerelles ext&eacute;rieures
pour devenir limitrophes. Les raisons du refus sont
indiqu&eacute;es dans le message, par exemple
out of table space.
Neighbor Cease
Demande &eacute;mise par les passerelles ext&eacute;rieures
pour mettre fin &agrave; une relation limitrophe. Les
raisons sont indiqu&eacute;es dans le message, par
exemple, going down.
Neighbor Cease Acknowledgment Acceptation par les passerelles ext&eacute;rieures de la
demande d’interruption d’une relation limitrophe.
Neighbor Hello
Message &eacute;mis par une passerelle limitrophe pour
v&eacute;rifier qu’une connexion est active. Une passerelle
&eacute;met un message Hello et la passerelle
interrog&eacute;e confirme la connexion en &eacute;mettant la
r&eacute;ponse I Heard You.
I Heard You
R&eacute;ponse d’une passerelle ext&eacute;rieure au message
Hello. Le message I Heard You
s’accompagne des informations d’acc&egrave;s &agrave; la
passerelle qui &eacute;met la r&eacute;ponse et, si la passerelle
est inaccessible, d’un message d’explication, par
exemple
You are unreachable due to problems
with my network interface.
NR Poll
Interrogation &eacute;mise par les passerelles ext&eacute;rieures
aupr&egrave;s des passerelles limitrophes pour d&eacute;terminer
leur capacit&eacute; d’acc&egrave;s aux autres passerelles.
Protocole TCP/IP
4-33
Network Reachability
R&eacute;ponse des passerelles ext&eacute;rieures au message
NR Poll. Pour chaque passerelle interrog&eacute;e, le
message Network Reachability indique les
adresses auxquelles la passerelle limitrophe lui
donne acc&egrave;s.
EGP Error
R&eacute;ponse &eacute;mise par les passerelles ext&eacute;rieures aux
messages EGP qui pr&eacute;sentent des totaux de
contr&ocirc;le ou des valeurs de zones erron&eacute;s.
TCP/IP impl&eacute;mente le protocole EGP dans le d&eacute;mon gated mais ne lui fournit pas
d’interface de programmation d’applications (API).
Protocole FTP
Le protocole FTP (File Transfer Protocol) permet le transfert des donn&eacute;es entre h&ocirc;tes
h&eacute;t&eacute;rog&egrave;nes et le transfert indirect de fichiers entre deux h&ocirc;tes &eacute;trangers. Il donne acc&egrave;s &agrave;
la liste des r&eacute;pertoires distants, permet de changer de r&eacute;pertoire distant courant, de cr&eacute;er
ou de supprimer des r&eacute;pertoires distants et de transf&eacute;rer plusieurs fichiers en une seule
demande. Un syst&egrave;me de protection par mot de passe et num&eacute;ro de compte utilisateur est
assur&eacute; au niveau de l’h&ocirc;te &eacute;tranger. Con&ccedil;u &agrave; l’origine pour des applications, FTP est
&eacute;galement utilis&eacute; pour les sessions interactives orient&eacute;es utilisateur.
FTP a recours au transfert fiable de flot (TCP/IP) pour l’envoi des fichiers, et &agrave; une
connexion Telnet pour le transfert des commandes et des r&eacute;ponses. FTP reconna&icirc;t
plusieurs formats de fichiers de base, notamment NETASCII, IMAGE et Local 8.
TCP/IP impl&eacute;mente FTP dans les commandes ftpet (utilisateur) et ftpd (serveur) mais ne
fournit pas d’interface de programmation d’applications (API) avec ce protocole.
Si vous cr&eacute;ez des r&eacute;pertoires et utilisateurs ftp anonymes, veillez &agrave; ce que le r&eacute;pertoire
personnel des utilisateurs ftp et anonymes (par exemple, /u/ftp) appartienne &agrave; un utilisateur
racine mais ne soit pas accessible en &eacute;criture (par exemple, dr–xr–xr–x). Vous pouvez
utiliser le script /usr/samples/tcpip/anon.ftp pour cr&eacute;er ces comptes, fichiers et
r&eacute;pertoires.
Protocole Telnet
Le protocole TELNET fournit une m&eacute;thode de communication standard pour les terminaux
et process orient&eacute;s terminal. TELNET est utilis&eacute; couramment par les programmes
d’&eacute;mulation de terminal pour la connexion &agrave; un h&ocirc;te distant. Il sert &agrave; la communication de
terminal &agrave; terminal et inter–process, et est sollicit&eacute; par d’autres protocoles (par exemple,
FTP) pour l’&eacute;tablissement d’un canal de contr&ocirc;le de protocole.
TCP/IP impl&eacute;mente TELNET dans les commandes utilisateur tn, telnet, ou tn3270.
Le d&eacute;mon telnetd ne fournit pas d’interface API pour TELNET.
TCP/IP accepte les options Telnet n&eacute;goci&eacute;es entre le client et le serveur :
4-34
BINARY TRANSMISSION
(pour sessions tn3270)
Transmet les caract&egrave;res sous forme de
donn&eacute;es binaires.
SUPPRESS GO_AHEAD
(Le syst&egrave;me d’exploitation supprime
les options GO–AHEAD.)
Lors de la transmission de donn&eacute;es, &agrave; la
demande de l’exp&eacute;diteur des donn&eacute;es, ne
transmet pas au destinataire d’option
GO_AHEAD. Si cette option n’est pas
accept&eacute;e, les interlocuteurs suppriment la
connexion dans les deux directions. Cette
action doit &ecirc;tre ex&eacute;cut&eacute;e de mani&egrave;re autonome
dans les deux directions.
TIMING MARK (Reconnue mais re&ccedil;oit
une r&eacute;ponse n&eacute;gative)
V&eacute;rifie que les donn&eacute;es transmises ont &eacute;t&eacute;
enti&egrave;rement trait&eacute;es.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
EXTENDED OPTIONS LIST
Fournit la possibilit&eacute; de 256 options
suppl&eacute;mentaires &agrave; la liste des options TELNET.
Sans cette option, TELNET admet un
maximum de 256 options.
ECHO (Commande modifiable par
l’utilisateur)
Transmet les caract&egrave;res d’&eacute;cho d&eacute;j&agrave; renvoy&eacute;s
&agrave; l’exp&eacute;diteur d’origine.
TERM TYPE
Permet au serveur de d&eacute;terminer le type de
terminal connect&eacute; &agrave; un programme utilisateur
TELNET.
SAK (Secure Attention Key)
S&eacute;curise la communication entre vous et le
syst&egrave;me.
NAWS (Negotiate About Window Size)
Dans une relation client–serveur, permet aux
deux parties de n&eacute;gocier la taille de la fen&ecirc;tre
(si les applications l’autorisent).
Remarque :
Telnet doit autoriser la transmission de caract&egrave;res 8 bits en mode non
binaire pour l’impl&eacute;mentation de la page de code ISO 8859 Latin. Cette
condition est n&eacute;cessaire pour l’internationalisation des commandes TCP/IP.
Protocole TFTP
Le protocole TFTP (Trivial File Transfer Protocol) peut lire et enregistrer des fichiers issus
de ou destin&eacute;s &agrave; un h&ocirc;te distant. TFTP est g&eacute;n&eacute;ralement plus rapide que FTP car, pour
acheminer les fichiers, il fait appel au protocole UDP qui ne garantit pas la livraison des
fichiers. Comme FTP, TFTP peut traiter les fichiers sous forme de donn&eacute;es NETASCII ou
binaires 8 bits. En revanche, il ne permet pas de lister ou de modifier les r&eacute;pertoires d’un
h&ocirc;te distant et ne pr&eacute;voit pas de protection de type mot de passe. De plus, sous TFTP,
l’&eacute;criture et la recherche des donn&eacute;es sont limit&eacute;es aux r&eacute;pertoires publics.
TCP/IP impl&eacute;mente TFTP dans les commandes utilisateur tftp et utftp, et dans la
commande serveur tftpd. La commande utftp est une variante de la commande tftp
utilisable dans les cha&icirc;nages (pipes). TCP/IP ne fournit pas d’interface API pour le protocole
FINGER.
Pour plus d’informations, reportez–vous &agrave; la description de la commande tftp ou utftp
ainsi qu’&agrave; la description du d&eacute;mon tftpd dans R&eacute;f&eacute;rences de commande AIX 5L
Version 5.3, Volume 5.
Protocole FINGER
Le Name/Finger Protocol (FINGER) est un protocole Internet de niveau application qui
joue le r&ocirc;le d’interface entre la commande finger et le d&eacute;mon fingerd. Le d&eacute;mon fingerd
renvoie les informations sur les utilisateurs connect&eacute;s &agrave; un h&ocirc;te distant sp&eacute;cifique. Pour
limiter la commande &agrave; un utilisateur donn&eacute;, sp&eacute;cifiez–le (commande finger). Le protocole
FINGER doit &ecirc;tre disponible sur l’h&ocirc;te &agrave; distance et sur l’h&ocirc;te demandeur. FINGER utilise
le Protocole TCP ( Transmission Control Protocol, page 4-28) comme son protocole
sous–jacent.
Remarque :
TCP/IP ne fournit pas d’interface API pour ce protocole.
Pour plus d’informations, reportez–vous &agrave; la description de la commande finger ainsi qu’&agrave;
la description du d&eacute;mon fingerd dans AIX 5L Version 5.3 Commands Reference, Volume 2.
Protocole TCP/IP
4-35
Protocole HELLO
Le Local–Network Protocol (HELLO) s’applique aux passerelles int&eacute;rieures et doit &ecirc;tre
utilis&eacute; dans des syst&egrave;mes autonomes. (Pour plus d’informations, reportez–vous aux
Syst&egrave;mes autonomes, page 4-32.) HELLO est charg&eacute; de tenir &agrave; jour les informations de
connectivit&eacute;, de routage et d’horloge. Il permet &agrave; chaque machine de trouver le chemin le
plus rapide vers la destination et met &agrave; jour dynamiquement l’information de routage vers
cette destination.
Ce protocole est fourni par le d&eacute;mon gated. Pour plus d’informations, reportez–vous &agrave; la
description du d&eacute;mon gated dans R&eacute;f&eacute;rence de commandes AIX 5L Version 5.3, Volume 2.
Protocole d’ex&eacute;cution de commande &agrave; distance
Le protocole d’ex&eacute;cution &agrave; distance, fourni par la commande utilisateur rexec et le d&eacute;mon
rexecd, permet de lancer des commandes sur un h&ocirc;te distant compatible. Pour plus
d’informations, reportez–vous &agrave; la description de la commande rexec ainsi qu’&agrave; la
description du d&eacute;mon rexecd dans AIX 5L Version 5.3 Commands Reference, Volume 4.
Protocole d’ouverture de session &agrave; distance
La commande utilisateur rlogin et le d&eacute;mon rlogind fournissent le protocole de
connexion &agrave; distance, permettant aux utilisateurs de se connecter &agrave; un h&ocirc;te distant et
d’utiliser leur terminal comme s’ils &eacute;taient connect&eacute;s directement &agrave; cet h&ocirc;te. Pour plus
d’informations, reportez–vous &agrave; la description de la commande rlogin ainsi qu’&agrave; la
description du d&eacute;mon rlogind dans AIX 5L Version 5.3 Commands Reference, Volume 4.
Protocole SHELL
La commande utilisateur rsh et le d&eacute;mon rshd fournissent le protocole de commande
SHELL &agrave; distance, permettant aux utilisateurs d’ouvrir un shell sur un h&ocirc;te &eacute;tranger
compatible pour y ex&eacute;cuter des commandes. Pour plus d’informations, reportez–vous &agrave; la
description de la commande rsh ainsi qu’au d&eacute;mon rshd dans AIX 5L Version 5.3
Commands Reference, Volume 4.
Protocole Wake On LAN (WOL)
Wake On LAN (WOL) vous permet de r&eacute;veiller un ou plusieurs h&ocirc;tes connect&eacute;s &agrave; un r&eacute;seau
en mode suspendu en envoyant un Magic Packet &agrave; l’/aux adresse(s) indiqu&eacute;e(s) sur le
sous–r&eacute;seau sp&eacute;cifi&eacute;.
Pour plus d’informations sur l’utilisation du WOL, reportez–vous &agrave; la description de la
commande wol dans AIX 5L Version 5.3 Commands Reference, Volume 6.
Protocole RIP
Le protocole de routage RIP Routing Information Protocol (RIP) et les d&eacute;mons routed et
gated qui le mettent en œuvre, sont charg&eacute;s de suivre les informations de routage en
fonction du nombre de bonds effectu&eacute;s et de tenir &agrave; jour les entr&eacute;es de la table de routage
du noyau. Pour plus d’informations, reportez–vous aux descriptions du d&eacute;mon routed et
gated dans AIX 5L Version 5.3 Commands Reference.
4-36
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
protocole TIMED
Le d&eacute;mon timed est charg&eacute; de la synchronisation horaire des h&ocirc;tes. Il est fond&eacute; sur le
concept de client/serveur. Pour plus d’informations, reportez–vous &agrave; la description de la
commande timedc ainsi qu’&agrave; la description du d&eacute;mon timed dans AIX 5L Version 5.3
Commands Reference, Volume 5.
Nombres r&eacute;serv&eacute;s
Dans un souci de compatibilit&eacute; avec l’environnement de r&eacute;seau g&eacute;n&eacute;ral, des nombres
connus sont attribu&eacute;s aux versions, r&eacute;seaux, ports, protocoles et options de protocoles
Internet, de m&ecirc;me qu’aux machines, r&eacute;seaux, syst&egrave;mes d’exploitation, protocoles,
services et terminaux. TCP/IP applique les num&eacute;ros et noms d&eacute;finis par la norme
RFC 1010, Nombres r&eacute;serv&eacute;s.
Le Protocole Internet (IP)d&eacute;finit un champ de 4 bits dans l’en–t&ecirc;te IP pour identifier la
version du protocole interr&eacute;seau utilis&eacute;. Le num&eacute;ro de version d’IP en d&eacute;cimal est 4. Pour
plus d’informations sur les nombres et noms r&eacute;serv&eacute;s de TCP/IP, reportez–vous aux fichiers
/etc/protocols et /etc/services inclus dans TCP/IP. Pour plus d’informations sur les
nombres et les noms r&eacute;serv&eacute;s, reportez–vous &agrave; la RFC 1010 ainsi qu’au fichier
/etc/services.
Protocole TCP/IP
4-37
Cartes de r&eacute;seau local (LAN) TCP/IP
Cette section traite des points suivants :
• Installation d’une carte r&eacute;seau, page 4-38
•
Configuration et gestion des cartes, page 4-39
• Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN), page 4-40
• Utilisation des cartes ATM, page 4-42
La carte r&eacute;seau est le dispositif mat&eacute;riel raccord&eacute; physiquement aux c&acirc;bles du r&eacute;seau.
Elle est charg&eacute;e de recevoir et de transmettre les donn&eacute;es au niveau physique. Elle est
contr&ocirc;l&eacute;e par le pilote de carte.
Chaque machine doit &ecirc;tre &eacute;quip&eacute;e d’autant de cartes r&eacute;seau (ou connexions) que de
r&eacute;seaux auxquels elle est connect&eacute;e. Par exemple, si un h&ocirc;te est raccord&eacute; &agrave; deux r&eacute;seaux
en anneau &agrave; jeton, il doit &ecirc;tre &eacute;quip&eacute; de deux cartes r&eacute;seau.
TCP/IP utilise les cartes r&eacute;seau et connexions suivantes :
• Ethernet standard version 2
• IEEE 802.3
• Anneau &agrave; jeton
• Cartes asynchrones et ports s&eacute;rie natifs
• Interface FDDI (Fiber Distributed Data Interface)
• Convertisseur de canal optique s&eacute;rie (d&eacute;crit dans AIX 5L Version 5.3 Kernel Extensions
and Device Support Programming Concepts)
• ATM (mode de transfert asynchrone)
• Fibre Channel
Les technologies de r&eacute;seau Ethernet et 802.3 utilisent le m&ecirc;me type de carte.
Chaque machine offre un nombre limit&eacute; d’emplacements d’extension, que vous pouvez
utiliser pour les cartes de communication. En outre, chaque machine ne prend en charge
qu’un nombre limit&eacute; de cartes de communication d’un type donn&eacute; : D&egrave;s lors, vous pouvez
installer sur votre machine n’importe quelle combinaison de cartes en respectant les
contraintes logicielles (nombre et type de carte) et mat&eacute;rielles (nombre total
d’emplacements d’extension disponibles).
Une seule interface TCP/IP doit &ecirc;tre configur&eacute;e, quel que soit le nombre de convertisseurs
optiques s&eacute;rie pris en charge par le syst&egrave;me. Le pilote d’unit&eacute; Optique s&eacute;rie exploite les
deux convertisseurs de canal m&ecirc;me si une seule interface logique TCP/IP est configur&eacute;e.
Installation d’une carte r&eacute;seau
Pour installer une carte r&eacute;seau :
1. Arr&ecirc;tez l’ordinateur. Pour l’arr&ecirc;t syst&egrave;me, reportez-vous &agrave; la commande shutdown.
2. Mettez la machine hors tension.
3. D&eacute;posez le capot de l’ordinateur.
4. Recherchez un connecteur libre et ins&eacute;rez la carte r&eacute;seau.
Veillez &agrave; enclencher correctement la carte dans le connecteur.
5. Remettez le capot de l’ordinateur.
6. Relancez l’ordinateur.
4-38
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration et gestion des cartes
Pour configurer et g&eacute;rer les cartes pour r&eacute;seau en anneau &agrave; jeton ou Ethernet,
suivez les proc&eacute;dures du tableau suivant.
Configuration et gestion des t&acirc;ches relatives aux cartes
T&acirc;che
Raccourci SMIT
Commande ou fichier
Web-based
System
Manager
Management
Environment5
Configuration
d’une carte
smit chgtok
1.Recherchez le nom de la carte :1
(anneau &agrave; jeton)
smit chgenet
lsdev –C –c adapter –t to
(Ethernet)
kenring –H
ou
lsdev –C –c adapter –t et
hernet –H
2.Red&eacute;finissez la vitesse de
l’anneau (anneau &agrave; jeton) ou le
type de connecteur (Ethernet), si
n&eacute;cessaire. Par exemple :
chdev –l tok0 –a ring_spe
ed=16 –P
ou
chdev –l ent0 –a bnc_sele
ct=dix –P
D&eacute;termination
de l’adresse
mat&eacute;rielle de la
carte r&eacute;seau
smit chgtok
lscfg –l tok0 –v (token ring)2
(anneau &agrave; jeton) lscfg –l ent0 –v (Ethernet)2
smit chgenet
(Ethernet)
D&eacute;finition d’une
adresse
mat&eacute;rielle
secondaire
smit chgtok
1.D&eacute;finissez l’adresse mat&eacute;rielle
(anneau &agrave; jeton) secondaire. Par exemple, pour
smit chgenet
anneau &agrave; jeton : 2,3
(Ethernet)
chdev –l tok0 –a alt_add
r=0X10005A4F1B7F
Pour Ethernet : 2,3
chdev –l ent0 –a alt_addr
=0X10005A4F1B7F –p
2.Commencez &agrave; utiliser l’adresse
secondaire, pour anneau &agrave; jeton :
4
chdev –l tok0 –a use_alt_
addr=yes
Pour Ethernet : 4
chdev –l ent0 –a use_alt_
addr=yes
Protocole TCP/IP
4-39
Remarques :
1. Le nom de la carte r&eacute;seau peut changer si vous l’installez &agrave; un autre emplacement ou
que vous la retirez du syst&egrave;me. Dans ce cas, veillez &agrave; mettre &agrave; jour la base de donn&eacute;es
de configuration via la commande diag –a.
2. Indiquez le nom de votre carte &agrave; la place de tok0 et ent0.
3. Remplacez par l’adresse mat&eacute;rielle 0X10005A4F1B7F.
4. Une interruption de communication peut se produire apr&egrave;s cette op&eacute;ration jusqu’&agrave; ce
que les h&ocirc;tes vident leur m&eacute;moire cache ARP et enregistrent cette nouvelle adresse
mat&eacute;rielle.
5. Ces t&acirc;ches ne sont pas disponibles dans Web-based System Manager Management
Environment.
Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN)
Les r&eacute;seaux VLAN (Virtual Local Area Networks) ont une structure de type domaine de
diffusion logique. Un r&eacute;seau VLAN divise les groupes d’utilisateurs d’un r&eacute;seau physique
r&eacute;el en segments de r&eacute;seaux logiques. Cette mise en œuvre prend en charge la norme de
rep&eacute;rage VLAN IEEE 802.1Q, ainsi que la fonction de prise en charge de plusieurs ID VLAN
ex&eacute;cut&eacute;s sur des cartes Ethernet. Chaque ID VLAN est associ&eacute; aux couches sup&eacute;rieures
(IP, etc.) gr&acirc;ce &agrave; une interface Ethernet distincte, et cr&eacute;e une entit&eacute; logique de carte
Ethernet par r&eacute;seau VLAN, par exemple ent1, ent2 et ainsi de suite.
IEEE 802.1Q de VLAN peut &ecirc;tre configur&eacute;e pour n’importe quelle carte Ethernet prise en
charge. Les cartes doivent &ecirc;tre connect&eacute;es &agrave; un commutateur qui prend en charge la
norme IEEE 802.1Q de VLAN.
Vous pouvez configurer plusieurs unit&eacute;s logiques VLAN sur un seul syst&egrave;me. Chaque unit&eacute;
logique VLAN constitue une entit&eacute; de carte Ethernet suppl&eacute;mentaire. Ces unit&eacute;s logiques
peuvent &ecirc;tre utilis&eacute;es pour configurer les m&ecirc;mes interfaces IP Ethernet telles qu’elles sont
utilis&eacute;es avec les cartes physiques Ethernet. Par cons&eacute;quent, vous devez augmenter la
valeur de l’option ifsize de la commande no (dont la valeur par d&eacute;faut est 8), pour inclure
les interfaces Ethernet pour chaque carte, mais &eacute;galement toutes les unit&eacute;s logiques VLAN
configur&eacute;es. Reportez–vous &agrave; la documentation de la commande no.
A chaque VLAN, vous pouvez associer une valeur diff&eacute;rente de MTU (unit&eacute; de transmission
maximum) m&ecirc;me si vous partagez une carte Ethernet physique individuelle.
La prise en charge de VLAN est g&eacute;r&eacute;e par SMIT. A partir de la ligne de commande, tapez le
raccourci smit vlan et s&eacute;lectionnez les &eacute;l&eacute;ments appropri&eacute;s dans le menu principal de
VLAN. Vous pouvez &eacute;galement recourir &agrave; l’aide en ligne.
Apr&egrave;s la configuration de VLAN, configurez l’interface IP (par exemple, en1 pour Ethernet
standard ou et1 pour IEEE 802.3), &agrave; l’aide de Web-based System Manager, de SMIT ou
des commandes.
AIX 5.3 et les versions sup&eacute;rieures prennent en charge un r&eacute;seau Ethernet virtuel E/S via
un commutateur E/S virtuel en tant que m&eacute;thode de communication en m&eacute;moire inter
partitions au sein d’un syst&egrave;me POWER5. Le commutateur prend &eacute;galement en charge le
rep&eacute;rage IEEE 802.1Q, ce qui permet aux cartes Ethernet virtuelles d’appartenir &agrave; diff&eacute;rents
r&eacute;seaux locaux virtuels sur le commutateur. La console HMC permet de cr&eacute;er et de
configurer les cartes Ethernet virtuelles. Une fois cr&eacute;&eacute;e, la partition voit la carte Ethernet
virtuelle sur l’arborescence ouverte du micrologiciel en recherchant les p&eacute;riph&eacute;riques. Apr&egrave;s
sa d&eacute;tection, la carte Ethernet virtuelle est configur&eacute;e et utilis&eacute;e comme une carte physique
Ethernet. Pour plus d’informations, reportez–vous &agrave; la documentation mat&eacute;rielle de votre
syst&egrave;me POWER5.
4-40
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarques :
1. Si vous tentez de configurer une valeur ID de VLAN alors qu’il est en cours d’utilisation
par la carte sp&eacute;cifi&eacute;e, la configuration &eacute;choue et le message d’erreur suivant s’affiche :
Method error (/usr/lib/methods/chgvlan):
0514–018 The values specified for the following attributes
are not valid:
vlan_tag_id ID indicateur VLAN
2. Si un utilisateur (l’interface IP par exemple) utilise actuellement l’unit&eacute; logique VLAN,
toute tentative de retirer l’unit&eacute; logique VLAN &eacute;choue. Un message similaire &agrave; l’exemple
suivant s’affiche :
Method error (/usr/lib/methods/ucfgcommo):
0514–062 Cannot perform the requested function because the
specified device is busy.
Pour retirer l’unit&eacute; VLAN logique, d&eacute;tachez d’abord l’utilisateur. Par exemple, si
l’utilisateur est l’interface IP en1, vous pouvez utiliser la commande suivante :
ifconfig en1 detach
Ensuite, retirez l’interface de r&eacute;seau &agrave; l’aide des menus TCP/IP de SMIT.
3. Si un utilisateur (l’interface IP par exemple) utilise actuellement l’unit&eacute; logique VLAN,
toute tentative de modifier les caract&eacute;ristiques VLAN (ID indicateur VLAN ou carte de
base) &eacute;choue. Un message similaire &agrave; l’exemple suivant s’affiche :
Method error (/usr/lib/methods/chgvlan):
0514–062 Cannot perform the requested function because the
specified device is busy.
Pour modifier l’unit&eacute; VLAN logique, d&eacute;tachez d’abord l’utilisateur. Par exemple, si
l’utilisateur est l’interface IP en1, vous pourriez utiliser la commande suivante :
ifconfig en1 detach
Ensuite, modifiez le VLAN et ajoutez de nouveau l’interface de r&eacute;seau &agrave; l’aide des
menus TCP/IP de SMIT.
Identification des incidents
Pour identifier les incidents relatifs &agrave; VLAN, vous pouvez utiliser tcpdump et trace. Le
tableau suivant d&eacute;crit l’ID du suivi d’erreur pour chaque type de paquet de transmission :
paquets de transmission
3FD
paquets de r&eacute;ception
3FE
autres &eacute;v&eacute;nements
3FF
La commande entstat affiche les valeurs totales des statistiques de la carte physique pour
laquelle VLAN est configur&eacute;. Elle ne fournit pas les statistiques individuelles de l’unit&eacute;
logique VLAN sp&eacute;cifique.
Restrictions
Le clich&eacute; &agrave; distance n’est pas pris en charge avec un VLAN. De plus, vous ne pouvez pas
utiliser les unit&eacute;s logiques VLAN pour cr&eacute;er un Etherchannel Cisco Systems.
Protocole TCP/IP
4-41
Utilisation de cartes ATM
La norme internationale ATM (Asynchronous Transfer Mode) d&eacute;finit une m&eacute;thode de
transmission &agrave; grande vitesse pour le transport d’&eacute;l&eacute;ments mixtes compos&eacute;s d’audio, vid&eacute;o,
et de donn&eacute;es informatiques ordinaires sur des r&eacute;seaux locaux, m&eacute;tropolitains et longue
distance (LAN, MAN et WAN). Les cartes ATM offrent une connectivit&eacute; en duplex int&eacute;gral
pour les serveurs ESCALA ou pour les clients qui utilisent des circuits virtuels permanents
(PVC) et des circuits virtuels commut&eacute;s (SVC). Les mises en œuvre PVC et SVC sont
conformes aux sp&eacute;cifications ATM Forum. Le nombre maximum de circuits virtuels pris en
charge varie selon la carte. La plupart des cartes prennent en charge un minimum de 1024
circuits virtuels.
Technologie ATM
ATM (Asynchronous Transfer Mode) est une technologie de commutation de cellules,
orient&eacute;e connexion. Sur un r&eacute;seau ATM, les terminaux sont raccord&eacute;s au r&eacute;seau via des
connexions en duplex int&eacute;gral d&eacute;di&eacute;es. Les r&eacute;seaux ATM sont construits sur la base de
commutateurs interconnect&eacute;s par des connexions physiques d&eacute;di&eacute;es. Pour que le transfert
de donn&eacute;es puisse avoir lieu, des connexions de bout en bout doivent &ecirc;tre &eacute;tablies. Une
interface physique unique peut assurer des connexions multiples. Les stations &eacute;mettrices
transmettent les donn&eacute;es en segmentant les unit&eacute;s PDU (Protocol Data Unit) en cellules de
53-octets. La charge est maintenue sous forme de cellules lors du transport sur le r&eacute;seau.
C’est au niveau des stations r&eacute;ceptrices que les cellules sont r&eacute;assembl&eacute;es en PDU. Les
connexions sont identifi&eacute;es par un identificateur de chemin virtuel (VPI) et un identificateur
de canal virtuel (VCI). Le champ VPI occupe 1 octet dans l’en–t&ecirc;te de 5 octets de la cellule
ATM ; tandis que le champ VCI occupe 2 octets dans l’en–t&ecirc;te de 5 octets de la cellule
ATM. En d’autres termes, une paire VPI:VCI identifie la source de la cellule ATM. Le
commutateur ATM a pour fonction d’identifier l’origine de la cellule, de d&eacute;terminer le saut
suivant et de diriger la cellule vers un port. La paire VPI:VCI change sur une base saut par
saut. Aussi les valeurs VPI:VCI ne sont-elles pas universelles. Un circuit virtuel est d&eacute;crit
par la concat&eacute;nation de valeurs VPI:VCI &agrave; travers le r&eacute;seau.
4-42
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Connexions ATM
Dans l’architecture ATM, il existe deux types de circuits virtuels : permanent (PVC) et
commut&eacute; (SVC).
Circuits virtuels
permanents (PVC)
La configuration des PVC est statique et manuelle. Les
commutateurs composant le r&eacute;seau ATM doivent &ecirc;tre
configur&eacute;s au pr&eacute;alable de fa&ccedil;on &agrave; reconna&icirc;tre la
combinaison VPI:VCI de chaque terminal et &agrave; acheminer
les cellules ATM de ces points via le r&eacute;seau ATM. Apr&egrave;s
l’&eacute;tablissement d’une liaison de r&eacute;seau entre deux points
d’extr&eacute;mit&eacute;, les cellules ATM peuvent &ecirc;tre transmises &agrave;
travers le r&eacute;seau ATM et les commutateurs ATM. Pour
pouvoir acheminer la cellule vers sa destination, les
commutateurs de r&eacute;seau doivent convertir les valeurs
VPI:VCI de mani&egrave;re appropri&eacute;e.
Circuits virtuels
commut&eacute;s (SVC)
Les SVC sont configur&eacute;s dynamiquement, sur la base des
besoins. Les terminaux ATM sont affect&eacute;s d’adresses de
20-octets. Deux concepts entrent en jeu : le panneau de
contr&ocirc;le et le panneau de donn&eacute;es. Le panneau de contr&ocirc;le
utilise une paire de canaux de signalisation VPI:VCI 0:5.
Les SVC initient sur demande une configuration d’appel,
permettant &agrave; une station ATM d’envoyer des &eacute;l&eacute;ments
d’information sp&eacute;cifiant l’adresse ATM de destination
(et, &eacute;ventuellement, l’adresse ATM source). G&eacute;n&eacute;ralement,
la station appelante, le r&eacute;seau et la station appel&eacute;e
interviennent dans la n&eacute;gociation. Finalement, un appel est
soit accept&eacute;, soit rejet&eacute;. S’il est accept&eacute;, le r&eacute;seau affecte
des valeurs VPI:VCI au panneau de donn&eacute;es des deux
stations (appelante et appel&eacute;e). Sur le panneau de contr&ocirc;le,
le r&eacute;seau ATM achemine (ou commute) les paquets de
signaux sur la base des adresses ATM. Pendant le routage
de ces paquets, les commutateurs d&eacute;finissent les tables de
routage des cellules du panneau de donn&eacute;es. Sur le
panneau de donn&eacute;es, les r&eacute;seaux ATM commutent les
cellules sur la base des VPI:VCI, presque comme dans le
cas des PVC. A la fin du transfert, la connexion est close.
L’adresse ATM est construite par enregistrement sur le r&eacute;seau ATM et acquisition des
13 octets les plus significatifs. Les 6 octets suivants correspondent &agrave; l’adresse mat&eacute;rielle
“grav&eacute;e” dans la carte. L’octet le moins important est le s&eacute;lecteur ; son utilisation est laiss&eacute;e
&agrave; la discr&eacute;tion de l’utilisateur. Les r&eacute;seaux ATM n’interpr&egrave;tent pas cet octet.
Protocole TCP/IP
4-43
TCP/IP sur ATM
Les normes de Internet Engineering Task Force RFC1577, Classical IP et ARP, sp&eacute;cifient
le m&eacute;canisme d’impl&eacute;mentation d’IP sur ATM. ATM &eacute;tant une technologie orient&eacute;e
connexion et IP une technologie orient&eacute;e datagramme, le mappage IP-ATM n’est pas
&eacute;vident.
Un r&eacute;seau ATM est le plus souvent r&eacute;parti en sous–r&eacute;seaux IP logiques (LIS). Chacun est
compos&eacute; d’un certain nombre de stations ATM. Les LIS pr&eacute;sentent des analogies avec les
segments LAN classiques. Les LIS sont interconnect&eacute;s par des routeurs. Une carte donn&eacute;e
(sur une station ATM) peut faire partie de plusieurs LIS. Cette fonction est tr&egrave;s utile pour la
mise en œuvre de routeurs.
RFC1577 sp&eacute;cifie RFC1483 qui sp&eacute;cifie LLC/SNAP Encapsulation comme valeur par
d&eacute;faut. Dans les r&eacute;seaux PVC, pour chaque station IP, tous les PVC doivent &ecirc;tre d&eacute;finis
manuellement, par configuration des valeurs VPI:VCI. Si l’encapsulage LLC/SNAP n’est pas
utilis&eacute;, l’adresse IP de destination associ&eacute;e &agrave; chaque VPI:VCI doit &ecirc;tre d&eacute;finie.
Si l’encapsulage LLC/SNAP est utilis&eacute;, la station IP peut conna&icirc;tre l’adresse IP distante par
le biais d’un m&eacute;canisme InARP. Pour les r&eacute;seaux SVC, RFC1577 sp&eacute;cifie un serveur ARP
pour chaque LIS. L’objet de ce serveur est de convertir les adresses IP en adresses ATM
sans utiliser de messages de diffusion. Chaque station IP est configur&eacute;e avec l’adresse
ATM du serveur ARP. Les stations IP configurent les SVC avec le serveur ARP, lequel, &agrave;
son tour, envoie les demandes InARP aux stations IP. Sur la base de la r&eacute;ponse InARP, un
serveur ARP configure IP en mappes d’adresses ATM. Les stations IP envoient les paquets
ARP au serveur ARP pour convertir les adresses, lequel renvoie les adresses ATM.
Les stations IP configurent ensuite un SVC vers la station de destination, et le transfert des
donn&eacute;es d&eacute;marre. Les entr&eacute;es ARP dans les stations IP et le serveur ARP sont fond&eacute;es sur
un m&eacute;canisme bien d&eacute;fini. Pour l’environnement PVC comme pour l’environnement SVC,
chaque station IP dispose d’au moins un circuit virtuel par adresse de destination.
La norme Internet Engineering Task Force RFC2225 remplace la norme RFC1577 et
s’attache principalement au support de la liste des adresses de requ&ecirc;tes ATM ARP. Cette
liste contient une ou plusieurs adresses ATM de serveurs ATM ARP situ&eacute;s au sein du LIS.
Le client RFC2225 supprime le point d’&eacute;chec individuel associ&eacute; aux services ATM ARP du
client 1577. Les clients 2225 ont la possibilit&eacute; de commuter sur les serveurs ARP de
secours en cas d’&eacute;chec du serveur actuel ATM ARP.
ESCALA d&eacute;finit la premi&egrave;re entr&eacute;e de la liste d’adresses des requ&ecirc;tes ATM ARP comme
le serveur ATM ARP principal, les autres &eacute;tant d&eacute;finies comme des serveurs ATM ARP
secondaires.
Le client essaie toujours d’utiliser le serveur ATM ARP principal. En cas d’&eacute;chec de
connexion &agrave; ce serveur, le client essaie de se connecter au premier serveur secondaire
(la position dans la liste d’adresses des requ&ecirc;tes ATM ARP d&eacute;termine l’ordre de celui–ci).
En cas d’&eacute;chec de la connexion au premier serveur ATM ARP secondaire, le client essaie
de se connecter au serveur ATM ARP secondaire suivant de la liste, et ainsi de suite. Ce
processus continue jusqu’&agrave; ce que la connexion aboutisse.
En cas d’&eacute;chec de connexion au serveur ATM ARP principal, ind&eacute;pendamment du serveur
ATM ARP secondaire auquel il est connect&eacute; ou tente de se connecter, le client fait, toutes
les 15 minutes, une nouvelle tentative de connexion au serveur principal ATM ARP. En cas
de r&eacute;ussite, la connexion au serveur ATM ARP secondaire est abandonn&eacute;e.
La liste d’adresses des requ&ecirc;tes ATM ARP est saisie manuellement &agrave; l’aide du menu SMIT
ou de la commande ifconfig. Cette liste ne peut pas &ecirc;tre configur&eacute;e avec la MIB
(Management Information Base).
R&eacute;seau PVC
Utilisez la Figure 15, page 4-45 comme exemple de configuration pour votre r&eacute;seau.
Dans la figure R&eacute;seau ATM type, un sous–r&eacute;seau IP logique est repr&eacute;sent&eacute; par des lignes
de pointill&eacute;s, reliant chaque h&ocirc;te au commutateur. L’autre sous-r&eacute;seau IP est repr&eacute;sent&eacute; par
des traits pleins.
4-44
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Figure 15. R&eacute;seau ATM repr&eacute;sentatif Cette illustration repr&eacute;sente un r&eacute;seau ATM typique
en &eacute;toile. Au centre de l’&eacute;toile se trouve le commutateur ATM. Des h&ocirc;tes IP num&eacute;rot&eacute;s
partent du commutateur ainsi que des liaisons vers d’autres commutateurs ATM et un
bo&icirc;tier de passerelle et un adaptateur ATM.
H&ocirc;te
non AIX
Vers autres
commutateurs ATM
H&ocirc;te
H6
H&ocirc;te
H1
Commutateurs
ATM
H&ocirc;te
H2
H&ocirc;te
H3
H&ocirc;te
H5
Deux adresses IP
partageant le m&ecirc;me
c&acirc;ble (fibre) physique
H&ocirc;te
H4
Bo&icirc;tier passerelle ATM avec
carte ATM TURBOWAYS 155
Le tableau suivant indique comment configurer les h&ocirc;tes H3 et H4 pour qu’ils puissent
communiquer avec une passerelle et avec chaque h&ocirc;te sur leur propre r&eacute;seau IP logique.
Configuration type d’un h&ocirc;te
Pilote d’interface r&eacute;seau
VPI:VCI
Observations
at0
0:40
Connexion &agrave; 128.10.1.5 (passerelle)
at0
0:42
Connexion &agrave; 128.10.1.2
at0
0:43
Connexion &agrave; 128.10.1.3
at0
0:50
Connexion &agrave; 128.10.2.5 (passerelle)
at0
0:52
Connexion &agrave; 128.10.2.2
at0
0:53
Connexion &agrave; 128.10.2.3
at0
0:54
Connexion &agrave; 128.10.2.4
H&ocirc;te H3
H&ocirc;te H4
Protocole TCP/IP
4-45
Pour atteindre les h&ocirc;tes d’un autre sous–r&eacute;seau IP logique, il suffit de cr&eacute;er une connexion
VPI:VCI &agrave; la passerelle (les VPI:VCI indiqu&eacute;s sont de simples exemples).
Le bo&icirc;tier de la passerelle ATM est &eacute;quip&eacute; d’un ATM avec deux adresses IP partageant le
m&ecirc;me c&acirc;ble physique.
R&eacute;seau SVC
A l’aide de la Figure 16 page 4-46 en guise d’exemple, imaginez que l’h&ocirc;te H3 veut appeler
l’h&ocirc;te H4. H1 est le serveur ARP du sous–r&eacute;seau 1 et H6, celui du sous–r&eacute;seau 2. En
supposant que le masque de sous–r&eacute;seau est 255.255.255.0, les stations ayant les
adresses 128.10.1.X sont membres d’un sous–r&eacute;seau, tandis que les stations ayant les
adresses 128.10.2.X sont membres d’un autre sous–r&eacute;seau. Reportez–vous &agrave; la liste des
configurations h&ocirc;te repr&eacute;sentatives &agrave; l’aide des SVC.
Figure 16. R&eacute;seau ATM repr&eacute;sentatif Cette illustration repr&eacute;sente un r&eacute;seau ATM typique
en &eacute;toile. Au centre de l’&eacute;toile se trouve le commutateur ATM. Des h&ocirc;tes IP num&eacute;rot&eacute;s
partent du commutateur ainsi que des liaisons vers d’autres commutateurs ATM et un
bo&icirc;tier de passerelle et un adaptateur ATM.
H&ocirc;te
non AIX
Vers autres
commutateurs ATM
H&ocirc;te
H6
H&ocirc;te
H1
Commutateurs
ATM
H&ocirc;te
H2
H&ocirc;te
H3
H&ocirc;te
H5
Deux adresses IP
partageant le m&ecirc;me
c&acirc;ble (fibre) physique
H&ocirc;te
H4
Bo&icirc;tier passerelle ATM avec
carte ATM TURBOWAYS 155
4-46
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Liste de configurations type d’h&ocirc;te
Pilote
d’interface
r&eacute;seau
Adresse IP
Serveur ARP
Adresse du
serveur ARP
128.10.1.3
Oui
128.10.1.1
Non
Adresse ATM
de H1
at0
128.10.1.5
Non
Adresse ATM
de H1
at1
128.10.2.5
Non
Adresse ATM
de H6
128.10.2.1
Non
Adresse ATM
de H6
128.10.2.3
Oui
Adresse
passerelle
H&ocirc;te H1
at0
128.10.1.5
H&ocirc;te H3
at0
128.10.1.5
Passerelle
H&ocirc;te H4
at0
128.10.2.5
H&ocirc;te H6
at0
128.10.2.5
Remarque : Chaque sous–r&eacute;seau requiert un et un seul serveur ARP.
H3 identifiant que l’adresse 128.10.2.1 ne se trouve pas sur son sous-r&eacute;seau, consulte H1
pour convertir l’adresse IP de la passerelle par d&eacute;faut en adresse ATM. H3 lance ensuite un
appel &agrave; la passerelle. La passerelle identifie que les donn&eacute;es sont associ&eacute;es au second
sous-r&eacute;seau et consulte H6 pour convertir effectivement l’adresse IP de H4 en adresse
ATM. Des connexions sont ensuite &eacute;tablies entre H3 et la passerelle, et entre la passerelle
et H4.
Configuration d’une carte ATM
Pour configurer la carte ATM, utilisez Web-based System Manager, la commande wsm ou
le raccourci SMIT smit chg_atm. S&eacute;lectionnez un nom de carte, puis avec l’aide en ligne et
les listes &agrave; choix multiples, d&eacute;cidez des modifications &agrave; apporter &agrave; votre configuration.
Statistiques sur la carte ATM
La commande atmstat permet d’obtenir des statistiques sur la carte ATM. Assortie de
l’indicateur –r, elle remet les statistiques &agrave; z&eacute;ro. Son format est atmstat NomUnit&eacute;. Elle
renvoie les ensembles de statistiques suivants :
Statistiques de transmission
Packets :
Nombre de paquets (ou de PDU) transmis.
Bytes :
D&eacute;compte des octets transmis. Ils repr&eacute;sentent les octets de l’utilisateur.
La charge ATM (par exemple, en-t&ecirc;te de cellule ATM, en-queue AAL5 PDU,
etc.) est exclue.
Interrupts :
Champ non utilis&eacute;.
Transmit Errors :
Nombre d’erreurs de transmission pour l’unit&eacute;.
Packets Dropped :
Nombre de paquets de transmission abandonn&eacute;s, suite, par exemple, &agrave; un
incident sur le tampon.
Protocole TCP/IP
4-47
Max Packets on S/W Transmit Queue :
Champ non applicable &agrave; ATM.
S/W Transmit Queue Overflow :
Champ non applicable &agrave; ATM.
Current S/W + H/W Transmit Queue Length :
Longueur de la file d’attente de transmission courante.
Cells Transmitted :
Nombre de cellules transmises par cette unit&eacute;.
Out of Xmit Buffers :
Nombre de paquets de transmission abandonn&eacute;s, suite &agrave; un incident sur
les tampons Xmit.
Current HW Transmit Queue Length :
Nombre courant de paquets de transmission sur la file d’attente mat&eacute;rielle.
Current SW Transmit Queue Length :
Champ non applicable &agrave; ATM.
Statistiques de r&eacute;ception
Packets :
Nombre de paquets (ou de PDU) re&ccedil;us.
Bytes :
D&eacute;compte des octets re&ccedil;us. Ils repr&eacute;sentent les octets de l’utilisateur.
La charge ATM (par exemple, en-t&ecirc;te de cellule ATM, en-queue AAL5 PDU,
etc.) est exclue.
Interrupts :
Nombre d’interruptions effectu&eacute;es par le syst&egrave;me pour les indications
carte-vers-syst&egrave;me. Parmi les &eacute;v&eacute;nements susceptibles de provoquer ces
interruptions, citons des paquets re&ccedil;us, des indications de transmission
effectu&eacute;e, etc.
Receive Errors :
Nombre d’erreurs de r&eacute;ception pour cette unit&eacute;.
Packets Dropped :
Nombre de paquets de r&eacute;ception abandonn&eacute;s, suite par exemple &agrave; un
incident sur les tampons.
Bad Packets :
Champ non applicable &agrave; ATM.
Cells Received :
Nombre de cellules re&ccedil;ues par cette unit&eacute;.
Out of Rcv Buffers :
Nombre de paquets abandonn&eacute;s, suite &agrave; un incident sur les tampons de
r&eacute;ception.
CRC Errors :
Nombre de paquets re&ccedil;us ayant rencontr&eacute; des erreurs CRC.
Packets Too Long :
Nombre de paquets re&ccedil;us, qui exc&eacute;daient la taille maximale du PDU.
Incomplete Packets :
Nombre de paquets incomplets re&ccedil;us.
Cells Dropped :
Nombre de cellules abandonn&eacute;es. Les raisons de l’abandon des cellules
sont diverses ; incident au niveau de l’en–t&ecirc;te (HEC), tampon satur&eacute;, etc.
4-48
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Statistiques g&eacute;n&eacute;rales
No mbuf Errors :
Nombre de requ&ecirc;tes mbuf refus&eacute;es.
Adapter Loss of Signals :
Nombre de pertes de signal rencontr&eacute;es par la carte.
Adapter Reset Count :
Nombre de r&eacute;initialisations effectu&eacute;es sur la carte.
Driver Flags: Up Running Simplex :
Indicateurs NDD.
Virtual Connections in use :
Nombre de VC actuellement allou&eacute;s ou en cours d’utilisation.
Max Virtual Connections in use :
Nombre maximal de VC allou&eacute;s depuis la derni&egrave;re remise &agrave; z&eacute;ro des
statistiques.
Virtual Connections Overflow :
Nombre de demandes d’allocation de VC refus&eacute;es.
SVC UNI Version :
Version UNI courante du protocole de signalisation utilis&eacute;.
Statistiques ATM Micro Channel compl&eacute;mentaires
Pour des statistiques d&eacute;taill&eacute;es, lancez la commande atmstat assortie de l’indicateur –d.
Turboways ATM Adapter Specific Statistics:
Packets Dropped - No small DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de petits
tampons syst&egrave;me pour DMA sur la carte.
Packets Dropped - No medium DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de
tampons syst&egrave;me moyens pour DMA sur la carte.
Packets Dropped – No large DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de grands
tampons syst&egrave;me pour DMA sur la carte.
Receive Aborted – No Adapter Receive buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de
tampons de r&eacute;ception sur la carte.
Transmit Aborted – No small DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
petits tampons syst&egrave;me pour DMA.
Transmit Aborted – No medium DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
tampons syst&egrave;me moyens pour DMA.
Transmit Aborted – No large DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
grands tampons syst&egrave;me pour DMA.
Transmit Aborted – No MTB DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
grands tampons syst&egrave;me pour DMA.
Transmit Aborted – No Adapter Transmit buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
tampons de transmission sur la carte.
Protocole TCP/IP
4-49
Max Hardware Transmit Queue Length :
Nombre maximal de paquets de transmission en attente dans la file
mat&eacute;rielle.
Small Mbufs in Use :
Nombre de petits tampons en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Medium Mbufs in Use :
Nombre de tampons moyens en cours d’utilisation. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Large Mbufs in Use :
Nombre de grands tampons en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Huge Mbufs in Use :
Nombre de tr&egrave;s grands tampons en cours d’utilisation. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
MTB Mbufs in Use :
Nombre de tampons MTB en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Max Small Mbufs in Use :
Nombre maximal de petits tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Max Medium Mbufs in Use :
Nombre maximal de tampons moyens qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute;
de carte alloue ces tampons en fonction des donn&eacute;es de configuration
fournies par les administrateurs syst&egrave;me. Cette information peut servir &agrave;
affiner les donn&eacute;es de configuration.
Max Large Mbufs in Use :
Nombre maximal de grands tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute;
de carte alloue ces tampons en fonction des donn&eacute;es de configuration
fournies par les administrateurs syst&egrave;me. Cette information peut servir &agrave;
affiner les donn&eacute;es de configuration.
Max Huge Mbufs in Use :
Nombre maximal de tr&egrave;s grands tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote
d’unit&eacute; de carte alloue ces tampons en fonction des donn&eacute;es de
configuration fournies par les administrateurs syst&egrave;me. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
MTB Mbufs in Use :
Nombre maximal de tampons MTB qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
4-50
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Small Mbufs overflow :
Nombre de fois qu’un petit tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Medium Mbufs overflow :
Nombre de fois qu’un moyen tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Large Mbufs overflow :
Nombre de fois qu’un grand tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Huge Mbufs overflow :
Nombre de fois qu’un tr&egrave;s grand tampon n’a pu &ecirc;tre allou&eacute;. Cette
information peut servir &agrave; affiner les donn&eacute;es de configuration.
MTB Mbufs overflow :
Nombre de fois qu’un tampon MTB n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Statistiques propres &agrave; la carte ATM PCI
Total 4K byte Receive Buffers : 768
Using : 512
Nombre de tampons de r&eacute;ception allou&eacute;s ainsi que le nombre de tampons
actuellement en cours d’utilisation.
Max 4K byte Receive Buffers limit : 1228 max_used : 514
Nombre maximum de tampons de r&eacute;ception pouvant &acirc;tre allou&eacute;s ainsi que
le nombre de tampons qui ont &eacute;t&eacute; utilis&eacute;s depuis la derni&egrave;re configuration
ou ouverture de la carte.
Protocole TCP/IP
4-51
Interfaces de r&eacute;seau TCP/IP
La couche interface de r&eacute;seau TCP/IP convertit les datagrammes IP de la couche r&eacute;seau
en paquets interpr&eacute;tables et transmissibles par les technologies de r&eacute;seau. Une interface
de r&eacute;seau est un logiciel sp&eacute;cifique d’un r&eacute;seau qui permet la communication entre le pilote
d’unit&eacute; du r&eacute;seau et la couche IP. Ainsi, la couche IP dispose d’une interface fiable pour
communiquer avec toutes les cartes r&eacute;seau en place.
La couche IP s&eacute;lectionne l’interface de r&eacute;seau correspondant &agrave; l’adresse de destination
du paquet &agrave; transmettre. Chaque interface est dot&eacute;e d’une adresse. La couche interface de
r&eacute;seau est charg&eacute;e d’ajouter ou de supprimer l’en-t&ecirc;te appliqu&eacute; par la couche liaison pour
assurer la livraison du message. Le pilote de carte r&eacute;seau contr&ocirc;le la carte r&eacute;seau.
Une interface de r&eacute;seau est g&eacute;n&eacute;ralement associ&eacute;e &agrave; une carte r&eacute;seau, mais ce n’est pas
obligatoire (l’interface de bouclage (loopback), par exemple, ne l’est pas). Chaque machine
doit &ecirc;tre &eacute;quip&eacute;e d’autant de cartes que de r&eacute;seaux (et non de types de r&eacute;seau) auxquels
elle est connect&eacute;e. Cependant, la machine requiert seulement une copie du logiciel
d’interface de r&eacute;seau et une copie du pilote d’unit&eacute; de r&eacute;seau. Par exemple, si un h&ocirc;te est
raccord&eacute; &agrave; deux r&eacute;seaux en anneau &agrave; jeton, il doit &ecirc;tre &eacute;quip&eacute; de deux cartes r&eacute;seau.
Cependant, il requiert seulement une copie du logiciel d’interface de r&eacute;seau et une copie
du pilote de r&eacute;seaux en anneau &agrave; jeton.
TCP/IP accepte plusieurs types d’interface de r&eacute;seau :
• Ethernet standard version 2 (en)
• IEEE 802.3 (et)
• Anneau &agrave; jeton (tr)
• SLIP (sl)
• Bouclage (lo)
• FDDI
• Optique s&eacute;rie (so)
• ATM (at)
• Protocole point &agrave; point (ppp)
• Adresse IP virtuelle (vi)
Les interfaces Ethernet, 802.3 et anneau &agrave; jeton sont destin&eacute;es aux r&eacute;seaux locaux (LAN)
et l’interface SLIP (Serial Line Internet Protocol) aux connexions s&eacute;rie. L’interface de
bouclage (loopback) est utilis&eacute;e par les h&ocirc;tes pour que les messages qu’ils envoient leur
soient r&eacute;exp&eacute;di&eacute;s. L’interface Optique s&eacute;rie s’applique aux r&eacute;seaux optiques point &agrave; point
exploitant le gestionnaire d’unit&eacute; de liaison optique s&eacute;rie. L’interface ATM est utilis&eacute;e pour
les connexions ATM 100 Mbits/sec et 155 Mbits/sec. Le protocole PPP (Point to Point
protocol) est g&eacute;n&eacute;ralement utilis&eacute; lors de la connexion &agrave; un autre ordinateur ou r&eacute;seau via
un modem. L’interface d’adresse IP virtuelle (&eacute;galement connue sous le nom d’interface
virtuelle) n’est pas associ&eacute;e &agrave; une carte r&eacute;seau donn&eacute;e. Plusieurs instances d’une interface
virtuelle peuvent &ecirc;tre configur&eacute;es sur un h&ocirc;te. Lorsque des interfaces virtuelles sont
configur&eacute;es, l’adresse de la premi&egrave;re d’entre elles devient l’adresse source sauf si une
application a choisi une autre interface. Les processus qui utilisent une adresse IP virtuelle
comme adresse source peuvent envoyer des paquets sur toute interface de r&eacute;seau qui
fournit la meilleure route vers cette destination. Les paquets entrants destin&eacute;s &agrave; une
adresse IP virtuelle sont livr&eacute;s au processus quelle que soit l’interface via laquelle ils
arrivent.
4-52
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration automatique des interfaces de r&eacute;seau
A l’installation d’une nouvelle carte r&eacute;seau (physique), le syst&egrave;me d’exploitation ajoute
automatiquement l’interface correspondante. Par exemple, si vous installez une carte
r&eacute;seau en anneau &agrave; jeton, le syst&egrave;me la nomme tok0 et ajoute l’interface de r&eacute;seau en
anneau &agrave; jeton tr0. De m&ecirc;me, si vous installez une carte Ethernet, le syst&egrave;me la nomme
ent0 et ajoute une interface Ethernet version 2 et une interface IEEE 802.3
(respectivement nomm&eacute;es en0 et et0).
Dans la plupart des cas, il existe une correspondance unique entre un nom de carte et un
nom d’interface de r&eacute;seau. Par exemple, la carte r&eacute;seau en anneau &agrave; jeton tok0
correspond &agrave; l’interface tr0, la carte tok1, &agrave; l’interface tr1, etc. De m&ecirc;me, la carte
Ethernet ent0 correspond aux interfaces en0 (Ethernet version 2) et et0 (IEEE 802.3),
la carte ent1, aux interfaces en1 (Ethernet version 2) et et1 (IEEE 802.3).
Conform&eacute;ment &agrave; RFC1577, une station ATM peut faire partie de plusieurs sous-r&eacute;seaux IP
logiques. Dans ce cas, plusieurs interfaces sont associ&eacute;es &agrave; une unit&eacute;, ce qui suppose
d’ajouter une interface sp&eacute;cifique et de lui affecter un nom d’unit&eacute;.
Remarque :
En circonstances normales d’exploitation, vous n’aurez jamais &agrave; supprimer
ou ajouter manuellement une interface de r&eacute;seau. Mais vous pouvez &ecirc;tre
amen&eacute; &agrave; le faire au cours d’une proc&eacute;dure de r&eacute;solution d’incident. Dans ce
cas, utilisez wsm (Web–based System Manager) ou le raccourci SMIT
smit inet pour supprimer et r&eacute;ajouter l’interface appropri&eacute;e.
A chaque lancement du syst&egrave;me, l’interface de r&eacute;seau est automatiquement configur&eacute;e en
fonction des informations de la base de donn&eacute;es ODM, avec des valeurs par d&eacute;faut. La
communication n’est possible que si une adresse Internet lui a &eacute;t&eacute; attribu&eacute;e. C’est le seul
attribut que vous ayez &agrave; d&eacute;finir. Les autres attributs peuvent conserver leur valeur par
d&eacute;faut. Le d&eacute;tail de ces valeurs est donn&eacute; dans les paragraphes qui suivent.
Configuration Ethernet par d&eacute;faut
Voici les attributs de carte r&eacute;seau Ethernet et leurs valeurs par d&eacute;faut qui peuvent &ecirc;tre
modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web–based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
netaddr
netmask
broadcast
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau Ethernet et sa valeur par d&eacute;faut qui peut &ecirc;tre modifi&eacute;e
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm (Web–based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1500
60 &agrave; 1500
Protocole TCP/IP
4-53
Configuration 802.3 par d&eacute;faut
Voici les attributs de carte r&eacute;seau 802.3 et leurs valeurs par d&eacute;faut qui peuvent &ecirc;tre
modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web–based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
netaddr
netmask
broadcast
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau 802.3 et sa valeur par d&eacute;faut qui peut &ecirc;tre modifi&eacute;e
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm (Web–based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1492
60 &agrave; 1492
Valeurs de configuration par d&eacute;faut de l’anneau &agrave; jeton
Voici les attributs de carte r&eacute;seau en anneau &agrave; jeton et leurs valeurs par d&eacute;faut qui peuvent
&ecirc;tre modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web–based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
hwloop
no
yes, no
no
yes, no
netaddr
netmask
netmask
broadcast
allcast
Voici les attributs de pilote d’unit&eacute; r&eacute;seau en anneau &agrave; jeton et leurs valeurs par d&eacute;faut qui
peuvent &ecirc;tre modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec
wsm (Web–based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu (4Mbps)
1500
60 &agrave; 4056
mtu (16Mbps)
1500
60 &agrave; 17960
Remarque :
Lorsque la communication transite par un pont, la valeur MTU par d&eacute;faut
(de 1500 octets) doit &ecirc;tre ramen&eacute;e &agrave; 8 octets en dessous de la valeur
maximum I-frame d&eacute;clar&eacute;e par le pont dans le champ de contr&ocirc;le de
routage. Par exemple, si la valeur de ”maximum I-frame” est 1500 dans le
champ de contr&ocirc;le de routage, celle de MTU doit &ecirc;tre fix&eacute;e &agrave; 1492 (pour les
interfaces anneau &agrave; jeton seulement). Pour en savoir plus, reportez-vous &agrave;
Incidents sur un pont reliant deux r&eacute;seaux en anneau &agrave; jeton, page 4-283.
Avec la carte en anneau &agrave; jeton IBM16/4PowerPC (ISA), la MTU est limit&eacute;e &agrave; 2000.
4-54
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration SLIP par d&eacute;faut
Voici les attributs de carte r&eacute;seau SLIP et leurs valeurs par d&eacute;faut telles qu’elles s’affichent
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web–based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
up
up, down, detach
netaddr
dest
state
netmask
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau SLIP et sa valeur par d&eacute;faut telle qu’elle s’affiche
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web–based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1006
60 &agrave; 4096
Configuration optique s&eacute;rie par d&eacute;faut
Voici les attributs du convertisseur de canal r&eacute;seau optique s&eacute;rie et leurs valeurs par d&eacute;faut
telles qu’elles s’affichent dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans
wsm Web–based System Manager.
Attribut
Valeur par d&eacute;faut
Valeurs possibles
down
up, down, detach
netaddr
state
netmask
Voici l’attribut du gestionnaire d’unit&eacute; r&eacute;seau optique et sa valeur par d&eacute;faut telle qu’elle
s’affiche dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm
(Web–based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
61428
1 &agrave; 61428
Configuration ATM par d&eacute;faut
Voici les attributs de carte r&eacute;seau ATM et leurs valeurs par d&eacute;faut telles qu’elles s’affichent
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web–based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
up
up, down, detach
Connection Type
svc_s
svc_c, svc_s, pvc
idle timer
60
1 &agrave; 60
Best Effort Bit Rate (UBR)
en kbits/sec
0
1 &agrave; 155.000
netaddr
netmask
ATM Server Address
Alternate Device
Protocole TCP/IP
4-55
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau ATM et sa valeur par d&eacute;faut telle qu’elle s’affiche dans
le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web–based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
9180
1 &agrave; 64K
Remarque :
La plus grande prudence est recommand&eacute;e aux administrateurs r&eacute;seau
s’ils modifient la taille de MTU d&eacute;finie par d&eacute;faut. La valeur de ce param&egrave;tre
doit &ecirc;tre compatible avec les autres stations du r&eacute;seau.
Si des PVC sont utilis&eacute;s sur une interface, les VPI:VCI doivent &ecirc;tre d&eacute;finis via la derni&egrave;re
option du menu S&eacute;lection d’une interface de r&eacute;seau, PVCs for IP over ATM Network, qui
vous permet de r&eacute;pertorier, d’ajouter, de modifier ou de supprimer des PVC.
R&eacute;seaux avec plusieurs interfaces
Si plusieurs interfaces r&eacute;seau sont connect&eacute;es &agrave; un seul r&eacute;seau, chaque interface doit avoir
une adresse IP unique.
Avant AIX 5.1, si vous configuriez plusieurs interfaces r&eacute;seau sur le m&ecirc;me r&eacute;seau, seule
la premi&egrave;re interface configur&eacute;e avait un routage vers le r&eacute;seau dans la table de routage IP.
La totalit&eacute; du trafic IP sortant passerait par cons&eacute;quent uniquement par cette interface, et
pas les autres interfaces du r&eacute;seau. Bien qu’il soit possible d’utiliser cette configuration pour
&eacute;quilibrer le trafic entrant, il est d&eacute;conseill&eacute; de l’utiliser dans les versions ant&eacute;rieures &agrave;
AIX 5.1.
Dans AIX 5.1 et les versions sup&eacute;rieures, la fonction de Routage multi–chemins permet
d’ajouter des routes &agrave; la table de routage IP pour les interfaces multi–chemins sur le m&ecirc;me
sous–r&eacute;seau. Ceci permet au trafic sortant d’alterner entre les interfaces au lieu d’&ecirc;tre
envoy&eacute;es via une seule interface.
Gestion d’interfaces de r&eacute;seau
Pour g&eacute;rer des interfaces de r&eacute;seau, utilisez le gestionnaire syst&egrave;me Web, WSM Network,
l’application FastPath ou les proc&eacute;dures du tableau suivant.
Gestion des t&acirc;ches d’interfaces de r&eacute;seau
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web–based System
Manager Management
Environment
Liste de toutes les
unit&eacute;s de r&eacute;seau
smit lsinet
lsdev –C –c if
Logiciel ––&gt; Unit&eacute;s ––&gt;
Toutes les unit&eacute;s.
Reportez-vous &agrave; la
commande
ifconfig et au
fichier rc.net
Logiciel ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt;
Configuration de
protocole ––&gt;
Proc&eacute;dez &agrave; la
configuration TCP/IP
de base.
Configuration d’une smit chinet
unit&eacute; de r&eacute;seau
4-56
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Modification des
informations
d’interface r&eacute;seau
avec /usr mont&eacute; &agrave;
distance
smit chdev1,2
Statistiques sur
une interface de
r&eacute;seau
chgif1,2
Logiciel ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt; Interfaces de
r&eacute;seau ––&gt;. Cliquez
avec le bouton droit et
s&eacute;lectionnez Propri&eacute;t&eacute;s
––&gt; Alias.
netstat –v
R&eacute;seau ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt; Interfaces de
r&eacute;seau ––&gt;
Statistiques sur le
r&eacute;seau.
Remarques :
1. Les modifications apport&eacute;es depuis un /usr mont&eacute; &agrave; distance n’affectent que l’ODM tant
que le r&eacute;seau n’est pas r&eacute;initialis&eacute; ou tant que la commande ifconfig n’a pas &eacute;t&eacute; utilis&eacute;e
pour valider les modifications.
2. Avec /usr mont&eacute; &agrave; distance, l’administrateur syst&egrave;me doit veiller &agrave; ne pas changer
l’interface car elle correspond &agrave; l’emplacement des biblioth&egrave;ques, des commandes
et du noyau.
Options du r&eacute;seau sp&eacute;cifiques &agrave; l’interface
Les interfaces TCP/IP doivent &ecirc;tre sp&eacute;cialement d&eacute;finies pour atteindre une bonne
performance r&eacute;seau &agrave; haut d&eacute;bit (au moins 100 Mo). Le fait que plusieurs interfaces de
r&eacute;seau et une combinaison d’interfaces TCP/IP traditionnelles et &agrave; haut d&eacute;bit puissent &ecirc;tre
utilis&eacute;es sur un seul syst&egrave;me complique cet effort. Avant AIX 4.3.3 (4330–08) et AIX 5.1,
AIX fournissait un seul ensemble de valeurs au niveau des syst&egrave;mes pour les param&egrave;tres
de r&eacute;glage de r&eacute;seau d’interface IP principaux, ce qui rendait impossible le r&eacute;glage d’un
syst&egrave;me ayant des interfaces de cartes r&eacute;seau tr&egrave;s diff&eacute;rentes. Depuis AIX 4.3.3 (4330–08)
et AIX 5.1, Interface Specific Network Options (ISNO) permet aux administrateurs syst&egrave;me
de r&eacute;gler chaque interface TCP/IP pour obtenir la meilleure performance.
Il existe cinq param&egrave;tres ISNO par interface prise en charge : rfc1323, tcp_nodelay,
tcp_sendspace, tcp_recvspace et tcp_mssdflt. Lorsqu’elles sont d&eacute;finies, les valeurs de
ces param&egrave;tres remplacent les param&egrave;tres de m&ecirc;mes noms d&eacute;finis avec la commande no
au niveau de l’ensemble du syst&egrave;me. Lorsque les options ISNO ne sont pas d&eacute;finies pour
une interface particuli&egrave;re, les options au niveau de l’ensemble du syst&egrave;me sont utilis&eacute;es.
Lorsque des options ont &eacute;t&eacute; d&eacute;finies par une application pour un socket donn&eacute; utilisant la
sous–routine setsockopt, de telles options remplacent les ISNO.
L’option de r&eacute;seau use_isno, d&eacute;finie avec la commande no, doit &ecirc;tre &eacute;gale &agrave; 1 pour que
les ISNO soient pris en compte. La valeur par d&eacute;faut de use_isno est 1.
Les param&egrave;tres ISNO de certaines cartes &agrave; haut d&eacute;bit sont d&eacute;finis par d&eacute;faut dans la base
de donn&eacute;es d’ODM.
Les interfaces Gigabit Ethernet, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 9000,
utilisent les valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
131072
262144
262144
tcp_recvspace
92160
131072
131072
rfc1323
1
1
1
Protocole TCP/IP
4-57
Les interfaces Gigabit Ethernet, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 1500,
utilisent les valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
65536
131072
131072
tcp_recvspace
16384
65536
65536
rfc1323
0
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 1500, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
16384
non d&eacute;finie
non d&eacute;finie
tcp_recvspace
16384
non d&eacute;finie
non d&eacute;finie
rfc1323
0
non d&eacute;finie
non d&eacute;finie
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 65527, utilisent
les valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
655360
655360
655360
tcp_recvspace
655360
655360
655360
rfc1323
0
1
1
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 9180, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
65536
65536
65536
tcp_recvspace
65536
65536
65536
rfc1323
0
non d&eacute;finie
non d&eacute;finie
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces FDDI, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 4352, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
4-58
Nom
Valeur
tcp_sendspace
45046
tcp_recvspace
45046
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Les param&egrave;tres ISNO ne peuvent pas &ecirc;tre affich&eacute;s ou modifi&eacute;s &agrave; l’aide de SMIT. Ils peuvent
&ecirc;tre d&eacute;finis &agrave; l’aide des commandes chdev ou ifconfig. La commande ifconfig ne modifie
les valeurs que jusqu’au prochain red&eacute;marrage du syst&egrave;me. La commande chdev modifie
les valeurs dans la base de donn&eacute;es d’ODM afin qu’elles soient utilis&eacute;es lors de
red&eacute;marrages ult&eacute;rieurs du syst&egrave;me. Les commandes lsattr ou ifconfig peuvent &ecirc;tre
utilis&eacute;es pour afficher les valeurs actuelles.
Exemple
Les commandes suivantes peuvent &ecirc;tre d’abord utilis&eacute;es pour v&eacute;rifier la prise en charge
du syst&egrave;me et de l’interface, puis pour d&eacute;finir et v&eacute;rifier les nouvelles valeurs.
1. V&eacute;rifiez la prise en charge du syst&egrave;me g&eacute;n&eacute;ral et de l’interface en utilisant les
commandes no et lsattr.
– V&eacute;rifiez que l’option use_isno est activ&eacute;e en utilisant une commande semblable &agrave; la
suivante :
$ no –a | grep isno
use_isno=1
– V&eacute;rifiez que l’interface prend en charge les cinq nouveaux ISNO utilisant la commande
lsattr –El, comme illustr&eacute; ci–dessous :
$ lsattr –E –l en0 –H
attribute
value
rfc1323
tcp_nodelay
tcp_sendspace
tcp_recvspace
tcp_mssdflt
description
N/A
N/A
N/A
N/A
N/A
2. D&eacute;finissez les valeurs sp&eacute;cifiques &agrave; l’interface en utilisant les commandes ifconfig ou
chdev. La commande ifconfig d&eacute;finit temporairement des valeurs, ce qui est
recommand&eacute; pour effectuer des tests. La commande chdev modifie l’ODM, les valeurs
personnalis&eacute;es conservent donc leur validit&eacute; apr&egrave;s un red&eacute;marrage du syst&egrave;me.
– D&eacute;finissez tcp_recvspace et tcp_sendspace &agrave; 64 K et activez tcp_nodelay en
utilisant l’une des solutions suivantes :
$ ifconfig en0 tcp_recvspace 65536 tcp_sendspace 65536 tcp_nodelay 1
$ chdev –l en0 –a tcp_recvspace=65536 –a tcp_sendspace=65536 –a
tcp_nodelay=1
– En supposant &eacute;galement que la commande no donne une valeur globale rfc1323=1,
l’utilisateur racine peut d&eacute;sactiver rfc1323 pour toutes les connexions sur en0 avec les
commandes suivantes :
$ ifconfig en0 rfc1323 0
$ chdev –l en0 –a rfc1323=0
3. V&eacute;rifiez les param&egrave;tres &agrave; l’aide des commandes ifconfig ou lsattr, comme illustr&eacute; dans
l’exemple ci–dessous :
$ ifconfig en0 &lt;UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,
MULTICAST,GROUPRT,64BIT&gt;
en0: flags=e080863
inet 9.19.161.100 netmask 0xffffff00 broadcast 9.19.161.255
tcp_sendspace 65536 tcp_recvspace 65536 tcp_nodelay 1 rfc1323 0
$ lsattr –El en0
rfc1323
tcp_nodelay
tcp_sendspace
tcp_recvspace
tcp_mssdflt
0
1
65536
65536
N/A
N/A
N/A
N/A
N/A
True
True
True
True
True
Protocole TCP/IP
4-59
Adressage TCP/IP
TCP/IP contient un sch&eacute;ma d’adressage Internet qui permet aux utilisateurs et aux
applications d’obtenir l’identit&eacute; d’un r&eacute;seau ou d’un h&ocirc;te pour &eacute;tablir une communication.
Une adresse Internet fonctionne sur le m&ecirc;me principe qu’une adresse postale : elle permet
aux donn&eacute;es d’&ecirc;tre achemin&eacute;es &agrave; destination. TClP/IP int&egrave;gre des normes d’adressage de
r&eacute;seaux, sous-r&eacute;seaux, h&ocirc;tes, sockets, et des normes d’utilisation des adresses de diffusion
et de bouclage.
Une adresse Internet est constitu&eacute;e d’une adresse r&eacute;seau et d’une adresse d’h&ocirc;te (locale).
Ce format permet de sp&eacute;cifier dans la m&ecirc;me adresse le r&eacute;seau et l’h&ocirc;te cible. Une adresse
officielle unique est attribu&eacute;e &agrave; chaque r&eacute;seau qui se connecte &agrave; d’autres r&eacute;seaux Internet.
Pour les r&eacute;seaux non connect&eacute;s &agrave; d’autres r&eacute;seaux Internet, l’adresse peut &ecirc;tre d&eacute;termin&eacute;e
selon la convenance locale.
Le sch&eacute;ma d’adressage Internet propose des adresses IP (Internet Protocol) et deux cas
particuliers d’adresse IP : adresses de diffusion et adresses de bouclage.
Adresses Internet
Le protocole IP (Internet Protocol) utilise une zone d’adresse de 32 bits form&eacute;e de deux
parties. Les 32 bits sont r&eacute;partis en groupes de quatre octets comme suit :
01111101 00001101 01001001 00001111
Ces nombres binaires correspondent &agrave; :
125 13 73 15
Les deux parties de l’adresse Internet sont respectivement l’adresse r&eacute;seau et l’adresse
h&ocirc;te. Ainsi, un h&ocirc;te distant peut exp&eacute;dier des informations en pr&eacute;cisant le r&eacute;seau distant et
l’h&ocirc;te destinataire sur ce r&eacute;seau. Par convention, le num&eacute;ro d’h&ocirc;te 0 (z&eacute;ro) d&eacute;signe le
r&eacute;seau lui-m&ecirc;me.
TCP/IP prend en charge trois classes d’adresses Internet : A, B et C, qui se distinguent par
l’attribution des 32 bits. L’appartenance &agrave; une classe est d&eacute;termin&eacute;e par la taille du r&eacute;seau.
Adresses de classe A
Une adresse de classe A se compose d’une adresse de r&eacute;seau de 8 bits et d’une adresse
h&ocirc;te local de 24 bits. Le premier bit de l’adresse de r&eacute;seau sert &agrave; d&eacute;signer la classe du
r&eacute;seau et les 7 autres, l’adresse effective. Le nombre le plus &eacute;lev&eacute; que peuvent repr&eacute;senter
ces 7 bits en binaire est 128 ; la classe A offre donc 128 adresses possibles. Deux sont
r&eacute;serv&eacute;es &agrave; des cas particuliers : l’adressage de bouclage local pour l’une (code 127) et
l’adressage de diffusion pour l’autre (adresse qui couvre la totalit&eacute; des r&eacute;seaux).
Il en r&eacute;sulte 126 adresses de r&eacute;seau de classe A possibles et 16 777 216 adresses d’h&ocirc;te
local. Dans une adresse de classe A, le bit de poids fort est positionn&eacute; &agrave; 0 (voir figure ).
Figure 17. Adresse de classe A Cette illustration repr&eacute;sente une structure d’adresse de
classe A typique. Les 8 premiers bits contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours
par un z&eacute;ro). Les 24 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(8 bits)
Adresse d’h&ocirc;te local
(24 bits)
Remarque : Le bit de poids fort (le premier) est toujours positionn&eacute; &agrave; 0 dans une
adresse de classe A.
Autrement dit, le premier octet d’une adresse de classe A est compris entre 1 et 126.
4-60
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Adresse de classe B
Une adresse de classe B se compose d’une adresse de r&eacute;seau de 16 bits et d’une adresse
h&ocirc;te local de 16 bits. Les 2 premiers bits de l’adresse de r&eacute;seau d&eacute;signent la classe de
r&eacute;seau et les 14 autres, l’adresse effective. Par cons&eacute;quent, il y a 16 384 adresses de
r&eacute;seau possibles et 65 536 adresses h&ocirc;te local. Dans une adresse de classe B, les bits de
poids fort sont positionn&eacute;s &agrave; 1 et 0.
Figure 18. Adresse de classe B Cette illustration repr&eacute;sente une structure d’adresse de
classe B typique. Les 16 premiers bits contiennent l’adresse r&eacute;seau. Les deux bits d’ordre
sup&eacute;rieur sont toujours un 1 et un z&eacute;ro. Les 16 bits restants contiennent l’adresse h&ocirc;te
locale.
Adresse de r&eacute;seau
(16 bits)
Adresse d’h&ocirc;te local
(16 bits)
Remarque : Les 2 bits de poids fort (les deux premiers) sont toujours positionn&eacute;s
&agrave; 1 et 0 dans une adresse de classe B.
Autrement dit, le premier octet d’une adresse de classe B est compris entre 128 et 191.
Adresse de classe C
Une adresse de classe C se compose d’une adresse de r&eacute;seau de 24 bits et d’une adresse
h&ocirc;te local de 8 bits. Les 2 premiers bits de l’adresse de r&eacute;seau d&eacute;signent la classe de
r&eacute;seau et les 22 autres, l’adresse effective. Par cons&eacute;quent, il y a 2 097 152 adresses de
r&eacute;seau possibles et 256 adresses h&ocirc;te local possibles. Dans une adresse de classe C, les
bits de poids fort sont positionn&eacute;s &agrave; 1 et 1 (voir figure).
Figure 19. Adresse de classe C Cette illustration repr&eacute;sente une structure d’adresse de
classe C typique. Les 24 premiers bits contiennent l’adresse r&eacute;seau (les deux bits d’ordre
sup&eacute;rieur sont toujours un 1 et un 1). Les 8 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(24 bits)
Adresse d’h&ocirc;te local
(8 bits)
Remarque : Les 2 bits de poids fort (les deux premiers) sont toujours positionn&eacute;s
&agrave; 1 dans une adresse de classe C.
Autrement dit, le premier octet d’une adresse de classe C est compris entre 192 et 223.
Pour d&eacute;cider de la classe d’adresse, vous devez tenir compte du nombre d’h&ocirc;tes locaux et
de sous-r&eacute;seaux pr&eacute;vus. Si l’organisation est r&eacute;duite et que le r&eacute;seau comporte moins de
256 h&ocirc;tes, une adresse de classe C est probablement suffisante. Sinon, il faut envisager
une adresse de classe A ou B.
Remarque :
Les adresses de classe D (1-1-1-0 pour les bits de poids fort), prises en
charge par UDP/IP sous ce syst&egrave;me, sont utilis&eacute;es comme adresses de
diffusion.
Les machines lisent les adresses en code binaire. Par convention, les adresses h&ocirc;tes
Internet sont exprim&eacute;es en notation d&eacute;cimale &agrave; points sur 32 bits r&eacute;partis en quatre zones
de 8 bits. Par exemple, la valeur binaire :
0001010 00000010 00000000 00110100
Protocole TCP/IP
4-61
peut &ecirc;tre exprim&eacute;e comme suit :
010.002.000.052
ou
10.2.0.52
La valeur de chacune de ces zones, s&eacute;par&eacute;es par un point, est un nombre d&eacute;cimal.
Remarque :
La commande hostent reconna&icirc;t les adresses suivantes : .08, .008, .09
et .009. Les adresses introduites par des z&eacute;ros sont interpr&eacute;t&eacute;es en base
octale, laquelle exclut les chiffres 8 et 9.
TCP/IP requiert une adresse Internet unique pour chaque interface (carte) du r&eacute;seau. Ces
adresses, d&eacute;finies par la base de donn&eacute;es de configuration, doivent concorder avec celles
du fichier /etc/hosts ou, si un serveur de noms est utilis&eacute;, de la base de donn&eacute;es named.
Adresses Internet avec z&eacute;ros
Lorsque la zone d’adresse h&ocirc;te d’une adresse Internet de classe C a la valeur 0 (par
exemple 192.9.200.0), TCP/IP envoie une adresse g&eacute;n&eacute;rique sur le r&eacute;seau : toutes les
machines dot&eacute;es de l’adresse de classe 192.9.200.X (o&ugrave; X repr&eacute;sente une valeur comprise
entre 0 et 254) doivent r&eacute;pondre &agrave; la requ&ecirc;te. Il en r&eacute;sulte que le r&eacute;seau est inond&eacute; de
requ&ecirc;tes adress&eacute;es &agrave; des machines inexistantes.
Le m&ecirc;me probl&egrave;me se pose pour une adresse de classe B du type 129.5.0.0 : toutes les
machines dot&eacute;es de l’adresse de classe 129.5.X.X. (o&ugrave; X repr&eacute;sente une valeur comprise
entre 0 et 254) doivent r&eacute;pondre &agrave; la requ&ecirc;te. Mais, dans ce cas, le nombre de requ&ecirc;tes est
bien plus important encore que sur un r&eacute;seau de classe C car les adresses de classe B
couvrent des r&eacute;seaux plus vastes.
Adresses de sous-r&eacute;seau
Gr&acirc;ce au m&eacute;canisme d’adressage de sous-r&eacute;seau, un syst&egrave;me autonome regroupant
plusieurs r&eacute;seaux peut disposer d’une m&ecirc;me adresse Internet. Il est &eacute;galement possible de
diviser un r&eacute;seau en plusieurs r&eacute;seaux logiques (sous-r&eacute;seaux). Par exemple, une
organisation sera dot&eacute;e d’une adresse Internet unique connue par les utilisateurs ext&eacute;rieurs
&agrave; l’organisation mais comportera en interne plusieurs sous-r&eacute;seaux de service. Quel que
soit le cas de figure, l’adressage de sous-r&eacute;seau r&eacute;duit le nombre d’adresses Internet
requises et optimise le routage local.
La zone d’adresse du protocole IP est form&eacute;e de deux parties : une adresse r&eacute;seau et une
adresse locale. Cette derni&egrave;re est constitu&eacute;e d’un num&eacute;ro de sous–r&eacute;seau et d’un num&eacute;ro
d’h&ocirc;te, ce qui permet de d&eacute;finir des adresses de sous–r&eacute;seau. L’identification du
sous–r&eacute;seau est suffisamment pr&eacute;cise pour assurer le routage des messages de fa&ccedil;on
fiable.
Dans l’adresse Internet de classe A (voir figure), qui se compose d’une adresse de r&eacute;seau
de 8 bits et d’une adresse h&ocirc;te local de 24 bits, l’adresse locale identifie la machine h&ocirc;te
sp&eacute;cifique sur le r&eacute;seau.
Figure 20. Adresse de classe A Cette illustration repr&eacute;sente une structure d’adresse de
classe A typique. Les 8 premiers bits contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours
par un z&eacute;ro). Les 24 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(8 bits)
Adresse d’h&ocirc;te local
(24 bits)
Pour cr&eacute;er une adresse de sous-r&eacute;seau pour r&eacute;seau Internet de classe A, l’adresse locale
est compos&eacute;e de deux &eacute;l&eacute;ments : le num&eacute;ro d’identification du r&eacute;seau physique
(ou sous-r&eacute;seau) et le num&eacute;ro de l’h&ocirc;te sur le sous-r&eacute;seau. Les messages sont renvoy&eacute;s &agrave;
l’adresse de r&eacute;seau indiqu&eacute;e et le syst&egrave;me local se charge d’acheminer les messages vers
ses sous-r&eacute;seaux et h&ocirc;tes. Le partitionnement de l’adresse locale en adresses sous-r&eacute;seau
et h&ocirc;te s’effectue en fonction du nombre de sous-r&eacute;seaux et d’h&ocirc;tes correspondants.
4-62
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Le tableau ci–dessous d&eacute;crit l’adresse locale divis&eacute;e en une adresse de sous–r&eacute;seau
12 bits et une adresse h&ocirc;te 12 bits.
Figure 21. Adresse de classe A avec sous–r&eacute;seau correspondant Adresse Cette
illustration repr&eacute;sente une structure d’adresse de classe A typique. Les 8 premiers bits
contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours par un z&eacute;ro). Les 24 derniers bits
contiennent l’adresse h&ocirc;te locale avec l’adresse de sous–r&eacute;seau qui occupe les 8 premiers
bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Remarque : Le bit de poids fort (le premier) est toujours positionn&eacute; &agrave; 0 dans une
adresse de classe A.
Vous b&eacute;n&eacute;ficiez d’une grande souplesse d’adressage des sous-r&eacute;seaux et h&ocirc;tes. Les bits
de l’adresse locale peuvent &ecirc;tre r&eacute;partis en fonction de la croissance potentielle de
l’organisation et de la structure de r&eacute;seau. Les r&egrave;gles &agrave; respecter sont les suivantes :
• adresse_r&eacute;seau correspond &agrave; l’adresse Internet.
• adresse_sous–r&eacute;seau est une zone de longueur constante pour un r&eacute;seau donn&eacute;.
• adresse_h&ocirc;te est une zone de 1 bit minimum.
Si la longueur de la zone adresse de sous–r&eacute;seau est 0, le r&eacute;seau n’est pas organis&eacute;
en sous-r&eacute;seaux, et l’adressage du r&eacute;seau se fait par le biais de l’adresse de r&eacute;seau
Internet.
Il n’est donc pas n&eacute;cessaire que ces bits soient contigus dans l’adresse, bien que ce soit
g&eacute;n&eacute;ralement pr&eacute;f&eacute;rable. De m&ecirc;me, il est conseill&eacute; de positionner les bits de sous-r&eacute;seau
comme bits de poids fort de l’adresse locale.
Masques de sous-r&eacute;seau
Lorsqu’un h&ocirc;te envoie un message, le syst&egrave;me doit d&eacute;terminer si la destination du message
se trouve sur le m&ecirc;me r&eacute;seau que la source ou sur un r&eacute;seau directement accessible par
une des interfaces locales. Pour ce faire, il compare l’adresse de destination &agrave; l’adresse
h&ocirc;te sur la base d’un masque de sous-r&eacute;seau. Lorsque la destination n’est pas locale, le
message transite par une passerelle. La passerelle d&eacute;termine si la destination est
accessible localement en proc&eacute;dant &agrave; la m&ecirc;me comparaison.
Le masque de sous-r&eacute;seau fournit au syst&egrave;me le sch&eacute;ma de partitionnement du
sous-r&eacute;seau. Ce masque de bits comporte la partie adresse de r&eacute;seau et la partie adresse
de sous-r&eacute;seau de l’adresse Internet (voir figure). Par exemple, le masque de sous-r&eacute;seau
de l’adresse de classe A r&eacute;partie comme indiqu&eacute; pr&eacute;c&eacute;demment se pr&eacute;sente comme suit :
Protocole TCP/IP
4-63
Figure 22. Adresse de classe A avec sous–r&eacute;seau correspondant Adresse Cette
illustration repr&eacute;sente une structure d’adresse de classe A typique. Les 8 premiers bits
contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours par un z&eacute;ro). Les 24 derniers bits
contiennent l’adresse h&ocirc;te locale avec l’adresse de sous–r&eacute;seau qui occupe les 8 premiers
bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Adresse de classe A int&eacute;grant une adresse de sous-r&eacute;seau
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Masque de sous-r&eacute;seau
Adresse d’h&ocirc;te
Adresse de classe A int&eacute;grant un masque de sous-r&eacute;seau
Le masque de sous-r&eacute;seau est un ensemble de 4 octets, comme l’adresse interr&eacute;seau. Il
comporte des bits de poids fort (les 1) qui correspondent aux emplacements de bits de
l’adresse de r&eacute;seau et de sous-r&eacute;seau, et des bits de poids faible (les 0) correspondant aux
emplacements des bits de l’adresse h&ocirc;te. Le masque de sous-r&eacute;seau de l’adresse donn&eacute;e
dans la figure ci-dessus se pr&eacute;sente comme suit :
Figure 23. Exemple de masque de sous–r&eacute;seau Cette illustration repr&eacute;sente un exemple
d’une structure de masque de sous–r&eacute;seau. Les 8 premiers bits contiennent l’adresse
r&eacute;seau. Les 24 derniers bits contiennent l’adresse h&ocirc;te locale avec l’adresse de
sous–r&eacute;seau qui occupe les 8 premiers bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Comparaison d’adresses
L’adresse de destination est compar&eacute;e &agrave; l’adresse de r&eacute;seau local en appliquant l’op&eacute;rateur
logique AND et l’op&eacute;rateur d’exclusion OR sur le masque de sous-r&eacute;seau de l’h&ocirc;te source :
La proc&eacute;dure de comparaison se d&eacute;roule comme suit :
1. Application de l’op&eacute;rateur logique AND entre l’adresse de destination et le masque de
l’adresse de sous-r&eacute;seau local.
2. Application de l’op&eacute;rateur d’exclusion OR entre le r&eacute;sultat de l’op&eacute;ration pr&eacute;c&eacute;dente et
l’adresse de r&eacute;seau local associ&eacute;e &agrave; l’interface locale.
Si le r&eacute;sultat ne fournit que des z&eacute;ros, la destination est suppos&eacute;e directement
accessible via une des interfaces locales.
4-64
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
3. Si un syst&egrave;me autonome est &eacute;quip&eacute; de plusieurs interfaces (et donc de plusieurs
adresses Internet), la comparaison est effectu&eacute;e pour chaque interface locale.
Supposons, par exemple, que deux interfaces locales soient d&eacute;finies pour le r&eacute;seau
h&ocirc;te T125. Leur adresse Internet et la repr&eacute;sentation binaire de ces adresses doivent se
pr&eacute;senter comme suit :
Adresses d’interface de r&eacute;seau local
CLASS A
73.1.5.2
= 01001001 00000001 00000101 00000010
CLASS B
145.21.6.3
=
10010001 00010101 00000110 00000011
Les masques de sous-r&eacute;seau correspondants des interfaces de r&eacute;seau local se pr&eacute;sentent
comme suit :
Adresses d’interface de r&eacute;seau local
CLASS A
73.1.5.2
= 11111111 11111111 11100000 00000000
CLASS B
145.21.6.3
=
11111111 11111111 11111111 11000000
Si le r&eacute;seau source T125 est sollicit&eacute; pour envoyer un message au r&eacute;seau de destination
avec 114.16.23.8 pour adresse h&ocirc;te (repr&eacute;sent&eacute;e en binaire par 01110010 00010000
00010111 00001000), le syst&egrave;me v&eacute;rifie si la destination est directement accessible via une
interface locale.
Remarque: Le mot cl&eacute; subnetmask doit &ecirc;tre d&eacute;fini dans la base de donn&eacute;es de
configuration de chaque h&ocirc;te appel&eacute; &agrave; desservir des sous-r&eacute;seaux. En effet,
les sous-r&eacute;seaux ne sont utilisables que s’ils sont pris en charge par chaque
h&ocirc;te du r&eacute;seau. Vous devez donc d&eacute;clarer le masque de sous-r&eacute;seau comme
permanent dans la base de donn&eacute;es de configuration, via le menu SMIT
S&eacute;lection d’une interface de r&eacute;seau ou via l’application Web-based System
Manager Network. Vous pouvez &eacute;galement d&eacute;clarer le masque de
sous–r&eacute;seau dans le syst&egrave;me d’exploitation via la commande ifconfig.
(si vous utilisez ifconfig, la modification n’est pas permanente).
Adresses de diffusion
TCP/IP peut transmettre des donn&eacute;es &agrave; tous les h&ocirc;tes du r&eacute;seau local ou des r&eacute;seaux
directement connect&eacute;s. Ces transmissions sont appel&eacute;es messages de diffusion. Par
exemple, le d&eacute;mon de routage routed fait appel &agrave; ce type de message pour lancer des
requ&ecirc;tes de routage ou y r&eacute;pondre.
Les donn&eacute;es &agrave; diffuser aux h&ocirc;tes des r&eacute;seaux directement connect&eacute;s sont transmises par
les protocoles UDP (User Datagram Protocol) et IP (Internet Protocol), avec, dans l’en-t&ecirc;te
IP, tous les bits de l’adresse de destination h&ocirc;te positionn&eacute;s &agrave; 1. Dans le cas de donn&eacute;es &agrave;
diffuser aux h&ocirc;tes d’un r&eacute;seau sp&eacute;cifique, tous les bits de la partie adresse locale de
l’adresse IP sont positionn&eacute;s &agrave; 0.
L’adresse de diffusion peut &ecirc;tre modifi&eacute;e temporairement via le param&egrave;tre broadcast dans
la commande ifconfig. Modifiez-la de fa&ccedil;on permanente avec le raccourci Web-based
System Manager wsm ou avec le raccourci SMIT smit chinet. Ceci peut s’av&eacute;rer utile
pour la compatibilit&eacute; avec des versions ant&eacute;rieures de logiciels qui utilisent des adresses de
diffusion diff&eacute;rentes (avec, par exemple, des ID h&ocirc;te d&eacute;finies &agrave; 0).
Adresses de bouclage local
Le protocole IP d&eacute;clare l’adresse de r&eacute;seau sp&eacute;ciale 127.0.0.1 comme adresse de
bouclage local. Les h&ocirc;tes utilisent cette adresse pour s’envoyer des messages &agrave;
eux-m&ecirc;mes. L’adresse de bouclage local est d&eacute;finie par le gestionnaire de configuration lors
du d&eacute;marrage du syst&egrave;me. Le bouclage local est appliqu&eacute; dans le noyau et peut &eacute;galement
&ecirc;tre d&eacute;fini avec la commande ifconfig. Le bouclage est appel&eacute; au lancement du syst&egrave;me.
Protocole TCP/IP
4-65
R&eacute;solution de noms sous TCP/IP
Bien que les adresses Internet 32–bits fournissent un moyen efficace d’identifier la source
et la destination des datagrammes &agrave; travers un interr&eacute;seau, les utilisateurs pr&eacute;f&egrave;rent utiliser
des noms repr&eacute;sentatifs et faciles &agrave; m&eacute;moriser. TCP/IP propose un syst&egrave;me d’attribution de
noms applicable &agrave; des r&eacute;seaux hi&eacute;rarchiques ou plats.
Cette section traite des points suivants :
• Syst&egrave;me d’appellation, page 4-66
• R&eacute;solution locale des noms (/etc/hosts), page 4-74
• Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN), page 4-75
• Serveur de noms : g&eacute;n&eacute;ralit&eacute;s, page 4-76
• Configuration des serveurs de noms, page 4-77
• Configuration d’un serveur exp&eacute;diteur, page 4-80
• Configuration d’un serveur de noms exclusivement exp&eacute;diteur, page 4-81
• Configuration d’un h&ocirc;te avec un serveur de noms, page 4-83
• Configuration de zones dynamiques sur le serveur de noms DNS, page 4-85
• Planification et configuration pour la r&eacute;solution de noms LDAP
(Sch&eacute;ma de r&eacute;pertoire SecureWay), page 4-92
• Planification et configuration pour la r&eacute;solution de noms NIS_LDAP
(Sch&eacute;ma RFC 2307), page 4-93
Syst&egrave;me d’appellation
Le syst&egrave;me d’appellation des r&eacute;seaux plats est tr&egrave;s simple : les noms attribu&eacute;s aux h&ocirc;tes
sont form&eacute;s par une cha&icirc;ne unique de caract&egrave;res et g&eacute;r&eacute;s le plus souvent localement.
Chaque machine du r&eacute;seau plat dispose d’un fichier /etc/hosts qui contient, pour chaque
h&ocirc;te du syst&egrave;me, l’&eacute;quivalence entre le nom et l’adresse Internet. Ce fichier s’&eacute;toffe avec
l’extension du r&eacute;seau et sa mise &agrave; jour repr&eacute;sente une t&acirc;che de plus en plus lourde.
Lorsque des r&eacute;seaux prennent une grande envergure comme dans le cas d’Internet, leurs
syst&egrave;mes d’appellation sont hi&eacute;rarchis&eacute;s. Ces divisions refl&egrave;tent g&eacute;n&eacute;ralement
l’organisation des r&eacute;seaux. En TCP/IP, le syst&egrave;me d’appellation est connu sous le nom de
DNS (domain name system) et utilise le protocole DOMAIN. Ce protocole DOMAIN est
lanc&eacute; par le d&eacute;mon named dans TCP/IP.
Le syst&egrave;me d’appellation hi&eacute;rarchique DNS, comme pour les r&eacute;seaux plats, attribue aux
r&eacute;seaux et aux h&ocirc;tes des noms symboliques &agrave; la fois repr&eacute;sentatifs et faciles &agrave; m&eacute;moriser.
Mais au lieu de tenir un fichier d’&eacute;quivalence sur chaque machine du r&eacute;seau, il d&eacute;signe un
ou plusieurs h&ocirc;tes pour jouer le r&ocirc;le de serveurs de noms. Ces serveurs sont charg&eacute;s de
traduire (r&eacute;soudre) les noms symboliques des r&eacute;seaux et des h&ocirc;tes en adresses Internet
interpr&eacute;tables par les machines. Chaque serveur dispose des informations compl&egrave;tes sur la
zone du domaine dont il a la charge.
Autorit&eacute; d’appellation
Dans un r&eacute;seau plat, tous les h&ocirc;tes sont g&eacute;r&eacute;s par une autorit&eacute; centrale. Cette forme de
r&eacute;seau implique que tous les h&ocirc;tes aient un nom unique. Transpos&eacute; &agrave; un r&eacute;seau &eacute;tendu, ce
syst&egrave;me repr&eacute;senterait, pour l’autorit&eacute; centrale, une charge administrative tr&egrave;s lourde.
Dans un r&eacute;seau hi&eacute;rarchique (organis&eacute; en domaines), les h&ocirc;tes sont g&eacute;r&eacute;s par groupes
r&eacute;partis dans une hi&eacute;rarchie de domaines et de sous-domaines. Ainsi, l’unicit&eacute; d’un nom
d’h&ocirc;te n’est exig&eacute;e que dans son domaine local, et l’autorit&eacute; centrale n’a en charge que le
domaine racine. Cette structure, qui permet la gestion des sous-domaines en local,
d&eacute;charge l’autorit&eacute; centrale. Prenons l’exemple du r&eacute;seau Internet : son domaine racine est
divis&eacute; en domaines com (secteur commercial), edu (secteur &eacute;ducatif), gov (secteur public)
4-66
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
et mil (secteur militaire). A ce niveau, seule l’autorit&eacute; centrale est habilit&eacute;e &agrave; ajouter de
nouveaux domaines. Dans chacun de ces domaines, l’appellation de deuxi&egrave;me niveau est
d&eacute;l&eacute;gu&eacute;e &agrave; un agent d&eacute;sign&eacute;. Ainsi, l’agent du domaine COM d&eacute;cide de l’appellation de
tous les sous-domaines situ&eacute;s sous com. De m&ecirc;me, l’appellation au troisi&egrave;me niveau (et
ainsi de suite) est d&eacute;l&eacute;gu&eacute;e aux agents de ce niveau. Dans la figure qui suit, le domaine
Century est responsable de l’appellation de ses sous–domaines Austin, Hopkins et
Charlotte.
Figure 24 Structure de domaine Internet Cette figure illustre la structure hi&eacute;rarchique
d’Internet. Elle commence par le haut avec la racine et forme de branches jusqu’au niveau
suivant contenant les domaines mil, com et edu. Sous le domaine com se trouve un autre
niveau contenant Charlotte, Austin et Hopkins. Sous Austin se trouvent Dev et Graphics.
RACINE
COM
MIL
EDU
Century
Austin
Charlotte
Dev
Hopkins
Graphics
Protocole TCP/IP
4-67
Le sous-domaine Austin pourrait aussi &ecirc;tre divis&eacute; en zones comme Dev et Graphics. Dans
ce cas, la zone austin.century.com couvre toutes les donn&eacute;es du domaine
austin.century.com, except&eacute; celles d&eacute;pendant de Dev et de Graphics. De m&ecirc;me, la
zone dev.century.com contient uniquement les donn&eacute;es confi&eacute;es &agrave; Dev et n’a aucune
visibilit&eacute; sur le contenu de la zone Graphics. La zone austin.century.com (par
opposition au domaine du m&ecirc;me nom) ne contient que les donn&eacute;es qui n’ont pas &eacute;t&eacute;
confi&eacute;es aux autres zones.
Conventions d’appellation
Dans un syst&egrave;me d’appellation hi&eacute;rarchique, les noms sont form&eacute;s par une suite de noms
sans distinction majuscules/minuscules, s&eacute;par&eacute;s par un point et d&eacute;pourvus d’espaces.
Selon le protocole DOMAIN, la longueur du nom de domaine local doit &ecirc;tre inf&eacute;rieure &agrave;
64 caract&egrave;res et celle du nom d’h&ocirc;te, &agrave; 32 caract&egrave;res. Le nom de l’h&ocirc;te vient en premier,
suivi d’un point (.), d’une s&eacute;rie de noms de domaines locaux et enfin du domaine racine.
Au total, le nom complet d’un domaine pour un h&ocirc;te ne doit pas d&eacute;passer 255 caract&egrave;res
(points compris) et se pr&eacute;sente sous la forme :
h&ocirc;te.sousdomaine1.[sousdomaine2 . . . sousdomain].domaineracine
Les noms d’h&ocirc;te &eacute;tant uniques dans un domaine, vous pouvez utiliser des noms abr&eacute;g&eacute;s
(relatifs) pour envoyer des messages au sein du m&ecirc;me domaine. Par exemple, au lieu
d’adresser un message &agrave; smith.eng.lsu.edu, un h&ocirc;te du domaine eng peut indiquer
seulement smith. Par ailleurs, chaque h&ocirc;te peut &ecirc;tre assorti de plusieurs alias utilisables
par les autres h&ocirc;tes.
Appellation des h&ocirc;tes de votre r&eacute;seau
Les noms d’h&ocirc;te sont con&ccedil;us pour simplifier la d&eacute;signation des ordinateurs d’un r&eacute;seau.
Les administrateurs d’Internet ont constat&eacute; que, en mati&egrave;re de nom, il existe de bons et de
mauvais choix. Il faut donc &eacute;viter certains pi&egrave;ges.
Voici quelques conseils pour vous aider &agrave; choisir les noms d’h&ocirc;te de votre r&eacute;seau :
• Pr&eacute;f&eacute;rez des noms peu usit&eacute;s tels que sphinx ou eclipse.
• Utilisez aussi des noms th&eacute;matiques tels que des couleurs, des &eacute;l&eacute;ments helium,
argon ou zinc), des fleurs, des poissons, etc.
• Pensez encore &agrave; utiliser de v&eacute;ritables mots
(plut&ocirc;t que des cha&icirc;nes de caract&egrave;res al&eacute;atoires).
Puisez dans le vocabulaire existant (n’inventez pas de cha&icirc;nes de caract&egrave;res).
Inversement, pour limiter les oublis ou les confusions (pour l’utilisateur ou la machine),
&eacute;vitez :
• les termes tr&egrave;s courants tels que up, down ou crash,
• les noms contenant uniquement des chiffres,
• les noms contenant des signes de ponctuation,
• les noms diff&eacute;renci&eacute;s par des majuscules ou des minuscules
(par exemple, Orange et orange),
• le nom ou les initiales de l’utilisateur principal du syst&egrave;me,
• les noms de plus de 8 caract&egrave;res,
• les orthographes inhabituelles ou volontairement incorrectes
(par exemple, czek, qui peut &ecirc;tre confondu avec “check” ou “tech”),
• les noms de domaine ou assimilables, tel que yale.edu.
4-68
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Serveurs de noms
Dans une structure plate, tous les noms doivent &ecirc;tre stock&eacute;s dans le fichier /etc/hosts de
chaque h&ocirc;te membre du r&eacute;seau. Ce syst&egrave;me se r&eacute;v&egrave;le difficile &agrave; g&eacute;rer lorsque le r&eacute;seau est
tr&egrave;s &eacute;tendu.
Dans une structure hi&eacute;rarchique, les h&ocirc;tes d&eacute;sign&eacute;s comme serveurs de noms se chargent
de r&eacute;soudre le nom de chaque h&ocirc;te en une adresse Internet. Ce m&eacute;canisme pr&eacute;sente deux
avantages par rapport &agrave; la structure plate : les ressources n&eacute;cessaires &agrave; la r&eacute;solution des
noms ne sont pas mobilis&eacute;es au niveau de chaque h&ocirc;te et la t&acirc;che de l’administrateur
syst&egrave;me, alors d&eacute;charg&eacute; de la mise &agrave; jour de chaque fichier de r&eacute;solution des noms, s’en
trouve all&eacute;g&eacute;e. L’ensemble des noms administr&eacute;s par un serveur de noms est appel&eacute;
zone d’autorit&eacute; de ce serveur.
Remarque :
La machine qui assure la fonction de r&eacute;solution des noms pour une
zone d’autorit&eacute; est appel&eacute;e h&ocirc;te serveur de noms mais, en r&eacute;alit&eacute;, c’est
le process (d&eacute;mon named) contr&ocirc;lant cette fonction qui est le v&eacute;ritable
serveur de noms.
Pour optimiser l’activit&eacute; du r&eacute;seau, les serveurs de noms stockent en m&eacute;moire cache
(m&eacute;moire temporaire) les &eacute;quivalences noms-adresses. Ainsi, lorsqu’un client demande au
serveur de r&eacute;soudre un nom, ce dernier consulte d’abord la m&eacute;moire cache o&ugrave; se trouvent
les &eacute;quivalences des derniers noms r&eacute;solus. Ces &eacute;quivalences sont conserv&eacute;es en
m&eacute;moire pour une dur&eacute;e limit&eacute;e (d&eacute;finie dans le param&egrave;tre TTL “Time-To-Live” de l’article
de ressource), les noms de domaine et d’h&ocirc;tes pouvant &ecirc;tre modifi&eacute;s. Les autorit&eacute;s
d’appellation sont donc en mesure de sp&eacute;cifier la dur&eacute;e pendant laquelle la r&eacute;solution de
noms est r&eacute;put&eacute;e fiable.
Un syst&egrave;me autonome peut comporter plusieurs serveurs de noms. Ces serveurs de noms
suivent g&eacute;n&eacute;ralement une structure hi&eacute;rarchique qui refl&egrave;te l’organisation du r&eacute;seau.
Comme le montre la figure Structure en domaines d’Internet, chaque domaine peut
b&eacute;n&eacute;ficier d’un serveur de noms responsable de tous ses sous-domaines. Les serveurs de
noms des sous-domaines communiquent avec le serveur de noms du domaine sup&eacute;rieur
(ou serveur de noms p&egrave;re) et les serveurs des autres sous-domaines.
Figure 25. Structure de domaine Internet Cette figure illustre la structure hi&eacute;rarchique
d’Internet. Elle commence par le haut avec la racine et forme de branches jusqu’au niveau
suivant contenant les domaines mil, com et edu. Sous le domaine com se trouve un autre
niveau contenant Charlotte, Austin et Hopkins. Sous Austin se trouvent Dev et Graphics.
Protocole TCP/IP
4-69
RACINE
COM
MIL
EDU
Century
Austin
Charlotte
Dev
Hopkins
Graphics
Dans la figure Structure en domaines d’Internet, Austin, Hopkins et Charlotte sont tous des
sous-domaines de Century. Si la hi&eacute;rarchie du r&eacute;seau est respect&eacute;e, le serveur de noms
Austin communique avec Charlotte et Hopkins ainsi qu’avec le serveur de noms p&egrave;re
Century. Austin communique &eacute;galement avec les serveurs de noms charg&eacute;s de ses
sous-domaines.
4-70
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Il existe plusieurs types de serveur de noms :
serveur de noms ma&icirc;tre
Il charge ses donn&eacute;es &agrave; partir d’un fichier ou d’un disque et
peut &eacute;ventuellement d&eacute;l&eacute;guer des fonctions &agrave; d’autres
serveurs de son domaine.
serveur de noms esclave
Au lancement du syst&egrave;me, il re&ccedil;oit du serveur de noms
ma&icirc;tre les informations sur une zone d’autorit&eacute; donn&eacute;e, et
interroge p&eacute;riodiquement ce serveur ma&icirc;tre pour la mise &agrave;
jour des informations. Une fois le d&eacute;lai de rafra&icirc;chissement
&eacute;coul&eacute; (valeur de l’article SOA sur le serveur de noms
esclave), ou &agrave; r&eacute;ception d’une notification &eacute;mise par le
serveur ma&icirc;tre, le serveur esclave recharge la base de
donn&eacute;es &agrave; partir du serveur ma&icirc;tre si la sienne est devenue
obsol&egrave;te (autrement dit, si sa r&eacute;f&eacute;rence est ant&eacute;rieure &agrave;
celle de la base du serveur ma&icirc;tre). S’il devient n&eacute;cessaire
de forcer un transfert de zones, il suffit de supprimer les
bases de donn&eacute;es en place sur les serveurs esclaves et de
r&eacute;g&eacute;n&eacute;rer le d&eacute;mon named sur le serveur de noms
esclave.
Serveur de noms de
tron&ccedil;on (stub)
Bien que la m&eacute;thode soit similaire &agrave; celle utilis&eacute;e par le
serveur de noms esclave, le serveur de noms de tron&ccedil;on
(stub) reproduit uniquement les donn&eacute;es de serveurs de
noms de la base de donn&eacute;es ma&icirc;tre, et non l’ensemble de
la base.
Serveur d’indices
(hint server)
Ce serveur de noms ne fonctionne que d’apr&egrave;s les indices
accumul&eacute;s suite aux requ&ecirc;tes ant&eacute;rieures aupr&egrave;s d’autres
serveurs. Le serveur d’indices (hint server) r&eacute;pond aux
requ&ecirc;tes en demandant les informations souhait&eacute;es aupr&egrave;s
des autres serveurs “experts” (serveurs ayant autorit&eacute;) s’il
ne dispose pas dans sa m&eacute;moire cache de l’&eacute;quivalence
demand&eacute;e.
Serveur client ou
exp&eacute;diteur
Envoie les requ&ecirc;tes qu’il ne peut satisfaire localement aux
serveurs r&eacute;pertori&eacute;s dans une liste pr&eacute;d&eacute;finie. Les serveurs
exclusivement exp&eacute;diteurs (simples transmetteurs
d’informations, qui ne sont pas &agrave; proprement parler des
serveurs) ne dialoguent pas avec les serveurs de noms
ma&icirc;tres pour le domaine racine ou les autres domaines.
Les requ&ecirc;tes transitent d’un serveur &agrave; l’autre de fa&ccedil;on
r&eacute;cursive : les serveurs exp&eacute;diteurs sont contact&eacute;s l’un
apr&egrave;s l’autre jusqu’&agrave; la fin de la liste. Ce type de
configuration est g&eacute;n&eacute;ralement utilis&eacute; pour &eacute;viter que tous
les serveurs d’un site dialoguent avec les autres serveurs
Internet, ou pour constituer une m&eacute;moire cache &eacute;tendue
dans un certain nombre de serveurs de noms.
Serveur distant
Lance tous les programmes r&eacute;seau qui font appel au
serveur de noms, alors que le process serveur de noms
n’est pas ex&eacute;cut&eacute; sur l’h&ocirc;te local. Les requ&ecirc;tes sont prises
en charge par un serveur de noms ex&eacute;cut&eacute; sur une autre
machine du r&eacute;seau.
Un h&ocirc;te serveur de noms peut exercer diverses fonctions dans des zones d’autorit&eacute;
diff&eacute;rentes. Par exemple, il peut faire fonction de serveur de noms ma&icirc;tre dans une zone, et
de serveur de noms esclave dans une autre.
Protocole TCP/IP
4-71
R&eacute;solution de noms
La proc&eacute;dure d’obtention d’une adresse Internet &agrave; partir d’un nom d’h&ocirc;te, appel&eacute;e
“r&eacute;solution de noms”, est ex&eacute;cut&eacute;e par la sous-routine gethostbyname. Inversement, la
traduction d’une adresse Internet en nom d’h&ocirc;te est appel&eacute;e “r&eacute;solution inverse de noms”,
et est ex&eacute;cut&eacute;e par la sous-routine gethostbyaddr. Ces routines permettent
essentiellement d’acc&eacute;der &agrave; une biblioth&egrave;que de routines de traduction de noms appel&eacute;es
“routines de r&eacute;solution”.
Les routines de r&eacute;solution sur les h&ocirc;tes TCP/IP essaient normalement de r&eacute;soudre les
noms en utilisant les sources suivantes :
1. BIND/DNS (nomm&eacute;),
2. NIS (Network Information Services),
3. Fichier /etc/hosts local.
Lors de l’installation de NIS+, les pr&eacute;f&eacute;rences de recherche sont d&eacute;finies dans le fichier
irs.conf. Pour plus d’informations, reportez–vous &agrave; AIX 5L Version 5.3 NIS/NIS+
(Network Information Services) Guide.
Pour r&eacute;soudre un nom dans un r&eacute;seau hi&eacute;rarchique, la routine de r&eacute;solution &eacute;met tout
d’abord une requ&ecirc;te aupr&egrave;s de la base de donn&eacute;es du serveur de noms de domaine,
r&eacute;sidant sur l’h&ocirc;te local (s’il s’agit d’un h&ocirc;te serveur de noms de domaine) ou sur un h&ocirc;te
&eacute;tranger. Les serveurs de noms transforment les noms de domaines en adresses Internet.
L’ensemble des noms administr&eacute;s par un serveur de noms est appel&eacute; zone d’autorit&eacute; de ce
serveur. Si la routine de r&eacute;solution utilise un serveur de noms distant, elle a recours au
protocole DOMAIN (protocole de noms de domaine) pour les requ&ecirc;tes de mappage. Pour
r&eacute;soudre un nom dans un r&eacute;seau plat, la routine recherche l’entr&eacute;e correspondante dans le
fichier local /etc/hosts. Si NIS ou NIS+ est utilis&eacute;, le fichier /etc/hosts du serveur ma&icirc;tre est
&eacute;galement v&eacute;rifi&eacute;.
Par d&eacute;faut, les routines de r&eacute;solution essaient de r&eacute;soudre les noms &agrave; l’aide des ressources
mentionn&eacute;es ci–dessus. Le m&eacute;canisme BIND/DNS est lanc&eacute; en premier. Si le fichier
/etc/resolv.conf n’existe pas ou si le nom est introuvable, une requ&ecirc;te est &eacute;mise aupr&egrave;s de
NIS si ce syst&egrave;me est en service. NIS ayant autorit&eacute; sur le fichier /etc/hosts local, la
recherche peut s’arr&ecirc;ter l&agrave;. Si NIS n’est pas en service, la recherche s’effectue sur le fichier
local /etc/hosts. Si ce nom reste introuvable, les routines de r&eacute;solution renvoient le
message HOST_NOT_FOUND. Si tous les services sont indisponibles, les routines de
r&eacute;solution renvoient le message SERVICE_UNAVAILABLE.
Il est possible de modifier l’ordre de recherche pr&eacute;sent&eacute; ci–dessus en cr&eacute;ant le fichier de
configuration /etc/irs.conf pour y pr&eacute;ciser l’ordre voulu. Ces deux ordres (ordre par d&eacute;faut
et fichier /etc/irs.conf) peuvent encore &ecirc;tre &eacute;cras&eacute;s par la variable d’environnement
NSORDER. Si ni le fichier /etc/irs.conf ni la variable d’environnement NSORDER
ne sont d&eacute;finies, au moins une valeur doit &ecirc;tre sp&eacute;cifi&eacute;e avec l’option.
Pour d&eacute;finir l’ordre des h&ocirc;tes avec le fichier /etc/irs.conf :
hosts value [ continue ]
Pour d&eacute;finir l’ordre, chaque m&eacute;thode doit &ecirc;tre indiqu&eacute;e sur une ligne distincte. La valeur
correspond &agrave; une des m&eacute;thodes indiqu&eacute;es et le mot cl&eacute; continue indique qu’une autre
m&eacute;thode de r&eacute;solution figure en ligne suivante.
Dans la variable d’environnement NSORDER :
NSORDER= value, value, value
L’ordre est sp&eacute;cifi&eacute; sur une seule ligne avec des valeurs s&eacute;par&eacute;es par une virgule.
Les espaces sont admis entre les virgules et le signe &eacute;gal.
Par exemple, si le r&eacute;seau local est “plat”, seul le fichier /etc/hosts/ est n&eacute;cessaire.
Dans cet exemple, le fichier /etc/irs.conf contient la ligne suivante :
hosts local
4-72
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Autrement, la variable NSORDER peut &ecirc;tre renseign&eacute;e comme suit :
NSORDER=local
Si le r&eacute;seau local est “hi&eacute;rarchique” et fait appel &agrave; un serveur de noms pour la r&eacute;solution
des noms et &agrave; un fichier /etc/hosts pour une copie de secours, les deux services doivent
&ecirc;tre sp&eacute;cifi&eacute;s. Dans cet exemple, le fichier /etc/irs.conf contiendrait les lignes suivantes :
hosts dns continue
hosts local
Et la variable NSORDER est renseign&eacute;e comme suit :
NSORDER=bind,local
Remarque :
les valeurs doivent &ecirc;tre sp&eacute;cifi&eacute;es en minuscules.
En suivant un ordre de r&eacute;solution d&eacute;fini ou l’ordre par d&eacute;faut, l’algorithme de recherche ne
passe d’une routine &agrave; la suivante que si :
• le service courant n’est pas accessible (il n’est pas actif),
• le service courant ne trouve pas le nom recherch&eacute; et n’est pas un serveur “expert”.
Si le fichier /etc/resolv.conf n’existe pas, le m&eacute;canisme BIND/DNS est consid&eacute;r&eacute; comme
non install&eacute;, et par l&agrave;–m&ecirc;me non accessible. En cas d’&eacute;chec des sous–routines
getdomainname et yp_bind, le service NIS est consid&eacute;r&eacute; comme non install&eacute; et par
l&agrave;–m&ecirc;me non accessible. Si le fichier /etc/hosts n’a pas pu &ecirc;tre ouvert, il est impossible de
proc&eacute;der &agrave; une recherche locale et d’acc&eacute;der au fichier et au service.
Un service est dit expert si, de par les informations qu’il contient, il est jug&eacute; mieux &agrave; m&ecirc;me
de r&eacute;pondre aux requ&ecirc;tes que les services cit&eacute;s apr&egrave;s lui. Les routines de r&eacute;solution
n’essaient pas les services suivants, puisque ces derniers ne peuvent contenir qu’un
sous–ensemble des informations du service expert. La r&eacute;solution des noms s’arr&ecirc;te &agrave; la
consultation du service expert m&ecirc;me s’il n’est pas parvenu &agrave; fournir le nom demand&eacute;
(message HOST_NOT_FOUND renvoy&eacute;). En cas d’indisponibilit&eacute; d’un service expert, le
service suivant sp&eacute;cifi&eacute; est interrog&eacute;.
La source “expert” est d&eacute;clar&eacute;e par la cha&icirc;ne ”=auth” sp&eacute;cifi&eacute;e &agrave; la suite de son nom.
Il est possible de sp&eacute;cifier &eacute;galement tout le mot ”authoritative”. Par exemple, si la
variable NSORDER contient :
hosts = nis=auth,dns,local
Si NIS est actif, la recherche prend fin apr&egrave;s consultation de NIS, que le nom ait &eacute;t&eacute; trouv&eacute;
ou non. Si NIS n’est pas actif, elle est &eacute;tendue &agrave; la source suivante (en l’occurrence, DNS).
Les serveurs de noms TCP/IP ont recours &agrave; la m&eacute;moire cache pour r&eacute;duire le co&ucirc;t de
recherche de noms d’h&ocirc;te sur r&eacute;seaux distants. Ainsi, ils consultent d’abord la m&eacute;moire
cache o&ugrave; se trouvent les &eacute;quivalences des derniers noms r&eacute;solus. Ces &eacute;quivalences sont
conserv&eacute;es en m&eacute;moire pour une dur&eacute;e limit&eacute;e (d&eacute;finie dans le param&egrave;tre TTL
“Time-To-Live” de l’article de ressource), les noms de domaine et d’h&ocirc;tes pouvant &ecirc;tre
modifi&eacute;s. Les serveurs de noms sont donc en mesure de sp&eacute;cifier la dur&eacute;e pendant laquelle
leurs r&eacute;ponses sont r&eacute;put&eacute;es fiables.
Risques de conflits de noms d’h&ocirc;te
En environnement DNS, un nom d’h&ocirc;te d&eacute;fini soit par la commande hostname en ligne de
commande, soit par le fichier rc.net, doit &ecirc;tre le nom officiel de l’h&ocirc;te tel qu’il est renvoy&eacute;
par le serveur de noms. Ce nom est g&eacute;n&eacute;ralement le nom complet du domaine de l’h&ocirc;te
sous la forme :
host.subdomain.subdomain.rootdomain
Remarque :
pour les routines de r&eacute;solution, le domaine par d&eacute;faut doit &ecirc;tre d&eacute;fini.
S’il n’est pas d&eacute;fini dans hostname, il doit l’&ecirc;tre dans /etc/resolv.conf.
Protocole TCP/IP
4-73
Si le nom de l’h&ocirc;te n’est pas configur&eacute; en nom complet du domaine, et si le syst&egrave;me est
configur&eacute; avec serveur de noms de domaine associ&eacute; au programme sendmail, le fichier de
configuration /etc/sendmail.cf doit &ecirc;tre modifi&eacute; conform&eacute;ment &agrave; ce nom officiel. Pour que le
programme sendmail fonctionne correctement, il faut de plus que les macros de nom de
domaine soient d&eacute;finies dans cette configuration.
Remarque :
pour toutes les fonctions de sendmail, le domaine sp&eacute;cifi&eacute; dans le
fichier /etc/sendmail.cf prime sur celui d&eacute;fini &agrave; la commande
hostname.
Risques de conflits de noms de domaine
Dans le cas d’un h&ocirc;te membre d’un r&eacute;seau DOMAIN mais qui n’est pas un serveur de
noms, le nom de domaine local et le serveur de noms de domaine sont sp&eacute;cifi&eacute;s dans le
fichier /etc/resolv.conf. Or, dans un h&ocirc;te serveur de noms de domaine, le domaine local et
les autres serveurs de noms sont d&eacute;finis dans des fichiers que le d&eacute;mon named lit &agrave; son
lancement.
Protocole RARP
Le protocole RARP (Reverse Address Resolution Protocol) traduit les adresses mat&eacute;rielles
uniques en adresses Internet sur la carte LAN Ethernet (protocole Ethernet seulement).
Le protocole Ethernet standard est pris en charge dans les limites suivantes :
• Le serveur r&eacute;pond uniquement aux requ&ecirc;tes RARP.
• Le serveur se limite aux entr&eacute;es permanentes de la table ARP
• Le serveur n’utilise pas les entr&eacute;es dynamiques de la table ARP.
• Le serveur ne r&eacute;pond pas automatiquement pour lui–m&ecirc;me.
L’administrateur syst&egrave;me doit cr&eacute;er et tenir &agrave; jour manuellement une table des entr&eacute;es
permanentes ARP &agrave; l’aide de la commande arp. Une entr&eacute;e de table ARP sp&eacute;cifique doit
&ecirc;tre ajout&eacute;e sur le serveur pour chaque h&ocirc;te qui sollicite des r&eacute;ponses RARP d’une source
“expert”.
R&eacute;solution locale des noms (/etc/hosts)
Le fichier /etc/hosts doit &ecirc;tre configur&eacute; si vous travaillez sur un r&eacute;seau limit&eacute; et plat.
Cette configuration peut &eacute;galement &ecirc;tre utile sur un r&eacute;seau hi&eacute;rarchique pour identifier les
h&ocirc;tes inconnus des serveurs de noms.
Vous pouvez configurer votre syst&egrave;me en vue de la r&eacute;solution locale de noms via
Web–based System Manager, SMIT ou les commandes. Si c’est &agrave; partir de la ligne de
commande, veillez &agrave; conserver le format du fichier /etc/hosts, comme indiqu&eacute; &agrave; la section
”Hosts File Format for TCP/IP” du manuel AIX 5L Version 5.3 Files Reference).
R&eacute;solution locale des noms
4-74
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web–based System
Manager Management
Environment
Afficher la liste
des h&ocirc;tes
smit lshostent
affichez
/etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File ––&gt; Contents of
/etc/hosts file.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Ajouter un h&ocirc;te
smit mkhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. Dans la bo&icirc;te de
dialogue Add/Change host
entry, compl&eacute;tez les champs
suivants : IP Addresses, Host
name, Alias(es) et Comment.
Cliquez sur Add/Change
Entry ––&gt; OK.
Modifier/afficher
les
caract&eacute;ristiques
d’un h&ocirc;te
smit chhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. S&eacute;lectionnez un
h&ocirc;te dans Contents of
/etc/hosts/file, puis changez
les donn&eacute;es dans
Add/Change host entry.
Cliquez sur Add/Change
Entry ––&gt; OK.
Supprimer un
h&ocirc;te
smit rmhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. S&eacute;lectionnez un
h&ocirc;te dans Contents of
/etc/hosts/file, puis cliquez
sur Delete Entry ––&gt; OK.
Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN)
Si vous faites partie d’un interr&eacute;seau &eacute;tendu, coordonnez vos serveurs de noms et
domaines avec leur autorit&eacute; centrale.
Les conseils suivants vous aideront &agrave; configurer votre syst&egrave;me pour la r&eacute;solution DSN :
• Familiarisez–vous avec TCP/IP, DNS et BIND et les nombreuses fonctionnalit&eacute;s de leur
architecture et de leur configuration avant d’arr&ecirc;ter votre choix. Avant d’utiliser un service
d’information r&eacute;seau (NIS), familiarisez–vous &eacute;galement avec NIS. Vous disposez pour
cela de nombreux documents. Pour plus d’informations sur les caract&eacute;ristiques de NIS et
de NIS+, reportez–vous au AIX 5L Version 5.3 NIS/NIS+
(Network Information Services) Guide.
• Planifiez la configuration.
Rappelez-vous qu’il est plus compliqu&eacute; de changer un nom que de le d&eacute;finir. Avant de
configurer vos fichiers, d&eacute;cidez (en accord avec votre organisation) des noms des h&ocirc;tes,
du r&eacute;seau, de la passerelle et du serveur de noms.
• D&eacute;finissez des serveurs de noms redondants.
A d&eacute;faut, veillez &agrave; d&eacute;finir des serveurs de noms esclaves et des serveurs d’indices pour
disposer d’un syst&egrave;me de secours.
Protocole TCP/IP
4-75
• Pour la s&eacute;lection des serveurs de noms :
– choisissez les machines g&eacute;ographiquement les plus proches des syst&egrave;mes
ext&eacute;rieurs ;
– vos serveurs de noms doivent &ecirc;tre aussi ind&eacute;pendants que possible. Si possible,
utilisez des alimentations &eacute;lectriques et des c&acirc;blages distincts.
– d&eacute;signez un autre r&eacute;seau comme r&eacute;seau de secours pour votre service de r&eacute;solution
des noms ; faites de m&ecirc;me pour les autres r&eacute;seaux.
• testez les serveurs :
– testez la r&eacute;solution des noms normale et inverse,
– testez le transfert de zone du serveur de noms ma&icirc;tre au serveur de noms esclave,
– testez chaque serveur de noms, apr&egrave;s une panne et un r&eacute;amor&ccedil;age du syst&egrave;me.
• Faites transiter vos requ&ecirc;tes de r&eacute;solution de noms par des serveurs exp&eacute;diteurs avant
de les envoyer vers des serveurs de noms ext&eacute;rieurs. Cela permet aux serveurs de noms
de partager leur m&eacute;moire cache et d’am&eacute;liorer les performances en all&eacute;geant la charge
des serveurs de noms ma&icirc;tres.
objectclass: container
requires
objectclass,
cn
objectclass hosts
requires
objectclass,
hname
allows
addr
halias,
comment
Serveur de noms : g&eacute;n&eacute;ralit&eacute;s
Dans un r&eacute;seau hi&eacute;rarchis&eacute;, certains h&ocirc;tes sont d&eacute;finis comme serveurs de noms.
Ces h&ocirc;tes r&eacute;solvent les noms en adresses IP pour les autres h&ocirc;tes. The Le d&eacute;mon named
contient la fonction du serveur de noms et doit donc &ecirc;tre ex&eacute;cut&eacute; sur un h&ocirc;te de serveur
de noms.
Avant de proc&eacute;der &agrave; la configuration, d&eacute;terminez les types de serveur de noms les mieux
adapt&eacute;s &agrave; votre r&eacute;seau. Il existe trois types :
Leurs noms, d&eacute;fini dans le fichier conf, peut &ecirc;tre modifi&eacute; par l’utilisateur. Par convention, ce
nom comporte celui du d&eacute;mon (named) avec, en extension, le type de fichier et le nom du
domaine. Serveur de noms esclave ou serveur de noms de tron&ccedil;on (stub) : ceux–ci
re&ccedil;oivent leurs informations d’un serveur ma&icirc;tre au d&eacute;marrage du syst&egrave;me pour une zone
d’autorit&eacute; donn&eacute;e, puis l’interrogent p&eacute;riodiquement pour les mettre &agrave; jour. Serveur d’indices
(hint server) : ce serveur r&eacute;pond aux requ&ecirc;tes de r&eacute;solution des noms en demandant les
informations souhait&eacute;es aupr&egrave;s d’autres serveurs experts.
Remarque :
les g&eacute;n&eacute;rations ant&eacute;rieures du serveur de noms named d&eacute;finissaient le
serveur ma&icirc;tre comme serveur de noms primaire, le serveur esclave
comme serveur de noms secondaire, et le serveur d’indices comme serveur
de m&eacute;moire cache. Dans cette documentation, toute r&eacute;f&eacute;rence au fichier
named.conf est sp&eacute;cifique &agrave; version 4.3.2 ou versions ult&eacute;rieures.
Rappelons qu’un serveur de noms peut exercer des fonctions diff&eacute;rentes selon les zones
d’autorit&eacute;. resolv.conf Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel
&agrave; un serveur de noms pour effectuer une r&eacute;solution. Si NIS ou NIS+ est install&eacute; sur votre
syst&egrave;me, ces services peuvent &eacute;galement vous aider &agrave; la r&eacute;solution des noms. Pour plus
d’informations, reportez–vous au AIX 5L Version 5.3 Network Information Services
(NIS and NIS+) Guide.
4-76
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Plusieurs fichiers sont impliqu&eacute;s dans la configuration des serveurs de noms.
conf
Fichier lu au d&eacute;marrage du d&eacute;mon named. Les articles du fichier conf
indiquent au d&eacute;mon named le type du serveur, ses zones d’autorit&eacute;
(domaines) et l’implantation des donn&eacute;es pour la configuration initiale de
sa base de donn&eacute;es. Son nom par d&eacute;faut est /etc/named.conf. Vous
pouvez lui en attribuer un autre en indiquant sur la ligne de commande le
nouveau nom complet d&egrave;s le lancement du d&eacute;mon named. Si vous utilisez
pour l’amor&ccedil;age le fichier /etc/named.conf, mais que ce dernier n’existe
pas, un message est g&eacute;n&eacute;r&eacute; dans syslog et le d&eacute;mon named s’arr&ecirc;te.
Toutefois, si un autre fichier conf a &eacute;t&eacute; pr&eacute;vu et qu’il n’existe pas, il n’y
aura pas de message d’erreur et le d&eacute;mon named continuera.
cache
Fichier contenant les informations sur la m&eacute;moire cache locale : nom et
adresse des serveurs de noms b&eacute;n&eacute;ficiant de la plus haute “autorit&eacute;”.
Ce fichier respecte le format des articles de ressource standard (Standard
Resource Record Format). Son nom est d&eacute;fini dans le fichier conf.
domain data Il existe trois types de fichiers domain data, &eacute;galement nomm&eacute;s fichiers
de donn&eacute;es named. Le fichier named local contient les informations de
r&eacute;solution d’adresses en bouclage local. Le fichier de donn&eacute;es named
contient les donn&eacute;es de r&eacute;solution d’adresses pour toutes les machines
de la zone d’autorit&eacute; du serveur de noms. Le fichier de donn&eacute;es invers&eacute;es
named contient les informations de r&eacute;solution invers&eacute;e d’adresses pour
toutes les machines de la zone d’autorit&eacute; du serveur de noms. Ces trois
fichiers respectent le format des articles de ressource standard (Standard
Resource Record Format). Leurs noms, d&eacute;fini dans le fichier conf, peut
&ecirc;tre modifi&eacute; par l’utilisateur. Par convention, ce nom comporte celui du
d&eacute;mon (named) avec, en extension, le type de fichier et le nom du
domaine. Par exemple, les fichiers du serveur de noms du domaine abc
peuvent &ecirc;tre :
named.abc.data
named.abc.rev
named.abc.local
En modifiant les fichiers de donn&eacute;es named, il est conseill&eacute; d’incr&eacute;menter
le num&eacute;ro de s&eacute;rie donn&eacute; dans l’article SOA pour les serveurs de noms
esclaves afin d’effectuer correctement les modifications de zones.
resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un
serveur de noms pour effectuer une r&eacute;solution. En l’absence de
resolv.conf, l’h&ocirc;te fait ensuite appel au fichier /etc/hosts. Obligatoire sur
un serveur de noms, le fichier resolv.conf peut contenir l’adresse de l’h&ocirc;te
local, l’adresse de bouclage (127.0.0.1), ou &ecirc;tre vide.
Remarque :
Pour les routines de r&eacute;solution, le domaine par d&eacute;faut doit &ecirc;tre d&eacute;fini.
S’il n’est pas d&eacute;fini dans /etc/resolv.conf, il doit l’&ecirc;tre dans hostname.
Le param&egrave;tre TTL (Time-To-Live) est sp&eacute;cifi&eacute; dans les articles de ressource. A d&eacute;faut, le
d&eacute;lai appliqu&eacute; est la plus petite valeur d&eacute;finie dans l’article SOA (Start Of Authority) de la
zone d’autorit&eacute; concern&eacute;e. TTL est utilis&eacute; lorsque les donn&eacute;es sont stock&eacute;es en dehors
d’une zone (en m&eacute;moire cache) pour s’assurer qu’elles n’y sont pas maintenues
ind&eacute;finiment.
Configuration des serveurs de noms
Pour savoir comment configurer les serveurs ma&icirc;tre, esclave et d’indices,
reportez–vous &agrave; Configurer les serveurs de noms de domaines, page 1-23.
Protocole TCP/IP
4-77
Configuration d’un serveur de courrier de domaine
En d&eacute;finissant un serveur de courrier de domaine, vous mettez &agrave; la disposition des
utilisateurs externes une m&eacute;thode d’adressage simple leur permettant de correspondre
avec votre organisation. Sans cela, l’adresse doit obligatoirement pr&eacute;ciser un h&ocirc;te
particulier de votre organisation. Par exemple, [email protected], widget.com
&eacute;tant le nom de domaine de votre organisation, et orange l’h&ocirc;te utilis&eacute; par sam. Avec le
serveur de courrier de domaine, il suffit &agrave; l’utilisateur externe d’indiquer le nom de
l’utilisateur et le nom du domaine sans le nom de l’h&ocirc;te, dans notre exemple,
[email protected].
Vous pouvez configurer un serveur de courrier via le raccourci Web–based System
Manager wsm ou via l’une des proc&eacute;dures suivantes.
Configuration d’un serveur de courrier de domaine
1. Cr&eacute;ez un article MX et un article A pour le serveur de courrier (black.widget.com) :
widget.com
widget.com
black.widget.com
IN
IN
IN
MX
A
A
10 black.widget.com
192.10.143.9
192.10.143.9
2. Editez sendmail.cf sur le serveur de courrier (black.widget.com) pour ajouter l’alias
du domaine (classe w) :
Cw $w $?D$w.$D$. widget.com
3. Les clients de la messagerie doivent savoir o&ugrave; adresser leur courrier non local. Editez
sendmail.cf sur chaque client pour pointer sur le serveur de courrier (macro S) :
DRblack.widget.com
4. A l’aide de l’option NameServOpt, configurez le d&eacute;mon sendmail de sorte que chacun
puisse utiliser les articles MX d&eacute;finis dans le serveur de noms brown.widget.com.
5. Ajoutez l’alias des utilisateurs du domaine qui n’ont pas de compte sur le serveur de
courrier, en vous aidant du fichier d’alias.
sam:[email protected]
david:[email protected]
judy:[email protected]
Remarque :
les articles MB peuvent remplir la m&ecirc;me fonction.
6. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
7. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
8. Sur les clients, ex&eacute;cutez la commande refresh –s sendmail pour prendre les
modifications en compte.
Il existe d’autres m&eacute;thodes permettant de configurer un serveur de courrier de domaine.
Les proc&eacute;dures qui suivent utilisent les articles MB, MR et MG.
Configuration d’un serveur de courrier de domaine avec des articles MB
1. D&eacute;finissez un article MB pour chaque utilisateur du domaine. Par exemple :
sam IN MB orange.widget.com.
dans le fichier /usr/named.data de l’h&ocirc;te brown.widget.com. Cette instruction stipule
le serveur de courrier (black.widget.com ) destinataire pour chaque utilisateur du
domaine.
2. Configurez le d&eacute;mon sendmail sur le serveur de courrier (black.widget.com) pour
qu’il utilise les articles MB d&eacute;finis sur le serveur de noms (brown.widget.com).
Ayez recours &agrave; l’option NameServOpt.
4-78
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
D&eacute;finition d’un article MR (Mail Rename)
1. Editez le fichier /usr/named.data sur votre serveur de noms de domaine.
2. Ajoutez un article MR pour chaque alias. Par exemple, l’utilisateur sam dont l’alias est
sammy aura pour article MR :
sammy IN MR sam
Cet article demande que tous les messages adress&eacute;s &agrave; sammy soient livr&eacute;s &agrave; sam.
Il faut pr&eacute;voir une ligne par article MR.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
D&eacute;finition d’un article MG (Mail Group)
1. Editez le fichier /etc/named.data sur votre serveur de noms de domaine.
2. Ajoutez des articles MG pour chaque groupe courrier. Ces articles fonctionnent comme
le fichier /usr/aliases, les alias &eacute;tant tenus &agrave; jour sur le serveur de noms. Par exemple :
users IN HINFO users-request widget.com
users IN MG sam
users IN MG david
users IN MG judy
Ces articles demandent que tous les messages adress&eacute;s &agrave; [email protected] soient
livr&eacute;s &agrave; sam, david et judy. Il faut pr&eacute;voir une ligne par article MG.
Remarque :
des articles MB doivent avoir &eacute;t&eacute; d&eacute;finis pour sam, david et judy.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Entrez la commande sendmail –bz pour recompiler le fichier sendmail.cf sur le serveur
de courrier, puis la commande refresh -s sendmail pour appliquer les modifications.
D&eacute;finition d’articles MX (Mail Exchanger)
1. Editez le fichier /usr/named.data sur votre serveur de noms de domaine.
2. Ajoutez des articles MX pour chaque machine indirectement connect&eacute;e &agrave; votre r&eacute;seau et
avec laquelle vous souhaitez correspondre. Par exemple, si le courrier adress&eacute; aux
utilisateurs de purple.widget.com doit &ecirc;tre transmis &agrave; post.office.widget,
ajoutez un article MX comme suit :
purple.widget.com IN MX 0 post.office.widget.
Lorsque vous utilisez les articles d’&eacute;changeur de courrier (MX), vous devez sp&eacute;cifier le
nom de la machine et le nom d’h&ocirc;te. Il faut pr&eacute;voir une ligne par article MX. L’utilisation
des caract&egrave;res g&eacute;n&eacute;riques est admise :
*.widget.com IN MX 0 post.office.widget.
Protocole TCP/IP
4-79
Ces articles demandent que les messages adress&eacute;s &agrave; un h&ocirc;te inconnu (sans article MX
explicite) du domaine widget.com soient exp&eacute;di&eacute;s &agrave; post.office.widget.
Remarque :
les caract&egrave;res g&eacute;n&eacute;riques dans les articles MX sont incompatibles avec
l’utilisation d’Internet.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande refresh –s
named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
Configuration d’un serveur exp&eacute;diteur
Pour configurer un exp&eacute;diteur, utilisez le raccourci Web–based System Manager wsm ou
suivez la proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a recours &agrave; SMIT ou &agrave;
la ligne de commande pour d&eacute;marrer le d&eacute;mon named.
1. Editez le fichier /etc/named.conf. Si le r&eacute;pertoire /etc ne contient pas de fichier
named.conf, copiez-y le fichier-type /usr/samples/tcpip/named.conf et &eacute;ditez-le.
Pour en savoir plus et examiner un exemple de fichier de configuration, reportez-vous
&agrave; la section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L Version
5.3 Files Reference.
– Ins&eacute;rez une ligne “forwarders” dans la strophe d’options du fichier /etc/named.conf
indiquant toutes les adresses IP des serveurs de noms auxquels des requ&ecirc;tes doivent
&ecirc;tre exp&eacute;di&eacute;es. Par exemple :
options {
...
directory ”/usr/local/domain”;
forwarders { 192.100.61.1; 129.35.128.222; };
...
};
– Sp&eacute;cifiez la zone de bouclage. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
– Sp&eacute;cifiez la zone d’indices. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
2. Editez le fichier /usr/local/domain/named.ca Pour en savoir plus et disposer d’un
exemple de fichier cache, reportez–vous &agrave; la section “DOMAIN Cache File Format
for TCP/IP” dans le manuel AIX 5L Version 5.3 Files Reference.
Ce fichier contient l’adresse des serveurs de noms “experts” pour le domaine racine
(root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
Remarque :
129.114.1.2
toutes les lignes de ce fichier doivent respecter le format des articles
de ressource standard (Standard Resource Record Format).
3. Editez le fichier /usr/local/domain/named.abc.local. Pour en savoir plus et disposer
d’un exemple de fichier de donn&eacute;es local, reportez–vous &agrave; la section “ DOMAIN Local
Data File Format for TCP/IP ” dans le manuel AIX 5L Version 5.3 Files Reference.
4-80
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
a. Sp&eacute;cifiez pour la zone la valeur de SOA (Start Of Authority) et les d&eacute;lais TTL
(time–to–live) par d&eacute;faut. Par exemple :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
(
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
b. Sp&eacute;cifiez l’article NS (serveur de noms). Par exemple :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
c. Sp&eacute;cifiez l’article PTR (pointeur).
1
IN
Remarque :
PTR
localhost.
toutes les lignes de ce fichier doivent respecter le format des articles
de ressource standard (Standard Resource Record Format).
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un serveur de
noms pour effectuer une r&eacute;solution, et non au fichier /etc/hosts.
Autrement, le fichier /etc/resolv.conf peut contenir l’entr&eacute;e suivante :
nameserver 127.00.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui-m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain
NomDomaine
Dans cet exemple, NomDomaine serait austin.century.com.
5. Ex&eacute;cutez l’une des t&acirc;ches suivantes :
– Activez le d&eacute;mon named en utilisant le raccourci SMIT smit stnamed. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du
syst&egrave;me ou les deux.
– Editez le fichier /etc/rc.tcpip. Activez le d&eacute;mon named en retirant la marque de
commentaire (#) de la ligne suivante :
#start /etc/named ”$src_running”
Cette commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me.
6. Si vous ne souhaitez pas initialiser le d&eacute;mon named via SMIT, lancez-le pour la session
en cours par la commande :
startsrc -s named
Configuration de serveur exclusivement exp&eacute;diteur
Pour configurer un serveur de noms esclave, utilisez le raccourci Web–based System
Manager wsm ou suivez la proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a
recours &agrave; SMIT ou &agrave; la ligne de commande pour d&eacute;marrer le d&eacute;mon named.
Remarque :
vous pouvez obtenir une configuration similaire sans ex&eacute;cuter de serveur
de noms exclusivement exp&eacute;diteur. Il suffit de cr&eacute;er un fichier
/etc/resolv.conf en ins&eacute;rant des lignes de serveur de noms qui pointent
vers les serveurs exp&eacute;diteurs souhait&eacute;s.
Protocole TCP/IP
4-81
1. Editez le fichier /etc/named.conf. Si le r&eacute;pertoire /etc ne contient pas de fichier
named.conf, copiez-y le fichier-type /usr/samples/tcpip/named.conf et &eacute;ditez-le. Pour
en savoir plus et examiner un exemple de fichier de configuration, reportez-vous &agrave; la
section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L Version 5.3 Files
Reference.
– Ins&eacute;rez les lignes “forwarders” et “forward only” dans la strophe d’options du fichier
/etc/named.conf indiquant toutes les adresses IP des serveurs de noms auxquels des
requ&ecirc;tes doivent &ecirc;tre exp&eacute;di&eacute;es. Par exemple :
options {
...
directory ”/usr/local/domain”;
forwarders { 192.100.61.1; 129.35.128.222; };
forward only;
...
};
– Sp&eacute;cifiez la zone de bouclage. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
– Sp&eacute;cifiez la zone d’indices. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
2. Editez le fichier /usr/local/domain/named.ca Pour en savoir plus et disposer d’un
exemple de fichier cache, reportez–vous &agrave; la section DOMAIN Cache File Format for
TCP/IP dans le manuel AIX 5L Version 5.3 Files Reference. Ce fichier contient l’adresse
des serveurs de noms “experts” pour le domaine racine (root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
Remarque :
129.114.1.2
toutes les lignes de ce fichier doivent respecter le format des articles de
ressource standard (Standard Resource Record Format).
3. Editez le fichier /etc/named.local. Pour en savoir plus et disposer d’un exemple de
fichier de donn&eacute;es local, reportez-vous &agrave; la section ”DOMAIN Local Data File Format for
TCP/IP” dans le manuel AIX 5L Version 5.3 Files Reference.
a. Sp&eacute;cifiez pour la zone la valeur de SOA (Start Of Authority) et les d&eacute;lais TTL
(time-to-live) par d&eacute;faut. Par exemple :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
86400
;serial
;refresh
;retry
;expire
;negative caching TTL
)
b. Sp&eacute;cifiez l’article NS (serveur de noms). Par exemple :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
c. Sp&eacute;cifiez l’article PTR (pointeur).
Remarque :
4-82
toutes les lignes de ce fichier doivent respecter le format des articles
de ressource standard ( Standard Resource Record Format).
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
(
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un serveur de
noms pour effectuer une r&eacute;solution, et non au fichier /etc/hosts.
Autrement, le fichier /etc/resolv.conf peut contenir l’entr&eacute;e suivante :
nameserver 127.00.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui-m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain
NomDomaine
Dans cet exemple, NomDomaine serait austin.century.com.
5. Ex&eacute;cutez l’une des t&acirc;ches suivantes :
– Activez le d&eacute;mon named en utilisant le raccourci SMIT smit stnamed. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du
syst&egrave;me ou les deux.
– Editez le fichier /etc/rc.tcpip. Activez le d&eacute;mon named en retirant la marque de
commentaire (#) de la ligne suivante :
#start /etc/named ”$src_running”
Cette commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me.
6. Si vous ne souhaitez pas initialiser le d&eacute;mon named via SMIT, lancez-le pour la session
en cours par la commande :
startsrc -s named
Configuration d’un h&ocirc;te avec serveur de noms
Vous pouvez configurer un h&ocirc;te pour un serveur de noms via le raccourci Web–based
System Manager, wsm ou via l’une des proc&eacute;dures suivantes.
1. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
2. Sur la premi&egrave;re ligne du fichier /etc/resolv.conf, entrez le mot domain puis le nom
complet du domaine auquel appartient l’h&ocirc;te. Par exemple :
domain abc.aus.century.com
3. Sur une ligne vierge apr&egrave;s la ligne introduite par domain, entrez le mot nameserver
suivi d’au moins un espace et de l’adresse Internet (en notation d&eacute;cimale &agrave; points) du
serveur de noms &agrave; ajouter (il doit desservir le domaine indiqu&eacute; dans l’instruction
domain). Vous pouvez ins&eacute;rer jusqu’&agrave; 3 entr&eacute;es de serveur de noms. Par exemple,
votre fichier /etc/resolv.conf peut contenir les entr&eacute;es :
nameserver 192.9.201.1
nameserver 192.9.201.2
Le syst&egrave;me interroge les serveurs dans l’ordre de leur sp&eacute;cification.
search domainname_list
Le mot–cl&eacute; de recherche peut aussi &ecirc;tre utilis&eacute; pour indiquer l’ordre dans lequel le
programme de r&eacute;solution interrogera la liste des domaines. Dans ce cas, les valeurs de
domainname_list sont abc.aus.century.com et aus.century.com.
domainname_list peut contenir au maximum six noms de domaines, chacun s&eacute;par&eacute;s
par un espace.
Protocole TCP/IP
4-83
4. En supposant que le serveur de noms est op&eacute;rationnel, vous pouvez tester sa
communication avec l’h&ocirc;te via la commande suivante :
host hostname
Indiquez un nom d’h&ocirc;te que le serveur doit r&eacute;soudre. Si le processus aboutit,
vous obtenez un r&eacute;sultat du type :
brown.abc.aus.century.com is 129.35.145.95
D’autres t&acirc;ches de configuration sont pr&eacute;sent&eacute;es dans le tableau suivant.
Configuration d’un h&ocirc;te avec serveur de noms
4-84
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Cr&eacute;er un fichier
/etc/resolv.conf.
smit stnamerslv2
cr&eacute;ez et &eacute;ditez
/etc/resolv.conf1
Web–based System Manager
Management Environment
Afficher la liste des smit lsnamerslv
serveurs utilis&eacute;s
par un h&ocirc;te
affichez
/etc/resolv.conf
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Hosts File ––&gt;
Contents of /etc/hosts file.
Ajouter un serveur
de noms
smit mknamerslv
&eacute;ditez
/etc/resolv.conf 2
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. Dans le
champ Name Server IP
Address, tapez l’Adresse IP.
Cliquez sur Add ––&gt; OK.
Supprimer un
serveur de noms
smit rmnamerslv
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS.
S&eacute;lectionnez un serveur de nom
dans Name server to search.
Cliquez sur Delete ––&gt; OK.
Activer/R&eacute;activer
la r&eacute;solution DNS
smit stnamerslv
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. Cochez la
case Enable domain name
resolution using Domain
Name Service (DNS). Cliquez
sur OK.
T&acirc;che
Raccourci SMIT
D&eacute;sactiver la
r&eacute;solution DNS
smit spnamerslv
Commande ou
fichier
Web–based System Manager
Management Environment
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. D&eacute;cochez la
case Enable domain name
resolution using Domain
Name Service (DNS). Cliquez
sur OK.
Modifier/Afficher le smit mkdomain
domaine
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. ––&gt;
Domain name to search.
Cliquez sur Add ––&gt; OK.
Supprimer un
domaine
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS.
S&eacute;lectionnez un domaine dans
la liste Domain search list.
Cliquez sur Delete ––&gt; OK.
smit rmdomain
Configuration de zones dynamiques sur le serveur de noms DNS
La commande named autorise les mises &agrave; jour dynamiques. La base de donn&eacute;es nomm&eacute;e
et les fichiers de configuration doivent &ecirc;tre configur&eacute;s pour permettre aux machines clientes
d’&eacute;mettre des mises &agrave; jour. Une zone peut &ecirc;tre dynamique ou statique. La zone par d&eacute;faut
est statique.
Pour rendre une zone dynamique, il faut ajouter le mot cl&eacute; allow–update &agrave; la strophe
correspondante du fichier /etc/named.conf file. Ce mot cl&eacute; pr&eacute;cise la liste de
correspondances d’adresses Internet d&eacute;finissant les h&ocirc;tes autoris&eacute;s &agrave; soumettre des
mises &agrave; jour. Pour en savoir plus et examiner un exemple de fichier de configuration,
reportez-vous &agrave; la section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L
Version 5.3 Files Reference. Dans l’exemple ci–dessous, la mise &agrave; jour de la zone
dynamique est autoris&eacute;e &agrave; tous les h&ocirc;tes :
zone ”abc.aus.century.com” IN {
type master;
file ”named.abc.data”;
allow–update { any; };
};
Protocole TCP/IP
4-85
Sur une zone dynamique, trois modes de s&eacute;curit&eacute; peuvent &ecirc;tre d&eacute;finis :
Non s&eacute;curis&eacute;
N’importe qui peut, &agrave; tout moment, mettre &agrave; jour les
informations de la zone.
Attention : il est d&eacute;conseill&eacute; d’opter pour ce mode.
Des donn&eacute;es risquent d’&ecirc;tre perdues ou intercept&eacute;es,
et l’utilisateur frustr&eacute;. Il convient au minimum de limiter
la mise &agrave; jour d’une zone non s&eacute;curis&eacute;e (”unsecured”)
&agrave; des adresses Internet sp&eacute;cifiques.
Contr&ocirc;l&eacute;
Autorise la cr&eacute;ation d’informations et le remplacement
de donn&eacute;es existantes. C’est sans doute le mode le plus
adapt&eacute; &agrave; un environnement de transition s&eacute;curis&eacute;. Ce
mode requiert &eacute;galement que les donn&eacute;es entrantes
soient horodat&eacute;es et munies d’une signature &agrave; cl&eacute;.
Pr&eacute;–securis&eacute;
Impose que les mises &agrave; jour remplacent les informations
existantes par des informations similaires. Ne permet pas
de cr&eacute;er de nouvelles informations. Ce mode requiert
&eacute;galement que les donn&eacute;es entrantes soient horodat&eacute;es
et munies d’une signature &agrave; cl&eacute;.
Par d&eacute;faut, une zone dynamique se trouve en mode non s&eacute;curis&eacute;. Pour utiliser l’un des
autres modes, tapez controlled ou presecured apr&egrave;s le mot de passe update–security
dans la zone de strophe du fichier /etc/named.conf file. Cela indique au serveur named le
niveau de s&eacute;curit&eacute; &agrave; utiliser pour cette zone. Par exemple :
zone ”abc.aus.century.com” IN {
type master;
file ”named.abc.data”;
allow–update { any; };
update–security controlled;
};
Une fois le mode s&eacute;lectionn&eacute;, les fichiers de donn&eacute;es doivent &ecirc;tre amen&eacute;s au niveau de
s&eacute;curit&eacute; choisi. En mode non s&eacute;curis&eacute;, les fichiers de donn&eacute;es sont utilis&eacute;s tels quels. En
mode contr&ocirc;l&eacute; ou pr&eacute;–s&eacute;curis&eacute;, vous devez cr&eacute;er un ensemble de paires de cl&eacute;s entre
noms de serveur ma&icirc;tres et h&ocirc;tes pour chaque nom de la zone. Utilisez pour cela la
commande nsupdate avec l’option –g. Cette commande g&eacute;n&egrave;re la paire de cl&eacute;s, une priv&eacute;e
et une publique. Ces cl&eacute;s sont n&eacute;cessaires pour authentifier les mises &agrave; jour. Apr&egrave;s avoir
cr&eacute;&eacute; toutes les cl&eacute;s pour la liste de noms de zones, il faut les ajouter au fichier de donn&eacute;es.
Le format de cl&eacute; (KEY) est le suivant :
Index
ttl
Class
Type
KeyFlags
Protocol
Algorithm
KeyData
o&ugrave; :
4-86
Index
Nom r&eacute;f&eacute;ren&ccedil;ant les donn&eacute;es de la zone.
ttl
ttl (”time to live”) des donn&eacute;es. Ce champ est facultatif.
Classe
Classe des donn&eacute;es. D&eacute;pend de la zone, mais g&eacute;n&eacute;ralement IN.
Type
Type de l’enregistrement. Dans ce cas, le type est KEY.
IndicCl&eacute;
Informations sur la cl&eacute;. En g&eacute;n&eacute;ral, l’enregistrement de cl&eacute; pour un h&ocirc;te
est sous la forme 0x0000. Le code 0x0100 d&eacute;finit l’enregistrement de cl&eacute;
associ&eacute; au nom de zone.
Protocole
Protocole &agrave; utiliser. Pour le moment, il n’y en a qu’un, 0.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Algorithme
Algorithme de la cl&eacute;. Pour le moment, il n’y en a qu’un, 1. Cette m&eacute;thode
est celle de l’authentification priv&eacute;/public.
Donn&eacute;esCl&eacute;
Cl&eacute; exprim&eacute;e en base 64. La commande nsupdate g&eacute;n&egrave;re les deux cl&eacute;s
(publique et priv&eacute;e) en base 64. Dans le fichier de sortie, la cl&eacute; publique
appara&icirc;t en dernier.
Exemple
Pour garantir la s&eacute;curit&eacute; d’un nom d’h&ocirc;te dans une zone dynamique, il faut ajouter au fichier
de zone une ligne du type ci–dessous pour la zone contenant ce nom :
bears
4660
IN
KEY
0x0000
0
1
AQOtg......
Dans cet exemple, bears est dot&eacute; d’un enregistrement KEY d&eacute;fini : toute personne
souhaitant mettre &agrave; jour bears doit signer sa mise &agrave; jour avec la cl&eacute; priv&eacute;e correspondant &agrave;
la cl&eacute; publique enregistr&eacute;e dans la base de donn&eacute;es. Pour que la commande nsupdate
agisse, cette cl&eacute; priv&eacute;e doit figurer dans un fichier de cl&eacute; chez le client (fichier /etc/keyfile
par d&eacute;faut). Son format est le suivant :
hostname
mastername
base64
key
Une entr&eacute;e similaire KEY doit se trouver dans la section de d&eacute;finition de la zone. La cl&eacute; de
zone est obligatoire en mode pr&eacute;–s&eacute;curis&eacute; ou contr&ocirc;l&eacute; : sans cl&eacute;, le mode est
consid&eacute;r&eacute; non s&eacute;curis&eacute;. L’exemple bears pr&eacute;c&eacute;dent montre comment proc&eacute;der, mais
l’utilisation de cl&eacute; priv&eacute;e revient &agrave; l’administrateur qui utilise la commande nsupdate en
mode administrateur.
1. Pour g&eacute;n&eacute;rer une paire de cl&eacute;s avec la commande nsupdate, entrez :
nsupdate –g –h
FichierCl&eacute;Admin
NomZone
–p
NomServeur
–k
Une cl&eacute; est g&eacute;n&eacute;r&eacute;e pour la zone. Dans cet exemple, nsupdate est li&eacute; &agrave; nsupdate4, en
tapant ce qui suit :
ln –fs /usr/sbin/nsupdate4 /usr/sbin/nsupdate
2. Placez la derni&egrave;re cl&eacute; de la paire au d&eacute;but de la section relative &agrave; la zone, comme suit :
IN
KEY
0x0100
0
1
Key
L’entr&eacute;e du fichier named.abc.data est la suivante :
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
IN
NS
venus.abc.aus.century.com.
IN
KEY
0x0100 0 1
AQPlwHmIQeZzRk6Q/nQYhs3xwnhfTgF/8YlBVzKSoKxVKPNLINnYW0mB7attTcfhHaZZcZr4u
/vDNikKnhnZwgn/
venus
IN
A
192.9.201.1
earth
IN
A
192.9.201.5
mars
IN
A
192.9.201.3
3. La zone est maintenant pr&ecirc;te &agrave; &ecirc;tre charg&eacute;e en r&eacute;g&eacute;n&eacute;rant le serveur de noms. Placez
FichierCl&eacute;Admin sur le client ou le serveur DHCP qui met la zone &agrave; jour. La cl&eacute; de zone
contenue dans FichierCl&eacute;Admin peut &ecirc;tre utilis&eacute;e pour appliquer des mises &agrave; jour et des
op&eacute;rations de maintenance au serveur de noms.
Protocole TCP/IP
4-87
BIND 9
BIND 9 offre les deux mesures de s&eacute;curit&eacute; suivantes pour named:
• Transaction Signatures (TSIG), page 4-88
• Signature (SIG), page 4-90
Le serveur de noms avec BIND 9, par d&eacute;faut, ne permet pas les mises &agrave; jour dynamiques
dans les zones d’autorit&eacute;, comme dans BIND 8.
Transaction Signatures (TSIG)
BIND 9 prend en charge TSIG pour l’administration de serveur &agrave; serveur. Ceci comprend
les messages de transfert de zones, de notification et d’interrogation r&eacute;cursive. TSIG est
&eacute;galement utile pour les mises &agrave; jour dynamiques. Un serveur principal pour une zone
dynamique doit utiliser le contr&ocirc;le d’acc&egrave;s pour contr&ocirc;ler les mises &agrave; jour, mais le contr&ocirc;le
d’acc&egrave;s IP est insuffisant.
En utilisant un chiffrement de base de cl&eacute; &agrave; la place de la m&eacute;thode actuelle des listes de
contr&ocirc;le d’acc&egrave;s, TSIG permet de restreindre les utilisateurs autoris&eacute;s &agrave; mettre &agrave; jour les
zones dynamiques. Contrairement &agrave; la m&eacute;thode ACL (Access Control List) de mises &agrave; jour
dynamiques, la cl&eacute; TSIG peut &ecirc;tre distribu&eacute;s aux autres auteurs de mises &agrave; jour sans qu’il
soit n&eacute;cessaire de modifier les fichiers de configuration sur le serveur de noms, ce qui
signifie qu’il n’est pas n&eacute;cessaire que le serveur de noms relise les fichiers de configuration.
Il est important de noter que BIND 9 ne dispose pas de tous les mots–cl&eacute;s existant dans
BIND 8. Dans cet exemple, nous utilisons la configuration ma&icirc;tre simple de BIND 8.
Remarque :
Pour utiliser named 9, vous devez relier la liaison symbolique au d&eacute;mon
named &agrave; named9, et nsupdate &agrave; nsupdate9 en ex&eacute;cutant les
commandes suivantes :
1. ln –fs /usr/sbin/named9 /usr/sbin/named
2. ln –fs /usr/sbin/nsupdate9 /usr/sbin/nsupdate
1. G&eacute;n&eacute;rez la cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a HMAC–MD5 –b 128 –n HOST cl&eacute;
– HMAC–MD5 est l’algorithme de chiffrement
– 128 est la longueur de la cl&eacute; &agrave; utiliser (ou nombre de bits)
– HOST: HOST est le mot–cl&eacute; TSIG utilis&eacute; pour g&eacute;n&eacute;rer une cl&eacute; h&ocirc;te pour un
chiffrement de cl&eacute; partag&eacute;.
La commande
dnssec–keygen –a HMAC–MD5 –b 128 –n HOST venus–batman.abc.aus.century.com
g&eacute;n&egrave;re deux fichiers de cl&eacute;, comme suit :
Kvenus–batman.abc.aus.century.com.+157+35215.key
Kvenus–batman.abc.aus.century.com.+157+35215.private
– 157 est l’algorithme utilis&eacute; (HMAC–MD5)
– 35215 est l’empreinte, ce qui est utile dans DNNSEC car plusieurs cl&eacute;s par zone
sont autoris&eacute;es
2. Ajoutez l’entr&eacute;e &agrave; named.conf sur le serveur de noms ma&icirc;tre :
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
4-88
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
En supposant que HMAC–MD5 est utilis&eacute;, les deux fichiers de cl&eacute; contiennent la cl&eacute;
partag&eacute;e, qui est stock&eacute;e en tant que derni&egrave;re entr&eacute;e des fichiers. Trouvez un moyen
s&eacute;curis&eacute; de copier la cl&eacute; secr&egrave;te partag&eacute;e sur le client. Vous n’avez pas besoin de copier
le fichier de cl&eacute;, uniquement la cl&eacute; secr&egrave;te partag&eacute;e.
Ce qui suit est l’entr&eacute;e du fichier
Kvenus–batman.abc.aus.century.com.+157+35215.private:
Format–cl&eacute;–priv&eacute;e : v1.2
Algorithme : 157 (HMAC_MD5)
Cl&eacute; : +UWSvbpxHWFdNwEAdy1Ktw==
Vous trouverez ci–apr&egrave;s un exemple du fichier named.conf du serveur de noms ma&icirc;tre.
La zone abc.aus.century.com permet le transfert de zones et les mises &agrave; jour
dynamiques uniquement sur les serveurs ayant la cl&eacute;
venus–batman.abc.aus.century.com. Proc&eacute;dez de m&ecirc;me dans la zone inverse,
pour laquelle les auteurs de mises &agrave; jour doivent avoir la cl&eacute; partag&eacute;e.
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data”;
allow–transfer { key venus–batman.abc.aus.century.com.;};
allow–update{ key venus–batman.abc.aus.century.com.; };
};
Comme les transferts de zone sont restreints &agrave; ceux qui ont une cl&eacute;, le fichier
named.conf du serveur de noms doit aussi &ecirc;tre &eacute;dit&eacute;. Toutes les demande transmises &agrave;
192.9.201.1(venus.abc.aus.century.com) sont sign&eacute;es par une cl&eacute;. Le nom de la cl&eacute;
(venus–batman.abc.aus.century.com.) doit correspondre &agrave; ceux des serveurs qui les
utilisent.
Vous trouverez ci–apr&egrave;s un exemple du fichier named.conf du serveur de noms
esclave :
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
server 192.9.201.1{
keys { venus–batman.abc.aus.century.com.;};
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” IN {
type slave;
file ”named.abc.data.bak”;
masters { 192.9.201.1; };
};
Protocole TCP/IP
4-89
Signature (SIG)
BIND 9 prend en partie en charge les signatures de transaction DNSSEC SIG comme
indiqu&eacute; dans RFC 2535. SIG utilise les cl&eacute;s publiques et priv&eacute;es pour authentifier les
messages.
Les enregistrements SIG permettent aux administrateurs de signer leurs donn&eacute;es de zone
afin de les authentifier.
S&eacute;curisation de la zone racine
Supposons que les autres serveurs de noms sur Internet n’utilisent pas BIND 9, et que vous
vouliez s&eacute;curiser vos donn&eacute;es de zone et permettre aux autres serveurs de v&eacute;rifier vos
donn&eacute;es de zone. Vous souhaitez indiquer que votre zone (dans notre cas
aus.century.com ) est une racine s&eacute;curis&eacute;e et valide toutes les donn&eacute;es de zone
s&eacute;curis&eacute;es sous celle–ci.
1. G&eacute;n&eacute;rez la cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a RSA –b 512 –r /usr/sbin/named –n ZONE aus.century.com.
Remarque :
Le chiffrement RSA peut &ecirc;tre utilis&eacute; comme l’algorithme de g&eacute;n&eacute;ration
de la cl&eacute; si OpenSSL est install&eacute;, mais vous devez d’abord relier la
biblioth&egrave;que DNS &agrave; une biblioth&egrave;que DNS s&eacute;curis&eacute;e en ex&eacute;cutant la
commande suivante :
ln –fs /usr/lib/libdns_secure.a /usr/lib/libdns.a
– ZONE: ZONE est le mot–cl&eacute; DNSSEC utilis&eacute; pour g&eacute;n&eacute;rer des cl&eacute;s de zones
pour le chiffrement de cl&eacute; priv&eacute;e/publique.
– L’indicateur r d&eacute;signe un p&eacute;riph&eacute;rique al&eacute;atoire.
2. Ajoutez l’entr&eacute;e de cl&eacute; publique comme dans le fichier named.conf.
L’entr&eacute;e utilis&eacute;e dans l’exemple est indiqu&eacute;e ci–apr&egrave;s. Le contenu du fichier de cl&eacute;
Kaus.century.com.+001+03254.key est indiqu&eacute; ci–dessous.
abc.aus.century.com. IN KEY 256 3 1
AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6TygUfaw6vz6ldmauB4UQFcGKOyL68/Zv5Z
nEvyB1fMTAaDLYz
La cl&eacute; publique est contenue dans le fichier Kzonename.+algor.+fingerprint.key,
ou dans notre exemple Kaus.century.com.+001+03254.key. Vous devez
supprimer la classe IN et taper KEY et mettre la cl&eacute; entre guillemets. Lorsque vous
ajoutez cette entr&eacute;e au fichier /etc/named.conf et r&eacute;g&eacute;n&eacute;rez le serveur de noms,
la zone aus.century.com est une racine s&eacute;curis&eacute;e.
trusted–keys {
aus.century.com. 256 3 1
”AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6Tyg
Ufaw6vz6ldmauB 4UQFcGKOyL68/Zv5ZnEvyB1fMTAaDLYz”;
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data.signed”;
allow–update{192.9.201.1;};
};
4-90
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Application de la cha&icirc;ne de confiance
Une fois votre racine s&eacute;curis&eacute;e, vous pouvez s&eacute;curiser le reste de vos zones enfant. Dans
ce cas, nous voulons s&eacute;curiser la zone abc.aus.century.com. Proc&eacute;dez comme suit
pour s&eacute;curiser vos zones enfants restantes :
1. G&eacute;n&eacute;rez les paires de cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a RSA –b 512 –r /usr/sbin/named –n ZONE
abc.aus.century.com.
– L’indicateur r d&eacute;signe un fichier d’entr&eacute;e al&eacute;atoire.
2. Cr&eacute;ez un fichier de cl&eacute; en ex&eacute;cutant la commande dnssec–makekeyset :
dnssec–makekeyset –t 172800
Kabc.aus.century.com.+001+11515.key
o&ugrave; Kabc.aus.century.com.+001+03254.key est votre propre cl&eacute; publique.
Ceci cr&eacute;e un fichier de cl&eacute; appel&eacute; keyset–abc.aus.century.com.
3. Envoyez ce fichier de cl&eacute; &agrave; la zone parente pour le faire signer. Dans cet exemple, notre
zone parente est la zone racine s&eacute;curis&eacute;e aus.century.com.
4. Le parent doit signer la cl&eacute; avec sa cl&eacute; priv&eacute;e.
dnssec–signkey keyset–abc.aus.century.com.
Kaus.century.com.+001+03254.private
Ceci g&eacute;n&egrave;re un fichier appel&eacute; signedkey–abc.aus.century.com, et le parent doit
renvoyer ce fichier &agrave; la zone enfant.
5. Sur le serveur de noms enfant de la zone abc.aus.century.com, ajoutez $INCLUDE
Kabc.aus.century.com.+001+11515.key au fichier de zone simple
named.abc.data. Souvenez–vous de placer le fichier
signedkey–abc.aus.century.com dans le m&ecirc;me emplacement que le fichier de zone
named.abc.data. Lorsque la zone est sign&eacute;e dans l’&eacute;tape suivante, le programme sait
qu’il doit inclure signedkey–abc.aus.century.com, qui a &eacute;t&eacute; re&ccedil;ue du parent.
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
$INCLUDE Kabc.aus.century.com.+001+03254.key
6. Signez la zone &agrave; l’aide de la commande dnssec–signzone :
dnssec–signzone –o abc.aus.century.com. named.abc.data
7. Modifiez le fichier named.conf dans la zone enfant abc.aus.century.com pour
utiliser le nouveau fichier de zone sign&eacute; ( named.abc.data.signed). Par exemple :
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data.signed”;
allow–update{192.9.201.1;};
};
8. R&eacute;g&eacute;n&eacute;rez le serveur de noms.
Pour plus d’informations sur la r&eacute;solution des probl&egrave;mes, reportez–vous &agrave; Probl&egrave;mes de
r&eacute;solution des noms, page 4-274.
Protocole TCP/IP
4-91
Planification et configuration pour la r&eacute;solution de noms LDAP
(Sch&eacute;ma de r&eacute;pertoire SecureWay)
LDAP (Lightweight Directory Access Protocol) est un standard du march&eacute; qui d&eacute;finit une
m&eacute;thode d’acc&egrave;s et de mise &agrave; jour des informations d’un r&eacute;pertoire. Un sch&eacute;ma LDAP
d&eacute;finit les r&egrave;gles de classement des donn&eacute;es. La classe d’objet ibm–HostTable, contenue
dans le sch&eacute;ma de r&eacute;pertoire SecureWay Directory, peut &ecirc;tre utilis&eacute;e pour stocker
l’&eacute;quivalence entre le nom et l’adresse Internet pour chaque h&ocirc;te du syst&egrave;me.
La classe d’objet ibm–HostTable est d&eacute;finit comme suit :
Nom de la classe d’objets :
ibm–HostTable
Description :
Entr&eacute;e de la table des syst&egrave;mes h&ocirc;te regroupant
des noms h&ocirc;te pour des mappages d’adresses IP.
OID :
TBD
RDN :
ipAddress
Classe d’objet sup&eacute;rieure : top
Attributs n&eacute;cessaires :
h&ocirc;te, ipAddress
Attributs optionnels :
ibm–hostAlias, ipAddressType, description
D&eacute;finitions des attributs :
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
:
:
:
:
:
ipAddress
Adresses IP des noms h&ocirc;tes de la Table des syst&egrave;mes h&ocirc;te
TBD
caseIgnoreString
256
Yes
ibm–hostAlias
Alias de l’h&ocirc;te dans la table des syst&egrave;mes h&ocirc;te
TBD
caseIgnoreString
256
Valeur multiple
ipAddressType
Famille d’adresses d’une adresse IP (1=IPv4, 2=IPv6)
TBD
Entier
11
Yes
host
Nom d’h&ocirc;te d’un syst&egrave;me.
1.13.18.0.2.4.486
caseIgnoreString
256
Valeur multiple
description
Commentaires sur un objet de r&eacute;pertoire.
2.5.4.13
caseIgnoreString
1024
Valeur multiple
Utilisez la proc&eacute;dure suivante pour configurer le serveur LDAP conform&eacute;ment au sch&eacute;ma
SecureWay Directory, de fa&ccedil;on &agrave; stocker l’&eacute;quivalence entre les noms et les adresses
Internet :
1. Ajoutez un suffixe au serveur LDAP. Le suffixe est le point de d&eacute;part de la base de
donn&eacute;es des h&ocirc;tes. Par exemple, ”cn=hosts”. Utilisez pour cela l’utilitaire SecureWay
Directory Server Administration.
2. Cr&eacute;ez un fichier LDIF (Data Interchange Format) LDAP : Vous pouvez le faire
manuellement ou &agrave; l’aide de la commande hosts2ldif, qui cr&eacute;e un fichier LDIF &agrave; partir
du fichier /etc/hosts. Reportez–vous &agrave; hosts2ldif Command dans le manuel AIX 5L
Version 5.3 Commands Reference pour plus d’informations. Voici un exemple de fichier
LDIF :
4-92
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
dn: cn=hosts
objectclass: top
objectclass: container
cn: hosts
dn: ipAddress=1.1.1.1, cn=hosts
host: test
ipAddress: 1.1.1.1
objectclass: ibm–HostTable
ipAddressType: 1
ibm–hostAlias: e–test
ibm–hostAlias: test.austin.ibm.com
description: first ethernet interface
dn: ipAddress=fe80::dead, cn=hosts
host: test
ipAddress: fe80::dead
objectclass: ibm–HostTable
ipAddressType: 2
ibm–hostAlias: test–ll
ibm–hostAlias: test–ll.austin.ibm.com
description: v6 link level interface
3. Importez les donn&eacute;es du r&eacute;pertoire d’h&ocirc;tes &agrave; partir du fichier LDIF du serveur LDAP.
Pour cela, utilisez la commande ldif2db ou l’outil Web SecureWay Directory Server
Administration.
Configurez le client pour qu’il acc&egrave;de &agrave; la base de donn&eacute;es des h&ocirc;tes sur le serveur LDAP,
via le m&eacute;canisme LDAP, en proc&eacute;dant comme suit :
1. Cr&eacute;ez le fichier /etc/resolv.ldap Pour en savoir plus et disposer d’un exemple de fichier
resolv.ldap, reportez–vous &agrave; la section resolv.ldap File Format for TCP/IP dans le
manuel AIX 5L Version 5.3 Files Reference.
2. Modifiez le nom de r&eacute;solution par d&eacute;faut avec la variable d’environnement NSORDER,
le fichier /etc/netsvc.conf ou le fichier /etc/irs.conf. Pour plus de d&eacute;tails, reportez–vous
&agrave; netsvc.conf File Format for TCP/IP, ou &agrave; irs.conf File Format for TCP/IP dans le
manuel AIX 5L Version 5.3 Files Reference.
Bien qu’il soit toujours pris en charge, il n’est plus conseill&eacute; d’utiliser le m&eacute;canisme ldap. Le
m&eacute;canisme ldap existant fonctionne avec SecureWay Directory Schema. AIX 5.2 propose
le nouveau m&eacute;canisme d’attribution des noms, nis_ldap (NIS_LDAP), qui fonctionne
avec le sch&eacute;ma RFC 2307. Il est conseill&eacute; d’utiliser le m&eacute;canisme nis_ldap
&agrave; la place du m&eacute;canisme ldap. Pour plus d’informations sur la r&eacute;solution de noms
nis_ldap, reportez–vous &agrave; P Planification et configuration pour la r&eacute;solution de noms
NIS_LDAP (Sch&eacute;ma de r&eacute;pertoire RFC 2307), page 4-93.
Planification et configuration pour la r&eacute;solution
de noms NIS_LDAP (Sch&eacute;ma RFC 2307)
AIX 5.2 propose un nouveau m&eacute;canisme d’attribution de noms appel&eacute; NIS_LDAP. La
diff&eacute;rence entre le m&eacute;canisme LDAP existant et ce nouveau m&eacute;canisme NIS_LDAP est li&eacute;
au sch&eacute;ma LDAP (le groupe des attributs et des classes d’objets qui d&eacute;terminent la fa&ccedil;on
dont les attributs sont regroup&eacute;s pour d&eacute;crire une entit&eacute;). Le m&eacute;canisme LDAP existant
fonctionne avec le serveur LDAP compatible avec le sch&eacute;ma SecureWay et prend en
charge uniquement le service d’attribution de noms h&ocirc;te. Le m&eacute;canisme NIS_LDAP
fonctionne avec le serveur LDAP compatible avec le sch&eacute;ma RFC 2307, et prend en charge
tous les services NIS : utilisateurs et groupes, h&ocirc;tes, services, protocoles, r&eacute;seaux et
groupe r&eacute;seau. RFC 2307 d&eacute;finit un ensemble d’attributs et de classes d’objets qui peut
&ecirc;tre utilis&eacute; pour d&eacute;crire les services d’informations r&eacute;seau, notamment les utilisateurs et les
groupes.
Protocole TCP/IP
4-93
Pour configurer le serveur LDAP, vous devez configurer le serveur LDAP et migrer les
donn&eacute;es requises vers le serveur.
1. Pour configurer un serveur, utilisez la commande mksecldap. Le m&eacute;canisme nis_ldap
fonctionne uniquement avec le sch&eacute;ma RFC 2307. Lors de la configuration du serveur
LDAP, la commande mksecldap devrait &ecirc;tre appel&eacute;e avec l’option –S rfc2307 ou –S
rfc2307aix (pas l’option –S aix qui sp&eacute;cifie le sch&eacute;ma SecureWay Directory). Par
d&eacute;faut, la commande mksecldap migre les utilisateurs et les groupes d&eacute;finis dans local
system sur le serveur LDAP. Si vous souhaitez d&eacute;sactiver cette migration, utilisez
l’option –u NONE.
mksecldap –s –a cn=admin –p adminpwd –S rfc2307aix
Le serveur LDAP se voit attribuer cn=admin comme DN administrateur et adminpwd
comme mot de passe. Le suffixe par d&eacute;faut, cn=aixdata, est &eacute;galement ajout&eacute; au
fichier /etc/slapd32.conf, le fichier de configuration du serveur LDAP.
Par d&eacute;faut, la commande mksecldap migre les utilisateurs et les groupes d&eacute;finis dans le
syst&egrave;me local sur le serveur LDAP. Pour d&eacute;sactiver cette migration, utilisez l’option –u
NONE, qui emp&ecirc;che la migration des utilisateurs et des groupes locaux sur le serveur
LDAP. Vous ne pouvez ainsi ajouter les utilisateurs et les groupes NIS que plus tard.
mksecldap –s –a cn=admin –p adminpwd –u NONE
Pour plus de d&eacute;tails sur la commande mksecldap, reportez–vous &agrave; la description de la
commande dans le manuel AIX 5L Version 5.3 Commands Reference.
2. Migrez les donn&eacute;es NIS. Utilisez la commande nistoldif du serveur NIS pour migrer les
&eacute;quivalences NIS vers le serveur LDAP. La commande nistoldif peut aussi &ecirc;tre utilis&eacute;e
pour migrer les donn&eacute;es des fichiers plats.
Ex&eacute;cutez la commande nistoldif sur un syst&egrave;me contenant des donn&eacute;es NIS qui doivent
&ecirc;tre migr&eacute;es vers le serveur LDAP.
nistoldif –h server1.ibm.com –a cn=admin –p adminpwd –d cn=aixdata
Ceci permet de faire migrer les &eacute;quivalences NIS depuis le local system sur le serveur
LDAP, server1.ibm.com. Les donn&eacute;es NIS sont plac&eacute;es sous le DNcn=aixdata.
Vous pouvez aussi ex&eacute;cuter la commande nistoldif pour migrer les donn&eacute;es des fichiers
plats de n’importe quel syst&egrave;me vers le serveur LDAP. Les fichiers plats seront utilis&eacute;s
pour toutes les &eacute;quivalences manquantes du serveur NIS.
Pour plus de d&eacute;tails sur la commande nistoldif, reportez–vous &agrave; la description de la
commande dans le manuel AIX 5L Version 5.3 Commands Reference.
Remarque :
Les noms sont repr&eacute;sent&eacute;s par l’attribut cn du serveur LDAP. L’attribut
cn d&eacute;fini par RFC 2307 ne tient pas compte de la casse. Les noms
diff&eacute;renci&eacute;s uniquement par la casse sont fusionn&eacute;s sur le serveur. Les
&eacute;quivalences exactes ne tiennent pas non plus compte de la casse. Les
recherches effectu&eacute;es sur TCP, tcp, ou Tcp renverraient toutes l’entr&eacute;e
de protocole de TCP.
Pour configurer le client LDAP afin qu’il acc&egrave;de aux noms du serveur LDAP, ex&eacute;cutez la
commande mksecldap avec les options de configuration du client.
1. La commande mksecldap enregistre le nom de serveur LDAP, le port, admindn, le mot
de passe et basedn dans le fichier /etc/security/ldap/ldap.cfg, qui est lu par le d&eacute;mon
secldapclntd lors du d&eacute;marrage. La commande mksecldap d&eacute;marre le d&eacute;mon
secldapclntd automatiquement, si la configuration r&eacute;ussit.
Pour plus d’informations sur le fichier /etc/security/ldap/ldap.cfg, consultez le manuel
AIX 5L Version 5.3 Files Reference. Pour plus d’informations sur le d&eacute;mon
secldapclntd, consultez le manuel AIX 5L Version 5.3 Commands Reference.
4-94
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
2. La commande mksecldap ajoute le m&eacute;canisme nis_ldap au fichier /etc/netsvc.conf
et /etc/irs.conf afin de diriger la r&eacute;solution de noms vers LDAP. Vous pouvez aussi
d&eacute;finir la variable d’environnement NSORDER en tant que nis_ldap pour utiliser la
r&eacute;solution de noms NIS_LDAP.
mksecldap –c –a cn=admin –p adminpwd –h server1.ibm.com
Il configure le syst&egrave;me local afin qu’il utilise le serveur LDAP server1.ibm.com.
Le DN et le mot de passe administrateur du serveur LDAP doivent &ecirc;tre fournis au client
pour lui permettre de s’authentifier. Les fichiers /etc/netsvc.conf et /etc/irs.conf sont
mis &agrave; jour afin que la r&eacute;solution d’attribution de noms soit r&eacute;solue via NIS_LDAP.
Pour plus d’informations, consultez le format de fichier /etc/netsvc.conf pour TCP/IP
ou /etc/irs.conf pour TCP/IP dans le manuel AIX 5L Version 5.3 Files Reference.
3. La r&eacute;solution des noms pour les utilisateurs et les groupes n’est pas contr&ocirc;l&eacute;e par les
fichiers /etc/netsvc.conf ou /etc/irs.conf, mais par le fichier /etc/security/user. Pour
permettre &agrave; un utilisateur LDAP de se connecter &agrave; un syst&egrave;me AIX, d&eacute;finissez les
variables SYSTEM et registry de l’utilisateur en tant que LDAP dans le fichier
/etc/security/user de ce syst&egrave;me client. Vous pouvez effectuer cette op&eacute;ration avec
la commande chuser.
chuser –R LDAP SYSTEM=LDAP registry=LDAP foo
Vous pouvez configurer votre syst&egrave;me afin d’autoriser tous les utilisateurs LDAP &agrave;
se connecter &agrave; un syst&egrave;me. Pour ce faire, &eacute;ditez le fichier /etc/security/user. Ajoutez
registry = files &agrave; la strophe racine. Ajoutez ensuite SYSTEM = LDAP et
registry = LDAP &agrave; la strophe par d&eacute;faut.
Pour plus d’informations sur l’authentification utilisateur, reportez–vous &agrave; la section
relative &agrave; l’exploitation LDAP du sous–syst&egrave;me de s&eacute;curit&eacute; dans le manuel AIX 5L
Version 5.3 – Guide de s&eacute;curit&eacute;.
Pour plus d’informations sur l’activation de l’authentification Netgroup RFC 2307,
reportez–vous &agrave; la section relative &agrave; la migration &agrave; partir de NIS et NIS+ vers des
services LDAP compatibles RFC 2307 dans le manuel AIX 5L Version 5.3 Network
Information Services (NIS and NIS+) Guide.
Protocole TCP/IP
4-95
Affectation des adresses et param&egrave;tres TCP/IP Protocole DHCP
Le protocole TCP/IP permet la communication entre machines disposant d’adresses
configur&eacute;es. L’affectation des adresses et la distribution des param&egrave;tres pour toutes les
machines du r&eacute;seau est une des t&acirc;ches incombant &agrave; l’administrateur de r&eacute;seau.
G&eacute;n&eacute;ralement, ce processus consiste pour l’administrateur &agrave; imposer une configuration
&agrave; chaque utilisateur, tout en permettant &agrave; l’utilisateur de configurer sa propre machine.
Toutefois, des erreurs de configuration ou des malentendus peuvent g&eacute;n&eacute;rer des appels de
service que l’administrateur doit traiter individuellement. Le protocole DHCP (Dynamic Host
Configuration Protocol) offre &agrave; l’administrateur une alternative, permettant d’exclure
l’utilisateur final des probl&egrave;mes de configuration et de g&eacute;rer la configuration du r&eacute;seau &agrave;
partir d’un site central.
DHCP est un protocole de couche application qui permet &agrave; une machine du r&eacute;seau, le
client, d’obtenir du serveur une adresse IP ainsi que d’autres param&egrave;tres de configuration.
Les informations sont obtenues au moyen d’un &eacute;change de paquets r&eacute;alis&eacute; entre un d&eacute;mon
sur le client et un autre sur le serveur. La plupart des syst&egrave;mes d’exploitation proposent &agrave;
l’heure actuelle un client DHCP dans leur module de base.
Pour obtenir une adresse, le d&eacute;mon du client DHCP (dhcpcd) diffuse un message de
d&eacute;couverte DHCP, qui est re&ccedil;u et trait&eacute; par le serveur. (Il est possible de configurer &agrave; cet
effet plusieurs serveurs sur le r&eacute;seau.) S’il existe une adresse disponible pour ce client,
un message DHCP de proposition est cr&eacute;&eacute;, contenant une adresse IP et d’autres options
client. Le client re&ccedil;oit cette proposition DHCP et la stocke en attendant d’autres
propositions. Il choisit ensuite la meilleure et diffuse une demande DHCP indiquant au
serveur la proposition retenue.
Tous les serveurs DHCP configur&eacute;s re&ccedil;oivent la demande. Chacun d’eux v&eacute;rifie qu’il n’est
pas le serveur demand&eacute;. Si ce n’est pas le cas, le serveur lib&egrave;re l’adresse qu’il a affect&eacute; au
client. En revanche, le serveur demand&eacute; marque que l’adresse est affect&eacute;e et renvoie un
accus&eacute; de r&eacute;ception DHCP, qui finalise la transaction et attribue au client une adresse pour
une dur&eacute;e (d&eacute;lai) d&eacute;finie par le serveur.
A &eacute;ch&eacute;ance de la moiti&eacute; de ce d&eacute;lai, le client tente de renouveler la r&eacute;servation de son
adresse en envoyant au serveur un paquet de renouvellement. Si le serveur accepte la
demande, il envoie un accus&eacute; de r&eacute;ception DHCP. Si le client ne parvient pas &agrave; obtenir une
r&eacute;ponse de son serveur attitr&eacute;, il diffuse un paquet de nouvelle liaison DHCP afin de tenter
de joindre le serveur (celui–ci a pu, par exemple, &ecirc;tre d&eacute;plac&eacute; d’un r&eacute;seau &agrave; un autre). Si, &agrave;
l’expiration de la totalit&eacute; du d&eacute;lai, le client n’a pas renouvel&eacute; son adresse, l’interface est
arr&ecirc;t&eacute;e et le processus recommence &agrave; z&eacute;ro. Ce cycle permet d’&eacute;viter que plusieurs clients
d’un r&eacute;seau ne se voient affecter la m&ecirc;me adresse.
Le serveur DHCP proc&egrave;de &agrave; l’attribution des adresses en fonction de cl&eacute;s. Les quatre cl&eacute;s
les plus courantes sont le r&eacute;seau, la classe, le fournisseur et l’ID de client. Le serveur se
sert de ces cl&eacute;s pour obtenir une adresse et un jeu d’options de configuration qu’il envoie
au client.
4-96
r&eacute;seau
Identifie le segment de r&eacute;seau d’o&ugrave; est issu le paquet. La cl&eacute; r&eacute;seau
permet au serveur de v&eacute;rifier sa base de donn&eacute;es d’adresses et d’attribuer
une adresse correspondant au segment de r&eacute;seau.
classe
Elle est enti&egrave;rement configurable par le client. Elle peut comprendre une
adresse et des options. Cette cl&eacute; peut &ecirc;tre utilis&eacute;e pour pr&eacute;ciser la fonction
d’une machine du r&eacute;seau ou d&eacute;crire le mode de regroupement des
machines adopt&eacute; &agrave; des fins administratives. Ainsi, l’administrateur du
r&eacute;seau peut cr&eacute;er une classe netbios contenant les options destin&eacute;es
aux clients NetBIOS ou une classe comptabilit&eacute; repr&eacute;sentant les
machines du service Comptabilit&eacute; qui ont besoin d’acc&eacute;der &agrave; une
imprimante sp&eacute;cifique.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
fournisseur
Facilite l’identification du client &agrave; l’aide de sa plate–forme
mat&eacute;rielle/logicielle (par exemple, un client Windows 95 ou un client OS/2
Warp).
ID client
Identifie le client, soit par le nom d’h&ocirc;te de sa machine soit par son adresse
de couche MAC (medium access control). L’ID client figure dans le fichier
de configuration du d&eacute;mon dhcpcd. Par ailleurs, il peut &ecirc;tre utilis&eacute; par le
serveur pour transmettre des options &agrave; un client ou pour emp&ecirc;cher un
client de recevoir des param&egrave;tres.
Ces cl&eacute;s peuvent figurer dans le fichier de configuration soit seules, soit en combinaison.
Si un client fournit plusieurs cl&eacute;s et que plusieurs adresses peuvent &ecirc;tre allou&eacute;es, le choix
porte sur une cl&eacute; et le jeu d’options d&eacute;coule de la cl&eacute; choisie en premier. Pour plus
d’informations sur la s&eacute;lection des cl&eacute;s et des adresses, reportez–vous &agrave; la section
Configuration de DHCP, page 4-100.
Un agent relais est requis pour que les diffusions initiales du client puissent quitter le r&eacute;seau
local. Cet agent est appel&eacute; agent relais BOOTP. Ces agents assurent le relais des paquets
DHCP et BOOTP.
Le serveur DHCP
A partir de AIX Version 4.3.1, le serveur DHCP a &eacute;t&eacute; divis&eacute; en trois grandes parties : une
base de donn&eacute;es, un moteur de protocole et un ensemble de routines de service, chaque
partie disposant de ses propres informations de configuration.
La base de donn&eacute;es DHCP
La base de donn&eacute;es db_file.dhcpo permet d’effectuer le suivi des clients et des adresses
et de contr&ocirc;ler les acc&egrave;s (par exemple, pour autoriser certains clients exclusivement &agrave;
acc&eacute;der &agrave; certains r&eacute;seaux ou pour d&eacute;sactiver les clients BOOTP sur un r&eacute;seau particulier).
Les options sont &eacute;galement enregistr&eacute;es dans la base de donn&eacute;es d’o&ugrave; elles peuvent &ecirc;tre
extraites et distribu&eacute;es aux clients. La base de donn&eacute;es est impl&eacute;ment&eacute;e sous la forme d’un
objet pouvant &ecirc;tre charg&eacute; de fa&ccedil;on dynamique, ce qui facilite les mises &agrave; niveau et la
maintenance du serveur.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e. Un ensemble de fichiers de points de contr&ocirc;le met &agrave; jour la base de
donn&eacute;es et r&eacute;duit le volume d’&eacute;critures vers le fichier de stockage principal. La base de
donn&eacute;es contient &eacute;galement des pools d’adresses et d’options, mais ceux–ci sont statiques
et sont &eacute;tudi&eacute;s dans la section Configuration de DHCP, page 4-100.
Le fichier de stockage principal et sa copie de sauvegarde sont de simples fichiers ASCII
qui peuvent, si n&eacute;cessaire, &ecirc;tre modifi&eacute;s. Leur format est le suivant :
DF01
”
ID CLIENT ” ”
0.0.0.0 ”
Etat
LeaseTimeStart
LeaseTimeDuration
LeaseTimeEnd
”
Adresse IP serveur ” ” ID classe ” ”ID fournisseur” ”H&ocirc;te ” ”Nom de
domaine ”
”
ID CLIENT ” ”
0.0.0.0 ”
Etat
LeaseTimeStart
LeaseTimeDuration
LeaseTimeEnd
”
Adresse IP serveur ” ”
ID classe ” ”
ID fournisseur ” ”
H&ocirc;te
” ”
Nom de domaine ”
...
La premi&egrave;re ligne indique la version du fichier : DF01c. Les lignes qui suivent d&eacute;finissent
des enregistrements client. Le serveur proc&egrave;de &agrave; la lecture de la seconde ligne jusqu’&agrave; la fin
du fichier. (Les param&egrave;tres entre guillemets doivent &ecirc;tre indiqu&eacute;s entre guillemets.)
”CLIENT ID” ID utilis&eacute; par le client pour se pr&eacute;senter au serveur.
”0.0.0.0”
est l’adresse IP actuellement attribu&eacute;e au serveur DHCP. Si aucune
adresse n’a &eacute;t&eacute; attribu&eacute;e, ”0.0.0.0” sera adopt&eacute; par d&eacute;faut.
State
Etat actuel du client. Le moteur de protocole DHCP contient le jeu de
valeurs attribuables et les &eacute;tats sont g&eacute;r&eacute;s dans la base de donn&eacute;es DHCP.
Protocole TCP/IP
4-97
Le nombre en regard de State repr&eacute;sente sa valeur. Les diff&eacute;rents &eacute;tats
possibles sont :
(1) FREE
Repr&eacute;sente les adresses qui sont disponibles. En g&eacute;n&eacute;ral, les clients
n’ont pas cet &eacute;tat, &agrave; moins qu’aucune adresse ne leur ait encore &eacute;t&eacute;
attribu&eacute;e. dadmin et la sortie de lssrc signalent pour cet &eacute;tat ”Free”.
(2) BOUND
Indique que le client et l’adresse sont li&eacute;s et que l’adresse a &eacute;t&eacute;
attribu&eacute;e au client il y a d&eacute;j&agrave; un certain temps. dadmin et la sortie de
lssrc indiquent pour cet &eacute;tat ”Leased”.
(3) EXPIRED
Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement, de la m&ecirc;me mani&egrave;re que l’&eacute;tat released. Cet &eacute;tat
signale toutefois que le client a laiss&eacute; son bail arriver &agrave; expiration.
Une adresse arriv&eacute;e &agrave; expiration est disponible et est r&eacute;affect&eacute;e
lorsque toutes les adresses libres sont indisponibles et avant que les
adresses lib&eacute;r&eacute;es ne soient r&eacute;attribu&eacute;es. dadmin et la sortie de lssrc
indiquent pour cet &eacute;tat ”Expired”.
(4) RELEASED Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement. Le protocole DHCP conseille aux serveurs DHCP de
g&eacute;rer les informations concernant leurs clients pr&eacute;c&eacute;dents &agrave; des fins
de r&eacute;f&eacute;rence ult&eacute;rieure (principalement pour essayer de redonner &agrave;
un client une adresse qu’il a d&eacute;j&agrave; utilis&eacute;e dans le pass&eacute;). Cet &eacute;tat
signale que le client a lib&eacute;r&eacute; l’adresse. Cette adresse peut donc &ecirc;tre
utilis&eacute;e par d’autres clients si aucune autre adresse n’est disponible.
dadmin et la sortie de lssrc indiquent pour cet &eacute;tat ”Released”.
(5) RESERVED
Indique qu’une liaison l&acirc;che existe entre le client et l’adresse. Le
client a envoy&eacute; un message de d&eacute;couverte DHCP, auquel le serveur
DHCP a r&eacute;pondu, et le client n’a pas encore r&eacute;pondu par une
requ&ecirc;te DHCP demandant cette adresse. dadmin et la sortie de
lssrc indiquent pour cet &eacute;tat ”Reserved”.
(6) BAD
Repr&eacute;sente une adresse utilis&eacute;e sur le r&eacute;seau mais qui n’a pas &eacute;t&eacute;
distribu&eacute;e par le serveur DHCP. Cet &eacute;tat qualifie &eacute;galement les
adresses qui ont &eacute;t&eacute; rejet&eacute;es par les clients. Cet &eacute;tat ne s’applique
pas &agrave; des clients. dadmin et la sortie de lssrc indiquent que cet &eacute;tat
est ”Utilis&eacute;” (Used) et ”Mauvais” (Bad), respectivement.
LeaseTimeStart D&eacute;but du bail actuel (en nombre de secondes &eacute;coul&eacute;es depuis le 1er
janvier 1970).
LeaseTimeDuration
Dur&eacute;e du bail (en secondes).
LeaseTimeEnd Utilise le m&ecirc;me format que LeaseTimeStart, pour indiquer la fin du bail.
Certaines options de configuration utilisent des valeurs diff&eacute;rentes pour le
d&eacute;but et la fin d’un bail et il est possible de substituer &agrave; ces valeurs des
options du fichier de configuration. Reportez–vous &agrave; Syntaxe du fichier de
serveur DHCP pour la base de donn&eacute;es db_file, page 4-121.
”Server IP Address”
Adresse IP du serveur DHCP d&eacute;tenteur de cet enregistrement.
”Class ID”
”Vendor ID”Host Name”
”Domain Name”
Valeurs utilis&eacute;es par le serveur pour d&eacute;terminer les options qui sont
envoy&eacute;es au serveur (stock&eacute;es sous la forme de cha&icirc;nes entre guillemets).
Ces param&egrave;tres permettent d’am&eacute;liorer les performances, puisque les listes
d’options peuvent &ecirc;tre g&eacute;n&eacute;r&eacute;es &agrave; l’avance pour ces clients au d&eacute;marrage
du serveur DHCP.
4-98
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Fichiers de points de contr&ocirc;le
La syntaxe des fichiers de points de contr&ocirc;le n’est pas sp&eacute;cifi&eacute;e. En cas de panne du
serveur, ou si vous devez l’arr&ecirc;ter sans avoir pu fermer normalement la base de donn&eacute;es,
le serveur peut utiliser les fichiers de points de contr&ocirc;le et les fichiers de sauvegarde pour
reconstruire une base de donn&eacute;es correcte. La pire situation serait de perdre un client (si le
client &eacute;tait en cours d’&eacute;criture dans le fichier de point de contr&ocirc;le au moment de la panne).
Les fichiers par d&eacute;faut sont :
/etc/db_file.cr fonctionnement normal de la base de donn&eacute;es
/etc/db_file.crbk
sauvegardes de la base de donn&eacute;es
/etc/db_file.chkpt et /etc/db_file.chkpt2
fichiers de point de contr&ocirc;le en alternance
Le serveur DHCP pour AIX Version 4.3.1 et ult&eacute;rieures est du type encha&icirc;n&eacute;. Pour garantir
un d&eacute;bit &eacute;lev&eacute;, les op&eacute;rations sur la base de donn&eacute;es (y compris les op&eacute;rations de
sauvegarde) sont optimis&eacute;es pour le type encha&icirc;n&eacute;. Lorsqu’une sauvegarde est demand&eacute;e,
le fichier de points de contr&ocirc;le existant est remplac&eacute; par le fichier de points de contr&ocirc;le
suivant, le fichier de base de donn&eacute;es existant est copi&eacute; dans le fichier de secours et un
nouveau fichier de sauvegarde est cr&eacute;&eacute;. Chaque enregistrement client est consign&eacute; et un
bit est modifi&eacute; afin d’indiquer que le client doit utiliser le nouveau fichier de points de
contr&ocirc;le pour la journalisation. Lorsque tous les enregistrements client sont pris en compte,
la sauvegarde est ferm&eacute;e et les anciens fichiers de secours et de points de contr&ocirc;le sont
supprim&eacute;s. De cette mani&egrave;re, les clients peuvent toujours &ecirc;tre trait&eacute;s et, si l’enregistrement
du client a &eacute;t&eacute; sauvegard&eacute;, les modifications s’inscrivent dans un nouveau fichier de
sauvegarde ou un nouveau fichier de points de contr&ocirc;le.
Le moteur de protocole DHCP
Pour AIX Version 4.3.1 et ult&eacute;rieures, le moteur de protocole DHCP a &eacute;t&eacute; mis au niveau de
la norme RFC 2131, mais reste compatible avec RFC 1541. (Le serveur peut &eacute;galement
traiter des options d&eacute;finies dans RFC 2132.) Le moteur de protocole utilise la base de
donn&eacute;s pour d&eacute;terminer quelles informations doivent &ecirc;tre retourn&eacute;es au client.
La configuration des pools d’adresses fait intervenir certaines options qui affectent l’&eacute;tat de
la machine. Par exemple, le serveur DHCP interroge (ping) les adresses avant de les
attribuer. La dur&eacute;e d’attente de la r&eacute;ponse par le serveur peut d&eacute;sormais &ecirc;tre configur&eacute;e
pour chaque pool d’adresses.
Op&eacute;rations DHCP encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur DHCP est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; des op&eacute;rations. Comme le serveur DHCP est du type encha&icirc;n&eacute;,
ces op&eacute;rations sont en fait d&eacute;finies sous la forme de routines qui interviennent
occasionnellement pour s’assurer du bon d&eacute;roulement des op&eacute;rations.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
La routine suivante, dadmin, interface avec le programme client dadmin et le serveur
DHCP. L’outil dadmin peut &ecirc;tre utilis&eacute; pour obtenir des informations sur l’&eacute;tat de la base de
donn&eacute;es et la modifier, et &eacute;vite de modifier manuellement les diff&eacute;rents fichiers de la base
de donn&eacute;es. Les versions ant&eacute;rieures du serveur DHCP emp&ecirc;chaient l’attribution
d’adresses aux clients lorsqu’une requ&ecirc;te d’&eacute;tat &eacute;tait en cours. Gr&acirc;ce aux routines dadmin
et src, le serveur est d&eacute;sormais en mesure de g&eacute;rer les requ&ecirc;tes de services tout en
continuant &agrave; traiter les requ&ecirc;tes des clients.
Protocole TCP/IP
4-99
La routine suivante est garbage qui, &agrave; intervalles r&eacute;guliers, nettoie la base de donn&eacute;es,
la sauvegarde, purge les clients ne poss&eacute;dant pas d’adresse et supprime les adresses
r&eacute;serv&eacute;es qui le sont depuis trop longtemps. Les intervalles peuvent &ecirc;tre configur&eacute;s
(reportez–vous &agrave; la section Configuration de DHCP, page 4-100). Les autres routines
correspondent &agrave; des processeurs de paquet. Leur nombre peut &ecirc;tre configur&eacute; et il est de 10
par d&eacute;faut. Chaque routine peut traiter une requ&ecirc;te &eacute;mise par un client DHCP. Le nombre
de processeurs de paquets requis est fonction de la charge et de la machine. Si la machine
assure d’autres services que DHCP, il n’est peut &ecirc;tre pas tr&egrave;s sage de lancer 500 routines.
Pr&eacute;paration de DHCP
Pour exploiter ce protocole, l’administrateur r&eacute;seau doit configurer un serveur DHCP ainsi
que les agents relais BOOTP sur les liaisons d&eacute;pourvues de serveur DHCP. Une
planification anticip&eacute;e peut permettre de r&eacute;duire la charge de DHCP sur le r&eacute;seau. Par
exemple, si vous configurez un seul serveur pour g&eacute;rer tous les clients, tous les paquets
doivent transiter par ce serveur. Si vous ne disposez que d’un routeur entre deux grands
r&eacute;seaux, il est plus sage de pr&eacute;voir deux serveurs, un sur chaque liaison.
Un autre aspect &agrave; consid&eacute;rer est le fait que DHCP implique une trame de trafic. Par
exemple, si vous d&eacute;finissez un d&eacute;lai par d&eacute;faut inf&eacute;rieur &agrave; 2 jours et que vous arr&ecirc;tez les
machines pendant le week-end, le trafic DHCP conna&icirc;tra une pointe le lundi matin. Bien que
le trafic DHCP ne constitue pas une charge suppl&eacute;mentaire consid&eacute;rable, il doit n&eacute;anmoins
&ecirc;tre pris en compte au moment de d&eacute;cider du nombre et de l’emplacement des serveurs
DHCP sur le r&eacute;seau.
L’objectif de DHCP est de lib&eacute;rer le client de toute saisie une fois DHCP activ&eacute; pour int&eacute;grer
le client au r&eacute;seau. Le client DHCP, dhcpcd, lit un fichier de configuration, dhcpcd.ini, qui
contient des informations sur la journalisation ainsi que les param&egrave;tres requis pour
d&eacute;marrer. L’installation termin&eacute;e, il vous faut s&eacute;lectionner la m&eacute;thode de configuration de
TCP/IP : configuration minimale ou DHCP. Si vous optez pour DHCP, vous devez choisir
une interface et vous pouvez sp&eacute;cifier des param&egrave;tres facultatifs. Pour l’interface, vous
pouvez s&eacute;lectionner le mot–cl&eacute; any, qui indique &agrave; dhcpcd d’utiliser la premi&egrave;re interface
en &eacute;tat de fonctionnement qu’il rencontre. Cette m&eacute;thode minimise la quantit&eacute; d’entr&eacute;es
c&ocirc;t&eacute; client.
Configuration de DHCP
Par d&eacute;faut, la configuration du serveur DHCP est effectu&eacute;e par la lecture du fichier
/etc/dhcpsd.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est lanc&eacute; dans le fichier /etc/rc.tcpip, &agrave; partir de Web-based System Manager,
de SMIT, ou &agrave; l’aide de commandes SRC. Vous pouvez configurer un client DHCP via
Web-based System Manager, SMIT ou en &eacute;ditant un fichier ASCII plat.
La configuration de DHCP constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
DHCP dans votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients DHCP. Chaque sous–r&eacute;seau du r&eacute;seau principal repr&eacute;sente un pool
d’adresses que le serveur DHCP doit ajouter &agrave; sa base de donn&eacute;es. Par exemple :
database db_file
{
subnet 9.3.149.0 255.255.255.0
{ option 3 9.3.149.1 # Passerelle par d&eacute;faut que les clients de
ce r&eacute;seau doivent utiliser
option 6 9.3.149.2 # Serveur de noms que les clients de ce r&eacute;sea
u doivent utiliser
}
... options ou autres conteneurs ajout&eacute;s ult&eacute;rieurement
}
4-100
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
L’exemple ci–dessus repr&eacute;sente un sous–r&eacute;seau, 9.3.149.0, avec un masque de
sous–r&eacute;seau 255.255.255.0. Toutes les adresses de ce sous–r&eacute;seau, de 9.3.149.1 &agrave;
9.3.149.254, sont contenues dans le pool. Eventuellement, il est possible de sp&eacute;cifier un
intervalle &agrave; la fin de la ligne, ou d’inclure un intervalle ou une instruction d’exclusion dans le
conteneur de sous–r&eacute;seau. Pour plus d’informations sur les d&eacute;finitions et m&eacute;thodes de
configuration classiques, reportez–vous &agrave; Options connues du fichier de serveur DHCP,
page 4-109.
La clause de base de donn&eacute;es mentionnant db_file indique la m&eacute;thode &agrave; utiliser pour le
traitement de cette portion du fichier de configuration. Les commentaires sont introduits par
le symbole #. Le texte plac&eacute; entre le # initial et la fin de la ligne est ignor&eacute; par le serveur
DHCP. Chaque ligne option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit
faire. La section Options connues du fichier de serveur DHCP, page 4-109 d&eacute;crit les options
reconnues et prises en charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options
inconnues du serveur, reportez–vous &agrave; la section Syntaxe du fichier de serveur DHCP
pour le fonctionnement g&eacute;n&eacute;ral du serveur, page 4-116.
Si le serveur ne comprend pas comment analyser une option, il utilise des m&eacute;thodes
par d&eacute;faut pour transmettre l’option au client. Ceci permet au serveur DHCP d’envoyer
des options sp&eacute;cifiques &agrave; certains sites, qui ne sont pas d&eacute;finies dans les normes RFC,
mais sont utilisables par certains clients ou certaines configurations de client.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Les modificateurs sont des instructions isol&eacute;es qui modifient l’aspect d’un conteneur, par
exemple la valeur par d&eacute;faut de la dur&eacute;e du bail.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses
&agrave; extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute;
&agrave; ce conteneur.
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77
(User Site Class Identifier – identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60
(Vendor Class Identifier – identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients DHCP et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Protocole TCP/IP
4-101
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur de
correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs sont plac&eacute;s dans le
conteneur global. La plupart des conteneurs peuvent &ecirc;tre inclus dans d’autres conteneurs,
ce qui implique une certaine visibilit&eacute;. Les conteneurs peuvent ou non &ecirc;tre associ&eacute;s &agrave; des
plages d’adresses. Tel est le cas, par nature, des sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
• Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
• Les conteneurs client restreints ne peuvent englober de sous–conteneurs.
En tenant compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs
qui r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction de
leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par
exemple :
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
Cet exemple pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2. Il y a un
nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de client,
Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils r&eacute;sident
dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identique mais leurs valeurs,
diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis Sous–r&eacute;seau 1
avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va g&eacute;n&eacute;rer le chemin
de conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2), Client 1
(au niveau de Classe 1)
4-102
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1, puis de Client 1 au niveau de
Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous dans
la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re instruction
client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de Classe 1 au sein
de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1 (au niveau de
Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. Les options sp&eacute;cifiques au r&eacute;seau
dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est pas utilis&eacute;e &agrave; partir de
ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Modificateurs
Les modificateurs sont des &eacute;l&eacute;ments qui modifient l’aspect de certains conteneurs, par
exemple le type d’acc&egrave;s ou la dur&eacute;e du bail. Apr&egrave;s avoir d&eacute;fini les pools d’options et
d’adresses, r&eacute;fl&eacute;chissez aux modificateurs &agrave; ajouter aux conteneurs. Les plus courants sont
leasetimedefault, supportBootp et supportUnlistedclients.
leasetimedefault
D&eacute;finit la dur&eacute;e pendant laquelle une adresse est lou&eacute;e &agrave; un client.
supportBootp D&eacute;termine si le serveur doit r&eacute;pondre aux clients BOOTP.
Protocole TCP/IP
4-103
supportUnlistedclients
Indique si un client doit &ecirc;tre explicitement d&eacute;fini par une instruction de client
pour recevoir une adresse. La valeur de supportUnlistedClients peut &ecirc;tre
none (aucun), dhcp, bootp ou both (les deux). Vous pouvez ainsi
restreindre l’acc&egrave;s des clients bootp et autoriser tous les clients DHCP &agrave;
obtenir des adresses.
Pour conna&icirc;tre les autres modificateurs, reportez–vous &agrave; Syntaxe du fichier de serveur
DHCP pour la base de donn&eacute;es db_file, page 4-121.
Journalisation
Une fois les modificateurs s&eacute;lectionn&eacute;s, configurez la fonction de journalisation. Les
param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de donn&eacute;es,
mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est conseill&eacute;
d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de configurer
cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration puissent &ecirc;tre
consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute; logitem
active le niveau de journalisation ; si vous supprimez logitem, le niveau de journalisation
sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent d’indiquer le
nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Options sp&eacute;cifiques au serveur
Le dernier groupe de param&egrave;tres concerne les options sp&eacute;cifiques au serveur, et permet &agrave;
l’utilisateur de contr&ocirc;ler le nombre de processeurs de paquets, la fr&eacute;quence d’ex&eacute;cution des
routines de nettoyage, etc.
Voici deux exemples d’options sp&eacute;cifiques au serveur :
reservedTime Indique pendant combien de temps une adresse doit rester &agrave; l’&eacute;tat r&eacute;serv&eacute;
apr&egrave;s l’envoi d’une OFFRE au client DHCP
reservedTimeInterval
Indique &agrave; quelle fr&eacute;quence le serveur DHCP analyse les adresses
pour v&eacute;rifier si certaines ne sont pas &agrave; l’&eacute;tat r&eacute;serv&eacute; depuis une dur&eacute;e
sup&eacute;rieure &agrave; celle d&eacute;finie par reservedTime.
Ces options sont pratiques si vous avez plusieurs clients qui diffusent des messages
DISCOVER, mais qui n’envoient pas de message REQUEST ou que leur message
REQUEST se perd sur le r&eacute;seau. Ces param&egrave;tres permettent d’&eacute;viter la r&eacute;servation
ind&eacute;finie des adresses pour un client non conforme.
Une autre option particuli&egrave;rement importante, SaveInterval, permet de d&eacute;finir la fr&eacute;quence
de sauvegarde. Toutes les options sp&eacute;cifiques au serveur sont r&eacute;pertori&eacute;es dans Syntaxe
du fichier de serveur DHCP pour le fonctionnement g&eacute;n&eacute;ral du serveur, page 4-116 avec les
mots–cl&eacute;s de journalisation.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute; de configuration ainsi que la structure du
fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les performances
du serveur DHCP.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
4-104
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client DHCP. L’ajout
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi, la limitation du
volume de journalisation am&eacute;liore les performances du serveur DHCP. En cas de
pr&eacute;somption d’erreur sur le serveur DHCP, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide des commandes SRC traceson ou dadmin.
Troisi&egrave;mement, la s&eacute;lection d’une valeur numprocessors doit d&eacute;pendre de la taille du
r&eacute;seau DHCP, du param&egrave;tre de configuration pingTime db_file et du d&eacute;lai de propagation
type sur le r&eacute;seau. Etant donn&eacute; que chaque routine de processeur de paquet &eacute;met une
requ&ecirc;te d’&eacute;cho ICMP pour v&eacute;rifier l’&eacute;tat de l’adresse serveur avant de l’attribuer &agrave; un client,
le d&eacute;lai de r&eacute;ponse affecte directement la dur&eacute;e de traitement d’un message DISCOVER.
La routine de processeur de paquet se borne essentiellement &agrave; attendre une r&eacute;ponse ou le
pingTime. Par cons&eacute;quent, la r&eacute;duction de la valeur numprocessors am&eacute;liore le temps de
r&eacute;ponse du serveur, et r&eacute;duit par l&agrave;–m&ecirc;me le nombre de retransmissions par clients, sans
pour autant sacrifier les avantages que pr&eacute;sentent le ping inh&eacute;rent &agrave; la conception du
serveur.
Pour optimiser les performances, s&eacute;lectionnez une valeur pingTime bas&eacute;e sur le d&eacute;lai de
propagation des r&eacute;seaux distants pris en charge par le serveur DHCP. S&eacute;lectionnez
&eacute;galement numprocessors en fonction de la valeur pingTime et de la taille du r&eacute;seau.
La s&eacute;lection d’une valeur trop basse peut entra&icirc;ner l’arr&ecirc;t de toutes les routines de
traitement de paquet dans l’attente des r&eacute;ponses d’&eacute;cho tandis que les messages client
DHCP entrants sont mis en attente sur le port du serveur. Celui–ci traite alors les messages
client par lots au lieu de les traiter en continu.
Une valeur s&eacute;lectionn&eacute;e trop petite peut causer l’arr&ecirc;t du traitement de tous les paquets
dans l’attente de Echo Responses, ce qui provoquerait le.
Afin d’&eacute;viter ce cas de figure, la valeur de numprocessors doit &ecirc;tre sup&eacute;rieure au nombre
pr&eacute;vu de messages DISCOVER pouvant &ecirc;tre re&ccedil;us dans un intervalle pingTime au cours
d’une p&eacute;riode de forte activit&eacute; client sur le DHCP. Toutefois, ne d&eacute;finissez pas une valeur
trop &eacute;lev&eacute;e pour numprocessors car la gestion de routines risquerait d’encombrer le
noyau.
A titre d’exemple, les valeurs numprocessors 5 et pingTime 300 offrent de faibles
performances dans un environnement pouvoir recevoir 10 messages DISCOVER par
seconde. En effet, en cas de forte sollicitation, 5 messages seulement peuvent &ecirc;tre trait&eacute;s
toutes les 3 secondes. Cet environnement doit &ecirc;tre configur&eacute; avec des valeurs se
rapprochant de numprocessors 20 et de pingTime 80.
Personnalisation d’un fichier de configuration
De nombreux administrateurs r&eacute;seau ont &agrave; g&eacute;rer des r&eacute;seaux comprenant plusieurs types
de clients : ainsi, on peut trouver dans le m&ecirc;me r&eacute;seau des ordinateurs ex&eacute;cutant diff&eacute;rents
syst&egrave;mes d’exploitation, tels que Windows, OS/2, Java OS et UNIX. Chaque type de
machine requiert des identificateurs de fournisseurs uniques (c’est ce champ qui permet
d’indiquer le type de machine au serveur DHCP). Les clients Java et les machines Thin
Client peuvent exiger des param&egrave;tres qui leur sont propres, par exemple bootfiles, et il est
possible que vous deviez adapter les options de configuration en cons&eacute;quence. En
revanche, les ordinateurs Windows 95 ne vont pas g&eacute;rer correctement les options
sp&eacute;cifiques &agrave; Java. Il est donc possible d’encapsuler les options sp&eacute;cifiques &agrave; chaque
machine au sein de son conteneur fournisseur.
Pour reprendre notre exemple, imaginez une t&acirc;che principale d&eacute;di&eacute;e &agrave; certaines machines
en fonction de leurs utilisateurs. Par exemple, le personnel de d&eacute;veloppement peut travailler
sur des clients de ce syst&egrave;me d’exploitation pour effectuer des travaux de programmation,
le personnel du service marketing peut utiliser des clients OS/2, les membres du service
des ventes peuvent pr&eacute;f&eacute;rer les clients Java et les machines Thin Client, tandis que la
comptabilit&eacute; a adopt&eacute; des machines Windows 95. Chacune de ces familles d’utilisateurs
peut avoir besoin d’options de configuration diff&eacute;rentes (imprimantes, serveurs de noms ou
serveurs Web par d&eacute;faut, etc.). Dans un tel cas, il est possible d’inclure ces options dans le
Protocole TCP/IP
4-105
conteneur fournisseur, puisque chaque groupe utilise un type de machine diff&eacute;rent. Si le
m&ecirc;me type de machine &eacute;tait utilis&eacute; par plusieurs groupes, il serait possible de placer les
options au sein d’un identificateur de classe subordonn&eacute;, ce qui permettrait, par exemple,
aux directeurs du marketing d’utiliser un groupe d’imprimantes non accessible au reste du
personnel.
Remarque : L’exemple suivant repr&eacute;sente une portion d’un fichier de configuration. Les
commentaires sont pr&eacute;c&eacute;d&eacute;s d’un symbole # et indiquent l’effet de chaque ligne sur
l’installation.
vendor ”AIX_CLIENT”
{
# Pas d’option sp&eacute;cifique, les diff&eacute;rents &eacute;l&eacute;ments sont trait&eacute;s
en fonction de leur classe
}
vendor ”OS/2 Client”
{
# Pas d’option sp&eacute;cifique, les diff&eacute;rents &eacute;l&eacute;ments sont trait&eacute;s
en fonction de leur classe
}
vendor ”Windows 95”
{ option 44 9.3.150.3
# Serveur de noms NetBIOS par
d&eacute;faut
}
vendor ”Java OS”
{ bootstrapserver 9.3.150.4
# Serveur TFTP par d&eacute;faut pour
les bo&icirc;tes Java
option 67 ”javaos.bin”
# Fichier de d&eacute;marrage de la bo&icirc;te
Java OS
}
vendor ”IBM Thin Client”
{ bootstrapserver 9.3.150.5
# Serveur TFTP par d&eacute;faut pour
les bo&icirc;tes Thin Client
option 67 ”thinos.bin”
# Fichier de d&eacute;marrage par d&eacute;faut
pour les bo&icirc;tes Thin Client
}
subnet 9.3.149.0 255.255.255.0
{ option 3 9.3.149.1
# Passerelle par d&eacute;faut pour le
sous–r&eacute;seau
option 6 9.3.150.2
# Serveur de noms pour le
sous–r&eacute;seau
class accounting 9.3.149.5–9.3.149.20
{
# La classe de facturation est limit&eacute;e &agrave; la plage
d’adresses 9.3.149.5–9.3.149.20
# L’imprimante destin&eacute;e &agrave; ce groupe fait &eacute;galement
partie de cette plage, elle est donc exclue.
exclude 9.3.149.15
option 9 9.3.149.15
# Serveur LPR (serveur
d’impression)
vendor ”Windows 95”
{
option 9 deny
# Cette installation de Windows
95 ne prend pas en charge
# cette imprimante, l’option est
donc refus&eacute;e.
}
}
. . .
}
4-106
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
DHCP et DDNS (Dynamic Domain Name System –
Syst&egrave;me de noms de domaine dynamique)
Le serveur DHCP fournit des options permettant le fonctionnement en environnement
DDNS. Pour utiliser DHCP dans l’environnement DDNS, vous devez d&eacute;finir et utiliser une
zone dynamique sur un serveur DNS.
Une fois le serveur DDNS configur&eacute;, vous devez d&eacute;cider si le serveur DHCP doit effectuer
des mises &agrave; jour d’enregistrement A, des mises &agrave; jour d’enregistrement PTR, des mises &agrave;
jour pour les deux types d’enregistrement ou aucune mise &agrave; jour. Cette d&eacute;cision d&eacute;pendra
de la part de travail que peut prendre en charge la machine client.
• Si le client peut assumer une partie de la mise &agrave; jour, vous pouvez confier les mises &agrave;
jour d’enregistrement PTR au serveur et les mises &agrave; jour d’enregistrement A au client.
• Si le client peut tout assumer, configurez le serveur de sorte qu’il n’effectue aucune mise
&agrave; jour.
• Si le client ne peut se charger de rien, configurez le serveur de sorte qu’il effectue les
deux types de mise &agrave; jour.
Le serveur DHCP dispose d’un jeu de mots–cl&eacute;s de configuration qui vous permettent de
d&eacute;clencher l’ex&eacute;cution d’une commande lorsqu’une mise &agrave; jour est requise. Ce sont les
suivants :
updatedns
(d&eacute;conseill&eacute;) Repr&eacute;sente la commande &agrave; ex&eacute;cuter pour effectuer n’importe
quel type de mise &agrave; jour. Elle sera appel&eacute;e pour les enregistrements A et
les enregistrements PTR.
updatednsA
Sp&eacute;cifie la commande de mise &agrave; jour de l’enregistrement A.
updatednsP
Sp&eacute;cifie la commande de mise &agrave; jour de l’enregistrement PTR.
Ces mots–cl&eacute;s d&eacute;finissent des cha&icirc;nes ex&eacute;cutables que le serveur DHCP ex&eacute;cute
lorsqu’une mise &agrave; jour est n&eacute;cessaire. Les cha&icirc;nes de mot–cl&eacute; doivent contenir quatre %s
(symbole de pourcentage, lettre s). Le premier %s correspond au nom d’h&ocirc;te ; le second,
au nom de domaine ; le troisi&egrave;me, &agrave; l’adresse IP et le quatri&egrave;me, &agrave; la dur&eacute;e du bail. Ils sont
utilis&eacute;s comme quatre premiers param&egrave;tres de la commande dhcpaction. Les deux autres
param&egrave;tres de la commande dhcpaction indiquent l’enregistrement &agrave; mettre &agrave; jour
(A, PTR, NONE ou BOTH) et si NIM doit &ecirc;tre actualis&eacute; (NIM ou NONIM). Pour plus
d’informations sur les interactions NIM et DHCP, reportez–vous &agrave; DHCP et gestion NIM
(Network Installation Management), page 4-142. Par exemple :
updatednsA ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ ’%s’ A NONIM”
# Ceci applique la commande dhcpaction uniquement &agrave;
l’enregistrement A
updatednsP ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ ’%s’ PTR NONIM”
# Ceci applique la commande uniquement &agrave;
l’enregistrement PTR
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ ’%s’ BOTH NIM”
# Ceci applique la commande aux deux enregistrements
et actualise NIM
Le serveur DHCP dispose &eacute;galement d’un jeu de mots–cl&eacute;s pour supprimer les entr&eacute;es
DNS lorsqu’un bail est lib&eacute;r&eacute; ou arrive &agrave; expiration. Ce sont les suivants :
releasednsA
Supprime l’enregistrement A.
releasednsP
Supprime l’enregistrement PTR.
removedns
Supprime les deux types d’enregistrement.
Ces mots–cl&eacute;s d&eacute;finissent des cha&icirc;nes ex&eacute;cutables que le serveur DHCP ex&eacute;cute
lorsqu’une adresse est lib&eacute;r&eacute;e ou p&eacute;rim&eacute;e. La commande dhcpremove fonctionne de la
m&ecirc;me mani&egrave;re que dhcpaction, mais n’accepte que trois param&egrave;tres :
1. L’adresse IP, sp&eacute;cifi&eacute;e sous la forme d’un %s dans la cha&icirc;ne de commande.
2. L’enregistrement &agrave; supprimer (A, PTR, NONE ou BOTH).
Protocole TCP/IP
4-107
3. L’actualisation &eacute;ventuelle de NIM (NIM ou NONIM).
releasednsA ”/usr/sbin/dhcpremove ’%s’ A NONIM”
# Ceci applique la commande dhcpremove uniquement &agrave;
l’enregistrement A
releasednsP ”/usr/sbin/dhcpremove ’%s’ PTR NONIM”
# Ceci applique la commande uniquement &agrave;
l’enregistrement PTR
removedns ”/usr/sbin/dhcpremove ’%s’ BOTH NIM”
# Ceci applique la commande aux deux enregistrements
et actualise NIM
Les scripts dhcpaction et dhcpremove effectuent quelques v&eacute;rifications sur les
param&egrave;tres, puis d&eacute;finissent un appel vers nsupdate, qui a &eacute;t&eacute; adapt&eacute; pour fonctionner
avec les serveurs de ce syst&egrave;me d’exploitation et les serveurs DDNS OS/2. Pour plus
d’informations, reportez–vous &agrave; la description de la commande nsupdate.
Si l’interaction NIM n’est PAS requise par la mise &agrave; jour des noms, le serveur DHCP peut
&ecirc;tre configur&eacute; afin d’utiliser un transfert de sockets entre le d&eacute;mon DHCP et la commande
nsupdate afin d’am&eacute;liorer les performances et de permettre la reprise des mises &agrave; jour
DNS &agrave; la suite d’une d&eacute;faillance. Pour configurer cette option, le premier mot cit&eacute; dans le
mot–cl&eacute; updateDNSA, updateDNSP, releaseDNSA ou releaseDNSP doit &ecirc;tre
”nsupdate_daemon”. Les param&egrave;tres et les indicateurs de mise &agrave; jour sont identiques &agrave;
ceux qui sont accept&eacute;s par la commande nsupdate. De plus, les noms de variables
suivants peuvent &ecirc;tre utilis&eacute;s en remplacement :
$hostname
Remplac&eacute; par le nom d’h&ocirc;te du client lors de la mise &agrave; jour
DNS ou par le nom d’h&ocirc;te pr&eacute;alablement associ&eacute; au client
pour le retrait DNS.
$domain
Remplac&eacute; par le domaine DNS relatif &agrave; la mise &agrave; jour ou
par le domaine pr&eacute;alablement utilis&eacute; pour le nom d’h&ocirc;te du
client dans le cas de retrait DNS.
$ipadress
Remplac&eacute; par l’adresse IP associ&eacute;e ou dissoci&eacute;e du nom
du client DHCP.
$leasetime
Remplac&eacute; par la dur&eacute;e du bail (en secondes).
$clientid
Remplac&eacute; par la repr&eacute;sentation en cha&icirc;ne de l’identificateur
du client DHCP ou par l’association du type de mat&eacute;riel et
de l’adresse mat&eacute;rielle pour les clients BOOTP.
Par exemple :
updateDNSA ”nsupdate_daemon –p 9.3.149.2 –h $hostname –d $domain
updateDNSP ”nsupdate_daemon –p 9.3.149.2 –r $ipaddress
releaseDNSA ”nsupdate_daemon –p 9.3.149.2 –h $hostname –d $domain –
s”d;a;*;s;1;3110400””
releaseDNSP ”nsupdate_daemon –p 9.3.149.2 –r $ipaddress –s”d;ptr;*;
s;1;3110400””
Pour plus d’informations, reportez–vous &agrave; la description de la commande nsupdate.
Des dispositifs d&eacute;finis par l’administrateur ont &eacute;galement &eacute;t&eacute; ajout&eacute;s pour les &eacute;changes
de noms d’h&ocirc;te entre le serveur et les clients. Par d&eacute;faut, le nom d’h&ocirc;te retourn&eacute; au client
et utilis&eacute; pour une mise &agrave; jour DDNS correspond &agrave; l’option 12 (d&eacute;finie dans le fichier de
configuration du serveur ). Toutefois, ce nom d’h&ocirc;te par d&eacute;faut peut &eacute;galement &ecirc;tre un nom
d’h&ocirc;te sugg&eacute;r&eacute; par le client, par le biais de l’option 81 (option DHCPDDNS) ou de l’option
12 (option HOSTNAME). L’administrateur a la possibilit&eacute; de remplacer ce nom d’h&ocirc;te
par d&eacute;faut en utilisant les mots–cl&eacute;s de configuration hostnamepolicy, proxyarec et
4-108
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
appenddomain. Ces options et leurs param&egrave;tres sont d&eacute;finis dans Syntaxe du fichier
de serveur DHCP pour la base de donn&eacute;es db_file, page 4-121.
Compatibilit&eacute; DHCP avec les versions ant&eacute;rieures
Le serveur DHCP pour AIX Version 4.3.1 et ult&eacute;rieures reconna&icirc;t les fichiers de
configuration et de base de donn&eacute;es des versions ant&eacute;rieures, dhcps.ar et dhcps.cr.
Il analyse les anciens fichiers de configuration et g&eacute;n&egrave;re de nouveaux fichiers de base
de donn&eacute;es aux anciens emplacements. Les anciennes bases de donn&eacute;es sont
automatiquement converties au nouveau format. Le fichier de configuration lui–m&ecirc;me n’est
pas converti.
Le module de base de donn&eacute;es du serveur DHCP, db_file, est capable de lire l’ancien
format. Le serveur DHCP est en mesure de d&eacute;tecter si un conteneur de base de donn&eacute;es
est absent du fichier de configuration et consid&egrave;re dans ce cas que le fichier contient tous
les param&egrave;tres de serveur, les param&egrave;tres de journalisation et les param&egrave;tres de base de
donn&eacute;es db_file.
Remarques :
1. Une partie de la syntaxe de l’ancien fichier de configuration est d&eacute;conseill&eacute;e mais
toujours prise en charge. Les autres &eacute;l&eacute;ments obsol&egrave;tes sont les suivants :
2. Le conteneur r&eacute;seau est totalement obsol&egrave;te. Pour obtenir une sp&eacute;cification correcte,
convertissez la clause r&eacute;seau en une plage au sein d’un conteneur de sous–r&eacute;seau
correct mentionnant une adresse de sous–r&eacute;seau, un masque de sous–r&eacute;seau et la
plage d’adresses. Si le conteneur r&eacute;seau renferme des conteneurs de sous–r&eacute;seau,
supprimez le mot–cl&eacute; du conteneur r&eacute;seau et ses accolades, puis placez le masque de
sous–r&eacute;seau &agrave; l’endroit appropri&eacute; sur la ligne. Pour d&eacute;marrer &agrave; l’aide du conteneur base
de donn&eacute;es, regroupez tous les &eacute;l&eacute;ments ayant trait au r&eacute;seau et aux acc&egrave;s client dans
un seul conteneur de base de donn&eacute;es de type db_file.
3. Les mots–cl&eacute;s updatedns et removedns sont obsol&egrave;tes et seront remplac&eacute;s de
pr&eacute;f&eacute;rence par la sp&eacute;cification des actions &agrave; appliquer individuellement aux
enregistrements A et PTR.
4. Les mots–cl&eacute;s clientrecorddb et addressrecorddb ont &eacute;t&eacute; supplant&eacute;s respectivement
par clientrecorddb et backupfile.
5. Les mots–cl&eacute;s option sa et option ga ont &eacute;t&eacute; remplac&eacute;s respectivement par
bootstrapserver et giaddrfield. Pour plus d’informations, reportez–vous &agrave; la section
Syntaxe du fichier de serveur DHCP pour le fonctionnement g&eacute;n&eacute;ral du serveur,
page 4-116 et &agrave; Syntaxe du fichier de serveur DHCP pour la base de donn&eacute;es db_file,
page 4-121.
Options connues du fichier de serveur DHCP
Remarque :
Les options du tableau suivant qui sont marqu&eacute;es non autoris&eacute;es peuvent
&ecirc;tre sp&eacute;cifi&eacute;es (Non dans la colonne Autoris&eacute;e ?) dans le fichier de
configuration mais seront remplac&eacute;es par la valeur r&eacute;elle. Pour une
d&eacute;finition plus compl&egrave;te de chaque option, reportez–vous &agrave; la norme
RFC 2132.
Num&eacute;ro Type de donn&eacute;es par
de
d&eacute;faut
l’option
Autoris&eacute;e
?
Description/Emploi
0
Non
Compl&egrave;te le champ d’option, si
n&eacute;cessaire. Le serveur ajoute des
caract&egrave;res de remplissage le cas
&eacute;ch&eacute;ant.
Aucune
Protocole TCP/IP
4-109
4-110
1
Dotted quad (quatre
num&eacute;ros s&eacute;par&eacute;s par
points )
Non
Masque du sous–r&eacute;seau d’o&ugrave; est tir&eacute;
l’adresse.
2
Entier 32 bits
Oui
Indique le d&eacute;calage du sous–r&eacute;seau
du client, en secondes du syst&egrave;me
UTC (Coordinated Universal Time).
3
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP de la passerelle
par d&eacute;faut.
4
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
horaires.
5
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
noms.
6
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des DNS.
7
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
journaux.
8
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
”cookies”.
9
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
LPR.
10
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
Impress.
11
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
localisation des ressources.
12
Cha&icirc;ne ASCII
Oui
Nom d’h&ocirc;te du client &agrave; utiliser.
13
Entier 16 bits non sign&eacute;
Oui
Taille du fichier de d&eacute;marrage.
14
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s du fichier Merit Dump.
15
Cha&icirc;ne ASCII
Oui
Nom de domaine DNS par d&eacute;faut.
16
Adresse IP
Oui
Adresse du serveur Swap.
17
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s racine par d&eacute;faut.
18
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s aux extensions pour
le client.
19
Yes, No, True, False, 1, 0
Oui
Indique si le r&eacute;acheminement IP doit
&ecirc;tre activ&eacute; ou non.
20
Yes, No, True, False, 1, 0
Oui
Indique si le routage source non local
doit &ecirc;tre utilis&eacute;.
21
Une ou plusieurs paires de Oui
”dotted quad”, sous la
forme
DottedQuad:DottedQuad
Dispositifs de filtre pour les adresses
IP.
22
Entier 16 bits non sign&eacute;
Oui
Taille maximale autoris&eacute;e pour les
fragments de datagrammes.
23
Entier 8 bits non sign&eacute;
Oui
TTL (time–to–live) IP.
24
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes &agrave; utiliser dans le
d&eacute;lai de vieillissement du MTU
d’acc&egrave;s.
25
Liste d’un ou plusieurs
entiers 16 bits non sign&eacute;s
Oui
Table des valeurs MTU d’acc&egrave;s.
Sp&eacute;cifie un ensemble de valeurs
repr&eacute;sentant les tailles MTU &agrave; utiliser
lors de la recherche de MTU d’acc&egrave;s.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
26
Entier 16 bits non sign&eacute;
Oui
Taille MTU pour l’interface r&eacute;ceptrice.
27
Yes, No, True, False, 1, 0
Oui
Indique si tous les sous–r&eacute;seaux sont
locaux.
28
Une adresse IP (”dotted
quad”)
Oui
Diffuse une adresse pour l’interface.
29
Yes, No, True, False, 1, 0
Oui
Indique si la recherche de masque de
r&eacute;seau ICMP doit &ecirc;tre utilis&eacute;e.
30
Yes, No, True, False, 1, 0
Oui
Indique si le client doit devenir un
fournisseur de masque de r&eacute;seau
ICMP.
31
Yes, No, True, False, 1, 0
Oui
Indique si les messages de recherche
de routeur ICMP doivent &ecirc;tre utilis&eacute;s.
32
Une adresse IP (”dotted
quad”)
Oui
Adresse &agrave; utiliser pour la sollicitation
du routeur.
33
Une ou plusieurs paires
d’adresses IP, sous la
forme
DottedQuad:DottedQuad
Oui
Chaque paire d’adresses repr&eacute;sente
une route statique.
34
Yes/No, True/False, 1/0
Oui
Indique si l’encapsulation de fin doit
&ecirc;tre utilis&eacute;e.
35
Entier 32 bits non sign&eacute;
Oui
Valeur du d&eacute;lai de cache ARP.
36
Yes/No, True/False, 1/0
Oui
Indique si l’encapsulation
Ethernet doit &ecirc;tre utilis&eacute;e.
37
Entier 8 bits non sign&eacute;
Oui
TTL (time–to–live) TCP.
38
Entier 32 bits non sign&eacute;
Oui
Intervalle de garde en vie
(keep alive) TCP.
39
Yes/No, True/False, 1/0
Oui
Indique si la garde en vie
(keep alive) TCP doit &ecirc;tre utilis&eacute;e.
40
Cha&icirc;ne ASCII
Oui
Domaine NIS par d&eacute;faut.
41
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NIS.
42
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NTP.
43
Cha&icirc;nes hexad&eacute;cimales
de chiffres, sous la forme
hex ”digits”, hex ”digits” ou
0xdigits
Oui, mais Conteneur en option encapsul&eacute;
sp&eacute;cifi&eacute;e pour le conteneur fournisseur.
en fait
uniqueme
nt pour le
conteneur
fournisse
ur
44
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs de noms
NetBIOS.
45
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs de
distribution de datagramme NetBIOS.
46
Entier 8 bits non sign&eacute;
Oui
Type de nœud NetBIOS.
47
Oui
Cha&icirc;nes hexad&eacute;cimales
de chiffres, sous la forme
hex ”digits”, hex ”digits” ou
0xdigits
Port&eacute;e NetBIOS.
Protocole TCP/IP
4-111
4-112
48
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs
de polices X Windows.
49
Un ou plusieurs ”dotted
quad”
Oui
Gestionnaire d’affichage X Windows.
50
Aucune
Non
Adresse IP demand&eacute;e, utilis&eacute;e
par le client pour indiquer l’adresse
souhait&eacute;e.
51
Entier 32 bits non sign&eacute;
Oui
Dur&eacute;e du bail pour l’adresse
retourn&eacute;e. Par d&eacute;faut, le serveur
DHCP utilise le mot–cl&eacute;
leasetimedefault, mais la
sp&eacute;cification directe de l’option 51
prend le pas sur la valeur.
52
Aucune
Non
Options &eacute;ventuelles. Le client utilise
ce param&egrave;tre pour indiquer que les
champs sname et file du paquet
BOOTP peuvent avoir des options.
53
Aucune
Non
Le serveur ou le client DHCP utilise
cette option pour indiquer le type de
message DHCP.
54
Aucune
Non
Le serveur ou le client DHCP utilise
cette option pour indiquer l’adresse
du serveur ou le serveur auquel le
message est envoy&eacute;.
55
Aucune
Non
Le client DHCP utilise ce param&egrave;tre
pour indiquer les options souhait&eacute;es.
56
Cha&icirc;ne ASCII
Oui
Cha&icirc;ne que le serveur DHCP envoie
au client. En g&eacute;n&eacute;ral, elle peut &ecirc;tre
utilis&eacute;e par le client et le serveur
DHCP pour signaler des probl&egrave;mes.
57
Non
Non
Le client DHCP utilise cette option
pour indiquer au serveur DHCP la
taille de paquet DHCP maximale
que le client peut recevoir.
58
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes pendant
lesquelles le client doit attendre
avant d’envoyer un paquet
de renouvellement.
59
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes pendant
lesquelles le client doit attendre
avant d’envoyer un paquet
de nouvelle liaison.
60
Aucune
Non
Le client DHCP utilise cette option
pour indiquer son type de fournisseur.
Le client DHCP utilise ce champ pour
la correspondance avec les
conteneurs fournisseur.
61
Aucune
Non
Le client DHCP utilise ce param&egrave;tre
pour s’identifier de mani&egrave;re unique.
Le serveur DHCP utilise ce champ
pour la correspondance avec les
conteneurs client.
64
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le domaine NIS+.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
65
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NIS+.
66
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le nom du serveur TFTP.
Ce nom d’h&ocirc;te est utilis&eacute; &agrave; la place
du champ siaddr si le client comprend
cette option.
67
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le nom du fichier de
d&eacute;marrage. Ce param&egrave;tre peut &ecirc;tre
utilis&eacute; &agrave; la place du mot–cl&eacute; bootfile,
qui ins&egrave;re le nom du fichier dans le
champ nom de fichier du paquet.
68
Un ou plusieurs ”dotted
quad” ou NONE
Oui
Adresses des agents personnels.
69
Un ou plusieurs ”dotted
quad”
Oui
Serveurs SMTP par d&eacute;faut &agrave; utiliser.
70
Un ou plusieurs ”dotted
quad”
Oui
Serveurs POP3 par d&eacute;faut &agrave; utiliser.
71
Un ou plusieurs ”dotted
quad”
Oui
Serveurs NNTP par d&eacute;faut &agrave; utiliser.
72
Un ou plusieurs ”dotted
quad”
Oui
Serveurs WWW par d&eacute;faut &agrave; utiliser.
73
Un ou plusieurs ”dotted
quad”
Oui
Serveurs Finger par d&eacute;faut &agrave; utiliser.
74
Un ou plusieurs ”dotted
quad”
Oui
Serveurs IRC par d&eacute;faut &agrave; utiliser.
75
Un ou plusieurs ”dotted
quad”
Oui
Serveurs Street Talk par d&eacute;faut &agrave;
utiliser.
76
Un ou plusieurs ”dotted
quad”
Oui
Serveurs de renseignements Street
Talk par d&eacute;faut &agrave; utiliser.
77
Cha&icirc;ne ASCII
Oui
Identificateur de la classe du site
utilisateur. Le serveur DHCP utilise
ce champ pour la correspondance
avec les conteneurs classe.
78
Octet obligatoire, un ou
Oui
plusieurs &laquo; dotted quads &raquo;
L’option SLP directory Agent indique
la liste des adresses IP des agents
de r&eacute;pertoire
79
Octet obligatoire et cha&icirc;ne
ASCII
Oui
La cha&icirc;ne ASCII est une liste de
port&eacute;es, c’est–&agrave;–dire une liste
d&eacute;limit&eacute;e par des virgules qui indique
les port&eacute;es qu’un agent SLP est
configur&eacute; pour utiliser.
81
Cha&icirc;ne ASCII plus
d’autres &eacute;l&eacute;ments
Non
Le client DHCP utilise cette option
pour d&eacute;finir la politique que doit suivre
le serveur DHCP vis &agrave; vis de DDNS.
85
Un ou plusieurs ”dotted
quad”
Oui
L’option de serveur NDS indique un
ou plusieurs serveurs que le client doit
contacter pour acc&eacute;der &agrave; la base de
donn&eacute;es DNS. Les serveurs doivent
&ecirc;tre r&eacute;pertori&eacute;s dans l’ordre de
pr&eacute;f&eacute;rence.
Protocole TCP/IP
4-113
86
Cha&icirc;ne ASCII
Oui
L’option d’arborescence NDS indique
le nom de l’arborescence NDS que le
client va contacter.
87
Cha&icirc;ne ASCII
Oui
L’option de contexte NDS indique le
contexte NDS initial que le client doit
utiliser.
93
Aucune
Non
Le client DHCP utilise cette option
pour d&eacute;finir l’architecture du syst&egrave;me
client.
94
Aucune
Non
Le client DHCP utilise cette option
pour d&eacute;finir l’identifiant de l’interface
du r&eacute;seau client.
117
Liste d’un ou plusieurs
entiers 16 bits non sign&eacute;s
Oui
L’option Name Service Search Option
indique l’ordre de pr&eacute;f&eacute;rence du code
d’option des entiers pour les services
de noms. Par exemple :
Services de nom
valeur
Option de serveur de noms
de domaine 6
Option NIS
41
Option NIS+
65
118
Un ”dotted quad”
Non
Subnet Selection Option est une
option envoy&eacute;e par le client
demandant au serveur dhcp d’allouer
l’adresse IP &agrave; partir du sous–r&eacute;seau
indiqu&eacute;.
255
Aucune
Non
Le serveur et le client DHCP utilisent
cette option pour signaler la fin d’une
liste d’options.
Sous–option de conteneur fournisseur de l’environnement PXE
(Preboot Execution Environment)
Dans le cadre de la prise en charge d’un environnement PXE client, le serveur DHCP
transmet l’option suivante au serveur BINLD, qui l’utilise pour sa configuration :
4-114
Opt Num
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e ?
Description
7
Un ”dotted quad”
Oui
Adresse IP de multi–diffusion.
Adresse IP de multi–diffusion de
d&eacute;couverte du serveur de
d&eacute;marrage.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
L’exemple ci–dessous montre comment cette option peut &ecirc;tre utilis&eacute;e :
pxeservertype
proxy_on_dhcp_server
Vendor pxeserver
{
option
7
9.3.4.68
}
Dans cet exemple, le serveur DHCP informe le client que le serveur proxy est ex&eacute;cut&eacute; sur
la m&ecirc;me machine mais est &agrave; l’&eacute;coute des requ&ecirc;tes sur le port 4011. Le conteneur
fournisseur est requis ici car le serveur BINLD diffuse un message INFORM/REQUEST
sur le port 67, l’option 60 &eacute;tant d&eacute;finie sur ”PXEServer”. En retour, le serveur DHCP envoie
l’adresse IP de multi–diffusion sur laquelle le serveur BINLD doit &eacute;couter les requ&ecirc;tes du
client PXE.
Exemple de fichier de configuration prenant en charge les clients PXE
Dans l’exemple ci–dessous, le serveur dhcpsd donne le nom du fichier de d&eacute;marrage
au PXEClient ou dirige celui–ci sur le serveur BINLD en envoyant des sous–options.
Le mot–cl&eacute; pxeboofile est utilis&eacute; pour cr&eacute;er une liste de fichiers de d&eacute;marrage pour
l’architecture d’un client donn&eacute; et des versions majeures et mineures du syst&egrave;me client.
pxeservertype
dhcp_pxe_binld
subnet default
{
vendor pxe
{
option 6 2
# D&eacute;sactiver la multidiffusion
option 8 5 4 10.10.10.1 12.1.1.15 12.5.5.5 12.6.6.6\
2 2 10.1.1.10 9.3.4.5 1 1 10.5.5.9\
1 1 9.3.149.15\
4 0
option 9 5 ”WorkSpace On Demand” 2 ”Intel”\
1 ”Microsoft WindowsNT” 4 ”NEC ESMPRO”
option 10 2 ”Press F8 to View Menu”
}
vendor pxeserver
{
option 7 239.0.0.239
}
}
subnet 9.3.149.0 255.255.255.0
{
option 3
9.3.149.1
option 6
9.3.149.15
vendor pxe
{
option
6
4
# bootfile est pr&eacute;sent dans le paquet propos
&eacute;
pxebootfile
pxebootfile
}
1
2
2
2
1
1
os2.one
aix.one
}
Chaque ligne d’option du conteneur pxe est utilis&eacute;e par le serveur pour indiquer au client ce
qu’il doit faire. La section Sous–options du conteneur fournisseur PXE, page 4-175 d&eacute;crit
les sous–options du conteneur fournisseur PXE reconnues et prises en charge &agrave; l’heure
actuelle.
Protocole TCP/IP
4-115
Syntaxe du fichier de serveur DHCP pour le fonctionnement
g&eacute;n&eacute;ral du serveur
Remarque :
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont
les secondes (1), les minutes (60), les heures (3600), les jours (86400),
les semaines (604800), les mois (2392000) et les ann&eacute;es (31536000).
Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Mot–cl&eacute;
Forme
Sous– Valeur
conte– par
neurs d&eacute;faut
Signification
database
database db type
Oui
Aucune
Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s
client. db type est le nom du
module charg&eacute; pour traiter cette
portion du fichier. La seule valeur
actuellement disponible est
db_file.
logging_info
logging_info
Oui
Aucune
Conteneur de journalisation
principal d&eacute;finissant les
param&egrave;tres de journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour tous
par
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
logitem SYSERR
logitem OBJERR
logitem PROTOCOL
logitem PROTERR
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
4-116
numLogFiles
numLogFiles n
Non
0
Indique le nombre de fichiers
journaux &agrave; cr&eacute;er. Les journaux
alternent lorsque le premier journal
est rempli. n est le nombre de
journaux &agrave; cr&eacute;er.
logFileSize
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de
1024 octets.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous– Valeur
conte– par
neurs d&eacute;faut
Signification
logFileName
logFileName path
Non
Aucune
Indique le chemin d’acc&egrave;s au
premier fichier journal. Le nom
d’origine du fichier journal est
nomfichier ou
nomfichier.extension. Lorsque
la permutation des fichiers est
effectu&eacute;e, le premier fichier est
renomm&eacute; en conservant la base
du nom, nomfichier, et en lui
ajoutant un num&eacute;ro, ou en
rempla&ccedil;ant l’extension par un
num&eacute;ro. Par exemple, si le nom
original du fichier est file, le nom
du fichier apr&egrave;s permutation
devient file01. Si le nom du
fichier d’origine est file.log, il
devient file.01.
CharFlag
charflag yes
Non
true
Non applicable au serveur DHCP
d ce syst&egrave;me
de
t&egrave;
d’
d’exploitation,
l it ti
mais
i
utilis&eacute; par le serveur DHCP OS/2
pour g&eacute;n&eacute;rer des fen&ecirc;tres de
d&eacute;bogage.
charflag true
charflag false
charflag no
StatisticSnapS
hot
StatisticSnapShot n
Non
–1, jamais Indique, en secondes, &agrave; quelle
fr&eacute;quence les statistiques sont
&eacute;crites dans le fichier journal.
UsedIpAddres
s
ExpireInterval
UsedIpAddressExpire
Interval n time_units
Non
–1, jamais Indique &agrave; quelle fr&eacute;quence les
adresses pr&eacute;sentant l’&eacute;tat BAD
sont recoup&eacute;es et test&eacute;es afin de
v&eacute;rifier leur validit&eacute;.
leaseExpireInt
erval
leaseExpireInterval n
time_units
Non
900
secondes
reservedTime
reservedTime n
time_units
Non
–1, jamais Indique pendant combien de
temps les adresses peuvent rester
&agrave; l’&eacute;tat RESERVED avant de
reprendre l’&eacute;tat FREE.
reservedTime
Interval
reservedTimeInterval
n time_units
Non
900
secondes
Indique &agrave; quelle fr&eacute;quence les
adresses &agrave; l’&eacute;tat BOUND sont
v&eacute;rifi&eacute;es pour voir si elles sont
arriv&eacute;es &agrave; expiration. Si l’adresse
est arriv&eacute;e &agrave; expiration, l’&eacute;tat
devient EXPIRED.
Indique &agrave; quelle fr&eacute;quence les
adresses &agrave; l’&eacute;tat RESERVE sont
v&eacute;rifi&eacute;es pour voir si elles peuvent
reprendre l’&eacute;tat FREE.
Protocole TCP/IP
4-117
4-118
Mot–cl&eacute;
Forme
Sous– Valeur
conte– par
neurs d&eacute;faut
Signification
saveInterval
saveInterval n
time_units
Non
3600
secondes
Indique &agrave; quelle fr&eacute;quence le
serveur DHCP doit d&eacute;clencher une
sauvegarde des bases de
donn&eacute;es ouvertes. Pour les
serveurs tr&egrave;s charg&eacute;s, cette valeur
doit tourner autour de 60 ou 120
secondes.
clientpruneintv
clientpruneintv n
time_units
Non
3600
secondes
Indique &agrave; quelle fr&eacute;quence le
serveur DHCP supprime des
bases de donn&eacute;es les clients non
associ&eacute;s &agrave; une adresse (&eacute;tat
UNKNOWN). Ceci permet
d’&eacute;conomiser la m&eacute;moire du
serveur DHCP.
num
processors
numprocessors n
Non
10
Indique le nombre de processeurs
de paquets &agrave; cr&eacute;er. Le minimum
est de un.
userObject
userObject obj_name
Oui
Aucune
Indique que le serveur doit charger
un objet partag&eacute; d&eacute;fini par
l’utilisateur et appeler des routines
au sein de cet objet par le biais de
chaque interaction avec les clients
DHCP. L’objet &agrave; charger est situ&eacute;
dans le r&eacute;pertoire /usr/sbin
sous le nom de
obj_name.dhcpo. Pour plus
d’informations, reportez–vous au
DHCP Server User–Defined
Extension API.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur par
d&eacute;faut
Signification
pxeservertype
pxeservertype
server_type
No
dhcp_only
Indique le type du
serveur dhcpd.
server_type peut
avoir l’une des
valeurs suivantes :
dhcp_pxe_binld
DHCP ex&eacute;cute
les fonctions
dhcpsd, pxed et
bindl.
proxy_on_dhcp_server
DHCP renvoie le
client PXE au
port du serveur
proxy sur la
m&ecirc;me machine.
La valeur par
d&eacute;faut est
dhcp_only, ce qui
signifie que
dhcpsd ne prend
pas en charge les
clients PXE en
mode par d&eacute;faut.
Protocole TCP/IP
4-119
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
supportsubnetselec
No
tion
supportsubnetselec
tion global
supportsubnetselec
tion subnetlevel
supportsubnetselec
tion no
Valeur par
d&eacute;faut
Signification
Aucune
Indique si le
serveur dhcp prend
en charge l’option
118 (option de
s&eacute;lection du
sous–r&eacute;seau) dans
le paquet
DISCOVER ou
REQUEST des
clients.
global: tous les
sous–r&eacute;seaux du
fichier de
configuration
prennent en charge
l’option 118.
subnetlevel: les
sous–r&eacute;seaux
configur&eacute;s pour
prendre en charge
cette option via le
mot–cl&eacute; support
option 118
acceptent cette
option.
no: ne prend pas
en charge l’option
118.
4-120
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarques sur la syntaxe du fichier de serveur DHCP
pour la base de donn&eacute;es db_file :
Remarques :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Par ailleurs, les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux
d’un sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau particulier, autoriser les clients BOOTP en
indiquant le mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res.
Pour la classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave;
l’int&eacute;rieur des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne
doit &ecirc;tre consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les
expressions r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est
utilis&eacute;e pour repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent
une cha&icirc;ne ASCII. Pour tout autre nombre, les donn&eacute;es sont des
chiffres hexad&eacute;cimaux.
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur par
d&eacute;faut
Signification
subnet
subnet default
Oui
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau sans
plage associ&eacute;e.
Ce sous–r&eacute;seau est
utilis&eacute; par le serveur
uniquement pour
r&eacute;pondre &agrave; un paquet
INFORM/REQUEST
du client et si aucun
conteneur de
sous–r&eacute;seau ne
correspond &agrave;
l’adresse de ce
dernier.
Protocole TCP/IP
4-121
subnet
subnet subnet id
netmask
Oui
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau et un
pool d’adresses.
Toutes les adresses
sont suppos&eacute;es faire
partie du pool, sauf si
une plage est
sp&eacute;cifi&eacute;e sur la ligne
ou si les adresses
sont modifi&eacute;es
ult&eacute;rieurement dans le
conteneur par une
instruction de plage
ou d’exclusion. La
plage facultative est
une paire d’adresses
IP en format de
”dotted quad”
s&eacute;par&eacute;es par un tiret.
Il est possible de
pr&eacute;ciser un label et
une priorit&eacute;. Ceux–ci
sont utilis&eacute;s dans les
sous–r&eacute;seaux virtuels
pour identifier et
classer les
sous r&eacute;seaux du
sous–r&eacute;seaux
sous–r&eacute;seau virtuel.
Le label et la priorit&eacute;
sont s&eacute;par&eacute;s par un
signe deux–points.
Ces conteneurs ne
sont autoris&eacute;s qu’au
niveau global ou au
niveau du conteneur
base de donn&eacute;es.
Oui
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau qui
s’inscrit dans un
conteneur r&eacute;seau.
Il d&eacute;finit une plage
d’adresses formant la
totalit&eacute; du
sous–r&eacute;seau, sauf si
la plage facultative est
indiqu&eacute;e. Le masque
de r&eacute;seau associ&eacute; au
sous–r&eacute;seau est issu
du conteneur r&eacute;seau
environnant.
subnet subnet id
netmask range
subnet subnet id
netmask label:priority
subnet subnet id
netmask range
label:priority
subnet
subnet subnet id
range
Remarque : Cette
m&eacute;thode est
d&eacute;conseill&eacute;e au profit
des autres formes de
sous–r&eacute;seaux.
4-122
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
option
option number data ...
Non
Aucune
exclude an IP address Non
Aucune
option numberdeny
option * deny
exclude
exclude
dotted_quad–dotted_
quad
Sp&eacute;cifie une option &agrave;
envoyer &agrave; un client
ou, dans le cas d’un
refus (deny), une
option qui ne doit pas
&ecirc;tre envoy&eacute;e &agrave; un
client. La clause
option * deny
signifie que toutes les
options non sp&eacute;cifi&eacute;es
dans le conteneur en
cours ne d
doivent
i
t pas
&ecirc;tre retourn&eacute;es au
client. L’option
numberdeny ne
refuse que l’option
sp&eacute;cifi&eacute;e. number est
un entier 8 bits non
sign&eacute;. data est
sp&eacute;cifique &agrave; l’option
(voir ci–dessus) ou
peut &ecirc;tre d&eacute;finie sous
d’une
la forme d
une cha&icirc;ne
entre guillemets (texte
ASCII) ou 0xhexdigits
ou hex”hexdigits” ou
encore hex
”hexdigits”. Si l’option
correspond &agrave; un
conteneur fournisseur,
elle sera encapsul&eacute;e
avec les autres
options dans une
option 43.
Modifie la plage sur le
conteneur qui
comporte l’instruction
exclude. L’instruction
exclude n’est pas
valide au niveau des
conteneurs de base
de donn&eacute;es ou au
g&eacute;n&eacute;ral
niveau g&eacute;n&eacute;ral.
L’instruction exclude
supprime l’adresse ou
la plage sp&eacute;cifi&eacute;e de
la plage actuelle sur le
conteneur. Elle
permet de cr&eacute;er des
plages non contigu&euml;s
pour sous
sous–r&eacute;seaux ou
d’autres conteneurs.
Protocole TCP/IP
4-123
range
range IP_address
Non
range
dotted_quad–dotted_
quad
4-124
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Aucune
Modifie la plage sur le
conteneur qui
comporte l’instruction
range. L’instruction
range n’est pas valide
au niveau des
conteneurs de base
de donn&eacute;es ou au
niveau g&eacute;n&eacute;ral. S’il
s’agit de la premi&egrave;re
plage du conteneur
qui ne sp&eacute;cifie pas
une plage sur la ligne
de d&eacute;finition du
conteneur, la plage du
conteneur devient
alors la plage
sp&eacute;cifi&eacute;e
par
p
p
l’instruction range.
Toute instruction
range suivante, ou
toutes les instructions
range dans le cas
d’un conteneur
sp&eacute;cifiant des plages
dans sa d&eacute;finition sont
ajout&eacute;es &agrave; la page
actuelle. Avec
l’instruction range, il
est possible d’ajouter
&agrave; la plage existante
une adresse unique
ou un jeu d’adresses.
La plage doit &ecirc;tre
incorpor&eacute;e dans la
d&eacute;finition du
conteneur de
sous–r&eacute;seau.
client
client hwtype hwaddr
NONE
Oui
Aucune
Sp&eacute;cifie un conteneur
client qui emp&ecirc;che le
client indiqu&eacute; par
hwaddr et hwtype
d’obtenir une adresse.
Si hwtype est 0, alors
hwaddr est une
cha&icirc;ne ASCII. Sinon,
hwtype correspond au
type de mat&eacute;riel du
client et hwaddr &agrave;
l’adresse du mat&eacute;riel
du client. Si hwaddr
est une cha&icirc;ne, des
guillemets peuvent
encadrer la cha&icirc;ne.
cha&icirc;ne
Si hwaddr est une
cha&icirc;ne hexad&eacute;cimale,
l’adresse peut &ecirc;tre
sp&eacute;cifi&eacute;e sous la
forme 0xhexdigits ou
hex digits. range
permet au client
sp&eacute;cifi&eacute; par hwaddr et
hwtype d’obtenir une
adresse faisant partie
de cette plage. Pour
faire r&eacute;f&eacute;rence &agrave;
plusieurs clients,
il faut utiliser une
expression r&eacute;guli&egrave;re.
Oui
Aucune
Sp&eacute;cifie un conteneur
classe portant le nom
string. La cha&icirc;ne peut
ou non &ecirc;tre plac&eacute;e
entre guillemets. Si
oui, les guillemets
sont supprim&eacute;s avant
la comparaison.
Les guillemets sont
obligatoires si la
cha&icirc;ne contient des
espaces ou des
tabulations. Ce
conteneur est autoris&eacute;
&agrave; tous les niveaux. Il
est possible d’indiquer
une plage pour
sp&eacute;cifier le jeu
d’adresses &agrave; proposer
au client avec cette
classe. La plage est
soit une adresse IP en
format de ”dotted
quad”, soit deux
adresses IP en format
de ”dotted quad”
s&eacute;par&eacute;es par un tiret.
client hwtype hwaddr
ANY
client hwtype hwaddr
dotted_quad
client hwtype hwaddr
range
class
class string
class string range
Protocole TCP/IP
4-125
r&eacute;seau
network network id
netmask
Oui
network network id
network network id
range
Aucune
Sp&eacute;cifie un ID de
r&eacute;seau &agrave; l’aide des
informations de classe
(par exemple
9.3.149.0 avec un
masque de r&eacute;seau de
255.255.255.0
correspond au r&eacute;seau
9.0.0.0
255.255.255.0).
Cette version du
conteneur de r&eacute;seau
est utilis&eacute;e pour
englober les
sous–r&eacute;seaux
partageant le m&ecirc;me
masque et le m&ecirc;me
ID de r&eacute;seau.
Lorsqu’une plage est
fournie, toutes les
adresses de la plage
font partie du pool.
La plage doit &ecirc;tre
comprise dans le
r&eacute;seau de ll’ID
ID de
r&eacute;seau. Elle fait appel
&agrave; l’adresse int&eacute;grale
de la classe. Elle n’est
valide qu’au niveau
g&eacute;n&eacute;ral ou au niveau
du conteneur de base
de donn&eacute;es.
Remarque :
Le mot–cl&eacute; network
est d&eacute;conseill&eacute; au
profit du conteneur
de sous–r&eacute;seau.
4-126
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
vendor
vendor vendor_id
vendor vendor_id
hex””
vendor vendor_id hex
””
vendor vendor_id
0xdata
vendor vendor_id ””
vendor vendor_id
range
vendor vendor_id
range hex””
vendor vendor_id
range hex ””
vendor vendor_id
range 0xdata
vendor vendor_id
range ””
Oui
Aucune
Sp&eacute;cifie un conteneur
de fournisseur.
Les conteneurs
fournisseur sont
utilis&eacute;s pour retourner
l’option 43 au client.
L’id de fournisseur
peut &ecirc;tre sp&eacute;cifi&eacute;
sous la forme d
d’une
une
cha&icirc;ne entre
guillemets ou d’un
cha&icirc;ne binaire du type
0xhexdigits ou
hex”digits” Il est
hex”digits”.
possible d’ajouter &agrave;
l’id de fournisseur une
plage facultative, en
utilisant deux ”dotted
quad” s&eacute;par&eacute;s par un
tiret. A la suite de la
plage facultative, une
cha&icirc;ne hexad&eacute;cimale
ou ASCII &eacute;galement
facultative peut &ecirc;tre
indiqu&eacute;e comme
premi&egrave;re partie de
l’option 43. Si des
options figurent dans
le conteneur, elles
sont annex&eacute;es aux
donn&eacute;es de l’option
43. Une fois toutes les
options
ti
ttrait&eacute;es,
it&eacute;
une
option End Of Option
List (fin de la liste
d’options) est ajout&eacute;e
aux donn&eacute;es. Pour
retourner lles options
i
en dehors d’une
option 43, utilisez une
expression r&eacute;guli&egrave;re
correspondant
&agrave; tous
p
les clients pour
sp&eacute;cifier les options
normales &agrave; renvoyer
en fonction de l’ID
fournisseur.
Protocole TCP/IP
4-127
inoption
inoption number
option_data
Oui
inoption number
option_data range
4-128
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Aucune
Indique un conteneur
&agrave; rapprocher d’une
option entrante
arbitraire d&eacute;finie par le
client. number indique
le num&eacute;ro de l’option.
option_data d&eacute;finit la
cl&eacute; correspondant au
conteneur &agrave;
s&eacute;lectionner lors du
choix de l’adresse et
de l’option pour ce
client. La cl&eacute;
option_data se
pr&eacute;sente sous forme
de cha&icirc;ne entre
guillemets, d’adresse
IP ou de nombre
entier pour les options
connues mais peut
&eacute;galement se
pr&eacute;senter sous forme
de cha&icirc;ne
hexad&eacute;cimale d’octets
si elle est pr&eacute;c&eacute;d&eacute;e
des caract&egrave;res 0x.
Pour les options que
le serveur conna&icirc;t
mal, il est possible de
d&eacute;finir une cha&icirc;ne
hexad&eacute;cimale d’octets
sur le m&ecirc;me sch&eacute;ma.
En outre, la valeur
option_data peut faire
r&eacute;f&eacute;rence &agrave; une
expression r&eacute;guli&egrave;re &agrave;
rapprocher de la
repr&eacute;sentation en
cha&icirc;ne des donn&eacute;es
d’option du client. Ces
expressions
r&eacute;guli&egrave;res se
pr&eacute;sentent sous la
forme d’une cha&icirc;ne
entre guillemets (dont
le premier caract&egrave;re
est un point
d’exclamation ”!).
Les options peu
connues du serveur
se pr&eacute;sentent sous
forme de cha&icirc;ne
hexad&eacute;cimale d’octets
NON pr&eacute;c&eacute;d&eacute;e des
caract&egrave;res 0x.
virtual
virtual fill id id ...
virtual sfill id id ...
virtual rotate id id ...
virtual srotate id id ...
Non
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau virtuel
avec une politique.
fill signifie utiliser
toutes les adresses
de ce conteneur avant
de passer au suivant.
rotate signifie
s&eacute;lectionner une
adresse du pool
suivant de la liste sur
chaque requ&ecirc;te.
sfill et srotate
sont identiques &agrave;
fill et rotate,
mais une recherche
est effectu&eacute;e pour
savoir si le client
correspond aux
conteneurs, aux
fournisseurs ou aux
classes du
sous–r&eacute;seau. Si une
correspondance
permet d’obtenir une
adresse, cette
adresse est adopt&eacute;e &agrave;
partir du conteneur au
lieu de suivre la
politique indiqu&eacute;e. Il
peut y avoir autant
d’ID que n&eacute;cessaire.
id est soit l’ID de
sous–r&eacute;seau de la
d&eacute;finition de
sous–r&eacute;seau, soit le
label de cette m&ecirc;me
d&eacute;finition. Le label est
n&eacute;cessaire si
plusieurs
sous–r&eacute;seaux
partagent le m&ecirc;me ID
de sous–r&eacute;seau.
Protocole TCP/IP
4-129
inorder:
inorder: id id ...
Non
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau virtuel
avec une politique de
remplissage, ce qui
signifie utiliser toutes
les adresses de ce
conteneur avant de
passer au conteneur
suivant. Il peut y avoir
autant d’ID que
n&eacute;cessaire. id est soit
l’ID de sous–r&eacute;seau
de la d&eacute;finition de
sous–r&eacute;seau, soit le
label de cette m&ecirc;me
d&eacute;finition. Le label est
n&eacute;cessaire si
plusieurs
sous–r&eacute;seaux
partagent le m&ecirc;me ID
de sous–r&eacute;seau.
balance:
balance: id id ...
Non
Aucune
Sp&eacute;cifie un
sous–r&eacute;seau virtuel
avec une politique de
rotation, ce qui signifie
utiliser l’adresse
suivante du conteneur
suivant. Il peut y avoir
autant d’ID que
n&eacute;cessaire. id est soit
l’ID de sous–r&eacute;seau
de la d&eacute;finition de
sous–r&eacute;seau, soit le
label de cette m&ecirc;me
d&eacute;finition. Le label est
n&eacute;cessaire si
plusieurs
sous–r&eacute;seaux
partagent le m&ecirc;me ID
de sous–r&eacute;seau.
support
Bootp
supportBootp true
Non
Oui
Indique si le
conteneur en cours et
tous ceux qui en
d&eacute;
d&eacute;coulent
l t (j
(jusqu’&agrave;
’&agrave;
mention contraire)
doivent accepter les
clients BOOTP
BOOTP.
supportBootp 1
supportBootp yes
supportBootp false
supportBootp 0
supportBootp no
4-130
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
support
Unlisted
clients
supportUnlistedclients Non
BOTH
Both
supportUnlistedclients
DHCP
supportUnlistedclients
BOOTP
supportUnlistedclients
NONE
supportUnlistedclients
true
supportUnlistedclients
yes
supportUnlistedclients
1
supportUnlistedclients
false
supportUnlistedclients
no
supportUnlistedclients
0
address
recorddb
addressrecrddb path
Non
Aucune
Indique si le
conteneur en cours et
tous ceux qui en
d&eacute;coulent (jusqu’&agrave;
mention contraire)
doivent accepter les
clients non
r&eacute;pertori&eacute;s. La valeur
indique
q si tous les
clients b&eacute;n&eacute;ficient
d’un acc&egrave;s sans
instructions client
particuli&egrave;res, si seuls
les clients DHCP ont
un acc&egrave;s, si seuls les
clients
li
BOOTP sont
autoris&eacute;s ou aucun
des deux.
Remarque : Les
valeurs true et false
ont &eacute;t&eacute; conserv&eacute;es
par souci de
compatibilit&eacute; avec les
versions ant&eacute;rieures
mais sont
d&eacute;conseill&eacute;es. La
valeur true est
&eacute;quivalente &agrave; BOTH
et la valeur false &agrave;
NONE.
Lorsqu’elle est
sp&eacute;cifi&eacute;e, cette option
fonctionne comme le
mot–cl&eacute; backupfile.
L’option n’est valide
qu’au niveau g&eacute;n&eacute;ral
ou au niveau du
conteneur de base de
donn&eacute;es.
Remarque : Cette
m&eacute;thode est
d&eacute;conseill&eacute;e.
backup
file
backupfile path
Non
/etc/db_file.
crbk
Indique le fichier &agrave;
utiliser pour les
sauvegardes de la
base de donn&eacute;es.
L’option n’est valide
qu’au niveau g&eacute;n&eacute;ral
ou au niveau du
conteneur de base de
donn&eacute;es.
Protocole TCP/IP
4-131
4-132
check
pointfile
checkpointfile path
Non
/etc/db_file.
crbk
Indique le fichier de
points de contr&ocirc;le de
la base de donn&eacute;es.
Le premier fichier de
points de contr&ocirc;le
correspond &agrave; path. Le
second est path, avec
le dernier caract&egrave;re
remplac&eacute; par un 2. Le
nom du fichier de
contr&ocirc;le ne doit donc
pas se terminer &agrave;
l’origine par un 2.
Cette option n’est
valable qu’au niveau
g&eacute;n&eacute;ral ou au niveau
du conteneur de base
de donn&eacute;es.
client
recorddb
clientrecorddb path
Non
/etc/db_file.
crbk
Indique le fichier de
sauvegarde de la
base de donn&eacute;es. Le
fichier contient tous
les enregistrements
client que le serveur
DHCP a trait&eacute;s.
L’option n’est valide
qu’au niveau g&eacute;n&eacute;ral
ou au niveau du
conteneur de base de
donn&eacute;es.
boot
strapserver
bootstrapserver IP
address
Non
Aucune
Indique le serveur que
les clients doivent
utiliser comme point
de d&eacute;part vers les
fichiers TFTP &agrave; l’issue
de la r&eacute;ception de
paquets BOOTP ou
DHCP. Cette valeur
compl&egrave;te le champ
siaddr du paquet.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
giaddr
field
giaddrfield IP address
Non
Aucune
D&eacute;finit le champ
giaddrfield pour les
paquets de r&eacute;ponse.
Remarque : Cette
sp&eacute;cification n’est
pas autoris&eacute;e pour
les protocoles
BOOTP et DHCP,
mais certains clients
exigent le champ
giaddr comme
passerelle par d&eacute;faut
pour le r&eacute;seau. En
raison de ce risque
de conflit, il est
conseill&eacute; de n’utiliser
giaddrfield qu’au sein
d’un conteneur client,
bien que l’option
fonctionne &agrave; tous les
niveaux.
pingTime
pingTime n time_unit
Non
3 secondes
Indique la dur&eacute;e
pendant laquelle la
r&eacute;ponse ping doit &ecirc;tre
attendue avant qu’une
adresse ne soit
suspendue. L’unit&eacute; de
temps par d&eacute;faut est
de l’ordre des
centi&egrave;mes de
seconde. La valeur de
l’unit&eacute; de temps est
d&eacute;finie dans la
remarque qui pr&eacute;c&egrave;de
ce tableau. Cette
option est valide &agrave;
tous les niveaux de
conteneur. Le
param&egrave;tre time_unit
est facultatif.
bootptime
bootptime n time_unit
Non
–1, illimit&eacute;
Indique la dur&eacute;e
pendant laquelle louer
une adresse &agrave; un
client BOOTP. La
valeur par d&eacute;faut est
–1, ce qui signifie
dur&eacute;e illimit&eacute;e. Les
valeurs classiques
d’unit&eacute;s de temps
sont accept&eacute;es. Le
param&egrave;tre time unit
est facultatif. Cette
option est valide &agrave;
tous les niveaux de
conteneur.
Protocole TCP/IP
4-133
AllRoutesBro
adcast
allroutesbroadcast no
Non
0
Si un r&eacute;ponse de
diffusion est requise,
indique si cette
r&eacute;ponse doit &ecirc;tre
diffus&eacute;e sur toutes les
routes. Cette option
est valide &agrave; tous les
niveaux de conteneur.
Elle est ignor&eacute;e
par
g
p
les serveurs DHCP du
syst&egrave;me d’exploitation
car l’adresse MAC
r&eacute;elle du client, y
compris les RIF, est
stock&eacute;e pour le
paquet en retour.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
allroutesbroadcast
false
allroutesbroadcast 0
allroutesbroadcast
yes
allroutesbroadcast
true
allroutesbroadcast 1
4-134
address
assigned
addressassigned
”string”
Non
Aucune
Indique une cha&icirc;ne
entre guillemets &agrave;
ex&eacute;cuter lorsqu’une
adresse est attribu&eacute;e
&agrave; un client. La cha&icirc;ne
doit comporter deux
%s. Le premier %s
correspond &agrave; l’ID
client, sous la forme
type–string. Le second
%s est une adresse
IP en format de
”dotted quad”. Cette
option est valide &agrave;
tous les niveaux de
conteneur.
addressrelea
sed
addressreleased
”string”
Non
Aucune
Indique une cha&icirc;ne
entre guillemets &agrave;
ex&eacute;cuter lorsqu’une
adresse est lib&eacute;r&eacute;e
par un client. La
cha&icirc;ne ne doit
comporter qu’un %s,
correspondant &agrave;
l’adresse IP lib&eacute;r&eacute;e en
format de ”dotted
quad”. Cette option
est valide &agrave; tous les
niveaux de conteneur.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
appenddomai appenddomain 0
n
appenddomain no
Non
Non
Indique s’il convient
d’ajouter
d ajouter le nom de
domaine d&eacute;fini par
ll’option
option 15 au nom
d’h&ocirc;te sugg&eacute;r&eacute; par le
client lorsque ce
dernier ne propose
pas de nom de
domaine. Cette option
est valide &agrave; tous les
niveaux de conteneur.
Non
0
Indique que l’ID du
client est en format
canonique. Cette
option n’est valide
qu’au
’ niveau
i
d
du
conteneur client.
Non
86400
secondes
Indique la dur&eacute;e du
bail par d&eacute;faut pour
les clients. Cette
option est valide &agrave;
tous les niveaux de
conteneur. Le
param&egrave;tre time_unit
est facultatif.
appenddomain false
appenddomain 1
appenddomain yes
appenddomain true
canonical
canonical 0
canonical no
canonical false
canonical 1
canonical yes
canonical true
leaseTimeDef leaseTimeDefault n
ault
time_unit
Protocole TCP/IP
4-135
proxyarec
proxyarec never
Non
proxyarec
usedhcpddns
proxyarec
usedhcpddnsplus
proxyarec always
proxyarec
usedhcpddnsprotecte
d
proxyarec
usedhcpddnsplusprot
ected
proxyarec
alwaysprotected
proxyarec standard
proxyarec protected
4-136
releasednsA
releasednsA ”string”
Non
releasednsP
releasednsP ”string”
Non
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
usedhcpddns Indique les options et
plus
m&eacute;thodes qui doivent
&ecirc;tre utilis&eacute;es pour la
mise &agrave; jour des
enregistrements A
dans DNS. never
signifie
que
g
q
l’enregistrement A ne
doit jamais &ecirc;tre
actualis&eacute;.
usedhcpddns
signifie
i ifi utiliser
tili
l’l’option
ti
81 si le client l’a
d&eacute;finie.
dh dd
l
usedhcpddnsplus
signifie utiliser l’option
81, ou les options 12
et 15, si sp&eacute;cifi&eacute;.
always signifie que
l’enregistrement A doit
&ecirc;tre actualis&eacute; pour
tous les clients.
XXXXprotected
modifie la commande
nsupdate pour
s’assurer que le client
est autoris&eacute;.
standard est
synonyme de
always. protected
est synonyme de
alwaysprotected.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration
d’une adresse. La
cha&icirc;ne est utilis&eacute;e
pour supprimer
l’enregistrement A
associ&eacute; &agrave; l’adresse
lib&eacute;r&eacute;e. Cette option
est valide &agrave; tous les
niveaux de conteneur.
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration
d’une adresse. La
cha&icirc;ne est utilis&eacute;e
pour supprimer
l’enregistrement PTR
associ&eacute; &agrave; l’adresse
lib&eacute;r&eacute;e. Cette option
est valide &agrave; tous les
niveaux de conteneur.
removedns
removedns ”string”
Non
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration
d’une adresse. La
cha&icirc;ne est utilis&eacute;e
pour supprimer les
enregistrements A et
PTR associ&eacute;s &agrave;
l’adresse lib&eacute;r&eacute;e.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
Remarque : Cette
option est
d&eacute;conseill&eacute;e au profit
des mots–cl&eacute;s
releasednsA et
releasednsP.
updatedns
updatedns
”string”
Non
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une
adresse. La cha&icirc;ne
est utilis&eacute;e pour
mettre &agrave; jour les
enregistrements A et
PTR associ&eacute;s &agrave;
l’adresse. Cette option
est valide &agrave; tous les
niveaux de conteneur.
Remarque : Cette
option est
d&eacute;conseill&eacute;e au profit
des mots–cl&eacute;s
updatednsA et
updatednsP.
updatednsA
updatednsA ”string”
Non
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une
adresse. La cha&icirc;ne
est utilis&eacute;e pour
mettre &agrave; jour
l’enregistrement A
associ&eacute; &agrave; l’adresse.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
Protocole TCP/IP
4-137
updatednsP
updatednsP ”string”
hostnamepoli hostnamepolicy
cy
suggested
Non
Aucune
Indique la cha&icirc;ne
d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une
adresse. La cha&icirc;ne
est utilis&eacute;e pour
mettre &agrave; jour
l’enregistrement PTR
associ&eacute; &agrave; l’adresse.
Cette option est valide
&agrave; tous les niveaux de
conteneur.
Non
par d&eacute;faut
Sp&eacute;cifie le nom d’h&ocirc;te
&agrave; retourner au client.
La politique par d&eacute;faut
pr&eacute;f&egrave;re le nom d’h&ocirc;te
et le nom de domaine
explicitement d&eacute;finis
par rapport aux noms
sugg&eacute;r&eacute;s. Les autres
politiques respectent
strictement les
consignes (par
exemple : defined
retourne le nom d&eacute;fini
ou rien si aucun nom
n’est d&eacute;fini dans la
configuration). En
outre, les politiques
utilisant le
modificateur always
d
d
demandent
au
serveur de toujours
retourner l’option nom
d’h&ocirc;te m&ecirc;me si le
client ne l’a pas
demand&eacute; au moyen
de l’option liste des
param&egrave;tres. A noter
que sugg&eacute;rer un nom
d’h&ocirc;te implique
&eacute;galement de le
demander, et que les
d’h&ocirc;te
noms d
h&ocirc;te peuvent
&ecirc;tre sugg&eacute;r&eacute;s &agrave; l’aide
de l’option 81 ou des
options 12 et 15. Ce
mot–cl&eacute; est valide &agrave;
tous les niveaux de
conteneur.
hostnamepolicy
resolved
hostnamepolicy
always_resolved
hostnamepolicy
defined
hostnamepolicy
always_defined
hostnamepolicy
default
4-138
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
bootfilepolicy
bootfilepolicy
suggested
Non
suggested
D&eacute;finit une pr&eacute;f&eacute;rence
pour retourner le nom
du fichier de
d&eacute;marrage &agrave; un client.
suggested pr&eacute;f&egrave;re le
nom du fichier de
d&eacute;marrage sugg&eacute;r&eacute;
par le client &agrave;
n’importe quel autre
nom configur&eacute; par le
serveur. merge ajoute
le nom sugg&eacute;r&eacute; par le
client au r&eacute;pertoire
personnel configur&eacute;
par le serveur.
defined pr&eacute;f&egrave;re le
nom d&eacute;fini &agrave; n’importe
quel autre nom
sugg&eacute;r&eacute; always
sugg&eacute;r&eacute;.
retourne le nom d&eacute;fini
m&ecirc;me si le client ne
l’a pas demand&eacute; &agrave;
l’aide de l’option liste
des param&egrave;tres.
Non
Non
Indique si le
conteneur parent est
autoris&eacute; &agrave; “voler” des
adresses dans ses
conteneurs enfants
lorsqu’il est &agrave; court
d’adresses. Cela
signifie
que si vous
g
q
avez un sous–r&eacute;seau
avec une classe
d&eacute;finie &agrave; l’aide d’une
p
g d’adresses, ces
plage
adresses
d
sont
r&eacute;serv&eacute;es aux clients
qui mentionnent cette
classe. Si
stealfromchildre
l valeur
l
t
l
n a la
true,
les
adresses seront
r&eacute;cup&eacute;r&eacute;es chez un
enfant afin de tenter
de satisfaire la
requ&ecirc;te. La valeur par
d&eacute;faut n’autorise pas
les vols d’adresses.
bootfilepolicy merge
bootfilepolicy defined
bootfilepolicy always
stealfromchil
dren
stealfromchildren true
stealfromchildren 1
stealfromchildren yes
stealfromchildren
false
stealfromchildren 0
stealfromchildren no
Protocole TCP/IP
4-139
4-140
home
directory
homedirectory path
Non
Aucune
Indique le r&eacute;pertoire
personnel &agrave; utiliser
dans la section fichier
du paquet de
r&eacute;ponse. Cette option
peut &ecirc;tre d&eacute;finie &agrave;
tous les niveaux de
conteneur. La
politique bootfile
d&eacute;finit comment les
&eacute;l&eacute;ments sp&eacute;cifi&eacute;s
dans la section fichier
du paquet entrant se
conjuguent avec les
instructions du fichier
de d&eacute;marrage et du
r&eacute;pertoire personnel.
bootfile
bootfile
path
Non
Aucune
Indique le fichier de
d&eacute;marrage &agrave; utiliser
dans la section fichier
du paquet de
r&eacute;ponse. Cette option
peut &ecirc;tre d&eacute;finie &agrave;
tous les niveaux de
conteneur. La
politique bootfile
d&eacute;finit comment les
&eacute;l&eacute;ments sp&eacute;cifi&eacute;s
dans la section fichier
du paquet entrant se
conjuguent avec les
instructions du fichier
de d&eacute;marrage et du
r&eacute;pertoire personnel.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
pxebootfile
pxebootfile
system_architecture
major_version
minor_version
boofilename
Non
Aucune
Indique le fichier de
d&eacute;marrage &agrave; donner
pour un client. Il n’est
utilis&eacute; que lorsque
dhcpsd prend en
charge les clients PXE
(pxeservertype a la
valeur
dhcp_pxe_binld).
L’analyseur du fichier
de configuration
g&eacute;n&egrave;re une erreur si
le nombre de
param&egrave;tres apr&egrave;s
pxebootfile est
inf&eacute;rieur &agrave; quatre, et il
ignore les param&egrave;tres
suppl&eacute;mentaires.
pxebootfile ne
peut &ecirc;tre utilis&eacute; que
dans un conteneur.
suppor
toption118
supportoption118 no /
yes
Non. Peut Aucune
&ecirc;tre d&eacute;fini
unique–
ment
dans le
conteneur
du sous–
r&eacute;seau.
Ce mot–cl&eacute; indique si
ce conteneur prend
en charge l’option
118. Yes signifie
qu’elle est prise en
charge, No qu’elle ne
l’est pas. Pour que
cette option soit prise
en compte, vous
devez aussi utiliser le
mot–cl&eacute;
supportsubnetselect
ion.
Protocole TCP/IP
4-141
DHCP et gestion NIM (Network Installation Management)
Le concept d’affectation dynamique d’adresses IP est relativement nouveau. Voici quelques
suggestions relatives &agrave; l’interaction entre DHCP et NIM.
1. Lorsque vous configurez des objets dans l’environnement NIM, utilisez des noms d’h&ocirc;te
chaque fois que possible : vous pouvez ainsi exploiter un serveur de noms dynamique
qui met &agrave; jour les adresses IP lorsque le nom d’h&ocirc;te est converti en adresse IP dans
l’environnement NIM.
2. Placez le ma&icirc;tre NIM et le serveur DHCP sur le m&ecirc;me syst&egrave;me. Le serveur DHCP est
dot&eacute;, dans la cha&icirc;ne DNS de mise &agrave; jour, d’une option qui, affect&eacute;e de la valeur NIM,
tente de conserver les objets NIM hors des &eacute;tats qui requi&egrave;rent des adresses IP
statiques quand ces adresses changent.
3. Pour les clients NIM, d&eacute;finissez un d&eacute;lai d&eacute;di&eacute; double du temps requis pour installer un
client. Cela permet &agrave; une adresse IP d&eacute;di&eacute;e de rester valide pendant l’installation. Apr&egrave;s
l’installation, red&eacute;marrez le client. Selon le type d’installation, DHCP devra &ecirc;tre d&eacute;marr&eacute;
ou configur&eacute;.
4. Le serveur dhcpsd doit &ecirc;tre responsable des enregistrements syst&egrave;me DNS PTR et A.
Lorsque NIM r&eacute;installe la machine, le fichier contenant le RSA est supprim&eacute; et le client
ne peut mettre ses enregistrements &agrave; jour. Le serveur met &agrave; jour les enregistrements
syst&egrave;me. Pour ce faire, modifiez la ligne updatedns du fichier /etc/dhcpcd.ini :
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ ’%s’ NONE NONIM”
Dans le fichier /etc/dhcpsd.cnf, changez la ligne updatedns en :
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ ’%s’ BOTH NIM”
Remarque :
Lorsqu’un objet NIM est plac&eacute; en &eacute;tat d’attente de l’installation BOS,
le serveur dhcpsd peut transmettre des arguments diff&eacute;rents de ceux
pr&eacute;vus &agrave; l’origine. R&eacute;duisez le temps pendant lequel le client est plac&eacute;
en &eacute;tat d’attente pour &eacute;viter cette situation.
Ces suggestions permettent aux clients dynamiques d’exploiter l’environnement NIM.
Pour plus d’informations sur la gestion NIM (Network Installation Management),
reportez–vous au manuel AIX 5L Version 5.3 Network Installation Management Guide and
Reference.
4-142
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Dynamic Host Configuration Protocol version 6 (DHCPv6)
Le Dynamic Host Configuration Protocol (DHCP) fournit une m&eacute;thode permettant de g&eacute;rer
les configurations r&eacute;seau dans un emplacement centralis&eacute;. Cet article est sp&eacute;cifique au
DHCPv6 ; toutes les r&eacute;f&eacute;rences &agrave; des ”adresses IP” renvoient &agrave; des adresses IPv6 et toutes
les r&eacute;f&eacute;rences au ”DHCP” renvoient au DHCPv6 (sauf indication contraire).Le serveur 6 A
DHCPv4 peut cohabiter sur la m&ecirc;me liaison qu’un serveur DHCPv6. Pour une explication
approfondie du protocole, reportez–vous &agrave; la RFC 3315.
Le DHCP est un protocole de couche application qui permet &agrave; une machine cliente du
r&eacute;seau d’obtenir du serveur des adresses IP ainsi que d’autres param&egrave;tres de configuration.
Ces param&egrave;tres sont d&eacute;finis dans options. Les options sont obtenues en &eacute;changeant des
paquets entre un d&eacute;mon du client et celui du serveur. Ces &eacute;changes de messages se
pr&eacute;sentent sous la forme de paquets UDP. Un client utilise une adresse locale via la
commande autoconf6 ou via d’autres m&eacute;thodes pour identifier son adresse source aupr&egrave;s
du serveur. Le serveur &eacute;coute sous une adresse multidiffusion r&eacute;serv&eacute;e dans le cadre du
lien. Un agent relais permet la communication entre le client et le serveur s’ils ne sont pas
situ&eacute;s sur la m&ecirc;me liaison.
Cet article explique la proc&eacute;dure d’&eacute;change &agrave; quatre messages pour une interface unique
avec un IA_NA ainsi qu’une adresse pour ce IA_NA. Pour obtenir une adresse IP, le d&eacute;mon
client DHCP (dhcpcd6) envoie un message SOLICIT &agrave; l’adresse
All_DHCP_Relay_Agents_and_Servers que le serveur re&ccedil;oit puis traite. (Il est possible de
configurer &agrave; cet effet plusieurs serveurs sur le r&eacute;seau.) Si une adresse libre est disponible
pour ce client, un message ADVERTISE est cr&eacute;&eacute; et renvoy&eacute; au client. Ce message contient
une adresse IP ainsi que d’autres options ad&eacute;quates pour ce client. Le client re&ccedil;oit le
message serveur DHCP ADVERTISE et le stocke en attendant d’autres annonces. Lorsque
le client a choisi la meilleure annonce, il envoie un message DHCP REQUEST &agrave; l’adresse
All_DHCP_Relay_Agents_and_Servers en indiquant l’annonce de serveur souhait&eacute;e.
Tous les serveurs DHCP configur&eacute;s re&ccedil;oivent le message REQUEST. Chacun d’eux v&eacute;rifie
qu’il n’est pas le serveur demand&eacute;. Le serveur ne traite aucun paquet avec un serveur
DUID ne correspondant pas au sien. Le serveur demand&eacute; signale que l’adresse est affect&eacute;e
et renvoie un message DHCP REPLY au moment o&ugrave; la transaction est compl&egrave;te. Le client a
une adresse pour la dur&eacute;e ( dur&eacute;e de vie valide) d&eacute;sign&eacute;e par le serveur.
Lorsque la dur&eacute;e de vie favorite de l’adresse expire, le client envoie au serveur un paquet
avec le message RENEW afin de prolonger le bail. Si le serveur est dispos&eacute; &agrave; renouveler
l’adresse, il envoie un DHCP REPLY. Si le client n’obtient pas de r&eacute;ponse de la part du
serveur h&eacute;bergeant son adresse actuelle, il multidiffuse un paquet comportant le message
DHCP REBIND, si le serveur a par exemple chang&eacute; de r&eacute;seau. Si, &agrave; l’expiration de la dur&eacute;e
de vie valide, le client n’a pas renouvel&eacute; son adresse, l’adresse est supprim&eacute;e de l’interface
et le processus recommence. Ce cycle permet d’&eacute;viter que plusieurs clients d’un r&eacute;seau ne
se voient affecter la m&ecirc;me adresse.
Un client dispose de plusieurs options IA_NA et chaque IA_NA peut avoir plusieurs
adresses. Un client dispose &eacute;galement de plusieurs options IA_TA et chaque IA_TA peut
aussi avoir plusieurs adresses :
• Association d’identit&eacute; (IA) pour adresses non temporaires (IA_NA) : Une IA g&egrave;re
des adresses affect&eacute;es qui ne sont pas des adresses temporaires
• Association d’identit&eacute; (IA) pour adresses temporaires (IA_TA): Une IA g&egrave;re des
adresses temporaires (reportez–vous &agrave; la RFC 3041).
• DUID : Un identificateur DHCP unique pour un participant DHCP ; chaque client et
serveur DHCP poss&egrave;de un DUID unique ne changeant pas au fil des red&eacute;marrages.
Le serveur DHCP proc&egrave;de &agrave; l’attribution des adresses en fonction de cl&eacute;s. Les quatre cl&eacute;s
communes sont classe, fournisseur, ID client et en option. Le serveur utilise ces cl&eacute;s
pour attribuer une adresse et l’ensemble des options de configuration pour effectuer un
retour client.
Protocole TCP/IP
4-143
classe
La cl&eacute; de classe peut &ecirc;tre compl&egrave;tement configur&eacute;e par le client. Elle peut
comprendre une adresse et des options. Cette cl&eacute; peut &ecirc;tre utilis&eacute;e pour
pr&eacute;ciser la fonction d’une machine du r&eacute;seau ou pour d&eacute;crire le mode de
regroupement des machines adopt&eacute; &agrave; des fins administratives. Par
exemple, l’administrateur du r&eacute;seau peut vouloir cr&eacute;er une classe NetBIOS
contenant des options pour des clients NetBIOS ou une classe comptabilit&eacute;
repr&eacute;sentant les machines du service comptabilit&eacute; qui ont besoin d’acc&eacute;der
&agrave; une imprimante sp&eacute;cifique.
fournisseur
La cl&eacute; fournisseur permet d’identifier le client par sa plate–forme mat&eacute;rielle
et logicielle.
ID client
La cl&eacute; ID client identifie le client via le DUID. L’ID client est indiqu&eacute; dans le
fichier duid du d&eacute;mon dhcpcd. Par ailleurs, il peut &ecirc;tre utilis&eacute; par le
serveur pour transmettre des options &agrave; un client ou pour emp&ecirc;cher un client
de recevoir des param&egrave;tres.
En option
La cl&eacute; en option identifie le client par l’op&eacute;ration qu’il demande.
Ces cl&eacute;s peuvent &ecirc;tres utilis&eacute;es seules ou combin&eacute;es. Si un client fournit plusieurs cl&eacute;s et
que plusieurs adresses peuvent &ecirc;tre allou&eacute;es, le choix porte sur une cl&eacute; et le jeu d’options
d&eacute;coule de la cl&eacute; choisie en premier.
Un agent relais est requis pour que les multidiffusions initiales du client puissent quitter le
r&eacute;seau local. Ces agents relais assurent l’acheminement des paquets DHCP.
Le serveur DHCPv6
Le serveur DHCP a &eacute;t&eacute; segment&eacute; en trois composantes principales : une base de donn&eacute;es,
un moteur de protocole et un ensemble de routines de service. Chaque composant poss&egrave;de
ses propres informations de configuration.
La base de donn&eacute;es DHCPv6
La base de donn&eacute;es db_filev6.dhcpo est utilis&eacute;e pour suivre les clients et les adresses
ainsi que pour contr&ocirc;ler les acc&egrave;s. Les options sont &eacute;galement enregistr&eacute;es dans la base
de donn&eacute;es d’o&ugrave; elles peuvent &ecirc;tre extraites et distribu&eacute;es aux clients. La base de donn&eacute;es
est impl&eacute;ment&eacute;e en tant qu’objet pouvant &ecirc;tre charg&eacute; dynamiquement.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e. La base de donn&eacute;es contient &eacute;galement les pools d’adresses et
d’options
Le fichier de stockage principal et sa sauvegarde sont des fichiers ASCII.
Le format des fichiers de stockage principaux de la base de donn&eacute;es est le suivant :
Remarque :
4-144
Ne modifiez pas ces fichiers manuellement.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
DB6–1.0
Info client {
duid 1–0006085b68e20004ace491d3
&eacute;tat 7
Interface 0 {
en options {
id interface ”en1”
r&egrave;gles 2
maxopcode 16
numiana 1
Ianalist {
option 3 40
00000001000000320000005000050018deaddeadaaaaaaaa000000000000000600000064000
000c8
}
numiata 0
Table d’options {
option 6 10 00030004001700180237
option 8 2 e659
option 15 14 000369626d000373756e00026870
option 16 18 000004d2000730783131313131000369626d
}
}
Ianarec {
ID IA 1
t1 50
t2 80
Addrec {
Adresse dead:dead:aaaa:aaaa::6
&eacute;tat 3
heure de lancement 1087592918
dur&eacute;e de vie favorite 100
dur&eacute;e de vie valide 200
}
}
}
}
La premi&egrave;re ligne indique la version du fichier : DB6–1.0. Les lignes qui suivent d&eacute;finissent
des enregistrements client. Le serveur proc&egrave;de &agrave; la lecture de la seconde ligne jusqu’&agrave; la fin
du fichier. (Les param&egrave;tres entre guillemets doivent &ecirc;tre indiqu&eacute;s entre guillemets.)
duid
Il s’agit de l’ID utilis&eacute; par le client pour se pr&eacute;senter au serveur.
Interface
Un client peut avoir plusieurs interfaces. Si un client ayant une seule
interface cr&eacute;e des messages SOLICIT individuels pour chaque IA_NA
ou IA_TA, le fichier contient plusieurs interfaces pour ce client.
En option
Les options entrantes du client
r&egrave;gles
Indicateur permettant la diffusion individuelle, l’option de reconfiguration
et la validation rapide
maxopcode
Le code d’option le plus important
numiana
Nombre d’ IA_NA de cette interface
Ianalist
La liste des options IA_NA entrantes du client
numiana
Nombre d’ IA_NA de cette interface
Table d’options La liste des options demand&eacute;es par le client &agrave; l’exception des options
IA_NA et IA_TA
Ianarec
Le conteneur d’enregistrements IA_NA sauvegard&eacute; de la base de donn&eacute;es
du serveur
IAID
L’ID du IA_NA
t1
Le pourcentage de dur&eacute;e de vie favorite de ce IA_NA
t2
Le pourcentage de dur&eacute;e de vie valide de ce IA_NA
Protocole TCP/IP
4-145
Addrec
Le conteneur d’enregistrements d’adresses de la base de donn&eacute;es du
serveur
Adresse
Adresse donn&eacute;e au client pour l’enregistrement de cette adresse
&eacute;tat
L’&eacute;tat actuel du client. Le moteur de protocole DHCP contient le jeu de
valeurs attribuables et les &eacute;tats sont g&eacute;r&eacute;s dans la base de donn&eacute;es DHCP.
Le nombre en regard de state repr&eacute;sente sa valeur. Les diff&eacute;rents &eacute;tats
possibles sont :
(1) FREE
Repr&eacute;sente les adresses qui sont disponibles. En principe, les clients
n’ont pas cet &eacute;tat sauf s’ils n’ont pas d’adresse attribu&eacute;e. Les
commandes dadmin et lssrc indiquent que cet &eacute;tat est Free.
(2) BOUND
indique que le client et l’adresse sont li&eacute;s et que l’adresse a &eacute;t&eacute;
attribu&eacute;e au client il y a d&eacute;j&agrave; un certain temps. dadmin et les
commandes lssrc indiquent pour cet &eacute;tat Leased.
(3) EXPIRED
Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement, de la m&ecirc;me mani&egrave;re que l’&eacute;tat released. Cet &eacute;tat
signale toutefois que le client a laiss&eacute; son bail arriver &agrave; expiration.
Une adresse arriv&eacute;e &agrave; expiration est disponible et est r&eacute;affect&eacute;e
lorsque toutes les adresses libres sont indisponibles et avant que les
adresses lib&eacute;r&eacute;es ne soient r&eacute;attribu&eacute;es. dadmin et le programme
de commandes lssrc indiquent que cet &eacute;tat est Expired.
(4) RELEASED Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement. Le protocole DHCP conseille aux serveurs DHCP de
g&eacute;rer les informations concernant leurs clients pr&eacute;c&eacute;dents &agrave; des fins
de r&eacute;f&eacute;rence ult&eacute;rieure (principalement pour essayer de redonner &agrave;
un client une adresse qu’il a d&eacute;j&agrave; utilis&eacute;e dans le pass&eacute;). Cet &eacute;tat
signale que le client a lib&eacute;r&eacute; l’adresse. Cette adresse peut donc &ecirc;tre
utilis&eacute;e par d’autres clients si aucune autre adresse n’est disponible.
dadmin et le programme de commandes Issrc indiquent que cet &eacute;tat
est Released.
(5) RESERVED
Indique qu’une liaison l&acirc;che existe entre le client et l’adresse.
Le client a envoy&eacute; un message de d&eacute;couverte DHCP, auquel le
serveur DHCP a r&eacute;pondu, et le client n’a pas encore r&eacute;pondu par une
requ&ecirc;te DHCP demandant cette adresse. dadmin et les commandes
lssrc indiquent cet &eacute;tat comme Reserved.
(6) BAD
Repr&eacute;sente une adresse utilis&eacute;e sur le r&eacute;seau mais qui n’a pas &eacute;t&eacute;
distribu&eacute;e par le serveur DHCP. Cet &eacute;tat qualifie &eacute;galement les
adresses qui ont &eacute;t&eacute; rejet&eacute;es par les clients. Cet &eacute;tat ne s’applique
pas aux clients. Le dadmin indique que cet &eacute;tat est Used, les
commandes lssrc indiquent que cet &eacute;tat est Bad.
Heure de lancement
L’heure &agrave; laquelle cette adresse a &eacute;t&eacute; distribu&eacute;e est repr&eacute;sent&eacute;e en
secondes depuis le 1er janvier 2000
dur&eacute;e de vie favorite
Nombre de secondes avant le renouvellement n&eacute;cessaire de cette adresse
dur&eacute;e de vie favorite
Nombre de secondes avant que cette adresse devienne non valide et
inutilisable
4-146
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
La syntaxe des fichiers de points de contr&ocirc;le n’est pas sp&eacute;cifi&eacute;e. En cas de panne du
serveur ou si vous devez l’arr&ecirc;ter sans avoir pu fermer normalement la base de donn&eacute;es,
le serveur peut utiliser les fichiers de points de contr&ocirc;le et les fichiers de sauvegarde pour
reconstruire une base de donn&eacute;es correcte. Un client n’&eacute;tant pas inscrit dans le fichier des
points de contr&ocirc;le est perdu en cas de panne du serveur. Actuellement, aucune sauvegarde
intermittente n’est effectu&eacute;e lors du traitement d’un client. Les fichiers par d&eacute;faut sont :
/etc/dhcpv6/db_file6.cr
Fonctionnement normal de la base de donn&eacute;es
/etc/dhcpv6/db_file6.crbk
Cartes de secours pour la base de donn&eacute;es
Op&eacute;rations DHCP encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur DHCP est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; des op&eacute;rations. Comme le serveur DHCP est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont en fait d&eacute;finies sous la forme de routines qui interviennent
occasionnellement pour s’assurer du bon d&eacute;roulement des op&eacute;rations.
routine principale
Cette routine g&egrave;re les signaux. Par exemple :
• A SIGHUP (–1) entra&icirc;ne un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
• A SIGUSR1 (–30) entra&icirc;ne le vidage de la base de donn&eacute;es de la configuration
du serveur
routine src
Cette routine g&egrave;re les requ&ecirc;tes SRC (telles que startsrc, stopsrc, lssrc, traceson,
et refresh).
routine dadmin
Cette routine sert d’interface au programme client dadmin et au serveur DHCP. L’outil
dadmin peut &ecirc;tre utilis&eacute; pour obtenir des informations sur l’&eacute;tat de la base de donn&eacute;es et la
modifier, &eacute;vitant ainsi d’avoir &agrave; modifier manuellement les diff&eacute;rents fichiers de la base de
donn&eacute;es. Gr&acirc;ce aux routines dadmin et src, le serveur est d&eacute;sormais en mesure de g&eacute;rer
les requ&ecirc;tes de services tout en continuant &agrave; traiter les requ&ecirc;tes des clients.
routine de nettoyage
Cette routine ex&eacute;cute les horloges d&eacute;clenchant le nettoyage p&eacute;riodique de la base de
donn&eacute;es, la sauvegarde de la base de donn&eacute;es, l’effacement des clients n’ayant pas
d’adresse et la suppression d’adresses r&eacute;serv&eacute;es rest&eacute;es trop longtemps &agrave; l’&eacute;tat r&eacute;serve.
Toutes ces horloges peuvent &ecirc;tre configur&eacute;es.
processeurs de paquets
Chacun d’entre eux peut g&eacute;rer la demande d’un client DHCPv6. Le nombre de processeurs
de paquets requis d&eacute;pend de la charge et de la machine. Le nombre de processeurs de
paquets peut &ecirc;tre configur&eacute; ; la valeur par d&eacute;faut est 1. Le nombre maximal de routines de
paquets est 50.
routines de journalisation
Dans un syst&egrave;me o&ugrave; une quantit&eacute; de donn&eacute;es significative a &eacute;t&eacute; consign&eacute;e dans des
fichiers journaux, le nombre de routines de journalisation peut d&eacute;passer la valeur par d&eacute;faut
(1) pour atteindre la valeur maximale (50).
routine de gestion des tables
Cette routine emp&ecirc;che le d&eacute;mon dhcpsdv6 de traiter des paquets en double.
Protocole TCP/IP
4-147
routines de traitement
Ces routines traitent les paquets de clients DHCPv6 d&eacute;finis dans la RFC 3315.
Configuration du serveur DHCP
Par d&eacute;faut, la configuration du serveur DHCP est effectu&eacute;e par la lecture du fichier
/etc/dhcpv6/dhcpsdv6.cnf, qui indique la base de donn&eacute;es initiale d’adresses et d’options.
Le serveur est lanc&eacute; depuis les commandes SRC. Si dhcpsdv6 est sur le point d’&ecirc;tre lanc&eacute;
via des red&eacute;marrages, effectuez l’ajout et l’entr&eacute;e dans le fichier /etc/rc.tcpip.
La configuration du serveur DHCP constitue la t&acirc;che la plus d&eacute;licate dans le cadre de
l’utilisation de DHCP dans votre r&eacute;seau. Vous devez d’abord d&eacute;terminer les r&eacute;seaux qui
devront accueillir des clients DHCP. Chaque sous–r&eacute;seau du r&eacute;seau principal repr&eacute;sente un
pool d’adresses que le serveur DHCP doit ajouter &agrave; sa base de donn&eacute;es. Par exemple :
subnet dead:dead:aaaa:: 48 {
option 23 dead::beef beef:aaaa::bbbb:c aaaa:bbbb::cccc
#nameserver list
option 24 austin.ibm.com ibm.com
list
}
# domain
L’exemple ci–dessus montre un sous–r&eacute;seau dead:dead:aaaa:: ayant un pr&eacute;fixe de
48 bits. Toutes les adresses de ce sous–r&eacute;seau, dead:dead:aaaa::1 &agrave;
dead:dead:aaaa:ffff:ffff:ffff:ffff:ff7f, sont dans le pool. Eventuellement,
il est possible de sp&eacute;cifier un intervalle &agrave; la fin de la ligne avant le ’{’, ou d’inclure un
intervalle ou une instruction d’exclusion dans le conteneur de sous–r&eacute;seau.
Les commentaires sont introduits par le symbole #. Le texte plac&eacute; entre le # initial et la fin
de la ligne est ignor&eacute; par le serveur DHCP. Le serveur utilise chaque ligne option pour
indiquer au client ce qu’il doit faire.
Si le serveur ne comprend pas comment analyser une option, il utilise des m&eacute;thodes par
d&eacute;faut pour transmettre l’option au client. Ceci permet au serveur DHCP d’envoyer des
options sp&eacute;cifiques &agrave; certains sites, elles ne sont pas d&eacute;finies dans les normes RFC,
mais sont utilisables par certains clients ou certaines configurations de client.
Le fichier de configuration
Le fichier de configuration a une section d’adresse et une section de d&eacute;finition d’option.
Ces sections utilisent des conteneurs pour conserver des options, des modificateurs et,
potentiellement, d’autres conteneurs.
Un conteneur (qui est une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneurs sont
les suivants : sous–r&eacute;seau, classe, fournisseur, en option et client. A l’heure actuelle, il
n’existe pas de conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’Identificateur d&eacute;finit le
client de mani&egrave;re unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est
d&eacute;plac&eacute; vers un autre sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur
pour d&eacute;finir les droits d’acc&egrave;s du client.
Les options sont des identificateurs retourn&eacute;s au client tels qu’une adresse DNS ou des
noms de domaine.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une demande, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ hintlist ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur en option 15 (Identificateur
OPTION_USER_CLASS).
4-148
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• Le fournisseur utilise la valeur en option 16 (OPTION_VENDOR_CLASS).
• Le conteneur client utilise l’option 1 (OPTION_CLIENTID) depuis le DUID du client
DHCP.
• Le conteneur en option correspond &agrave; l’option demand&eacute;e par le client.
Except&eacute; pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur
lui correspondant, y compris la mise en concordance d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs sont plac&eacute;s dans le
conteneur global. La plupart des conteneurs peuvent &ecirc;tre inclus dans d’autres conteneurs,
ce qui implique une certaine visibilit&eacute;. Les conteneurs peuvent ou non &ecirc;tre associ&eacute;s &agrave; des
plages d’adresses. Tel est le cas, par nature, des sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Seuls les conteneurs de sous–r&eacute;seau sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent pas &ecirc;tre inclus dans d’autres conteneurs, eux y compris.
• Des conteneurs restreints ne peuvent pas englober des conteneurs r&eacute;guliers du m&ecirc;me
type. (Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre a.)
• Les conteneurs client restreints ne peuvent englober de sous–conteneurs.
• Les conteneurs en option ne peuvent pas englober de sous–conteneurs
En tenant compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs
qui r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Si un client correspond &agrave; plusieurs conteneurs, le serveur DHCP transmet la demande &agrave; la
base de donn&eacute;es et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est organis&eacute;e par ordre de
profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie implicite au sein des
conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle des conteneurs
r&eacute;guliers. Les clients, les classes, les fournisseurs et les sous–r&eacute;seaux sont tri&eacute;s, dans cet
ordre, et &agrave; l’int&eacute;rieur de chaque conteneur, en fonction de leur profondeur. Ceci aboutit &agrave;
une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par exemple :
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
Cet exemple pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2. Il existe
un nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de
client, Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils
r&eacute;sident dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identiques mais leurs
valeurs, diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis
Sous–r&eacute;seau 1 avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va
g&eacute;n&eacute;rer le chemin de conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Protocole TCP/IP
4-149
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option Refus
a &eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, classe 1, client 1 (au niveau du sous–r&eacute;seau 2), client 1
(au niveau de la classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1, puis de Client 1 au niveau
de Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous
dans la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re
instruction client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1
de Classe 1 au sein de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, classe 1, fournisseur 1 (au niveau du sous–r&eacute;seau 2),
client 1 (au niveau de la classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage et ne doit pas chevaucher les plages d’autres conteneurs. Par
exemple, si une classe d&eacute;finie dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses,
cette plage doit constituer un sous–ensemble des adresses de la plage du sous–r&eacute;seau.
En outre, le conteneur de la classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres
plages d’adresses au m&ecirc;me niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. Les options sp&eacute;cifiques au r&eacute;seau
dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est pas utilis&eacute;e &agrave; partir de
ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause Refus est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
4-150
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Une fois les modificateurs s&eacute;lectionn&eacute;s, configurez la fonction de journalisation. Les
param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de donn&eacute;es,
mais le mot de passe du conteneur est : logging_info. Pour apprendre &agrave; configurer DHCP,
il est conseill&eacute; d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable
de configurer cette fonction avant toute autre afin que les erreurs de configuration puissent
&ecirc;tre consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute; logitem
active le niveau de journalisation ; si vous supprimez logitem, le niveau de journalisation
sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent d’indiquer le
nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Options sp&eacute;cifiques au serveur
Le dernier groupe de param&egrave;tres concerne les options sp&eacute;cifiques au serveur permettant &agrave;
l’utilisateur de contr&ocirc;ler le nombre de processeurs de paquets, la fr&eacute;quence d’ex&eacute;cution des
routines de nettoyage, et ainsi de suite.
Voici deux exemples d’options sp&eacute;cifiques au serveur :
reservedTime
Indique pendant combien de temps une adresse reste &agrave; l’&eacute;tat r&eacute;serv&eacute; apr&egrave;s
l’envoi d’une ANNONCE au client DHCP
reservedTimeInterval
Indique la fr&eacute;quence &agrave; laquelle le serveur DHCP analyse les adresses pour
v&eacute;rifier si certaines ne sont pas &agrave; l’&eacute;tat r&eacute;serv&eacute; depuis une dur&eacute;e
sup&eacute;rieure &agrave; celle d&eacute;finie par reservedTime.
Ces options sont pratiques si vous avez plusieurs clients qui multidiffusent des messages
SOLICIT, mais qui ne multidiffusent pas de message REQUEST ou que leur message
REQUEST se perd sur le r&eacute;seau. Ces param&egrave;tres permettent d’&eacute;viter la r&eacute;servation
ind&eacute;finie des adresses pour un client non conforme.
Une autre option particuli&egrave;rement importante, SaveInterval, permet de d&eacute;finir la fr&eacute;quence
de sauvegarde.
Fichier /etc/dhcpv6/dhcpsdv6.cnf
Cette section pr&eacute;sente la configuration du serveur DHCPv6. Le serveur est configur&eacute; en
&eacute;ditant le fichier /etc/dhcpv6/dhcpsdv6.cnf. Les mots–cl&eacute;s sont sensibles &agrave; la casse.
Lorsqu’un ’{’ est r&eacute;pertori&eacute;, il doit se trouver &agrave; la m&ecirc;me ligne que le mot–cl&eacute;. Vous pouvez
trouver un fichier d’exemple de configuration sous /usr/samples/tcpip/dhcpv6.
La description du fichier /etc/dhcpv6/dhcpsdv6.cnf est la suivante.
Les strophes suivantes sont autoris&eacute;es dans ce fichier :
•
Journalisation, page 4-151
•
Mots–cl&eacute;s g&eacute;n&eacute;raux, page 4-152
•
Instructions de conteneur non imbriqu&eacute;es, page 4-155
•
Instructions de conteneur imbriqu&eacute;es, page 4-155
•
Options, page 4-156
•
Options courantes, page 4-157
Journalisation
Cette strophe ne doit pas obligatoirement exister mais si c’est le cas,
elle doit figurer en t&ecirc;te du fichier de configuration. Elle a le format suivant :
logging_info {
log_options
}
Les valeurs log_options peuvent &ecirc;tre les suivantes :
Protocole TCP/IP
4-151
Tableau 3. Mots–cl&eacute;s, valeurs et descriptions pour des entr&eacute;es dans la strophe de
journalisation.
Mot–cl&eacute;
Valeur
Description
logFileSize
num
Indique la taille du fichier journal. La valeur
num correspond &agrave; la taille maximale du fichier
journal en kilo–octets. Le fichier journal est
permut&eacute; une fois que cette taille est atteinte.
Une taille infinie est suppos&eacute;e si
logFileSize n’est pas renseign&eacute;e.
logFileName
” nom du
fichier ”
Indique le nom du fichier journal. La valeur
nom du fichier correspond au nom du
fichier journal. Le nom et l’emplacement du
fichier par d&eacute;faut est /var/tmp/dhcpsdv6.log
numLogFiles
num
Indique le nombre de fichiers journaux pour la
permutation des fichiers. La valeur par d&eacute;faut
est 0.
logItem
type
Indique les types de journalisation d&eacute;sir&eacute;s.
Les types suivants sont valides :
ERR_SYS
Erreur syst&egrave;me au niveau de l’interface
menant &agrave; la plate–forme.
ERR_OBJ
Erreur d’objet entre des objets du
processus.
ERR_PROT
Erreur de protocole entre le client et le
serveur.
AVERTISSEMENT
Avertissement m&eacute;ritant l’attention de
l’utilisateur.
EVENEMENT
Ev&eacute;nement survenu dans le cadre du
processus.
ACTION
Action entreprise dans le cadre du
processus.
INFO
Information pouvant &ecirc;tre utile.
COMPTA
Qui a &eacute;t&eacute; servi et quand.
TRACE
Flux de code pour le d&eacute;bogage.
Mots–cl&eacute;s g&eacute;n&eacute;raux
Les mots–cl&eacute;s g&eacute;n&eacute;raux sont valides uniquement hors conteneur.
Les valeurs suivantes sont autoris&eacute;es :
4-152
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Tableau 4. Mots–cl&eacute;s, valeurs et descriptions pour des entr&eacute;es dans la strophe de
mots–cl&eacute;s.
Mot–cl&eacute;
Valeur
Description
UsedIpAddressExpired num [ unit&eacute;s ] Indique la fr&eacute;quence &agrave; laquelle les
Interval
adresses pr&eacute;sentant l’&eacute;tat BAD sont
recoup&eacute;es et test&eacute;es afin de v&eacute;rifier
leur validit&eacute;. Si une unit&eacute; n’est pas
d&eacute;finie, la valeur par d&eacute;faut du syst&egrave;me
est d&eacute;finie en secondes. La valeur par
d&eacute;faut est –1.
leaseExpiredInterval num [ unit&eacute;s ] Indique la fr&eacute;quence &agrave; laquelle les
adresses pr&eacute;sentant l’&eacute;tat BOUND sont
v&eacute;rifi&eacute;es pour voir si elles sont arriv&eacute;es
&agrave; expiration. Si l’adresse est arriv&eacute;e &agrave;
expiration, l’&eacute;tat devient EXPIRED. Si
une unit&eacute; n’est pas d&eacute;finie, la valeur par
d&eacute;faut du syst&egrave;me est d&eacute;finie en
secondes. La valeur par d&eacute;faut est 900
secondes.
reservedTime
num [ unit&eacute;s ] Indique pendant combien de temps les
adresses peuvent rester &agrave; l’&eacute;tat
RESERVED avant de reprendre l’&eacute;tat
FREE. Si une unit&eacute; n’est pas d&eacute;finie, la
valeur par d&eacute;faut du syst&egrave;me est
d&eacute;finie en secondes. La valeur par
d&eacute;faut est –1.
reservedTime
num [ unit&eacute;s ] Indique la fr&eacute;quence &agrave; laquelle les
adresses pr&eacute;sentant l’&eacute;tat RESERVE
sont v&eacute;rifi&eacute;es pour voir si elles peuvent
reprendre l’&eacute;tat FREE. Si une unit&eacute; n’est
pas d&eacute;finie, la valeur par d&eacute;faut du
syst&egrave;me est d&eacute;finie en secondes. La
valeur par d&eacute;faut est 900 secondes.
saveInterval
num [ unit&eacute;s ] Indique &agrave; quelle fr&eacute;quence le serveur
DHCP doit d&eacute;clencher une sauvegarde
des bases de donn&eacute;es ouvertes. Pour
les serveurs tr&egrave;s charg&eacute;s, cette valeur
doit tourner autour de 60 ou 120
secondes. Si une unit&eacute; n’est pas
d&eacute;finie, la valeur par d&eacute;faut du syst&egrave;me
est d&eacute;finie en secondes. La valeur par
d&eacute;faut est 3600 secondes.
clientpruneintv
num [ unit&eacute;s ] Indique la fr&eacute;quence &agrave; laquelle le
serveur DHCP supprime des bases de
donn&eacute;es les clients non associ&eacute;s &agrave; une
adresse (&eacute;tat UNKNOWN ). Ceci permet
d’&eacute;conomiser la m&eacute;moire du serveur
DHCP. Si une unit&eacute; n’est pas d&eacute;finie, la
valeur par d&eacute;faut du syst&egrave;me est
d&eacute;finie en secondes. La valeur par
d&eacute;faut est 3600 secondes.
Protocole TCP/IP
4-153
numprocessthreads
num
Indique le nombre de routines de
processeurs de paquets &agrave; cr&eacute;er. Le
minimum est de un. Chaque routine de
processus g&egrave;re un client. La valeur par
d&eacute;faut est 30.
numpacketthreads
num
Indique le nombre de routines de
paquets &agrave; cr&eacute;er. 1 est la valeur
minimale mais elle est d&eacute;finie &agrave; 5 par
d&eacute;faut.
numloggingthreads
num
Indique le nombre de routines de
journalisation. La valeur par d&eacute;faut est
1.
numduidbuckets
num
Ceci est utilis&eacute; pour le gestionnaire de
tables et est en corr&eacute;lation directe avec
les numprocessthreads. La valeur est
d&eacute;finie &agrave; 53 par d&eacute;faut.
numclientbuckets
num
Nombre de compartiments &agrave; utiliser
pour stocker les enregistrements client.
La valeur par d&eacute;faut est 1021.
ignoreinterfacelist
interface [
interface ]
Liste d’interfaces &agrave; ignorer. Il peut s’agir
d’une ou de plusieurs interfaces.
backupfile
”nom de
fichier”
Le fichier &agrave; utiliser pour les
sauvegardes de la base de donn&eacute;es.
Le fichier par d&eacute;faut est
/etc/dhcpv6/db_file6.crbk
checkpointfile
”nom de
fichier”
Indique le fichier de points de contr&ocirc;le
de la base de donn&eacute;es. Le premier
fichier des points de contr&ocirc;le est le
chemin d’acc&egrave;s. Le second fichier des
points de contr&ocirc;le est le chemin
d’acc&egrave;s avec un 2 en guise de dernier
caract&egrave;re. Le fichier des points de
contr&ocirc;le ne doit donc pas se terminer
par 2.
clientrecorddb
”nom de
fichier”
Indique le fichier de sauvegarde de la
base de donn&eacute;es. Le fichier contient
tous les enregistrements client que le
serveur DHCP a trait&eacute;s. Le fichier par
d&eacute;faut est /etc/dhcpv6/db_file6.cr
duid
idtype value
[valeur]
Utilis&eacute;e pour l’identification du serveur.
Les valeurs suivantes sont autoris&eacute;es :
• duid 1 interface
• duid 2 interface
• duid 3 enterprise number
identifier
• duid number 0x hexdigit
preference–number
4-154
num
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Permet aux clients d’identifier le
serveur dont il pr&eacute;f&egrave;re obtenir les
informations. Plus la valeur est &eacute;lev&eacute;e,
plus les chances de voir le client utiliser
les services de ce serveur sont
&eacute;lev&eacute;es. La valeur par d&eacute;faut maximale
est 255.
activation de la
diffusion
individuelle
policy
La r&egrave;gle de diffusion individuelle pour le
serveur permet au serveur de
communiquer en utilisant la diffusion
individuelle. Elle est activ&eacute;e par d&eacute;faut.
tablemgr–policy
police
Permet au serveur d’avoir un
gestionnaire de tables pour am&eacute;liorer la
gestion des clients entrants. Il est activ&eacute;
par d&eacute;faut.
Instructions de conteneur non imbriqu&eacute;
Des instructions de conteneur non imbriqu&eacute; peuvent uniquement exister en tant que partie
de mots–cl&eacute;s g&eacute;n&eacute;raux.
Tableau 5. Mots–cl&eacute;s, valeurs et descriptions pour des entr&eacute;es dans les instructions de
conteneur non imbriqu&eacute;.
subnetid
prefix–le
ngth [
range ]
{OPTIONS}
subnet
Sp&eacute;cifie le sous–r&eacute;seau &agrave; utiliser. L’ id de
sous–r&eacute;seau doit &ecirc;tre une adresse IPv6. La
longueur du pr&eacute;fixe doit &ecirc;tre un entier positif
inf&eacute;rieur &agrave; 128.
Instructions de conteneur imbriqu&eacute;
Des instructions de conteneur imbriqu&eacute; peuvent exister uniquement en tant qu’option au
sein d’un sous–r&eacute;seau. Tous les conteneurs peuvent englober d’autres conteneurs
imbriqu&eacute;s sauf indication contraire. La profondeur maximale de l’imbrication s’&eacute;l&egrave;ve &agrave; sept,
en incluant le sous–r&eacute;seau et le conteneur global (seuls cinq conteneurs imbriqu&eacute;s peuvent
exister sous un conteneur de sous–r&eacute;seau).
Le fournisseur et les conteneurs en option ne peuvent pas englober d’autres conteneurs
imbriqu&eacute;s.
Tableau 6. Mots–cl&eacute;s, valeurs et descriptions pour des entr&eacute;es dans les instructions
de conteneur imbriqu&eacute;.
Mot–cl&eacute;
Valeur
Description
class
name [ range
]{OPTIONS|COMMON
OPTIONS }
Conteneur de classe. La valeur nom
correspond &agrave; une cha&icirc;ne, des cha&icirc;nes
s&eacute;par&eacute;es par un espace, des expressions
r&eacute;guli&egrave;res, hex 0x hexdigit, 0x hexdigit
vendor
nom [ intervalle
]{OPTIONS|COMMON
OPTIONS }
Conteneur fournisseur. La valeur nom est
une cha&icirc;ne, des cha&icirc;nes s&eacute;par&eacute;es par un
espace, des expressions r&eacute;guli&egrave;res, hex 0x
hexdigit, 0x hexdigit
Protocole TCP/IP
4-155
client
&lt;id | 0 0xhexdigit |
regularexpression&gt;
&lt;ip | range | none |
any&gt; {OPTIONA|COMMON
OPTIONS }
Conteneur client.
&lt;id&gt;– 1–hexdigit, 2–hexdigit,
3–hexdigit&lt;ip|range|none|any&gt; – adresse ip
&agrave; donner &agrave; des clients correspondant &agrave; l’ID
inoption
icode keytomatch [
range ] {
OPTIONS|COMMON
OPTIONS }
Conteneur en option
icode – code d’option entrant ou num&eacute;ro
devant &ecirc;tre sp&eacute;cifi&eacute; par le client
keytomatch – les donn&eacute;es d’option devant
&ecirc;tre compar&eacute;es.
Options
Ces mots–cl&eacute;s peuvent exister uniquement au sein d’un conteneur.
Tableau 7. Mots–cl&eacute;s, valeurs et descriptions pour des entr&eacute;es dans la strophe d’options.
4-156
Mot–cl&eacute;
Valeur
Description
exclude
range
Intervalle IP &agrave; exclure de l’intervalle
actuel, souvent utilis&eacute; lorsqu’un
intervalle n’est pas sp&eacute;cifi&eacute; en tant que
partie des instructions du conteneur
exclude
ip
Adresse IP &agrave; exclure de l’intervalle
actuel
range
range
Intervalle IP utilis&eacute; pour augmenter
l’intervalle actuel, souvent utilis&eacute;
lorsqu’un intervalle n’est pas sp&eacute;cifi&eacute; en
tant que partie des instructions du
conteneur
range
ip
Adresse IP &agrave; ajouter, utilis&eacute;e pour
augmenter l’intervalle
stealfromchildren
policy
Prenez l’adresse des conteneurs
d’enfants si toutes les adresses sont
&eacute;puis&eacute;es. Cette fonction est d&eacute;sactiv&eacute;e
par d&eacute;faut.
stealfrompeer
policy
Prenez l’adresse des conteneurs de
pairs si toutes les adresses sont
&eacute;puis&eacute;es. Cette fonction est d&eacute;sactiv&eacute;e
par d&eacute;faut.
steafromparent
policy
Prenez l’adresse des conteneurs de
parents si toutes les adresses sont
&eacute;puis&eacute;es. Cette fonction est d&eacute;sactiv&eacute;e
par d&eacute;faut.
balance–option
{
balance–policy
| &lt;option
|option option
...&gt; }
Conteneur d’options d’&eacute;quilibrage, les
options sp&eacute;cifi&eacute;es au sein de ce
conteneur sont fournies &agrave; la base client
sur les r&egrave;gles. Ce mot–cl&eacute; peut exister
uniquement sous le conteneur de
sous–r&eacute;seau.
balance–policy
b_policy
La valeur b_policy peut &ecirc;tre fill ou
rotate. La valeur par d&eacute;faut est
rotate .
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
fill–count
num
Le nombre de p&eacute;riodes d’une option est
&eacute;puis&eacute; avant la distribution de la
prochaine instance de la m&ecirc;me option
interface–id
” interface ”
Ceci peut &ecirc;tre r&eacute;pertori&eacute; uniquement
sous un sous–r&eacute;seau. Les demandes
client re&ccedil;ues sur cette interface sont
autoris&eacute;es pour l’obtention d’adresses.
Options courantes
Ceci peut exister au sein de conteneurs ou dans la section g&eacute;n&eacute;rale :
Tableau 8. Mots–cl&eacute;s, valeurs et descriptions pour options courantes.
Mot–cl&eacute;
Valeur
Description
reconfig–policy
policy
Permet au serveur d’envoyer un
message de reconfiguration au client.
Ceci n’est pas activ&eacute; et ignor&eacute; par
d&eacute;faut.
rapid–commit
policy
Permet au serveur d’effectuer une
validation rapide pour le conteneur ou le
jeu global. Ceci n’est par d&eacute;faut pas
activ&eacute; et ignor&eacute;.
prefered–lifetime
num [ unit&eacute;s ]
La dur&eacute;e de vie favorite de l’ IANA ou
IATA. La valeur par d&eacute;faut est de
43200 secondes.
valid–lifetime
num [ unit&eacute;s ]
La dur&eacute;e de vie valide de l’ IANA ou
IATA. La valeur par d&eacute;faut est de
86400 secondes.
rebind
num
Pourcentage 0–100 du temps de
reconnexion &agrave; l’adresse. La valeur par
d&eacute;faut est 80 pour cent.
renew
num
Pourcentage 0–100 du renouvellement
de l’adresse. La valeur par d&eacute;faut est
50 pour–cent.
unicast–option
police
Permet aux conteneurs d’offrir un
&eacute;change de messages en diffusion
individuelle, ceci peut &ecirc;tre utilis&eacute; pour
activer et d&eacute;sactiver des conteneurs
individuels ainsi que des sous–r&eacute;seaux,
m&ecirc;me si les r&egrave;gles concernant le
serveur diff&egrave;rent. Ceci n’est par d&eacute;faut
pas activ&eacute; et ignor&eacute;.
option
num
&lt;string|stings
|hex&gt;
Pour la liste d’options, reportez–vous &agrave;
Options connues du fichier du serveur
DHCPv6, page 4-158.
change–optiontable
optiontable
Autoris&eacute; uniquement au sein d’un
conteneur fournisseur.
Protocole TCP/IP
4-157
Options connues du fichier du serveur DHCPv6
Les options suivantes sont les options connues du fichier du serveur DHCPv6. Les options
comportant “Non” dans la colonne Autoris&eacute;e ne peuvent pas &ecirc;tre sp&eacute;cifi&eacute;es dans le fichier
de configuration ; si elles le sont, elles sont ignor&eacute;es.
Num&eacute;ro de l’option
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e ?
Description
1
Aucun
Non
Demander
2
Aucun
Non
Annoncer
3
Aucun
Non
Request
4
Aucun
Non
Confirmer
5
Aucun
Non
Adresse
6
Aucun
Non
Demande d’option
7
nombre
Non
Num&eacute;ro de
pr&eacute;f&eacute;rence du
serveur
8
Aucun
Non
Temps &eacute;coul&eacute;
9
Aucun
Non
Message relais
11
Aucun
Non
Autorisation
12
Cha&icirc;ne ASCII oui,
non, vrai, faux
Oui
Diffusion individuelle
13
Aucun
Non
&Eacute;tat
14
Cha&icirc;ne ASCII oui,
non, vrai, faux
Oui
Validation rapide
15
Aucun
Non
Classe d’utilisateur
16
Aucun
Non
Classe de
fournisseur
17
Aucun
Non
Option fournisseur
18
Aucun
Non
ID interface
19
Aucun
Non
Message de
reconfiguration
20
Cha&icirc;ne ASCII oui,
non, vrai, faux
Oui
Reconfiguration
accept&eacute;e
23
Adresses IPv6
s&eacute;par&eacute;es par un
espace
Oui
Serveurs DNS
24
Cha&icirc;ne ASCII
Oui
Liste de domaines
Valeurs
Les valeurs suivantes peuvent &ecirc;tre utilis&eacute;es pour les param&egrave;tres sp&eacute;cifi&eacute;s ci–dessus :
unit&eacute;s : seconde, secondes, minute, minutes, heure, heures, jour, jours, semaine,
semaines, mois, mois, ann&eacute;e, ann&eacute;es
interface : en0, en1, tr0
identificateur: nombres ou caract&egrave;res
r&egrave;gles : oui, non, vrai, faux
intervalle : ipv6addresss–ipv6addresss
expression normale: ”!epression to match$”, ”!epression to match^”
4-158
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Exemple fichier /etc/dhcpv6/dhcpsdv6.cnf
Ci–dessous un fichier d’exemple /etc/dhcpv6/dhcpsdv6.cnf :
logging_info{
logFileSize 4000
logItem
SYSERR
logItem
PROTERR
logItem
WARNING
logItem
EVENT
logItem
ACTION
logItem
INFO
logItem
ACNTING
logItem
TRACE
numLogFiles
3
logFileName ”/var/tmp/dhcpsdv6.log”
}
duid 1 en0
numprocessthreads 10
numpacketthreads 5
preference–number 255
reconfig–policy no
rapid–commit no
unicast–option
yes
leaseExpiredInterval 3000 secondes
unicast–enable
yes
saveInterval
60 seconds
reservedTimeInterval
8000 seconds
reservedTime
10000 seconds
clientpruneintv
20 seconds
subnet bbbb:aaaa:: 40 bbbb:aaaa::0004–bbbb:aaaa::000f {
balance–option {
option 23 dead::beef
option 23 beef::aaaa
option 24 yahoo.com
}
subnet dead:dead:aaaa:: 48
dead:dead:aaaa:aaaa::0006–dead:dead:aaaa:aaaa::000a {
id interface ”en1”
preferred–lifetime
100 seconds
valid–lifetime
200 seconds
rapid–commit yes
option 23 dead::beef beef:aaaa::bbbb:c aaaa:bbbb::cccc
option 24 ibm.com austin.ibm.com
}
Protocole TCP/IP
4-159
Configuration client DHCPv6
Le fichier /etc/dhcpv6/dhcpc6.cnf est utilis&eacute; pour configurer les clients DHCPv6.
Les directives pouvant &ecirc;tre sp&eacute;cifi&eacute;es dans ce fichier sont incluses ici. Si dhcpsdv6 est
sur le point d’&ecirc;tre lanc&eacute; via des red&eacute;marrages, ajoutez une entr&eacute;e au fichier /etc/rc.tcpip.
Mots–cl&eacute;s de journalisation
Les mots–cl&eacute;s suivants sont valides :
Tableau 9. Mots–cl&eacute;s et descriptions pour des mots–cl&eacute;s de journalisation.
Mot–cl&eacute;
Description
log–file–name
Nom du chemin d’acc&egrave;s et du fichier journal
le plus r&eacute;cent. Les noms des fichiers les
moins r&eacute;cents sont munis d’un num&eacute;ro
accol&eacute; 1 &agrave; (n–1) ; plus ce num&eacute;ro est grand,
moins le fichier est r&eacute;cent.
log–file–size
Indique la taille maximale d’un fichier
journal en Ko. Lorsque la taille du fichier
journal le plus r&eacute;cent atteint cette valeur,
celui–ci est renomm&eacute; est un nouveau fichier
est cr&eacute;&eacute;.
log–file–num
Indique le nombre maximal de fichiers
journal g&eacute;r&eacute;s lorsque la taille du fichier
journal le plus r&eacute;cent atteint la valeur
log–file–size et que le fichier est
renomm&eacute; en vue de g&eacute;n&eacute;rer un nouveau
fichier.
log–item
Pr&eacute;cise les articles du journal devant &ecirc;tre
journalis&eacute;s.
ERR_SYS
Erreur syst&egrave;me
ERR_OBJ
Erreur d’objet
ERR_PROT
Erreur de protocole
AVERTISSEMENT
Avertissement
EVENEMENT
Ev&eacute;nement survenu
ACTION
Action entreprise dans le cadre du
processus
INFO
Informations suppl&eacute;mentaires
COMPTA
Qui a &eacute;t&eacute; servi et quand
TRACE
flux de code, d&eacute;bogage
4-160
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute; DUID
Le format des entr&eacute;es DUID :
duid
&lt;duid_type&gt; &lt;value&gt;
&lt;value&gt; ...
Le type de DUID peut &ecirc;tre un mot–cl&eacute; ou un nombre, ce qui laisse toute latitude de d&eacute;finir
des types de DUID &agrave; l’avenir. Trois types de DUID sont actuellement d&eacute;finis dans la
RFC 3315 :
Tableau 10. Mots–cl&eacute; et valeurs pour les entr&eacute;es DUID.
Mot–cl&eacute;
Description
LLT
Type de DUID–LLT (valeur 1)
LL
DUID–LL (valeur 2)
EN
Type de DUID–EN (valeur 3)
Le format sp&eacute;cifique des entr&eacute;es DUID d&eacute;pend du mot–cl&eacute; utilis&eacute;.
duid LLT
duid LL
duid EN
duid &lt;number&gt;
&lt;interface name&gt;
&lt;interface name&gt;
&lt;enterprise number&gt; &lt;enterprise identifier&gt;
&lt;hex data (prefixed with ’0x’)
Mot–cl&eacute; informatif
Les mot–cl&eacute;s informatifs sont les suivants :
Tableau 11. Mot–cl&eacute; et description du mot–cl&eacute; informatif.
Mot–cl&eacute;
Description
info–only interfacename
Ce mot–cl&eacute; pr&eacute;cise le nom de l’interface
pour laquelle le client obtient du serveur
uniquement les informations concernant
la configuration mais pas les adresses.
Renouvellement du bail et mot–cl&eacute; de ce renouvellement
Tableau 12. Mots–cl&eacute; et descriptions pour le renouvellement du bail et les mots–cl&eacute;s de ce
renouvellement.
Mots–cl&eacute;s
Description
renew–time value
La p&eacute;riode de renouvellement indique la
p&eacute;riode apr&egrave;s laquelle le client contacte le
serveur duquel il a obtenu les informations
concernant le bail, dans le but de le
renouveler.
rebind–time value
Dans le cas o&ugrave; le client ne parvient pas &agrave;
renouveler son bail (parce que le serveur ne
r&eacute;pond pas), la p&eacute;riode de renouvellement
sp&eacute;cifie la p&eacute;riode apr&egrave;s laquelle le client
contacte les autres serveurs pour
renouveler le bail.
Protocole TCP/IP
4-161
Demande du mot–cl&eacute; de retransmission
Tableau 13. Mots–cl&eacute; et descriptions pour la demande de mots–cl&eacute;s de transmission.
Mots–cl&eacute;s
Descriptions
solicit–timeout
La p&eacute;riode d’&eacute;ch&eacute;ance de la demande
indique la p&eacute;riode pendant laquelle le client
doit essayer d’envoyer un message de
demande au serveur avant que celui–ci ne
r&eacute;ponde.
solicit–maxcount
La p&eacute;riode d’&eacute;ch&eacute;ance de la demande
d&eacute;signe le nombre de messages de
demande que le client doit envoyer au
serveur avant que celui–ci ne r&eacute;ponde.
Mots–cl&eacute;s d’option
Si les mots–cl&eacute;s d’option apparaissent hors des strophes de l’’interface”, alors ils sont
consid&eacute;r&eacute;s comme g&eacute;n&eacute;raux. # Les options de ce type s’appliquent &agrave; toutes les interfaces.
# Si les mots–cl&eacute;s d’option apparaissent au sein des strophes de l’’interface”, ces options
s’appliquent uniquement &agrave; cette interface. Le format de la strophe d’options est le suivant :
option &lt;keyword | option code&gt;
option &lt;keyword | option code&gt; exec ”exec string”
option &lt;keyword | option code&gt; { option specific parameters }
option &lt;keyword | option code&gt; { option specific parameters } exec ”exec
string”
Un code d’option peut &ecirc;tre sp&eacute;cifi&eacute; &agrave; l’aide du code d’option enregistr&eacute; dans la IANA.
Cependant, certaines des options peuvent &eacute;galement &ecirc;tre sp&eacute;cifi&eacute;es &agrave; l’aide de mots–cl&eacute;s
affich&eacute;s ci–dessous :
Mot–cl&eacute;
4-162
Code d’option
ia–na
3
ia–ta
4
option de demande
6
validation rapide
14
classe d’utilisateur
15
classe de fournisseur
16
options de fournisseur
17
acceptation de reconfiguration
20
serveurs dns
23
liste de domaines
24
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Explications suppl&eacute;mentaires de chaque mot–cl&eacute; :
Mot–cl&eacute;
Objet, format et param&egrave;tres
ia–na
Description
Sp&eacute;cifie l’option 3. Si cela est indiqu&eacute;, le client demande des adresses
permanentes au serveur.
Format
option ia–na [ { param&egrave;tres } ] [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
L’option ia–na prend en compte les param&egrave;tres suivants : ia–id
&lt;valeur&gt;
p&eacute;riode de renouvellement &lt;valeur&gt;
p&eacute;riode de renouvellement &lt;valeur&gt;
Ces param&egrave;tres indiquent les valeurs favorites de l’utilisateur et sont
facultatifs. La valeur sp&eacute;cifi&eacute;e peut &ecirc;tre un nombre d&eacute;cimal ou un
nombre hexad&eacute;cimal pr&eacute;c&eacute;d&eacute; de ’0x’
ia–ta
Description
Sp&eacute;cifie l’option 4. Si cela est indiqu&eacute;, le client demande des adresses
temporaires au serveur.
Format
option ia–na [ { param&egrave;tres } ] [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
L’option ia–na prend en compte les param&egrave;tres suivants : ia–id
&lt;valeur&gt;
Ce param&egrave;tre sp&eacute;cifie les valeurs favorites de l’utilisateur et il est
facultatif. La valeur sp&eacute;cifi&eacute;e peut &ecirc;tre un nombre d&eacute;cimal ou un
nombre hexad&eacute;cimal pr&eacute;c&eacute;d&eacute; de ’Ox’
option de
demande
Description
Sp&eacute;cifie l’option 6. Si cela est indiqu&eacute;, le client demande une liste
d’options au serveur.
Format
option option de demande { param&egrave;tres } [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
l’option option de demande prend comme argument une liste de codes
d’option (en d&eacute;cimal) s&eacute;par&eacute;e par des espaces
validation
rapide
Description
Sp&eacute;cifie l’option 14. Si cela est sp&eacute;cifi&eacute;, le client indique qu’il est pr&ecirc;t &agrave;
effectuer l’&eacute;change de message de r&eacute;ponse &agrave; la demande.
Format
option validation rapide [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
Accepte uniquement le param&egrave;tre d’instruction exec facultatif
Protocole TCP/IP
4-163
Mot–cl&eacute;
Objet, format et param&egrave;tres
classe
d’utilisateur
Description
sp&eacute;cifie l’option 15. Si cela est indiqu&eacute;, le client indique le type ou
la cat&eacute;gorie de l’utilisateur ou les applications qu’il repr&eacute;sente.
Format
option classe de l’utilisateur { param&egrave;tres } [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
L’option classe de l’utilisateur accepte une ou plusieurs instances de
donn&eacute;es de classe de l’utilisateur. Chaque instance des donn&eacute;es de
classe de l’utilisateur est une cha&icirc;ne d’une longueur arbitraire mise
entre guillemets ou non. Si la cha&icirc;ne contient un espace vide, il doit
&ecirc;tre mis entre guillemets. Les param&egrave;tres sont requis. Le format du
param&egrave;tre est le suivant : classe &lt;valeur&gt;
classe &lt;valeur&gt;
o&ugrave; la valeur est une cha&icirc;ne entre guillemets ou non.
classe
fournisseur
Description
Sp&eacute;cifie l’option 16. Si cela est indiqu&eacute;, le client indique le fournisseur
ayant fabriqu&eacute; le mat&eacute;riel sur lequel le client fonctionne.
Format
option classe de fournisseur { param&egrave;tres } [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
L’option classe de fournisseur accepte le num&eacute;ro d’entreprise
enregistr&eacute;e du fournisseur ainsi qu’une ou plusieurs instances des
donn&eacute;es de la classe de fournisseur. Chaque instance des donn&eacute;es
de la classe de fournisseur est une cha&icirc;ne d’une longueur arbitraire
mise entre guillemets ou pas, chacune d’entre–elles d&eacute;crivant
certaines caract&eacute;ristiques de la configuration mat&eacute;rielle du client. Les
param&egrave;tres NE sont PAS facultatifs. Le format est le suivant : id
fournisseur &lt;valeur&gt;
classe &lt;valeur&gt;
classe &lt;valeur&gt;
o&ugrave; la valeur est une cha&icirc;ne entre guillemets ou pas.
options
fournisseur
Description
Sp&eacute;cifie l’option 17. Si cela est indiqu&eacute;, le client indique au serveur les
informations sp&eacute;cifiques au fournisseur.
Format
option options fournisseur &lt;num&eacute;ro d’entreprise&gt; { param&egrave;tres } [ exec
”exec cha&icirc;ne” ]]
Param&egrave;tres
L’option options de fournisseur accepte le num&eacute;ro d’entreprise
enregistr&eacute; du fournisseur ainsi qu’une ou plusieurs instances des
donn&eacute;es d’options de fournisseur. Chaque instance des donn&eacute;es
d’options de fournisseur est un code d’option de fournisseur suivi de
donn&eacute;es d’options en cha&icirc;ne ou au format hexad&eacute;cimal. Les
param&egrave;tres NE sont PAS facultatifs. Le format est le suivant : id
fournisseur &lt;valeur&gt;
option &lt;code option&gt; &lt;donn&eacute;es option&gt;
option &lt;code option&gt; &lt;donn&eacute;es option&gt;
o&ugrave; les donn&eacute;es d’options sont une cha&icirc;ne mise entre guillemets ou
pas, ou une cha&icirc;ne hexad&eacute;cimale (pr&eacute;c&eacute;d&eacute;e de ’0x’)
4-164
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Objet, format et param&egrave;tres
acceptation de Description
reconfiguration
Sp&eacute;cifie l’option 20. Si cela est indiqu&eacute;, le client indique au serveur s’il
est dispos&eacute; &agrave; accepter un message de reconfiguration de la part du
serveur.
Format
option reconfiguration accept&eacute;e [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
l’option reconfiguration accept&eacute;e n’accepte pas de param&egrave;tre
sp&eacute;cifique &agrave; l’option autre que l’instruction exec.
serveurs dns
Description
sp&eacute;cifie l’option 23. Si cela est indiqu&eacute;, le client indique au serveur
l’ensemble des serveurs dns favoris.
Format
option serveurs dns [ {param&egrave;tres } ] [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
l’option serveurs dns accepte comme argument une liste d’adresses
IPv6 s&eacute;par&eacute;es par des espaces/des lignes.
liste de
domaines
Description
sp&eacute;cifie l’option 24. Si cela est indiqu&eacute;, le client indique la liste des
domaines favoris.
Format
option liste de domaines[ { param&egrave;tres } ] [ exec ”exec cha&icirc;ne” ]
Param&egrave;tres
l’option liste de domaines accepte une liste de cha&icirc;nes de noms de
domaines s&eacute;par&eacute;es par des espaces/des lignes.
Protocole TCP/IP
4-165
mots–cl&eacute;s d’interface
Tableau 14. mot–cl&eacute; et description concernant les mots–cl&eacute;s d’interface.
Mots–cl&eacute;s
Descriptions
interface &lt;interfacename&gt; [ {
option declaration/s } ]
L’instruction d’interface accepte une ou
plusieurs d&eacute;clarations d’options comme
arguments. Ces options sp&eacute;cifi&eacute;es au sein
de la strophe de l’interface sont sp&eacute;cifiques
&agrave; cette interface, contrairement aux options
d&eacute;clar&eacute;es hors de la strophe d’interface qui
s’appliquent &agrave; toutes les interfaces.
interface
en1
{
option ia–na {
ia–id
renew–time
rebind–time
01
0x40
0x60
}
option
option
request–option
{ 3 23 24 }
user–class {
class ibm
class ”userclassA and B”
class ”userclassB”
}
option
vendor–class {
vendor–id
1234
class ”vendorclassA”
class ”vendorclassB”
}
option
vendor–opts {
id fournisseur
2343
option 89
vendoroption89
option 90
vendoroption90
}
option
reconf–accept
Agent relais DHCP
Le fichier /etc/dhcprd.cnf est le fichier de configuration pour l’agent relais DHCP et
BOOTP. Le format du fichier, les directives autoris&eacute;es ainsi que les mots–cl&eacute;s sont
expliqu&eacute;s ici.
Les directives sont sp&eacute;cifi&eacute;es au format suivant :
&lt;
keyword
&gt; &lt;
value1
&gt; ... &lt;
valueN
&gt;
La pr&eacute;sence et les valeurs de ces param&egrave;tres sont utilis&eacute;es par l’agent relais qui est lanc&eacute;
ou relanc&eacute;.
Cet ensemble de param&egrave;tres indique les fichiers journaux g&eacute;r&eacute;s par ce serveur.
Chaque param&egrave;tre est identifi&eacute; par un mot–cl&eacute; et suivi de sa valeur.
4-166
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Valeur
D&eacute;finition
numLogFiles
0&agrave;n
Nombre de fichiers journaux. Si 0 est
indiqu&eacute;, aucun fichier journal n’est g&eacute;r&eacute; et
aucun message journal ne s’affiche. n est le
nombre maximal de fichiers journaux g&eacute;r&eacute;s,
lorsque la taille du fichier journal le plus
r&eacute;cent atteint sa taille maximale et qu’un
nouveau fichier journal est cr&eacute;&eacute;.
logFileSize
En Ko
Taille maximale d’un fichier journal. Lorsque
la taille du fichier journal le plus r&eacute;cent
atteint cette valeur, celui–ci est renomm&eacute;
puis un nouveau fichier journal est cr&eacute;&eacute;.
logFileName
chemin d’acc&egrave;s du
fichier
Nom du fichier journal le plus r&eacute;cent. Les
fichiers journaux les moins r&eacute;cents
poss&egrave;dent un num&eacute;ro de 1 &agrave; (n – 1) accol&eacute;
&agrave; leur nom ; plus ce num&eacute;ro est &eacute;lev&eacute;,
moins le fichier est r&eacute;cent.
logItem
Il s’agit d’un article &agrave; ERR_SYS
journaliser.
Erreur du syst&egrave;me au niveau de
l’interface menant &agrave; la plate–forme.
ERR_OBJ
Erreur d’objet entre des objets du
processus.
ERR_PROT
Erreur de protocole entre le client et le
serveur.
AVERTISSEMENT
Avertissement, m&eacute;rite l’attention de
l’utilisateur.
EVENEMENT
Ev&eacute;nement survenu dans le cadre du
processus.
ACTION
Action entreprise par le processus.
INFO
Information pouvant &ecirc;tre utile.
COMPTA
Qui a &eacute;t&eacute; servi et quand.
TRACE
Flux de code pour la r&eacute;solution
d’incidents.
Protocole TCP/IP
4-167
Un fichier /etc/dhcprd.cnf peut par exemple avoir les entr&eacute;es suivantes :
numLogFiles
logFileSize
logFileName
logItem
logItem
logItem
logItem
logItem
logItem
logItem
logItem
logItem
4
1000
/usr/tmp/dhcprd.log
SYSERR
OBJERR
PROTERR
WARNING
EVENT
ACTION
INFO
ACNTING
TRACE
Mot–cl&eacute;
Valeur
D&eacute;finition
relay
IPv4, IPv6, ou ALL
Indique le mode de relais de
paquets. Si IPv4 est indiqu&eacute;,
l’agent relais sert uniquement
d’agent relais dhcpv4. Il s’agit du
mode par d&eacute;faut de l’agent relais.
Si IPv6 est indiqu&eacute;, l’agent
relais sert uniquement d’agent
relais dhcpv6.
Si ALL est indiqu&eacute;, l’agent relais
sert uniquement d’agent relais
dhcpv4 et dhcpv6.
serveur
adresse IP
Indique l’adresse IP d’un serveur
bootp ou dhcp. Le paquet est
transmis aux serveurs r&eacute;pertori&eacute;s
dans ce fichier.
serveur6
Adresse IPv6
Indique l’adresse IPv6 du serveur
dhcpv6. Le paquet est transmis
aux serveurs r&eacute;pertori&eacute;s ici.
option6
&lt; code d’option &gt;
&lt; donn&eacute;es d’option &gt;
Indique les options de l’agent
relais dhcpv6. Le mot–cl&eacute; est
valide uniquement si le mode de
relais est d&eacute;fini pour IPv6. La
valeur code d’option est indiqu&eacute;e
par un nombre d&eacute;cimal. La
valeur donn&eacute;es d’option est
indiqu&eacute;e en tant que cha&icirc;ne mise
entre guillemets ou pas, ou au
format hexad&eacute;cimal (pr&eacute;c&eacute;d&eacute;e
de 0x)
site unique
4-168
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Indique que l’unit&eacute; sur laquelle
l’agent relais est utilis&eacute; appartient
&agrave; un seul site.
D&eacute;mon DHCP avec structure PXED
(Preboot Execution Environment Proxy)
Le serveur DHCP proxy PXE se comporte comme un serveur DHCP ; il &eacute;coute le trafic
client DHCP ordinaire et r&eacute;pond &agrave; certaines requ&ecirc;tes. Toutefois, contrairement au serveur
DHCP, le serveur DHCP proxy ne g&egrave;re pas les adresses r&eacute;seau, et il ne r&eacute;pond qu’aux
clients qui s’identifient en tant que clients PXE. Les r&eacute;ponses donn&eacute;es par le serveur DHCP
proxy PXE contiennent le m&eacute;canisme selon lequel le client localise les serveurs de
d&eacute;marrage ou les adresses r&eacute;seau et les descriptions des serveurs de d&eacute;marrage
compatibles pris en charge.
L’utilisation d’un serveur DHCP proxy PXE avec un serveur DHCP fournit trois
fonctionnalit&eacute;s cl&eacute;s. Tout d’abord, vous pouvez s&eacute;parer l’administration des adresses
r&eacute;seau de l’administration des images de d&eacute;marrage. En utilisant deux processus diff&eacute;rents
sur le m&ecirc;me syst&egrave;me, vous pouvez configurer les informations de d&eacute;marrage g&eacute;r&eacute;es par le
serveur DHCP proxy PXE sans intervenir sur la configuration du serveur DHCP ou avoir
besoin d’y acc&eacute;der. Ensuite, vous pouvez d&eacute;finir plusieurs serveurs de d&eacute;marrage et laisser
le client PXE en s&eacute;lectionner un lors du d&eacute;marrage. Chaque serveur de d&eacute;marrage peut,
par exemple, offrir un type diff&eacute;rent de syst&egrave;me d’exploitation ou de configuration syst&egrave;me.
Enfin, l’utilisation du serveur proxy offre la possibilit&eacute; de configurer le client PXE de telle
sorte qu’il utilise l’adressage IP multi–diffusion pour trouver la localisation des serveurs de
d&eacute;marrage compatibles.
Le serveur DHCP proxy PXE peut &ecirc;tre configur&eacute; pour s’ex&eacute;cuter sur le m&ecirc;me syst&egrave;me que
celui ex&eacute;cutant le serveur DHCP ou sur un syst&egrave;me diff&eacute;rent. En outre, il peut &ecirc;tre configur&eacute;
pour s’ex&eacute;cuter sur le syst&egrave;me qui ex&eacute;cute &eacute;galement le d&eacute;mon du serveur de d&eacute;marrage
ou sur un syst&egrave;me diff&eacute;rent.
Le serveur DHCP proxy PXE
Le serveur PXED est divis&eacute; en trois grandes parties : une base de donn&eacute;es, un moteur de
protocole et un ensemble de routines de service, chaque partie disposant de ses propres
informations de configuration.
La base de donn&eacute;es PXED
La base de donn&eacute;es db_file.dhcpo est utilis&eacute;e pour g&eacute;n&eacute;rer les options &agrave; transmettre au
client lorsqu’il envoie un paquet REQUEST. Les options renvoy&eacute;es par la base de donn&eacute;es
d&eacute;pendent du type de serveur choisi. Celui–ci est d&eacute;fini &agrave; l’aide du mot–cl&eacute; pxeservertype
dans le fichier pxed.cnf.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e.
Le moteur de protocole PXED
Pour AIX Version 4.3.1 et ult&eacute;rieures, le moteur de protocole PXED est bas&eacute; sur Preboot
Execution Environment (PXE) Specification Version 2.1 d’Intel, mais il reste compatible avec
PXE Specification Version 1.1. Le moteur de protocole utilise la base de donn&eacute;s pour
d&eacute;terminer quelles informations doivent &ecirc;tre retourn&eacute;es au client.
Op&eacute;rations PXED encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur PXED est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; de l’ex&eacute;cution. Comme le serveur PXED est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont d&eacute;finies sous la forme de routines qui interviennent occasionnellement pour
s’assurer du bon d&eacute;roulement de l’ex&eacute;cution.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
Protocole TCP/IP
4-169
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
L’autre routine traite les paquets. Selon le type du serveur, une ou deux routines sont
utilis&eacute;es. L’une d’entre elles &eacute;coute le port 67 et la deuxi&egrave;me le port 4011. Chacune peut
traiter une requ&ecirc;te d’un client.
Configuration du serveur PXED
Par d&eacute;faut, la configuration du serveur PXED est effectu&eacute;e par la lecture du fichier
/etc/pxed.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est d&eacute;marr&eacute; &agrave; partir de Web-based System Manager, de SMIT ou via les
commandes SRC.
La configuration de PXED constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
PXED sur votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients PXE. L’exemple suivant configure le d&eacute;mon pxed de telle sorte qu’il
s’ex&eacute;cute sur la m&ecirc;me machine que le serveur DHCP :
pxeservertype
proxy_on_dhcp_server
subnet default
{
vendor pxe
{
option 6
2
d&eacute;marrage multi–diffusion
option 8
1
2
# D&eacute;sactiver la d&eacute;couverte du serveur de
9.3.4.5
9.3.4.6
2
1
9.3.149.29
# L’option ci–dessus fournit la liste des
serveurs de d&eacute;marrage
option 9
0
”PXE bootstrap server” \
1
”Microsoft Windows NT Boot Server” \
2
”DOS/UNDI Boot Server”
option 10 20
”secondes avant la s&eacute;lection automatique de
la premi&egrave;re option du menu de d&eacute;marrage”
}
}
Les sous–options du conteneur fournisseur ne sont envoy&eacute;es aux clients PXE que si
l’adresse IP du client figure dans la plage d’adresses IP du sous–r&eacute;seau (de 9.3.149.0 &agrave;
9.3.149.255 par exemple).
L’exemple suivant configure le d&eacute;mon pxed de telle sorte qu’il s’ex&eacute;cute sur une autre
machine que le serveur DHCP :
4-170
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
subnet default
{
vendor pxe
{
option
6
10
# Le nom du fichier de d&eacute;marrage est
pr&eacute;sent dans la proposition de paquet
# pxed du client.
option
8
1
2
9.3.4.5
9.3.4.6
2
1
9.3.149.29
# L’option ci–dessus fournit la liste des
serveurs de d&eacute;marrage
option
9
0
”PXE bootstrap server” \
1
”Microsoft Windows NT Boot Server”
\
2
”DOS/UNDI Boot Server”
option 10 20
”secondes avant la s&eacute;lection automatique de
la premi&egrave;re option du menu de d&eacute;marrage”
bootstrapserver
9.3.148.65
pxebootfile
1
2
1
window.one
pxebootfile
2
2
1
linux.one
pxebootfile
1
2
1
hello.one
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
pxebootfile
2
2
1
window.one
}
}
Vendor pxeserver
{
option
7
224.234.202.202
}
Le mot–cl&eacute; pxeservertype n’est pas d&eacute;fini dans le fichier de configuration. La valeur par
d&eacute;faut pdhcp_only est donc utilis&eacute;e, ce qui signifie que le serveur PXED est ex&eacute;cut&eacute; sur
une machine diff&eacute;rente que le serveur DHCP. Dans cette configuration, le serveur PXED est
&agrave; l’&eacute;coute des paquets BINLD REQUEST/INFORM des clients sur deux ports (67 et 4011).
L’option 7 est envoy&eacute;e au serveur BINLD lorsque le serveur PXED re&ccedil;oit un paquet
REQUEST/INFORM en provenance de BINLD sur le port 67 et si l’option 60 est d&eacute;finie sur
le serveur PXED.
La clause de base de donn&eacute;es db_file indique la m&eacute;thode &agrave; utiliser pour le traitement de
cette portion du fichier de configuration. Les commentaires sont introduits par le symbole #.
Tout le texte plac&eacute; entre le # et la fin de la ligne est ignor&eacute; par le serveur PXED. Chaque
ligne d’option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit faire. La
section Sous–options du conteneur fournisseur PXE page 4-175 d&eacute;crit les sous–options
reconnues et prises en charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options
inconnues du serveur, reportez–vous &agrave; la section Syntaxe du fichier de serveur PXED pour
le fonctionnement g&eacute;n&eacute;ral du serveur, page 4-177.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’Identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
Protocole TCP/IP
4-171
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute; &agrave;
ce conteneur.
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77
(User Site Class Identifier – identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60
(Vendor Class Identifier – identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients PXE et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur
de correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs plac&eacute;s dans le
conteneur global s’appliquent &agrave; tous les conteneurs. La plupart des conteneurs peuvent &ecirc;tre
inclus dans d’autres conteneurs, ce qui implique une certaine visibilit&eacute;. Les conteneurs
peuvent ou non &ecirc;tre associ&eacute;s &agrave; des plages d’adresses. Tel est le cas, par nature, des
sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
•
Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
•
Les conteneurs client restreints ne peuvent englober de sous–conteneurs.
En tenant compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs
qui r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction
de leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique.
Par exemple :
4-172
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
L’exemple ci–dessus pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2.
Il y a un nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de
client, Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils
r&eacute;sident dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identiques mais leurs
valeurs, diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis
Sous–r&eacute;seau 1 avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va
g&eacute;n&eacute;rer le chemin de conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2),
Client 1 (au niveau de Classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1, puis de Client 1 au niveau de
Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous dans
la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re instruction
client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de Classe 1 au sein
de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1
(au niveau de Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Protocole TCP/IP
4-173
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. La raison en est que les options
sp&eacute;cifiques au r&eacute;seau dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est
pas utilis&eacute;e &agrave; partir de ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Journalisation
Les param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de
donn&eacute;es, mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est
conseill&eacute; d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de
configurer cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration
puissent &ecirc;tre consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute;
logitem active le niveau de journalisation ; si vous supprimez logitem, le niveau de
journalisation sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent
d’indiquer le nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute; de configuration ainsi que la structure du
fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les performances
du serveur PXED.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client PXE. L’ajout
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi la limitation du
volume de journalisation am&eacute;liore les performances du serveur PXED. En cas de
pr&eacute;somption d’erreur sur le serveur PXED, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide de la commande SRC traceson.
4-174
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Sous–options du conteneur fournisseur PXE
Dans le cadre de la prise en charge d’un client PXE, le serveur DHCP transmet l’option
suivante au serveur BINLD, qui l’utilise pour sa configuration :
Opt
Num
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e ? Description
6
Nombre d&eacute;cimal
Oui
PXE_DISCOVERY_CONTROL. Limite 0–16.
Ceci est un champ de bit. Bit 0 est le bit le moins
significatif.
bit 0
S’il est d&eacute;fini, il d&eacute;sactive la d&eacute;couverte
de diffusion.
bit 1
S’il est d&eacute;fini, il d&eacute;sactive la d&eacute;couverte
de multidiffusion.
bit 2
S’il est d&eacute;fini, seuls les serveurs de
PXE_BOOT_ SERVERS sont
utilis&eacute;s/accept&eacute;s.
bit 3
S’il est d&eacute;fini, et si un nom de fichier de
d&eacute;marrage est pr&eacute;sent dans le paquet
PXED initial, le fichier de d&eacute;marrage est
t&eacute;l&eacute;charg&eacute; (sans invite pr&eacute;alable).
bit 4–7
Doit &ecirc;tre d&eacute;fini sur 0. Si cette option
n’est pas fournie, le client suppose que
tous les bits sont &eacute;gaux &agrave; 0.
7
Un ”dotted quad”
Oui
Adresse IP de multi–diffusion. Adresse IP de
multi–diffusion de d&eacute;couverte du serveur de
d&eacute;marrage. Les serveurs dot&eacute;s de cette
fonctionnalit&eacute; doivent &eacute;couter cette adresse de
multi–diffusion. Cette option est requise si le bit de
d&eacute;sactivation de la d&eacute;couverte multi–diffusion (bit
1) de l’option PXE_DISCOVERY_ CONTROL n’est
pas d&eacute;fini.
Protocole TCP/IP
4-175
Opt
Num
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e ? Description
8
Boot server type
(0–65535)
Oui
PXE_BOOT_SERVERS IP address count (0–256)
Type 0
Microsoft Windows IP address...IP address NT
Boot Server Boot server type IP address
Type 1
Intel LCM Boot Server count IP address ...
Type 3
DOS/UNDI Boot Server IP address
Type 4
NEC ESMPRO Boot Server
Type 5
WSoD Boot Server
Type 6
LCCM Boot Server
Type 7
CA Unicenter TNG Boot Server.
Type 8
HP OpenView Boot Server.
Types 9 &agrave; 32767
R&eacute;serv&eacute;s
Types 32768 &agrave; 65534
A l’usage du fournisseur
Type 65535
PXE API Test Server.
Si IP address count a la valeur z&eacute;ro pour un type
de serveur, le client peut accepter des offres de
n’importe quel serveur de d&eacute;marrage de ce type.
Les serveurs de d&eacute;marrage ne r&eacute;pondent pas aux
requ&ecirc;tes de d&eacute;couverte des types qu’ils ne
prennent pas en charge.
4-176
9
Boot server type
(0–65535)
Oui
PXE_BOOT_MENU ”description” ”order” du
serveur de d&eacute;marrage implicite dans le type.
”description”...menu order.
10
D&eacute;lai d’attente en
secondes (0–255)
Oui
PXE_MENU_PROMPT ”prompt” Le d&eacute;lai d’attente
correspond au nombre de secondes avant la
s&eacute;lection automatique de la premi&egrave;re option du
menu de d&eacute;marrage. Sur le syst&egrave;me client, l’invite
est affich&eacute;e suivie du nombre de secondes restant
avant cette s&eacute;lection. Si l’utilisateur appuie sur la
touche F8 sur le syst&egrave;me client, un menu est
affich&eacute;. Si cette option est fournie au client, le
menu est affich&eacute; sans invite ni d&eacute;lai d’attente. Si le
d&eacute;lai d’attente est &eacute;gal &agrave; 0, la premi&egrave;re option du
menu est automatiquement s&eacute;lectionn&eacute;e. Si le
d&eacute;lai d’attente est &eacute;gal &agrave; 255, le menu et l’invite
sont affich&eacute;s sans s&eacute;lection automatique ni d&eacute;lai
d’attente.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Syntaxe du fichier de serveur PXED pour le fonctionnement g&eacute;n&eacute;ral
du serveur
Remarque :
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont
les secondes (1), les minutes (60), les heures (3600), les jours (86400),
les semaines (604800), les mois (2392000) et les ann&eacute;es (31536000). Le
nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
database
database db type
Oui
Aucune
Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s client.
db type est le nom du module charg&eacute;
pour traiter cette portion du fichier.
La seule valeur actuellement disponible
est db_file.
logging_
info
logging_info
Oui
Aucune
Conteneur de journalisation principal
d&eacute;finissant les param&egrave;tres de
journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour tous
par
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
logitem SYSERR
logitem OBJERR
logitem
PROTOCOL
logitem PROTERR
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem
PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
numLog
Files
numLogFiles n
Non
0
Indique le nombre de fichiers journaux
&agrave; cr&eacute;er. Les journaux alternent lorsque
le premier journal est rempli. n est le
nombre de journaux &agrave; cr&eacute;er.
logFile
Size
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de
1024 octets.
Protocole TCP/IP
4-177
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
logFile
Name
logFileName path
Non
Aucune
Indique le chemin d’acc&egrave;s au premier
fichier journal. Le nom d’origine du
fichier journal est nomfichier ou
nomfichier.extension. nomfichier est
limit&eacute; &agrave; huit caract&egrave;res. Lorsque la
permutation des fichiers est effectu&eacute;e,
le premier fichier est renomm&eacute; en
conservant la base du nom, nomfichier,
et en lui ajoutant un num&eacute;ro, ou en
rempla&ccedil;ant l’extension par un num&eacute;ro.
Par exemple, si le nom original du
fichier est file, le nom du fichier apr&egrave;s
permutation devient file01. Si le nom
du fichier d’origine est file.log, il
devient file.01.
pxeserve
r
type
pxeservertype
servertype
Non
dhcp_only Indique le type du serveur dhcpsd.
servertype peut avoir la valeur
proxy_on_dhcp_server, ce qui signifie
que PXED est ex&eacute;cut&eacute; sur la m&ecirc;me
machine que le serveur DHCP et est &agrave;
l’&eacute;coute des requ&ecirc;tes client PXE sur le
port 4011 uniquement, ou la valeur par
d&eacute;faut pdhcp_only, ce qui signifie que
PXED est ex&eacute;cut&eacute; sur une machine &agrave;
part et doit &eacute;couter les paquets client
sur les ports 67 et 4011.
Remarques sur la syntaxe du fichier de serveur PXED pour la base
de donn&eacute;es db_file :
Remarques :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux d’un
sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau particulier, autoriser les clients BOOTP en
indiquant le mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res. Pour la
classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave; l’int&eacute;rieur
des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne doit &ecirc;tre
consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les expressions
r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est utilis&eacute;e pour
repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent une cha&icirc;ne ASCII. Pour tout
autre nombre, les donn&eacute;es sont des chiffres hexad&eacute;cimaux.
4-178
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
subnet
subnet
default
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau sans
plage associ&eacute;e. Il n’est utilis&eacute; par le
serveur que lorsqu’il r&eacute;pond &agrave; un
paquet INFORM &eacute;manant du client.
subnet
subnet
subnet id
netmask
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau et un pool
d’adresses. Toutes les adresses
sont suppos&eacute;es faire partie du pool,
sauf si une plage est sp&eacute;cifi&eacute;e sur
l ligne
la
li
ou sii lles adresses
d
sontt
modifi&eacute;es ult&eacute;rieurement dans le
conteneur par une instruction de
plage ou d’exclusion. La plage
facultative est une paire d’adresses
IP en format de ”dotted quad”
s&eacute;par&eacute;es par un tiret. Il est possible
de pr&eacute;ciser un label et une priorit&eacute;.
Ceux–ci sont utilis&eacute;s dans les
sous–r&eacute;seaux virtuels pour
identifier et classer les
sous–r&eacute;seaux du sous–r&eacute;seau
virtuel. Le label et la priorit&eacute; sont
s&eacute;par&eacute;s par un signe deux–points.
Ces conteneurs ne sont autoris&eacute;s
qu’au niveau global ou au niveau
du conteneur base de donn&eacute;es.
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau qui
s’inscrit dans un conteneur r&eacute;seau.
Il d&eacute;finit une plage d’adresses
formant la totalit&eacute; du sous–r&eacute;seau,
sauf si la plage facultative est
indiqu&eacute;e. Le masque de r&eacute;seau
associ&eacute; au sous–r&eacute;seau est issu du
conteneur r&eacute;seau environnant.
subnet
subnet id
netmask
range
subnet
subnet id
netmask
label:priority
subnet
subnet id
netmask
range
label:priority
subnet
subnet
subnet id
range
Remarque: Cette m&eacute;thode est
d&eacute;conseill&eacute;e au profit
des autres formes de
sous–r&eacute;seaux.
Protocole TCP/IP
4-179
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
option
option
number data
...
Non
Aucune
Sp&eacute;cifie une option &agrave; envoyer &agrave; un
client ou, dans le cas d’un refus
(deny), une option qui ne doit pas
&ecirc;tre envoy&eacute;e &agrave; un client. La clause
optionnelle * deny signifie que
toutes les options non sp&eacute;cifi&eacute;es
dans le conteneur en cours ne
doivent pas &ecirc;tre retourn&eacute;es au
client. L’option numberdeny ne
refuse que l’option sp&eacute;cifi&eacute;e.
number est un entier 8 bits non
sign&eacute;. data est sp&eacute;cifique &agrave; l’option
(voir ci–dessus) ou peut &ecirc;tre d&eacute;finie
sous la forme d’une cha&icirc;ne entre
guillemets (texte
ASCII)) ou
g
(
0xhexdigits ou hex”hexdigits” ou
encore hex ”hexdigits”. Si l’option
correspond &agrave; un conteneur
fournisseur, elle sera encapsul&eacute;e
avec les autres options dans une
option 43.
Non
Aucune
Modifie la plage sur le conteneur
qui comporte l’instruction exclude.
L’instruction exclude n’est pas
valide au niveau des conteneurs de
base de donn&eacute;es ou au niveau
g&eacute;n&eacute;ral. L’instruction exclude
supprime l’adresse ou la plage
sp&eacute;cifi&eacute;e de la plage actuelle sur le
conteneur. Elle permet de cr&eacute;er des
plages non contigu&euml;s pour sous
sous–r&eacute;seaux ou d’autres
conteneurs.
Non
Aucune
Modifie la plage sur le conteneur
qui comporte l’instruction range.
L’instruction range n’est pas valide
au niveau des conteneurs de base
de donn&eacute;es ou au niveau g&eacute;n&eacute;ral.
S’il s’agit de la premi&egrave;re plage du
conteneur qui ne sp&eacute;cifie pas une
plage sur la ligne de d&eacute;finition du
conteneur, la plage du conteneur
devient alors la plage sp&eacute;cifi&eacute;e par
l’instruction range. Toute instruction
range suivante, ou toutes les
instructions range dans le cas d’un
conteneur sp&eacute;cifiant des plages
dans sa d&eacute;finition sont ajout&eacute;es &agrave; la
page actuelle. Avec l’instruction
range, il est possible d’ajouter &agrave; la
plage existante une adresse unique
ou un jeu d’adresses. La plage doit
&ecirc;tre incorpor&eacute;e dans la d&eacute;finition du
conteneur de sous–r&eacute;seau.
option
numberdeny
option * deny
exclude
exclude an
IP address
exclude
dotted_quad
–dotted_
quad
range
range
IP_address
range
dotted_quad
–dotted_
quad
4-180
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
client
client hwtype Oui
hwaddr
NONE
Aucune
Sp&eacute;cifie un conteneur client qui
emp&ecirc;che le client indiqu&eacute; par
hwaddr et hwtype d’obtenir une
adresse. Si hwtype est 0, alors
hwaddr est une cha&icirc;ne ASCII.
Sinon, hwtype correspond au type
de mat&eacute;riel du client et hwaddr &agrave;
l’adresse du mat&eacute;riel du client. Si
hwaddr est une cha&icirc;ne,, des
guillemets peuvent encadrer la
cha&icirc;ne. Si hwaddr est une cha&icirc;ne
hexad&eacute;cimale, l’adresse peut &ecirc;tre
sp&eacute;cifi&eacute;e sous la forme 0xhexdigits
ou hex digits. range permet au
client
li t sp&eacute;cifi&eacute;
&eacute; ifi&eacute; par hwaddr
h dd ett hwtype
h t
d’obtenir une adresse faisant partie
de cette plage. Pour faire r&eacute;f&eacute;rence
&agrave; plusieurs clients, il faut utiliser
une expression r&eacute;guli&egrave;re.
Aucune
Sp&eacute;cifie un conteneur classe
portant le nom string. La cha&icirc;ne
peut ou non &ecirc;tre plac&eacute;e entre
guillemets. Si oui, les guillemets
sont supprim&eacute;s avant la
comparaison. Les guillemets sont
obligatoires si la cha&icirc;ne contient
des espaces
ou des tabulations. Ce
p
conteneur est autoris&eacute; &agrave; tous les
niveaux. Il est possible d’indiquer
une plage pour sp&eacute;cifier le jeu
d’adresses &agrave; proposer au client
avec cette classe. La plage est soit
une adresse IP en format de
”dotted quad”, soit deux adresses
IP en format de ”dotted quad”
s&eacute;par&eacute;es par un tiret.
client hwtype
hwaddr ANY
client hwtype
hwaddr
dotted_quad
client hwtype
hwaddr
range
class
class string
class string
range
Oui
Signification
Protocole TCP/IP
4-181
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
r&eacute;seau
network
network id
netmask
Oui
Sp&eacute;cifie un ID de r&eacute;seau &agrave; l’aide
des informations de classe (par
exemple 9.3.149.0 avec un masque
de r&eacute;seau de 255.255.255.0
correspond au r&eacute;seau 9.0.0.0
255.255.255.0). Cette version du
conteneur de r&eacute;seau est utilis&eacute;e
sous–r&eacute;seaux
pour englober les sous
r&eacute;seaux
partageant le m&ecirc;me masque et le
m&ecirc;me ID de r&eacute;seau. Lorsqu’une
plage est fournie, toutes les
adresses de la plage font partie du
pool. La plage doit &ecirc;tre comprise
dans le r&eacute;seau de l’ID de r&eacute;seau.
Elle fait appel &agrave; l’adresse
l adresse int&eacute;grale
de la classe. Elle n’est valide qu’au
niveau g&eacute;n&eacute;ral ou au niveau du
conteneur de base de donn&eacute;es.
Aucune
network
network id
network
network id
range
Remarque: Le mot–cl&eacute; network
est d&eacute;conseill&eacute; au
profit du conteneur de
sous–r&eacute;seau.
vendor
vendor
vendor_id
Oui
Aucune
vendor
vendor_id
hex””
vendor
vendor_id
hex ””
vendor
vendor_id
0xdata
vendor
vendor_id ””
vendor
vendor_id
range
vendor
vendor_id
range hex””
vendor
vendor_id
range hex ””
vendor
vendor_id
range 0xdata
vendor
vendor_id
range ””
4-182
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Sp&eacute;cifie un conteneur de
fournisseur. Les conteneurs
f
i
tili &eacute; pour
fournisseur
sontt utilis&eacute;s
retourner l’option 43 au client.
L’id de fournisseur peut &ecirc;tre
sp&eacute;cifi&eacute; sous la forme d’une cha&icirc;ne
entre guillemets ou d’une cha&icirc;ne
binaire du type 0xhexdigits ou
hex”digits”.
hex
digits . Il est possible d’ajouter
d ajouter
&agrave; l’id de fournisseur une plage
facultative, en utilisant deux ”dotted
quad” s&eacute;par&eacute;s par un tiret. A la
suite de la plage facultative
facultative, une
cha&icirc;ne hexad&eacute;cimale ou ASCII
&eacute;galement facultative peut &ecirc;tre
indiqu&eacute;e comme premi&egrave;re partie de
l’option 43. Si des options figurent
dans le conteneur,, elles sont
annex&eacute;es aux donn&eacute;es de
l’option 43. Une fois toutes les
options trait&eacute;es, une option End Of
Option List (fin de la liste d’options)
est ajout&eacute;e aux donn&eacute;es. Pour
retourner les options en dehors
d’une
d
une option 43, utilisez une
expression r&eacute;guli&egrave;re correspondant
&agrave; tous les clients pour sp&eacute;cifier les
p
y en
options
normales &agrave; renvoyer
fonction
de l’ID ffournisseur.
f
i d
i
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
inoption
inoption
number
option_data
Oui
Indique un conteneur &agrave; rapprocher
d’une option entrante arbitraire
d&eacute;finie par le client. number indique
le num&eacute;ro de l’option. option_data
d&eacute;finit la cl&eacute; correspondant au
conteneur &agrave; s&eacute;lectionner lors du
choix de l’adresse et de l’option
pour ce client. La cl&eacute; option_data
se pr&eacute;sente sous forme de cha&icirc;ne
entre guillemets, d’adresse IP ou
de nombre entier pour les options
connues mais peut &eacute;galement se
pr&eacute;senter sous forme de cha&icirc;ne
hexad&eacute;cimale d’octets si elle est
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x. Pour
les options que le serveur conna&icirc;t
mal, il est possible de d&eacute;finir une
cha&icirc;ne hexad&eacute;cimale d’octets sur le
m&ecirc;me sch&eacute;ma. En outre, la valeur
option_data peut faire r&eacute;f&eacute;rence &agrave;
une expression r&eacute;guli&egrave;re &agrave;
rapprocher de la repr&eacute;sentation en
cha&icirc;ne des donn&eacute;es d’option du
client. Ces expressions r&eacute;guli&egrave;res
se pr&eacute;sentent sous la forme d’une
cha&icirc;ne entre guillemets (dont le
premier caract&egrave;re est un point
d’exclamation ”!). Les options peu
connues du serveur se pr&eacute;sentent
sous forme de cha&icirc;ne
hexad&eacute;cimale d’octets NON
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x.
inoption
number
option_data
range
Aucune
Protocole TCP/IP
4-183
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
virtual
virtual fill id
id ...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique. fill signifie
utiliser toutes les adresses de ce
conteneur avant de passer au
suivant. rotate signifie
s&eacute;lectionner une adresse du pool
suivant de la liste sur chaque
requ&ecirc;te. sfill et srotate sont
identiques &agrave; fill et rotate, mais
une recherche est effectu&eacute;e pour
savoir si le client correspond aux
conteneurs,, aux fournisseurs ou
aux classes du sous–r&eacute;seau. Si
une correspondance permet
d’obtenir une adresse, cette
adresse est adopt&eacute;e &agrave; partir du
conteneur au lieu de suivre la
politique indiqu&eacute;e. Il peut y avoir
autant
t t d’ID que n&eacute;cessaire.
&eacute;
i id estt
soit l’ID de sous–r&eacute;seau de la
d&eacute;finition de sous–r&eacute;seau, soit le
label de cette m&ecirc;me d&eacute;finition. Le
label est n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
virtual sfill id
id ...
virtual rotate
id id ...
virtual
srotate id id
...
4-184
inorder:
inorder: id id
...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique de remplissage,
ce qui signifie utiliser toutes les
adresses de ce conteneur avant de
passer au conteneur suivant. Il peut
y avoir autant d’ID que n&eacute;cessaire.
id est soit l’ID de sous–r&eacute;seau de la
d&eacute;finition de sous–r&eacute;seau, soit le
label de cette m&ecirc;me d&eacute;finition. Le
label est n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
balance:
balance: id
id ...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique de rotation,
ce qui signifie utiliser l’adresse
suivante du conteneur suivant.
Il peut y avoir autant d’ID que
n&eacute;cessaire. id est soit l’ID de
sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
Valeur
conteneurs ? par
d&eacute;faut
Signification
Non
Aucune
Indique le serveur que les clients
doivent utiliser comme point de
d&eacute;part vers les fichiers TFTP &agrave;
l’issue de la r&eacute;ception de paquets
BOOTP ou DHCP. Cette valeur
compl&egrave;te le champ siaddr du
paquet. Cette option est valide &agrave;
tous les niveaux de conteneur.
giaddrfield IP Non
address
Aucune
D&eacute;finit le champ giaddrfield pour
les paquets de r&eacute;ponse.
bootstrap bootstrapser
server
ver IP
address
giaddr
field
Remarque : Cette sp&eacute;cification
n’est pas autoris&eacute;e pour les
protocoles BOOTP et DHCP, mais
certains clients exigent le champ
giaddr comme passerelle par
d&eacute;faut pour le r&eacute;seau. En raison de
ce risque de conflit, il est conseill&eacute;
de n’utiliser giaddrfield qu’au sein
d’un conteneur client, bien que
l’option fonctionne &agrave; tous les
niveaux.
bootfile
bootfile path
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave;
utiliser dans la section fichier du
paquet de r&eacute;ponse. Cette option
peut &ecirc;tre d&eacute;finie &agrave; tous les niveaux
de conteneur. La politique bootfile
d&eacute;finit comment les &eacute;l&eacute;ments
sp&eacute;cifi&eacute;s dans la section fichier du
paquet entrant se conjuguent avec
les instructions du fichier de
d&eacute;marrage et du r&eacute;pertoire
personnel.
pxeboot
file
pxebootfile
Non
System Arch
MajorVer
MinorVer
Bootfilename
Aucune
Indique le fichier de d&eacute;marrage &agrave;
donner &agrave; un client. L’analyseur du
fichier de configuration g&eacute;n&egrave;re une
erreur si le nombre de param&egrave;tres
apr&egrave;s le mot–cl&eacute; est inf&eacute;rieur &agrave;
quatre, et il ignore les param&egrave;tres
suppl&eacute;mentaires. Ce mot–cl&eacute; ne
peut &ecirc;tre utilis&eacute; que dans un
conteneur.
Pour plus d’informations sur les autres options, reportez–vous &agrave; la section Options connues
du fichier du serveur DHCP, page 4-109.
Protocole TCP/IP
4-185
D&eacute;mon BINLD (Boot Image Negotiation Layer Daemon)
Le serveur BINLD constitue le troisi&egrave;me contact des clients PXE. Apr&egrave;s avoir communiqu&eacute;
avec le serveur DHCP pour obtenir une adresse IP, et avec le serveur DHCP proxy PHE
pour conna&icirc;tre la localisation du serveur de d&eacute;marrage, ce dernier est contact&eacute; afin
d’obtenir le chemin d’acc&egrave;s &agrave; partir duquel t&eacute;l&eacute;charger l’image de d&eacute;marrage. Le client PXE
peut revenir communiquer plusieurs fois avec le serveur de d&eacute;marrage au cours de
l’initialisation s’il a besoin de plusieurs fichiers pour son processus de d&eacute;marrage.
La derni&egrave;re &eacute;tape du d&eacute;marrage du r&eacute;seau PXE est le t&eacute;l&eacute;chargement de l’image de
d&eacute;marrage fournie par le serveur de d&eacute;marrage. La localisation du serveur TFTP et le nom
du fichier qui doit &ecirc;tre t&eacute;l&eacute;charg&eacute; sont donn&eacute;s par le serveur de d&eacute;marrage au client PXE.
Le serveur BINLD
A partir de la mise &agrave; jour version 4.3.3, le serveur BINLD est segment&eacute; en trois composants
principaux : une base de donn&eacute;es, un moteur de protocole et un ensemble de routines de
service, chaque &eacute;l&eacute;ment disposant de ses propres informations de configuration.
La base de donn&eacute;es BINLD
La base de donn&eacute;es db_file.dhcpo est utilis&eacute;e pour g&eacute;n&eacute;rer les options qui r&eacute;pondent &agrave; un
paquet REQUEST d’un client. Les options renvoy&eacute;es par la base de donn&eacute;es d&eacute;pendent du
type de serveur choisi. Les options sont d&eacute;finies &agrave; l’aide du mot–cl&eacute; pxeservertype dans le
fichier binld.cnf.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e.
Le moteur de protocole BINLD
Le moteur de protocole PXED est bas&eacute; sur Preboot Execution Environment (PXE)
Specification Version 2.1 d’Intel, mais il reste compatible avec PXE Specification Version
1.1. Le moteur de protocole utilise la base de donn&eacute;s pour d&eacute;terminer quelles informations
doivent &ecirc;tre retourn&eacute;es au client.
Op&eacute;rations BINLD encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur BINLD est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; de l’ex&eacute;cution. Comme le serveur BINLD est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont d&eacute;finies sous la forme de routines qui interviennent occasionnellement pour
s’assurer du bon d&eacute;roulement de l’ex&eacute;cution.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
L’autre routine traite les paquets. Selon le type du serveur, une ou deux routines sont
utilis&eacute;es. L’une d’entre elles &eacute;coute le port 67 et la deuxi&egrave;me le port 4011. Chacune peut
traiter une requ&ecirc;te d’un client.
4-186
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration de BINLD
Par d&eacute;faut, la configuration du serveur BINLD est effectu&eacute;e par la lecture du fichier
/etc/binld.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est d&eacute;marr&eacute; &agrave; partir de Web-based System Manager, de SMIT ou via les
commandes SRC.
La configuration de BINLD constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
BINLD sur votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients PXE. L’exemple suivant configure un serveur BINLD ex&eacute;cut&eacute; sur la
m&ecirc;me machine que le serveur DHCP :
pxeservertype
binld_on_dhcp_server
subnet default
{
vendor pxe
{
bootstrapserver 9.3.149.6
#TFTP server IP address
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one 6
7
}
}
}
Dans la configuration ci–dessus, le serveur BINLD &eacute;coute les paquets uni–diffus&eacute;s d’un
client sur le port 4011 et les paquets multi–diffus&eacute;s sur ce m&ecirc;me port si BINLD obtient
l’adresse de multi–diffusion de dhcpsd/pxed. Le serveur BINLD r&eacute;pond aux paquets
REQUEST/INFORM du client avec le nom du fichier de d&eacute;marrage et l’adresse IP du
serveur TFTP. Si BINLD ne trouve pas le fichier de d&eacute;marrage avec une couche
correspondante sp&eacute;cifi&eacute;e par le client, il tente ensuite de trouver un fichier de d&eacute;marrage
pour la couche suivante. BINLD ne r&eacute;pond pas lorsqu’aucun fichier de d&eacute;marrage ne
correspond aux requ&ecirc;tes du client (Type, SystemArch, MajorVers, MinorVers et Layer).
L’exemple ci–dessous configure BINLD pour une ex&eacute;cution sur une machine &agrave; part (DHCP
et PXED ne sont pas ex&eacute;cut&eacute;s sur la m&ecirc;me machine).
subnet 9.3.149.0 255.255.255.0
{
vendor pxe
{
bootstrapserver
9.3.149.6
# Adresse IP du serveur TFTP.
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one
6
7
}
}
}
Dans l’exemple ci–dessus, pxeservertype n’est pas d&eacute;fini, le type de serveur par d&eacute;faut est
donc binld_only. Le serveur BINLD &eacute;coute les paquets uni–diffus&eacute;s d’un client sur le port
4011, les paquets diffus&eacute;s et uni–diffus&eacute;s sur le port 67 et les paquets multi–diffus&eacute;s sur le
port 4011 si BINLD obtient l’adresse de multi–diffusion de dhcpsd/pxed. Le nom du fichier
de d&eacute;marrage et l’adresse IP du serveur TFTP ne sont envoy&eacute;s &agrave; un client PXE que si son
adresse IP figure dans la plage d’adresses IP du sous–r&eacute;seau (de 9.3.149.0 &agrave; 9.3.149.255).
Protocole TCP/IP
4-187
L’exemple suivant configure BINLD pour une ex&eacute;cution sur la m&ecirc;me machine que le
serveur PXED :
pxeservertype
binld_on_proxy_server
subnet default
{
vendor
{
bootstrapserver
9.3.149.6
# Adresse IP du serveur TFTP.
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one 6
7
}
}
}
Dans cette configuration, le serveur BINLD n’&eacute;coute les paquets multi–diffus&eacute;s sur le port
4011 que si BINLD obtient une adresse de multi–diffusion de dhcpsd/pxed. S’il ne re&ccedil;oit pas
d’adresse de multidiffusion, BINLD est ferm&eacute; et un message d’erreur est enregistr&eacute; dans le
fichier journal.
La clause de base de donn&eacute;es db_file indique la m&eacute;thode &agrave; utiliser pour le traitement de
cette portion du fichier de configuration. Les commentaires sont introduits par le symbole #.
Tout le texte plac&eacute; entre le # et la fin de la ligne est ignor&eacute; par le serveur PXED. Chaque
ligne d’option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit faire. La
section Sous–options du conteneur fournisseur PXE page 4-175 d&eacute;crit les sous–options
reconnues et prises en charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options
inconnues du serveur, reportez–vous &agrave; la section Syntaxe du fichier de serveur BINLD
pour le fonctionnement g&eacute;n&eacute;ral du serveur, page 4-191.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’Identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute;
&agrave; ce conteneur.
4-188
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77
(User Site Class Identifier – identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60
(Vendor Class Identifier – identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients PXED et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur de
correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs plac&eacute;s dans le
conteneur global s’appliquent &agrave; tous les conteneurs. La plupart des conteneurs peuvent &ecirc;tre
inclus dans d’autres conteneurs, ce qui implique une certaine visibilit&eacute;. Les conteneurs
peuvent ou non &ecirc;tre associ&eacute;s &agrave; des plages d’adresses. Tel est le cas, par nature, des
sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
• Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
• Les conteneurs client restreints ne peuvent englober de sous–conteneurs. En tenant
compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs qui
r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction de
leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par
exemple :
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
Protocole TCP/IP
4-189
Cet exemple pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2. Il y a un
nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de client,
Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils r&eacute;sident
dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identique mais leurs valeurs,
diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis Sous–r&eacute;seau 1
avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va g&eacute;n&eacute;rer le chemin
de conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2),
Client 1 (au niveau de Classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1, puis de Client 1 au niveau de
Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous dans
la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re instruction
client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de Classe 1 au sein
de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1
(au niveau de Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
4-190
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. La raison en est que les options
sp&eacute;cifiques au r&eacute;seau dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est
pas utilis&eacute;e &agrave; partir de ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Journalisation
Les param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de
donn&eacute;es, mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est
conseill&eacute; d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de
configurer cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration
puissent &ecirc;tre consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute;
logitem active le niveau de journalisation ; si vous supprimez logitem, le niveau de
journalisation sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent
d’indiquer le nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute;s de configuration ainsi que la structure
du fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les
performances du serveur PXED.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client PXE. L’ajout
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi la limitation du
volume de journalisation am&eacute;liore les performances du serveur PXED. En cas de
pr&eacute;somption d’erreur sur le serveur PXED, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide de la commande SRC traceson.
Syntaxe du fichier de serveur BINLD pour le fonctionnement
g&eacute;n&eacute;ral du serveur
Remarque :
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont
les secondes (1), les minutes (60), les heures (3600), les jours (86400),
les semaines (604800), les mois (2392000) et les ann&eacute;es (31536000).
Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Protocole TCP/IP
4-191
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
database
database db type
Oui
Aucune Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s
client. db type est le nom du
module charg&eacute; pour traiter cette
portion du fichier. La seule valeur
actuellement disponible est db_file.
logging_info
logging_info
Oui
Aucune Conteneur de journalisation
principal d&eacute;finissant les param&egrave;tres
de journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour
tous
par
d&eacute;faut
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
logitem SYSERR
logitem OBJERR
logitem PROTOCOL
logitem PROTERR
Signification
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
4-192
numLogFiles
numLogFiles n
Non
0
Indique le nombre de fichiers
journaux &agrave; cr&eacute;er. Les journaux
alternent lorsque le premier journal
est rempli. n est le nombre de
journaux &agrave; cr&eacute;er.
logFileSize
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de
1024 octets.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
logFileName
logFileName path
Non
Aucune Indique le chemin d’acc&egrave;s au
premier fichier journal. Le nom
d’origine du fichier journal est
nomfichier ou nomfichier.extension.
Lorsque la permutation des fichiers
est effectu&eacute;e, le premier fichier est
renomm&eacute; en conservant la base du
nom, nomfichier, et en lui ajoutant
un num&eacute;ro, ou en rempla&ccedil;ant
l’extension par un num&eacute;ro. Par
exemple, si le nom original du
fichier est file, le nom du fichier
apr&egrave;s permutation devient file01.
Si le nom du fichier d’origine est
file.log, il devient file.01.
pxeservertype pxeservertype
servertype
Non
dhcp_o
nly
dhcp_or_prox
y _address
Non
Aucune Ce mot–cl&eacute; fournit l’adresse IP du
serveur dhcp ou pxed auquel le
serveur BINLD peut envoyer un
paquet uni–diffus&eacute; de type
REQUEST/INFORM pour recevoir
l’adresse de multi–diffusion. Ce
mot–cl&eacute; n’est d&eacute;fini que lorsque le
serveur dhcp ou pxed est ex&eacute;cut&eacute;
sur un sous–r&eacute;seau diff&eacute;rent de
BINLD.
dhcp_or_proxy_addre
ss IP address
Signification
Indique le type de serveur dhcpsd.
servertype peut avoir l’une des
valeurs suivantes :
binld_on_dhcp_server Cela
signifie que BINLD est ex&eacute;cut&eacute; sur
la m&ecirc;me machine que le serveur
DHCP, qu’il &eacute;coute les requ&ecirc;tes
client PXE sur le port 4011 et
l’adresse de multi–diffusion si
celle–ci est re&ccedil;ue du serveur DHCP
/ PXED. binld_on_proxy_server
Cela signifie que BINLD est
ex&eacute;cut&eacute; sur la m&ecirc;me machine que
le serveur PXED et &eacute;coute les
requ&ecirc;tes client PXE sur l’adresse
de multi–diffusion si celle–ci est
re&ccedil;ue du serveur DHCP / PXED. La
valeur par d&eacute;faut est binld_only :
le serveur BINLD est ex&eacute;cut&eacute; sur
une machine &agrave; part et doit &eacute;couter
les paquets du client sur les ports
67 et 4011 et sur l’adresse de
multidiffusion si celle–ci est re&ccedil;ue
du serveur DHCP / PXED.
Protocole TCP/IP
4-193
Syntaxe du fichier de serveur BINLD pour le fonctionnement
g&eacute;n&eacute;ral du serveur
Remarques :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux d’un
sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau donn&eacute;, autoriser les clients BOOTP en indiquant le
mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res. Pour la
classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave; l’int&eacute;rieur
des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne doit &ecirc;tre
consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les expressions
r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est utilis&eacute;e pour
repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent une cha&icirc;ne ASCII. Pour tout
autre nombre, les donn&eacute;es sont des chiffres hexad&eacute;cimaux.
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
subnet
subnet default
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau sans plage
associ&eacute;e. Ce sous–r&eacute;seau est utilis&eacute; par
un serveur uniquement pour r&eacute;pondre &agrave; un
paquet INFORM d’un client et si aucun
conteneur de sous–r&eacute;seau ne correspond
&agrave; l’adresse de ce dernier.
subnet
subnet subnet
id netmask
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau et un pool
d’adresses. Toutes les adresses sont
suppos&eacute;es
faire p
partie du p
pool, sauf si une
pp
l
&eacute; ifi&eacute; sur lla liligne ou sii lles
plage
est sp&eacute;cifi&eacute;e
adresses sont modifi&eacute;es ult&eacute;rieurement
dans le conteneur par une instruction de
plage ou d’exclusion. La plage facultative
est une paire d’adresses IP en format de
”dotted quad” s&eacute;par&eacute;es par un tiret. Il est
possible de pr&eacute;ciser un label et une
priorit&eacute;. Ceux–ci sont utilis&eacute;s dans les
sous–r&eacute;seaux
sous r&eacute;seaux virtuels pour identifier et
classer les sous–r&eacute;seaux du sous–r&eacute;seau
virtuel. Le label et la priorit&eacute; sont s&eacute;par&eacute;s
par un signe deux–points. Ces conteneurs
ne sont autoris&eacute;s qu’au niveau global ou
au niveau du conteneur base de donn&eacute;es.
subnet subnet
id netmask
range
subnet subnet
id netmask
label:priority
subnet subnet
id netmask
range
label:priority
4-194
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
subnet
subnet subnet
id range
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau qui s’inscrit dans
un conteneur r&eacute;seau. Il d&eacute;finit une plage
d’adresses formant la totalit&eacute; du
sous–r&eacute;seau, sauf si la plage facultative
est indiqu&eacute;e. Le masque de r&eacute;seau
associ&eacute; au sous–r&eacute;seau est issu du
conteneur r&eacute;seau environnant.
Remarque :
Cette m&eacute;thode est d&eacute;conseill&eacute;e au
profit des autres formes de
sous–r&eacute;seaux.
option
option number
data ...
Non
Aucune
Sp&eacute;cifie une option &agrave; envoyer &agrave; un client
ou, dans le cas d’un refus (deny), une
option qui ne doit pas &ecirc;tre envoy&eacute;e &agrave; un
client. La clause option * deny signifie
que toutes les options non sp&eacute;cifi&eacute;es dans
le conteneur en cours ne doivent pas &ecirc;tre
retourn&eacute;es au client. L’option numberdeny
ne refuse que l’option sp&eacute;cifi&eacute;e. number
est un entier 8 bits non sign&eacute;. data est
sp&eacute;cifique &agrave; l’option (voir ci–dessus) ou
peut &ecirc;tre d&eacute;finie sous la forme d’une
g
(
cha&icirc;ne entre guillemets
(texte
ASCII)) ou
0xhexdigits ou hex”hexdigits” ou encore
hex ”hexdigits”. Si l’option correspond &agrave; un
conteneur fournisseur, elle sera
encapsul&eacute;e avec les autres options dans
une option 43.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction exclude. L’instruction
exclude n’est pas valide au niveau des
conteneurs de base de donn&eacute;es ou au
g&eacute;n&eacute;ral L’instruction exclude
niveau g&eacute;n&eacute;ral.
supprime l’adresse ou la plage sp&eacute;cifi&eacute;e de
la plage actuelle sur le conteneur. Elle
permet de cr&eacute;er des plages non contigu&euml;s
pour sous sous–r&eacute;seaux ou d’autres
conteneurs.
option
numberdeny
option * deny
exclude
exclude an IP
address
exclude
dotted_quad–
dotted_quad
Protocole TCP/IP
4-195
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
range
range
IP_address
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction range. L’instruction
range n’est pas valide au niveau des
conteneurs de base de donn&eacute;es ou au
niveau g&eacute;n&eacute;ral. S’il s’agit de la premi&egrave;re
plage du conteneur qui ne sp&eacute;cifie pas une
plage sur la ligne de d&eacute;finition du
conteneur, la plage du conteneur devient
alors la plage sp&eacute;cifi&eacute;e par l’instruction
range. Toute instruction range suivante, ou
toutes les instructions range dans le cas
d’un conteneur sp&eacute;cifiant des plages dans
sa d&eacute;finition sont ajout&eacute;es &agrave; la page
actuelle. Avec l’instruction range, il est
possible d’ajouter &agrave; la plage existante une
adresse unique ou un jeu d’adresses. La
plage doit &ecirc;tre incorpor&eacute;e dans la d&eacute;finition
du conteneur de sous–r&eacute;seau.
Oui
Aucune
Sp&eacute;cifie un conteneur client qui emp&ecirc;che
le client indiqu&eacute; par hwaddr et hwtype
d’obtenir une adresse. Si hwtype est 0,
alors hwaddr est une cha&icirc;ne ASCII. Sinon,
hwtype correspond au type de mat&eacute;riel du
client et hwaddr &agrave; l’adresse du mat&eacute;riel du
client. Si hwaddr est une cha&icirc;ne, des
guillemets peuvent encadrer la cha&icirc;ne.
cha&icirc;ne Si
hwaddr est une cha&icirc;ne hexad&eacute;cimale,
l’adresse peut &ecirc;tre sp&eacute;cifi&eacute;e sous la forme
0xhexdigits ou hex digits. range permet au
client sp&eacute;cifi&eacute; par hwaddr et hwtype
d’obtenir une adresse faisant partie de
cette plage. Pour faire r&eacute;f&eacute;rence &agrave;
plusieurs clients, il faut utiliser une
expression r&eacute;guli&egrave;re.
Oui
Aucune
Sp&eacute;cifie un conteneur classe portant le
nom string. La cha&icirc;ne peut ou non &ecirc;tre
plac&eacute;e entre guillemets. Si oui, les
guillemets sont supprim&eacute;s avant la
comparaison. Les guillemets sont
obligatoires si la cha&icirc;ne contient des
espaces ou des tabulations
tabulations. Ce conteneur
est autoris&eacute; &agrave; tous les niveaux. Il est
possible d’indiquer une plage pour
sp&eacute;cifier le jeu d’adresses &agrave; proposer au
client avec cette classe. La plage est soit
une adresse IP en format de ”dotted quad”,
soit deux adresses IP en format de ”dotted
quad” s&eacute;par&eacute;es par un tiret.
range
dotted_quad–
dotted_quad
client
client hwtype
hwaddr NONE
client hwtype
hwaddr ANY
client hwtype
hwaddr
dotted_quad
client hwtype
hwaddr range
class
class string
class string
range
4-196
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
r&eacute;seau
network
network id
netmask
Oui
Aucune
Sp&eacute;cifie un ID de r&eacute;seau &agrave; l’aide des
informations de classe (par exemple
9.3.149.0 avec un masque de r&eacute;seau de
255.255.255.0 correspond au r&eacute;seau
9.0.0.0 255.255.255.0). Cette version du
conteneur de r&eacute;seau est utilis&eacute;e pour
englober les sous–r&eacute;seaux partageant le
m&ecirc;me masque et le m&ecirc;me ID de r&eacute;seau.
Lorsqu’une plage est fournie, toutes les
adresses de la plage font partie du pool. La
plage doit &ecirc;tre comprise dans le r&eacute;seau de
l’ID de r&eacute;seau. Elle fait appel
pp &agrave; l’adresse
i &eacute; l de
int&eacute;grale
d la
l classe.
l
Ell
Elle n’est
’
valide
lid
qu’au niveau g&eacute;n&eacute;ral ou au niveau du
conteneur de base de donn&eacute;es.
network
network id
network
network id
range
Remarque : Le mot–cl&eacute; network est
d&eacute;conseill&eacute; au profit du conteneur de
sous–r&eacute;seau.
vendor
vendor
vendor_id
vendor
vendor_id hex””
vendor
vendor_id hex
””
vendor
vendor_id
0xdata
vendor
vendor_id ””
vendor
vendor_id
range
vendor
vendor_id
range hex””
vendor
vendor_id
range hex ””
vendor
vendor_id
range 0xdata
Oui
Aucune
Sp&eacute;cifie un conteneur de fournisseur. Les
conteneurs fournisseur sont utilis&eacute;s pour
retourner
t
l’option
l’ ti 43 au client.
li t L’id d
de
fournisseur peut &ecirc;tre sp&eacute;cifi&eacute; sous la forme
d’une cha&icirc;ne entre guillemets ou d’une
cha&icirc;ne binaire du type 0xhexdigits ou
hex”digits”. Il est possible d’ajouter &agrave; l’id de
fournisseur une plage facultative, en
utilisant deux ”dotted quad” s&eacute;par&eacute;s par un
tiret. A la suite de la plage facultative, une
cha&icirc;ne hexad&eacute;cimale ou ASCII &eacute;galement
f
facultative
lt ti peutt &ecirc;t
&ecirc;tre iindiqu&eacute;e
di &eacute; comme
premi&egrave;re partie de l’option 43. Si les
options figurent dans le conteneur,
conteneur elles
sont annex&eacute;es aux donn&eacute;es de l’option 43.
Une fois toutes les options trait&eacute;es, une
option End Of Option List (fin de la liste
d’options) est ajout&eacute;e aux donn&eacute;es. Pour
retourner les options en dehors d’une
option 43, utilisez une expression r&eacute;guli&egrave;re
correspondant &agrave; tous les clients pour
sp&eacute;cifier les options normales &agrave; renvoyer
en fonction de l’ID fournisseur.
pxe apr&egrave;s le mot–cl&eacute; vendor cr&eacute;e un
conteneur fournisseur pour PXEClient.
pxeserver apr&egrave;s le mot–cl&eacute; vendor cr&eacute;e
un conteneur fournisseur p
pour PXEServer.
vendor
vendor_id
range ””
vendor pxe
vendor
pxeserver
Protocole TCP/IP
4-197
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
inoption
inoption number Oui
option_data
Valeur
par
d&eacute;faut
Signification
Aucune
Indique un conteneur &agrave; rapprocher d’une
option entrante arbitraire d&eacute;finie par le
client. number indique le num&eacute;ro de
l’option. option_data d&eacute;finit la cl&eacute;
correspondant au conteneur &agrave; s&eacute;lectionner
lors du choix de l’adresse et de l’option
pour ce client. La cl&eacute; option_data se
pr&eacute;sente sous forme de cha&icirc;ne entre
guillemets, d’adresse IP ou de nombre
entier pour les options connues mais peut
&eacute;galement se pr&eacute;senter sous forme de
cha&icirc;ne hexad&eacute;cimale d’octets si elle est
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x. Pour les
p
options que le serveur conna&icirc;t mal, il est
possible de d&eacute;finir une cha&icirc;ne
hexad&eacute;cimale d’octets sur le m&ecirc;me
sch&eacute;ma. En outre, la valeur option_data
peut faire r&eacute;f&eacute;rence &agrave; une expression
r&eacute;guli&egrave;re &agrave; rapprocher de la repr&eacute;sentation
en cha&icirc;ne des donn&eacute;es d’option du client.
Ces expressions r&eacute;guli&egrave;res se pr&eacute;sentent
sous la forme d’une cha&icirc;ne entre
guillemets (dont le premier caract&egrave;re est
un point d’exclamation ”!). Les options
peu connues du serveur se pr&eacute;sentent
sous forme de cha&icirc;ne hexad&eacute;cimale
d’octets NON pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x.
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique. fill signifie utiliser toutes les
adresses de ce conteneur avant de passer
au suivant. rotate signifie s&eacute;lectionner
une adresse
d
d
du pooll suivant
i
td
de lla liliste
t sur
chaque requ&ecirc;te. sfill et srotate sont
identiques &agrave; fill et rotate, mais une
recherche est effectu&eacute;e pour savoir si le
client correspond aux conteneurs, aux
fournisseurs ou aux classes du
sous–r&eacute;seau. Si une correspondance
permet d’obtenir une adresse, cette
adresse est adopt&eacute;e &agrave; partir du conteneur
au lieu de suivre la politique indiqu&eacute;e. Il
d’ID
peut y avoir autant d
ID que n&eacute;cessaire. id
est soit l’ID de sous–r&eacute;seau de la d&eacute;finition
de sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est n&eacute;cessaire si
plusieurs sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
inoption number
option_data
range
virtual
virtual fill id id ... Non
virtual sfill id id
...
virtual rotate id
id ...
virtual srotate id
id ...
4-198
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
inorder:
inorder: id id ...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique de remplissage, ce qui signifie
utiliser toutes les adresses de ce
conteneur avant de passer au conteneur
suivant. Il peut y avoir autant d’ID que
n&eacute;cessaire. id est soit l’ID de sous–r&eacute;seau
de la d&eacute;finition de sous–r&eacute;seau, soit le
label de cette m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs sous–r&eacute;seaux
partagent le m&ecirc;me ID de sous–r&eacute;seau.
balance:
balance: id id ... Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique de rotation, ce qui signifie utiliser
l’adresse suivante du conteneur suivant. Il
peut y avoir autant d’ID que n&eacute;cessaire. id
est soit l’ID de sous–r&eacute;seau de la d&eacute;finition
de sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est n&eacute;cessaire si
plusieurs sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
boots
trapserver
bootstrap
server IP
address
Non
Aucune
Indique le serveur que les clients doivent
utiliser comme point de d&eacute;part vers les
fichiers TFTP &agrave; l’issue de la r&eacute;ception de
paquets BOOTP ou DHCP. Cette valeur
compl&egrave;te le champ siaddr du paquet.
Cette option est valide &agrave; tous les niveaux
de conteneur.
giaddrfield
giaddrfield IP
address
Non
Aucune
D&eacute;finit le champ giaddrfield pour les
paquets de r&eacute;ponse.
Remarque : Cette sp&eacute;cification n’est pas
autoris&eacute;e pour les protocoles BOOTP et
DHCP, mais certains clients exigent le
champ giaddr comme passerelle par
d&eacute;faut pour le r&eacute;seau. En raison de ce
risque de conflit, il est conseill&eacute; de
n’utiliser giaddrfield qu’au sein d’un
conteneur client, bien que l’option
fonctionne &agrave; tous les niveaux.
Protocole TCP/IP
4-199
Mot–cl&eacute;
Forme
Sous–
conte–
neurs
Valeur
par
d&eacute;faut
Signification
bootfile
bootfile path
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave; utiliser
dans la section fichier du paquet de
r&eacute;ponse. Cette option peut &ecirc;tre d&eacute;finie &agrave;
tous les niveaux de conteneur. La politique
bootfile d&eacute;finit comment les &eacute;l&eacute;ments
sp&eacute;cifi&eacute;s dans la section fichier du paquet
entrant se conjuguent avec les instructions
du fichier de d&eacute;marrage et du r&eacute;pertoire
personnel.
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave; donner &agrave;
un PXEClient. L’analyseur du fichier de
configuration g&eacute;n&egrave;re une erreur si le
nombre de param&egrave;tres apr&egrave;s le mot–cl&eacute;
est inf&eacute;rieur &agrave; 4 et les ignore s’il est
sup&eacute;rieur &agrave; 7. Si 4 param&egrave;tres sont
indiqu&eacute;s, il suppose les valeurs Type = 0 et
Layer = 0. Ce mot–cl&eacute; ne peut &ecirc;tre utilis&eacute;
que dans un conteneur.
pxebootfile pxebootfile
SystemArch
MajorVer
MinorVer
Bootfilename
Type Layer
Pour plus d’informations sur les autres options, reportez–vous aux sections Options
connues du fichier de serveur DHCP, page 4-109 et Sous–options du conteneur fournisseur
PXE, page 4-175.
4-200
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&eacute;mons TCP/IP
Les d&eacute;mons (ou serveurs) sont des process qui fonctionnent en continu, en arri&egrave;re-plan,
pour ex&eacute;cuter des fonctions requises par d’autres process. TCP/IP fournit des d&eacute;mons pour
impl&eacute;menter certaines fonctions sur le syst&egrave;me. Leur ex&eacute;cution en arri&egrave;re-plan n’interrompt
pas les autres processus (&agrave; moins qu’ils en soient charg&eacute;s).
Les d&eacute;mons sont appel&eacute;s par des commandes au niveau de la gestion syst&egrave;me, par
d’autres d&eacute;mons ou scripts shell. Vous pouvez &eacute;galement les contr&ocirc;ler &agrave; l’aide du d&eacute;mon
inetd, du script shell rc.tcpip et du contr&ocirc;leur SRC (System Resource Controller).
Sous-syst&egrave;mes et sous-serveurs
Un sous-syst&egrave;me est un d&eacute;mon ou serveur contr&ocirc;l&eacute; par SRC. Un sous-serveur est un
d&eacute;mon contr&ocirc;l&eacute; par un sous-syst&egrave;me. (Les commandes et noms de d&eacute;mon sont
g&eacute;n&eacute;ralement suffix&eacute;s par un d.) Sous–syst&egrave;me et sous–serveurs sont deux cat&eacute;gories
oppos&eacute;es et incompatibles : un d&eacute;mon ne peut relever des deux cat&eacute;gories &agrave; la fois. Le
seul sous-syst&egrave;me TCP/IP qui contr&ocirc;le d’autres d&eacute;mons est inetd. Ainsi, tout sous-serveur
TCP/IP est &eacute;galement un sous-serveur inetd.
Les d&eacute;mons TCP/IP contr&ocirc;l&eacute;s par SRC sont :
Sous-syst&egrave;mes
gated
Fournit des fonctions de routage de passerelle et prend en charge les
protocoles RIP (Routing Information Protocol ), RIPng (Routing
Information Protocol Next Generation), EGP (Exterior Gateway
Protocol), BGP (Border Gateway Protocol) et BGP4+, HELLO, OSPF
(Open Shortest Path First), IS–IS (Intermediate System to Intermediate
System), ICMP et ICMPv6 (Internet Control Message Protocol /Router
Discovery). Le d&eacute;mon gated prend &eacute;galement le protocole SNMP
(Simple Network Monitoring Protocol) en charge. Le d&eacute;mon gated est
l’un des deux d&eacute;mons de routage d&eacute;di&eacute;s aux adresses de r&eacute;seau.
Le d&eacute;mon gated est pr&eacute;f&eacute;r&eacute; au d&eacute;mon routed car il admet davantage
de protocoles de passerelle.
inetd
Appelle et planifie l’ex&eacute;cution d’autres d&eacute;mons &agrave; la r&eacute;ception des
demandes de services de d&eacute;mons. Ce d&eacute;mon peut aussi en lancer
d’autres. inetd est aussi appel&eacute; “ super d&eacute;mon ”.
iptrace
Suivi des paquets au niveau interface pour les protocoles Internet.
named
Fournit la fonction d’appellation au protocole de serveur de noms
DOMAIN.
routed
G&egrave;re les tables de routage de r&eacute;seau et prend en charge le protocole
RIP (Routing Information Protocol). Le d&eacute;mon gated est pr&eacute;f&eacute;r&eacute; au
d&eacute;mon routed car il admet davantage de protocoles de passerelle.
rwhod
Diffuse des messages &agrave; l’ensemble des h&ocirc;tes, toutes les trois minutes,
et stocke l’information relative aux utilisateurs connect&eacute;s et &agrave; l’&eacute;tat du
r&eacute;seau. Utilisez rwhod avec pr&eacute;caution car il monopolise une part
importante des ressources machine.
timed
Fournit la fonction serveur horaire.
Remarque :
Les d&eacute;mons routed et gated rel&egrave;vent de la cat&eacute;gorie des sous-syst&egrave;mes
TCP/IP. N’ex&eacute;cutez pas la commande startsrc –g tcpip, qui lance ces
deux d&eacute;mons de routage avec tous les autres sous-syst&egrave;mes TCP/IP.
Ces deux d&eacute;mons lanc&eacute;s ensemble produiraient des r&eacute;sultats
impr&eacute;visibles.
Protocole TCP/IP
4-201
Les d&eacute;mons TCP/IP contr&ocirc;l&eacute;s par le sous-syst&egrave;me inetd sont :
Sous-serveurs inetd
comsat
Avertit les utilisateurs de l’arriv&eacute;e d’un courrier.
fingerd
Dresse un compte rendu concernant l’&eacute;tat de tous les utilisateurs
connect&eacute;s et l’&eacute;tat du r&eacute;seau sur l’h&ocirc;te distant sp&eacute;cifi&eacute;. Ce d&eacute;mon
utilise le protocole FINGER.
ftpd
Assure le transfert des fichiers pour un processus client en appliquant
le protocole FTP (File Transfer Protocol).
rexecd
Assure la fonction de serveur h&ocirc;te &eacute;tranger, pour la commande rexec.
rlogind
Effectue la connexion &agrave; distance pour la commande rlogin.
rshd
Effectue la fonction serveur d’ex&eacute;cution des commandes &agrave; distance
pour les commandes rcp et rsh.
talkd
Apport de la fonction conversation &agrave; la commande talk.
syslogd
Lecture et consignation des messages syst&egrave;me. Ce d&eacute;mon appartient
au groupe de sous-syst&egrave;mes Remote Access Service (RAS).
telnetd
Apport de la fonction serveur au protocole TELNET.
tftpd
Assure la fonction serveur pour le protocole TFTP
(Trivial File Transfer Protocol).
uucpd
G&egrave;re les communications entre BNU et TCP/IP.
Fonction SRC
Le contr&ocirc;leur de ressources syst&egrave;me (SRC) permet, entre autres, de lancer les d&eacute;mons,
les arr&ecirc;ter et suivre leurs activit&eacute;s. De plus, SRC permet de grouper des d&eacute;mons en
sous-syst&egrave;mes et sous-serveurs.
Cet outil a &eacute;t&eacute; con&ccedil;u pour aider l’administrateur syst&egrave;me &agrave; contr&ocirc;ler les d&eacute;mons.
Ce contr&ocirc;le s’effectue au-del&agrave; des indicateurs et param&egrave;tres disponibles pour chaque
commande de d&eacute;mon.
Pour en savoir plus sur SRC, reportez-vous &agrave; la section Contr&ocirc;leur SRC dans AIX 5L
Version 5.3 System Management Concepts: Operating System and Devices.
Commandes SRC
Les commandes SRC sont applicables &agrave; un seul d&eacute;mon, &agrave; un groupe de d&eacute;mons ou &agrave; un
d&eacute;mon et &agrave; ceux qu’il contr&ocirc;le (sous-syst&egrave;me avec sous-serveurs). Par ailleurs, certains
d&eacute;mons TCP/IP ne r&eacute;pondent pas &agrave; toutes les commandes SRC. Voici la liste des
commandes SRC disponibles pour contr&ocirc;ler des d&eacute;mons TCP/IP et leurs exceptions.
4-202
startsrc
D&eacute;marre tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd,
sans exception. La commande startsrc fonctionne pour tous les
sous-syst&egrave;mes TCP/IP et sous-serveurs inetd.
stopsrc
Arr&ecirc;te tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd,
sans exception. Cette commande s’appelle &eacute;galement stop normal.
La commande stop normal permet aux sous-syst&egrave;mes de traiter
tout le travail en cours et d’y mettre fin en douceur. Pour les
sous–serveurs inetd, toutes les connexions en attente sont lanc&eacute;es
et celles en ex&eacute;cution, termin&eacute;es. La commande stop normal
fonctionne pour tous les sous-syst&egrave;mes TCP/IP et sous-serveurs
inetd.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
stopsrc –f
Arr&ecirc;te tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd,
sans exception. Cette commande s’appelle &eacute;galement stop normal.
La commande stop force arr&ecirc;te imm&eacute;diatement tous les
sous–syst&egrave;mes. Pour les sous-serveurs inetd, toutes les
connexions en cours ou en attente sont imm&eacute;diatement termin&eacute;es.
refresh
Rafra&icirc;chit les sous–syst&egrave;mes et sous–serveurs suivants :
sous–syst&egrave;mes inetd, syslogd, named, dhcpsd et gated.
lssrc
Fournit un bref compte rendu de l’&eacute;tat du sous–syst&egrave;me sp&eacute;cifi&eacute;
(actif ou non) et des sous–serveurs inetd. Fournit un bref compte
rendu d’&eacute;tat de inetd accompagn&eacute; du nom, de l’&eacute;tat et de la
description du sous–serveur, du nom de la commande et des
arguments qui ont permis de le lancer.
lssrc –l
Fournit un bref compte rendu d’&eacute;tat accompagn&eacute; d’informations
suppl&eacute;mentaires (&eacute;tat d&eacute;taill&eacute;) sur les sous syst&egrave;mes.
gated
Etat de la mise au point ou du suivi, protocoles
de routage activ&eacute;s, tables de routage, signaux
accept&eacute;s avec leur fonctions.
inetd
Etat de la mise au point, liste des sous-serveurs
actifs avec &eacute;tat succinct, signaux accept&eacute;s avec
leurs fonctions.
named
Etat de la mise au point, informations sur le fichier
named.conf.
dhcpsd
Etat de la mise au point, toutes les adresses IP
contr&ocirc;l&eacute;es et leur &eacute;tat actuel.
routed
Etat de la mise au point et du suivi, &eacute;tat des
informations de routage source, tables de routage.
syslogd
Donn&eacute;es de configuration de syslogd.
La commande lssrc –l indique &eacute;galement l’&eacute;tat d&eacute;taill&eacute; des
sous–serveurs inetd. L’&eacute;tat d&eacute;taill&eacute; comprend un compte rendu et
des informations sur la connexion active. Certains sous–serveurs
fournissent des informations suppl&eacute;mentaires. Il s’agit de :
ftpd
Etat de la mise au point et de la journalisation.
telnetd
Type d’&eacute;mulation de terminal.
rlogind
Etat de la mise au point.
fingerd
Etat de la mise au point et de la journalisation.
Les sous-serveurs rwhod et timed ne fournissent
pas d’&eacute;tat d&eacute;taill&eacute;.
traceson
Active la mise au point au niveau socket. Utilisez la commande trpt
pour mettre la sortie en forme. Cette commande n’est pas prise en
charge par les sous-syst&egrave;mes timed et iptraced.
tracesoff
D&eacute;sactive la mise au point au niveau socket. Utilisez la commande
trpt pour mettre la sortie en forme. Cette commande n’est pas prise
en charge par les sous-syst&egrave;mes timed et iptraced.
Pour des exemples d’utilisation, reportez-vous &agrave; la description de la commande qui vous
int&eacute;resse. Pour en savoir plus sur SRC, reportez-vous &agrave; la section Contr&ocirc;leur SRC dans
AIX 5L Version 5.3 System Management Concepts: Operating System and Devices.
Protocole TCP/IP
4-203
Configuration du d&eacute;mon inetd
Pour configurer le d&eacute;mon inetd :
1. D&eacute;finissez les sous-serveurs que le d&eacute;mon doit appeler en ajoutant un sous-serveur
inetd.
2. D&eacute;finissez ses caract&eacute;ristiques de relance, en modifiant les caract&eacute;ristiques de relance
du d&eacute;mon inetd.
Configuration des t&acirc;ches du d&eacute;mon inetd
T&acirc;che
Raccourci
SMIT
Commande ou fichier
Web–based System
Manager Management
Environment
D&eacute;marrage du
d&eacute;mon inetd
smit mkinetd
startsrc –s inetd
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
Cliquez avec le bouton
droit de la souris sur un
sous–syst&egrave;me inactif,
puis s&eacute;lectionnez
Activate.
Modification des
smit chinetd ou
caract&eacute;ristiques de smit lsinetd
relance du d&eacute;mon
inetd
4-204
Arr&ecirc;t du d&eacute;mon
inetd
smit rminetd
Liste des
sous–serveurs
inetd
smit inetdconf
Ajout d’un
sous-serveur
inetd1
smit
mkinetdconf
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Properties.
stopsrc –s inetd
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
Cliquez avec le bouton
droit de la souris sur un
sous–syst&egrave;me actif,
puis s&eacute;lectionnez ––&gt;
Deactivate.
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Subsystems
(menu d&eacute;roulant) ––&gt;
New inetd Subserver.
T&acirc;che
Raccourci
SMIT
Commande ou fichier
Web–based System
Manager Management
Environment
Modification/Affich
age des
caract&eacute;ristiques
d’un sous–serveur
inetd
smit inetdconf
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Properties.
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Deactivate.
Suppression d’un
smit rminetd
sous-serveur inetd
Remarques :
1. Ajouter un sous-serveur inetd revient &agrave; configurer le d&eacute;mon inetd pour qu’il puisse
appeler le sous-serveur lorsque n&eacute;cessaire.
2. La commande refresh ou kill signale au d&eacute;mon inetd les modifications apport&eacute;es &agrave; son
fichier de configuration.
Services r&eacute;seau client
Les services r&eacute;seau client (accessibles via le raccourci Web–based System Manager wsm
ou via le raccourci smit clientnet) sont les protocoles TCP/IP applicables sous ce syst&egrave;me
d’exploitation. Chaque protocole ou service est identifi&eacute; par le num&eacute;ro de port qu’il utilise
sur le r&eacute;seau, d’o&ugrave; l’expression port connu. Par commodit&eacute;, ces num&eacute;ros de port peuvent
&ecirc;tre associ&eacute;s &agrave; des noms ou num&eacute;ros. Par exemple, le protocole de messagerie TCP/IP
qui utilise le port 25 est connu sous le nom smtp. Si un protocole est d&eacute;clar&eacute; (pas de
marque de commentaire) dans le fichier /etc/services, il peut &ecirc;tre utilis&eacute; par un h&ocirc;te.
Par d&eacute;faut, tous les protocoles TCP/IP sont d&eacute;finis dans ce fichier /etc/services.
Vous n’avez donc pas besoin de configurer ce fichier. Cependant, si vous avez &eacute;crit vos
propres programmes client/serveur, vous pouvez &ecirc;tre amen&eacute; &agrave; les d&eacute;clarer dans le fichier
/etc/services et &agrave; leur r&eacute;server un nom et un num&eacute;ro de port. Si vous d&eacute;cidez d’ajouter un
service &agrave; /etc/services, notez que les ports 0 &agrave; 1024 sont r&eacute;serv&eacute;s au syst&egrave;me.
T&acirc;ches des services r&eacute;seau client
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web–based System
Manager
Management
Environment
Liste des services
disponibles
smit lsservices
Affichez
/etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
Ajout d’un service
smit mkservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services ––&gt; New
Service.
Protocole TCP/IP
4-205
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web–based System
Manager
Management
Environment
Modification/
affichage des
caract&eacute;ristiques d’un
service
smit chservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
S&eacute;lectionnez un
service, puis cliquez
sur Selected ––&gt;
Properties.
Suppression d’un
service
smit rmservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
S&eacute;lectionnez un
service, puis cliquez
sur Selected ––&gt;
Delete.
Services r&eacute;seau serveur
Les services r&eacute;seau serveur se composent du contr&ocirc;le de l’acc&egrave;s distant, du d&eacute;marrage ou
de l’arr&ecirc;t de TCP/IP, et de la gestion du pilote d’unit&eacute; pty, comme indiqu&eacute; dans le tableau
suivant.
Le pilote d’unit&eacute; pty est install&eacute; automatiquement avec le syst&egrave;me. Par d&eacute;faut, ce pilote,
configur&eacute; pour des liaisons symboliques 16 BSD, est disponible d&egrave;s l’amor&ccedil;age.
T&acirc;ches des services r&eacute;seau serveur
4-206
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Contr&ocirc;le d’acc&egrave;s &agrave;
distance
Reportez–vous &agrave; ”Ex&eacute;cution de
commandes &agrave; distance et
”Restrictions d’acc&egrave;s FTP”.
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Access Control.
Cliquez avec le
bouton droit de la
souris sur Remote
Access, puis
s&eacute;lectionnez
Properties.
D&eacute;marrage,
red&eacute;marrage ou
arr&ecirc;t des
sous-syst&egrave;mes
TCP/IP
smit otherserv
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Subsystems.
Cliquez avec le
bouton droit de la
souris sur un
sous–syst&egrave;me, puis
s&eacute;lectionnez
Properties.
Reportez–vous &agrave;
System Resource
Control (SRC)
page 4-202.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Web–based System
Manager
Management
Environment
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web–based System
Manager
Management
Environment
Modification/affichag
e des
caract&eacute;ristiques du
pilote d’unit&eacute; pty
smit chgpty
chdev –l pty0 –P –a
num= X
X &eacute;tant une valeur
comprise entre 0
et 64
D&eacute;sactivation du
pilote d’unit&eacute; pty
smit pty puis
s&eacute;lectionnez
Retrait du PTY ;
conserver
d&eacute;finition
Activation du pilote
d’unit&eacute; pty
smit pty puis
s&eacute;lectionnez
Configuration du
PTY d&eacute;fini
G&eacute;n&eacute;ration d’un
compte rendu
d’erreur
smit errpt
Suivi de pty
smit trace
Protocole TCP/IP
4-207
Routage TCP/IP
Cette section traite des points suivants :
• Routage statique ou dynamique, page 4-209
• Passerelles, page 4-209
• Planification des passerelles, page 4-211
• Configuration d’une passerelle, page 4-212
• Restriction de l’utilisation de route, page 4-214
• D&eacute;tection des passerelles non op&eacute;rationnelles, page 4-214
• Clonage de route, page 4-215
• Suppression manuelle de routes dynamiques, page 4-215
• Configuration du d&eacute;mon routed, page 4-215
• Obtention d’un num&eacute;ro de syst&egrave;me autonome, page 4-219
Une route indique l’itin&eacute;raire des paquets &agrave; travers le r&eacute;seau Internet. Elle ne d&eacute;finit pas le
parcours complet, mais seulement le segment entre un h&ocirc;te et une passerelle vers la
destination (ou une autre passerelle). Il existe cinq types de routes :
route h&ocirc;te
Passerelle capable d’envoyer les paquets vers un h&ocirc;te ou une
passerelle d’un autre r&eacute;seau.
route r&eacute;seau
Passerelle capable d’envoyer les paquets vers n’importe quel
h&ocirc;te d’un r&eacute;seau sp&eacute;cifique.
route par d&eacute;faut
Passerelle utilisable lorsqu’aucune route h&ocirc;te ou r&eacute;seau n’est
d&eacute;finie.
route de boucle
Route par d&eacute;faut pour tous les paquets envoy&eacute;s aux adresses
du r&eacute;seau local. L’IP de la route de boucle est toujours 127.0.0.1.
route de diffusion
Route par d&eacute;faut pour tous les paquets de diffusion. Deux routes
de diffusion sont automatiquement attribu&eacute;es &agrave; chaque
sous–ensemble poss&eacute;dant un IP du r&eacute;seau (un sur l’adresse du
sous–r&eacute;seau et un sur l’adresse de diffusion du sous–r&eacute;seau).
Les routes sont d&eacute;finies dans la table de routage du noyau. Chaque d&eacute;finition donne des
informations sur les r&eacute;seaux accessibles &agrave; partir de l’h&ocirc;te local et sur les passerelles
disponibles pour atteindre les r&eacute;seaux distants. A r&eacute;ception d’un datagramme, la passerelle
recherche dans la table de routage l’&eacute;tape suivante du parcours.
A partir de Aix 5.1, vous pouvez ajouter plusieurs routes dans la table de routage du noyau
pour indiquer la m&ecirc;me destination. La recherche d’un routage &eacute;value toutes les routes qui
correspondent &agrave; la demande, puis choisit la route ayant la distance m&eacute;trique la plus courte.
Si la recherche trouve plusieurs routes de m&ecirc;me distance, elle choisit la route plus
ad&eacute;quate. Si les deux crit&egrave;res sont &eacute;quivalents pour plusieurs routes, la recherche se
concentre sur les crit&egrave;res alternatifs des routes correspondantes.
4-208
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Routage statique ou dynamique
TCP/IP propose deux types de routage : statique ou dynamique. Avec le routage statique, la
table de routage est g&eacute;r&eacute;e manuellement &agrave; l’aide d’une commande de routage. Le routage
statique est conseill&eacute; lorsqu’un r&eacute;seau communique avec un ou plusieurs r&eacute;seaux.
Toutefois, si ce type de routage est pratique lorsque la communication se limite &agrave; deux ou
trois r&eacute;seaux, il devient fastidieux sur une plus grande &eacute;chelle, avec la multiplication du
nombre de passerelles.
Avec le routage dynamique, ce sont les d&eacute;mons qui mettent &agrave; jour la table de routage
automatiquement. Les d&eacute;mons de routage re&ccedil;oivent en permanence les informations
&eacute;mises par d’autres d&eacute;mons de routage, et mettent syst&eacute;matiquement &agrave; jour la table de
routage en cons&eacute;quence.
TCP/IP propose deux d&eacute;mons de routage dynamique : routed et gated. Le d&eacute;mon gated
g&egrave;re les protocoles RIP (Routing Information Protocol), RIPng (Routing Information Protocol
Next Generation), EGP (Exterior Gateway Protocol), BGP (Border Gateway Protocol) et
BGP4+, HELLO (Defense Communications Network Local–Network Protocol), OSPF
(Open Shortest Path First), IS–IS (Intermediate System to Intermediate System), ainsi que
ICMP et ICMPv6 (Internet Control Message Protocol) / Router Discovery simultan&eacute;ment.
Le d&eacute;mon gated prend &eacute;galement le protocole SNMP (Simple Network Monitoring Protocol)
en charge. Le d&eacute;mon routed n’admet que le protocole RIP.
Les d&eacute;mons de routage peuvent fonctionner en mode passif ou actif (selon l’option d&eacute;finie
&agrave; leur lancement). En mode actif, ils diffusent p&eacute;riodiquement des informations de routage
sur leur r&eacute;seau local aux passerelles et aux h&ocirc;tes, et en re&ccedil;oivent d’eux. En mode passif,
ils se limitent &agrave; recevoir les informations et ne tiennent pas &agrave; jour les passerelles distantes.
Ces deux types de routage sont applicables aux passerelles mais aussi &agrave; d’autres h&ocirc;tes
d’un r&eacute;seau. Les travaux de routage statique fonctionnent de la m&ecirc;me fa&ccedil;on pour les
passerelles que pour les autres h&ocirc;tes. Les d&eacute;mons de routage dynamique, toutefois,
doivent &ecirc;tre ex&eacute;cut&eacute;s en mode passif (quiet) sur les h&ocirc;tes qui ne sont pas des passerelles.
Passerelles
Les passerelles sont des types de routeur. Les routeurs interconnectent des r&eacute;seaux
et assurent la fonction de routage. Certains routeurs op&egrave;rent le routage au niveau de
l’interface de r&eacute;seau ou de la couche physique.
Les passerelles, quant &agrave; elles, assurent le routage au niveau de la couche r&eacute;seau. Elles
re&ccedil;oivent les datagrammes IP des autres passerelles ou h&ocirc;tes, les transmettent aux h&ocirc;tes
du r&eacute;seau local et acheminent les datagrammes IP d’un r&eacute;seau &agrave; l’autre. Par exemple, une
passerelle reliant deux r&eacute;seaux en anneau &agrave; jeton est &eacute;quip&eacute;e de deux cartes de r&eacute;seau en
anneau &agrave; jeton dot&eacute;e chacune de sa propre interface de r&eacute;seau en anneau &agrave; jeton. Pour la
transmission des informations, la passerelle re&ccedil;oit les datagrammes via une interface de
r&eacute;seau et les envoie par l’autre. Les passerelles contr&ocirc;lent p&eacute;riodiquement leurs
connexions r&eacute;seau &agrave; partir de messages d’&eacute;tat sur les interfaces.
Pour l’aiguillage des paquets, les passerelles se fondent sur le r&eacute;seau de destination et non
sur l’h&ocirc;te de destination. Ainsi, elles n’ont pas &agrave; garder trace des diverses destinations h&ocirc;te
possibles d’un paquet. Au lieu de cela, elles acheminent les paquets en fonction du r&eacute;seau
de l’h&ocirc;te de destination. C’est le r&eacute;seau de destination qui se charge ensuite d’envoyer les
paquets &agrave; l’h&ocirc;te de destination. G&eacute;n&eacute;ralement, une passerelle ne requiert qu’une capacit&eacute;
limit&eacute;e de stockage disque (&eacute;ventuellement) et de m&eacute;moire centrale.
La distance &agrave; parcourir entre l’h&ocirc;te &eacute;metteur et l’h&ocirc;te destinataire d&eacute;pend du n &agrave; traverser
(sauts de passerelles &agrave; traverser). 0 si la passerelle est rattach&eacute;e directement au r&eacute;seau,
1 si le r&eacute;seau est accessible via une passerelle, etc. La distance d’un message s’exprime
g&eacute;n&eacute;ralement en nombre de passerelles, ou nombre de bonds (ou distance m&eacute;trique).
Protocole TCP/IP
4-209
Passerelles int&eacute;rieures et ext&eacute;rieures
Les passerelles int&eacute;rieures font partie du m&ecirc;me syst&egrave;me autonome. Elles communiquent
entre elles &agrave; l’aide des protocoles RIP (Routing Information Protocol), RIPng (Routing
Information Protocol Next Generation), Intermediate System to Intermediate System, OSPF
(Open Shortest Path First protocol) ou du protocole HELLO. Les passerelles ext&eacute;rieures
appartiennent &agrave; des syst&egrave;mes autonomes distincts. Elles utilisent les protocoles EGP
(Exterior Gateway Protocol), BGP (Border Gateway Protocol) ou BGP4+.
Prenons l’exemple de deux syst&egrave;mes autonomes. Le premier correspond &agrave; tous les
r&eacute;seaux administr&eacute;s par la soci&eacute;t&eacute; Widget. Le second correspond &agrave; tous les r&eacute;seaux
administr&eacute;s par la soci&eacute;t&eacute; Gadget. La soci&eacute;t&eacute; Widget poss&egrave;de une machine pomme, qui est
la passerelle de Widget pour Internet. La soci&eacute;t&eacute; Gadget poss&egrave;de une machine orange, qui
est la passerelle de Gadget pour Internet. Les deux soci&eacute;t&eacute;s poss&egrave;dent plusieurs r&eacute;seaux
distincts en interne. Les passerelles reliant les r&eacute;seaux internes sont des passerelles
int&eacute;rieures. Mais les passerelles pomme et orange sont ext&eacute;rieures.
Chaque passerelle ext&eacute;rieure ne communique pas avec toutes les autres passerelles
ext&eacute;rieures. En fait, la passerelle ext&eacute;rieure acquiert un ensemble de passerelles
limitrophes (les autres passerelles ext&eacute;rieures) avec lesquelles elle communique. Ces
passerelles limitrophes ne sont pas d&eacute;finies par une proximit&eacute; g&eacute;ographique, mais plut&ocirc;t
par les communications qui s’&eacute;tablissent entre elles. Les passerelles limitrophes, &agrave; leur tour,
poss&egrave;dent d’autres passerelles limitrophes ext&eacute;rieures. Ainsi, les tables de routage des
passerelles ext&eacute;rieures sont mises &agrave; jour et les informations de routage sont diffus&eacute;es vers
l’ensemble des passerelles ext&eacute;rieures.
Les informations de routage sont exp&eacute;di&eacute;es avec les coordonn&eacute;es (R,D), R &eacute;tant le r&eacute;seau
cible et D la distance &agrave; parcourir (et donc le co&ucirc;t correspondant) pour l’atteindre. Chaque
passerelle indique les r&eacute;seaux qui lui sont accessibles et le co&ucirc;t de leur acc&egrave;s. La
passerelle r&eacute;ceptrice d&eacute;termine les chemins les plus courts et les indique aux passerelles
limitrophes. Ainsi, chaque passerelle ext&eacute;rieure re&ccedil;oit en continu des informations (et met
alors &agrave; jour ses tables de routage) qu’elle retransmet aux passerelles limitrophes.
Protocoles de passerelle
Toute passerelle, interne ou externe, communique avec les autres via des protocoles.
Voici une pr&eacute;sentation succincte des protocoles de passerelle TCP/IP courants :
Protocole HELLO
Le protocole HELLO est utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. HELLO est charg&eacute; de calculer le chemin d’acc&egrave;s
le plus court (en dur&eacute;e) aux autres r&eacute;seaux.
RIP (Routing Information Protocol )
Le protocole RIP est &eacute;galement utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. Comme le protocole HELLO, RIP calcule le
chemin d’acc&egrave;s le plus court aux autres r&eacute;seaux. A la diff&eacute;rence de HELLO
cependant, RIP calcule la distance en nombre de sauts, et non en dur&eacute;e.
Comme le d&eacute;mon gated enregistre toutes les distances m&eacute;triques en
interne en tant que dur&eacute;e, il convertit les nombres de sauts calcul&eacute;s par
RIP en dur&eacute;e.
Routing Information Protocol Next Generation
RIPng est le protocole RIP &eacute;tendu qui permet de g&eacute;rer IPv6.
OSPF (Open Shortest Path First)
Le protocole OPSF est utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. Ce protocole de communication est plus
appropri&eacute; que RIP pour les r&eacute;seaux complexes comprenant plusieurs
routeurs. Il fournit un routage multi–itin&eacute;raire au m&ecirc;me co&ucirc;t.
4-210
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
EGP (Exterior Gateway Protocol)
Les passerelles ext&eacute;rieures utilisent ce protocole pour communiquer entre
elles. Le protocole EGP ne calcule par le plus court chemin vers les autres
r&eacute;seaux. Il indique simplement si un r&eacute;seau particulier est accessible ou
non.
Border Gateway Protocol (BGP)
Les passerelles ext&eacute;rieures utilisent ce protocole pour communiquer entre
elles. Ce protocole permet l’&eacute;change d’informations d’accessibilit&eacute; entre
des syst&egrave;mes autonomes, mais il fournit davantage de fonctions que le
protocole EGP. BGP utilise les attributs de chemin pour fournir des
informations suppl&eacute;mentaires sur chaque route afin de s&eacute;lectionner la plus
appropri&eacute;e.
Border Gateway Protocol 4+
BGP4+ est le protocole BGP version 4, qui g&egrave;re IPv6 et propose d’autres
fonctions &eacute;tendues par rapport aux versions pr&eacute;c&eacute;dentes.
IS–IS (Intermediate System to Intermediate System)
Les passerelles int&eacute;rieures utilisent le protocole IS–IS pour communiquer
entre elles. Ce protocole de communication permet de router des paquets
IP et ISO/CLNP et, comme OSPF, il utilise un algorithme de d&eacute;tection du
chemin le plus court pour d&eacute;terminer les routes les plus rapides.
Planification des passerelles
Avant de configurer les passerelles de votre r&eacute;seau, vous devez :
1. Evaluez le nombre de passerelles &agrave; utiliser
(reportez–vous &agrave; Evaluation du nombre de passerelles &agrave; utiliser), page 4-211).
2. D&eacute;terminez le type de routage &agrave; utiliser
(reportez–vous &agrave; D&eacute;termination du type de routage &agrave; utiliser), page 4-212).
Nombre de passerelles
Le nombre de passerelles n&eacute;cessaires d&eacute;pend :
• du nombre de r&eacute;seaux &agrave; connecter,
• du type de connexion des r&eacute;seaux,
• du niveau d’activit&eacute; des r&eacute;seaux connect&eacute;s.
Par exemple, si les utilisateurs des r&eacute;seau 1, r&eacute;seau 2 et r&eacute;seau 3 doivent tous
communiquer ensembles (comme le montre la figure Exemple de configuration de
passerelle).
Figure 26. Configuration de passerelle simple Cette illustration contient trois nuages
r&eacute;seau un, deux et trois. Les r&eacute;seaux un et deux sont connect&eacute;s avec la passerelle A.
Les r&eacute;seaux deux et trois sont connect&eacute;s avec la passerelle B.
passerelle A
r&eacute;seau 1
passerelle B
r&eacute;seau 2
r&eacute;seau 3
Pour relier le r&eacute;seau 1 directement au r&eacute;seau 2, vous devez utiliser une premi&egrave;re passerelle
(passerelle A). Pour relier le r&eacute;seau 2 directement au r&eacute;seau 3, vous devez utiliser une
autre passerelle (passerelle B). Supposons maintenant que les routes appropri&eacute;es sont
d&eacute;termin&eacute;es et que tous les utilisateurs des trois r&eacute;seaux parviennent &agrave; communiquer.
Protocole TCP/IP
4-211
Cependant, si le r&eacute;seau 2 est tr&egrave;s occup&eacute;, les communications entre le r&eacute;seau 1 et le
r&eacute;seau 3 peuvent s’en trouver ralenties. De plus, si la communication entre ces deux
r&eacute;seaux est la plus importante, il peut &ecirc;tre utile de les connecter directement. Pour ce faire,
vous devez ajouter deux passerelles suppl&eacute;mentaires, une sur le r&eacute;seau 1 (passerelle C),
l’autre sur le r&eacute;seau 3 (passerelle D), reli&eacute;es par une connexion directe. Cette solution n’est
peut–&ecirc;tre pas suffisante, une passerelle pouvant raccorder plus de deux r&eacute;seaux.
Un moyen plus efficace peut consister &agrave; connecter directement la passerelle A &agrave; la
passerelle B et au r&eacute;seau 2, ce qui suppose d’&eacute;quiper A et B d’une seconde carte r&eacute;seau.
En r&egrave;gle g&eacute;n&eacute;rale, le nombre de connexions r&eacute;seau assur&eacute; par une passerelle est limit&eacute; au
nombre de cartes r&eacute;seau qu’elle peut prendre en charge.
Type de routage
Si votre r&eacute;seau est limit&eacute; et sa configuration relativement fixe, le routage statique est une
solution satisfaisante. En revanche, si votre r&eacute;seau est &eacute;tendu et sa configuration tr&egrave;s
variable, il est pr&eacute;f&eacute;rable d’opter pour un routage dynamique. Une solution interm&eacute;diaire
peut &eacute;galement &ecirc;tre envisag&eacute;e en panachant les routages statique et dynamique. Par
exemple, il est possible de d&eacute;finir statiquement certaines routes et d’autoriser la mise &agrave; jour
d’autres routes par les d&eacute;mons. Les routes statiques cr&eacute;&eacute;es ne sont ni notifi&eacute;es aux autres
passerelles ni mises &agrave; jour par les d&eacute;mons de routage.
Routage dynamique
D&eacute;terminez le d&eacute;mon de routage &agrave; utiliser en fonction du type de passerelle n&eacute;cessaire
et des protocoles qu’elle peut prendre en charge. S’il s’agit d’une passerelle int&eacute;rieure et
qu’elle ne requiert que le protocole RIP, optez pour le d&eacute;mon routed. Sinon, utilisez gated.
Remarque :
Vous risquez d’obtenir des r&eacute;sultats impr&eacute;visibles si les d&eacute;mons gated
et routed sont ex&eacute;cut&eacute;s sur le m&ecirc;me h&ocirc;te simultan&eacute;ment.
Configuration d’une passerelle
Pour d&eacute;finir une machine comme passerelle, proc&eacute;dez comme suit. Dans un souci de
clart&eacute;, on suppose que la passerelle doit &ecirc;tre connect&eacute;e &agrave; deux r&eacute;seaux et qu’elle a d&eacute;j&agrave;
fait l’objet d’une configuration minimale sur un des deux r&eacute;seaux.
1. Installez et configurez la deuxi&egrave;me carte de r&eacute;seau, si ce n’est d&eacute;j&agrave; fait.
(Reportez–vous &agrave; Installation d’une carte r&eacute;seau, page 4-38 et &agrave; Configuration
et gestion des cartes, page 4-39.)
2. Choisissez une adresse IP pour la seconde interface de r&eacute;seau et configurez l’interface
comme indiqu&eacute; &agrave; Configuration d’une interface de r&eacute;seau, page 4-56.
3. Ajoutez une route d’acc&egrave;s au second r&eacute;seau.
4. Pour utiliser une machine comme routeur interr&eacute;seau sur les r&eacute;seaux TCP/IP, entrez :
no –o ipforwarding=1
5. La passerelle peut d&eacute;sormais acc&eacute;der aux deux r&eacute;seaux directement raccord&eacute;s.
a. Pour que le routage statique serve &agrave; communiquer avec des h&ocirc;tes et r&eacute;seaux en
dehors de ces deux r&eacute;seaux, ajoutez les routes n&eacute;cessaires.
b. Pour le routage dynamique, proc&eacute;dez comme indiqu&eacute; dans Configuration du d&eacute;mon
routed, page 4-215 ou dans 1Configuration du d&eacute;mon gated, page 4-215. Si votre
interr&eacute;seau doit rejoindre le r&eacute;seau Internet, suivez les instructions de la section
Obtention d’un num&eacute;ro de syst&egrave;me autonome, page 4-219.
4-212
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Configuration d’une passerelle
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Affichage du
tableau de
routage
smit lsroute
netstat –rn1
Ajout d’une route
statique
smit mkroute
Suppression
d’une route
statique
smit rmroute
Vidage de la
table de routage
smit fshrttbl
Web-based System Manager
Management Environment
Software ––&gt; Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt; TCPIP
Protocol Configuration ––&gt;
TCP/IP ––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt; Static
Routes ––&gt; Statistics.
route ajout&eacute;e
Software ––&gt; Network ––&gt; TCPIP
destination
(IPv4 and IPv6) ––&gt; TCPIP
passerelle2
Protocol Configuration ––&gt;
TCP/IP ––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt; Static
Routes. Compl&eacute;tez les informations
dans Add/Change a static route
(ajout/modification d’une route
statique) : Destination Type (type
de destination), Gateway address
(adresse de la passerelle), Network
interface name (menu d&eacute;roulant de
l’interface de r&eacute;seau), Subnet mask
(masque de sous–r&eacute;seau), Metric
(co&ucirc;t de la distance m&eacute;trique) et
Enable active dead gateway
detection (activer la d&eacute;tection des
passerelles non op&eacute;rationnelles).
Cliquez sur Add/Change Route
(ajout/modification d’une route).
route supprim&eacute;e Software ––&gt; Network ––&gt; TCPIP
destination
(IPv4 and IPv6) ––&gt; TCPIP
passerelle2
Protocol Configuration ––&gt;
TCP/IP ––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt; Static
Routes. S&eacute;lectionnez une route,
puis cliquez sur Delete Route
(supprimer la route).
vidage de la
route
Software ––&gt; Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt; TCPIP
Protocol Configuration ––&gt;
TCP/IP ––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt; Static
Routes ––&gt; Delete All.
Remarques :
1. La table est divis&eacute;e en colonnes, o&ugrave; sont r&eacute;pertori&eacute;s l’adresse de destination, l’adresse
de passerelle, les indicateurs, le nombre de sauts et l’interface de r&eacute;seau. Pour la
description de ces colonnes, reportez-vous &agrave; la commande netstat dans le manuel AIX
5L Version 5.3 Commands Reference. En cas d’&eacute;chec de livraison de trames, si les
tables de routage sont correctes, un ou plusieurs des &eacute;v&eacute;nements ci-dessous sont
probablement en cause :
– r&eacute;seau d&eacute;faillant,
– passerelle ou h&ocirc;te distant d&eacute;faillant,
– passerelle ou h&ocirc;te distant en panne, ou non disponible pour r&eacute;ceptionner des trames,
– h&ocirc;te distant ne disposant pas de route retour au r&eacute;seau source.
Protocole TCP/IP
4-213
2. destination repr&eacute;sente l’adresse ou le nom symbolique de l’h&ocirc;te ou r&eacute;seau de
destination et passerelle, l’adresse ou le nom symbolique de la passerelle.
(Une route implicite a 0 comme valeur de destination.)
S&eacute;curit&eacute; des routes
Les routes peuvent &ecirc;tre s&eacute;curis&eacute;es en limitant leur acc&egrave;s &agrave; certains utilisateurs. Les
restrictions d’acc&egrave;s sont bas&eacute;es sur les ID de groupe primaire des utilisateurs. Avec la
commande route, vous pouvez &eacute;tablir une liste de 32 ID groupe maximum et les autoriser
ou non &agrave; utiliser une route. Si la liste contient des groupes autoris&eacute;s, n’importe quel
utilisateur de n’importe quel groupe a acc&egrave;s &agrave; la route. Si au contraire, la liste est form&eacute;e de
groupes non autoris&eacute;s, seuls les utilisateurs n’appartenant pas aux groupes de la liste ont
acc&egrave;s &agrave; la route. L’utilisateur racine a acc&egrave;s &agrave; toutes les routes.
En outre, les groupes peuvent &ecirc;tre associ&eacute;s &agrave; une interface via la commande ifconfig.
Dans ce cas, tout paquet &agrave; exp&eacute;dier peut utiliser n’importe quelle route dont l’acc&egrave;s est
autoris&eacute; aux groupes associ&eacute;s &agrave; son interface en entr&eacute;e.
Si plusieurs routes ont la m&ecirc;me destination, les r&eacute;ceptions de r&eacute;acheminement ICMP pour
cette destination sont ignor&eacute;s et la recherche de MTU d’acc&egrave;s n’est pas effectu&eacute;e sur ces
routes.
D&eacute;tection des passerelles non op&eacute;rationnelles
A partir d’AIX 5.1 et des versions ult&eacute;rieures, vous pouvez configurer un h&ocirc;te pour qu’il
d&eacute;tecte si une passerelle est d&eacute;sactiv&eacute;e et pour qu’il modifie la table de routage en fonction
des situations. Lorsque l’option de r&eacute;seau –passive_dgd est d&eacute;finie sur 1, la d&eacute;tection
passive des passerelles non op&eacute;rationnelles est activ&eacute;e pour l’ensemble du syst&egrave;me. Si les
demandes ARP cons&eacute;cutives pour dgd_packets_lost n’obtiennent pas de r&eacute;ponse, cette
passerelle est consid&eacute;r&eacute;e non op&eacute;rationnelle et le syst&egrave;me attribue aux distances m&eacute;triques
(&eacute;galement nomm&eacute;es nombre de bonds ou co&ucirc;t) de toutes les routes empruntant cette
passerelle les valeurs les plus &eacute;lev&eacute;es possibles. Apr&egrave;s un d&eacute;passement de temps
(minutes) associ&eacute; &agrave; dgd_retry_time, les co&ucirc;ts des routes sont restaur&eacute;s sur la base des
valeurs d&eacute;finies par l’utilisateur. L’h&ocirc;te est &eacute;galement impliqu&eacute; dans l’&eacute;chec des connexions
TCP. Si les paquets TCP cons&eacute;cutifs dgd_packets_lost sont perdus, l’entr&eacute;e ARP de la
passerelle est supprim&eacute;e et la connexion TCP tente la route suivante la plus appropri&eacute;e.
Si la passerelle est effectivement non op&eacute;rationnelle, &agrave; l’utilisation suivante de la passerelle,
les actions cit&eacute;es ci–dessus se reproduisent. Les param&egrave;tres passive_dgd,
dgd_packets_lost, and dgd_retry_time peuvent tous &ecirc;tre configur&eacute;s &agrave; l’aide de la
commande no.
Vous pouvez &eacute;galement configurer les h&ocirc;tes pour qu’ils appliquent la d&eacute;tection des
passerelles non op&eacute;rationnelles selon la route &agrave; l’aide de l’indicateur –active_dgd de la
commande route. La d&eacute;tection des passerelles non op&eacute;rationnelles ex&eacute;cute un ping sur
toutes les passerelles utilis&eacute;es par les routes associ&eacute;es &agrave; la d&eacute;tection selon l’intervalle en
seconde li&eacute; au param&egrave;tre dgd_ping_time. Si la passerelle ne donne pas de r&eacute;ponse,
l’ex&eacute;cution du ping est r&eacute;p&eacute;t&eacute;e plus rapidement en fonction de la valeur associ&eacute;e &agrave;
dgd_packets_lost. Si la passerelle ne donne toujours pas de r&eacute;ponse, le syst&egrave;me
augmente tous les co&ucirc;ts des routes qui utilisent cette passerelle. La passerelle poursuit
l’ex&eacute;cution du ping et lorsque la r&eacute;ponse arrive, les co&ucirc;ts des routes sont restaur&eacute;s sur la
base des valeurs d&eacute;finies par l’utilisateur. Le param&egrave;tre dgd_ping_time peut &ecirc;tre configur&eacute;
&agrave; l’aide de la commande no.
Normalement, la d&eacute;tection des passerelles non op&eacute;rationnelles est plus utile pour les h&ocirc;tes
avec un routage statique qu’avec un routage dynamique. La d&eacute;tection des passerelles non
op&eacute;rationnelles comporte une charge r&eacute;duite et elle est conseill&eacute;e pour les r&eacute;seaux ayant
des passerelles redondantes. Toutefois, la d&eacute;tection des passerelles non op&eacute;rationnelles
est appliqu&eacute;e uniquement dans l’optique d’offrir le meilleur service possible. Certains
protocoles, tels que UDP, ne fournissent aucun retour d’informations &agrave; l’h&ocirc;te en cas d’&eacute;chec
de la transmission des donn&eacute;es ; dans de telles circonstances, la d&eacute;tection des passerelles
non op&eacute;rationnelles ne peut prendre aucune mesure.
4-214
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
La d&eacute;tection des passerelles non op&eacute;rationnelles est plus utile lorsqu’un h&ocirc;te doit d&eacute;couvrir
imm&eacute;diatement l’arr&ecirc;t d’une passerelle. Toutefois, du fait des requ&ecirc;tes r&eacute;p&eacute;t&eacute;es vers les
passerelles d&eacute;finies, elle implique une certaine charge sur le r&eacute;seau. La d&eacute;tection des
passerelles non op&eacute;rationnelles est recommand&eacute;e uniquement pour les h&ocirc;tes qui
fournissent des services vitaux et les r&eacute;seaux ayant un nombre limit&eacute; d’h&ocirc;tes.
Remarque :
La d&eacute;tection des passerelles non op&eacute;rationnelles et les protocoles de
routage utilis&eacute;s par les d&eacute;mons gated et routed ex&eacute;cutent une fonction
similaire en d&eacute;tectant des modifications de la configuration du r&eacute;seau et en
ajustant la table de routage. Toutefois, ils utilisent des m&eacute;canismes
diff&eacute;rents et s’ils sont ex&eacute;cut&eacute;s en m&ecirc;me temps, ils peuvent entrer en conflit
l’un avec l’autre. Pour cette raison, la d&eacute;tection des passerelles non
op&eacute;rationnelles ne doit pas &ecirc;tre utilis&eacute;e sur les syst&egrave;mes ex&eacute;cutant les
d&eacute;mons gated ou routed.
Clonage de route
Le clonage de route permet de cr&eacute;er une route h&ocirc;te pour tous les h&ocirc;tes avec lesquels un
syst&egrave;me communique. Lorsque vous &ecirc;tes sur le point d’envoyer du trafic sur le r&eacute;seau, une
recherche est effectu&eacute;e dans la table de routage pour trouver une route jusqu’&agrave; l’h&ocirc;te. Si
une route sp&eacute;cifique est trouv&eacute;e jusqu’&agrave; l’h&ocirc;te, elle est utilis&eacute;e. Dans le cas contraire, une
route r&eacute;seau ou la route par d&eacute;faut peut &ecirc;tre trouv&eacute;e. Si l’indicateur de clonage ’c’ est d&eacute;fini
pour la route, une route h&ocirc;te pour la destination est cr&eacute;&eacute;e &agrave; l’aide de la passerelle de la
route clon&eacute;e. Les recherches suivantes effectu&eacute;es sur la table de routage trouvent la route
h&ocirc;te clon&eacute;e. Les routes clon&eacute;es sont associ&eacute;es &agrave; l’indicateur ’W’. Ces routes expirent et
sont supprim&eacute;es de la table de routage si elles restent inutilis&eacute;es pendant route_expire
minutes. Vous pouvez modifier route_expire &agrave; l’aide de la commande no.
La fonction de clonage de route est utilis&eacute;e principalement par le protocole de d&eacute;tection
MTU de chemin dans AIX afin de lui permettre de suivre les informations MTU de chemin
pour chaque destination avec laquelle il communique. Si les options de r&eacute;seau
tcp_pmtu_discover ou udp_pmtu_discover (qui peuvent &ecirc;tre d&eacute;finies avec la
commande no ) sont &eacute;gales &agrave; 1, l’indicateur de clonage est activ&eacute; pour toutes les routes
r&eacute;seau du syst&egrave;me. Dans AIX 4.3.3 et les versions ult&eacute;rieures, la d&eacute;tection MTU de chemin
est activ&eacute;e par d&eacute;faut.
Suppression manuelle de routes dynamiques
Si le d&eacute;mon routed est actif, aucune route supprim&eacute;e manuellement n’est remplac&eacute;e par
les informations RIP entrantes (du fait des contr&ocirc;les d’E/S). Si vous utilisez le d&eacute;mon gated
sans l’indicateur –n, la route supprim&eacute;e manuellement est remplac&eacute;e par celle fournie par
les informations RIP entrantes.
Configuration du d&eacute;mon routed
Pour configurer le d&eacute;mon routed :
1. Supprimez le symbole de commentaire (#) et modifiez la clause associ&eacute;e au d&eacute;mon
routed dans le script du shell /etc/rc.tcpip. Cette commande initialise automatiquement
le d&eacute;mon routed &agrave; chaque lancement du syst&egrave;me.
– Indiquez le mode d’ex&eacute;cution souhait&eacute; : actif (indicateur –s) ou passif (indicateur–q).
– Activez &eacute;ventuellement le suivi des paquets (indicateur –t). Vous pouvez &eacute;galement le
faire pendant l’ex&eacute;cution du d&eacute;mon routed, via la commande kill. Cette commande
communique au d&eacute;mon un signal SIGUSR1. Ce signal peut &eacute;galement servir &agrave;
incr&eacute;menter le niveau de suivi sur quatre niveaux. Vous pouvez &eacute;galement d&eacute;sactiver
le suivi de paquet pendant l’ex&eacute;cution du d&eacute;mon routed, via la commande kill : cette
commande communique au d&eacute;mon un signal SIGUSR2. Pour en savoir plus,
reportez-vous au d&eacute;mon routed et &agrave; la commande kill.
Protocole TCP/IP
4-215
– Activez &eacute;ventuellement la mise au point (indicateur –d). Pr&eacute;cisez alors &eacute;galement
le fichier journal dans lequel consigner les informations de mise au point (ou indiquez
que vous souhaitez les diriger vers l’&eacute;cran de la console).
– Indiquez si vous ex&eacute;cutez le d&eacute;mon routed sur une passerelle (indicateur –g).
Remarque :
Un h&ocirc;te non passerelle peut ex&eacute;cuter le d&eacute;mon routed, mais en
mode passif uniquement.
2. Identifiez tous les r&eacute;seaux connus en les r&eacute;pertoriant dans le fichier /etc/network. Pour
en savoir plus, reportez-vous &agrave; la section Networks File Format for TCP/IP dans le
manuel AIX 5L Version 5.3 Files Reference. Un exemple du fichier networks est
propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
3. D&eacute;finissez dans le fichier /etc/gateways les routes d’acc&egrave;s &agrave; toutes les passerelles
connues qui ne sont pas directement connect&eacute;es &agrave; votre r&eacute;seau. Reportez–vous &agrave;
Format de fichier passerelle pour TCP/IP dans AIX 5L Version 5.3 Files Reference pour
des exemples d’entr&eacute;es d&eacute;taill&eacute;s dans le fichier /etc/gateways. Un exemple du fichier
gateways est propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
Attention : N’ex&eacute;cutez pas le d&eacute;mon routed et le d&eacute;mon gated sur la m&ecirc;me machine.
Des r&eacute;sultats impr&eacute;visibles peuvent survenir.
Configuration du d&eacute;mon gated
Pour configurer le d&eacute;mon gated, proc&eacute;dez comme suit :
1. D&eacute;terminez les protocoles de passerelle appropri&eacute;s pour votre syst&egrave;me. Vous pouvez
utiliser les protocoles de routage EGP, BGP, RIP, RIPng, HELLO, OSPF, ICMP/Router
Discovery ou IS–IS. Vous pouvez &eacute;galement pr&eacute;voir le protocole SNMP, qui permet
d’afficher et de modifier &agrave; partir d’un h&ocirc;te distant les informations de gestion d’un
&eacute;l&eacute;ment de r&eacute;seau.
Remarque :
Utilisez les protocoles EGP, BGP ou BGP4+ pour notifier les adresses
des r&eacute;seaux d’un syst&egrave;me autonome aupr&egrave;s des passerelles des autres
syst&egrave;mes autonomes. Si vous faites partie du r&eacute;seau Internet, EGP,
BGP, or BGP4+ doivent &ecirc;tre appliqu&eacute;s pour notifier le syst&egrave;me de
passerelles noyau de l’accessibilit&eacute; du r&eacute;seau. Utilisez les protocoles de
routage interne pour communiquer les informations d’accessibilit&eacute; &agrave;
l’int&eacute;rieur d’un syst&egrave;me autonome.
2. Identifiez tous les r&eacute;seaux connus en les r&eacute;pertoriant dans le fichier /etc/network.
Pour en savoir plus, reportez-vous &agrave; la section Networks File Format for TCP/IP dans
le manuel AIX 5L Version 5.3 Files Reference. Un exemple du fichier networks est
propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
3. Modifiez le fichier /etc/gated.conf pour int&eacute;grer la configuration souhait&eacute;e pour le
d&eacute;mon gated.
Remarque :
Le d&eacute;mon gated fourni avec
AIX Version 4.3.2 et versions ult&eacute;rieures correspond &agrave; la version 3.5.9.
La syntaxe du fichier /etc/gated.conf a &eacute;t&eacute; modifi&eacute;e. Les exemples
ci–dessous concernent la version 3.5.9 du d&eacute;mon gated. Le fichier
/etc/gated.conf fournit &eacute;galement la syntaxe pour sa configuration si
vous devez l’utiliser avec les versions ant&eacute;rieures &agrave;
AIX Version 4.3.2.
a. Indiquez le niveau de suivi souhait&eacute;. S’il doit d&eacute;buter avant l’analyse du fichier
gated.conf, sp&eacute;cifiez l’indicateur –t pour activer le suivi au lancement du d&eacute;mon.
Pour en savoir plus, reportez-vous &agrave; la section gated Daemon dans le manuel AIX 5L
Version 5.3 Commands Reference.
b. Indiquez les protocoles de routage souhait&eacute;s. Vous devez sp&eacute;cifier une instruction
par protocole. Supprimez la marque de commentaire (#) et modifiez les instructions
correspondant aux protocoles &agrave; utiliser.
4-216
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
. Avec EGP :
– Ins&eacute;rez la clause autonomoussystem. Demandez un num&eacute;ro de syst&egrave;me
autonome &agrave; Internet si vous &ecirc;tes sur Internet, sinon, attribuez vous-m&ecirc;me
ce num&eacute;ro en fonction des num&eacute;ros sur votre r&eacute;seau.
– Positionnez la clause EGP sur yes.
– Ins&eacute;rez une clause group pour chaque syst&egrave;me autonome.
– Ins&eacute;rez une clause neighbor pour chaque passerelle limitrophe dans ce
syst&egrave;me autonome. Par exemple :
autonomoussystem 283 ;
egp yes {
group maxup 1 {
neighbor nogendefault
neighbor nogendefault
} ;
group {
neighbor 192.10.201.1
neighbor 192.10.201.2
} ;
} ;
192.9.201.1 ;
192.9.201.2 ;
;
;
. Avec RIP ou HELLO :
– Positionnez l’instruction RIP ou HELLO sur yes.
– Dans l’instruction RIP ou HELLO, sp&eacute;cifiez nobroadcast pour que la
passerelle se contente de recevoir des informations de routage, mais n’en
diffuse pas. Sinon, sp&eacute;cifiez broadcast pour qu’elle puisse recevoir et
diffuser ces informations.
– Pour que la passerelle envoie les informations directement aux passerelles
source, utilisez l’instruction sourcegateways. Sp&eacute;cifiez le nom ou
l’adresse Internet d’une passerelle en notation d&eacute;cimale &agrave; points dans la
clause sourcegateways. Par exemple :
# Notification &agrave; des
passerelles sp&eacute;cifiques
rip/hello yes {
sourcegateways
101.25.32.1
101.25.32.2 ;
} ;
L’exemple suivant illustre la syntaxe de RIP/HELLO du fichier gated.conf d’une machine
qui n’envoie aucun paquet RIP, ni n’en re&ccedil;oit sur son interface tr0.
rip/hello nobroadcast {
interface tr0 noripin ;
} ;
. Avec BGP :
– Ins&eacute;rez la clause autonomoussystem. Demandez un num&eacute;ro de syst&egrave;me
autonome &agrave; Internet si vous &ecirc;tes sur Internet, sinon, attribuez vous-m&ecirc;me
ce num&eacute;ro en fonction des num&eacute;ros sur votre r&eacute;seau.
– Positionnez la clause BGP sur yes.
Protocole TCP/IP
4-217
– Ins&eacute;rez une clause peer pour chaque passerelle limitrophe dans ce
syst&egrave;me autonome. Par exemple :
# Ex&eacute;cuter toutes les op&eacute;rations BGP
bgp yes {
peer 192.9.201.1 ;
} ;
. Avec SNMP :
– Positionnez la clause SNMP sur yes.
snmp yes ;
Configuration du d&eacute;mon gated pour l’ex&eacute;cution de IPv6
Pour configurer le d&eacute;mon gated pour l’ex&eacute;cution avec IPv6 (Internet Protocol version 6),
v&eacute;rifiez d’abord que votre syst&egrave;me est configur&eacute; pour IPv6 et le routage IPv6 :
1. Ex&eacute;cutez autoconf6 pour configurer automatiquement vos interfaces pour IPv6.
2. Configurez les adresses locales de chaque interface IPv6 sur laquelle vous voulez
utiliser le routage IPv6, via la commande :
ifconfig interface inet6 fec0:n::address/64 alias
o&ugrave;
interface
est le nom de l’interface, comme tr0 ou en0.
n
est un nombre d&eacute;cimal quelconque, par exemple 11
address
est la portion de l’interface IPv6 qui suit les deux colonnes, par exemple,
avec l’adresse IPv6 fe80::204:acff:fe86:298d, l’entr&eacute;e address
serait 204:acff:fe86:298d.
Remarque :
La commande netstat –i permet d’afficher votre adresse IPv6 pour
chaque interface configur&eacute;e.
Ainsi, si l’anneau &agrave; jeton tr0 est associ&eacute; &agrave; l’adresse IPv6
fe80::204:acff:fe86:298d, entrez la commande :
ifconfig tr0 inet6 fec0:13::204:acff:fe86:298d/64 alias
3. Pour activer le r&eacute;acheminement IPv6, utilisez la commande :
no –o ip6forwarding=1
4. Pour lancer ndpd–router, utilisez la commande :
ndpd–router –g
Affichez ndpd–router pour d&eacute;terminer les indicateurs &agrave; utiliser dans votre configuration
r&eacute;seau.
Si vous lancez ndpd–router, votre syst&egrave;me pourra &ecirc;tre utilis&eacute; comme routeur pour le
protocole Neighbor Discovery Protocol. Les routeurs Neighbor Discovery Protocol
communiquent les informations de routage aux h&ocirc;tes Neighbor Discovery afin qu’ils
acheminent les paquets IPv6.
4-218
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Tout h&ocirc;te du r&eacute;seau devant appartenir au r&eacute;seau IPv6 doit ex&eacute;cuter ndpd–host. Les
h&ocirc;tes du r&eacute;seau qui ex&eacute;cutent ndpd–host se reconna&icirc;tront comme appartenant &agrave; un
r&eacute;seau IPv6 et utiliseront par cons&eacute;quent le protocole Neighbor Discovery Protocol. Ce
protocole leur permet de d&eacute;terminer et de contr&ocirc;ler les adresses de communication, non
seulement pour autoriser le routage limitrophe, mais aussi pour rechercher les routeurs
limitrophes afin de r&eacute;acheminer les paquets.
Pour plus d’informations, reportez–vous aux sections ndpd–router, ndpd–host, ou
consultez RFC 1970, Neighbor Discovery.
Ensuite, configurez le d&eacute;mon gated :
1. D&eacute;terminez les protocoles de passerelle IPv6 appropri&eacute;s pour votre syst&egrave;me. Vous
pouvez utiliser les protocoles de routage IPv6 BGP4+ (Border Gateway Protocol &eacute;tendu
pour IPv6) et RIPng (Routing Information Protocol Next Generation).
2. Modifiez le fichier /etc/gated.conf pour int&eacute;grer la configuration souhait&eacute;e pour le
d&eacute;mon gated.
Remarque :
AIX Version 4.3.2 et ult&eacute;rieures ex&eacute;cutent gated version 3.5.9. La
syntaxe du fichier gated.conf est l&eacute;g&egrave;rement modifi&eacute;e par rapport aux
versions pr&eacute;c&eacute;dentes. Pour conna&icirc;tre la syntaxe appropri&eacute;e,
reportez–vous &agrave; la documentation gated.conf ou utilisez le fichier
exemple disponible dans le r&eacute;pertoire /usr/sample/tcpip.
Pour configurer BGP4+ ou RIPng, utilisez les adresses IPv6 dont la syntaxe sp&eacute;cifie une
adresse IP.
Remarque :
Par d&eacute;faut, le protocole RIPng envoie des paquets &agrave; plusieurs
destinataires.
D&egrave;s que le fichier /etc/gated.conf a &eacute;t&eacute; modifi&eacute;, le d&eacute;mon gated peut &ecirc;tre lanc&eacute;.
Obtention d’un num&eacute;ro de syst&egrave;me autonome
Si vous utilisez EGP ou BGP, il est recommand&eacute; de solliciter aupr&egrave;s du NIC un num&eacute;ro de
syst&egrave;me autonome officiel pour votre passerelle. Pour ce faire, contactez NIC &agrave; l’adresse
[email protected].
Protocole TCP/IP
4-219
Mobile IPv6
Le mobile IPv6 prend en charge la mobilit&eacute; &agrave; IPv6. Il vous permet de conserver la m&ecirc;me
adresse Internet dans le monde entier et permet aux applications utilisant cette adresse de
mettre &agrave; jour les connexions de transport et de couche sup&eacute;rieure lorsque vous changez de
lieu. Il permet aussi la mobilit&eacute; dans des milieux homog&egrave;nes et h&eacute;t&eacute;rog&egrave;nes. Par exemple,
Mobile IPv6 facilite le d&eacute;placement de nœud d’un segment Ethernet vers une cellule LAN
sans fil, tandis que l’adresse IP du nœud mobile reste inchang&eacute;e.
Dans Mobile IPv6, chaque nœud mobile est identifi&eacute; par deux adresses IP : l’adresse
d’origine et l’adresse provisoire. L’adresse d’origine est une adresse IP permanente qui
identifie le nœud mobile quel que soit son emplacement. L’adresse provisoire change &agrave;
chaque nouveau point de connexion et fournit des informations sur la situation actuelle du
nœud mobile. Lorsqu’un nœud mobile arrive sur un r&eacute;seau visit&eacute;, il doit se procurer une
adresse provisoire qu’il utilise pendant tout le temps qu’il occupera cet emplacement dans
le r&eacute;seau visit&eacute;. Il peut utiliser les m&eacute;thodes d’IPv6 Neighborhood Discovery pour obtenir
l’adresse provisoire (reportez–vous &agrave; Neighbor Discovery/autoconfiguration d’une adresse
sans &eacute;tat page 4-11). Une autoconfiguration sans &eacute;tat ou avec &eacute;tat est possible. L’adresse
provisoire peut aussi &ecirc;tre configur&eacute;e manuellement. Le mode d’acquisition de l’adresse
provisoire n’a pas d’importance pour Mobile IPv6.
Un agent d’origine au moins doit &ecirc;tre configur&eacute; sur le r&eacute;seau d’origine et le nœud mobile
doit &ecirc;tre configur&eacute; pour conna&icirc;tre l’adresse IP de cet agent. Le nœud mobile envoie un
paquet contenant une mise &agrave; jour de lien &agrave; l’agent d’origine. L’agent d’origine re&ccedil;oit le
paquet et &eacute;tablit une association entre l’adresse d’origine et le nœud mobile ainsi que
l’adresse provisoire qu’il a re&ccedil;ue. L’agent d’origine r&eacute;pond en envoyant un paquet contenant
un accus&eacute; de r&eacute;ception de lien.
L’agent d’origine dispose d’une cache de lien contenant les associations entre les adresses
d’origine et les adresses provisoires des nœuds mobiles qu’il dessert. L’agent d’origine
intercepte les paquets destin&eacute;s &agrave; l’adresse d’origine et les transmet aux nœuds mobiles.
Un nœud mobile envoie alors une mise &agrave; jour de lien au nœud correspondant, en
l’informant de son adresse provisoire. Le nœud correspondant cr&eacute;e une entr&eacute;e de cache
de lien afin de pouvoir envoyer du trafic futur directement au nœud mobile de son adresse
provisoire.
La prise en charge de la mobilit&eacute; par AIX offre les fonctions suivantes :
En tant qu’agent Agent d’origine :
• Tenue &agrave; jour d’une entr&eacute;e dans sa cache de liens pour chaque nœud mobile servi.
• Interception des paquets adress&eacute;s &agrave; un nœud mobile qu’il dessert en tant qu’agent
d’origine, sur le lien d’origine de ce nœud mobile, lorsque le nœud mobile est en
d&eacute;placement.
• Encapsulation des paquets intercept&eacute;s afin de les tunn&eacute;liser vers l’adresse provisoire
principale du nœud mobile indiqu&eacute; dans son lien, dans la cache de liens de l’agent
d’origine.
• Renvoi d’une option d’accus&eacute; de r&eacute;ception de liens en r&eacute;ponse &agrave; une option de mise
&agrave; jour de liens re&ccedil;ue avec le groupe de bits de l’accus&eacute; de r&eacute;ception.
• Proc&eacute;dez &agrave; la d&eacute;tection des adresses doubles dans l’adresse provisoire du noeud
mobile afin de vous assurer que les adresses IPv6 sont uniques.
• La prise en charge de la d&eacute;tection d’adresses d’agents d’origine dynamique servant
d’assistance aux noeuds mobiles d&eacute;tecte les adresses des agents d’origine.
• Prend en charge la r&eacute;ception de la sollicitation du pr&eacute;fixe mobile et l’envoi d’annonce
du pr&eacute;fixe mobile.
4-220
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
En tant que nœud Correspondant stationnaire :
• Traitement d’une option d’adresse d’origine re&ccedil;ue dans un paquet IPv6.
• Traitement d’une option de mise &agrave; jour de liens re&ccedil;ue dans un paquet et renvoi d’une
option d’accus&eacute; de r&eacute;ception de liens si le bit d’accus&eacute; de r&eacute;ception (A) est d&eacute;fini dans
la mise &agrave; jour de liens re&ccedil;ue.
• Tenue &agrave; jour d’une cache de liens contenant les lien re&ccedil;us dans les mises &agrave; jour de liens
accept&eacute;es.
• Envoi de paquets utilisant un en–t&ecirc;te de routage lorsqu’il existe une entr&eacute;e de cache
de liens pour un nœud mobile contenant l’adresse provisoire en cours du nœud mobile.
En tant que nœud Routeur dans un r&eacute;seau visit&eacute; par le nœud mobile :
• Envoi d’une option d’intervalle d’annonce dans ses annonces de routeur afin de faciliter
la d&eacute;tection de mouvements par les nœuds mobiles. La configuration s’effectue &agrave; l’aide
du param&egrave;tre –m dans le d&eacute;mon ndpd–router.
• Prise en charge de l’envoi d’annonces de routeur multidiffusion non sollicit&eacute;es &agrave; la
vitesse la plus &eacute;lev&eacute;e d&eacute;crite dans RFC 2461. La configuration peut s’effectuer &agrave; l’aide
des param&egrave;tres –m et –D dans le d&eacute;mon ndpd–router.
• Envoie une option d’informations relatives &agrave; l’agent d’origine (pr&eacute;f&eacute;rence et dur&eacute;e de vie
de l’agent d’origine) dans les annonces de routeur afin d’aider les noeuds mobiles &agrave;
s&eacute;lectionner leur agent d’origine. La configuration s’effectue &agrave; l’aide du param&egrave;tre –H
dans le d&eacute;mon ndpd–router.
Compr&eacute;hension de la s&eacute;curit&eacute; du mobile IPv6
Les messages de mise &agrave; jour de liens et les accus&eacute;s de r&eacute;ception &eacute;chang&eacute;s entre le noeud
mobile et l’agent d’origine doivent &ecirc;tre prot&eacute;g&eacute;s par IP Security utilisant la protection
Encapsulating Security Payload (ESP) pourvue d’un algorithme d’authentification de charge
non–nul. Pour plus d’informations sur IP Security, reportez–vous au Manuel de s&eacute;curit&eacute; AIX
5L Version 5.3.
La proc&eacute;dure Return Routability permet de s&eacute;curiser l’&eacute;tablissement de liens entre le noeud
mobile et le noeud correspondant. Dans cette proc&eacute;dure, les messages &eacute;chang&eacute;s entre le
noeud d’agent d’origine et les noeuds mobiles doivent &eacute;galement &ecirc;tre prot&eacute;g&eacute; par IP
Security utilisant ESP. Les messages de mise &agrave; jour de liens et les accus&eacute;s de r&eacute;ception
de liens &eacute;chang&eacute;s entre le noeud correspondant et le noeud mobile &eacute;tant prot&eacute;g&eacute;s par la
proc&eacute;dure Return Routability, l’IP Security n’est pas n&eacute;cessaire pour les noeuds
correspondants. En revanche, si le noeud correspondant utilise IP Security afin de
restreindre son acc&egrave;s, les messages avec le protocole MH (135) doivent &ecirc;tre admis.
Les tunnels peuvent &ecirc;tre d&eacute;finis manuellement ou &agrave; l’aide de IKE servant de r&eacute;pondeur
(seul le mode agressif est pris en charge). Les tunnels IP Security suivants doivent au
moins &ecirc;tre d&eacute;finis sur l’agent d’origine via l’en–t&ecirc;te ESP :
• un tunnel en mode transport avec un protocole MH (135) entre l’adresse IP de l’agent
d’origine et l’adresse d’origine de chaque noeud mobile susceptible d’&ecirc;tre enregistr&eacute; sur
cet agent d’origine.
• un tunnel en mode tunnel avec un protocole MH (135) entre une adresse IP quelconque
et l’adresse d’origine de chaque noeud mobile susceptible d’&ecirc;tre enregistr&eacute; sur cet agent
d’origine.
Les tunnels correspondants doivent &ecirc;tre d&eacute;finis sur les noeuds mobiles.
Remarque :
Les messages de mise &agrave; jour et les accus&eacute;s de r&eacute;ception sont envoy&eacute;s
via un en–t&ecirc;te de mobilit&eacute; et doivent &ecirc;tre prot&eacute;g&eacute;s par IP Security en
utilisant ESP.
Protocole TCP/IP
4-221
Dans les impl&eacute;mentations pr&eacute;c&eacute;dentes de Mobile IPv6 dans AIX, la prise en charge &eacute;tait
fournie pour des noeuds mobiles utilisant des paquets Destination Option afin d’envoyer
des messages de mise &agrave; jour de liens. Ces messages peuvent &ecirc;tre prot&eacute;g&eacute;s avec IP
Security en utilisant un en–t&ecirc;te d’authentification.
Afin qu’un agent d’origine ou un noeud correspondant accepte de tels messages de mise &agrave;
jour de liens en utilisant une option de destination, &eacute;ditez le fichier /etc/rc.mobip6 et activez
la variable Enable_Draft13_Mobile avant de lancer Mobile IPv6. Dans ce cas, si vous
utilisez IP Security pour prot&eacute;ger les messages de mise &agrave; jour des liens, vous devez d&eacute;finir
un manuel ou des tunnels IKE en mode transport dans le protocole 60, qui prot&egrave;ge les
messages de Mise &agrave; jour des liens et les Accus&eacute;s de r&eacute;ception.
Afin qu’un agent d’origine ou un noeud correspondant accepte de tels messages de mise &agrave;
jour de liens non prot&eacute;g&eacute;s par IP Security, &eacute;ditez le fichier /etc/rc.mobip6 et d&eacute;sactivez la
variable Check_IPsec. Cette m&eacute;thode n’est pas recommand&eacute;e car elle affecte la s&eacute;curit&eacute;
de mani&egrave;re significative et plus particuli&egrave;rement l’acheminement des paquets adress&eacute;s &agrave; un
noeud mobile.
Configuration de Mobile IPv6
Cette section contient des informations relatives &agrave; la configuration de Mobile IPv6. Afin de
pouvoir utiliser Mobile IPv6, vous devez dans un premier temps installer l’ensemble des
fichiers bos.net.mobip6.rte. Pour plus d’informations concernant l’installation de
l’ensemble des fichiers, reportez–vous &agrave; Produits logiciels facultatifs et mises &agrave; jour de
services dans Manuel d’installation et de r&eacute;f&eacute;rence AIX 5L Version 5.3
Lancement de Mobile IPv6
Proc&eacute;dez comme suit pour lancer Mobile IPv6.
En tant qu’agent d’origine
1. D&eacute;finissez chaque tunnel IKE (phases 1 et 2) comme r&eacute;pondeur en utilisant le protocole
ESP ou manuellement en utilisant ESP IP Security Association entre l’adresse IP de
l’agent d’origine et chaque adresse d’origine mobile avec laquelle le noeud
correspondant peut communiquer.
2. Activez le syst&egrave;me comme agent d’origine et noeud correspondant Mobile IPv6.
Sur la ligne de commande, entrez smit enable_mobip6_home_agent.
3. S&eacute;lectionnez le moment o&ugrave; vous souhaitez qu’il soit actif.
En tant que nœud correspondant
1. D&eacute;finissez les tunnels IKE (phases 1 et 2) comme r&eacute;pondeurs en utilisant le protocole
ESP ou manuellement avec ESP IP Security Association entre l’adresse IP de l’agent
d’origine et chaque adresse d’origine mobile avec laquelle le noeud correspondant peut
communiquer.
2. Activez le syst&egrave;me comme noeud correspondant Mobile IPv6. Sur la ligne de
commande, entrez smit enable_mobip6_correspondent.
3. S&eacute;lectionnez le moment o&ugrave; vous souhaitez qu’il soit actif.
En tant que routeur
Pour faciliter la d&eacute;tection de mouvement, ex&eacute;cutez ce qui suit :
ndpd–router –m
4-222
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Arr&ecirc;t de Mobile IPv6
Pour mettre fin &agrave; Mobile IPv6, entrez smit disable_mobip6 sur la ligne de commande.
S&eacute;lectionnez le moment o&ugrave; vous souhaitez mettre fin &agrave; Mobile IPv6, si vous souhaitez
mettre fin au d&eacute;mon ndpd–router, et si vous souhaitez d&eacute;sactiver la transmission de IPv6.
Identification des incidents Mobile IPv6
• Obtenez les &eacute;tat des liens en ex&eacute;cutant la commande suivante :
mobip6ctrl –b
• Pour plus d’informations concernant l’utilisation des utilitaires de r&eacute;solution des incidents
TCP/IP, reportez–vous &agrave; Identification des probl&egrave;mes TCP/IP, page 4-274
Protocole TCP/IP
4-223
Adresse IP virtuelle (VIPA)
Une adresse IP virtuelle &eacute;vite &agrave; l’h&ocirc;te de d&eacute;pendre d’interface r&eacute;seau pr&eacute;cises. Les paquets
entrants sont envoy&eacute;s &agrave; l’adresse VIPA du syst&egrave;me mais tous les paquets passent par le
r&eacute;seau r&eacute;el.
Auparavant, en cas de d&eacute;faillance d’une interface, les connexions &agrave; cette interface &eacute;taient
perdues. Avec l’activation de VIPA sur le syst&egrave;me et le r&eacute;acheminement automatique
assur&eacute; par les protocoles de routage dans le r&eacute;seau, la reprise apr&egrave;s incident se d&eacute;roule
sans interruption des connexions utilisateur existantes passant par l’interface virtuelle, &agrave;
condition que les paquets puissent arriver via une autre interface physique. Les syst&egrave;mes
ex&eacute;cutant VIPA sont plus disponibles car les pannes de carte n’affectent plus les
connexions actives. Comme de multiples cartes physiques transmettent le trafic IP du
syst&egrave;me, la charge globale n’est pas concentr&eacute;e sur une seule carte et son sous–r&eacute;seau
associ&eacute;.
La fonction AIX VIPA est transparente pour l’&eacute;quipement r&eacute;seau. Aucun &eacute;quipement r&eacute;seau
sp&eacute;cial ou d’autre mat&eacute;riel n’est requis. Pour impl&eacute;menter VIPA, vous devez disposer de la
configuration suivante :
• deux interfaces IP existantes de type physique indiff&eacute;rent sur des sous–r&eacute;seaux
diff&eacute;rents qui se connectent au r&eacute;seau d’entreprise
• des protocoles de routage IP s’ex&eacute;cutant dans le r&eacute;seau de l’entreprise
Configuration de VIPA
VIPA doit &ecirc;tre configur&eacute; dans SMIT, comme toutes les interfaces r&eacute;seau IP. Vous pouvez
aussi d&eacute;finir un groupe d’interfaces tout en configurant VIPA. Lorsqu’elle est configur&eacute;e de
cette fa&ccedil;on, pour toutes les connexions initialis&eacute;es par l’h&ocirc;te VIPA via ces interfaces, qui
sont con&ccedil;ues pour utiliser un VIPA, l’adresse virtuelle devient l’adresse source plac&eacute;e dans
l’en–t&ecirc;te du paquet TCP/IP des paquets en sortie.
1. Pour VIPA IPv4, tapez smit mkinetvi sur la ligne de commande.
Pour VIPA IPv6, tapez smit mkinetvi6 sur la ligne de commande.
2. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Gestion de VIPA
Cette section traite des points suivants :
• Ajout d’une carte &agrave; un VIPA, page 4-224
• Retrait d’une carte d’un VIPA, page 4-225
• Exemple d’environnement VIPA dans AIX 5.2, page 4-225
• Autres informations techniques, page 4-226
Ajout d’une carte &agrave; un VIPA
Pour ajouter une carte &agrave; votre interface VIPA, proc&eacute;dez comme suit :
1. Tapez smit chvi sur la ligne de commande.
2. S&eacute;lectionnez le VIPA auquel ajouter une carte et appuyez sur Entr&eacute;e.
3. Indiquez la carte &agrave; ajouter dans le champ Interface Name(s).
4. Entrez ADD dans le champ ADD/REMOVE interface(s) et appuyez sur Entr&eacute;e.
4-224
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Retrait d’une carte d’un VIPA
Pour supprimer une carte d’un VIPA, proc&eacute;dez comme suit :
1. Tapez smit chvi sur la ligne de commande.
2. S&eacute;lectionnez le VIPA duquel retirer une carte et appuyez sur Entr&eacute;e.
3. Indiquez la carte &agrave; retirer dans le champ Interface Name(s).
4. Entrez REMOVE dans le champ ADD/REMOVE interface(s) et appuyez sur Entr&eacute;e.
Exemple d’environnement VIPA dans AIX 5.2
Un syst&egrave;me a une adresse IP virtuelle, vi0, de 10.68.6.1 et deux connexions
physiques, en1 avec l’adresse IP 10.68.1.1 et en5,
avec l’adresse IP 10.68.5.1. Dans cet exemple, les deux connexions physiques sont
Ethernet, mais toute combinaison d’interfaces IP, par exemple en anneau &agrave; jeton ou FDDI,
sera prise en charge &agrave; partir du moment o&ugrave; les sous–r&eacute;seaux ont &eacute;t&eacute; rattach&eacute;s au r&eacute;seau
principal d’entreprise et sont connus des routeurs d’entreprise.
L’ex&eacute;cution de la commande lsattr –El vi0 g&eacute;n&egrave;re les r&eacute;sultats suivants :
netaddr
10.68.6.1
N/A
True
state
up
Standard Ethernet Network Interface
True
netmask
255.255.255.0 Maximum IP Packet Size for This Device
True
netaddr6
Maximum IP Packet Size for REMOTE Networks
True
alias6
Internet Address
True
prefixlen
Current Interface Status
True
alias4
TRAILER Link–Level Encapsulation
True
interface_names en1,en5
Interfaces using the Virtual Address
True
L’ex&eacute;cution de la commande ifconfig vi0 g&eacute;n&egrave;re les r&eacute;sultats suivants :
vi0: flags=84000041&lt;UP,RUNNING,64BIT&gt;
inet 10.68.6.1 netmask 0xffffff00
iflist : en1 en5
L’ex&eacute;cution de la commande netstat –rn g&eacute;n&egrave;re les r&eacute;sultats suivants :
Tables de routage
Destination
Groups
Gateway
Flags
Refs
Route Tree for Protocol Family 2 (Internet):
default
10.68.1.2
UG
3
10.68.1/24
10.68.1.1
U
0
10.68.5/24
10.68.5.1
U
0
127/8
127.0.0.1
U
4
10.68.6.1
127.0.0.1
UH
0
Use
If
1055
665
1216
236
0
en1
en1
en5
lo0
lo0
PMTU Exp
–
–
–
–
–
–
–
–
–
–
L’adresse source des paquets en sortie pour lesquels une adresse source n’est pas d&eacute;finie
et qui sont rout&eacute;s via les interfaces en1 et en5 est d&eacute;finie comme l’adresse virtuelle
(10.68.6.1). Les paquets entrants sont rout&eacute;s vers l’adresse VIPA ( 10.68.6.1)
annonc&eacute;e sur le r&eacute;seau. Comme vi0 est virtuel, c’est–&agrave;–dire qu’il n’est associ&eacute; &agrave; aucune
unit&eacute;, il ne doit pas exister d’entr&eacute;es lui correspondant dans la table de routage &agrave; l’&eacute;chelle
de tout le syst&egrave;me affich&eacute;e par la commande netstat –rn. Ceci signifie qu’aucune route
d’interface n’est ajout&eacute;e lorsque l’interface est configur&eacute;e dans SMIT.
Si l’une des interfaces physiques, une connexion r&eacute;seau ou un chemin r&eacute;seau &eacute;choue, les
protocoles r&eacute;seau effectuent l’acheminement vers l’autre interface physique du m&ecirc;me
syst&egrave;me. Si un syst&egrave;me &eacute;loign&eacute; envoie une commande telnet &agrave; l’adresse vi0, les paquets
destin&eacute;s &agrave; vi0 peuvent arriver via en1 ou en5. Si en1 est en panne, par exemple, les
paquets peuvent toujours arriver sur en5. Les protocoles de routage peuvent prendre un
certain temps pour propager les routes.
Protocole TCP/IP
4-225
Lorsque vous utilisez le VIPA, les syst&egrave;mes finals et les routeurs interm&eacute;diaires doivent
pouvoir acheminer les paquets destin&eacute;s &agrave; VIPA ( vi0) vers l’une des interfaces physiques
(en1 ou en5).
Autres informations techniques
Comparaison VIPA/alias
Le concept VIPA est semblable aux alias IP, sauf que les adresses ne sont pas associ&eacute;es &agrave;
une interface mat&eacute;rielle. VIPA offre plusieurs avantages que les alias IP ne poss&egrave;dent pas :
• VIPA propose une unit&eacute; virtuelle qui peut &ecirc;tre activ&eacute;e et arr&ecirc;t&eacute;e de fa&ccedil;on ind&eacute;pendante,
sans impact sur les interfaces physiques.
• Les adresses VIPA peuvent &ecirc;tre modifi&eacute;es, tandis que les alias peuvent seulement &ecirc;tre
ajout&eacute;s ou supprim&eacute;s.
Acc&egrave;s via l’adresse IP des cartes r&eacute;elles
Les interfaces individuelles sont toujours accessibles aux autres syst&egrave;mes une fois VIPA
impl&eacute;ment&eacute;. Toutefois, l’utilisation des adresses IP r&eacute;elles pour les sessions ping et telnet
renforce l’avantage VIPA qui communique ind&eacute;pendamment des cartes physiques. VIPA
cache les d&eacute;faillances de carte physique aux clients externes. L’utilisation des adresses
r&eacute;elles r&eacute;introduit la d&eacute;pendance par rapport aux cartes physiques.
Si le syst&egrave;me &eacute;loign&eacute; contacte le syst&egrave;me VIPA &agrave; l’aide de l’adresse VIPA ou si une
application sur le syst&egrave;me VIPA initialise la communication avec un autre syst&egrave;me, l’adresse
VIPA est utilis&eacute;e comme adresse IP source dans le paquet. Toutefois, si le syst&egrave;me &eacute;loign&eacute;
initialise la session &agrave; l’aide de l’adresse IP de l’interface r&eacute;elle, cette adresse IP r&eacute;elle est
l’adresse IP source dans les paquets de r&eacute;ponse. Il y a cependant une exception. Pour les
applications &eacute;tablissant une liaison &agrave; une interface IP particuli&egrave;re, les paquets sortants
transf&egrave;rent l’adresse source de l’interface &agrave; laquelle ils sont li&eacute;s.
VIPA et les protocoles de routage
Le d&eacute;mon gated a &eacute;t&eacute; modifi&eacute; pour VIPA afin de ne pas ajouter de route d’interface ou
d’envoyer d’annonces via des interfaces virtuelles. Le protocole OSPF, pris en charge par
gated, annonce l’interface virtuelle aux routeurs de voisinage. Les autres h&ocirc;tes du r&eacute;seau
peuvent parler &agrave; l’h&ocirc;te VIPA via le routeur du premier tron&ccedil;on.
Adresses VIPA multiples
Il est possible de configurer plusieurs interfaces virtuelles.
Il est utile d’avoir plusieurs interfaces VIPA, par exemple si des routeurs r&eacute;seau peuvent
offrir un traitement pr&eacute;f&eacute;rentiel aux paquets envoy&eacute;s de ou vers certaines adresses VIPA.
Vous pouvez aussi utiliser plusieurs interfaces VIPA si elles liaient des applications &agrave; une
interface VIPA sp&eacute;cifique. Par exemple, pour ex&eacute;cuter plusieurs serveurs Web pour
plusieurs entreprises sur une seule machine, vous pouvez configurer ce qui suit :
• vi0 200.1.1.1 www.companyA.com
• vi1 200.1.1.2 www.companyB.com
• vi2 200.1.1.3 www.companyC.com
VIPA sous AIX 5.1
Il n’&eacute;tait pas possible de d&eacute;finir un groupe d’interfaces utilisant un VIPA particulier dans
AIX 5.1. Le premier VIPA de la liste d’adresses sera choisi comme adresse source par
d&eacute;faut lorsque l’application n’&eacute;tablit pas de lien explicite &agrave; une adresse.
4-226
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
EtherChannel et IEEE 802.3ad Link Aggregation
EtherChannel et IEEE 802.3ad Link Aggregation d&eacute;signent des technologies d’agr&eacute;gation
de port r&eacute;seau permettant &agrave; plusieurs cartes Ethernet d’&ecirc;tre rassembl&eacute;es pour former une
seule pseudo–unit&eacute; Ethernet. Par exemple, ent0 et ent1 peuvent &ecirc;tre r&eacute;unis dans une
carte EtherChannel appel&eacute;e interface ent3. L’interface en3 est alors configur&eacute;e avec une
adresse IP. Le syst&egrave;me consid&egrave;re cet agr&eacute;gat de cartes comme une carte unique. Par
cons&eacute;quent, IP est configur&eacute; via ces cartes comme s’il s’agissait d’une carte Ethernet
normale. En outre, toutes les cartes d’EtherChannel ou de Link Aggregation re&ccedil;oivent la
m&ecirc;me adresse mat&eacute;rielle (MAC) et sont donc trait&eacute;es par les syst&egrave;mes distants comme
s’il s’agissait d’une seule carte. EtherChannel et IEEE 802.3ad Link Aggregation requi&egrave;rent
la prise en charge dans le commutateur de sorte que celui–ci sait quels ports du
commutateur doivent &ecirc;tre trait&eacute;s ensemble.
L’avantage principal d’EtherChannel et de IEEE 802.3ad Link Aggregation est qu’ils
disposent de toute la bande passante de toutes leurs cartes tout en &eacute;tant uniques dans le
r&eacute;seau. En cas de panne d’une carte, le trafic r&eacute;seau est automatiquement envoy&eacute; &agrave; la
carte disponible suivante sans interruption des connexions utilisateur existantes. La carte
est remise automatiquement en service sur EtherChannel ou Link Aggregation lorsque
son fonctionnement est r&eacute;tabli.
Il existe des diff&eacute;rences entre EtherChannel et IEEE 802.3ad Link Aggregation. Consultez
les diff&eacute;rences indiqu&eacute;es dans le Tableau 15, page 4-227 pour d&eacute;terminer la solution vous
convenant le mieux.
Tableau 15. Diff&eacute;rences entre EtherChannel et IEEE 802.3ad Link Aggregation.
EtherChannel
IEEE 802.3ad
Requiert la configuration du commutateur
Peu ou pas de configuration de
commutateur pour former l’agr&eacute;gat.
Une configuration initiale du commutateur
peut &ecirc;tre n&eacute;cessaire.
Prend en charge diff&eacute;rents modes de
distribution des paquets
Prend en charge uniquement le mode
de distribution standard
La fonctionnalit&eacute; Dynamic Adapter Membership est disponible &agrave; partir de AIX 5L avec
5200–03. Cette fonctionnalit&eacute; vous permet d’ajouter ou de supprimer des cartes
d’EtherChannel sans interrompre les connexions utilisateur. Pour plus d’informations,
reportez–vous &agrave; la section Dynamic Adapter Membership, page 4-238.
Cartes prises en charge
EtherChannel et IEEE 802.3ad Link Aggregation sont pris en charge par les cartes Ethernet
suivantes :
• Carte PCI Ethernet 10/100 Mo/s
• Carte 10/100 Ethernet universelle, 4 ports
• Carte II PCI Ethernet 10/100 Mo/s
• Carte PCI Ethernet 10/100/1000 Base–T
• Carte PCI Gigabit Ethernet–SX
• Carte PCI–X Ethernet 10/100/1000 Base–TX
• Carte PCI–X Gigabit Ethernet–SX
• Carte PCI–X Ethernet 10/100/1000 Base–TX 2 ports
• Carte PCI–X Gigabit Ethernet–SX 2 ports
Protocole TCP/IP
4-227
Seule la fonctionnalit&eacute; EtherChannel de base (fonctionnant exclusivement en mode
“standard” ou “circulaire” sans option de secours) est prise en charge par les cartes
Ethernet suivantes :
• Carte PCI Ethernet BNC/RJ–45
• Carte PCI Ethernet AUI/RJ–45
Sauf indications contraires contenues dans les remarques sur la version AIX, la prise en
charge de nouvelles cartes sera fournie lorsque ces cartes seront lib&eacute;r&eacute;es.
Remarque :
Le m&eacute;lange de cartes de vitesses diff&eacute;rentes dans le m&ecirc;me EtherChannel,
m&ecirc;me si l’une d’elles fonctionne en tant que carte de secours, n’est pas
officiellement pris en charge. Cela ne signifie pas pour autant que de telles
configurations ne fonctionneront pas. Le pilote de EtherChannel essaiera,
dans la mesure du possible, de fonctionner &eacute;galement dans un sc&eacute;nario
comportant diverses vitesses.
Pour plus d’informations sur la configuration et l’utilisation d’EtherChannel, reportez–vous
&agrave; EtherChannel, page 4-228. Pour plus d’informations sur la configuration et l’utilisation
de IEEE 802.3ad Link Aggregation, reportez–vous &agrave; IEEE 802.3ad Link Aggregation,
page 4-243. Pour plus d’informations sur les diff&eacute;rentes combinaisons de configuration
d’AIX et de commutateur, et sur les r&eacute;sultats obtenus, reportez–vous &agrave; Sc&eacute;narios
d’interop&eacute;rabilit&eacute;, page 4-246.
EtherChannel
Les cartes appartenant &agrave; un EtherChannel doivent &ecirc;tre connect&eacute;es au m&ecirc;me commutateur
EtherChannel. Ce commutateur doit &ecirc;tre configur&eacute; manuellement afin de traiter les ports
appartenant &agrave; EtherChannel en tant que lien agr&eacute;g&eacute;. Notez que la documentation sur votre
commutateur peut renvoyer &agrave; cette fonction sous ”agr&eacute;gat de liaisons” or ”acheminement”.
Le trafic est distribu&eacute; entre les cartes soit de fa&ccedil;on standard (la carte via laquelle les
paquets sont envoy&eacute;s est choisie en fonction d’un algorithme), soit de fa&ccedil;on circulaire
(les paquets sont r&eacute;partis &eacute;quitablement entre toutes les cartes). Le trafic entrant est
distribu&eacute; en fonction de la configuration du commutateur et n’est pas contr&ocirc;l&eacute; par le mode
d’exploitation d’EtherChannel.
Dans AIX, vous pouvez configurer plusieurs EtherChannels par syst&egrave;me, mais la norme
exige que tous les liens d’un EtherChannel soient rattach&eacute;es &agrave; un seul commutateur.
Comme EtherChannel ne peut pas &ecirc;tre r&eacute;parti entre plusieurs commutateurs, la totalit&eacute;
d’EtherChannel est perdue en cas de coupure du courant ou de panne du commutateur.
Pour r&eacute;soudre ce probl&egrave;me, une nouvelle option disponible dans AIX 5.2 et les versions
sup&eacute;rieures maintient le service actif en cas de d&eacute;faillance de l’EtherChannel principal.
La carte de secours et la carte EtherChannel doivent &ecirc;tre raccord&eacute;es &agrave; diff&eacute;rents
commutateurs r&eacute;seau et ceux–ci doivent &ecirc;tre interconnect&eacute;s afin que cette configuration
fonctionne correctement. Au cas o&ugrave; toutes les cartes de l’EtherChannel seraient
d&eacute;faillantes, la carte de secours serait utilis&eacute;e pour envoyer et recevoir tout le trafic. Lors de
la restauration d’une liaison d’EtherChannel, le service est retransf&eacute;r&eacute; vers l’EtherChannel.
Par exemple, ent0 et ent1 peuvent &ecirc;tre configur&eacute;es comme cartes principales de
l’EtherChannel et ent2 comme carte de secours, cr&eacute;ant ainsi un EtherChannel appel&eacute;
ent3. Id&eacute;alement, ent0 et ent1 sont connect&eacute;es au m&ecirc;me commutateur adapt&eacute; &agrave;
EtherChannel et ent2 est connect&eacute; &agrave; un autre commutateur. Dans cet exemple, tout le
trafic envoy&eacute; via en3 (l’interface d’EtherChannel) est envoy&eacute; via ent0 ou ent1 par
d&eacute;faut (en fonction du sch&eacute;ma de distribution de paquet d’EtherChannel) alors que ent2
est inactif. Si, &agrave; un moment donn&eacute;, ent0 et ent1 &eacute;chouent, tout le trafic est envoy&eacute; via la
carte de secours ent2. Lorsque ent0 ou ent1 sont r&eacute;tablies, elles sont de nouveau
utilis&eacute;es pour tout le trafic.
4-228
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Network Interface Backup, un mode d’exploitation disponible pour EtherChannel dans AIX
4.3.3 et AIX 5.1, offre une protection contre un point de d&eacute;faillance Ethernet unique. Aucun
mat&eacute;riel sp&eacute;cial n’est requis pour utiliser Network Interface Backup, mais la carte de
secours doit &ecirc;tre connect&eacute;e &agrave; un commutateur distinct pour obtenir une fiabilit&eacute; maximale.
Dans le mode Network Interface Backup, une seule carte &agrave; la fois est utilis&eacute;e activement
pour le trafic r&eacute;seau. L’EtherChannel teste la carte active et facultativement, le chemin
r&eacute;seau vers un nœud sp&eacute;cifi&eacute; par l’utilisateur. Lorsqu’une d&eacute;faillance est d&eacute;tect&eacute;e, la carte
suivante est utilis&eacute;e pour tout le trafic. Network Interface Backup fournit des fonctions de
d&eacute;tection et de prise de relais sans interruption des connexions utilisateur. Network
Interface Backup a &agrave; l’origine &eacute;t&eacute; mis en œuvre en tant que mode dans le menu
EtherChannel SMIT. Dans AIX 5.2 et les versions sup&eacute;rieures, la carte de secours fournit
une fonction &eacute;quivalente et ce mode a donc &eacute;t&eacute; supprim&eacute; du menu SMIT. Pour configurer
Network Interface Backup dans AIX 5.2 et les versions sup&eacute;rieures, reportez–vous &agrave;
Configure Network Interface Backup, page 4-232.
Configuration d’EtherChannel
Proc&eacute;dez comme suit pour configurer un EtherChannel.
Remarques
• Vous pouvez disposer d’un maximum de huit cartes Ethernet principales et d’une seule
carte de secours Ethernet par EtherChannel.
• Vous pouvez configurer plusieurs EtherChannels sur un seul syst&egrave;me, mais chaque
EtherChannel constitue une interface Ethernet suppl&eacute;mentaire. Par cons&eacute;quent, vous
devez augmenter la valeur de l’option ifsize de la commande no pour inclure les
interfaces Ethernet pour chaque carte, mais &eacute;galement toutes les unit&eacute;s logiques VLAN
configur&eacute;es. Dans AIX 5.2 et les versions ant&eacute;rieures, le ifsize par d&eacute;faut est de huit.
Dans AIX 5.2 et les versions sup&eacute;rieures, la taille par d&eacute;faut est de 256.
• Vous pouvez utiliser n’importe quelle carte Ethernet prise en charge par un
EtherChannel (reportez–vous &agrave; Supported Adapters, page 4-227). Toutefois, les cartes
Ethernet doivent &ecirc;tre connect&eacute;es &agrave; un commutateur prenant en charge EtherChannel.
Reportez–vous &agrave; la documentation fournie avec votre commutateur pour d&eacute;terminer s’il
prend en charge EtherChannel (la documentation sur votre commutateur peut renvoyer
&agrave; cette fonction sous agr&eacute;gat de liaisons ou acheminement).
• Toutes les cartes d’EtherChannel doivent &ecirc;tre configur&eacute;es pour la m&ecirc;me vitesse
(100 Mb, par exemple) et doivent utiliser le mode duplex int&eacute;gral.
• Les cartes utilis&eacute;es dans l’EtherChannel ne sont pas accessibles par le syst&egrave;me une fois
l’EtherChannel configur&eacute;. Pour modifier un de leurs attributs, telle que la vitesse du
support, transmettre ou recevoir les tailles des files d’attente etc., vous devez proc&eacute;der
de cette mani&egrave;re avant de les inclure dans EtherChannel.
• Les cartes que vous pr&eacute;voyez d’utiliser pour votre EtherChannel ne doivent pas avoir
d’adresse IP configur&eacute;e avant de commencer cette proc&eacute;dure. Lorsque vous configurez
un EtherChannel pour des cartes qui &eacute;taient pr&eacute;c&eacute;demment configur&eacute;es avec une
adresse IP, assurez–vous que leurs interfaces sont dans l’&eacute;tat detach. Les cartes &agrave;
ajouter &agrave; l’EtherChannel ne peuvent pas avoir d’interfaces configur&eacute;es dans l’&eacute;tat up
dans le gestionnaire Object Data Manager (ODM) (comme c’est le cas si leurs adresses
IP ont &eacute;t&eacute; configur&eacute;es avec SMIT). Ceci peut causer des probl&egrave;mes pour activer
EtherChannel lors du red&eacute;marrage de la machine, car l’interface sous–jacente est
configur&eacute;e avant l’EtherChannel avec les informations trouv&eacute;es dans ODM. Par
cons&eacute;quent, lorsque l’EtherChannel est configur&eacute;, il d&eacute;tecte que l’une de ses cartes est
d&eacute;j&agrave; utilis&eacute;e. Pour modifier ceci, avant de cr&eacute;er l’EtherChannel, tapez smit chinet,
s&eacute;lectionnez chacune des interfaces des cartes &agrave; inclure dans l’EtherChannel, et
remplacez sa valeur state par detach. Lors du red&eacute;marrage de la machine,
l’EtherChannel peut &ecirc;tre configur&eacute; sans erreurs.
Protocole TCP/IP
4-229
Pour plus d’informations sur ODM, reportez–vous &agrave; Object Data Manager (ODM) dans
AIX 5L Version 5.3 General Programming Concepts : Writing and Debugging Programs
• Si vous utilisez des cartes 10/100 Ethernet dans l’EtherChannel, vous devez activer le
sondage de liaison sur ces cartes avant de les ajouter &agrave; l’EtherChannel. Tapez smit
chgenet sur la ligne de commande. Remplacez la valeur de Enable Link Polling par
yes puis appuyez sur Entr&eacute;e.
Remarque :
Dans AIX 5L version 5200–03 et sup&eacute;rieures, l’activation du m&eacute;canisme
de sondage de liaison n’est pas n&eacute;cessaire. Le sondeur de liaison est
d&eacute;marr&eacute; automatiquement.
• Si vous avez l’intention d’utiliser des trames jumbo, vous devez activer cette
fonctionnalit&eacute; sur chaque carte avant de cr&eacute;er l’EtherChannel et l’activer aussi dans
l’EtherChannel lui–m&ecirc;me. Tapez smitty chgenet sur la ligne de commande.
Remplacez la valeur de Enable Jumbo Frames par yes, puis appuyez sur Entr&eacute;e.
Proc&eacute;dez de cette fa&ccedil;on pour toutes les cartes pour lesquelles vous voulez activer les
trames jumbo. Vous activerez ult&eacute;rieurement les trames jumbo dans l’EtherChannel
lui–m&ecirc;me.
Remarque :
Dans AIX 5.2 et versions sup&eacute;rieures, l’activation des trames jumbo
dans chaque carte sous–jacente n’est pas n&eacute;cessaire une fois que ces
trames jumbo ont &eacute;t&eacute; activ&eacute;es dans l’EtherChannel lui–m&ecirc;me. Cette
fonctionnalit&eacute; est activ&eacute;e automatiquement si vous activez les attributs
de Enable Jumbo Frames sur yes.
Configuration d’un EtherChannel
1. Tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez
sur Entr&eacute;e.
3. S&eacute;lectionnez les cartes Ethernet principales de l’EtherChannel et appuyez sur Entr&eacute;e.
Si vous pr&eacute;voyez d’utiliser la sauvegarde de secours EtherChannel, ne s&eacute;lectionnez
pas la carte de secours &agrave; ce stade. L’option de secours EtherChannel est disponible
dans AIX 5.2 et les versions sup&eacute;rieures.
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet.
Si vous s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e (dont l’interface
est d&eacute;finie), vous obtenez un message d’erreur. Vous devez d’abord
d&eacute;tacher cette interface si vous souhaitez l’utiliser.
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– Cartes EtherChannel / Link Aggregation : Vous devez voir s’afficher toutes les
cartes principales utilis&eacute;es dans votre EtherChannel. Vous avez s&eacute;lectionn&eacute; ces
cartes &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address : Ce champ est facultatif. Le choix de la valeur yes
vous permet de pr&eacute;ciser une adresse MAC que l’EtherChannel doit utiliser. Si vous
d&eacute;finissez la valeur no pour cette option, l’EtherChannel utilisera l’adresse MAC
de la premi&egrave;re carte indiqu&eacute;e.
– Alternate Address : Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x
et &ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres (par exemple, 0x001122334455).
– Enable Gigabit Ethernet Jumbo Frames : Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
4-230
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
– Mode : Vous pouvez choisir entre les modes suivants :
. standard : Dans ce mode, l’EtherChannel utilise un algorithme pour choisir la
carte &agrave; laquelle il va envoyer les paquets sortants. L’algorithme consiste &agrave; prendre
une valeur de donn&eacute;es, &agrave; la diviser par le nombre de cartes d’EtherChannel et &agrave;
utiliser le reste (utiliser l’op&eacute;rateur de modules) pour identifier le lien sortant. La
valeur Hash Mode d&eacute;termine la valeur de donn&eacute;es entr&eacute;e dans cet algorithme
(reportez–vous &agrave; l’attribut Hash Mode pour une explication sur les diff&eacute;rents
modes hash). Par exemple, si le mode Hash est standard, il utilise l’adresse
IP de destination du paquet. Si c’est 10.10.10.11 et qu’il y a 2 cartes dans
l’EtherChannel, (1 / 2) = 0 avec comme reste 1, la deuxi&egrave;me carte est utilis&eacute;e
(les cartes sont num&eacute;rot&eacute;es &agrave; partir de 0). Les cartes sont num&eacute;rot&eacute;es dans l’ordre
indiqu&eacute; dans le menu SMIT. C’est le mode de fonctionnement par d&eacute;faut.
. round_robin : Dans ce mode, l’EtherChannel utilise tour &agrave; tour les cartes, en
envoyant un seul paquet &agrave; chaque carte avant de recommencer. les paquets
peuvent &ecirc;tre envoy&eacute;s dans un ordre l&eacute;g&egrave;rement diff&eacute;rent que celui de leur envoi
&agrave; l’EtherChannel, mais l’utilisation de la bande passante est optimis&eacute;e. Cette
combinaison n’est pas valable pour s&eacute;lectionner ce mode avec un mode Hash
diff&eacute;rent de default. Si vous s&eacute;lectionnez le mode circulaire, laissez la valeur
Hash Mode sur default.
. netif_backup : Cette option est disponible uniquement dans AIX 5.1 et AIX 4.3.3.
Dans ce mode, l’EtherChannel active une seule carte &agrave; la fois. Le but est de
connecter les cartes &agrave; diff&eacute;rents commutateurs Ethernet, chacun pouvant acc&eacute;der
&agrave; n’importe quelle autre machine du sous–r&eacute;seau ou du r&eacute;seau. Lorsqu’un
probl&egrave;me li&eacute; &agrave; la connexion directe est d&eacute;tect&eacute; (ou facultativement parce qu’il est
impossible d’envoyer une commande ping &agrave; une machine), l’EtherChannel
d&eacute;sactive la carte en cours et active une carte de secours. Ce mode est le seul
qui utilise les champs Internet Address to Ping, Number of Retries, et Retry
Timeout.
Le mode Network Interface Backup Mode n’existe pas en tant que mode explicite
dans AIX 5.2 et les versions sup&eacute;rieures. Pour activer le mode Network Interface
Backup dans AIX 5.2 et les versions sup&eacute;rieures, vous devez configurer une seule
carte dans l’EtherChannel principale et une carte de secours. Pour plus
d’informations, consultez la section Configuration de Network Interface Backup
page 4-232.
. 8023ad : Cette option permet d’utiliser le IEEE 802.3ad Link Aggregation Control
Protocol (LACP) pour une agr&eacute;gation automatique de liaisons. Pour plus
d’informations concernant cette fonction, reportez–vous &agrave; IEEE 802.3ad Link
Aggregation page 4-243.
– Mode Hash : Vous pouvez choisir parmi les modes hash celui qui va d&eacute;terminer
la valeur de donn&eacute;es utilis&eacute;e par l’algorithme pour d&eacute;terminer la carte sortante :
. default : Dans ce mode hash, l’adresse IP de destination du paquet est utilis&eacute;e
pour d&eacute;terminer la carte sortante. Pour le trafic non–IP (par exemple ARP), le
dernier octet de l’adresse MAC de destination est utilis&eacute; pour effectuer le calcul.
Ce mode garantit que les paquets sont envoy&eacute;s via l’EtherChannel dans l’ordre
dans lequel ils ont &eacute;t&eacute; re&ccedil;us, mais il peut ne pas utiliser toute la bande passante.
. src_port : Dans ce mode hash, la valeur de port UDP ou TCP source du paquet
est utilis&eacute;e pour d&eacute;terminer la carte sortante. Si le paquet ne correspond pas au
trafic UDP ou TCP, le dernier octet de l’adresse IP de destination est utilis&eacute;. Si le
paquet ne correspond pas au trafic IP, le dernier octet de l’adresse MAC de
destination est utilis&eacute;.
Protocole TCP/IP
4-231
. dst_port : Dans ce mode hash, la valeur de port UDP ou TCP de destination du
paquet est utilis&eacute;e pour d&eacute;terminer la carte sortante. Si le paquet ne correspond
pas &agrave; du trafic UDP ou TCP, le dernier octet de l’IP de destination est utilis&eacute;.
Si le paquet ne correspond pas au trafic IP, le dernier octet de l’adresse MAC
de destination est utilis&eacute;.
. src_dst_port : Dans ce mode hash, les valeurs de port UDP ou TCP source et de
destination du paquet sont utilis&eacute;es pour d&eacute;terminer la carte sortante (&agrave; savoir, les
ports source et de destination sont ajout&eacute;s puis divis&eacute;s par deux avant d’&ecirc;tre
entr&eacute;s dans l’algorithme). Si le paquet ne correspond pas &agrave; du trafic UDP ou TCP,
le dernier octet de l’IP de destination est utilis&eacute;. Si le paquet ne correspond pas au
trafic IP, le dernier octet de l’adresse MAC de destination est utilis&eacute;. Ce mode
permet une bonne distribution des paquets dans la plupart des situations, &agrave; la fois
pour les clients et les serveurs.
Remarque :
Ceci est une combinaison invalide pour la s&eacute;lection du mode Hash
diff&eacute;rente de default avec un mode round_robin. Pour plus
d’informations sur la distribution des paquets et l’&eacute;quilibrage de
charge, reportez–vous aux options d’&eacute;quilibrage de charge
page 4-235.
– Backup Adapter : Ce champ est facultatif. Indiquez la carte &agrave; utiliser comme carte
de secours EtherChannel. L’option de secours EtherChannel est disponible dans AIX
5.2 et les versions sup&eacute;rieures.
– Internet Address to Ping : Cette zone est facultative et ne prend effet que si vous
activez le mode Network Interface Backup ou si vous n’avez qu’une carte dans
l’EtherChannel et une carte de secours. L’EtherChannel lance une commande ping
sur l’adresse IP ou le nom de l’h&ocirc;te indiqu&eacute; ici. Si l’EtherChannel ne parvient pas &agrave;
lancer une commande ping pour cette adresse pour Number of Retries dans les
intervalles Retry Timeout, l’EtherChannel effectue un basculement des cartes.
– Number of Retries : Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que l’EtherChannel ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous avez d&eacute;fini une Internet Address to Ping.
– Retry Timeout : Entrez le nombre de secondes entre les envois de commande ping
de l’EtherChannel portant sur Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous avez d&eacute;fini une
Internet Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er l’EtherChannel.
6. Configurez IP via la nouvelle unit&eacute; EtherChannel en tapant smit chinet dans la ligne
de commande.
7. S&eacute;lectionnez votre nouvelle interface EtherChannel dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Configuration de Network Interface Backup
Network Interface Backup offre une protection contre un point de d&eacute;faillance r&eacute;seau unique
en permettant la d&eacute;tection des d&eacute;faillances et la prise de relais, sans interruption des
connexions utilisateur. Dans ce mode, une seule carte est active &agrave; un moment donn&eacute;. En
cas de d&eacute;faillance de la carte active, une autre carte de l’EtherChannel est utilis&eacute;e pour tout
le trafic. En mode Network Interface Backup, il n’est pas n&eacute;cessaire d’&eacute;tablir une connexion
aux commutateurs adapt&eacute;s &agrave; EtherChannel.
La configuration de Network Interface Backup est plus efficace lorsque les cartes sont
connect&eacute;es &agrave; diff&eacute;rents commutateurs r&eacute;seau, car ceci permet de b&eacute;n&eacute;ficier d’une meilleure
redondance que la connexion de toutes les cartes &agrave; un seul commutateur. Lors de la
connexion &agrave; diff&eacute;rents commutateurs, assurez–vous qu’il existe une connexion entre les
commutateurs. Ceci fournit des fonctions de prise de relais d’une carte &agrave; l’autre en veillant &agrave;
ce qu’il existe toujours un acc&egrave;s &agrave; la carte active.
4-232
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Dans les &eacute;ditions ant&eacute;rieures &agrave; AIX 5.2, le mode Network Interface Backup a &eacute;t&eacute;
impl&eacute;ment&eacute; en tant que mode explicite de fonctionnement dans le menu EtherChannel
SMIT. Dans AIX 5.2 et les versions sup&eacute;rieures, la carte de secours fournit une fonction
&eacute;quivalente et ce mode a donc &eacute;t&eacute; supprim&eacute; du menu SMIT.
En outre, AIX 5.2 et les versions sup&eacute;rieures indiquent la priorit&eacute;, c’est–&agrave;–dire que la carte
configur&eacute;e dans l’EtherChannel principal est utilis&eacute;e en priorit&eacute; par rapport &agrave; la carte de
secours. Tant que la carte principale est fonctionnelle, elle sera utilis&eacute;e. Ceci s’oppose au
comportement du mode Network Interface Backup dans les versions ant&eacute;rieures &agrave; AIX 5.2,
dans lesquelles la carte de secours &eacute;tait utilis&eacute;e jusqu’&agrave; sa d&eacute;faillance, que la carte
principale soit ou non d&eacute;j&agrave; r&eacute;tablie.
Par exemple, ent0 peut &ecirc;tre configur&eacute; comme carte principale et ent2 comme carte de
secours, cr&eacute;ant ainsi un EtherChannel appel&eacute; ent3. Id&eacute;alement, ent0 et ent2 sont
connect&eacute;s &agrave; deux commutateurs diff&eacute;rents. Dans cet exemple, tout le trafic envoy&eacute; via en3
(l’interface de l’EtherChannel) est envoy&eacute; via ent0 par d&eacute;faut et ent2 reste inactif. Si, &agrave;
un moment donn&eacute;, ent0 &eacute;choue, tout le trafic est envoy&eacute; via la carte de secours ent2.
Lorsque ent0 est r&eacute;tablie, elle est &agrave; nouveau utilis&eacute;e pour tout le trafic.
Tout en fonction en mode Network Interface Backup, il est aussi possible de configurer
l’EtherChannel pour d&eacute;tecter la d&eacute;faillance de la liaison et l’inaccessibilit&eacute; du r&eacute;seau. Pour
ce faire, indiquez l’adresse IP ou le nom de l’h&ocirc;te pour un h&ocirc;te distant auquel la connexion
doit toujours &ecirc;tre &eacute;tablie. L’EtherChannel lance r&eacute;guli&egrave;rement une commande ping sur cet
h&ocirc;te pour d&eacute;terminer s’il existe toujours un chemin r&eacute;seau permettant d’y acc&eacute;der. Si un
certain nombre de tentatives de commande ping restent sans r&eacute;ponse, l’EtherChannel
bascule vers l’autre carte, dans l’&eacute;ventualit&eacute; o&ugrave; il existerait un chemin d’acc&egrave;s r&eacute;seau &agrave;
l’h&ocirc;te distant via l’autre carte. Dans cette configuration, non seulement chaque carte doit
&ecirc;tre connect&eacute;e &agrave; un commutateur diff&eacute;rent, mais chaque commutateur doit avoir un chemin
d’acc&egrave;s diff&eacute;rent &agrave; l’h&ocirc;te recevant la commande ping.
La commande ping est disponible uniquement en mode Network Interface Backup.
Toutefois, dans AIX 5.2 et les versions sup&eacute;rieures, s’il y a une prise de relais due &agrave; des
commandes ping rest&eacute;es sans r&eacute;ponse sur la carte principale, la carte de secours demeure
le canal actif tant que cela fonctionne. Il n’y a aucun moyen de savoir, lorsque tout
fonctionne via la carte de secours, s’il est possible d’acc&eacute;der &agrave; l’h&ocirc;te &agrave; qui le syst&egrave;me a
envoy&eacute; une commande ping depuis la carte principale. Pour &eacute;viter des prises de relais
fr&eacute;quentes entre la carte principale et celle de secours, le syst&egrave;me continue de fonctionner
sur la carte de secours (sauf si les commandes ping restent &eacute;galement sans r&eacute;ponse sur la
carte de secours ou si la carte de secours elle–m&ecirc;me &eacute;choue, auquel cas le syst&egrave;me
bascule sur la carte principale). Toutefois, si la prise de relais a eu lieu en raison de l’&eacute;chec
de la carte principale (mais pas parce que les commandes ping sont rest&eacute;es sans r&eacute;ponse),
l’EtherChannel revient &agrave; la carte principale d&egrave;s que celle–ci est de nouveau disponible.
Pour configurer Network Interface Backup dans AIX 5.2, reportez–vous &agrave; Configure
Network Interface Backup dans AIX 5.2 et dans les versions sup&eacute;rieures page 4-233.
Pour configurer Network Interface Backup dans les versions pr&eacute;c&eacute;dentes d’AIX,
reportez–vous &agrave; l’Annexe D. Configuration de Network Interface Backup dans
les versions pr&eacute;c&eacute;dentes d’AIX page D-1.
Configuration de Network Interface Backup dans AIX 5.2 et versions sup&eacute;rieures
1. Avec les droits root, tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez
sur Entr&eacute;e.
3. S&eacute;lectionnez la carte Ethernet principale et appuyez sur Entr&eacute;e.
C’est la carte qui est utilis&eacute;e tant qu’elle n’a pas de d&eacute;faillance.
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet. Si vous
s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e, vous obtenez un message
d’erreur et devrez d&eacute;tacher l’interface avant de l’utiliser. Reportez–vous
&agrave; la commande ifconfig pour savoir comment d&eacute;tacher une interface.
Protocole TCP/IP
4-233
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– Cartes EtherChannel / Link Aggregation : Vous devez voir s’afficher la carte
principale s&eacute;lectionn&eacute;e &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address : Ce champ est facultatif. Le choix de la valeur yes vous
permet de pr&eacute;ciser une adresse MAC que l’EtherChannel doit utiliser. Si vous
d&eacute;finissez la valeur no pour cette option, l’EtherChannel utilisera l’adresse MAC de la
carte principale.
– Alternate Address : Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x et
&ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres (par exemple 0x001122334455).
– Enable Gigabit Ethernet Jumbo Frames : Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
– Mode : Le mode de fonctionnement que vous s&eacute;lectionnez n’a pas d’importance car il
n’existe qu’une seule carte dans l’EtherChannel principal. Tous les paquets sont
envoy&eacute;s via cette carte jusqu’&agrave; ce qu’elle ait une d&eacute;faillance. Il n’existe pas de mode
netif_backup car ce mode peut &ecirc;tre &eacute;mul&eacute; via une carte de secours.
– Mode Hash : Le mode hash que vous s&eacute;lectionnez n’a pas d’importance car il
n’existe qu’une seule carte dans l’EtherChannel principal. Tous les paquets sont
envoy&eacute;s via cette carte jusqu’&agrave; ce qu’elle ait une d&eacute;faillance.
– Backup Adapter : Indiquez la carte &agrave; utiliser comme carte de secours. A la suite
d’une prise de relais, cette carte est utilis&eacute;e jusqu’&agrave; ce que la carte principale soit
r&eacute;tablie. Il est conseill&eacute; d’utiliser la carte de pr&eacute;dilection comme carte principale.
– Internet Address to Ping : Ce champ est facultatif. L’EtherChannel lance une
commande ping sur l’adresse IP ou le nom de l’h&ocirc;te indiqu&eacute; ici. Si l’EtherChannel ne
parvient pas &agrave; lancer une commande ping sur cette adresse pour Number of Retries
dans les intervalles Retry Timeout, l’EtherChannel effectue un basculement des
cartes.
– Number of Retries : Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que l’EtherChannel ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous avez d&eacute;fini une Internet Address to Ping.
– Retry Timeout : Entrez le nombre de secondes entre les envois de commande ping
de l’EtherChannel &agrave; Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous avez d&eacute;fini une
Internet Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er l’EtherChannel.
6. Configurez IP via la nouvelle interface en tapant smit chinet dans la ligne de
commande.
7. S&eacute;lectionnez votre nouvelle interface EtherChannel dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Pour savoir quelles sont les autres t&acirc;ches &agrave; ex&eacute;cuter une fois l’EtherChannel configur&eacute;,
reportez–vous &agrave; Managing EtherChannel et de IEEE 802.3ad Link Aggregation,
page 4-238.
4-234
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Options d’&eacute;quilibrage de charge
Il existe deux m&eacute;thodes d’&eacute;quilibrage de charge pour le trafic sortant de l’EtherChannel,
qui sont les suivantes : la m&eacute;thode circulaire, qui r&eacute;partit le trafic sortant de fa&ccedil;on &eacute;quitable
entre toutes les cartes de l’EtherChannel et la m&eacute;thode standard, qui s&eacute;lectionne la carte
via l’utilisation d’un algorithme. Le param&egrave;tre Hash Mode d&eacute;termine la valeur num&eacute;rique
entr&eacute;e dans l’algorithme.
Le tableau suivant reprend les combinaisons d’option d’&eacute;quilibrage de charge valides
propos&eacute;es.
Table 16. Combinaisons Mode et Mode de hachage et distributions de trafic sortant que
chacune d’elle produit.
Mode
Mode Hash
Distribution du trafic
sortant
standard ou 8023ad
par d&eacute;faut
Comportement traditionnel
de AIX. L’algorithme de
s&eacute;lection de la carte utilise le
dernier octet de l’adresse IP
de destination (pour le trafic
TCP/IP) ou de l’adresse
MAC (pour le trafic ARP et
le trafic non–IP). Ce mode
est g&eacute;n&eacute;ralement un bon
choix de d&eacute;part pour un
serveur ayant un grand
nombre de clients.
standard ou 8023ad
src_dst_port
Le chemin d’acc&egrave;s sortant
de la carte est s&eacute;lectionn&eacute;
par un algorithme utilisant
les valeurs de ports TCP ou
UDP source et destination.
Puisque chaque connexion
poss&egrave;de un port TCP ou
UDP unique, les modes
hash &agrave; trois ports offrent une
flexibilit&eacute; de distribution de
carte suppl&eacute;mentaire
lorsqu’il existe plusieurs
connexions TCP ou UDP
s&eacute;par&eacute;es dans la paire
d’adresse IP.
standard ou 8023ad
src_port
L’algorithme de s&eacute;lection de
la carte utilise la valeur de
port TCP ou UDP source.
Dans la sortie de commande
netstat –an, le port est la
valeur de suffixe d’adresse
TCP/IP dans la colonne
Local.
Protocole TCP/IP
4-235
Mode
Mode Hash
Distribution du trafic
sortant
standard ou 8023ad
dst_port
Le chemin d’acc&egrave;s sortant
de la carte est s&eacute;lectionn&eacute;
par l’algorithme en utilisant
la valeur de port du syst&egrave;me
de destination. Dans la
sortie de commande netstat
–an, le suffixe d’adresse
TCP/IP dans la colonne
Foreign est la valeur de
port de destination TCP ou
UDP.
circulaire
par d&eacute;faut
Le trafic sortant est r&eacute;parti
&eacute;quitablement entre tous les
ports de cartes de
l’EtherChannel. Ce mode est
g&eacute;n&eacute;ralement choisi par
deux h&ocirc;tes connect&eacute;s
back–to–back (sans
l’intervention d’un
commutateur).
Circulaire (round–robin)
Tout le trafic sortant est r&eacute;parti &eacute;quitablement entre toutes les cartes de l’EtherChannel.
Cela permet l’optimisation de la bande passante sup&eacute;rieure pour le syst&egrave;me de serveur
AIX. Alors que la distribution circulaire est le moyen id&eacute;al d’utiliser &eacute;quitablement toutes les
liaisons, tenez compte du fait qu’elle introduit la possibilit&eacute; d’obtenir des paquets dans le
d&eacute;sordre dans le syst&egrave;me de r&eacute;ception.
En g&eacute;n&eacute;ral, le mode circulaire est id&eacute;al pour des connexions back–to–back ex&eacute;cutant les
trames jumbo. Dans cet environnement, aucun commutateur n’intervient, il n’y a donc
aucun risque que le traitement par le commutateur modifie l’heure de livraison du paquet,
l’ordre ou le chemin d’acc&egrave;s de la carte. Dans ce chemin d’acc&egrave;s r&eacute;seau c&acirc;bl&eacute; direct, les
paquets sont re&ccedil;us exactement comme ils sont envoy&eacute;s. Les trames jumbo (MTU 9000
octets) g&eacute;n&egrave;rent toujours une performance de transfert de fichiers sup&eacute;rieure aux
traditionnels MTU 1500 octets. Dans ce cas, toutefois, ils pr&eacute;sentent un autre avantage.
Ces paquets plus gros sont plus longs &agrave; envoyer, il est donc moins probable que l’h&ocirc;te
r&eacute;cepteur soit continuellement interrompu par des paquets dans le d&eacute;sordre.
Le mode circulaire peut &ecirc;tre impl&eacute;ment&eacute; dans d’autres environnements mais comporte un
risque plus &eacute;lev&eacute; de d&eacute;sordre dans les paquets dans le syst&egrave;me r&eacute;cepteur. Ce risque est
particuli&egrave;rement &eacute;lev&eacute; lorsqu’il y a une minorit&eacute; de connexions TCP fluctuantes et de longue
dur&eacute;e. Lorsqu’il existe plusieurs connexions de ce genre dans une paire d’h&ocirc;tes, les
paquets venant de diff&eacute;rentes connexions peuvent &ecirc;tre m&eacute;lang&eacute;s, ce qui r&eacute;duit le risque
que les paquets d’une m&ecirc;me connexion arrivent dans le d&eacute;sordre. Recherchez les
statistiques de paquets dans le d&eacute;sordre dans la section tcp de la sortie de commande
netstat –s. Une valeur augmentant constamment indique un &eacute;ventuel probl&egrave;me dans le
trafic envoy&eacute; depuis un EtherChannel.
Si des paquets dans le d&eacute;sordre posent probl&egrave;me dans un syst&egrave;me devant utiliser des MTU
Ethernet traditionnels et devant &ecirc;tre connect&eacute; via un commutateur, essayez les diff&eacute;rents
modes hash propos&eacute;s en fonctionnement en mode standard. Chaque mode pr&eacute;sente des
avantages, mais les modes par d&eacute;faut et src_dst_port sont des points de d&eacute;part logiques
car ils sont plus facilement applicables.
4-236
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Standard ou 8023ad
Algorithme standard. L’algorithme standard est utilis&eacute; &agrave; la fois pour les agr&eacute;gations de
liaisons standard et de type IEEE 802.3ad. AIX divise le dernier octet de la ”valeur
num&eacute;rique” par le nombre de cartes de l’EtherChannel et utilise le reste pour identifier la
liaison sortante. Si le reste est z&eacute;ro, c’est la premi&egrave;re carte de l’EtherChannel qui est
s&eacute;lectionn&eacute;e ; un reste de 1 signifie que c’est la deuxi&egrave;me carte qui est s&eacute;lectionn&eacute;e, ainsi
de suite (les cartes sont s&eacute;lectionn&eacute;es selon l’ordre dans lequel elle sont r&eacute;pertori&eacute;es dans
les attributs adapter_names).
La s&eacute;lection du mode hash d&eacute;termine la valeur num&eacute;rique utilis&eacute;e dans le calcul. Par
d&eacute;faut, c’est le dernier octet de l’adresse IP ou MAC de destination qui est utilis&eacute; dans le
calcul, mais les valeurs de ports TCP ou UDP source et de destination peuvent &eacute;galement
&ecirc;tre utilis&eacute;es. Ces alternatives vous permettent de r&eacute;gler avec pr&eacute;cision la distribution du
trafic sortant via les cartes r&eacute;elles de l’EtherChannel.
Dans le mode hash par d&eacute;faut, l’algorithme de s&eacute;lection de la carte s’applique au dernier
octet de l’adresse IP de destination pour le trafic IP. Pour le trafic ARP et non IP, la m&ecirc;me
formule s’applique au dernier octet de l’adresse MAC de destination. Sauf si une d&eacute;faillance
de la carte provoque une prise de relais, tout le trafic existant entre une paire d’h&ocirc;tes en
mode standard par d&eacute;faut sort via la m&ecirc;me carte. Le mode hash par d&eacute;faut est id&eacute;al
lorsque le l’h&ocirc;te local &eacute;tablit des connexions &agrave; diff&eacute;rentes adresses IP.
Si l’h&ocirc;te local &eacute;tablit des connexions longues &agrave; une minorit&eacute; d’adresses IP, vous
remarquerez que certaines cartes portent une charge plus grande que d’autres parce que
tout le trafic envoy&eacute; &agrave; une destination sp&eacute;cifique est envoy&eacute; via la m&ecirc;me carte. Tandis que
cela emp&ecirc;che les paquets d’arriver dans le d&eacute;sordre, il se peut que le syst&egrave;me n’utilise pas
la bande passante de la mani&egrave;re la plus efficace dans tous les cas. Les modes hash bas&eacute;s
sur le port continuent d’envoyer les paquets dans l’ordre, mais ils autorisent des paquets,
appartenant &agrave; diff&eacute;rentes connexions UDP ou TCP et m&ecirc;me s’ils sont envoy&eacute;s vers la
m&ecirc;me destination, &agrave; &ecirc;tre envoy&eacute;s via diff&eacute;rentes cartes, utilisant ainsi la bande passante de
chaque carte de mani&egrave;re plus efficace.
Dans le mode hash src_dst_port, les valeurs de port TCP ou UDP source et de destination
du paquet sortant sont ajout&eacute;es puis divis&eacute;es par deux. Le nombre entier (non d&eacute;cimal) qui
en r&eacute;sulte est entr&eacute; dans l’algorithme standard. Le trafic TCP ou UDP est envoy&eacute; sur la
carte s&eacute;lectionn&eacute;e par l’algorithme standard et la valeur de mode hash s&eacute;lectionn&eacute;e. Le
trafic non TCP ou UDP reviendra au mode hash par d&eacute;faut, c’est–&agrave;–dire au dernier octet de
l’adresse IP ou MAC de destination. L’option mode hash src_dst_port tient compte &agrave; la fois
des valeurs de port TCP ou UDP source et de destination. Dans ce mode, tous les paquets
d’une connexion TCP or UDP sont envoy&eacute;s via une seule carte afin de garantir leur arriv&eacute;e
dans l’ordre, mais le trafic continue d’&ecirc;tre r&eacute;parti parce que les connexions (m&ecirc;me celles
vers le m&ecirc;me h&ocirc;te) peuvent &ecirc;tre envoy&eacute;es via diff&eacute;rentes cartes. Les r&eacute;sultats de ce mode
hash ne sont pas biais&eacute;s par la direction de l’&eacute;tablissement de la connexion parce que les
valeurs de port TCP ou UDP source et de destination sont utilis&eacute;es.
Dans le mode hash src_port, la valeur de port TCP ou UDP source du paquet sortant est
utilis&eacute;e. Dans le mode hash dst_port, la valeur de port TCP ou UDP de destination du
paquet sortant est utilis&eacute;e. Utilisez les options mode hash src_port ou dst_port si les
valeurs de port changent d’une connexion &agrave; l’autre et si l’option src_dst_port ne g&eacute;n&egrave;re
pas de distribution souhaitable.
Protocole TCP/IP
4-237
Gestion d’EtherChannel et de IEEE 802.3ad Link Aggregation
Cette section vous indique comment ex&eacute;cuter les t&acirc;ches suivantes :
• Affichage de la liste des EtherChannels ou des Link Aggregations, page 4-238
• Modification de l’adresse de remplacement, page 4-238
• Ajout, suppression ou changement des cartes dans un EtherChannel ou Link
Aggregation, page 4-239
• Suppression d’un EtherChannel ou d’un Link Aggregation, page 4-241
• Configuration ou suppression d’une carte de secours sur un EtherChannel
ou un Link Aggregation existant, page 4-241
Affichage de la liste des EtherChannels ou des Link Aggregations
1. Sur la ligne de commande, tapez smit etherchannel.
2. S&eacute;lectionnez List All EtherChannels / Link Aggregations et appuyez sur Entr&eacute;e.
Modification de l’adresse de remplacement
Ceci vous permet d’indiquer une adresse MAC pour votre EtherChannel ou Link
Aggregation.
1. Sur AIX 5.2 version 5200–01 et les versions ant&eacute;rieures, tapez ifconfig interface
detach, o&ugrave; interface d&eacute;signe votre interface EtherChannel ou Link Aggregation.
(Sur AIX 5L version 5200–03 et les versions sup&eacute;rieures, vous pouvez modifier l’adresse
de remplacement de l’EtherChannel sans d&eacute;tacher son interface).
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel et appuyez
sur Entr&eacute;e.
4. Si vous avez plusieurs EtherChannels, s&eacute;lectionnez celui pour lequel vous voulez
cr&eacute;er une adresse de remplacement.
5. Remplacez la valeur de Enable Alternate EtherChannel Address par yes.
6. Entrez l’adresse de remplacement dans le champ Alternate EtherChannel Address.
L’adresse doit commencer par 0x et &ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres
(par exemple, 0x001122334455).
7. Appuyez sur Entr&eacute;e pour ex&eacute;cuter la proc&eacute;dure.
Remarque :
Changer l’adresse MAC de l’EtherChannel pendant la dur&eacute;e d’ex&eacute;cution
peut entra&icirc;ner une perte temporaire de la connexion. Cela est peut–&ecirc;tre
d&ucirc; au fait que les cartes doivent &ecirc;tre r&eacute;initialis&eacute;es pour m&eacute;moriser leur
nouvelle adresse mat&eacute;rielle et que l’initialisation de certaines cartes
prend quelques secondes.
Dynamic Adapter Membership
Dans les versions ant&eacute;rieures &agrave; AIX 5L version 5200–03, pour ajouter ou supprimer une
carte de l’EtherChannel, son interface devait d’abord &ecirc;tre d&eacute;tach&eacute;e, interrompant ainsi
temporairement tout le trafic utilisateur. Pour rem&eacute;dier &agrave; cette restriction, Dynamic Adapter
Membership (DAM) a &eacute;t&eacute; introduit dans AIX 5L version 5200–03. Il permet aux cartes d’&ecirc;tre
ajout&eacute;es ou supprim&eacute;es de l’EtherChannel sans interrompre les connexions utilisateur. Une
carte de secours peut &eacute;galement &ecirc;tre ajout&eacute;e ou supprim&eacute;e ; un EtherChannel peut &ecirc;tre
initialement cr&eacute;&eacute; sans carte de secours et il est possible d’en ajouter une ult&eacute;rieurement
si besoin.
4-238
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Non seulement il est possible d’ajouter et de supprimer des cartes sans interrompre les
connexions utilisateur, mais il est &eacute;galement possible de modifier la plupart des attributs de
l’EtherChannel pendant la dur&eacute;e d’ex&eacute;cution. Par exemple, vous pouvez commencer en
utilisant la fonction ”ping” de Network Interface Backup quand l’EtherChannel est en cours
d’utilisation, ou modifier l’h&ocirc;te distant sur lequel s’effectue une commande ping depuis un
point quelconque.
Vous pouvez &eacute;galement transformer un EtherChannel normal en un IEEE 802.3ad Link
Aggregation (ou inversement), permettant aux utilisateurs d’employer cette fonction sans
devoir supprimer et recr&eacute;er l’EtherChannel.
En outre, avec DAM, vous pouvez cr&eacute;er un EtherChannel &agrave; une seule carte. Un
EtherChannel &agrave; une seule carte se comporte exactement comme une carte normale ;
toutefois, si cette carte est d&eacute;faillante, il est possible de la remplacer pendant la dur&eacute;e
d’ex&eacute;cution sans perdre la connexion. Pour ce faire, ajoutez une carte temporaire &agrave;
l’EtherChannel, &ocirc;tez la carte d&eacute;fectueuse de l’EtherChannel, remplacez la carte
d&eacute;fectueuse par une carte qui fonctionne et utilise la connexion &agrave; chaud, ajoutez la nouvelle
carte &agrave; l’EtherChannel puis &ocirc;tez la carte temporaire. Durant ce processus, vous ne
percevez aucune perte de connexion. Si la carte fonctionne en tant que carte autonome,
elle doit &ecirc;tre d&eacute;tach&eacute;e avant d’&ecirc;tre supprim&eacute;e via la connexion &agrave; chaud et pendant ce
temps, tout le trafic passant par elle est perdu.
Ajout, suppression ou changement de cartes dans un EtherChannel
ou Link Aggregation
Il existe deux m&eacute;thodes pour ajouter, supprimer ou modifier une carte de l’EtherChannel
ou de Link Aggregation. La premi&egrave;re m&eacute;thode suppose le d&eacute;tachement de l’interface
EtherChannel ou Link Aggregation, ce qui n’est pas le cas de la seconde (elle utilise
Dynamic Adapter Membership, disponible dans AIX 5L version 5200–03 et sup&eacute;rieures).
Modifier un EtherChannel &agrave; l’aide de Dynamic Adapter Membership
Effectuer des modifications &agrave; l’aide de Dynamic Adapter Membership n’exige pas que vous
interrompiez tout le trafic passant par l’EtherChannel en d&eacute;tachant son interface. Tenez
compte des points suivants avant de continuer :
Remarques :
1. Lorsque vous ajoutez une carte pendant la dur&eacute;e d’ex&eacute;cution, notez que diff&eacute;rentes
cartes Ethernet prennent en charge diff&eacute;rentes capacit&eacute;s (par exemple, celle d’effectuer
le d&eacute;chargement du total de contr&ocirc;le, celle d’utiliser des segments priv&eacute;s, celle
d’effectuer un envoi important, etc.). Si diff&eacute;rents types de cartes sont utilis&eacute;s dans le
m&ecirc;me EtherChannel, les capacit&eacute;s relatives &agrave; la couche d’interface sont celles qui sont
prises en charge par toutes les cartes (par exemple, si toutes les cartes sauf une
prennent en charge l’utilisation de segments priv&eacute;s, l’EtherChannel indique qu’il ne
prend pas les segments priv&eacute;s en charge ; si toutes les cartes prennent en charge les
envois importants, le canal indique qu’il prend en charge un envoi important). Lorsque
vous ajoutez une carte &agrave; l’EtherChannel pendant la dur&eacute;e d’ex&eacute;cution, assurez–vous
qu’elle prend en charge au moins les m&ecirc;mes capacit&eacute;s que les autres cartes de
l’EtherChannel. Si vous essayez d’ajouter une carte qui ne prend pas en charge toutes
les capacit&eacute;s de l’EtherChannel, l’ajout &eacute;choue. Notez toutefois que si l’interface de
l’EtherChannel est d&eacute;tach&eacute;e, vous pouvez ajouter n’importe quelle carte (quelle que soit
sa capacit&eacute; de prise en charge) et que lorsque l’interface est r&eacute;activ&eacute;e, l’EtherChannel
recalcule les capacit&eacute;s qu’elle prend en charge, sur la base de la nouvelle liste de
cartes.
2. Si vous n’utilisez pas d’adresse de remplacement et que vous avez pr&eacute;vu de supprimer
la carte dont l’adresse MAC a &eacute;t&eacute; utilis&eacute;e pour l’EtherChannel (l’adresse MAC utilis&eacute;e
pour l’EtherChannel ”appartient” &agrave; l’une des cartes), l’EtherChannel utilise l’adresse
MAC pour la prochaine carte disponible (en d’autres termes, celle qui devient la
premi&egrave;re carte apr&egrave;s la suppression, ou la carte de secours si toutes les cartes
principales ont &eacute;t&eacute; supprim&eacute;es). Par exemple, si un EtherChannel poss&egrave;de plusieurs
cartes ent0 et ent1 et une carte de secours ent2, il utilisera par d&eacute;faut l’adresse
Protocole TCP/IP
4-239
MAC deent0 (on dira que ent0 ”poss&egrave;de” l’adresse MAC). Si ent0 est supprim&eacute;e,
l’EtherChannel utilisera l’adresse MAC de ent1. Si ent1 est supprim&eacute;e, l’EtherChannel
utilisera alors l’adresse MAC de ent2. Si ent0 est de nouveau ajout&eacute;e &agrave;
l’EtherChannel ult&eacute;rieurement, celui–ci continuera d’utiliser l’adresse MAC de ent2
parce que c’est maintenant ent2 qui poss&egrave;de l’adresse MAC. Si ent2 est ensuite
supprim&eacute; de l’EtherChannel, celui–ci va recommencer &agrave; utiliser l’adresse MAC de ent0.
La suppression de la carte dont l’adresse MAC &eacute;tait utilis&eacute;e pour l’EtherChannel peut
provoquer une perte temporaire de connexion parce que toutes les cartes de
l’EtherChannel doivent &ecirc;tre r&eacute;initialis&eacute;es afin de m&eacute;moriser leur nouvelle adresse
mat&eacute;rielle. Certaines cartes sont initialis&eacute;es en quelques secondes.
Si votre EtherChannel utilise une adresse de remplacement (une adresse MAC que vous
avez indiqu&eacute;e), il continuera d’utiliser cette adresse MAC quelles que soient les cartes
ajout&eacute;es ou supprim&eacute;es. En outre, cela signifie qu’il n’y a aucune perte temporaire de
connexion lorsque vous ajoutez ou supprimez des cartes parce qu’aucune des cartes ne
”poss&egrave;de” l’adresse MAC de l’EtherChannel.
3. Presque tous les attributs de l’EtherChannel peuvent d&eacute;sormais &ecirc;tre modifi&eacute;s pendant la
dur&eacute;e d’ex&eacute;cution. La seule exception est Enable Gigabit Ethernet Jumbo Frames.
Afin de modifier les attributs Enable Gigabit Ethernet Jumbo Frames, vous devez
d’abord d&eacute;tacher l’interface de l’EtherChannel avant d’essayer de modifier cette valeur.
4. Pour tous les attributs qui ne peuvent &ecirc;tre modifi&eacute;s pendant la dur&eacute;e d’ex&eacute;cution
(actuellement Enable Gigabit Ethernet Jumbo Frames uniquement), il existe une zone
appel&eacute;e Effectuer les modifications dans la BASE DE DONNEES uniquement. Si cet
attribut est d&eacute;fini sur yes, il est possible de changer, pendant la dur&eacute;e d’ex&eacute;cution, la
valeur d’un attribut qui ne peut habituellement pas &ecirc;tre modifi&eacute; pendant la dur&eacute;e
d’ex&eacute;cution. Si la zone Effectuer les modifications dans la BASE DE DONNEES
uniquement est d&eacute;finie sur yes, l’attribut est modifi&eacute; uniquement dans ODM et n’est
pas r&eacute;fl&eacute;chi dans l’EtherChannel en cours d’ex&eacute;cution tant qu’il n’est pas recharg&eacute; dans
la m&eacute;moire (en d&eacute;tachant son interface et en utilisant les commandes rmdev –l
EtherChannel_device et mkdev –l EtherChannel_device ) ou tant que la
machine n’est pas red&eacute;marr&eacute;e. Ceci est une mani&egrave;re pratique de s’assurer que l’attribut
est modifi&eacute; au prochain d&eacute;marrage de la machine, sans devoir interrompre
l’EtherChannel en cours d’ex&eacute;cution.
Pour modifier l’EtherChannel ou le Link Aggregation &agrave; l’aide de Dynamic Adapter
Membership, proc&eacute;dez comme suit :
1. Dans la ligne de commande, tapez smit etherchannel.
2. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel / Link
Aggregation.
3. S&eacute;lectionnez l’EtherChannel ou le Link Aggregation &agrave; modifier.
4. Renseignez les zones requises en respectant les consignes suivantes :
– Dans la zone Ajouter la carte ou Supprimer la carte, s&eacute;lectionnez la carte Ethernet
que vous voulez ajouter ou supprimer.
– Dans les zones Ajouter la carte de secours ou Supprimer la carte de secours,
s&eacute;lectionnez la carte Ethernet que vous voulez ou ne voulez plus utiliser comme
carte de secours.
– Presque tous les attributs de l’EtherChannel peuvent &ecirc;tre modifi&eacute;s pendant la dur&eacute;e
d’ex&eacute;cution, bien que les attributs Enable Gigabit Ethernet Jumbo Frames ne
puissent pas l’&ecirc;tre.
– Pour transformer un EtherChannel normal en un IEEE 802.3ad Link Aggregation,
modifiez l’attribut de Mode en 8023ad. Pour transformer un IEEE 802.3ad Link
Aggregation en un EtherChannel, modifiez l’attribut Mode en standard ou
round_robin.
5. Remplissez toutes les donn&eacute;es requises et appuyez sur Entr&eacute;e.
4-240
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Effectuer des modifications sur AIX 5.2 version 5200–01 et les versions ant&eacute;rieures
Proc&eacute;dez comme suit pour d&eacute;tacher l’interface avant d’effectuer les modifications :
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel /Link Aggregation
et appuyez sur Entr&eacute;e.
4. S&eacute;lectionnez l’EtherChannel ou le Link Aggregation &agrave; modifier.
5. Modifiez les attributs que vous voulez changer dans votre EtherChannel ou Link
Aggregation et appuyez sur Entr&eacute;e.
6. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Suppression d’un EtherChannel ou d’un Link Aggregation
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Remove an Etherchannel et appuyez sur Entr&eacute;e.
4. S&eacute;lectionnez l’ EtherChannel que vous souhaitez supprimer et appuyez sur Entr&eacute;e.
Configuration ou suppression d’une carte de secours sur un EtherChannel
ou un Link Aggregation existant
La proc&eacute;dure suivante configure ou supprime une carte de secours sur un EtherChannel
ou Link Aggregation. L’option est disponible uniquement dans AIX 5.2 et les versions
sup&eacute;rieures.
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel ou Link Aggregation.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel / Link
Aggregation.
4. S&eacute;lectionnez l’EtherChannel ou Link Aggregation sur lequel vous ajoutez ou modifiez
la carte de secours.
5. Entrez la carte &agrave; utiliser comme carte de secours dans le champ Backup Adapter
ou s&eacute;lectionnez NONE si vous voulez cesser d’utiliser la carte de secours.
Identification des incidents d’EtherChannel
En cas de probl&egrave;me avec l’EtherChannel, envisagez les points suivants :
Suivi d’EtherChannel
Utilisez tcpdump et iptrace pour identifier et r&eacute;soudre les incidents li&eacute;s &agrave; l’EtherChannel.
L’ID d’ancrage de trace pour les paquets de transmission est 2FA et 2FB pour les autres
&eacute;v&eacute;nements. Vous ne pouvez pas effectuer le suivi de paquets sur l’EtherChannel tout
entier, mais pouvez suivre les points d’ancrage de suivi de r&eacute;ception de chaque carte.
Affichage des statistiques d’ EtherChannel
Utilisez la commande entstat pour obtenir l’agr&eacute;gat des statistiques de toutes les cartes de
l’EtherChannel. Par exemple, entstat ent3 affichera l’agr&eacute;gat des statistiques de ent3.
L’ajout de l’indicateur –d affiche &eacute;galement les statistiques de chaque carte. Par exemple,
la commande entstat –d ent3 affiche l’agr&eacute;gat des statistiques de l’EtherChannel ainsi
que les statistiques de chaque carte de l’EtherChannel.
Protocole TCP/IP
4-241
Remarque :
Dans la section Statistiques g&eacute;n&eacute;rales, le chiffre indiqu&eacute; dans
Adapter Reset Count est celui des prises de relais. Dans l’option de
secours d’EtherChannel, le retour &agrave; l’EtherChannel principal &agrave; partir de la
carte de secours n’est pas comptabilis&eacute; comme une prise de relais. Seule
une prise de relais &agrave; partir du canal principal au secours est comptabilis&eacute;.
Dans le champ Number of Adapters, la carte de secours est comptabilis&eacute;e dans
le chiffre affich&eacute;.
Am&eacute;lioration de la prise de relais lente
Si la prise de relais lorsque vous utilisez le mode Network Interface Backup ou l’option de
secours EtherChannel est lente, v&eacute;rifiez que le commutateur n’ex&eacute;cute pas le protocole
STP (Spanning Tree Protocol). Lorsque le commutateur d&eacute;tecte une modification de son
&eacute;quivalence port de commutateur/adresse MAC, il ex&eacute;cute l’algorithme STP pour voir s’il y a
des boucles dans le r&eacute;seau. Network Interface Backup et l’option de secours EtherChannel
peuvent provoquer une modification de l’&eacute;quivalence port/adresse MAC.
Les ports de commutation ont un compteur de retard de transmission qui d&eacute;termine au bout
de combien de temps apr&egrave;s l’initialisation chaque port doit commencer &agrave; retransmettre ou
envoyer des paquets. Pour cette raison, lorsque le canal principal est r&eacute;activ&eacute;, il se produit
un retard avant le r&eacute;tablissement de la connexion, tandis que la prise de relais par la carte
de secours est plus rapide. V&eacute;rifiez le compteur de retard de retransmission du
commutateur et indiquez une valeur aussi basse que possible afin de pouvoir revenir aussi
vite que possible au canal principal.
Pour que l’option de secours EtherChannel fonctionne correctement, le compteur de retard
de retransmission ne doit pas exc&eacute;der 10 secondes ou le retour &agrave; l’EtherChannel principal
risque de ne pas se d&eacute;rouler normalement. Il est conseill&eacute; d’affecter la valeur la plus basse
possible autoris&eacute;e par le commutateur au compteur de retard de retransmission.
Les cartes ne prennent pas le relais
Si les d&eacute;faillances des cartes ne d&eacute;clenchent pas des prises de relais et si vous ex&eacute;cutez
AIX 5.2 version 5200–01 ou les versions ant&eacute;rieures, regardez si vos cartes ont besoin
d’activer le sondage de liaison pour d&eacute;tecter la d&eacute;faillance de liaison. Certaines cartes ne
peuvent pas d&eacute;tecter automatiquement l’&eacute;tat de leur liaison. Pour d&eacute;tecter cet &eacute;tat, ces
cartes doivent activer un m&eacute;canisme de sondage de liaison qui d&eacute;marre un compteur qui
v&eacute;rifie r&eacute;guli&egrave;rement l’&eacute;tat de la liaison. Le sondage de liaison est d&eacute;sactiv&eacute; par d&eacute;faut.
Toutefois, pour qu’EtherChannel fonctionne correctement avec ces cartes, le m&eacute;canisme
de sondage de liaison doit &ecirc;tre activ&eacute; sur chaque carte avant que l’EtherChannel soit cr&eacute;&eacute;.
Si vous ex&eacute;cutez AIX 5L version 5200–03 et les versions sup&eacute;rieures, le m&eacute;canisme de
sondage est d&eacute;marr&eacute; automatiquement mais cela ne constitue pas une relance.
Les cartes poss&eacute;dant un m&eacute;canisme de sondage de liaison ont un attribut ODM appel&eacute;
poll_link, qui doit avoir la valeur yes pour que le sondage de liaison soit activ&eacute;. Avant
de cr&eacute;er l’EtherChannel, lancez la commande suivante sur chaque carte &agrave; inclure :
smit chgenet
Remplacez la valeur de Enable Link Polling par yes puis appuyez sur Entr&eacute;e.
Utilisation de trames jumbo
Pour que les options de trames jumbo fonctionnent correctement dans AIX 5.2 et les
versions ant&eacute;rieures, vous devez activer l’attribut use_jumbo_frame sur l’EtherChannel,
mais aussi les trames jumbo sur chaque carte avant de cr&eacute;er l’EtherChannel &agrave; l’aide
de la commande suivante :
smitty chgenet
Remplacez la valeur de Enable Jumbo Frames par yes, puis appuyez sur Entr&eacute;e.
Sur AIX 5.2 et les versions ant&eacute;rieures, les trames jumbo sont activ&eacute;es automatiquement
dans chaque carte sous–jacente lorsqu’elle est d&eacute;finie sur yes.
4-242
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Vidage &agrave; distance
Le vidage &agrave; distance n’est pas pris en charge via un EtherChannel.
IEEE 802.3ad Link Aggregation
IEEE 802.3ad est une m&eacute;thode standard permettant de cr&eacute;er un agr&eacute;gat de liaisons. Sur le
plan conceptuel, il fonctionne de la m&ecirc;me fa&ccedil;on qu’EtherChannel : plusieurs cartes Ethernet
sont regroup&eacute;es en une seule carte virtuelle, fournissant une bande passante plus &eacute;lev&eacute;e et
la protection contre les &eacute;checs. Par exemple, ent0 et ent1 peuvent &ecirc;tre r&eacute;unies dans un
IEEE 802.3ad Link Aggregation appel&eacute; interface ent3. L’interface en3 est alors configur&eacute;e
avec une adresse IP. Le syst&egrave;me consid&egrave;re cet agr&eacute;gat de cartes comme une carte unique.
Par cons&eacute;quent, IP est configur&eacute; via ces cartes comme s’il s’agissait d’une carte Ethernet
normale.
Comme EtherChannel, IEEE 802.3ad n&eacute;cessite d’&ecirc;tre pris en charge par le commutateur.
Toutefois, contrairement &agrave; EtherChannel, le commutateur n’a pas besoin d’&ecirc;tre configur&eacute;
manuellement pour savoir quels ports appartiennent &agrave; la m&ecirc;me agr&eacute;gation.
Les avantages de IEEE 802.3ad Link Aggregation par rapport &agrave; EtherChannel sont le fait
qu’il cr&eacute;&eacute;e automatiquement des agr&eacute;gations de liaison dans le commutateur et qu’il
permette d’utiliser les commutateurs prenant en charge IEEE 802.3ad standard mais pas
EtherChannel.
Dans IEEE 802.3ad, le protocole Link Aggregation Control Protocol (LACP) indique
automatiquement au commutateur les ports qui doivent &ecirc;tre regroup&eacute;s en agr&eacute;gat.
Lorsqu’un agr&eacute;gat IEEE 802.3ad est configur&eacute;, des unit&eacute;s Link Aggregation Control
Protocol Data Units (LACPDU) sont &eacute;chang&eacute;es entre le serveur et le commutateur. LACP
pr&eacute;vient le commutateur que les cartes configur&eacute;es dans l’agr&eacute;gat doivent &ecirc;tre consid&eacute;r&eacute;es
comme une seule carte sur le commutateur sans autre intervention de l’utilisateur.
Bien que le sp&eacute;cification IEEE 802.3ad ne permette pas &agrave; l’utilisateur de choisir les cartes
qui doivent &ecirc;tre regroup&eacute;es en un agr&eacute;gat, AIX permet &agrave; l’utilisateur de choisir les cartes.
Conform&eacute;ment &agrave; la sp&eacute;cification, LACP d&eacute;termine de lui–m&ecirc;me les cartes &agrave; regrouper en
un agr&eacute;gat (en effectuant les agr&eacute;gations de liaison de toutes les cartes ayant des vitesses
de liaison similaires et des param&egrave;tres doubles). Cela vous &eacute;vite de d&eacute;cider des cartes &agrave;
utiliser de mani&egrave;re autonome et de d&eacute;terminer les cartes &agrave; regrouper en un agr&eacute;gat.
L’impl&eacute;mentation AIX vous permet de contr&ocirc;ler l’utilisation des cartes et ne cr&eacute;e jamais
d’agr&eacute;gation de liaison arbitrairement.
Pour pouvoir &ecirc;tre regroup&eacute;es en un agr&eacute;gat (c’est–&agrave;–dire que le commutateur leur
permettra d’appartenir au m&ecirc;me agr&eacute;gat), les cartes doivent avoir la m&ecirc;me vitesse de ligne
(par exemple 100 Mbps ou tous les 1 Gbps) et utiliser toutes le mode de duplex int&eacute;gral.
Si vous tentez de placer des cartes de vitesses diff&eacute;rentes ou utilisant des modes duplex
diff&eacute;rents, vous parviendrez &agrave; cr&eacute;er un agr&eacute;gat sur le syst&egrave;me, mais le commutateur risque
de ne pas cr&eacute;er l’agr&eacute;gat des cartes. Si c’est le cas, vous remarquerez une baisse des
performances du r&eacute;seau. Pour savoir si la cr&eacute;ation d’un agr&eacute;gat a r&eacute;ussi, reportez–vous &agrave;
Identification des incidents IEEE 802.3ad, page 4-246.
Selon la sp&eacute;cification IEEE 802.3ad, les paquets envoy&eacute;s &agrave; la m&ecirc;me adresse IP sont tous
envoy&eacute;s via la m&ecirc;me carte. Ainsi, en mode 8023ad, les paquets seront toujours distribu&eacute;s
de fa&ccedil;on standard, jamais circulaire (round–robin).
La carte de secours est disponible pour IEEE 802.3ad Link Aggregations de m&ecirc;me que
pour EtherChannel. La carte de secours n’a pas besoin d’&ecirc;tre connect&eacute;e &agrave; un commutateur
IEEE 802.3ad, mais si elle l’est, la carte de secours continuera d’utiliser IEEE 802.3ad
LACP.
Vous pouvez aussi configurer un IEEE 802.3ad Link Aggregation si le commutateur prend
en charge EtherChannel mais pas IEEE 802.3ad. Dans ce cas, vous devrez configurer
manuellement les ports en tant qu’un EtherChannel sur le commutateur (tout comme si un
EtherChannel normal avait &eacute;t&eacute; cr&eacute;&eacute;). En d&eacute;finissant le mode &agrave; 8023ad, l’agr&eacute;gat fonctionne
avec EtherChannel ainsi qu’avec les commutateurs IEEE 802.3ad–enabled.
Protocole TCP/IP
4-243
Pour plus d’informations sur l’interop&eacute;rabilit&eacute;, reportez–vous &agrave; la section Sc&eacute;narios
d’interop&eacute;rabilit&eacute;, page 4-246.
Remarque :
Les &eacute;tapes d’activation de l’utilisation de IEEE 802.3ad varient d’un
commutateur &agrave; l’autre. Consultez la documentation du commutateur pour
d&eacute;terminer les &eacute;tapes initiales, le cas &eacute;ch&eacute;ant, qui doivent &ecirc;tre effectu&eacute;es
pour activer LACP sur le commutateur.
Pour plus d’informations sur la configuration et l’utilisation de IEEE 802.3ad Link
Aggregation, reportez–vous &agrave; Configuration de IEEE 802.3ad Link Aggregation,
page 4-244.
Remarques
Prenez en compte les &eacute;l&eacute;ments suivants avant de configurer IEEE 802.3ad Link
Aggregation :
• Bien qu’elle ne soit pas officiellement prise en charge, la mise en œuvre de IEEE
802.3ad sous AIX permet &agrave; Link Aggregation de contenir des cartes de diff&eacute;rentes
vitesses de ligne ; toutefois, vous devez uniquement cr&eacute;er des agr&eacute;gats de cartes ayant
la m&ecirc;me vitesse et utilisant le mode duplex int&eacute;gral. Ceci &eacute;vite les probl&egrave;mes potentiels
de configuration de Link Aggregation sur le commutateur. Reportez–vous &agrave; la
documentation du commutateur pour plus d’informations sur les types d’agr&eacute;gats
autoris&eacute;s par le commutateur.
• Si vous utilisez des cartes 10/100 Ethernet dans le Link Aggregation sur AIX 5.2 version
5200–01 et ant&eacute;rieures, vous devez activer le sondage de liaison sur ces cartes avant
de les ajouter &agrave; l’agr&eacute;gat. Tapez smitty chgenet sur la ligne de commande.
Remplacez la valeur de Enable Link Polling par yes puis appuyez sur Entr&eacute;e.
Proc&eacute;dez de cette fa&ccedil;on pour chaque carte 10/100 Ethernet que vous ajoutez au Link
Aggregation.
Remarque :
Dans AIX 5L version 5200–03 et sup&eacute;rieures, l’activation du m&eacute;canisme
de sondage de liaison n’est pas n&eacute;cessaire. Le sondeur de liaison est
d&eacute;marr&eacute; automatiquement.
Configuration de IEEE 802.3ad Link Aggregation
Proc&eacute;dez comme suit pour configurer un IEEE 802.3ad Link Aggregation :
1. Tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez
sur Entr&eacute;e.
3. S&eacute;lectionnez les cartes Ethernet principales de Link Aggregation et appuyez sur Entr&eacute;e.
Si vous pr&eacute;voyez d’utiliser une carte de secours, ne s&eacute;lectionnez pas la carte de secours
&agrave; ce stade. L’option de la carte de secours est disponible dans AIX 5.2 et les versions
sup&eacute;rieures.
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet.
Si vous s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e (dont l’interface
est d&eacute;finie), vous obtenez un message d’erreur. Vous devez d’abord
d&eacute;tacher ces interfaces si vous souhaitez les utiliser.
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– Cartes EtherChannel / Link Aggregation : Vous devez voir s’afficher toutes les
cartes principales utilis&eacute;es dans le Link Aggregation. Vous avez s&eacute;lectionn&eacute; ces
cartes &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address : Ce champ est facultatif. Le choix de la valeur yes
vous permet de pr&eacute;ciser une adresse MAC que le Link Aggregation doit utiliser. Si
vous d&eacute;finissez la valeur no pour cette option, le Link Aggregation utilisera l’adresse
MAC de la premi&egrave;re carte indiqu&eacute;e.
4-244
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
– Alternate Address : Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x
et &ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres (par exemple, 0x001122334455).
– Enable Gigabit Ethernet Jumbo Frames : Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
– Mode : Entrez 8023ad.
– Mode Hash : Vous pouvez choisir parmi les modes hash celui qui va d&eacute;terminer la
valeur de donn&eacute;e utilis&eacute;e par l’algorithme pour d&eacute;terminer la carte sortante :
. default : Dans ce mode hash, l’adresse IP de destination du paquet est utilis&eacute;e
pour d&eacute;terminer la carte sortante. Pour le trafic non–IP (par exemple ARP), le
dernier octet de l’adresse MAC de destination est utilis&eacute; pour effectuer le calcul.
Ce mode garantit que les paquets sont envoy&eacute;s via l’EtherChannel dans l’ordre
dans lequel ils ont &eacute;t&eacute; re&ccedil;us, mais il peut ne pas utiliser toute la bande passante.
. src_port : Dans ce mode hash, la valeur de port UDP ou TCP source du paquet
est utilis&eacute;e pour d&eacute;terminer la carte sortante. Si le paquet n’est pas du trafic UDP
ou TCP, le dernier octet de l’adresse IP de destination est utilis&eacute;. Si le paquet n’est
pas du trafic IP, le dernier octet de l’adresse MAC de destination est utilis&eacute;.
. dst_port : Dans ce mode hash, la valeur de port UDP ou TCP de destination du
paquet est utilis&eacute;e pour d&eacute;terminer la carte sortante. Si le paquet n’est pas du
trafic UDP ou TCP, le dernier octet de l’IP de destination est utilis&eacute;. Si le paquet
n’est pas du trafic IP, le dernier octet de l’adresse MAC de destination est utilis&eacute;.
. src_dst_port : Dans ce mode hash, les valeurs de port UDP ou TCP source et de
destination du paquet sont utilis&eacute;es pour d&eacute;terminer la carte sortante (&agrave; savoir, les
ports source et de destination sont ajout&eacute;s puis divis&eacute;s par deux avant d’&ecirc;tre
entr&eacute;s dans l’algorithme). Si le paquet n’est pas du trafic UDP ou TCP, le dernier
octet de l’IP de destination est utilis&eacute;. Si le paquet n’est pas du trafic IP, le dernier
octet de l’adresse MAC de destination est utilis&eacute;. Ce mode permet une bonne
distribution des paquets dans la plupart des situations, &agrave; la fois pour les clients
et les serveurs. Pour plus d’informations sur la distribution des paquets et
l’&eacute;quilibrage de charge, reportez–vous aux options d’&eacute;quilibrage de charge
page 4-235.
– Backup Adapter : Ce champ est facultatif. Indiquez la carte &agrave; utiliser comme carte
de secours. L’option de la carte de secours est disponible dans AIX 5.2 et les
versions sup&eacute;rieures.
– Internet Address to Ping : Ce champ est facultatif et n’est disponible que si vous
avez une seule carte dans l’agr&eacute;gat et une carte de secours. Link Aggregation lance
une commande ping sur l’adresse IP ou le nom de l’h&ocirc;te indiqu&eacute;. Si Link Aggregation
ne parvient pas &agrave; lancer une commande ping sur cette adresse pour Number of
Retries dans les intervalles Retry Timeout, Link Aggregation effectue un
basculement des cartes.
– Number of Retries : Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que Link Aggregation ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous d&eacute;finissez Internet Address to Ping.
– Retry Timeout : Entrez le nombre de secondes entre les envois de commande ping
de Link Aggregation &agrave; Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous d&eacute;finissez Internet
Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er le Link
Aggregation.
Protocole TCP/IP
4-245
6. Configurez IP via la nouvelle unit&eacute; Link Aggregation en tapant smit chinet
sur la ligne de commande.
7. S&eacute;lectionnez votre nouvelle interface Link Aggregation dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Gestion de IEEE 802.3ad
Pour les t&acirc;ches de gestion pouvant &ecirc;tre ex&eacute;cut&eacute;es sur un IEEE 802.3ad Link Aggregation
apr&egrave;s la configuration, reportez–vous &agrave; Gestion d’EtherChannel et de IEEE 802.3ad Link
Aggregation, page 4-238.
Identification et r&eacute;solution des incidents IEEE 802.3ad
Si des probl&egrave;mes li&eacute;s au IEEE 802.3ad Link Aggregation se produisent, lancez la
commande suivante pour v&eacute;rifier le mode de fonctionnement de Link Aggregation :
entstat –d
device
o&ugrave; device est l’unit&eacute; Link Aggregation.
Ceci permet &eacute;galement de d&eacute;terminer le meilleur effort de l’&eacute;tat de la progression du LACP
bas&eacute; sur les unit&eacute;s LACPDU re&ccedil;ues du commutateur. Les valeurs d’&eacute;tat possibles sont les
suivantes :
• Inactive: LACP n’a pas &eacute;t&eacute; initialis&eacute;. Dans cet &eacute;tat, un Link Aggregation n’a pas
encore &eacute;t&eacute; configur&eacute;, soit parce qu’il n’a pas encore re&ccedil;u d’adresse IP soit parce que
son interface a &eacute;t&eacute; d&eacute;tach&eacute;e.
• Negotiating: LACP est en cours, mais le commutateur n’a pas encore regroup&eacute; les
cartes en agr&eacute;gat. Si le Link Aggregation conserve cet &eacute;tat plus d’une minute, v&eacute;rifiez
que le commutateur est correctement configur&eacute;. V&eacute;rifiez par exemple que LACP est
activ&eacute; sur les ports.
• Aggregated: LACP a r&eacute;ussi et le commutateur a regroup&eacute; les cartes dans un agr&eacute;gat.
• Failed: LACP a &eacute;chou&eacute;. Certaines des causes possibles sont que les cartes de
l’agr&eacute;gat ont des vitesses de ligne ou des modes duplex diff&eacute;rents ou qu’elles sont
connect&eacute;es &agrave; des commutateurs diff&eacute;rents. V&eacute;rifiez la configuration des cartes.
En outre, certains commutateurs permettent uniquement aux ports contigus d’&ecirc;tre
regroup&eacute;s et imposent parfois une limite au nombre de cartes pouvant &ecirc;tre regroup&eacute;es.
Consultez la documentation du commutateur pour conna&icirc;tre les limites &eacute;ventuelles du
commutateur, puis v&eacute;rifiez sa configuration.
Remarque :
L’&eacute;tat du Link Aggregation est une valeur de diagnostic et n’a pas
d’incidence sur le c&ocirc;t&eacute; AIX de la configuration. Cette valeur d’&eacute;tat a &eacute;t&eacute;
calcul&eacute;e via une tentative de meilleur effort. Pour r&eacute;soudre les autres
probl&egrave;mes d’agr&eacute;gat, il est conseill&eacute; de v&eacute;rifier la configuration du
commutateur.
Sc&eacute;narios d’interop&eacute;rabilit&eacute;
Le tableau suivant repr&eacute;sente plusieurs sc&eacute;narios d’interop&eacute;rabilit&eacute;. Prenez en compte
ces sc&eacute;narios lorsque vous configurez un EtherChannel ou IEEE 802.3ad Link Aggregation.
Vous trouverez une explication suppl&eacute;mentaire de chaque sc&eacute;nario &agrave; la suite du tableau.
4-246
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Tableau 17. Diff&eacute;rentes combinaisons de configuration d’AIX et de commutateur et r&eacute;sultats
obtenus pour chaque combinaison.
Mode EtherChannel
Configuration de
commutateur
R&eacute;sultat
8023ad
IEEE 802.3ad LACP
OK – AIX lance des unit&eacute;s
LACPDU qui d&eacute;clenchent un
IEEE 802.3ad Link
Aggregation sur le
commutateur.
standard ou round_robin
EtherChannel
OK – R&eacute;sultats dans le
comportement
EtherChannel traditionnel.
8023ad
EtherChannel
OK – R&eacute;sultats dans le
comportement
EtherChannel traditionnel.
AIX initialise des unit&eacute;s
LACPDU mais le
commutateur n’en tient pas
compte.
standard ou round_robin
IEEE 802.3ad LACP
Non souhaitable – Le
commutateur ne peut pas
former d’agr&eacute;gat. Il peut en
r&eacute;sulter une performance
m&eacute;diocre car le
commutateur transf&egrave;re
l’adresse MAC entre les
ports du commutateur.
• 8023ad incluant IEEE 802.3ad LACP :
Il s’agit de la configuration IEEE 802.3ad la plus courante.
Ce commutateur peut &ecirc;tre un LACP passif ou actif.
• standard ou round_robin avec EtherChannel :
Il s’agit de la configuration EtherChannel la plus courante.
• 8023ad avec EtherChannel :
Dans ce cas, AIX enverra les unit&eacute;s LACPDU mais elles n’obtiendront pas de r&eacute;ponse
car le commutateur op&egrave;re comme un EtherChannel. Le fonctionnement sera cependant
correct car le commutateur continuera de traiter ces ports comme une liaison unique.
Remarque :
Dans ce cas, la commande entstat –d signalera toujours que
l’agr&eacute;gat a l’&eacute;tat Negotiating.
• standard ou round_robin avec IEEE 802.3ad LACP :
Cette configuration est incorrecte. Si le commutateur utilise LACP pour cr&eacute;er un agr&eacute;gat,
celui n’est jamais form&eacute; car AIX ne r&eacute;pond jamais aux unit&eacute;s LACPDU. Pour obtenir un
fonctionnement correct, d&eacute;finissez le mode 8023ad dans AIX.
Protocole TCP/IP
4-247
Protocole Internet (IP) par Fibre Channel
Les paquets IP peuvent &ecirc;tre envoy&eacute;s par connexion physique fibre–channel, en
commen&ccedil;ant par AIX 5L avec 5200–03. Une fois qu’un syst&egrave;me est configur&eacute; pour pouvoir
utiliser l’IP par Fibre Channel, son activit&eacute; r&eacute;seau fonctionne comme si une carte Ethernet
ou en anneau &agrave; jeton &eacute;tait utilis&eacute;e.
Pour utiliser l’IP par Fibre Channel, votre syst&egrave;me doit poss&eacute;der un commutateur Fibre
Channel et la carte Fibre Channel 2 Gigabit pour bus PCI 64 bits ou la carte PCI–X 2
Gigabit Fibre Channel.
De plus, tous les fichiers suivants doivent &ecirc;tre install&eacute;s :
• devices.common.ibm.fc
• devices.pci.df1000f7
• devices.pci.df1080f9
• devices.pci.df1000f9
Configuration IP par Fibre Channel
La proc&eacute;dure suivante vous guide lors de la configuration d’une IP par Fibre Channel.
Le pilote d’unit&eacute; IP Fibre Channel doit avant tout &ecirc;tre d&eacute;sactiv&eacute;. Apr&egrave;s la d&eacute;sactivation,
la commande cfgmgr est activ&eacute;e afin de cr&eacute;er l’interface Fibre Channel. Apr&egrave;s la cr&eacute;ation
de l’interface, il faut affecter les attributs r&eacute;seau (tels son adresse IP, le masque r&eacute;seau,
le nom du serveur et la passerelle).
Activer le pilote d’unit&eacute; du Fibre Channel
L’unit&eacute; IP Fibre Channel n’est pas activ&eacute;e par d&eacute;faut. Pour activer l’unit&eacute;,
proc&eacute;dez comme suit :
1. Sur la ligne de commande, entrez smit dev.
2. S&eacute;lectionnez carte FC.
3. S&eacute;lectionnez Unit&eacute; de protocole r&eacute;seau FC.
4. S&eacute;lectionnez Activer une unit&eacute; r&eacute;seau FC.
5. S&eacute;lectionnez la carte &agrave; activer.
6. Utilisez la commande cfgmgr pour cr&eacute;er l’interface Fibre Channel.
Voir cfgmgr dans le manuel AIX 5L Version 5.3 Commands Reference.
4-248
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Affectez les propri&eacute;t&eacute;s r&eacute;seau &agrave; l’interface Fibre Channel.
Apr&egrave;s avoir d&eacute;sactiv&eacute; la carte, vous devez configurer l’IP via celle–ci.
Proc&eacute;dez comme suit pour configurer l’IP :
1. Sur la ligne de commande, entrez smit tcpip.
2. S&eacute;lectionnez Configuration minimale et lancement.
3. S&eacute;lectionnez l’interface que vous souhaitez configurer. Dans ce cas, il s’agit de fc x,
x &eacute;tant le num&eacute;ro mineur de l’interface.
4. Affectez tous les attributs requis.
Apr&egrave;s avoir affect&eacute; les attributs IP, v&eacute;rifiez que l’entr&eacute;e en vigueur des modifications en
entrant la commande suivante sur la ligne de commande :
ifconfig –a
Si votre configuration a &eacute;t&eacute; effectu&eacute;e correctement, des r&eacute;sultats similaires aux r&eacute;sultats
suivants sont obtenus :
fc1: flags=e000843
&lt;UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST,GROUPRT,64BIT,PSEG,CHAIN
&gt;
inet 11.11.11.18 netmask 0xffffff00 broadcast 11.11.11.255
Vous pouvez &eacute;galement ex&eacute;cuter la commande suivante :
ifconfig fc
x
x &eacute;tant le num&eacute;ro mineur de l’interface.
Protocole TCP/IP
4-249
Initiateur logiciel iSCSI
L’initiateur logiciel iSCSI permet &agrave; AIX d’acc&eacute;der aux unit&eacute;s de stockage en utilisant TCP/IP
sur les cartes du r&eacute;seau Ethernet. L’initiateur logiciel iSCSI impl&eacute;mente le protocole iSCSI
tel qu’il est d&eacute;fini dans iSCSI IETF draft–20.
L’utilisation de la technologie iSCSI, souvent d&eacute;sign&eacute;e par SAN pour technologie IP,
permet le d&eacute;ploiement d’une zone de stockage g&eacute;rant un r&eacute;seau IP. iSCSI est une approche
ouverte, bas&eacute;e sur des standards, pour laquelle les informations SCSI sont encapsul&eacute;es
par TCP/IP, afin de permettre le transport via des r&eacute;seaux Ethernet et Gigabit Ethernet.
iSCSI permet &agrave; un r&eacute;seau Ethernet existant de transf&eacute;rer des commandes et des donn&eacute;es
SCSI en toute ind&eacute;pendance d’emplacement. Les solutions iSCSI utilisent les composantes
suivantes, diff&eacute;rentes mais int&eacute;gralement reli&eacute;es entre elles :
• Initiateurs
Ce sont les pilotes d’unit&eacute;s r&eacute;sidant sur le client. Ils encapsulent les commandes SCSI
et les acheminent via le r&eacute;seau IP &agrave; l’unit&eacute; cible.
• Logiciel cible
Le logiciel re&ccedil;oit les commandes SCSI encapsul&eacute;es via le r&eacute;seau IP. Le logiciel peut
aussi fournir le support de configuration et le support de gestion stockage.
• Mat&eacute;riel cible
Le mat&eacute;riel peut &ecirc;tre un appareil de stockage contenant un stockage incorpor&eacute;.
Le mat&eacute;riel peut &eacute;galement &ecirc;tre une passerelle ou un produit pont ne contenant
aucun stockage interne par lui–m&ecirc;me.
Configuration de l’initiateur logiciel iSCSI
L’initiateur de logiciel est configur&eacute; via SMIT comme suit :
1. S&eacute;lectionnez Unit&eacute;s.
2. S&eacute;lectionnez iSCSI.
3. S&eacute;lectionnez Configurer unit&eacute; de protocole iSCSI.
4. S&eacute;lectionnez Modifier / Afficher les caract&eacute;ristiques d’une unit&eacute; de protocole iSCSI.
5. V&eacute;rifier que la valeur du Nom de l’initiateur est correcte. La valeur du Nom de
l’initiateur est utilis&eacute;e par la cible iSCSI lors de la connexion.
Remarque :
Un nom d’initiateur par d&eacute;faut est attribu&eacute; lorsque le logiciel est install&eacute;.
Le nom de l’initiateur peut &ecirc;tre modifi&eacute; par l’utilisateur afin de le faire
correspondre &agrave; des conventions d’appellation d’un r&eacute;seau local.
6. La zone Maximum de cibles autoris&eacute;es correspond au nombre maximal de
cibles iSCSI pouvant &ecirc;tre configur&eacute;es. Si vous r&eacute;duisez ce nombre, vous r&eacute;duisez aussi
la capacit&eacute; de m&eacute;moire du r&eacute;seau, affect&eacute;e au pr&eacute;alable au pilote du protocole iSCSI
lors de la configuration.
4-250
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Une fois l’initiateur du logiciel configur&eacute;, effectuez les actions suivantes :
1. Editez le fichier /etc/iscsi/targets pour inclure les cibles iSCSI n&eacute;cessaires
&agrave; la configuration de l’unit&eacute;.
Chaque ligne non comment&eacute;e du fichier repr&eacute;sente une cible iSCSI.
La configuration de l’unit&eacute; iSCSI implique que les cibles iSCSI sont accessibles via une
interface r&eacute;seau correctement configur&eacute;e. Bien que l’initiateur de logiciel iSCSI puisse
fonctionner en utilisant 10/100 Ethernet LAN, il est con&ccedil;u pour &ecirc;tre utilis&eacute; avec un
r&eacute;seau gigabit Ethernet s&eacute;par&eacute; d’un autre trafic r&eacute;seau.
Pour plus d’informations, reportez–vous au Fichier cibles dans AIX 5L Version 5.3
Files Reference.
2. Apr&egrave;s &eacute;dition du fichier /etc/iscsi/targets, saisissez la commande suivante :
cfgmgr –l iscsi0
Ceci reconfigure le pilote de l’initiateur du logiciel.
Cette commande active le pilote dans sa tentative de communiquer avec les cibles
list&eacute;es dans le fichier /etc/iscsi/targets et de d&eacute;finir un nouveau hdisk pour chaque LUN
sur les cibles trouv&eacute;es. Pour plus d’informations, reportez–vous &agrave; la description de la
commande cfgmgr dans AIX 5L Version 5.3 Commands Reference, Volume 1.
Remarque :
Si les disques appropri&eacute;s ne sont pas d&eacute;finis, consultez la configuration
de l’initiateur, la cible, et toutes les passerelles iSCSI pour vous assurer
que tout est correct, puis r&eacute;ex&eacute;cutez la commande cfgmgr.
Si vous souhaitez poursuivre la configuration des param&egrave;tres pour les unit&eacute;s du logiciel
iSCSI, utilisez SMIT comme suit :
1. S&eacute;lectionnez Unit&eacute;s.
2. S&eacute;lectionnez Disque fixe.
Un initiateur typique de logiciel est semblable &agrave; ce qui suit :
hdisk2
Disponible
Autre pilote disque iSCSI
Si le disque iSCSI prend en charge la mise en attente de la balise de commande et
NACA=1 dans l’octet de contr&ocirc;le, modifiez la configuration de la profondeur de la mise en
attente du disque pour une valeur sup&eacute;rieure. Une valeur plus importante est susceptible
d’am&eacute;liorer les performances de l’unit&eacute;. La d&eacute;finition de la profondeur de mise en attente
optimale ne peut pas &ecirc;tre sup&eacute;rieure &agrave; la mise en attente effective sur le pilote. D&eacute;finir la
profondeur de mise en attente pour une valeur sup&eacute;rieure &agrave; la taille de mise en attente du
disque peut avoir des effets n&eacute;gatifs sur les performances. Pour d&eacute;terminer la taille de la
mise en attente du disque, veuillez consulter la documentation.
Remarques suppl&eacute;mentaires
Veuillez tenir compte de ce qui suit pour toute utilisation de l’initiateur de logiciel SCSI :
• D&eacute;tection de la cible
L’initiateur de logiciel iSCSI n’impl&eacute;mente pas de d&eacute;tection d’entr&eacute;es iSCSI (par exemple
cibles canoniques iSCSI). Un fichier texte est utilis&eacute; pour configurer chaque cible.
• Capacit&eacute; d’adressage Protocole Internet
IPv6 n’est pas impl&eacute;ment&eacute;
• Authentification iSCSI
Seul CHAP(MD5) peut &ecirc;tre utilis&eacute; pour configurer l’authentification de l’initiateur.
L’authentification cible n’est pas implement&eacute;e.
• Nombre de LUNs configur&eacute;s
Protocole TCP/IP
4-251
Le nombre maximal de LUNs configur&eacute;s et test&eacute;s en utilisant l’initiateur de logiciel iSCSI
est 128 par cible iSCSI. L’initiateur de logiciel utilise une connexion TCP unique pour
chaque cible iSCSI (une connexion par session iSCSI). La connexion TCP est partag&eacute;e
entre tous les LUN configur&eacute;s pour une cible. L’espace de r&eacute;ception et l’espace d’envoi
de l’interface TCP de l’initiateur de logiciel sont tous deux d&eacute;finis &agrave; saturation du tampon
de l’interface syst&egrave;me. Le maximum est d&eacute;fini par l’option r&eacute;seau sb_max. La valeur par
d&eacute;faut est 1 Mo.
• Groupes volumes
Pour &eacute;viter des probl&egrave;mes de configuration et des erreurs d’entr&eacute;es de connexion lors
de la cr&eacute;ation de groupe de volume utilisant les unit&eacute;s iSCSI, suivez les consignes
suivantes :
– Configurez les groupes de volume cr&eacute;&eacute;s en utilisant des unit&eacute;s iSCSI pour les rendre
inactifs apr&egrave;s le red&eacute;marrage. Apr&egrave;s configuration des unit&eacute;s iSCSI, activez
manuellement les groupes de volume support&eacute;s par iSCSI. Puis montez tout syst&egrave;me
de fichiers associ&eacute;.
Les groupes de volume sont activ&eacute;s lors d’une phase d’amor&ccedil;age diff&eacute;rente du pilote
de logiciel iSCSI. C’est pourquoi il n’est pas possible d’activer les groupes de volume
iSCSI lors du processus d’amor&ccedil;age.
– N’&eacute;tendez pas les groupes de volume aux unit&eacute;s non–iSCSI.
• Echecs E/S
Si la connectivit&eacute; aux unit&eacute;s cibles iSCSI est perdue, des &eacute;checs E/S se produisent.
Pour pr&eacute;venir les &eacute;checs E/S et la corruption du syst&egrave;me de fichiers, interrompez toute
activit&eacute; E/S et d&eacute;montez les syst&egrave;mes de fichiers support&eacute;s par iSCSI avant
d’entreprendre quoi que ce soit qui puisse provoquer la perte de connectivit&eacute; &agrave; long
terme pour activer les cibles iSCSI.
Si une perte de connectivit&eacute; aux cibles iSCSI se produit lors des tentatives d’application
d’activit&eacute;s E/S avec des unit&eacute;s iSCSI, des erreurs E/S peuvent &eacute;ventuellement se
produire. Il n’est pas toujours possible de d&eacute;monter les syst&egrave;mes de fichiers support&eacute;s
par iSCSI parce que l’unit&eacute; sous–jacente de iSCSI est occup&eacute;e.
La maintenance du syst&egrave;me de fichiers doit &ecirc;tre effectu&eacute;e si les &eacute;checs E/S
se produisent en raison de la perte de connectivit&eacute; pour activer les cibles iSCSI.
Pour ex&eacute;cuter la maintenance du syst&egrave;me de fichiers, activez la commande fsck.
Remarques sur la s&eacute;curit&eacute;
Le fichier /etc/iscsi/directorye et le fichier de configuration /etc/iscsi/targets sont prot&eacute;g&eacute;s
des utilisateurs non privil&eacute;gi&eacute;s par un syst&egrave;me d’autorisation et de propri&eacute;t&eacute;. Les secrets
CHAP sont sauvegard&eacute;s dans le fichier /etc/iscsi/targets comme texte en clair.
Remarque :
4-252
Ne modifiez ni l’autorisation d’origine du fichier ni la propri&eacute;t&eacute; de
ces fichiers.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarques sur les performances
Pour assurer de meilleures performances :
• Activer l’envoi large TCP, le contr&ocirc;le de flux TCP envoyer/recevoir, et les fonctions
Jumbo Frame de la carte AIX Gigabit Ethernet ainsi que l’interface iSCSI cible.
• Harmonisez les options r&eacute;seau et les param&egrave;tres d’interface pour un d&eacute;bit iSCSI E/S
maximum dans le syst&egrave;me AIX
– Activez l’option r&eacute;seau RFC 1323.
– D&eacute;finissez les options r&eacute;seau et les options interface r&eacute;seau tcp_sendspace,
tcp_recvspace, sb_max, et mtu_size aux valeurs appropri&eacute;es.
La taille du transfert maximal de l’initiateur de logiciel iSCSI est de 256KB. En
supposant que les maxima du syst&egrave;me pour tcp_sendspace et tcp_recvspace
sont d&eacute;finis &agrave; 262144 octets, une commande ifconfig utilis&eacute;e pour configurer une
interface gigabit Ethernet pourrait ressembler &agrave; ceci :
ifconfig en2 10.1.2.216 mtu 9000 tcp_sendspace 262144 tcp_recvspace
262144
– D&eacute;finissez l’option r&eacute;seau sb_max sur au moins 524288, et de pr&eacute;f&eacute;rence 1048576.
– D&eacute;finissez le mtu_size sur 9000.
Remarque :
Pour plus d’informations sur les options r&eacute;seau, reportez–vous &agrave; la
description de commande no in AIX 5L Version 5.3 Commands Reference,
Volume 4.
Pour plus d’informations et pour avoir davantage de param&egrave;tres d’harmonisation,
reportez–vous au Tuning TCP and UDP Performance dans AIX 5L Version 5.3
Performance Management Guide.
Protocole TCP/IP
4-253
Protocole de transmission du contr&ocirc;le de flot
Stream Transmission Control Protocol (SCTP) est un protocole orient&eacute; connexion
semblable au TCP mais qui fournit un transfert de donn&eacute;es orient&eacute; message semblable
&agrave; l’UDP. La table suivante met en surbrillance les diff&eacute;rences g&eacute;n&eacute;rales dans le
comportement entre le SCTP et les protocoles de transport existants, le TCP et l’UDP.
Table 18. Diff&eacute;rences entre le TCP, l’UDP, et le SCTP
Attribut
TCP
UDP
SCTP
Fiabilit&eacute;
Fiable
Peu fiable
Fiable
Gestion de la
connexion
Orient&eacute; connexion
Connectionless
Orient&eacute; connexion
Transmission
Orient&eacute; octet
Orient&eacute; message
Orient&eacute; message
Contr&ocirc;le de flux
Oui
Non
Oui
R&eacute;gulation de
l’encombrement
Oui
Non
Oui
Tol&eacute;rance aux
pannes
Non
Non
Oui
Remise des donn&eacute;es Strictement ordonn&eacute;
D&eacute;sordonn&eacute;
Partiellement
ordonn&eacute;
S&eacute;curit&eacute;
Oui
Am&eacute;lior&eacute;
Oui
SCTP fournit en r&egrave;gle g&eacute;n&eacute;rale une flexibilit&eacute; accrue pour certaines applications comme
Voix sur IP (VoIP), n&eacute;cessitant le transfert de donn&eacute;es fiable mais orient&eacute; message.
Pour cette cat&eacute;gorie d’applications, SCTP est sans aucun doute plus appropri&eacute; que le TCP
ou l’UDP.
• TCP fournit une remise des donn&eacute;es fiable respectant strictement l’ordre de
transmission. Pour les applications n&eacute;cessitant une certaine fiabilit&eacute; mais pouvant tol&eacute;rer
une remise des donn&eacute;es d&eacute;sordonn&eacute;e ou partiellement ordonn&eacute;e, TCP peut engendrer
un retard inutile en raison d’un blocage en t&ecirc;te de ligne. Le concept de flots multiples
d’une connexion unique permet au SCTP d’effectuer une remise strictement ordonn&eacute;e
au sein d’un flot en isolant de mani&egrave;re logique des donn&eacute;es issues de diff&eacute;rents flots.
• SCTP est orient&eacute; message, contrairement au TCP qui est orient&eacute; octet. Le caract&egrave;re
orient&eacute; octet du TCP oblige l’application &agrave; ajouter son propre marquage
d’enregistrement visant &agrave; g&eacute;rer les limites de message.
• SCTP fournit un certain degr&eacute; de tol&eacute;rance aux pannes en utilisant la fonction
rattachement multir&eacute;seau. Un h&ocirc;te est multir&eacute;seau lorsqu’il est connect&eacute; &agrave; plus
d’une interface r&eacute;seau, soit sur le m&ecirc;me r&eacute;seau, soit sur des r&eacute;seaux diff&eacute;rents.
Une association SCTP peut &ecirc;tre &eacute;tablie entre deux h&ocirc;tes multir&eacute;seau. Dans ce cas,
toutes les adresses IP des deux extr&eacute;mit&eacute;s sont &eacute;chang&eacute;es au lancement de
l’association ; ceci permet &agrave; chaque extr&eacute;mit&eacute; d’utiliser chacune de ces adresses durant
la dur&eacute;e
de la connexion, si l’une des interfaces est hors service pour une raison quelconque,
&agrave; condition que l’homologue soit accessible via les interfaces secondaires.
• SCTP fournit des fonctions de s&eacute;curit&eacute; suppl&eacute;mentaires que TCP et UDP ne proposent
pas. Dans SCTP, une attribution de ressources durant la configuration de l’association
est retard&eacute;e jusqu’&agrave; la v&eacute;rification de l’identit&eacute; du client par un m&eacute;canisme d’&eacute;change de
t&eacute;moins, ce qui r&eacute;duit la possibilit&eacute; d’attaques de d&eacute;ni de service.
4-254
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Lancement et interruption de l’association
L’association SCTP se compose d’un &eacute;tablissement de liaison quadri–niveau se pr&eacute;sentant
dans l’ordre suivant :
1. Le client envoie un signal INIT au serveur pour lancer une association.
2. A r&eacute;ception du signal INIT, le serveur envoie une r&eacute;ponse INIT–ACK au client. Ce signal
INIT–ACK contient un t&eacute;moin d’&eacute;tat. Ce t&eacute;moin d’&eacute;tat doit contenir un code
d’authentification de message (MAC) avec un horodateur correspondant &agrave; la cr&eacute;ation du
t&eacute;moin, la dur&eacute;e du vie du t&eacute;moin d’&eacute;tat et les informations n&eacute;cessaires &agrave; l’&eacute;tablissement
de l’association. Le code MAC est calcul&eacute; par le serveur en fonction de la cl&eacute; secr&egrave;te
que lui seul conna&icirc;t.
3. Apr&egrave;s r&eacute;ception du signal INIT–ACK, le client envoie une r&eacute;ponse COOKIE–ECHO
indiquant le t&eacute;moin d’&eacute;tat.
4. Apr&egrave;s v&eacute;rification de l’authenticit&eacute; du t&eacute;moin d’&eacute;tat utilisant la cl&eacute; secr&egrave;te, le serveur
attribue les ressources pour l’association, envoie une r&eacute;ponse COOKIE–ACK accusant
r&eacute;ception du signal COOKIE–ECHO et affecte l’&eacute;tat ESTABLISHED &agrave; l’association.
SCTP prend en charge &eacute;galement la fermeture normale d’une association active sur
demande de l’utilisateur SCTP. La s&eacute;quence d’&eacute;v&eacute;nements suivante se produit :
1. Le client envoie un signal SHUTDOWN au serveur, l’informant qu’il est pr&ecirc;t &agrave; se
d&eacute;connecter.
2. Le serveur r&eacute;pond en envoyant un accus&eacute; de r&eacute;ception SHUTDOWN–ACK.
3. Le client renvoie ensuite un signal SHUTDOWN–COMPLETE au serveur.
SCTP prend &eacute;galement en charge la fermeture subite (signal ABORT) d’une association
active &agrave; la demande du client SCTP ou en raison d’une erreur dans la pile SCTP. En
revanche, SCTP ne prend pas en charge les connexions semi–ouvertes. Pour plus
d’informations sur le protocole et ses internes, reportez–vous &agrave; la RFC 2960.
Outre les diff&eacute;rences sp&eacute;cifi&eacute;es ci–dessus existant entre SCTP et les protocoles de
transport, SCTP fournit les fonctions suivantes :
• Remise s&eacute;quentielle au sein des flots : Un flot dans un contexte SCTP fait r&eacute;f&eacute;rence &agrave;
une s&eacute;quence de messages utilisateur transf&eacute;r&eacute;s entre des extr&eacute;mit&eacute;s. Une association
SCTP peut g&eacute;rer plusieurs flots de donn&eacute;es. Au moment de la configuration de
l’association, l’utilisateur peut sp&eacute;cifier le nombre de flots de donn&eacute;es. La valeur effective
du nombre de flots de donn&eacute;es est d&eacute;termin&eacute;e apr&egrave;s n&eacute;gociation avec l’homologue.
L’ordre de la remise des donn&eacute;es est strictement maintenu au sein de chaque flot. En
revanche, la remise des donn&eacute;es de flots est ind&eacute;pendante. Ainsi, la perte de donn&eacute;es
d’un flot n’emp&ecirc;che pas la remise des donn&eacute;es dans un autre flot. Ceci permet &agrave;
l’application utilisateur d’utiliser des flots diff&eacute;rents pour des donn&eacute;es ind&eacute;pendantes
d’un point de vue logique. La remise des donn&eacute;e peut &eacute;galement &ecirc;tre effectu&eacute;e sans
ordre d&eacute;fini &agrave; l’aide d’une option sp&eacute;ciale. Elle s’av&egrave;re utile pour l’envoi de donn&eacute;es
urgentes.
• Fragmentation de donn&eacute;es utilisateur : SCTP peut fragmenter des messages
utilisateur pour garantir que la taille du paquet transmise &agrave; la couche inf&eacute;rieure ne
d&eacute;passe pas la MTU d’acc&egrave;s. Au moment de la r&eacute;ception, les fragments sont
rassembl&eacute;s dans un message complet et transmis &agrave; l’utilisateur. Bien que la
fragmentation puisse &ecirc;tre &eacute;galement effectu&eacute;e au niveau du r&eacute;seau, la fragmentation
de la couche de transport fournit divers avantages via la fragmentation de la couche IP.
Certains de ces avantages incluent le fait de ne pas devoir (r)envoyer des messages
entiers lorsque des fragments sont perdus sur le r&eacute;seau et de r&eacute;duire la charge des
routeurs, qui autrement devraient effectuer la fragmentation IP.
Protocole TCP/IP
4-255
• Accus&eacute; de r&eacute;ception et r&eacute;gulation de l’encombrement : L’accus&eacute; de r&eacute;ception
du paquet est n&eacute;cessaire pour une remise de donn&eacute;es fiable. Lorsque SCTP n’obtient
pas l’accus&eacute; de r&eacute;ception d’un paquet qu’il envoie au cours d’une p&eacute;riode sp&eacute;cifi&eacute;e,
il d&eacute;clenche la retransmission du m&ecirc;me paquet. Le SCTP suit les m&ecirc;mes algorithmes
de r&eacute;gulation de l’encombrement que ceux utilis&eacute;s par le TCP. Outre l’utilisation
d’accus&eacute;s de r&eacute;ception r&eacute;capitulatifs comme le TCP, le SCTP utilise le m&eacute;canisme
d’accus&eacute; de r&eacute;ception s&eacute;lectif (SACK), lui permettant de s&eacute;lectionner les paquets
dont il accuse r&eacute;ception.
• Regroupement de tranches de m&eacute;moire : Une tranche de m&eacute;moire peut contenir
des donn&eacute;es utilisateur ou des informations de contr&ocirc;le SCTP. Plusieurs tranches de
m&eacute;moire peuvent &ecirc;tre regroup&eacute;es sous le m&ecirc;me en–t&ecirc;te SCTP. Le regroupement de
tranches de m&eacute;moire n&eacute;cessite leur assemblage dans le paquet SCTP &agrave; l’extr&eacute;mit&eacute;
&eacute;mettrice puis le d&eacute;sassemblage du paquet en tranches de m&eacute;moire &agrave; l’extr&eacute;mit&eacute;
r&eacute;ceptrice.
• Validation de paquet : Chaque paquet SCTP a un champ de balise de v&eacute;rification d&eacute;fini
durant la p&eacute;riode de lancement de l’association par chaque extr&eacute;mit&eacute;. Tous les paquets
sont envoy&eacute;s avec la m&ecirc;me balise de v&eacute;rification pendant la dur&eacute;e de vie de
l’association. Si, pendant la dur&eacute;e de l’association, un paquet est re&ccedil;u avec une balise
de v&eacute;rification inattendue, le paquet est supprim&eacute;. Le total de contr&ocirc;le CRC–32 doit
&eacute;galement &ecirc;tre activ&eacute; par l’&eacute;metteur de chaque paquet SCTP afin de fournir une
protection accrue contre l’alt&eacute;ration de donn&eacute;es sur le r&eacute;seau. Chaque paquet re&ccedil;u
avec un total de contr&ocirc;le CRC–32 invalide est supprim&eacute;.
• Gestion du chemin d’acc&egrave;s : Au moment de la configuration de l’installation, chaque
extr&eacute;mit&eacute; doit annoncer la liste d’adresses de transport qu’il d&eacute;tient. En revanche, seul
un chemin d’acc&egrave;s primaire est d&eacute;fini pour l’association SCTP et utilis&eacute; pour le transfert
normal des donn&eacute;es. En cas de panne du chemin d’acc&egrave;s primaire, les autres adresses
de transport sont utilis&eacute;es. Au cours de la dur&eacute;e de vie de l’association, des battements
de coeur sont envoy&eacute;s &agrave; intervalle r&eacute;gulier via tous les chemins d’acc&egrave;s pour contr&ocirc;ler
le statut du chemin d’acc&egrave;s.
API de socket SCTP
Les API Socket SCTP ont &eacute;t&eacute; con&ccedil;ues pour offrir les fonctions suivantes :
• Maintien de la coh&eacute;rence avec les API de socket existantes
• Fourniture d’une base pour l’acc&egrave;s &agrave; de nouvelles fonctions SCTP
• Compatibilit&eacute; permettant la migration du maximum d’applications TCP et UDP vers le
SCTP avec peu de modifications.
Dans le but de faciliter la migration simple des applications TCP et UDP existantes, deux
styles distincts d’API SCTP ont &eacute;t&eacute; formul&eacute;s :
• API style UDP : la s&eacute;mantique est semblable &agrave; celle d&eacute;finie pour les protocoles sans
connexion tel UDP.
• API style TCP : la s&eacute;mantique est semblable &agrave; celle d&eacute;finie pour les protocoles orient&eacute;s
connexion tel TCP.
Bien que SCTP permette la d&eacute;finition et l’utilisation des deux styles d’API de socket TCP et
UDP, AIX 5.3 prend seulement en charge la syntaxe de socket de style UDP, car elle offre
une plus grande souplesse en terme d’acc&egrave;s aux nouvelles fonctions de SCTP. En utilisant
l’API de style UDP, un serveur type utilise la s&eacute;quence suivante d’appels au cours de la
dur&eacute;e de vie de l’association.
1. socket()
2. bind ()
3. listen ()
4. recvmsg ()
4-256
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
5. sendmsg ()
6. close ()
Un client type utilise la s&eacute;quence suivante d’appels d’API de socket :
1. socket ()
2. sendmsg ()
3. recvmsg ()
4. close ()
Les associations cr&eacute;&eacute;es employant la s&eacute;quence ci–dessus sont des associations cr&eacute;&eacute;es
explicitement. Une association peut &ecirc;tre cr&eacute;&eacute;e implicitement apr&egrave;s la cr&eacute;ation d’un socket,
en appelant simplement sendmsg (), recvmsg () ou sendto () et recvto (). Dans le cas
d’une association implicite, les appels bind () et listen () sont inutiles. La syntaxe de tous
ces appels syst&egrave;me sont similaires &agrave; ceux utilis&eacute;s avec des sockets UDP. Pour la
sous–routine d’un socket, le champ Type doit &ecirc;tre d&eacute;fini sur SOCK_SEQPACKET et le
champ Protocol doit prendre la valeur IPPROTO_SCTP. Outre ces API socket standard,
SCTP fournit deux nouvelles API : sctp_peeloff () et sctp_opt_info (). Pour plus
d’informations sur l’utilisation de l’API Socket pour SCTP, consultez le Draft API Socket
SCTP. SCTP a &eacute;t&eacute; impl&eacute;ment&eacute; comme l’extension de noyau dans AIX 5.3. Un utilisateur
peut utiliser la commande sctpctrl pour charger et d&eacute;charger l’extension de noyau SCTP.
De plus, cette commande peut &ecirc;tre utilis&eacute;e pour visualiser et modifier diverses autres
statistiques et objets raccordables de l’extension de noyau SCTP &agrave; l’aide de diff&eacute;rentes
options telles que obtenir et d&eacute;finir. Pour plus d’informations au sujet de la commande
sctpctrl, reportez–vous &agrave; la description de la commande sctpctrl dans le manuel AIX 5L
Version 5.3 Commands Reference, Volume 5.
Protocole TCP/IP
4-257
Recherche de MTU d’acc&egrave;s
Pour deux h&ocirc;tes communiquant via un chemin d’acc&egrave;s &agrave; des r&eacute;seaux multiples, les paquets
transmis sont fragment&eacute;s si leur taille d&eacute;passe celle de la plus petite MTU d’un r&eacute;seau
quelconque du chemin d’acc&egrave;s. La fragmentation &eacute;tant susceptible de r&eacute;duire les
performances du r&eacute;seau, il suffit, pour l’&eacute;viter, de transmettre des paquets de taille inf&eacute;rieure
ou &eacute;gale &agrave; celle de la plus petite MTU du chemin d’acc&egrave;s du r&eacute;seau : vous faites alors
appel &agrave; la MTU d’acc&egrave;s.
Un algorithme de recherche de MTU d’acc&egrave;s est pris en charge par ce syst&egrave;me tel que
d&eacute;fini dans le RFC 1191. Pour l’activer pour les applications TCP et UDP, modifiez les
options tcp_pmtu_discover et udp_pmtu_discover de la commande no. Quand elle est
activ&eacute;e pour TCP, la recherche de MTU d’acc&egrave;s impose automatiquement aux paquets
transmis par les applications TCP une taille ne d&eacute;passant pas la MTU d’acc&egrave;s. Les
applications UDP d&eacute;terminent elles-m&ecirc;mes la taille de leurs paquets transmis : aussi
doivent-elles &ecirc;tre configur&eacute;es pour utiliser l’information de MTU d’acc&egrave;s via l’option socket
IP_FINDPMTU, m&ecirc;me si l’option udp_pmtu_discover no est activ&eacute;e. Les options
tcp_pmtu_discover et udp_pmtu_discover sont d&eacute;sactiv&eacute;es par d&eacute;faut de la version AIX
Version 4.2.1 &agrave; AIX Version 4.3.1, et activ&eacute;es sur la version AIX Version 4.3.2 et les
versions ult&eacute;rieures.
Dans les versions ant&eacute;rieures &agrave; AIX 5.3, une fois la MTU d’acc&egrave;s trouv&eacute;e pour une route de
r&eacute;seau, une route h&ocirc;te distincte est ”clon&eacute;e” pour le chemin d’acc&egrave;s. Vous pouvez afficher
les routes h&ocirc;te ”clon&eacute;es” et la valeur MTU d’acc&egrave;s pour la route avec la commande netstat
–r. L’accumulation des routes ”clon&eacute;es” peut &ecirc;tre &eacute;vit&eacute;e en permettant l’expiration et la
suppression des routes inutilis&eacute;es. L’option route_expire de la commande no contr&ocirc;le
l’expiration des routes ; elle est d&eacute;sactiv&eacute;e par d&eacute;faut. L’option de l’expiration des routes est
d&eacute;sactiv&eacute;e par d&eacute;faut sous la version AIX 4.2.1 et d&eacute;finie &agrave; 1 minute sous AIX 4.3.2 et les
versions sup&eacute;rieures.
En commen&ccedil;ant par AIX 5.3, lorsqu’une tentative de d&eacute;tection de la MTU d’acc&egrave;s est
effectu&eacute;e pour une destination, une entr&eacute;e pmtu est cr&eacute;&eacute;e dans une table de la MTU
d’acc&egrave;s (PMTU). Cette table peut &ecirc;tre affich&eacute;e via la commande d’affichage pmtu.
L’accumulation des entr&eacute;es pmtu peut &ecirc;tre &eacute;vit&eacute;e en permettant l’expiration et la
suppression des entr&eacute;es pmtu inutilis&eacute;es. Le contr&ocirc;le de l’expiration de l’entr&eacute;e PMTU est
ex&eacute;cut&eacute; par l’option pmtu_expire de la commande no. pmtu_expire, d&eacute;fini par d&eacute;faut &agrave; 10
minutes.
Les routes pouvant &ecirc;tre modifi&eacute;es dynamiquement, les valeurs MTU d’acc&egrave;s peuvent
&eacute;galement changer dans le temps. La diminution de ces valeurs &eacute;tant susceptible de
provoquer la fragmentation de paquets, ces valeurs sont analys&eacute;es r&eacute;guli&egrave;rement (toutes
les 10 minutes par d&eacute;faut). Vous pouvez modifier la fr&eacute;quence d’analyse avec l’option
pmtu_default_age de la commande no.
En commen&ccedil;ant par la version AIX 5.3, les applications UDP n&eacute;cessitent toujours la
d&eacute;finition de l’option de socket IP_DONTFRAG pour d&eacute;tecter les diminutions dans PMTU.
Cela active la d&eacute;tection imm&eacute;diate de diminutions dans la MTU d’acc&egrave;s plut&ocirc;t que l’analyse
des diminutions toutes les minutes pmtu_default_age.
L’augmentation des valeurs MTU d’acc&egrave;s peut accro&icirc;tre les performances du r&eacute;seau.
Les valeurs trouv&eacute;es sont donc analys&eacute;es r&eacute;guli&egrave;rement pour y rechercher une
augmentation (toutes les 30 minutes par d&eacute;faut). Vous pouvez modifier la fr&eacute;quence
d’analyse avec l’option pmtu_rediscover_interval de la commande no.
4-258
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Si tous les routeurs du chemin d’acc&egrave;s au r&eacute;seau n’admettent pas le RFC 1191, d&eacute;terminer
la valeur MTU d’acc&egrave;s exacte peut s’av&eacute;rer impossible. Dans ce cas, la commande mmtu
permet d’ent&eacute;riner ou non les valeurs test&eacute;es.
Remarques :
1. La d&eacute;tection de la MTU d’acc&egrave;s ne peut pas &ecirc;tre utilis&eacute;e sur des routes en double, y
compris celles configur&eacute;es pour le routage de groupe Limitation de l’utilisation de la
route, page 4-214). En commen&ccedil;ant par AIX 5.3, la d&eacute;tection de la MTU d’acc&egrave;s peut
&ecirc;tre utilis&eacute;e sur des routes en double
2. Avec la recherche de MTU d’acc&egrave;s activ&eacute;e, l’option arpqsize de la commande no a sa
valeur minimale d&eacute;finie &agrave; 5. Si, par la suite, la recherche de MTU d’acc&egrave;s est d&eacute;sactiv&eacute;e,
cette valeur n’est pas diminu&eacute;e.
Protocole TCP/IP
4-259
Normes QoS (Qualit&eacute; du service) TCP/IP
Les normes QoS (Quality of Service) sont une famille de normes Internet qui offrent un
mode de traitement pr&eacute;f&eacute;rentiel de certains types de trafic IP. Ces normes peuvent r&eacute;duire
les d&eacute;lais d’attente variables et la congestion ayant pour effet de limiter les performances du
r&eacute;seau. Le syst&egrave;me d’exploitation offre une prise en charge des normes QoS au niveau de
l’h&ocirc;te afin de r&eacute;partir le trafic vers l’ext&eacute;rieur en classes de service distinctes. Ces normes
permettent &eacute;galement d’indiquer et de faire des r&eacute;servations de ressources telles que
l’exigent les applications clients.
Les normes QoS peuvent &ecirc;tre utilis&eacute;es par un organisme pour d&eacute;ployer et mettre en place
des politiques de gestion du r&eacute;seau r&eacute;gissant l’utilisation de la largeur de bande du r&eacute;seau.
Avec les normes QoS, un h&ocirc;te peut proc&eacute;der aux op&eacute;rations suivantes :
• R&eacute;guler le volume d’un certain type de trafic au sein du r&eacute;seau ;
• Marquer des paquets s&eacute;lectionn&eacute;s en fonction d’un certain type de politique afin que les
routeurs puissent par la suite fournir le service demand&eacute; ;
• Prendre en charge des services, tels que le service virtuel de lignes sp&eacute;cialis&eacute;es avec
une prise en charge appropri&eacute;e des normes QoS le long de la route ;
• Participer aux requ&ecirc;tes de r&eacute;servation de ressources des destinataires et annoncer les
sessions exp&eacute;ditrices disponibles pour ces requ&ecirc;tes.
La prise en charge des normes QoS offre les fonctions suivantes :
• Services diff&eacute;renci&eacute;s tels que d&eacute;finis dans la norme RFC 2474
• Politique de gestion du trafic
• Marquage des paquets &agrave; l’int&eacute;rieur et hors du profil
• Conception du trafic
• Mesure
• Services int&eacute;gr&eacute;s pour applications client et serveur tels que d&eacute;finis dans la norme
RFC 1633
• Signalisation RSVP (RFC 2205)
• Service garanti (RFC 2212)
• Service de contr&ocirc;le de charge (RFC 2211)
• Mise en r&eacute;seau conform&eacute;ment &agrave; la politique en vigueur
• Biblioth&egrave;que RAPI partag&eacute;e destin&eacute;e aux applications
Le sous–syst&egrave;me de normes QoS se compose de quatre &eacute;l&eacute;ments :
Extension du noyau QoS (/usr/lib/drivers/qos)
L’extension du noyau QoS r&eacute;side dans le r&eacute;pertoire /usr/lib/drivers/qos ;
elle est charg&eacute;e et d&eacute;charg&eacute;e &agrave; l’aide des m&eacute;thodes de configuration
cfgqos et ucfgqos. Cette extension de noyau permet la prise en charge
QoS.
Agent de politique (/usr/sbin/policyd)
L’agent de politique est un d&eacute;mon de niveau utilisateur qui r&eacute;side dans
/usr/sbin/policyd. Il prend en charge la gestion de la politique et sert
d’interface avec l’extension du noyau QoS afin d’installer, de modifier et
de supprimer les r&egrave;gles de politique. Les r&egrave;gles de politique peuvent
&ecirc;tre d&eacute;finies dans le fichier de configuration local (/etc/policyd.conf),
r&eacute;cup&eacute;r&eacute;es dans le serveur de r&eacute;seau central &agrave; l’aide de LDAP,
ou les deux.
4-260
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Agent RSVP (/usr/sbin/rsvpd)
L’agent RSVP est un d&eacute;mon de niveau utilisateur qui r&eacute;side dans
/usr/sbin/rsvpd. Il met en œuvre la s&eacute;mantique de protocole de
signalisation RSVP.
Biblioth&egrave;que partag&eacute;e RAPI (/usr/lib/librapi.a)
Les applications peuvent utiliser la RSVP API (RAPI) pour une meilleure
qualit&eacute; de service telle que d&eacute;finie par le mod&egrave;le QoS Internet de services
int&eacute;gr&eacute;s (Integrated Services Internet QoS model). Cette biblioth&egrave;que
dialogue avec l’agent RSVP local afin de diffuser la requ&ecirc;te QoS le long du
chemin emprunt&eacute; par le flux de donn&eacute;es &agrave; l’aide du protocole RSVP.
Cette API est une norme ouverte.
Remarque:
Cette mise en œuvre de QoS est bas&eacute;e sur un ensemble de normes
Internet en constante &eacute;volution et des &eacute;bauches de normes en cours
d’&eacute;laboration par l’Internet Engineering Task Force (IETF) ainsi que ses
divers groupes de travail. Les efforts de normalisation au sein de l’IETF
permettront d’am&eacute;liorer la coh&eacute;rence et la d&eacute;finition de cette technologie.
Il est &eacute;galement &agrave; noter que la QoS est une nouvelle technologie Internet
r&eacute;cemment d&eacute;ploy&eacute;e au sein de ce r&eacute;seau. Elle pr&eacute;sente de nombreux
avantages &agrave; tous les stades de son d&eacute;ploiement. Toutefois, les services
bout en bout ne peuvent &ecirc;tre offerts qu’avec une prise en charge totale de
la technologie QoS.
Mod&egrave;les QoS
Les mod&egrave;les QoS pour Internet sont des normes ouvertes d&eacute;finies par l’IETF. Deux de ces
mod&egrave;les sont en cours de normalisation au sein de l’IETF : Services int&eacute;gr&eacute;s et Services
diff&eacute;renci&eacute;s. Ceux–ci renforcent le mod&egrave;le traditionnel de service optimis&eacute; d&eacute;crit dans la
norme RFC 1812.
Services int&eacute;gr&eacute;s
Le service IS (Services int&eacute;gr&eacute;s) est un mod&egrave;le dynamique de r&eacute;servation des ressources
pour Internet, tel que d&eacute;crit dans la norme RFC 1633. Les h&ocirc;tes utilisent un protocole de
signalisation appel&eacute; Resource ReSerVation Protocol (RSVP) pour demander au r&eacute;seau,
de mani&egrave;re dynamique, une qualit&eacute; de service sp&eacute;cifique. Les param&egrave;tres QoS sont
achemin&eacute;s dans ces messages RSVP et chaque nœud de r&eacute;seau le long du chemin installe
ces param&egrave;tres afin de disposer de la qualit&eacute; de service requise. Ces param&egrave;tres QoS
d&eacute;crivent l’un des deux services actuellement d&eacute;finis, &agrave; savoir le service garanti et le service
de contr&ocirc;le de charge. L’IS se caract&eacute;rise par le fait que cette signalisation porte sur chaque
flux de trafic et que les r&eacute;servations s’appliquent &agrave; chaque bond sur le chemin. Bien que ce
mod&egrave;le soit tout &agrave; fait &agrave; m&ecirc;me de r&eacute;pondre &agrave; l’&eacute;volution constante des applications, il
persiste encore certains probl&egrave;mes en termes d’&eacute;volutivit&eacute; qui emp&ecirc;chent son d&eacute;ploiement
sur des r&eacute;seaux au sein desquels des routeurs uniques g&egrave;rent plusieurs flux simultan&eacute;s.
Services diff&eacute;renci&eacute;s
Le service DS (Services diff&eacute;renci&eacute;s) r&eacute;sout les probl&egrave;mes d’&eacute;volutivit&eacute; par flux et par bond
par le biais d’un m&eacute;canisme simple de classification des paquets. Plut&ocirc;t qu’une approche
de signalisation dynamique, le service DS privil&eacute;gie l’utilisation de bits dans l’octet TOS
(type de service) IP afin de r&eacute;partir les paquets en classes. Ce mod&egrave;le de bit particulier
dans l’octet TOS IP est appel&eacute; point de code DS. Il est utilis&eacute; par les routeurs pour d&eacute;finir la
qualit&eacute; de service fournie au niveau de ce bond en particulier, se rapprochant par l&agrave;–m&ecirc;me
de leur mode d’acheminement IP par le biais de la consultation des tables de routage. Le
traitement d’un paquet avec un point de code DS particulier s’appelle le PHB (per–hop
behavior). Il est g&eacute;r&eacute; ind&eacute;pendamment &agrave; chaque nœud de r&eacute;seau. La concat&eacute;nation de ces
diff&eacute;rents PHB ind&eacute;pendants offre un service bout en bout.
Protocole TCP/IP
4-261
Les services diff&eacute;renci&eacute;s sont en cours de normalisation par un groupe de travail IETF, qui a
d&eacute;fini trois PHB : le PHB avec acheminement exp&eacute;ditif (EF : abr&eacute;viation de Expedited
Forwarding), le groupe PHB avec acheminement assur&eacute; (AF : abr&eacute;viation de Assured
Forwarding) et le PHB par d&eacute;faut (DE : abr&eacute;viation de par d&eacute;faut). Le EF PHB peut &ecirc;tre
utilis&eacute; pour la mise en œuvre d’un service bout en bout, telle qu’une ligne sp&eacute;cialis&eacute;e (VLL)
offrant un d&eacute;lai d’attente et un taux d’instabilit&eacute; faibles ainsi que des pertes r&eacute;duites. L’AF
est une famille de PHB, appel&eacute; groupe de PHB. Il est utilis&eacute; pour classer des paquets en
fonction des diff&eacute;rents niveaux de priorit&eacute;. Le niveau de priorit&eacute; attribu&eacute; &agrave; un paquet
d&eacute;termine son importance relative au sein de la classe AF. Par ce biais, il est possible de
b&eacute;n&eacute;ficier du service dit Olympique, &agrave; savoir bronze, argent et or. Le DE PHB est le mod&egrave;le
traditionnel de service optimis&eacute; tel que normalis&eacute; par la RFC 1812.
Normes prises en charge et &eacute;bauches de normes
Les &eacute;bauches de normes Internet et les RFC suivants traitent des normes sur lesquelles
s’appuie cette mise en œuvre des mod&egrave;les QoS.
RFC 2474
D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS)
dans les en–t&ecirc;tes IP versions 4 et 6
RFC 2475
Architecture des services diff&eacute;renci&eacute;s
RFC 1633
Pr&eacute;sentation des services int&eacute;gr&eacute;s au sein de l’architecture
Internet
RFC 2205
Protocole de r&eacute;servation des ressources (RSVP)
RFC 2210
Utilisation du RSVP avec les services int&eacute;gr&eacute;s IETF
RFC 2211
Sp&eacute;cification du service d’&eacute;l&eacute;ments r&eacute;seau avec contr&ocirc;le
de charge
RFC 2212
Sp&eacute;cification de la qualit&eacute; de service garantie
RFC 2215
Param&egrave;tres de d&eacute;finition g&eacute;n&eacute;raux des &eacute;l&eacute;ments r&eacute;seau
des services int&eacute;gr&eacute;s
draft–ietf–diffserv–framewor
k–01.txt, octobre 1998
Cadre des services diff&eacute;renci&eacute;s
draft–ietf–diffserv–rsvp–01.t
xt, novembre 1998
Cadre d’utilisation du RSVP avec des r&eacute;seaux DIFF–serv
draft–ietf–diffserv–phb–ef–0
1.txt
Groupe PHB d’acheminement exp&eacute;ditif
draft–ietf–diffserv–af–04.txt
Groupe PHB d’acheminement assur&eacute;
draft–rajan–policy–qossche
ma–00.txt, octobre 1998
Sch&eacute;ma des services diff&eacute;renci&eacute;s et int&eacute;gr&eacute;s au sein des
r&eacute;seaux
draft–ietf–rap–framework–0
1.txt, novembre 1998
Cadre pour contr&ocirc;le d’admission [25] bas&eacute; sur des r&egrave;gles
de politique
draft–ietf–rap–rsvp–ext–01.t
xt, novembre 1998
Extensions RSVP pour contr&ocirc;le de politique
Remarque :
4-262
QoS est une technologie Internet &eacute;mergente. Elle pr&eacute;sente de nombreux
avantages &agrave; tous les stades de son d&eacute;ploiement. Toutefois, les services
bout en bout ne peuvent &ecirc;tre offerts qu’avec une prise en charge totale de
la technologie QoS.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Installation de QoS
QoS est livr&eacute; avec bos.net.tcp.server. L’installation de ces fichiers est indispensable pour
utiliser QoS. Pour utiliser la biblioth&egrave;que RAPI partag&eacute;e, installez aussi bos.adt.include.
Configuration de QoS
Arr&ecirc;t et d&eacute;marrage du sous–syst&egrave;me QoS
QoS peut &ecirc;tre lanc&eacute; ou arr&ecirc;t&eacute; avec le raccourci SMIT (smit qos) ou les commandes
mkqos et rmqos.
Pour d&eacute;sactiver d&egrave;s &agrave; pr&eacute;sent le sous–syst&egrave;me QoS et lors du prochain red&eacute;marrage du
syst&egrave;me, proc&eacute;dez comme suit :
/usr/sbin/rmqos –B
Pour activer le sous–syst&egrave;me QoS pour la p&eacute;riode en cours seulement,
proc&eacute;dez comme suit :
/usr/sbin/mkqos –N
Reportez–vous &agrave; la description des commandes mkqos et rmqos pour le lancement et le
retrait des indicateurs de commande.
Les d&eacute;mons policyd et rsvpd sont configur&eacute;s par les fichiers de configuration
/etc/policyd.conf et /etc/rsvpd.conf. Ces fichiers doivent &ecirc;tre &eacute;dit&eacute;s afin de personnaliser
le sous–syst&egrave;me QoS en fonction de l’environnement local. QoS ne fonctionne pas
correctement avec les configurations type fournies.
Configuration de l’agent RSVP
L’agent RSVP est n&eacute;cessaire si l’h&ocirc;te doit prendre en charge le protocole du m&ecirc;me nom.
Utilisez le fichier de configuration /etc/rsvpd.conf pour configurer l’agent RSVP. La syntaxe
de ce fichier est pr&eacute;cis&eacute;e dans le fichier de configuration type install&eacute; dans /etc/rsvpd.conf.
Configuration type
interface 1.2.30.1
interface 1.20.2.3 disabled
interface 1.2.3.3 disabled
interface 1.2.3.4
{
trafficControl
}
rsvp 1.2.30.1
{
maxFlows 64
}
rsvp 1.2.3.4
{
maxFlows 100
}
L’exemple ci–dessus illustre une possibilit&eacute; de configuration RSVP au sein de laquelle l’h&ocirc;te
a 4 interfaces (virtuelles ou physiques) repr&eacute;sent&eacute;es par les 4 adresses IP :
1.2.3.1, 1.2.3.2, 1.2.3.3 et 1.2.3.4.
L’interface 1.2.3.1 a &eacute;t&eacute; activ&eacute;e pour le RSVP. Toutefois, la fonction de contr&ocirc;le du trafic
n’a pas &eacute;t&eacute; sp&eacute;cifi&eacute;e et les messages RESV RSVP entrants n’entra&icirc;nent pas la r&eacute;servation
des ressources au sein du sous–syst&egrave;me TCP. Cette interface peut prendre en charge un
maximum de 64 sessions RSVP simultan&eacute;es.
Les interfaces 1.2.3.2 et 1.2.3.3 ont &eacute;t&eacute; d&eacute;sactiv&eacute;es. L’agent RSVP ne peut pas utiliser
cette interface pour transmettre ni recevoir des messages RSVP.
Protocole TCP/IP
4-263
L’interface 1.2.3.4 a &eacute;t&eacute; activ&eacute;e pour le RSVP. En outre, elle peut proc&eacute;der &agrave; des
r&eacute;servations de ressources au sein du sous–syst&egrave;me TCP en r&eacute;ponse &agrave; un message RESV
RSVP. Cette interface peut prendre en charge jusqu’&agrave; 100 sessions RSVP.
Toutes les autres interfaces existantes sur l’h&ocirc;te mais non reprises de mani&egrave;re explicite
dans /etc/rsvpd.conf sont d&eacute;sactiv&eacute;es.
Configuration de l’agent de politique
L’agent de politique est un composant indispensable du sous–syst&egrave;me QoS. Utilisez le
fichier /etc/policyd.conf pour configurer l’agent de politique. La syntaxe de ce fichier est
pr&eacute;cis&eacute;e dans le fichier de configuration type install&eacute; dans /etc/policyd.conf.
Vous pouvez configurer l’agent de politique en &eacute;ditant /etc/policyd.conf. En outre, les
commandes suivantes sont fournies pour faciliter la configuration des politiques :
• qosadd
• qosmod
• qoslist
• qosremove
Configurations type
Dans l’exemple suivant, une cat&eacute;gorie de service de qualit&eacute; est cr&eacute;&eacute;e et utilis&eacute;e dans la
r&egrave;gle de politique tcptraffic. Cette cat&eacute;gorie de service a une vitesse de transmission
maximum de 110 000 Kbps, une profondeur de compartiment &agrave; jeton de 10 000 bits et une
valeur TOS IP sortante de 11100000 en syst&egrave;me binaire. La r&egrave;gle de politique tcptraffic offre
ce service de qualit&eacute; &agrave; l’ensemble du trafic pour lequel l’adresse IP source est fournie par
1.2.3.6, avec l’adresse de destination 1.2.3.3 et le port de destination compris entre 0
et 1024.
ServiceCategories premium
{
PolicyScope
DataTraffic
MaxRate
110000
MaxTokenBucket 10000
OutgoingTOS
11100000
}
ServicePolicyRules
tcptraffic
{
PolicyScope
DataTraffic
ProtocolNumber 6 # tcp
SourceAddressRange
1.2.3.6–1.2.3.6
DestinationAddressRange 1.2.3.3–1.2.3.3
DestinationPortRange
0–1024
ServiceReference
premium
}
4-264
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Les instructions suivantes d&eacute;finissent une cat&eacute;gorie de service par d&eacute;faut et l’utilisent pour
r&eacute;duire le trafic UDP entre les interfaces 1.2.3.1 &agrave; 1.2.3.4 et les adresses IP 1.2.3.6
&agrave; 1.2.3.10, port 8000.
ServiceCategories default
{
MaxRate
110000
MaxTokenBucket 10000
OutgoingTOS
00000000
}
ServicePolicyRules
udptraffic
{
ProtocolNumber 17 # udp
SourceAddressRange
1.2.30.1–1.2.30.4
DestinationAddressRange 1.20.60.10–1.2.3.3
DestinationPortRange
8000–8000
ServiceReference
default
}
La configuration type ci–apr&egrave;s peut &ecirc;tre utilis&eacute;e pour t&eacute;l&eacute;charger des r&egrave;gles &agrave; partir d’un
serveur LDAP &agrave; l’aide du nom de sous–arborescence sp&eacute;cifique,
ReadFromDirectory
{
LDAP_Server
1.2.3.27
Base
ou=NetworkPolicies,o=myhost.mydomain.com,c=fr
}
Protocole TCP/IP
4-265
Identification des probl&egrave;mes au niveau du QoS
La commande qosstat peut &ecirc;tre utilis&eacute;e pour afficher des informations d’&eacute;tat relatives aux
politiques actives install&eacute;es dans le sous–syst&egrave;me QoS. Ces informations peuvent vous &ecirc;tre
utiles afin de d&eacute;tecter la pr&eacute;sence d’un probl&egrave;me lors du d&eacute;bogage de la configuration QoS.
Utilisez qosstat pour produire le rapport suivant.
Action:
Token bucket rate (B/sec): 10240
Token bucket depth (B): 1024
Peak rate (B/sec): 10240
Min policied unit (B): 20
Max packet size (B): 1452
Type: IS–CL
Flags: 0x00001001 (POLICE,SHAPE)
Statistics:
Compliant packets: 1423 (440538 bytes)
Conditions:
Source address
192.168.127.39:8000
Dest address
192.168.256.29:35049
Protocol
tcp
(1 connection)
Action:
Token bucket rate (B/sec): 10240
Token bucket depth (B): 1024
Peak rate (B/sec): 10240
Outgoing TOS (compliant): 0xc0
Outgoing TOS (non–compliant): 0x00
Flags: 0x00001011 (POLICE,MARK)
Type: DS
Statistics:
Compliant packets: 335172 (20721355 bytes)
Non–compliant packets: 5629 (187719 bytes)
Conditions:
Source address
192.168.127.39:80
192.168.127.40:80
Dest address
*:*
*:*
Protocol
tcp (1 connection)
tcp (5 connections)
Sp&eacute;cification de politiques
Cette section d&eacute;crit les classes et attributs d’objets utilis&eacute;s par l’agent de politique pour
sp&eacute;cifier les politiques de qualit&eacute; du service (QoS) sur le trafic sortant. Elle d&eacute;finit les
classes et attributs d’objets puis donne des instructions relatives au marquage, &agrave; la gestion
du trafic et &agrave; la conception.
Les conventions suivantes sont utilis&eacute;es dans les explications ci–dessous :
p : Choisissez l’un des param&egrave;tres autoris&eacute;s
B : Valeur d’entier d’un octet (0 =&lt; B =&lt; 255)
b : Cha&icirc;ne de bit commen&ccedil;ant par le bit le plus &agrave; gauche
(101 &eacute;quivaut &agrave; 10100000 dans un champ d’octet)
i : Valeur d’entier
s : Une cha&icirc;ne de caract&egrave;res
a : Format d’adresse IP B.B.B.B
(R) : Param&egrave;tre requis
(O) : Param&egrave;tre facultatif
4-266
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
ReadFromDirectory
Cette instruction sp&eacute;cifie les param&egrave;tres permettant d’&eacute;tablir une session LDAP.
Elle est utilis&eacute;e dans le fichier /etc/policyd.conf pour &eacute;tablir la session LDAP.
ReadFromDirectory
{
LDAP_Server
a
# Adresse IP du serveur de r&eacute;pertoires
ex&eacute;cutant LDAP
LDAP_Port
i
# Num&eacute;ro du port &eacute;cout&eacute; par le serveur LDAP
Base
s
# Nom sp&eacute;cifique pour l’utilisation LDAP
LDAP_SelectedTag s # Balise correspondant &agrave; SelectorTag dans
les classes d’objets
}
o&ugrave;
LDAP_Server (R) : Adresse IP du serveur LDAP
LDAP_Port
(0) : Num&eacute;ro de port unique, le port
par d&eacute;faut est 389
Base
(R) : Exemple : o=ibm, c=fr o&ugrave; o est votre
organisation et c le pays
LDAP_SelectedTag (R) : Cha&icirc;ne unique correspondant &agrave;
l’attribut
SelectorTag dans la classe d’objets
ServiceCategories
Cette instruction sp&eacute;cifie le type de service qu’un flux de paquets IP (d’une connexion TCP
ou de donn&eacute;es UDP par exemple) doit recevoir de bout en bout lors de son passage sur le
r&eacute;seau. Les instructions ServiceCategories peuvent &ecirc;tre r&eacute;p&eacute;t&eacute;es, chacune ayant un
nom diff&eacute;rent pour qu’il soit possible d’y faire r&eacute;f&eacute;rence &agrave; un stade ult&eacute;rieur. Un objet
ServiceCategories exige une instruction ServicePolicyRules pour que la d&eacute;finition
de politique soit compl&egrave;te.
ServiceCategories
{
SelectorTag
s
MaxRate
i
s
MaxTokenBucket i
OutgoingTOS
b
FlowServiceType
p
# Balise requise pour la recherche LDAP
# Vitesse cible du trafic dans cette classe
de service
# La profondeur du compartiment
# Valeur TOS du trafic sortant pour cette
classe de service
# Type de trafic
}
o&ugrave;
s
(R)
SelectorTag (R)
: est le nom de cette cat&eacute;gorie de service
: Requis uniquement pour la recherche LDAP
dans les classes d’objets
MaxRate
(O)
: En Kbps (K bits par seconde), la valeur par
d&eacute;faut est 0
MaxTokenBucket(O)
: En Kb, la valeur par d&eacute;faut est d&eacute;finie par
le syst&egrave;me au maximum
OutgoingTOS (O)
: La valeur par d&eacute;faut est 0
FlowServiceType (O) : ControlledLoad | Guaranteed, la valeur
par d&eacute;faut est ControlledLoad
Protocole TCP/IP
4-267
ServicePolicyRules
Cette instruction sp&eacute;cifie les caract&eacute;ristiques des paquets IP pour la correspondance avec
une cat&eacute;gorie de service donn&eacute;e. En d’autres termes, elle d&eacute;finit un jeu de datagrammes IP
qui doivent recevoir un service. Les instructions ServicePolicyRules sont associ&eacute;es &agrave;
des instructions ServiceCategories via l’attribut ServiceReference. Si deux r&egrave;gles
font r&eacute;f&eacute;rence &agrave; la m&ecirc;me ServiceCategory, chacune d’entre elles est associ&eacute;e &agrave; une
instance unique de celle–ci.
ServicePolicyRules
{
SelectorTag
ProtocolNumber
s
s
i
# Balise requise pour la recherche LDAP
# Id du protocole de transport de la r&egrave;gle
de politique
SourceAddressRange
a1–a2
DestinationAddressRange a1–a2
SourcePortRange
i1–i2
DestinationPortRange
i1–i2
PolicyRulePriority i
# La valeur la plus &eacute;lev&eacute;e est
utilis&eacute;e en premier
ServiceReference
s # Nom de la cat&eacute;gorie de service de
cette r&egrave;gle de politique
}
o&ugrave;
s
(R) : est le nom de cette r&egrave;gle de politique
SelectorTag (R) : Requis uniquement pour la recherche LDAP dans
la classe d’objet
ProtocolNumber
(R) : La valeur par d&eacute;faut est 0
(aucune correspondance n’est trouv&eacute;e). Sp&eacute;cification explicite requise
SourceAddressRange (O): de a1 &agrave; a2 o&ugrave; a2 &gt;= a1, la valeur par
d&eacute;faut est 0, n’importe quelle adresse source
SourcePortRange
(O) : de i1 &agrave; i2 o&ugrave; i2 &gt;= i1, la valeur par
d&eacute;faut est 0, n’importe quel port source
DestinationAddressRange (O) : Voir SourceAddressRange
DestinationPortRange
(O) : Voir SourcePortRange
PolicyRulePriority
(O) : Sp&eacute;cification importante en pr&eacute;sence
de politiques superpos&eacute;es
ServiceReference
(R) : cat&eacute;gorie de service utilis&eacute;e
par cette r&egrave;gle
Instructions relatives aux environnements DiffServ
Les instructions ci–dessous se rapportent &agrave; la sp&eacute;cification de politiques pour le marquage,
la conception et/ou la gestion du trafic dans un environnement DiffServ.
1. Marquage uniquement
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : ControlledLoad
MaxRate
: Utilisez la valeur par d&eacute;faut 0
2. Conception uniquement
OutgoingTOS
: Utilisez la valeur par d&eacute;faut 0
FlowServiceType : Guaranteed
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
3. Marquage et gestion (Voir remarque)
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : ControlledLoad
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
4-268
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
4. Marquage et conception
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : Guaranteed
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
Remarque:
Le type de service des paquets ne correspondant pas au profil est d&eacute;fini sur
z&eacute;ro pour la gestion.
Fichier de configuration policyd exemple
L’exemple ci–dessous reprend un fichier de configuration /etc/policyd.conf complet.
Fichier de configuration policyd
#loglevel
511
# Verbose logging
#####################################################################
#
#
# Mark rsh traffic on TCP source ports 513 and 514.
ServiceCategories
tcp_513_514_svc
{
MaxRate
0
# Mark only
OutgoingTOS
00011100
# binary
FlowServiceType
ControlledLoad
}
ServicePolicyRules
tcp_513_514_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
513–514
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_513_514_svc
}
#
#####################################################################
#
#
# Shape connected UDP traffic on source port 9000.
ServiceCategories
udp_9000_svc
{
MaxRate
8192
# kilobits
MaxTokenBucket
64
# kilobits
FlowServiceType
Guaranteed
}
ServicePolicyRules
udp_9000_flt
{
ProtocolNumber
17 # UDP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
9000–9000
DestinationPortRange
0–0
# Any dst port
ServiceReference
udp_9000_svc
}
#
#####################################################################
#
#
# Mark and police finger traffic on TCP source port 79.
ServiceCategories
tcp_79_svc
Protocole TCP/IP
4-269
{
MaxRate
MaxTokenBucket
OutgoingTOS
FlowServiceType
8
# kilobits
32
# kilobits
00011100 # binary
ControlledLoad
}
ServicePolicyRules
tcp_79_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
79–79
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_79_svc
}
#
#####################################################################
#
#
# Mark and shape ftp–data traffic on TCP source port 20.
ServiceCategories
tcp_20_svc
{
MaxRate
81920
# kilobits
MaxTokenBucket
128
# kilobits
OutgoingTOS
00011101
# binary
FlowServiceType
Guaranteed
}
ServicePolicyRules
tcp_20_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
20–20
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_20_svc
}
#
#####################################################################
#
#
# LDAP server entry.
#ReadFromDirectory
#{
#
LDAP_Server
9.3.33.138 # IP address of LDAP server
#
Base
o=ibm,c=us # Base distinguished name
#
LDAP_SelectedTag
myhost
# Typically client hostname
#}
#
#####################################################################
#
Chargement de politiques dans le serveur de r&eacute;pertoires
SecureWay Directory
Si le d&eacute;mon de politique est utilis&eacute; avec le serveur de r&eacute;pertoires LDAP SecureWay
Directory, utilisez le sch&eacute;ma ci–dessous comme guide pour mettre &agrave; jour
/etc/ldapschema/V3.modifiedschema avant de d&eacute;marrer le serveur LDAP. Pour plus
d’informations, reportez–vous &agrave; Planification et configuration pour la r&eacute;solution de noms
LDAP (Sch&eacute;ma de r&eacute;pertoire SecureWay), page 4-92
4-270
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Sch&eacute;ma LDAP
objectClasses {
( ServiceCategories–OID NAME ’ServiceCategories’ SUP top MUST
( objectClass $ SelectorTag $ serviceName ) MAY
( description $ FlowServiceType $ MaxRate $ MaxTokenBucket $ OutgoingTos
) )
( ServicePolicyRules–OID NAME ’ServicePolicyRules’ SUP top MUST
( objectClass $ PolicyName $ SelectorTag ) MAY
( description $ DestinationAddressRange $ DestinationPortRange $
ProtocolNumber $ ServiceReference $ SourceAddressRange $ SourcePortRange
) )
}
attributeTypes {
( DestinationAddressRange–OID NAME ’DestinationAddressRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( DestinationPortRange–OID NAME ’DestinationPortRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( FlowServiceType–OID NAME ’FlowServiceType’
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( MaxRate–OID NAME ’MaxRate’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( MaxTokenBucket–OID NAME ’MaxTokenBucket’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( OutgoingTos–OID NAME ’OutgoingTos’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( PolicyName–OID NAME ’PolicyName’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( ProtocolNumber–OID NAME ’ProtocolNumber’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SelectorTag–OID NAME ’SelectorTag’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( ServiceReference–OID NAME ’ServiceReference’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SourceAddressRange–OID NAME ’SourceAddressRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SourcePortRange–OID NAME ’SourcePortRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
}
IBMattributeTypes {
( DestinationAddressRange–OID DBNAME ( ’DestinationAddressRange’
’DestinationAddressRange’ ) )
( DestinationPortRange–OID DBNAME ( ’DestinationPortRange’
’DestinationPortRange’ ) )
( FlowServiceType–OID DBNAME ( ’FlowServiceType’ ’FlowServiceType’ ) )
( MaxRate–OID DBNAME ( ’MaxRate’ ’MaxRate’ ) )
( MaxTokenBucket–OID DBNAME ( ’MaxTokenBucket’ ’MaxTokenBucket’ ) )
( OutgoingTos–OID DBNAME ( ’OutgoingTos’ ’OutgoingTos’ ) )
( PolicyName–OID DBNAME ( ’PolicyName’ ’PolicyName’ ) )
( ProtocolNumber–OID DBNAME ( ’ProtocolNumber’ ’ProtocolNumber’ ) )
( SelectorTag–OID DBNAME ( ’SelectorTag’ ’SelectorTag’ ) )
( ServiceReference–OID DBNAME ( ’ServiceReference’ ’ServiceReference’ ) )
( SourceAddressRange–OID DBNAME ( ’SourceAddressRange’
’SourceAddressRange’ ) )
( SourcePortRange–OID DBNAME ( ’SourcePortRange’ ’SourcePortRange’ ) )
}
ldapSyntaxes {
}
matchingRules {
}
Protocole TCP/IP
4-271
Configuration du syst&egrave;me
Politiques superpos&eacute;es
Les politiques qui se superposent sont install&eacute;es dans QoS Manager dans un ordre non
d&eacute;terminant. En pr&eacute;sence de politiques superpos&eacute;es, l’attribut PolicyRulePriority de
l’instruction ServicePolicyRules doit &ecirc;tre sp&eacute;cifi&eacute; pour d&eacute;terminer l’ordre d’application
des politiques. Cet attribut prend un entier comme param&egrave;tre. En pr&eacute;sence de politiques
superpos&eacute;es, la r&egrave;gle dont la valeur d’entier est la plus &eacute;lev&eacute;e est mise en application.
Utilisation de sockets UDP
Seules les sockets UDP connect&eacute;es sont prises en charge pour QoS.
Conflits de politiques avec des r&eacute;servations RSVP
Les agents de politiques et les agents RSVP sont ind&eacute;pendants. Il convient donc de prendre
garde de ne pas sp&eacute;cifier une politique en conflit avec une r&eacute;servation RSVP existante ou
couverte par celle–ci. En pr&eacute;sence de conflits, le syst&egrave;me accepte la premi&egrave;re politique ou
r&eacute;servation et enregistre une violation pour les autres.
Sp&eacute;cification de la profondeur du compartiment &agrave; jeton
Pour un fonctionnement correct, l’attribut MaxTokenBucket doit &ecirc;tre d&eacute;fini au moins sur le
MTU maximum de toutes les interfaces configur&eacute;es dans le syst&egrave;me.
Modification de politiques
Les modifications de politiques sont g&eacute;r&eacute;es par l’agent de politique via la suppression
automatique des politiques existantes et l’installation de nouvelles politiques. Elles peuvent
entra&icirc;ner une courte p&eacute;riode durant laquelle le trafic correspondant re&ccedil;oit le service par
d&eacute;faut (en g&eacute;n&eacute;ral l’effort maximal).
Conformit&eacute; aux normes
Cette version est compatible avec les normes IETF actuelles pour les services diff&eacute;renci&eacute;s
(DiffServ) et les services int&eacute;gr&eacute;s (IntServ) sur Internet.
Mod&egrave;le IntServ
Les normes RFC suivantes d&eacute;crivent les divers composants du mod&egrave;le IntServ :
• Utilisation du RSVP avec les services int&eacute;gr&eacute;s IETF (RFC 2210)
• Sp&eacute;cification du service d’&eacute;l&eacute;ments r&eacute;seau avec contr&ocirc;le de charge (RFC 2211)
• Sp&eacute;cification de la qualit&eacute; de service garantie (RFC 2212)
Mod&egrave;le DiffServ
Les normes RFC suivantes d&eacute;crivent les divers composants du mod&egrave;le DiffServ :
• D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS) dans les en–t&ecirc;tes IP versions 4
et 6 (RFC 2474)
• Architecture des services diff&eacute;renci&eacute;s (RFC 2475)
La norme RFC suivante expose l’utilisation actuelle de l’octet TOS IP :
• Type de service dans la suite Internet Protocol (RFC 1349)
Les normes RFC suivantes exposent les pratiques futures relatives &agrave; l’utilisation de l’octet
TOS IP :
• D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS) dans les en–t&ecirc;tes IP versions 4
et 6 (RFC 2474)
• Groupe PHB d’acheminement assur&eacute; (RFC 2597)
• Groupe PHB d’acheminement exp&eacute;ditif (RFC 2598)
4-272
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Prise en charge de IPv6
QoS for AIX 5.2 prend en charge uniquement IPv4. IPv6 n’est pas pris en charge.
Contr&ocirc;le du d&eacute;mon de politique
Le d&eacute;mon de politique peut &ecirc;tre contr&ocirc;l&eacute; &agrave; l’aide de SRC (contr&ocirc;leur des ressources
syst&egrave;me). Par exemple, la commande :
startsrc –s policyd –a ”–i 60”
lance l’agent de politique avec un intervalle d’actualisation de 60 secondes.
La commande
stopsrc –s policyd
arr&ecirc;te le d&eacute;mon de politique.
Remarque :
L’arr&ecirc;t du d&eacute;mon de politique be supprime pas les politiques install&eacute;es dans
le noyau. Lorsque vous red&eacute;marrez le d&eacute;mon de politique, les anciennes
politiques (d&eacute;j&agrave; install&eacute;es dans le noyau) sont supprim&eacute;es et les politiques
d&eacute;finies dans le fichier /etc/policyd.conf sont r&eacute;install&eacute;es.
R&eacute;f&eacute;rence QoS
Pour des mises &agrave; jour importantes de cette documentation, consultez le fichier README
dans /usr/samples/tcpip/qos.
Commandes
• qosadd
• qoslist
• qosmod
• qosremove
• qosstat
• mkqos
• rmqos
M&eacute;thodes
• cfgqos
• ucfgqos
Protocole TCP/IP
4-273
Identification des incidents TCP/IP
Cette section traite du diagnostic des incidents courants en environnement TCP/IP
(Transmission Control Protocol/Internet Protocol).
La commande netstat est tr&egrave;s utile pour localiser un incident. Une fois la zone en cause
isol&eacute;e, vous disposez d’outils plus pr&eacute;cis : commandes netstat –i et netstat –v pour
d&eacute;terminer la pr&eacute;sence d’un probl&egrave;me au niveau d’une interface mat&eacute;rielle, puis
programmes de diagnostic pour mieux cerner les causes de l’incident. Ou bien, si la
commande netstat -s a d&eacute;tect&eacute; des erreurs de protocole, vous pouvez utiliser la
commande trpt ou iptrace.
Cette section traite des points suivants :
• Incidents de communication, page 4-274
• Incidents de r&eacute;solution de noms, page 4-274
• Incidents de routage, page 4-276
• Incidents relatifs &agrave; la prise en charge SRC, page 4-277
• Incidents li&eacute;s &agrave; telnet ou rlogin, page 4-278
• Incidents de configuration, page 4-280
• Incidents courants sur les interfaces de r&eacute;seau, page 4-280
• Incidents de livraison de paquets, page 4-284
• Incidents au niveau du protocole DHCP, page 4-284
Incidents de communication
Si vous ne parvenez pas &agrave; communiquer avec un h&ocirc;te de votre r&eacute;seau :
• Essayez de contacter l’h&ocirc;te &agrave; l’aide de la commande ping. Lancez la commande ping
sur l’h&ocirc;te local pour v&eacute;rifier que l’interface locale reli&eacute;e au r&eacute;seau est op&eacute;rationnelle et
active.
• Tentez de r&eacute;soudre le nom de l’h&ocirc;te avec la commande host. Si vous n’y parvenez pas,
vous avez un probl&egrave;me de r&eacute;solution de noms. Pour plus d’informations, reportez–vous
&agrave; Incidents de r&eacute;solution de noms, page 4-274.
Si le nom est r&eacute;solu et que l’h&ocirc;te &agrave; contacter se trouve sur un autre r&eacute;seau, il s’agit
peut–&ecirc;tre de difficult&eacute;s de routage. Pour plus d’informations, reportez–vous &agrave; Incidents de
routage, page 4-276.
• Sur un r&eacute;seau en anneau &agrave; jeton, v&eacute;rifiez si l’h&ocirc;te cible r&eacute;side sur un autre anneau. Dans
l’affirmative, il est probable que le champ allcast soit mal renseign&eacute;. Pour acc&eacute;der au
menu des interfaces de r&eacute;seau, vous pouvez utiliser wsm, Web-based System Manager
ou le raccourci SMIT smit chinet. Sp&eacute;cifiez ensuite no dans le champ Confine
Broadcast to Local Ring to, de la bo&icirc;te de dialogue pour la d&eacute;finition de l’anneau &agrave; jeton.
• Si un grand nombre de paquets ARP transitent sur le r&eacute;seau, v&eacute;rifiez que votre masque
du sous–r&eacute;seau est correctement d&eacute;fini. Faute de quoi, vous vous trouvez en pr&eacute;sence
d’un conflit de diffusion pouvant affecter les performances de votre syst&egrave;me.
Incidents de r&eacute;solution de noms
Les routines de r&eacute;solution ex&eacute;cut&eacute;es sur des h&ocirc;tes TCP/IP tentent de r&eacute;soudre les noms en
faisant appel aux sources suivantes et dans l’ordre suivant :
1. au serveur de noms DOMAIN (named),
2. NIS (Network Information Services),
3. au fichier /etc/hosts local.
4-274
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Une fois que NIS + est install&eacute;, les pr&eacute;f&eacute;rences de recherche sont d&eacute;finies dans le fichier
irs.conf. Pour plus d’informations, reportez–vous au AIX 5L Version 5.3 Network
Information Services(NIS and NIS+) Guide.
H&ocirc;te client
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te avec le fichier /etc/hosts (r&eacute;seau plat),
v&eacute;rifiez que ce fichier contient le nom d’h&ocirc;te et l’adresse IP correcte.
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te avec un serveur de noms :
1. V&eacute;rifiez que le fichier resolv.conf contient le nom du domaine et l’adresse Internet
d’un serveur de noms.
2. V&eacute;rifiez que le serveur de noms local est op&eacute;rationnel en &eacute;mettant la commande ping
avec l’adresse IP du serveur (relev&eacute;e dans le fichier resolv.conf local).
3. Si le serveur de noms est op&eacute;rationnel, v&eacute;rifiez que le d&eacute;mon named sur votre serveur
de noms local est actif en &eacute;mettant la commande lssrc –s named sur le serveur de
noms.
4. Si vous ex&eacute;cutez syslogd, recherchez les &eacute;ventuels messages d’erreur journalis&eacute;s.
(la sortie des messages est d&eacute;finie dans le fichier /etc/syslog.conf).
Si ces op&eacute;rations ne permettent pas d’identifier l’incident, examinez l’h&ocirc;te serveur de noms.
H&ocirc;te serveur de noms
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te :
1. V&eacute;rifiez que le d&eacute;mon named est actif :
lssrc –s named
2. V&eacute;rifiez que l’adresse de l’h&ocirc;te cible existe dans la base de donn&eacute;es du serveur de
noms et qu’elle est correcte. Envoyez un signal SIGINT au d&eacute;mon named pour placer
un clich&eacute; de la base de donn&eacute;es et de la m&eacute;moire cache dans le fichier
/var/tmp/named_dump.db. V&eacute;rifiez que l’adresse que vous tentez de r&eacute;soudre s’y
trouve et est correcte.
Ajoutez ou corrigez les informations de r&eacute;solution nom-adresse dans le fichier de
donn&eacute;es h&ocirc;te named du serveur de noms ma&icirc;tre du domaine. Puis, ex&eacute;cutez la
commande SRC ci-dessous pour relire les fichiers de donn&eacute;es :
refresh –s named
3. V&eacute;rifiez que les demandes de r&eacute;solution de noms ont &eacute;t&eacute; trait&eacute;es. Pour ce faire, lancez
le d&eacute;mon named &agrave; partir de la ligne de commande et sp&eacute;cifiez le niveau de mise au
point (de 1 &agrave; 9) sachant que plus le niveau est &eacute;lev&eacute;, plus le m&eacute;canisme de mise au
point consigne d’informations.
startsrc –s named –a ”–d DebugLevel”
4. Recherchez d’&eacute;ventuelles erreurs de configuration dans les fichiers de donn&eacute;es named.
Pour en savoir plus, reportez–vous &agrave; Serveur de noms – G&eacute;n&eacute;ralit&eacute;s, on page 4-76.
Vous pouvez aussi consulter “DOMAIN Data File Format,”, “DOMAIN Reverse Data File
Format,” “DOMAIN Cache File Format,” et “DOMAIN Local Data File Format” dans le
manuel AIX 5L Version 5.3 Files Reference.
Remarque :
le plus souvent, les erreurs proviennent d’une mauvaise utilisation du
point (.) et de l’arrobas (@) dans les fichiers de donn&eacute;es DOMAIN.
Si des utilisateurs externes ne peuvent acc&eacute;der &agrave; vos domaines :
• V&eacute;rifiez que tous vos serveurs de noms non ma&icirc;tres (esclave, cache) sont d&eacute;finis avec
les m&ecirc;mes d&eacute;lais TTL dans les fichiers de donn&eacute;es DOMAIN.
Protocole TCP/IP
4-275
Si vos serveurs sont continuellement sollicit&eacute;s par des routines de r&eacute;solution externes :
• Assurez–vous que vos serveurs diffusent des fichiers de donn&eacute;es DOMAIN avec des
d&eacute;lais TTL suffisants. Si la valeur TTL est nulle ou n&eacute;gligeable, le d&eacute;lai accord&eacute; aux
donn&eacute;es transf&eacute;r&eacute;es s’&eacute;coule tr&egrave;s rapidement. Pour y rem&eacute;dier, pr&eacute;voyez au moins une
semaine comme valeur minimum dans vos enregistrements SOA.
Incidents de routage
Si vous ne parvenez pas &agrave; acc&eacute;der &agrave; un h&ocirc;te de destination, contr&ocirc;lez les points suivants :
• Si vous recevez le message Network Unreachable, v&eacute;rifiez la route vers l’h&ocirc;te
passerelle. Lancez la commande netstat -r pour afficher la liste des tables de routage
noyau.
• Si vous recevez le message No route to host (h&ocirc;te sans route), v&eacute;rifiez que
l’interface de r&eacute;seau local est op&eacute;rationnelle en lan&ccedil;ant la commande ifconfig
nom_interface. Le r&eacute;sultat doit indiquer ”up”. Lancez la commande ping pour tenter
d’atteindre un autre h&ocirc;te du r&eacute;seau.
• Si vous recevez le message Connection timed out :
– V&eacute;rifiez que la passerelle locale est op&eacute;rationnelle &agrave; l’aide de la commande ping
assortie du nom ou de l’adresse Internet de la passerelle.
– V&eacute;rifiez qu’une route vers l’h&ocirc;te passerelle a &eacute;t&eacute; correctement d&eacute;finie. Lancez la
commande netstat -r pour afficher la liste des tables de routage noyau.
– V&eacute;rifiez que l’h&ocirc;te qui vous int&eacute;resse dispose d’une entr&eacute;e de table de routage
renvoyant &agrave; votre machine.
• Si vous utilisez le routage statique, assurez–vous qu’une route vers l’h&ocirc;te cible et l’h&ocirc;te
passerelle a &eacute;t&eacute; d&eacute;finie. Lancez la commande netstat -r pour afficher la liste des tables
de routage noyau.
Remarque :
L’h&ocirc;te qui vous int&eacute;resse doit disposer d’une entr&eacute;e de table de routage
renvoyant &agrave; votre machine.
• En routage dynamique, v&eacute;rifiez, &agrave; l’aide de la commande netstat –r, que la passerelle
est r&eacute;pertori&eacute;e dans les tables de routage noyau et qu’elle est correcte.
• Si l’h&ocirc;te passerelle utilise le protocole RIP avec le d&eacute;mon routed, v&eacute;rifiez qu’une route
statique d’acc&egrave;s &agrave; l’h&ocirc;te cible est d&eacute;finie dans le fichier /etc/gateways.
Remarque :
Cette op&eacute;ration n’est requise que si le d&eacute;mon de routage ne parvient pas &agrave;
identifier la route vers l’h&ocirc;te distant en interrogeant les autres passerelles.
• Si l’h&ocirc;te passerelle utilise RIP avec le d&eacute;mon gated, v&eacute;rifiez qu’une route statique
d’acc&egrave;s &agrave; l’h&ocirc;te cible est d&eacute;finie dans le fichier gated.conf.
• En routage dynamique avec le d&eacute;mon routed :
– Si routed ne parvient pas &agrave; identifier la route par le biais de demandes (par exemple,
si l’h&ocirc;te cible n’ex&eacute;cute pas le protocole RIP), v&eacute;rifiez qu’une route d’acc&egrave;s &agrave; l’h&ocirc;te
cible est d&eacute;finie dans le fichier /etc/gateways.
– V&eacute;rifiez que les passerelles charg&eacute;es d’exp&eacute;dier les paquets &agrave; l’h&ocirc;te sont
op&eacute;rationnelles et ex&eacute;cutent RIP. Sinon, vous devez d&eacute;finir une route statique.
– Ex&eacute;cutez le d&eacute;mon routed avec l’option de mise au point pour journaliser les
anomalies (r&eacute;ception de paquets erron&eacute;s par exemple). Appelez le d&eacute;mon &agrave; partir de
la ligne de commande, comme suit :
startsrc –s routed –a ”–d”
– Ex&eacute;cutez le d&eacute;mon routed avec l’indicateur –t pour envoyer tous les paquets entrants
et sortants vers la sortie standard. Ex&eacute;cut&eacute; dans ce mode, routed reste sous le
contr&ocirc;le du terminal qui l’a lanc&eacute;. Et il peut &ecirc;tre arr&ecirc;t&eacute; depuis ce terminal.
4-276
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• En routage dynamique avec le d&eacute;mon gated :
– V&eacute;rifiez que le fichier /etc/gated.conf est correctement configur&eacute; et que vous
ex&eacute;cutez les protocoles ad&eacute;quats.
– V&eacute;rifiez que les passerelles sur les r&eacute;seaux source et cible utilisent le m&ecirc;me
protocole.
– V&eacute;rifiez que la machine que vous tentez de contacter dispose d’une route retour vers
votre machine h&ocirc;te.
– V&eacute;rifiez que les noms de passerelle des fichiers gated.conf et /etc/networks
correspondent.
• Si vous utilisez le protocole RIP ou HELLO et que les routes d’acc&egrave;s ne peuvent pas &ecirc;tre
identifi&eacute;es par des demandes de routage, v&eacute;rifiez qu’une route d’acc&egrave;s &agrave; l’h&ocirc;te cible est
d&eacute;finie dans le fichier gated.conf. Il est conseill&eacute; de d&eacute;finir des routes statiques si :
– L’h&ocirc;te de destination n’ex&eacute;cute pas le m&ecirc;me protocole que l’h&ocirc;te source et ne peut
donc pas &eacute;changer d’informations de routage.
– L’acc&egrave;s &agrave; l’h&ocirc;te doit se faire par une passerelle distante (c’est-&agrave;-dire sur un autre
syst&egrave;me autonome que l’h&ocirc;te source). Le protocole RIP peut &ecirc;tre utilis&eacute; uniquement
entre des h&ocirc;tes d’un m&ecirc;me syst&egrave;me autonome.
Autres possibilit&eacute;s
Si aucune des solutions propos&eacute;es n’aboutit, vous pouvez activer le suivi du d&eacute;mon de
routage (routed ou gated). Ex&eacute;cutez la commande SRC traceson &agrave; partir de la ligne de
commande ou envoyez un signal au d&eacute;mon pour sp&eacute;cifier diff&eacute;rents niveaux de suivi. Pour
en savoir plus, reportez-vous au d&eacute;mon gated ou routed.
Incidents SRC
• Si les modifications apport&eacute;es au fichier /etc/inetd.conf ne sont pas prises en compte :
Mettez &agrave; jour le d&eacute;mon inetd via la commande refresh –s inetd ou kill –1 InetdPID.
• Si startsrc –s [sous_syst&egrave;me] renvoie le message :
0513–00 The System Resource Controller is not active.
Le sous-syst&egrave;me SRC (System Resource Controller) n’a pas &eacute;t&eacute; activ&eacute;. Lancez la
commande srcmstr &amp; pour lancer SRC, puis &agrave; nouveau la commande startsrc.
Vous pouvez tenter de lancer le d&eacute;mon &agrave; partir de la ligne de commande sans SCR.
• Si refresh –s [sous_syst&egrave;me] ou lssrc –ls [sous_syst&egrave;me] renvoie le message :
[nom sous syst&egrave;me] does not support this option.
Le sous-syst&egrave;me ne prend pas en charge l’option SRC &eacute;mise. Consultez la
documentation relative au sous-syst&egrave;me.
• Si le message ci-dessous s’affiche :
SRC was not found, continuing without SRC support.
Un d&eacute;mon a &eacute;t&eacute; appel&eacute; directement &agrave; partir de la ligne de commande et non via la
commande startsrc. Ceci ne constitue pas un incident. Toutefois les commandes SRC
(telles que stopsrc et refresh) ne peuvent pas &ecirc;tre utilis&eacute;es pour manipuler un
sous-syst&egrave;me appel&eacute; directement.
Le d&eacute;mon inetd est install&eacute;, s’ex&eacute;cute correctement et le service appropri&eacute; ne pr&eacute;sente pas
de probl&egrave;me, mais la connexion est impossible ; analysez le d&eacute;mon inetd &agrave; l’aide d’un
programme de mise au point.
1. Arr&ecirc;tez temporairement le d&eacute;mon inetd en tapant :
stopsrc –s inetd
La commande stopsrc arr&ecirc;te les sous–syst&egrave;mes tel que le d&eacute;mon inetd.
Protocole TCP/IP
4-277
2. Modifiez le fichier syslog.conf pour ajouter une ligne relative &agrave; la mise au point &agrave; la fin.
Par exemple :
vi /etc/syslog.conf
a. Ajoutez la ligne ”*.debug /tmp/monfichier” &agrave; la fin du fichier, puis quittez.
b. Le fichier sp&eacute;cifi&eacute; doit &ecirc;tre un fichier existant (/tmp/monfichier dans cet
exemple). Pour valider l’existence du fichier, vous pouvez utiliser la commande
touch.
3. Rafra&icirc;chissez le fichier :
– Si vous utilisez SRC, entrez :
refresh –s syslogd
– Si vous n’utilisez pas SRC, arr&ecirc;tez le d&eacute;mon syslogd :
kill –1 ‘ps –e | grep /etc/syslogd | cut –c1–7‘
4. Lancez la sauvegarde du d&eacute;mon inetd en y associant l’activation de la mise au point :
startsrc –s inetd –a ”–d”
L’indicateur –d active la mise au point.
5. Ex&eacute;cutez une connexion pour d&eacute;tecter les erreurs dans le fichier de mise au point
/tmp/monfichier. Par exemple :
tn bastet
Trying...
connected to bastet
login:&gt;
Connection closed
6. Examinez le fichier de mise au point &agrave; la recherche d’&eacute;ventuels probl&egrave;mes.
Par exemple :
tail –f /tmp/monfichier
Incidents li&eacute;s &agrave; telnet ou rlogin
Voici quelques indications sur les incidents li&eacute;s aux commandes telnet et rlogin.
Distorsion de l’&eacute;cran
Si vous rencontrez des probl&egrave;mes de distorsion d’&eacute;cran dans des applications plein &eacute;cran :
1. V&eacute;rifiez la variable d’environnement TERM, via la commande :
env
OU
echo $TERM
2. V&eacute;rifiez que la valeur de TERM concorde avec le type d’&eacute;cran de terminal utilis&eacute;.
Mise au point par telnet
Les sous-commandes telnet qui peuvent vous aider &agrave; r&eacute;soudre des incidents sont :
display
Affiche les valeurs d&eacute;finies et les valeurs de commutation.
toggle
Affiche toutes les donn&eacute;es r&eacute;seau en hexad&eacute;cimal.
toggle options Change l’affichage des options internes du process telnet.
4-278
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Mise au point du d&eacute;mon telnetd
Si le d&eacute;mon inetd ex&eacute;cute le service telnet, alors que vous n’&ecirc;tes toujours pas en mesure
de vous connecter &agrave; l’aide de la commande telnet, cela signifie qu’il y a un probl&egrave;me au
niveau de l’interface telnet.
1. V&eacute;rifiez que telnet utilise le type de terminal correct.
a. V&eacute;rifiez la variable $TERM sur votre machine :
echo $TERM
b. Connectez–vous &agrave; la machine que vous souhaitez relier et v&eacute;rifiez la variable
$TERM :
echo $TERM
2. Utilisez les fonctions de mise au point de l’interface telnet en utilisant la commande
telnet sans indicateur.
telnet
tn&gt;
a. Entrez open h&ocirc;te (h&ocirc;te est le nom de la machine).
b. Appuyez sur Ctrl–T pour rappeler l’invite tn%gt;.
c. A l’invite tn&gt;, entrez debug pour acc&eacute;der au mode mise au point.
3. Essayez de vous connecter &agrave; une autre machine en utilisant l’interface telnet :
telnet bastet
Trying...
Connected to bastet
Escape character is ’^T’.
Observez le d&eacute;filement des diff&eacute;rentes commandes &agrave; l’&eacute;cran. Par exemple :
SENT do ECHO
SENT do SUPPRESS GO AHEAD
SENT will TERMINAL TYPE (reply)
SENT do SUPPORT SAK
SENT will SUPPORT SAK (reply)
RCVD do TERMINAL TYPE (don’t reply)
RCVD will ECHO (don’t reply)
RCVD will SUPPRESS GO AHEAD (don’t reply)
RCVD wont SUPPORT SAK (reply)
SENT dont SUPPORT SAK (reply)
RCVD do SUPPORT SAK (don’t reply)
SENT suboption TELOPT_NAWS Width 80, Height 25
RCVD suboption TELOPT_TTYPE SEND
RCVD suboption TELOPT_TTYPE aixterm
...
4. V&eacute;rifiez la d&eacute;finition de aixterm dans les r&eacute;pertoires /etc/termcap ou /usr/lib/terminfo.
Par exemple :
ls –a /usr/lib/terminfo
5. Si la d&eacute;finition de aixterm est manquante, ajoutez–la en cr&eacute;ant le fichier ibm.ti.
Par exemple :
tic ibm.ti
La commande tic est un compilateur d’informations de terminal.
Protocole TCP/IP
4-279
Programmes utilisant la biblioth&egrave;que curses &eacute;tendue
Certains probl&egrave;mes peuvent appara&icirc;tre au niveau des touches de fonction et des touches
fl&eacute;ch&eacute;es si vous utilisez les commandes rlogin et telnet avec des programmes faisant
appel &agrave; la biblioth&egrave;que curses &eacute;tendue. En effet, ces touches g&eacute;n&egrave;rent des s&eacute;quences
d’&eacute;chappement, qui peuvent &ecirc;tre dissoci&eacute;es si le temps imparti ne suffit pas &agrave; la s&eacute;quence
compl&egrave;te. Apr&egrave;s un certain d&eacute;lai, la biblioth&egrave;que curses d&eacute;cide si Echap doit &ecirc;tre interpr&eacute;t&eacute;
seul ou comme le d&eacute;but d’une s&eacute;quence d’&eacute;chappement multi-octets g&eacute;n&eacute;r&eacute;e par d’autres
touches (touches fl&eacute;ch&eacute;es, touches de fonction ou touche Action).
Si, dans le temps imparti, la touche Echap n’est suivie d’aucune donn&eacute;e valide, curses
l’interpr&egrave;te comme la touche Echap seule et fractionne la s&eacute;quence de touches. Le d&eacute;lai
associ&eacute; aux commandes rlogin ou telnet d&eacute;pend du r&eacute;seau. C’est en fonction de sa
vitesse que les touches de fonction et les touches fl&eacute;ch&eacute;es fonctionnent normalement ou
non. Pour r&eacute;soudre efficacement le probl&egrave;me, attribuez une valeur &eacute;lev&eacute;e (entre 1000 et
1500) &agrave; la variable d’environnement ESCDELAY.
Incidents de configuration
Une fois la carte install&eacute;e, les interfaces de r&eacute;seau sont automatiquement configur&eacute;es au
premier lancement du syst&egrave;me. Il reste toutefois certaines valeurs initiales &agrave; d&eacute;finir pour
TCP/IP, telles que le nom de l’h&ocirc;te, l’adresse Internet et le masque de sous–r&eacute;seau. Pour
cela, vous pouvez utiliser wsm, Web-based System Manager ou l’interface SMIT comme
suit :
• Servez-vous du raccourci smit mktcpip pour d&eacute;finir les valeurs initiales pour le nom
d’h&ocirc;te, l’adresse Internet et le masque de sous–r&eacute;seau.
• Cette commande smit mktcpip permet &eacute;galement de sp&eacute;cifier un serveur pour la
r&eacute;solution de noms. Cependant, smit mktcpip ne configure qu’une seule interface de
r&eacute;seau.
• Pour d&eacute;finir d’autres attributs de r&eacute;seau, utilisez le raccourci smit chinet.
Si vous souhaitez mettre en place des routes statiques pour que l’h&ocirc;te puisse acheminer
des informations de transmission, par exemple une route d’acc&egrave;s &agrave; la passerelle locale,
d&eacute;finissez–les de fa&ccedil;on permanente dans la base de configuration, avec Web-based
System Manager, wsm, ou le raccourci SMIT smit mkroute.
Si vous rencontrez d’autres probl&egrave;mes de configuration, reportez–vous &agrave; Configuration
d’une liste de contr&ocirc;le du r&eacute;seau TCP/IP, page 4-4.
Incidents courants sur les interfaces de r&eacute;seau
Une fois la carte install&eacute;e, les interfaces de r&eacute;seau sont automatiquement configur&eacute;es au
premier lancement du syst&egrave;me. Il reste toutefois certaines valeurs initiales &agrave; d&eacute;finir pour
TCP/IP. Par exemple, il est possible de d&eacute;finir le nom d’h&ocirc;te et l’adresse Internet &agrave; l’aide de
wsm de Web-based System Manager ou du raccourci smit mktcpip de SMIT.
Si vous passez par SMIT, ayez recours au raccourci smit mktcpip pour d&eacute;finir ces valeurs
de fa&ccedil;on permanente dans la base de configuration. Pour les modifier dans le syst&egrave;me actif,
utilisez les raccourcis smit chinet et smit hostname. Le raccourci smit mktcpip permet
une configuration minimale de TCP/IP. Pour ajouter des cartes, passez par le menu Further
Configuration, accessible via le raccourci smit tcpip.
Si, malgr&eacute; la validit&eacute; des valeurs d&eacute;finies, vous avez toujours des difficult&eacute;s &agrave; recevoir et
envoyer des donn&eacute;es :
• V&eacute;rifiez que votre carte r&eacute;seau dispose d’une interface de r&eacute;seau en ex&eacute;cutant la
commande netstat –i. La sortie doit mentionner une interface, par exemple tr0, dans la
colonne Name. Dans le cas contraire, cr&eacute;ez une interface de r&eacute;seau via Web-based
System Manager ou via le raccourci smit mkinet de SMIT.
• V&eacute;rifiez que l’adresse IP de l’interface est correcte, en ex&eacute;cutant netstat –i. La sortie doit
afficher l’adresse IP dans la colonne Network. Si l’adresse est incorrecte, modifiez-la via
Web-based System Manager ou via le raccourci SMIT smit chinet.
4-280
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• Utilisez la commande arp pour v&eacute;rifier que l’adresse IP de la machine cible est compl&egrave;te.
Par exemple :
arp –a
La commande arp recherche l’adresse physique de la carte. Cette commande risque de
renvoyer une adresse incompl&egrave;te. Par exemple :
? (192.100.61.210) &agrave; (incompl&egrave;te)
Les raisons peuvent &ecirc;tre les suivantes : une machine d&eacute;branch&eacute;e, une adresse isol&eacute;e
sans machine &agrave; l’adresse sp&eacute;cifique ou un probl&egrave;me mat&eacute;riel (par ex. une machine en
mesure de se connecter et de recevoir des paquets mais qui ne peut pas les renvoyer).
• Recherchez les erreurs au niveau de la carte. Par exemple :
netstat –v
La commande netstat –v affiche les donn&eacute;es statistiques au niveau des pilotes des
p&eacute;riph&eacute;riques Ethernet, Token Ring, X.25 et 802.3. Elle r&eacute;v&egrave;le &eacute;galement les donn&eacute;es
relatives aux connexions au r&eacute;seau et aux erreurs de connexion pour tous les pilotes de
p&eacute;riph&eacute;riques actifs sur une interface, y compris :
No Mbufs Errors,No Mbuf Extension Errors,
Packets Transmitted et Adapter
Errors Detected.
• Consultez le journal des erreurs, en lan&ccedil;ant la commande errpt, pour v&eacute;rifier qu’aucun
incident de carte n’a &eacute;t&eacute; d&eacute;tect&eacute;.
• V&eacute;rifiez que la carte est fiable en ex&eacute;cutant les programmes de diagnostics. Pour cela,
utilisez l’application Devices de Web-based System Manager, le raccourci smit diag ou
la commande diag.
Si ces &eacute;tapes ne permettent pas d’identifier le probl&egrave;me, reportez–vous &agrave; Probl&egrave;mes
d’interface r&eacute;seau SLIP, page 4-281,
Probl&egrave;mes d’interface r&eacute;seau Ethernet page 4-282, ou Probl&egrave;me d’interface r&eacute;seau en
anneau jeton.
Incidents sur une interface de r&eacute;seau SLIP
En g&eacute;n&eacute;ral, la m&eacute;thode la plus efficace pour r&eacute;soudre ce type d’incident consiste &agrave; v&eacute;rifier
pas &agrave; pas la configuration de votre syst&egrave;me. Vous pouvez &eacute;galement :
• V&eacute;rifiez que le process slattach s’ex&eacute;cute sur le port tty appropri&eacute;, via la commande ps
–ef. Si ce n’est pas le cas, lancez la commande slattach. (Pour la syntaxe &agrave; utiliser,
reportez–vous &agrave; Configuration de SLIP pour modem, page 8-70 ou &agrave; Configuration de
SLIP pour c&acirc;ble de modem nul, page 8-72.)
• V&eacute;rifiez les adresses point-&agrave;-point sp&eacute;cifi&eacute;es via la commande smit chinet.
S&eacute;lectionnez l’interface SLIP. V&eacute;rifiez l’adresse Internet et l’adresse de destination.
Si le modem ne fonctionne pas correctement :
• V&eacute;rifiez son installation. Reportez-vous au manuel op&eacute;rateur du modem.
• V&eacute;rifiez que les contr&ocirc;les de flux que le modem peut effectuer sont d&eacute;sactiv&eacute;s.
Si le tty ne fonctionne pas correctement, v&eacute;rifiez le d&eacute;bit (en bauds) correspondant ainsi
que les caract&eacute;ristiques du modem, dans la base de donn&eacute;es de configuration, via la
commande smit tty.
Protocole TCP/IP
4-281
Incidents sur l’interface de r&eacute;seau Ethernet
Si une interface r&eacute;seau est initialis&eacute;e, les adresses d&eacute;finies et la carte install&eacute;e correcte :
• V&eacute;rifiez qu’un connecteur en T est directement branch&eacute; sur l’&eacute;metteur-r&eacute;cepteur
(int&eacute;gr&eacute; ou non).
• Assurez–vous que vous utilisez un c&acirc;ble Ethernet. Le c&acirc;ble Ethernet est de 50 OHM.
• Assurez–vous que vous utilisez des terminaisons Ethernet. Les terminaisons Ethernet
sont de 50 OHM.
• Les cartes Ethernet peuvent fonctionner avec un &eacute;metteur-r&eacute;cepteur interne ou externe.
Un cavalier, install&eacute; sur la carte, d&eacute;finit le type d’&eacute;metteur-r&eacute;cepteur utilis&eacute;. V&eacute;rifiez la
position de ce cavalier (reportez-vous &agrave; la documentation de la carte).
• V&eacute;rifiez le type de connecteur utilis&eacute; (BNC pour c&acirc;ble fin et DIX pour c&acirc;ble &eacute;pais).
Si vous changez ce type de connecteur, vous devez d&eacute;finir le champ Apply Change to
Database Only (appliquer les modifications uniquement &agrave; la base de donn&eacute;es) ; pour ce
faire, utilisez wsm de Web-based System Manager ou le raccourci smit chgenet de
SMIT. Ce champ doit &ecirc;tre coch&eacute; dans Web-based System Manager ou d&eacute;fini &agrave; yes dans
SMIT. R&eacute;amorcez ensuite la machine pour appliquer la nouvelle configuration.
(Reportez-vous &agrave; “Configuration et gestion des cartes”, page 4-39.)
Incidents li&eacute;s &agrave; une interface de r&eacute;seau en anneau &agrave; jeton
Si vous ne parvenez pas communiquer avec certaines machines, alors que l’interface de
r&eacute;seau est initialis&eacute;e, les adresses convenablement d&eacute;finies et la carte install&eacute;e correcte :
• V&eacute;rifiez si les machines en cause se trouvent sur un autre anneau. Si tel est le cas,
utilisez wsm de Web-based System Manager ou le raccourci smit chinet de SMIT pour
cocher le champ Confine BROADCAST to Local Token–Ring (limiter la diffusion &agrave;
l’anneau &agrave; jeton local). Ce champ ne doit pas &ecirc;tre coch&eacute; dans Web-based System
Manager ou d&eacute;fini &agrave; no dans SMIT.
• V&eacute;rifiez que la carte de r&eacute;seau en anneau &agrave; jeton est configur&eacute;e pour fonctionner &agrave; la
bonne vitesse d’anneau. Si sa configuration est incorrecte, utilisez l’application
Web–based System Manager Network ou SMIT pour modifier l’attribut de vitesse de
l’anneau &agrave; jeton (reportez–vous &agrave; Configuration et gestion des cartes, page 4-39).
Une fois TCP/IP red&eacute;marr&eacute;, la vitesse d’anneau de la carte de r&eacute;seau en anneau &agrave; jeton
sera identique &agrave; celle du r&eacute;seau.
Incidents avec un pont anneau &agrave; jeton/Ethernet
Si la communication entre un r&eacute;seau en anneau &agrave; jeton et un r&eacute;seau Ethernet reli&eacute;s par un
pont est d&eacute;faillante alors que le pont fonctionne normalement, il est probable que la carte
Ethernet rejette des paquets. Ce rejet a lieu lorsque le nombre de paquets entrants
(en-t&ecirc;tes compris) est sup&eacute;rieur &agrave; la valeur MTU (Maximum Transmission Unit) de la carte.
Par exemple, un paquet de 1500 octets envoy&eacute; par une carte en anneau &agrave; jeton via un
pont, totalise 1508 octets, avec un en-t&ecirc;te LLC de 8 octets. Si la valeur MTU de la carte
Ethernet est fix&eacute;e &agrave; 1500, le paquet est rejet&eacute;.
V&eacute;rifiez les valeurs MTU (Maximum Transmission Unit) des deux cartes de r&eacute;seau.
Pour autoriser l’adjonction, par la carte en anneau &agrave; jeton, d’en-t&ecirc;tes LLC de 8 octets aux
paquets sortants, la valeur MTU de cette carte doit &ecirc;tre inf&eacute;rieure d’au moins 8 octets &agrave;
celle de la carte Ethernet. Par exemple, pour qu’une carte en anneau &agrave; jeton puisse
communiquer avec une carte Ethernet avec une MTU de 1500 octets, sa MTU doit &ecirc;tre
fix&eacute;e &agrave; 1492.
4-282
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Incidents sur un pont reliant deux r&eacute;seaux en anneau &agrave; jeton
Lorsque la communication transite par un pont, la valeur MTU par d&eacute;faut (de 1500 octets)
doit &ecirc;tre ramen&eacute;e &agrave; 8 octets en-dessous de la valeur maximum I-frame d&eacute;clar&eacute;e par le pont
dans le champ de contr&ocirc;le de routage.
Pour retrouver la valeur du contr&ocirc;le de routage, ex&eacute;cutez le d&eacute;mon iptrace qui permet
d’examiner les paquets entrants. Les bits 1, 2 et 3 de l’octet 1 constituent les bits de trames
maximales (Largest Frame Bit). Ils d&eacute;terminent le maximum d’informations transmissibles
entre deux stations de communication sur une route sp&eacute;cifique. Pour le format du champ de
contr&ocirc;le de routage, consultez la figure ci-dessous :
Figure 27. Champ de contr&ocirc;le de routage Cette illustration repr&eacute;sente l’octet 0 et l’octet 1
d’un champ de contr&ocirc;le de routage. Les 8 bits de l’octet z&eacute;ro sont B, B, B, B, L, L, L, L.
Les 8 bits de l’octet 1 sont T D, F, F, F, r, r, r, r.
Les valeurs possibles des bits de trames maximales sont :
000
516 octets maximum dans le champ d’information.
001
1500 octets maximum dans le champ d’information.
010
2052 octets maximum dans le champ d’information.
011
4472 octets maximum dans le champ d’information.
100
8144 octets maximum dans le champ d’information.
101
R&eacute;serv&eacute;.
110
R&eacute;serv&eacute;.
111
Utilis&eacute; dans les trames de diffusion g&eacute;n&eacute;rale (toute route).
Par exemple, si la valeur de ”maximum I-frame” est 5 212.08 cm dans le champ de contr&ocirc;le
de routage, celle de MTU doit &ecirc;tre fix&eacute;e &agrave; 2044 (pour les interfaces anneau &agrave; jeton
seulement).
Remarque :
Lorsque vous utilisez iptrace, le fichier de sortie ne doit pas r&eacute;sider sur un
syst&egrave;me de fichiers NFS.
Protocole TCP/IP
4-283
Incidents de livraison de paquets
Communication avec un h&ocirc;te distant
Si vous ne parvenez pas &agrave; &eacute;tablir la communication avec un h&ocirc;te distant :
• Lancez la commande ping sur l’h&ocirc;te local pour v&eacute;rifier que l’interface locale reli&eacute;e au
r&eacute;seau est op&eacute;rationnelle et active.
• Appliquez la commande ping successivement aux h&ocirc;tes et passerelles par lesquelles
l’information transite, pour localiser la d&eacute;faillance.
Si vous constatez des pertes de paquet ou des retards de livraison :
• Lancez la commande trpt pour effectuer un suivi des paquets au niveau socket.
• Lancez la commande iptrace pour effectuer le suivi de toutes les couches de protocole.
Si vous ne parvenez pas &agrave; &eacute;tablir la communication entre un r&eacute;seau en anneau &agrave; jeton et
un r&eacute;seau Ethernet reli&eacute;s par un pont qui fonctionne normalement :
• V&eacute;rifiez les valeurs MTU (Maximum Transmission Unit) des deux cartes de r&eacute;seau.
Elles doivent &ecirc;tre compatibles pour autoriser la communication. En effet, si la taille du
paquet entrant (en-t&ecirc;tes compris) est sup&eacute;rieure &agrave; la valeur MTU (Maximum
Transmission Unit) de la carte, la machine rejette le paquet. Par exemple, un paquet de
1500 octets envoy&eacute; via un pont r&eacute;cup&egrave;re un en-t&ecirc;te LLC de 8 octets pour atteindre une
taille de 1508 octets. Si la valeur MTU de la machine r&eacute;ceptrice est fix&eacute;e &agrave; 1500,
le paquet est rejet&eacute;.
R&eacute;ponses snmpd
Si snmpd ne r&eacute;pond pas et qu’aucun message d’erreur n’est transmis, il est probable que
la taille du paquet est trop grande pour le gestionnaire de paquets UDP noyau. Dans ce
cas, augmentez la valeur des variables du noyau udp_sendspace et udp_recvspace :
no –o udp_sendspace=64000
no –o udp_recvspace=64000
La taille maximum d’un paquet UPD est de 64 Ko. La requ&ecirc;te est rejet&eacute;e si elle d&eacute;passe
64 Ko. Pour &eacute;viter ce type d’incident, le paquet doit &ecirc;tre fractionn&eacute;.
Incidents au niveau du protocole DHCP
Si vous ne pouvez pas obtenir une adresse IP ou d’autres param&egrave;tres de configuration :
• Assurez–vous qu’une interface &agrave; configurer a &eacute;t&eacute; sp&eacute;cifi&eacute;e. Pour cela, &eacute;ditez le fichier
/etc/dhcpcd.ini &agrave; l’aide de l’application Network de Web-based System Manager ou &agrave;
l’aide du raccourci smit dhcp de SMIT.
• V&eacute;rifiez qu’il existe un serveur sur le r&eacute;seau local ou un agent relais configur&eacute;
pour acheminer vos requ&ecirc;tes hors du r&eacute;seau local.
• V&eacute;rifiez que le programme dhcpcd est actif. Dans la n&eacute;gative, lancez-le via la
commande startsrc –s dhcpcd.
4-284
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Informations de r&eacute;f&eacute;rence TCP/IP
Les th&egrave;mes relatifs au protocole TCP/IP abord&eacute;s dans cette section sont les suivants :
•
Liste des commandes TCP/IP, page 4-285
•
Liste des d&eacute;mons TCP/IP, page 4-286
•
Liste des m&eacute;thodes, page 4-286
•
Liste des fichiers TCP/IP, page 4-286
•
Liste des RFC, page 4-287
Liste des commandes TCP/IP
chnamsv
Modification sur un h&ocirc;te de la configuration du service de noms
TCP/IP.
chprtsv
Modification de la configuration d’un service d’impression sur une
machine client ou serveur.
hostent
Manipulation directe des entr&eacute;es d’&eacute;quivalence d’adresse dans la
base de donn&eacute;es de configuration du syst&egrave;me.
ifconfig
Configuration/affichage des param&egrave;tres d’interface d’un r&eacute;seau
TCP/IP.
mknamsv
Configuration sur un h&ocirc;te du service de noms TCP/IP pour un client.
mkprtsv
Configuration sur un h&ocirc;te d’un service d’impression TCP/IP.
mktcpip
D&eacute;finition des valeurs requises pour le lancement de TCP/IP sur un
h&ocirc;te.
no
Configuration des options de r&eacute;seau.
rmnamsv
D&eacute;configuration sur un h&ocirc;te du service de noms TCP/IP.
rmprtsv
D&eacute;configuration de la configuration d’un service d’impression sur une
machine client ou serveur.
slattach
Raccordement des lignes s&eacute;rie comme interfaces de r&eacute;seau.
arp
Affichage/modification des tables de traduction d’adresse Internet en
adresse mat&eacute;rielle, utilis&eacute;es par ARP (Address Resolution Protocol).
gettable
R&eacute;cup&eacute;ration &agrave; partir d’un h&ocirc;te des tables d’h&ocirc;te au format NIC
Informations relatives au mat&eacute;riel ESCALA Power5.
hostid
D&eacute;finition ou affichage de l’identificateur de l’h&ocirc;te local courant.
hostname
D&eacute;finition ou affichage du nom du syst&egrave;me h&ocirc;te courant.
htable
Conversion des fichiers h&ocirc;tes au format utilis&eacute; par les routines de
biblioth&egrave;que de r&eacute;seau.
ipreport
G&eacute;n&eacute;ration d’un rapport de suivi de paquet &agrave; partir du fichier sp&eacute;cifi&eacute;.
iptrace
Suivi des paquets au niveau interface pour les protocoles Internet.
lsnamsv
Affichage des informations du service de noms stock&eacute;es dans la base
de donn&eacute;es.
lsprtsv
Affichage des informations du service d’impression stock&eacute;es dans la
base de donn&eacute;es.
mkhosts
G&eacute;n&eacute;ration du fichier de tables h&ocirc;te.
namerslv
Manipulation directe des entr&eacute;es de serveur de noms de domaine
pour les routines de r&eacute;solution dans la base de donn&eacute;es de
configuration.
netstat
Affichage de l’&eacute;tat du r&eacute;seau.
Protocole TCP/IP
4-285
route
Manipulation directe des tables de routage.
ruser
Manipulation directe des entr&eacute;es de trois bases de donn&eacute;es syst&egrave;me
distinctes contr&ocirc;lant l’acc&egrave;s des h&ocirc;tes &eacute;trangers aux programmes
locaux.
ruptime
Affichage de l’&eacute;tat de chaque h&ocirc;te d’un r&eacute;seau.
securetcpip
Activation de la fonction de s&eacute;curit&eacute; r&eacute;seau.
setclock
D&eacute;finition de la date et de l’heure d’un h&ocirc;te sur un r&eacute;seau.
timedc
Informations sur le d&eacute;mon timed.
trpt
Suivi des prises TCP (Transmission Control Protocol).
Liste des d&eacute;mons TCP/IP
fingerd
Affichage des informations sur un utilisateur distant.
ftpd
Fonction serveur pour le protocole FTP (File Transfer Protocol) d’Internet.
gated
Apport des fonctions de routage de passerelles aux protocoles RIP (Routing
Information Protocol), HELLO, EGP (Exterior Gateway Protocol), BGP
(Border Gateway Protocol) et SNMP (Simple Network Management
Protocol).
inetd
Gestion du service Internet pour un r&eacute;seau.
named
Apport de la fonction serveur au protocole DOMAIN.
rexecd
Apport de la fonction serveur &agrave; la commande rexec.
rlogind
Apport de la fonction serveur &agrave; la commande rlogin.
routed
Gestion des tables de routage de r&eacute;seau.
rshd
Apport de la fonction serveur pour l’ex&eacute;cution de commandes &agrave; distance.
rwhod
Apport de la fonction serveur aux commandes rwho et ruptime.
syslogd
Lecture et consignation des messages syst&egrave;me.
talkd
Apport de la fonction serveur &agrave; la commande talk.
telnetd
Apport de la fonction serveur au protocole TELNET.
tftpd
Assure la fonction serveur pour le protocole TFTP (Trivial File Transfer
Protocol).
timed
Appel au d&eacute;mon timeserver au lancement du syst&egrave;me.
Liste des m&eacute;thodes
Les m&eacute;thodes d’unit&eacute; sont des programmes associ&eacute;s &agrave; une unit&eacute; qui ex&eacute;cutent des
op&eacute;rations de base de configuration d’unit&eacute;. Pour en savoir plus sur les m&eacute;thodes TCP/IP,
reportez-vous &agrave; la liste des r&eacute;f&eacute;rences de programmation TCP/IP dans le manuel AIX 5L
Version 5.3 Communications Programming Concepts.
Liste des fichiers TCP/IP
/etc/rc.bsdnet
Pour en savoir plus sur les m&eacute;thodes et les formats de fichier TCP/IP, reportez-vous &agrave; la
liste des r&eacute;f&eacute;rences de programmation TCP/IP dans le manuel AIX 5L Version 5.3
Communications Programming Concepts.
4-286
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Liste des RFC
Pour conna&icirc;tre la liste des RFC (Request for Comments) pris en charge par ce syst&egrave;me,
reportez-vous &agrave; la liste des r&eacute;f&eacute;rences de programmation TCP/IP dans le manuel AIX 5L
Version 5.3 Communications Programming Concepts.
• RFC 1359 Connecting to the Internet: What connecting institutions should anticipate
• RFC 1325 FYI on questions and answers: Answers to commonly asked ’new Internet
user’ questions
• RFC 1244 Site Security Handbook
• RFC 1178 Choosing a Name for Your Computer
• RFC 1173 Responsibilities of host and network managers: A summary of the ‘oral
tradition’ of the Internet
Protocole TCP/IP
4-287
4-288
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chapitre 5. Administration du r&eacute;seau
Administrer un r&eacute;seau consiste &agrave; g&eacute;rer globalement des r&eacute;seaux syst&egrave;mes,
via le protocole SNMP, permettant aux h&ocirc;tes d’&eacute;changer des informations de gestion.
SNMP (Simple Network Management Protocol) est un protocole con&ccedil;u pour les
interr&eacute;seaux bas&eacute;s sur TCP/IP. Ce chapitre traite des points suivants :
• Administration de r&eacute;seau avec SNMP, page 5-2
• SNMPv3, page 5-3
• SNMPv1, page 5-13
Lorsque AIX 5.2 est install&eacute;, la version non chiffr&eacute;e de SNMPv3 est install&eacute;e par d&eacute;faut
et d&eacute;marr&eacute;e lors de l’amor&ccedil;age du syst&egrave;me. Si vous avez configur&eacute; vos propres
communaut&eacute;s, vos interruptions et vos entr&eacute;es smux dans le fichier /etc/snmpd.conf,
vous devez les faire migrer manuellement vers le fichier /etc/snmpdv3.conf. Pour plus
d’informations sur la migration des communaut&eacute;s, reportez–vous &agrave; Migration de SNMPv1
vers SNMPv3, page 1-10.
Vous pouvez &eacute;galement consulter ces informations dans SNMP Overview for Programmers
dans le manuel AIX 5L Version 5.3 Communications Programming Concepts.
Administration du r&eacute;seau
5-1
Administration de r&eacute;seau avec SNMP
L’administration de r&eacute;seau SNMP repose sur le mod&egrave;le client/serveur, largement exploit&eacute;
dans les applications bas&eacute;es sur TCP/IP. Chaque h&ocirc;te &agrave; g&eacute;rer ex&eacute;cute un processus
appel&eacute; un agent. L’agent est un processus serveur qui maintient la base de donn&eacute;es MIB
(Management Information Base) pour l’h&ocirc;te. Les h&ocirc;tes impliqu&eacute;s dans les d&eacute;cisions
d’administration du r&eacute;seau peuvent ex&eacute;cuter un processus appel&eacute; un gestionnaire.
Un gestionnaire est une application client qui g&eacute;n&egrave;re les requ&ecirc;tes d’informations &agrave; la MIB
et traite les r&eacute;ponses. Un gestionnaire peut en outre envoyer des requ&ecirc;tes aux serveurs
de l’agent pour modifier les informations MIB.
SNMP sous AIX prend en charge les RFC suivants :
5-2
RFC 1155
Structure et identification des donn&eacute;es de gestion (SMI) pour
les interr&eacute;seaux TCP/IP
RFC 1157
SNMP (Simple Network Management Protocol)
RFC 1213
Base MIB pour l’administration des interr&eacute;seaux bas&eacute;s sur TCP/IP :
MIB–II
RFC 1227
Protocole SNMP (Simple Network Management Protocol),
protocole SMUX (single multiplexer) et base MIB (Management
Information Base).
RFC 1229
Extensions &agrave; l’interface g&eacute;n&eacute;rique MIB
(Management Information Base)
RFC 1231
MIB (Management Information Base) anneau &agrave; jeton IEEE 802.5
RFC 1398
D&eacute;finitions des objets g&eacute;r&eacute;s pour les types d’interface Ethernet
RFC 1512
Base MIB FDDI
RFC 1514
Base MIB des ressources h&ocirc;te
RFC 1592
SNMP–DPI (Simple Network Management Protocol–Distributed
Program Interface) Version 2
RFC 1905
Op&eacute;rations de protocole pour la Version 2 de Simple Network
Management Protocol (SNMPv2)
RFC 1907
Base MIB pour la Version 2 de Simple Network Management
Protocol (SNMPv2)
RFC 2572
Traitement et envoi des messages pour Simple Network
Management Protocol (SNMP)
RFC 2573
Applications SNMP
RFC 2574
Mod&egrave;le de s&eacute;curit&eacute; utilisateur USM (User–based Security Model)
pour la version 3 de Simple Network Management Protocol
(SNMPv3)
RFC 2575
Mod&egrave;le VACM (View–based Access Control Model) pour Simple
Network Management Protocol (SNMP)
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
SNMPv3
Les informations de cette section concernent uniquement SNMPv3.
Cette section traite des points suivants :
• Pr&eacute;sentation de SNMPv3, page 5-4
• Architecture de SNMPv3, page 5-5
• Cl&eacute;s d’utilisateur SNMPv3, page 5-7
• Envoi de requ&ecirc;tes SNMPv3, page 5-10
• Identification des incidents SNMPv3, page 5-11
En outre, les t&acirc;ches SNMPv3 suivantes sont aussi trait&eacute;es :
• Migration de SNMPv1 vers SNMPv3, page 1-10
• Cr&eacute;ation d’utilisateurs dans SNMPv3, page 1-14
• Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3,
page 1-19
Administration du r&eacute;seau
5-3
Pr&eacute;sentation de SNMPv3
Avant la version AIX 5.2, SNMPv1 &eacute;tait la seule version disponible de SNMP pour AIX.
SNMPv3 est fourni avec AIX 5.2. SNMPv3 fournit une structure puissante et souple &agrave; la
s&eacute;curit&eacute; des messages et au contr&ocirc;le de s&eacute;curit&eacute;. La s&eacute;curit&eacute; des message fournit les
fonctionnalit&eacute;s suivantes :
• Le contr&ocirc;le d’int&eacute;grit&eacute; des donn&eacute;es qui &eacute;vite la corruption des donn&eacute;es en transit
• La v&eacute;rification de l’origine des donn&eacute;es qui garantit que la requ&ecirc;te ou la r&eacute;ponse est bien
envoy&eacute;e par la source revendiqu&eacute;e
• La v&eacute;rification des dates des messages et facultativement, la confidentialit&eacute; des donn&eacute;es
contre les acc&egrave;s non autoris&eacute;es
L’architecture SNMPv3 met en œuvre le mod&egrave;le USM (User–based Security Model) pour
la s&eacute;curit&eacute; des messages et le mod&egrave;le VACM (View–based Access Control Model) pour le
contr&ocirc;le des acc&egrave;s. L’architecture prend en charge l’utilisation simultan&eacute;e de diff&eacute;rents
mod&egrave;les de s&eacute;curit&eacute;, de contr&ocirc;le des acc&egrave;s et de traitement des messages. Par exemple,
la s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute; peut &ecirc;tre utilis&eacute;e simultan&eacute;ment avec USM.
USM fait appel au concept d’un utilisateur pour lequel les param&egrave;tres de s&eacute;curit&eacute; (niveaux
de s&eacute;curit&eacute;, authentification et protocoles de confidentialit&eacute;, et cl&eacute;s) sont configur&eacute;s sur
l’agent et le gestionnaire. Les messages envoy&eacute;s via USM sont mieux prot&eacute;g&eacute;s que ceux
utilisant une s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute;, dans lesquels les mots de passe sont
envoy&eacute;s en clair et affich&eacute;s dans les fichiers de traces. Avec USM, les messages &eacute;chang&eacute;s
entre le gestionnaire et l’agent b&eacute;n&eacute;ficient de l’int&eacute;grit&eacute; des donn&eacute;es et de l’authentification
de l’origine des donn&eacute;es. Les retards et les renvois r&eacute;p&eacute;t&eacute;s de messages (hormis leurs
occurrences normales en cas de protocole de transmission sans connexion) sont &eacute;vit&eacute;s
gr&acirc;ce &agrave; des indicateurs d’horodatage et des ID de requ&ecirc;te. La confidentialit&eacute; des donn&eacute;es,
ou le chiffrement, est &eacute;galement disponible, si cela est autoris&eacute;, sous la forme d’un produit
installable s&eacute;par&eacute;ment. La version SNMP chiffr&eacute;e est fournie avec AIX Expansion Pack.
L’utilisation de VACM consiste &agrave; d&eacute;finir des collections de donn&eacute;es (appel&eacute;es des vues),
des groupes d’utilisateurs des donn&eacute;es et des instructions d’acc&egrave;s qui d&eacute;finissent les vues
qu’un groupe d’utilisateurs particulier peut employer pour une op&eacute;ration de lecture,
d’&eacute;criture ou de r&eacute;ception dans une interruption.
SNMPv3 permet &eacute;galement de configurer dynamiquement l’agent SNMP en lan&ccedil;ant les
commandes SNMP SET sur les objets MIB repr&eacute;sentant la configuration de l’agent. Cette
configuration dynamique prend en charge l’ajout, la suppression et la modification des
entr&eacute;es de configuration, localement ou &agrave; distance.
Les politiques d’acc&egrave;s SNMPv3 et les param&egrave;tres de s&eacute;curit&eacute; sont sp&eacute;cifi&eacute;s dans le fichier
/etc/snmpdv3.conf sur l’agent SNMP et le fichier /etc/clsnmp.conf dans le gestionnaire
SNMP. Vous trouverez un sc&eacute;nario sur la configuration des fichiers dans Cr&eacute;ation des
utilisateurs dans SNMPv3, page 1-14. Vous pouvez aussi consulter les formats des fichiers
/etc/snmpdv3.conf et /etc/clsnmp.conf dans AIX 5L Version 5.3 Files Reference.
5-4
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Architecture SNMPv3
L’architecture SNMPv3 comporte quatre parties comme le montre le graphique suivant.
Cette section d&eacute;crit la fa&ccedil;on dont ces syst&egrave;mes interagissent l’un avec l’autre pour fournir
les donn&eacute;es requises.
Figure 28. Les parties principales de l’architecture SNMPv3 Cette illustration repr&eacute;sente
un exemple de l’architecture SNMPv3. Le sous–agent DPI2, le pair smux, le gestionnaire
SNMP et l’agent SNMP sont repr&eacute;sent&eacute;s. La communication entre eux est &eacute;galement
repr&eacute;sent&eacute;e.
Agent SNMP
L’agent SNMP re&ccedil;oit des requ&ecirc;tes du gestionnaire SNMP et lui r&eacute;pond. En outre, l’agent
SNMP communique avec tous les agents DPI2 et les homologues smux sur le syst&egrave;me.
L’agent SNMP g&egrave;re certaines variables MIB et tous les sous–agents DPI2 et homologues
smux enregistrent leurs variables MIB avec l’agent SNMP.
Lorsque clsnmp (le gestionnaire SNMP) &eacute;met une requ&ecirc;te, elle est envoy&eacute;e &agrave; UDP 161
sur l’agent SNMP. Si la requ&ecirc;te est une requ&ecirc;te SNMPv1 ou SNMPv2c, l’agent SNMP
v&eacute;rifie le nom de communaut&eacute; et traite la requ&ecirc;te. Si la requ&ecirc;te est une requ&ecirc;te SNMPv3,
l’agent SNMP tente d’authentifier l’utilisateur demandant les donn&eacute;es et v&eacute;rifie qu’il poss&egrave;de
les droits d’acc&egrave;s requis pour ex&eacute;cuter la requ&ecirc;te en utilisant les cl&eacute;s d’authentification, et,
si la version chiffr&eacute;s s’ex&eacute;cute, les cl&eacute;s de confidentialit&eacute;. Si l’agent SNMP ne peut pas
authentifier l’utilisateur, ou si l’utilisateur n’a pas les droits d’acc&egrave;s ad&eacute;quats pour ex&eacute;cuter
la requ&ecirc;te, l’agent SNMP n’honore pas la requ&ecirc;te. Pour savoir comment cr&eacute;er des
utilisateurs dans SNMPv3, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3,
page 1-14.
Si l’utilisateur est authentifi&eacute; et poss&egrave;de les droits d’acc&egrave;s ad&eacute;quats, l’agent SNMP ex&eacute;cute
la requ&ecirc;te. L’agent SNMP recherche les variables MIB demand&eacute;es. Si l’agent SNMP
lui–m&ecirc;me g&egrave;re les variables MIB demand&eacute;es, il traite la requ&ecirc;te et envoie une r&eacute;ponse au
gestionnaire SNMP. Si un sous–agent DPI2 ou un homologue smux g&egrave;re les variables MIB
demand&eacute;es, l’agent SNMP retransmet la requ&ecirc;te au sous–agent DPI2 ou &agrave; l’homologue
smux sur lequel les variables MB sont g&eacute;r&eacute;es, lui permet de traiter la requ&ecirc;te et r&eacute;pond
alors au gestionnaire SNMP.
Sous–agents DPI2
Un sous–agent tel que hostmibd communique avec l’agent DPI2 qui, dans SNMPv3, fait
partie de l’agent SNMP. Le sous–agent DPI2 envoie des r&eacute;ponses et des interruptions &agrave;
l’agent DPI2 via dpiPortForTCP.0. Comme il ne s’agit pas d’un port identifi&eacute;, le sous–agent
DPI2 doit d’abord lancer une requ&ecirc;te pour conna&icirc;tre le num&eacute;ro de port de dpiPortForTCP.0.
La requ&ecirc;te est envoy&eacute;e &agrave; UDP 161 sur l’agent SNMP, qui r&eacute;pond au sous–agent DPI2 en
indiquant le num&eacute;ro de port de dpiPortForTCP.0. Une fois le num&eacute;ro de port re&ccedil;u, le
sous–agent DPI2 &eacute;tablit une connexion &agrave; l’agent DPI2 en utilisant le num&eacute;ro de port
Administration du r&eacute;seau
5-5
indiqu&eacute;. Le sous–agent DPI2 enregistre alors ses sous–arborescences MIB avec l’agent
DPI2.
Remarque :
Pour permettre &agrave; l’agent SNMP d’&eacute;couter un port diff&eacute;rent de UDP 161,
vous devez d&eacute;finir l’environnement SNMP_PORT. Vous disposez de deux
m&eacute;thodes pour d&eacute;finir cette variable :
. M&eacute;thode 1 : Interrompez le sous–agent DPI2 et entrez les commandes suivantes :
– SNMP_PORT=&lt; port_number &gt; /usr/sbin/aixmibd –d 128
– SNMP_PORT=&lt; port_number &gt; /usr/sbin/hostmibd –d 128
– SNMP_PORT=&lt; port_number &gt; /usr/sbin/snmpmibd –d 128,
port_number &eacute;tant le nombre de ports que vous souhaitez utiliser.
Apr&egrave;s l’ex&eacute;cution compl&egrave;te des commandes, lancez le sous–agent DPI2.
. M&eacute;thode 2 : Ins&eacute;rez la variable SNMP_PORT dans le fichier /etc/environment et
affectez–lui une nouvelle valeur de port. Permettre aux d&eacute;mons aixmibd,
hostmibd, snmpmibd, et snmpd de s’ex&eacute;cuter &agrave; partir de /etc/rc.tcpip en tant
que tels. Dans cette m&eacute;thode, il n’est pas n&eacute;cessaire d’ex&eacute;cuter les commandes
aixmibd, hostmibd, et snmpmibd &agrave; partir de la ligne des commandes.
Une fois la connexion &eacute;tablie et les sous–arborescences MIB enregistr&eacute;es, le sous–agent
DPI2 est pr&ecirc;t &agrave; r&eacute;pondre aux requ&ecirc;tes re&ccedil;ues de l’agent DPI2. Lorsqu’une requ&ecirc;te est
re&ccedil;ue, le sous–agent DPI2 traite la requ&ecirc;te et renvoie les informations requises.
Le sous–agent DPI2 est &eacute;galement pr&ecirc;t &agrave; envoyer des interruptions si n&eacute;cessaire.
Lorsqu’une interruption est envoy&eacute;e, l’agent SNMP v&eacute;rifie son fichier /etc/snmpdv3.conf
pour d&eacute;terminer la ou les adresses IP &agrave; laquelle l’interruption doit &ecirc;tre envoy&eacute;e, et leur
envoie l’interruption.
Homologues smux
Un homologue smux tel que gated, une fois d&eacute;marr&eacute;, &eacute;tablit la connexion &agrave; TCP 199
et initialise l’association smux. Suite &agrave; l’initialisation, l’homologue smux enregistre les
sous–arborescences MIB qu’il va g&eacute;rer.
Apr&egrave;s l’enregistrement, l’homologue smux est pr&ecirc;t &agrave; accepter toute requ&ecirc;te entrante du
serveur smux et &agrave; renvoyer des r&eacute;ponses. Lorsque l’homologue smux re&ccedil;oit une requ&ecirc;te,
il la traite et renvoie une r&eacute;ponse au serveur smux.
L’homologue smux peut aussi envoyer une interruption au serveur smux. Lorsqu’une
interruption est envoy&eacute;e, l’agent SNMP v&eacute;rifie son fichier /etc/snmpdv3.conf pour
d&eacute;terminer la ou les adresses IP &agrave; laquelle l’interruption doit &ecirc;tre envoy&eacute;e, et leur envoie
l’interruption.
Gestionnaire SNMP
Le gestionnaire SNMP ex&eacute;cute clsnmp, qui est compatible avec SNMPv1, SNMPv2c,
et SNMPv3. Utilisez la commande clsnmp pour envoyer une requ&ecirc;te, par exemple get,
get–next, get–bulk, ou set. La requ&ecirc;te est envoy&eacute;e &agrave; UDP 161 sur l’agent SNMP,
puis attend la r&eacute;ponse de l’agent SNMP.
Remarque :
Pour permettre au gestionnaire SNMP d’utiliser un port diff&eacute;rent de UDP
161, vous devez indiquer le num&eacute;ro de port, que vous souhaitez utiliser,
et l’adresse IP dans la zone targetAgent du fichier /etc/clsnmp.conf.
Pour obtenir des informations sur le fichier /etc/clsnmp.conf,
reportez–vous au fichier fclsnmp.conf File dans AIX 5L Version 5.3 Files
Reference.
Variables MIB
Pour plus d’informations sur les variables MIB, reportez–vous &agrave; Management Information
Base, Terminology Related to Management Information Base Variables, Working with
Management Information Base Variables, et Management Information Base Database dans
le manuel AIX 5L Version 5.3 Communications Programming Concepts.
5-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Cl&eacute;s utilisateur SNMPv3
Cl&eacute;s d’authentification
L’authentification est en g&eacute;n&eacute;ral requise pour permettre le traitement des requ&ecirc;tes SNMPv3
(sauf si le niveau de s&eacute;curit&eacute; demand&eacute; est noAuth). Lors de l’authentification d’une
requ&ecirc;te, l’agent SNMP v&eacute;rifie que la cl&eacute; d’authentification envoy&eacute;e dans une requ&ecirc;te
SNMPv3 peut &ecirc;tre utilis&eacute;e pour cr&eacute;er un r&eacute;sum&eacute; de message correspondant &agrave; celui cr&eacute;&eacute;
par la cl&eacute; d’authentification d&eacute;finie par l’utilisateur.
Lorsque le gestionnaire SNMP envoie une requ&ecirc;te, la commande clsnmp utilise la cl&eacute;
d’authentification trouv&eacute;e dans une entr&eacute;e dans le fichier /etc/clsnmp.conf du gestionnaire
SNMP. Il doit &eacute;tablir une corr&eacute;lation avec la cl&eacute; d’authentification indiqu&eacute;e dans une entr&eacute;e
USM_USER de cet utilisateur dans le fichier /etc/snmpdv3.conf de l’agent SNMP. Les cl&eacute;s
d’authentification sont g&eacute;n&eacute;r&eacute;es &agrave; l’aide de la commande pwtokey.
La cl&eacute; d’authentification est g&eacute;n&eacute;r&eacute;e &agrave; partir de deux &eacute;l&eacute;ments :
• Le mot de passe indiqu&eacute;
• L’identification de l’agent SNMP sur lequel la cl&eacute; sera utilis&eacute;e. Si l’agent est un agent
Bull, et que son engineID (ID moteur) a &eacute;t&eacute; g&eacute;n&eacute;r&eacute; avec une formule engineID
sp&eacute;cifique au fournisseur, l’agent peut &ecirc;tre identifi&eacute; par une adresse IP ou un nom
d’h&ocirc;te. Sinon, l’engineID doit &ecirc;tre fourni en tant qu’identification de l’agent.
Une cl&eacute; incorporant l’identification de l’agent sur lequel il sera utilis&eacute; est appel&eacute;e une cl&eacute;
localis&eacute;e. Elle peut uniquement &ecirc;tre utilis&eacute;e sur cet agent. Une cl&eacute; n’incorporant pas
l’engineID de l’agent sur lequel il sera utilis&eacute; est appel&eacute;e une cl&eacute; non localis&eacute;e.
Les cl&eacute;s stock&eacute;es dans le fichier de configuration de la commande clsnmp,
/etc/clsnmp.conf, sont normalement des cl&eacute;s non localis&eacute;es. Les cl&eacute;s stock&eacute;es dans le
fichier configuration de l’agent SNMP, /etc/snmpdv3.conf, peuvent &ecirc;tre localis&eacute;es ou non
localis&eacute;es, mais il est consid&eacute;r&eacute; comme plus s&ucirc;r d’utiliser des cl&eacute;s localis&eacute;es.
Au lieu de stocker les cl&eacute;s d’authentification dans le fichier de configuration client, la
commande clsnmp permet de stocker les mots de passe utilisateur. Sil a commande
clsnmp est configur&eacute;e avec un mot de passe, le code g&eacute;n&egrave;re une cl&eacute; d’authentification
(et une cl&eacute; de confidentialit&eacute; si n&eacute;cessaire, et si la version chiffr&eacute;e est install&eacute;e) pour
l’utilisateur. Ces cl&eacute;s doivent produire les m&ecirc;mes valeurs d’authentification que les cl&eacute;s
configur&eacute;es pour USM_USER dans le fichier /etc/snmpdv3.conf de l’agent ou &ecirc;tre configur&eacute;
dynamiquement avec les commandes SNMP SET. Toutefois, l’utilisation de mots de passe
dans le fichier de configuration client est consid&eacute;r&eacute;e comme moins s&ucirc;re que celles de cl&eacute;s
dans le fichier de configuration.
Cl&eacute;s de confidentialit&eacute;
Le chiffrement est propos&eacute; en tant que produit distinct dans AIX Expansion Pack lorsque la
l&eacute;gislation sur l’exportation l’autorise. Les cl&eacute;s utilis&eacute;es pour le chiffrement sont g&eacute;n&eacute;r&eacute;es
avec les m&ecirc;mes algorithmes que ceux utilis&eacute;s pour l’authentification. Toutefois, les
longueurs de cl&eacute;s diff&egrave;rent. Par exemple, une cl&eacute; d’authentification HMAC–SHA a une
longueur de 20 octets, mais une cl&eacute; de chiffrement localis&eacute;e utilis&eacute;e avec HMAC–SHA n’a
que 16 octets.
La version chiffr&eacute;e est activ&eacute;e automatiquement apr&egrave;s l’installation. Pour revenir &agrave; la
version non chiffr&eacute;e, lancez la commande snmpv3_ssw.
Administration du r&eacute;seau
5-7
G&eacute;n&eacute;ration de cl&eacute;s
AIX utilise la commande pwtokey pour g&eacute;n&eacute;rer des cl&eacute;s d’authentification et, le cas
&eacute;ch&eacute;ant, des cl&eacute;s de confidentialit&eacute;. La commande pwtokey permet de convertir les
mots de passe en cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es et non localis&eacute;es.
La proc&eacute;dure pwtokey choisit un mot de passe et un ID pour l’agent et g&eacute;n&egrave;re des cl&eacute;s
d’authentification et de confidentialit&eacute;. Comme la proc&eacute;dure utilis&eacute;e par la commande
pwtokey est le m&ecirc;me algorithme utilis&eacute; par la commande clsnmp, la personne configurant
l’agent SNMP peut g&eacute;n&eacute;rer des cl&eacute;s appropri&eacute;es d’authentification (et de confidentialit&eacute;) &agrave;
placer dans le fichier /etc/clsnmp.conf sur le gestionnaire SNMP pour un utilisateur,
avec un mot de passe et l’adresse IP sur laquelle la cible va s’ex&eacute;cuter.
Lorsque vous avez g&eacute;n&eacute;r&eacute; les cl&eacute;s d’authentification (et de confidentialit&eacute; si vous ex&eacute;cutez
la version chiffr&eacute;e), vous devez entrer ces cl&eacute;s dans le fichier /etc/snmpdv3.conf sur
l’agent SNMP et dans le fichier /etc/clsnmp.conf sur le gestionnaire SNMP.
Dans SNMPv3, il existe neuf configurations d’utilisateur possibles. Chaque configuration
possible, ainsi qu’un exemple, est indiqu&eacute;e ci–apr&egrave;s. Ces cl&eacute;s particuli&egrave;res ont &eacute;t&eacute;
g&eacute;n&eacute;r&eacute;es avec le mot de passe defaultpassword et l’adresse IP 9.3.149.49.
La commande suivante a &eacute;t&eacute; utilis&eacute;e :
pwtokey –u all –p all defaultpassword 9.3.149.49
Les cl&eacute;s d’authentification et de confidentialit&eacute; suivantes ont &eacute;t&eacute; g&eacute;n&eacute;r&eacute;es :
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 authKey :
18a2c7b78f3df552367383eef9db2e9f
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 localized
authKey :
a59fa9783c04bcbe00359fb1e181a4b4
Affichage de la cl&eacute; de confidentialit&eacute; 16 octets HMAC–MD5 privKey :
18a2c7b78f3df552367383eef9db2e9f
Affichage de la cl&eacute; de confidentialit&eacute; localis&eacute;e 16 octets HMAC–MD5
privKey :
a59fa9783c04bcbe00359fb1e181a4b4
Affichage de la cl&eacute; d’authentification 20 octets HMAC–SHA authKey :
754ebf6ab740556be9f0930b2a2256ca40e76ef9
Affichage de la cl&eacute; d’authentification localis&eacute;e 20 octets HMAC–SHA
localized authKey :
cd988a098b4b627a0e8adc24b8f8cd02550463e3
Affichage de la cl&eacute; de confidentialit&eacute; 20 octets HMAC–SHA privKey :
754ebf6ab740556be9f0930b2a2256ca40e76ef9
Affichage de la cl&eacute; de confidentialit&eacute; localis&eacute;e 16 octets HMAC–SHA :
cd988a098b4b627a0e8adc24b8f8cd02
Ces entr&eacute;es appara&icirc;tront dans le fichier /etc/snmpdv3.conf. Les neuf configurations
possibles sont les suivantes :
• Cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es utilisant le protocole HMAC–MD5 :
USM_USER user1 – HMAC–MD5 a59fa9783c04bcbe00359fb1e181a4b4 DES
a59fa9783c04bcbe00359fb1e181a4b4 L – –
• Cl&eacute;s d’authentification et de confidentialit&eacute; non localis&eacute;es utilisant le protocole
HMAC–MD5 :
USM_USER user2 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f DES
18a2c7b78f3df552367383eef9db2e9f N – –
5-8
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• Cl&eacute; d’authentification localis&eacute;e utilisant le protocole HMAC–MD5 :
USM_USER user3 – HMAC–MD5 a59fa9783c04bcbe00359fb1e181a4b4 – – L –
• Cl&eacute; d’authentification non localis&eacute;e utilisant le protocole HMAC–MD5 :
USM_USER user4 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f – – N –
• Cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es utilisant le protocole HMAC–SHA :
USM_USER user5 – HMAC–SHA cd988a098b4b627a0e8adc24b8f8cd02550463e3 DES
cd988a098b4b627a0e8adc24b8f8cd02 L –
• Cl&eacute;s d’authentification et de confidentialit&eacute; non localis&eacute;es utilisant le protocole
HMAC–SHA :
USM_USER user6 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 DES
754ebf6ab740556be9f0930b2a2256ca40e76ef9 N –
• Cl&eacute; d’authentification localis&eacute;e utilisant le protocole HMAC–SHA :
USM_USER user7 – HMAC–SHA cd988a098b4b627a0e8adc24b8f8cd02550463e3 – – L
–
• Cl&eacute; d’authentification non localis&eacute;e utilisant le protocole HMAC–SHA :
USM_USER user8 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 – – N
–
• Aucune cl&eacute; d’authentification ou de confidentialit&eacute; utilis&eacute;e (SNMPv1)
USM_USER user9 – none – none – – –
La configuration des utilisateurs dans SNMPv3 n&eacute;cessite la configuration des deux fichiers
/etc/snmpdv3.conf et /etc/clsnmp.conf. Pour consulter un sc&eacute;nario sur la g&eacute;n&eacute;ration des
cl&eacute;s utilisateur et l’&eacute;dition des fichiers de configuration requis, reportez–vous &agrave; la section
Cr&eacute;ation d’utilisateurs dans SNMPv3, page 1-14. En outre, reportez–vous aux descriptions
des commandes pwtokey et clsnmp dans le manuel AIX 5L Version 5.3 Commands
Reference, et aux formats de fichier des fichiers /etc/clsnmp.conf et /etc/snmpdv3.conf
dans le manuel AIX 5L Version 5.3 Files Reference. Vous pouvez aussi vous reporter aux
exemples de fichiers de configuration snmpdv3.conf et clsnmp.conf situ&eacute;s dans le
r&eacute;pertoire /usr/samples/snmpdv3.
Mise &agrave; jour des cl&eacute;s
SNMPv3 offre la possibilit&eacute; de mettre &agrave; jour dynamiquement des cl&eacute;s utilisateur en fonction
des nouveaux mots de passe. Pour ce faire, vous devez lancer la commande pwchange
pour g&eacute;n&eacute;rer de nouvelles cl&eacute;s utilisateur bas&eacute;es sur un mot de passe mis &agrave; jour, puis
lancer la commande clsnmp pour mettre &agrave; jour dynamiquement la cl&eacute; utilisateur dans le
fichier /etc/snmpdv3.conf et &eacute;diter le fichier /etc/clsnmp.conf en indiquant les nouvelles
cl&eacute;s. Pendant ce processus, le nouveau mot de passe n’est jamais communiqu&eacute; entre les
machines.
Pour obtenir des instructions pas &agrave; pas sur la mise &agrave; jour des cl&eacute;s utilisateur, reportez–vous
&agrave; Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3
page 1-19. En outre, reportez–vous aux descriptions des commandes pwchange et
clsnmp dans AIX 5L Version 5.3 Commands Reference et aux formats de fichiers
/etc/clsnmp.conf et /etc/snmpdv3.conf dans AIX 5L Version 5.3 Files Reference
Administration du r&eacute;seau
5-9
Emission de requ&ecirc;tes SNMPv3
La commande clsnmp permet d’envoyer des requ&ecirc;tes SNMP aux agents SNMP sur les
h&ocirc;tes locaux ou distants. Il peut s’agir de requ&ecirc;tes SNMPv1, SNMPv2c ou SNMPv3.
Pour que les requ&ecirc;tes puissent &ecirc;tre trait&eacute;es, le fichier /etc/clsnmp.conf doit &ecirc;tre configur&eacute;.
La commande clsnmp peut lancer des requ&ecirc;tes get, getnext, getbulk, set, walk, et
findname. Chacune de ces requ&ecirc;tes est d&eacute;crite bri&egrave;vement ci–dessous :
get
permet &agrave; l’utilisateur de collecter les donn&eacute;es d’une variable MIB
getnext
indique la variable MIB suivante dans la sous–arborescence MIB
getbulk
indique toutes les variables MIB de plusieurs sous–arborescences MIB
set
permet &agrave; l’utilisateur de d&eacute;finir une variable MIB
walk
indique toutes les variables MIB d’une seule sous–arborescence
findname
&eacute;tablit une &eacute;quivalence entre l’OID et le nom de la variable
trap
permet &agrave; clsnmp d’&eacute;couter les interruptions sur le port 162
Pour plus de d&eacute;tails sur l’&eacute;mission de requ&ecirc;tes clsnmp, reportez–vous &agrave; la description
de commande clsnmp dans AIX 5L Version 5.3 Commands Reference.
5-10
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Identification des incidents SNMPv3
Les probl&egrave;mes suivants peuvent se pr&eacute;senter.
• Apr&egrave;s une mise &agrave; niveau pour passer d’une ancienne version d’AIX &agrave; AIX 5.2,
SNMP ne fonctionne plus de la m&ecirc;me fa&ccedil;on qu’avant la migration.
Vous devez faire migrer les entr&eacute;es de communaut&eacute; et smux d&eacute;finies dans le fichier
/etc/snmpd.conf vers le fichier /etc/snmpdv3.conf. Pour plus d’informations sur la
migration de ces informations, reportez–vous &agrave; Migration de SNMPv1 vers SNMPv3,
page 1-10.
• Mes requ&ecirc;tes ne re&ccedil;oivent aucune r&eacute;ponse.
La cause la plus probable de ce probl&egrave;me est une erreur de configuration dans les
fichiers /etc/snmpdv3.conf ou /etc/clsnmp.conf ou les deux. Examinez soigneusement
ces fichiers pour v&eacute;rifier que toutes les informations sont entr&eacute;es correctement.
Pour plus d’informations sur l’&eacute;dition de ces fichiers lors de la cr&eacute;ation de nouveaux
utilisateurs, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3, page 1-14.
• J’ai configur&eacute; un nouvel utilisateur &agrave; l’aide de cl&eacute;s d’authentification et de confidentialit&eacute;,
mais j’obtiens un message d’erreur lorsque je l’utilise.
La cause la plus probable est que vous n’ex&eacute;cutez pas la version chiffr&eacute;e de SNMPv3.
Proc&eacute;dez comme suit pour d&eacute;terminer la version que vous ex&eacute;cutez :
1. Ex&eacute;cutez ps –e|grep snmpd.
. Si vous n’avez pas re&ccedil;u de r&eacute;sultat, d&eacute;marrez le d&eacute;mon snmpd.
Ex&eacute;cutez startsrc –s snmpd.
. Si votre r&eacute;sultat comprend snmpdv1, vous ex&eacute;cutez SNMPv1. Vous pourrez
lancer des requ&ecirc;tes SNMPv1 lors de l’ex&eacute;cution de cette version.
. Si votre r&eacute;sultat comprend snmpdv3ne, vous ex&eacute;cutez la version non chiffr&eacute;e de
SNMPv3. Une fois install&eacute; AIX 5.2, cette version fonctionnera correctement. Elle
ne vous permet pas d’utiliser les cl&eacute;s de confidentialit&eacute;.
. Si votre r&eacute;sultat inclut snmpdv3e, vous ex&eacute;cutez la version chiffr&eacute;e de SNMPv3,
qui est un produit installable s&eacute;par&eacute;ment. La version chiffr&eacute;e de SNMPv3 est
disponible dans AIX Expansion Pack si cela est autoris&eacute;. La version chiffr&eacute;e de
SNMPv3 permet d’utiliser des cl&eacute;s de confidentialit&eacute;.
2. D&eacute;terminez si la version que vous ex&eacute;cutez est la version voulue. Si ce n’est
pas le cas, la commande snmpv3_ssw pour modifier la version comme suit :
. snmpv3_ssw –1 bascule vers SNMPv1
. snmpv3_ssw –n bascule vers la version non chiffr&eacute;e de SNMPv3
. snmpv3_ssw –e bascule vers la version chiffr&eacute;e de SNMPv3 si elle est install&eacute;e
• J’ai modifi&eacute; le fichier /etc/snmpdv3.conf et r&eacute;g&eacute;n&eacute;r&eacute; le d&eacute;mon, mais mes modifications
ne sont pas appliqu&eacute;es.
Apr&egrave;s avoir modifi&eacute; le fichier /etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon SNMP.
La r&eacute;g&eacute;n&eacute;ration du d&eacute;mon ne donne pas de r&eacute;sultat. Utilisez la proc&eacute;dure suivante :
1. Arr&ecirc;tez le d&eacute;mon SNMP en ex&eacute;cutant stopsrc –s snmpd.
2. D&eacute;marrez le d&eacute;mon SNMP en ex&eacute;cutant startsrc –s snmpd.
• Le sous–agent DPI2 est d&eacute;marr&eacute; mais je ne peux pas interroger les variables MIB &agrave;
partir de celui–ci.
Administration du r&eacute;seau
5-11
La cause la plus probable est que la communaut&eacute; public n’est pas configur&eacute; dans le
fichier /etc/snmpdv3.conf. Par d&eacute;faut, le sous–agent DPI2 livr&eacute; avec AIX utilise le nom
de communaut&eacute; public pour se connecter &agrave; l’agent SNMP. La communaut&eacute; public
est configur&eacute;e dans le fichier /etc/snmpdv3.conf par d&eacute;faut. Si vous avez supprim&eacute; la
communaut&eacute; public du fichier /etc/snmpd.conf, ajoutez les lignes suivantes au
fichier :
VACM_GROUP group1 SNMPv1 public –
VACM_VIEW defaultView 1.3.6.1.4.1.2.2.1.1.1.0 – included –
VACM_ACCESS group1 – – noAuthNoPriv SNMPv1 defaultView – defaultView –
COMMUNITY public
public
noAuthNoPriv 0.0.0.0
0.0.0.0
–
1.3.6.1.4.1.2.2.1.1.1.0 est l’OID de dpiPortForTCP.0.
• Je ne peux pas interroger des variables MB g&eacute;r&eacute;es par l’homologue smux alors que cela
&eacute;tait possible avant la migration.
V&eacute;rifiez que votre entr&eacute;e smux est pr&eacute;sente dans les fichiers /etc/snmpdv3.conf et
/etc/snmpd.peers. Si vous configurez de nouveaux homologues smux, v&eacute;rifiez qu’ils
sont entr&eacute;s aussi dans ces deux fichiers.
• J’ai impl&eacute;ment&eacute; mon propre groupe de variables MIB, mais je ne peux pas les inclure
ou les exclure des vues des utilisateurs.
Dans l’entr&eacute;e VACM_VIEW du fichier /etc/snmpdv3.conf, vous devez sp&eacute;cifier l’OID
de la variable MIB &agrave; la place du nom de variable MIB.
• Je ne re&ccedil;ois pas d’interruptions.
V&eacute;rifiez que vous avez correctement configur&eacute; les entr&eacute;es d’interruption dans le fichier
/etc/snmpdv3.conf. En outre, si l’interruption est une interruption SNMPv3, le fichier
/etc/clsnmp.conf doit aussi &ecirc;tre configur&eacute;. Pour plus d’instructions sur la configuration
des interruptions, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3, page 1-14.
En outre, v&eacute;rifiez que la machine devant recevoir les interruptions (dans le fichier
/etc/snmpdv3.conf) est &agrave; leur &eacute;coute. Vous pouvez d&eacute;marrer ce processus en
ex&eacute;cutant clsnmp trap sur la ligne de commande.
• Pourquoi le serveur DPI2 ne s’ex&eacute;cute–t–il pas dans l’environnement SNMPv3 ?
Dans l’architecture SNMPv3, l’agent SNMPv3 ex&eacute;cute lui–m&ecirc;me le serveur DPI2.
Pour plus d’informations, reportez–vous &agrave; Architecture SNMPv3, page 5-5.
5-12
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
SNMPv1
Les informations de cette section sont sp&eacute;cifiques &agrave; SNMPv1.
• Politiques d’acc&egrave;s SNMPv1, page 5-14
• D&eacute;mon SNMP, page 5-15
• Configuration du d&eacute;mon SNMP, page 5-16
• Fonctionnement du d&eacute;mon SNMP, page 5-17
• Support du d&eacute;mon SNMP pour la famille EGP de variables MIB, page 5-22
• Identification des incidents du d&eacute;mon SNMP, page 5-35
Administration du r&eacute;seau
5-13
Politiques d’acc&egrave;s SNMPv1
Lorsque SNMPv1 est utilis&eacute;, l’agent snmpd utilise un sch&eacute;ma d’authentification simple
pour conna&icirc;tre les stations du gestionnaire SNMP (Simple Network Management Protocol)
peuvent acc&eacute;der &agrave; ses variables MIB (Management Information Base). Le sch&eacute;ma
d’authentification suppose de sp&eacute;cifier les politiques d’acc&egrave;s SNMP pour SNMPv1. Une
politique d’acc&egrave;s SNMP est un ensemble de relations administratives impliquant une
association au sein d’une communaut&eacute; SNMP, un mode d’acc&egrave;s et une vue MIB.
On appelle communaut&eacute; SNMP un groupe d’h&ocirc;tes dot&eacute; d’un nom. Un nom de communaut&eacute;
est une cha&icirc;ne d’octets qu’un gestionnaire SNMP doit imbriquer dans un paquet de
requ&ecirc;tes SNMP &agrave; des fins d’authentification.
Le mode d’acc&egrave;s sp&eacute;cifie l’acc&egrave;s accord&eacute; aux h&ocirc;tes de la communaut&eacute;, en ce qui concerne
la r&eacute;cup&eacute;ration et la modification des variables MIB &agrave; partir d’un agent SNMP sp&eacute;cifique.
Le mode d’acc&egrave;s peut &ecirc;tre : none, read–only, read–write ou write–only.
Une vue MIB d&eacute;finit une ou plusieurs sous–arborescences MIB accessibles par une
communaut&eacute; SNMP donn&eacute;e. Il peut s’agir de toute l’arborescence MIB ou d’un
sous–ensemble de cette arborescence.
Lorsque l’agent SNMP re&ccedil;oit une requ&ecirc;te, il compare le nom de la communaut&eacute; &agrave; l’adresse
IP de l’h&ocirc;te demandeur pour savoir si ce dernier est un membre de la communaut&eacute; SNMP.
Si oui, il d&eacute;termine ensuite si l’h&ocirc;te demandeur a le droit d’acc&egrave;s sp&eacute;cifi&eacute; aux variables MIB
voulues, tel que d&eacute;fini dans la politique d’acc&egrave;s associ&eacute;e &agrave; cette communaut&eacute;. Si tous les
crit&egrave;res sont v&eacute;rifi&eacute;s, l’agent SNMP tente de r&eacute;pondre &agrave; la demande. Sinon, il g&eacute;n&egrave;re une
interruption d’&eacute;chec d’authentification (authenticationFailure) ou envoie un message
d’erreur &agrave; l’h&ocirc;te demandeur.
Les politiques d’acc&egrave;s de SNMPv1 pour l’agent snmpd sont configurables par l’utilisateur
et sont sp&eacute;cifi&eacute;es dans le fichier /etc/snmpd.conf. Pour configurer les politiques d’acc&egrave;s
SNMP pour l’agent snmpd, reportez–vous au fichier /etc/snmpd.conf.
5-14
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&eacute;mon SNMP
Le d&eacute;mon SNMP (Simple Network Management Protocol) est un processus serveur
d’arri&egrave;re-plan ex&eacute;cutable sur n’importe quel h&ocirc;te station de travail TCP/IP (Transmission
Control Protocol/Internet Protocol). Ce d&eacute;mon, qui sert d’agent SNMP, re&ccedil;oit, authentifie
et traite les requ&ecirc;tes SNMP issues des applications du gestionnaire. Pour en savoir plus,
reportez-vous aux sections “Simple Network Management Protocol,” “How a Manager
Functions” et “How an Agent Functions” AIX 5L Version 5.3 Communications
Programming Concepts.
Remarque :
Les termes d&eacute;mon SNMP, agent SNMP et agent sont synonymes.
Pour une configuration minimale, il faut que l’interface TCP/IP de boucle soit active
pour le d&eacute;mon snmpd. Avant de lancer TCP/IP, entrez la commande :
ifconfig lo0 loopback up
Administration du r&eacute;seau
5-15
Configuration du d&eacute;mon SNMP
Le d&eacute;mon SNMP (Simple Network Management Protocol) tente de lier les sockets &agrave; certain
ports UDP (User Datagram Protocol) et TCP (Transmission Control Protocol) identifi&eacute;s,
qui doivent &ecirc;tre d&eacute;finis dans le fichier /etc/services, comme suit :
snmp
snmp–trap
smux
161/udp
162/udp
199/tcp
Le service snmp doit &ecirc;tre affect&eacute; du port 161, conform&eacute;ment &agrave; RFC 1157. Le fichier
/etc/services assigne les ports 161, 162 et 199 &agrave; ces services. Si le fichier /etc/services
est mis &agrave; disposition &agrave; partir d’une autre machine, ces ports assign&eacute;s doivent &ecirc;tre rendus
disponibles dans le fichier /etc/services servi pour que le d&eacute;mon SNMP puisse s’ex&eacute;cuter.
Le d&eacute;mon SNMP lit le fichier de configuration sur la version SNMP en cours d’ex&eacute;cution au
lancement et lors de l’&eacute;mission d’une commande refresh (si le d&eacute;mon snmpd est appel&eacute;
sous le contr&ocirc;le SRC) ou d’un signal kill–1.
fichier /etc/snmpd.conf
Le fichier de configuration /etc/snmpd.conf sp&eacute;cifie les noms de communaut&eacute; et les vues
et droits d’acc&egrave;s associ&eacute;s, les h&ocirc;tes pour la notification d’interruption, les attributs
de connexion, les param&egrave;tres sp&eacute;cifiques de snmpd et les configurations SMUX
(single multiplexer) pour le d&eacute;mon SNMP. Pour en savoir plus, consultez le fichier
/etc/snmpd.conf.
5-16
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Fonctionnement du d&eacute;mon SNMP
Le d&eacute;mo, SNMP (Simple Network Management Protocol) traite les requ&ecirc;tes SNMP issues
des applications du gestionnaire. Pour en savoir plus, consultez les sections “Simple
Network Management Protocol (SNMP),” “How a Manager Functions” et “How an Agent
Functions” AIX Communications Programming Concepts.
Traitement d’un message et authentification
Toutes les requ&ecirc;tes, interruptions et r&eacute;ponses sont transmises sous la forme de messages
cod&eacute;s en ASN.1. Un message, tel que d&eacute;fini par RFC 1157, a la structure suivante :
Version Communaut&eacute; PDU
Version &eacute;tant la version de SNMP (actuellement la version 1), Communaut&eacute;, le nom de la
communaut&eacute; et PDU, l’unit&eacute; des donn&eacute;es de protocole contenant les donn&eacute;es de requ&ecirc;te,
de r&eacute;ponse ou d’interruption SNMP. Un PDU est &eacute;galement cod&eacute; selon les r&egrave;gles ASN.1.
Figure 29. Les parties principales de l’architecture SNMPv1 Cette illustration repr&eacute;sente
un exemple de l’architecture SNMPv1. Le sous–agent DPI2, le pair smux, le gestionnaire
SNMP et l’agent SNMP sont repr&eacute;sent&eacute;s. La communication entre eux est &eacute;galement
repr&eacute;sent&eacute;e.
Le d&eacute;mon SNMP re&ccedil;oit et transmet tous les messages du protocole SNMP via UDP
(User Datagram Protocol) TCP/IP (Transmission Control Protocol/Internet Protocol).
Les requ&ecirc;tes sont accept&eacute;es sur le port identifi&eacute; 161. Les interruptions sont transmises aux
h&ocirc;tes r&eacute;pertori&eacute;s dans les entr&eacute;es d’interruption du fichier /etc/snmpd.conf qui &eacute;coutent le
port identifi&eacute; 162.
A r&eacute;ception d’une requ&ecirc;te, l’adresse IP source et le nom de la communaut&eacute; sont compar&eacute;s
&agrave; la liste des adresses IP, des noms de communaut&eacute;, des droits et des vues, sp&eacute;cifi&eacute;s dans
le fichier /etc/snmpd.conf. L’agent snmpd lit ce fichier au lancement et &agrave; l’&eacute;mission d’une
commande refresh ou d’un signal kill –1. En l’absence d’entr&eacute;e correspondante, la requ&ecirc;te
est ignor&eacute;e. Dans le cas contraire, l’acc&egrave;s est accord&eacute;, en fonction des droits sp&eacute;cifi&eacute;s pour
cette association (adresse IP, communaut&eacute; et nom de vue) dans le fichier /etc/snmpd.conf.
Le message et le PDU doivent &ecirc;tre cod&eacute;s conform&eacute;ment aux r&egrave;gles ASN.1.
Ce sch&eacute;ma d’authentification n’est pas cens&eacute; garantir une s&eacute;curit&eacute; totale. Si le d&eacute;mon
SNMP n’est utilis&eacute; que pour les requ&ecirc;tes “get” et ”get-next”, la s&eacute;curit&eacute; n’est pas forc&eacute;ment
tr&egrave;s importante. En revanche, si des requ&ecirc;tes ”set” sont autoris&eacute;es, il est possible de
restreindre le privil&egrave;ge ”set”.
Pour en savoir plus, consultez le fichier /etc/snmpd.conf. Pour en savoir plus,
reportez-vous &agrave; ”Management Information Base (MIB)” AIX Communications
Programming Concepts.
Administration du r&eacute;seau
5-17
Traitement d’une requ&ecirc;te
Le d&eacute;mon SNMP peut recevoir trois types de requ&ecirc;tes PDU. Les types de requ&ecirc;tes,
d&eacute;finies dans RFC 1157, et les PDU ont tous le format suivant :
Format de PDU de requ&ecirc;te
ID requ&ecirc;te
&eacute;tat-erreur
index-erreur
liaisons-variable
GET
0
0
VarBindList
GET–NEXT
0
0
VarBindList
SET
0
0
VarBindList
Le champ ID-requ&ecirc;te indique la nature de la requ&ecirc;te ; les champs &eacute;tat-erreur et
index-erreur sont inutilis&eacute;s et doivent &ecirc;tre d&eacute;finis &agrave; 0 (z&eacute;ro) ; le champ liaisons-variable
contient une liste de longueur variable des ID d’instance, au format num&eacute;rique, dont les
valeurs sont demand&eacute;es. Si la valeur du champ ID requ&ecirc;te est SET, le champ
liaisons-variable est une liste de paires ID d’instance/valeur.
Pour en savoir plus, consultez la section ”Using the Management Information Base (MIB)
Database” AIX Communications Programming Concepts.
Traitement d’une r&eacute;ponse
Les PDU de r&eacute;ponse ont presque le m&ecirc;me format que les PDU de requ&ecirc;te :
Format de PDU de r&eacute;ponse
ID requ&ecirc;te
&eacute;tat-erreur
index-erreur
liaisons-variable
GET–RESPONSE
ErrorStatus
ErrorIndex
VarBindList
Si la requ&ecirc;te a abouti, la valeur des champs &eacute;tat-erreur et index-erreur est 0 (z&eacute;ro),
et le champ liaisons-variable contient la liste compl&egrave;te des paires ID d’instance/valeur.
Si un ID d’instance du champ liaisons-variable du PDU de requ&ecirc;te n’a pas abouti, l’agent
SNMP interrompt le traitement, entre l’index de l’ID d’instance d&eacute;faillant dans le champ
index-erreur, enregistre un code d’erreur dans le champ &eacute;tat-erreur et copie la liste de
r&eacute;sultats partiellement compl&eacute;t&eacute;e dans le champ liaisons-variable.
5-18
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
RFC 1157 d&eacute;finit les valeurs suivantes pour le champ &eacute;tat-erreur :
Valeurs du champ &eacute;tat-erreur
Valeur
Valeur
Explication
noError
0
Traitement r&eacute;ussi (index d’erreur = 0).
tooBig
1
La taille du PDU de r&eacute;ponse d&eacute;passe une limite d&eacute;finie
par l’impl&eacute;mentation (index d’erreur = 0).
noSuchName
2
Un ID d’instance n’existe pas dans la vue MIB
appropri&eacute;e pour les types de requ&ecirc;te GET et SET ou
n’a pas de successeur dans l’arborescence MIB dans
la vue MIB appropri&eacute;e pour les requ&ecirc;tes GET-NEXT
(index d’erreur diff&eacute;rent de z&eacute;ro).
badValue
3
Pour les requ&ecirc;tes SET uniquement, une valeur
sp&eacute;cifi&eacute;e est syntaxiquement incompatible avec
l’attribut de type de l’ID d’instance correspondant
(index d’erreur diff&eacute;rent de z&eacute;ro).
readOnly
4
Non d&eacute;fini.
genErr
5
Une erreur d&eacute;finie par l’impl&eacute;mentation s’est produite
(index d’erreur diff&eacute;rent de z&eacute;ro) ; par exemple, une
tentative d’assignation d’une valeur d&eacute;passant les
limites d’impl&eacute;mentation.
Administration du r&eacute;seau
5-19
Traitement d’une interruption
Les PDU d’interruption sont d&eacute;finis par RFC 1157 de fa&ccedil;on &agrave; avoir le format suivant :
Format de PDU d’interruption
entreprise
ID Objet
agent
g&eacute;n&eacute;rique
sp&eacute;cifique
adresse
interruption
interruption
Entier
Entier
Entier
horodate
variable
liaisons
Tics
d’horloge
VarBindList
Les champs sont utilis&eacute;s comme suit :
entreprise
Identificateur d’objet assign&eacute; au fournisseur impl&eacute;mentant
l’agent. Valeur de la variable sysObjectID, unique pour
chaque metteur en oeuvre d’un agent SNMP. La valeur
assign&eacute;e &agrave; cette impl&eacute;mentation de l’agent est
1.3.6.1.4.1.2.3.1.2.1.1.3 ou risc6000snmpd.3.
adresse-agent
Adresse IP de l’objet g&eacute;n&eacute;rateur de l’interruption.
interruption g&eacute;n&eacute;rique
Entier, comme suit :
0
coldStart
1
warmStart
2
linkDown
3
linkUp
4
authenticationFailure
5
egpNeighborLoss
6
enterpriseSpecific
5-20
interruption sp&eacute;cifique
Inutilis&eacute;, r&eacute;serv&eacute; &agrave; un usage ult&eacute;rieur.
horodate
Temps &eacute;coul&eacute;, en centi&egrave;mes de seconde, depuis la
derni&egrave;re r&eacute;initialisation de l’agent jusqu’&agrave; l’&eacute;v&eacute;nement
g&eacute;n&eacute;rant l’interruption.
liaisons-variable
Informations suppl&eacute;mentaires, fonction du type
d’interruption-g&eacute;n&eacute;rique.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Les valeurs d’interruption g&eacute;n&eacute;rique suivantes indiquent que certains &eacute;v&eacute;nements syst&egrave;me
ont &eacute;t&eacute; d&eacute;tect&eacute;s :
coldStart
L’agent est en cours de r&eacute;initialisation. Les donn&eacute;es de
configuration et/ou la valeur des variables MIB peuvent
avoir chang&eacute;. Les epochs de mesure doivent &ecirc;tre relanc&eacute;s.
warmStart
L’agent est en cours de r&eacute;initialisation, mais les donn&eacute;es de
configuration ou la valeur des variables MIB n’ont pas
chang&eacute;. Dans cette mise en oeuvre de l’agent SNMP, une
interruption warmStart est g&eacute;n&eacute;r&eacute;e &agrave; la relecture du fichier
/etc/snmpd.conf. Les informations de configuration dans le
fichier /etc/snmpd.conf concernent la configuration de
l’agent sans effets sur les bases de donn&eacute;es du
gestionnaire SNMP. Les epochs de mesure ne doivent pas
&ecirc;tre relanc&eacute;s.
linkDown
L’agent a d&eacute;tect&eacute; qu’une interface de communication
identifi&eacute;e a &eacute;t&eacute; d&eacute;sactiv&eacute;e.
linkUp
L’agent a d&eacute;tect&eacute; qu’une interface de communication
identifi&eacute;e a &eacute;t&eacute; activ&eacute;e.
authenticationFailure
Un message re&ccedil;u n’a pu &ecirc;tre authentifi&eacute;.
egpNeighborLoss
Un neighbor EGP (Exterior Gateway Protocol) est perdu.
Cette valeur n’est g&eacute;n&eacute;r&eacute;e que lorsque l’agent s’ex&eacute;cute
sur un h&ocirc;te ex&eacute;cutant le d&eacute;mon gated, avec le protocole
EGP (Exterior Gateway Protocol).
enterpriseSpecific
Non impl&eacute;ment&eacute;, r&eacute;serv&eacute; &agrave; un usage ult&eacute;rieur.
Les interruptions linkDown et linkUp contiennent une paire ID d’instance/valeur unique dans
la liste des liaisons de variable. L’ID d’instance identifie l’ifIndex de la carte d&eacute;sactiv&eacute;e ou
activ&eacute;e, et la valeur est celle de ifIndex. L’interruption pour egpNeighborLoss contient
&eacute;galement une liaison consistant en l’ID d’instance et la valeur de egpNeighAddr pour le
voisin perdu.
Administration du r&eacute;seau
5-21
Support du d&eacute;mon SNMP pour la famille EGP de variables MIB
Si l’h&ocirc;te de l’agent ex&eacute;cute le d&eacute;mon gated alors que le protocole EGP (Exterior Gateway
Protocol) est activ&eacute;, plusieurs variables MIB (Management Information Base) du groupe
EGP sont accept&eacute;es par le d&eacute;mon gated et accessibles par l’agent snmpd.
Les variables MIB EGP suivantes ont une instance unique :
egpInMsgs
Nombre de messages EGP re&ccedil;us sans erreur.
egpInErrors
Nombre de messages EGP re&ccedil;us avec erreur.
egpOutMsgs
Nombre total de messages EGP transmis par le d&eacute;mon gated actif
sur l’h&ocirc;te de l’agent.
egpOutErrors Nombre de messages EGP qui n’ont pas pu &ecirc;tre envoy&eacute;s au d&eacute;mon
gated de l’h&ocirc;te de l’agent, par suite de limitations des ressources.
egpAs
Num&eacute;ro syst&egrave;me autonome du d&eacute;mon gated de l’h&ocirc;te de l’agent.
Les variables MIB EGP suivantes ont une instance pour chaque homologue ou voisin EGP
acquis par le d&eacute;mon gated de l’h&ocirc;te de l’agent :
egpNeighState
&Eacute;tat de cet homologue EGP :
1
idle
2
acquisition
3
down
4
up
5
cease
egpNeighAddr
Adresse IP de cet homologue EGP.
egpNeighAs
Num&eacute;ro syst&egrave;me autonome de cet homologue EGP.
Z&eacute;ro (0) indique que ce num&eacute;ro n’est pas encore connu.
egpInNeighMsgs
Nombre de messages EGP re&ccedil;us sans erreur de cet
homologue EGP.
egpNeighInErrs
Nombre de messages EGP re&ccedil;us avec erreur de cet
homologue EGP.
egpNeighOutMsgs
Nombre de messages EGP g&eacute;n&eacute;r&eacute;s localement pour cet
homologue EGP.
egpNeighOutErrs
Nombre de messages EGP g&eacute;n&eacute;r&eacute;s en local, non envoy&eacute;s &agrave;
cet homologue EGP par suite de limitations des ressources.
egpNeighInErrMsgs
Nombre de messages d’erreur d&eacute;finis par EGP re&ccedil;us de cet
homologue EGP.
egpNeighOutErrMsgs
Nombre de messages d’erreur d&eacute;finis par EGP envoy&eacute;s &agrave; cet
homologue EGP.
egpNeighStateUp
Nombre de transitions de l’&eacute;tat EGP jusqu’&agrave; l’&eacute;tat UP avec cet
homologue EGP.
egpNeighStateDowns
Nombre de transitions de l’&eacute;tat EGP &agrave; partir de l’&eacute;tat UP jusqu’&agrave;
n’importe quel &eacute;tat avec cet homologue EGP.
egpNeighIntervalHello Intervalle entre les retransmissions de la commande Hello
d’EGP, en centi&egrave;mes de seconde.
5-22
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
egpNeighIntervalPoll
Intervalle entre les retransmissions de la commande
d’interrogation d’EGP, en centi&egrave;mes de seconde.
egpNeighMode
Mode d’interrogation de cet homologue EGP. Il peut &ecirc;tre actif
(1) ou passif (2).
egpNeighEventTrigger Une variable de contr&ocirc;le d&eacute;clenche des &eacute;v&eacute;nements de
lancement et d’arr&ecirc;t initi&eacute;s par l’op&eacute;rateur sur cet homologue
EGP. Cette variable MIB peut alors &ecirc;tre d&eacute;finie pour le
lancement (1) ou l’arr&ecirc;t (2).
Si le d&eacute;mon gated n’est pas actif, que le d&eacute;mon gated n’est pas configur&eacute; pour
communiquer avec l’agent snmpd ou que le d&eacute;mon gated n’est pas configur&eacute; pour EGP,
les requ&ecirc;tes get et set pour les valeurs de ces variables renvoient le code d’erreur
noSuchName.
Le fichier de configuration du d&eacute;mon gated, /etc/gated.conf, doit contenir l’instruction :
snmp
yes;
Le d&eacute;mon gated est configur&eacute; en interne pour &ecirc;tre un homologue du protocole SMUX
(SNMP multiplexing), ou un agent mandataire (proxy) du d&eacute;mon snmpd. A son lancement,
le d&eacute;mon gated enregistre l’arborescence de la variable MIB ipRouteTable avec l’agent
snmpd. Si le d&eacute;mon gated est configur&eacute; pour EGP, le d&eacute;mon gated enregistre &eacute;galement
l’arborescence de la variable MIB EGP. Une fois l’enregistrement termin&eacute;, un gestionnaire
SNMP peut envoyer des requ&ecirc;tes &agrave; l’agent snmpd concernant les variables MIB
ipRouteTable d’un EGP, prises en charge par le d&eacute;mon gated de l’h&ocirc;te de cet agent. Ainsi,
lorsque le d&eacute;mon gated s’ex&eacute;cute, toutes les informations de routage MIB sont obtenues
via le d&eacute;mon gated. Dans ce cas, les requ&ecirc;tes set pour ipRouteTable ne sont pas
autoris&eacute;es.
La communication SMUX entre les d&eacute;mons gated et snmpd s’effectue via le port TCP
(Transmission Control Protocol) identifi&eacute; 199. Si le d&eacute;mon gated doit s’arr&ecirc;ter, snmpd
d&eacute;senregistre imm&eacute;diatement les arborescences pr&eacute;c&eacute;demment enregistr&eacute;es par gated.
Si gated d&eacute;marre avant snmpd, gated contr&ocirc;le r&eacute;guli&egrave;rement le d&eacute;mon snmpd jusqu’&agrave;
&eacute;tablissement de l’association SMUX.
Pour configurer l’agent snmpd pour qu’il reconnaisse et autorise l’association SMUX avec
le client du d&eacute;mon gated, il faut ajouter une entr&eacute;e SMUX dans le fichier /etc/snmpd.conf.
L’identificateur et le mot de passe de l’objet client sp&eacute;cifi&eacute;s dans cette entr&eacute;e SMUX pour le
d&eacute;mon gated doivent correspondre &agrave; ceux du fichier /etc/snmpd.peers.
L’agent snmpd prend en charge les requ&ecirc;tes set pour les variables en lecture-&eacute;criture MIB I
et MIB II suivantes :
sysContact
Identification textuelle de la personne &agrave; contacter pour l’h&ocirc;te de cet agent.
Cette information contient le nom de la personne et comment la contacter :
par exemple, “Bob Smith, 555–5555, ext 5.” La valeur est limit&eacute;e &agrave;
256 caract&egrave;res. Si, pour une requ&ecirc;te set, cette cha&icirc;ne d&eacute;passe
256 caract&egrave;res, l’agent snmpd renvoie l’erreur badValue, et l’op&eacute;ration
set n’est pas ex&eacute;cut&eacute;e. La valeur initiale de sysContact est d&eacute;finie dans
/etc.snmp.conf. Valeur par d&eacute;faut : cha&icirc;ne nulle.
Instance
Valeur
Action
0
“cha&icirc;ne”
La variable MIB est d&eacute;finie comme “cha&icirc;ne”.
atN0etAddress Adresse IP correspondant &agrave; l’adresse mat&eacute;rielle ou physique sp&eacute;cifi&eacute;e
dans atPhysAddress. Il s’agit de la m&ecirc;me variable MIB que
ipNetToMediaNetAddress.
Administration du r&eacute;seau
5-23
Instance
Valeur
Action
f.1.n.n.n.n
m.m.m.m
Pour l’interface avec ifIndex f, une entr&eacute;e de
table ARP existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par l’adresse IP
m.m.m.m.
ipForwarding Indique si l’h&ocirc;te de l’agent achemine les datagrammes.
Instance
Valeur
Action
0
1
Si l’h&ocirc;te de l’agent poss&egrave;de plusieurs
interfaces actives, le noyau TCP/IP est
configur&eacute; pour l’acheminement des
paquets. S’il ne poss&egrave;de qu’une seule
interface active, la requ&ecirc;te set &eacute;choue.
2
Le noyau TCP/IP sur l’h&ocirc;te de l’agent est
configur&eacute; de sorte qu’il n’achemine pas les
paquets.
ipDefaultTTL
Dur&eacute;e de vie (TTL) par d&eacute;faut, ins&eacute;r&eacute;e dans l’en-t&ecirc;te IP des datagrammes
g&eacute;n&eacute;r&eacute;s par l’h&ocirc;te de l’agent.
Instance
Valeur
Action
0
n
La valeur de dur&eacute;e de vie par d&eacute;faut,
utilis&eacute;e par le support de protocole IP, est
d&eacute;finie comme l’entier n.
ipRouteDest
Adresse IP de destination d’une route dans la table des routes.
Instance
Valeur
Action
n.n.n.n
m.m.m.m
La route de destination pour la route n.n.n.n
est d&eacute;finie &agrave; l’adresse IP m.m.m.m.
ipRouteNextHop
Passerelle par laquelle une adresse IP de destination peut &ecirc;tre atteinte par
l’h&ocirc;te de l’agent (entr&eacute;e de la table des routes).
Instance
Valeur
Action
n.n.n.n
m.m.m.m
Une entr&eacute;e de la table des routes pour
atteindre le r&eacute;seau n.n.n.n via la passerelle
m.m.m.m est ajout&eacute;e &agrave; la table des routes.
La portion h&ocirc;te de l’adresse IP n.n.n.n doit
&ecirc;tre &eacute;gale &agrave; 0 pour indiquer une adresse de
r&eacute;seau.
sysName
Instance
Valeur
Action
0
“cha&icirc;ne”
La variable MIB est d&eacute;finie comme “cha&icirc;ne”.
sysLocation
5-24
Nom de l’h&ocirc;te de cet agent. Il s’agit g&eacute;n&eacute;ralement du nom qualifi&eacute; complet
du domaine. La valeur est limit&eacute;e &agrave; 256 caract&egrave;res. Si, pour une requ&ecirc;te
set, cette cha&icirc;ne d&eacute;passe 256 caract&egrave;res, l’agent snmpd renvoie l’erreur
badValue, et l’op&eacute;ration set n’est pas ex&eacute;cut&eacute;e.
Cha&icirc;ne textuelle indiquant l’emplacement physique de la machine sur
laquelle se trouve l’agent snmpd : par exemple, “Site Austin, building 802,
lab 3C–23.” La valeur est limit&eacute;e &agrave; 256 caract&egrave;res. Si, pour une requ&ecirc;te
set, cette cha&icirc;ne d&eacute;passe 256 caract&egrave;res, l’agent snmpd renvoie l’erreur
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
badValue, et l’op&eacute;ration set n’est pas ex&eacute;cut&eacute;e. La valeur initiale de
sysLocation est d&eacute;finie dans /etc/snmp.conf. Valeur par d&eacute;faut : cha&icirc;ne
nulle.
Instance
Valeur
Action
0
“cha&icirc;ne”
La variable MIB est d&eacute;finie comme “cha&icirc;ne”.
ifAdminStatus &Eacute;tat souhait&eacute; d’une carte d’interface sur l’h&ocirc;te de l’agent. Les &eacute;tats
possibles sont actif/inactif. Un &eacute;tat “test” peut &eacute;galement &ecirc;tre d&eacute;fini, mais
cette valeur est sans effet sur l’&eacute;tat effectif de l’interface.
Instance
Valeur
Action
f
1
La carte d’interface avec ifIndex f est
activ&eacute;e.
Remarque :
Il est possible que, m&ecirc;me si l’&eacute;tat ifAdminStatus est d&eacute;fini comme actif ou
inactif, le changement effectif d’&eacute;tat n’ait pas eu lieu. Dans ce cas, une
requ&ecirc;te get de ifAdminStatus peut indiquer un &eacute;tat up (actif), et un
ifOperStatus un &eacute;tat down (inactif) pour cette interface. Il faut alors que
l’administrateur de r&eacute;seau r&eacute;&eacute;mette une requ&ecirc;te set de passage de
ifAdminStatus &agrave; l’&eacute;tat actif pour retenter l’op&eacute;ration.
atPhysAddress
Partie mat&eacute;rielle de l’adresse d’une liaison de table d’adresses sur l’h&ocirc;te de
l’agent (entr&eacute;e de la table ARP (Address Resolution Protocol)). M&ecirc;me
variable MIB que ipNetToMediaPhysAddress.
Instance
Valeur
Action
f.1.n.n.n.n
hh:hh:hh:hh:hh:hh
Pour l’interface avec ifIndex f, toute liaison
de table ARP existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par la liaison (n.n.n.n,
hh:hh:hh:hh:hh:hh). S’il n’y en a pas, la
nouvelle liaison est ajout&eacute;e.
hh:hh:hh:hh:hh:hh est une adresse
mat&eacute;rielle hexad&eacute;cimale &agrave; douze chiffres.
ipRouteType
Etat d’une entr&eacute;e de la table des routes sur l’h&ocirc;te de l’agent
(utilis&eacute; pour supprimer des entr&eacute;es).
Instance
Valeur
Action
h.h.h.h
1
Toute route &agrave; destination de l’adresse IP de
l’h&ocirc;te h.h.h.h est supprim&eacute;e.
n.n.n.n
2
Toute route &agrave; destination de l’adresse IP de
l’h&ocirc;te n.n.n.n est supprim&eacute;e.
ipNetToMediaPhysAddress
Partie mat&eacute;rielle de l’adresse d’une liaison de table d’adresses sur l’h&ocirc;te de
l’agent (entr&eacute;e de la table ARP). M&ecirc;me variable MIB que atPhysAddress.
Instance
Valeur
Action
f.1.n.n.n.n
hh:hh:hh:hh:hh:hh
Pour l’interface avec ifIndex f, toute liaison
de table ARP existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par la liaison (n.n.n.n,
hh:hh:hh:hh:hh:hh). S’il n’y en a pas, la
nouvelle liaison est ajout&eacute;e.
hh:hh:hh:hh:hh:hh est une adresse
mat&eacute;rielle hexad&eacute;cimale &agrave; douze chiffres.
Administration du r&eacute;seau
5-25
ipNetToMediaNetAddress
Adresse IP correspondant &agrave; l’adresse mat&eacute;rielle ou physique sp&eacute;cifi&eacute;e
dans ipNetToMediaPhysAddress. M&ecirc;me variable MIB que atNetAddress.
Instance
Valeur
Action
f.1.n.n.n.n
m.m.m.m
Pour l’interface avec ifIndex f, une entr&eacute;e
de table ARP existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par l’adresse IP
m.m.m.m.
ipNetToMediaType
Type de mappage de l’adresse IP vers l’adresse physique.
Instance
Valeur
Action
f.1.n.n.n.n
1
Pour l’interface avec ifIndex f, pour une
liaison ARP existante de l’adresse IP vers
l’adresse physique, le type de mappage a la
valeur 1, ou autre.
2
Pour l’interface avec ifIndex f, pour une
liaison ARP existante de l’adresse IP vers
l’adresse physique, le type de mappage a la
valeur 2, ou n’est pas valide. Un effet
secondaire est que l’entr&eacute;e correspondante
de ipNetMediaTable est invalid&eacute;e,
c’est-&agrave;-dire que l’interface est dissoci&eacute;e de
cette entr&eacute;e ipNetToMediaTable.
3
Pour l’interface avec ifIndex f, pour une
liaison ARP existante de l’adresse IP vers
l’adresse physique, le type de mappage a la
valeur 3, ou dynamique.
4
Pour l’interface avec ifIndex f, pour une
liaison ARP existante de l’adresse IP vers
l’adresse physique, le type de mappage a la
valeur 4, ou statique.
snmpEnableAuthenTraps
Indique si l’agent snmpd est configur&eacute; de fa&ccedil;on &agrave; g&eacute;n&eacute;rer des interruptions
authenticationFailure.
Instance
Valeur
Action
0
1
L’agent snmpd g&eacute;n&eacute;rera des interruptions
“authentication failure”.
2
L’agent snmpd ne g&eacute;n&eacute;rera pas
d’interruptions “authentication failure”.
smuxPstatus Etat d’un homologue de protocole SMUX
(utilis&eacute; pour supprimer des homologues SMUX).
Instance
Valeur
Action
n
1
L’agent snmpd ne fait rien.
2
L’agent snmpd arr&ecirc;te de communiquer
avec l’homologue SMUX n.
smuxTstatus
5-26
Etat d’une arborescence SMUX (utilis&eacute; pour supprimer des montages
d’arborescence MIB).
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Instance
Valeur
Action
l.m.m.m._ _ _ .p
1
L’agent snmpd ne fait rien.
2
D&eacute;monte le montage SMUX de
l’arborescence MIB m.m.m... avec / comme
longueur d’une instance d’arborescence
MIB et p la valeur de smuxTpriority.
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon snmpd, conform&eacute;ment &agrave; RFC 1229.
L’unit&eacute; sous–jacente peut ne pas autoriser leur d&eacute;finition. V&eacute;rifiez ce qui est admis dans
chaque cas.
ifExtnsPromiscuous
Etat du mode promiscuous sur une unit&eacute;. Cette op&eacute;ration permet d’activer
ou de d&eacute;sactiver le mode promiscuous sur une unit&eacute; donn&eacute;e. L’action
snmpd est finalis&eacute;e et termin&eacute;e. Lorsque snmpd est instruit de s’arr&ecirc;ter, le
mode promiscuous est compl&egrave;tement d&eacute;sactiv&eacute;, quelles que soient les
autres applications sur la machine.
Instance
Valeur
Action
n
1
Active le mode promiscuous pour l’unit&eacute; n.
2
D&eacute;sactive le mode promiscuous pour
l’unit&eacute; n.
ifExtnsTestType
Variable d’initiation de test. Lorsqu’elle est d&eacute;finie, le test appropri&eacute; est
lanc&eacute; pour cette unit&eacute;. La valeur de cette variable est un identificateur
d’objet. La valeur sp&eacute;cifique d&eacute;pend du type d’unit&eacute; et du test &agrave; ex&eacute;cuter.
Actuellement, FullDiplexLoopBack est le seul test d&eacute;fini que snmpd sait
ex&eacute;cuter.
Instance
Valeur
Action
n
oid
Lance le test sp&eacute;cifi&eacute; par oid.
ifExtnsRcvAddrStatus
Variable d’&eacute;tat d’adresse. Lorsqu’elle est d&eacute;finie, l’adresse sp&eacute;cifi&eacute;e est
cr&eacute;&eacute;e avec un niveau de dur&eacute;e appropri&eacute;. snmpd permet la d&eacute;finition d’une
adresse temporaire uniquement, car il est incapable de d&eacute;finir des
enregistrements ODM d’unit&eacute; et qu’il n’est autoris&eacute; qu’&agrave; d&eacute;finir des
adresses multidestinataires/multidiffusion.
Instance
Valeur
Action
n.m.m.m.m.m.m
1
Ajoute l’adresse &agrave; titre ni temporaire ni
permanent.
2
Emp&ecirc;che l’utilisation de l’adresse.
3
Ajoute l’adresse &agrave; titre temporaire.
4
Ajoute l’adresse &agrave; titre permanent.
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon snmpd, conform&eacute;ment &agrave; RFC 1231.
L’unit&eacute; sous–jacente peut ne pas autoriser leur d&eacute;finition. V&eacute;rifiez ce qui est admis dans
chaque cas.
Administration du r&eacute;seau
5-27
dot5Commands
Commande que l’unit&eacute; token-ring doit ex&eacute;cuter.
Instance
Valeur
Action
n
1
Ne fait rien. Renvoy&eacute;.
2
Demande &agrave; l’unit&eacute; token-ring de s’ouvrir.
3
Demande au token-ring de se r&eacute;initialiser.
4
Demande &agrave; l’unit&eacute; token-ring de se fermer.
dot5RindSpeed
Vitesse ou largeur de bande de l’anneau actuel.
Instance
Valeur
Action
n
1
Vitesse inconnue.
2
Vitesse d’anneau de 1 m&eacute;gabits.
3
Vitesse d’anneau de 4 m&eacute;gabits.
4
Vitesse d’anneau de 16 m&eacute;gabits.
dot5ActMonParticipate
L’objet indique si l’unit&eacute; doit participer ou non au processus de s&eacute;lection
active du moniteur.
Instance
Valeur
Action
n
1
Doit participer.
2
Ne doit pas participer.
dot5Functional
Masque fonctionnel permettant &agrave; l’unit&eacute; token-ring de sp&eacute;cifier les adresses
&agrave; partir desquelles elle recevra des trames.
Instance
Valeur
Action
n
m.m.m.m.m.m
Masque fonctionnel &agrave; d&eacute;finir.
Les variables suivantes sont d&eacute;finies dans la consigne RFC comme &eacute;tant en lecture seule,
mais nous vous conseillons de leur affecter des droits en lecture-&eacute;criture. Elles concernent
des manipulations d’horloge complexes. Etudiez-les attentivement dans RFC pour bien
comprendre leurs interactions. snmpd permet au demandeur de les d&eacute;finir, mais l’unit&eacute; ne
le pourra peut-&ecirc;tre pas. Pour plus d’informations, consultez la documentation relative au
pilote de l’unit&eacute;. Les variables sont :
• dot5TimerReturnRepeat
• dot5TimerHolding
• dot5TimerQueuePDU
• dot5TimerValidTransmit
• dot5TimerNoToken
• dot5TimerActiveMon
• dot5TimerStandbyMon
• dot5TimerErrorReport
• dot5TimerBeaconTransmit
• dot5TimerBeaconReceive
5-28
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon SNMP conform&eacute;ment &agrave; RFC 1512.
Le d&eacute;mon se sert de la norme de protocole FDDI Station Management (SMT) 7.2 pour
obtenir des informations. Ceci est d&eacute;termin&eacute; au niveau du microcode. Contr&ocirc;lez le
microcode dans la documentation FDDI pour v&eacute;rifier que le microcode SMT 7.2 est utilis&eacute;.
fddimibSMTUserData
Variable contenant 32 octets d’informations utilisateur.
Instance
Valeur
Action
n
cha&icirc;ne
Stocke 32 octets d’informations utilisateur.
fddimibSMTConfigPolicy
Etat des politiques de configuration, notamment l’utilisation de la politique
”hold” de maintien en l’&eacute;tat.
Instance
Valeur
Action
n
0
Ne pas utiliser la politique “hold”.
1
Utiliser la politique “hold”.
fddimibSMTConnectionPolicy
Etat des politiques de connexion dans le noeud FDDI. Voir RFC 1512 pour
plus d’informations sur les valeurs d&eacute;finissables sp&eacute;cifiques.
Instance
Valeur
Action
n
k
D&eacute;finit les politiques de connexion.
fddimibSMTTNotify
Horloge, exprim&eacute;e en secondes, utilis&eacute;e dans le protocole Neighbor
Notification. Sa valeur est comprise entre 2 et 30 secondes
(30 secondes par d&eacute;faut).
Instance
Valeur
Action
n
k
D&eacute;finit la valeur de l’horloge.
fddimibSMTStatRptPolicy
Etat de la g&eacute;n&eacute;ration de trames de compte rendu d’&eacute;tat.
Instance
Valeur
Action
n
1
Le noeud g&eacute;n&egrave;re des trames de compte
rendu d’&eacute;tat pour les &eacute;v&eacute;nements
impl&eacute;ment&eacute;s.
2
Le noeud ne cr&eacute;e pas de trames de compte
rendu d’&eacute;tat.
fddimibSMTTraceMaxExpiration
Cette variable d&eacute;finit la valeur maximale d’expiration de l’horloge pour le suivi.
Instance
Valeur
Action
n
k
D&eacute;finit l’expiration maximale de l’horloge
(en millisecondes).
Administration du r&eacute;seau
5-29
fddimibSMTStationAction
Cette variable provoque l’ex&eacute;cution par l’entit&eacute; SMT d’une action
sp&eacute;cifique. Pour en savoir plus, voir la RFC.
Instance
Valeur
Action
n
k
D&eacute;finit une action sur l’entit&eacute; SMIT. Valeurs
comprises entre 1 et 8.
fddimibMACRequestedPaths
D&eacute;finit les chemins dans lesquels le MAC (medium access control) doit &ecirc;tre
ins&eacute;r&eacute;.
Instance
Valeur
Action
n.n
k
D&eacute;finit le chemin demand&eacute; pour le MAC.
fddimibMACFrameErrorThreshold
Seuil au-del&agrave; duquel un compte rendu d’&eacute;tat du MAC doit &ecirc;tre g&eacute;n&eacute;r&eacute;.
D&eacute;finit le nombre d’erreurs &agrave; partir duquel g&eacute;n&eacute;rer un compte rendu.
Instance
Valeur
Action
n.n
k
D&eacute;finit le nombre d’erreurs &agrave; partir duquel
g&eacute;n&eacute;rer un compte rendu d’&eacute;tat MAC.
fddimibMACMAUnitdataEnable
Cette variable d&eacute;termine la valeur de l’indicateur MA_UNITDATA_Enable
dans RMT. La valeur initiale et par d&eacute;faut de cet indicateur est ”vrai” (1).
Instance
Valeur
Action
n.n
1
Marque l’indicateur MA_UNITDATA_Enable
comme vrai (true).
2
Marque l’indicateur MA_UNITDATA_Enable
comme faux (false).
fddimibMACNotCopiedThreshold
Seuil d&eacute;terminant &agrave; quel moment est g&eacute;n&eacute;r&eacute; un compte rendu de condition
de MAC.
Instance
Valeur
Action
n.n
k
D&eacute;finit le nombre d’erreurs &agrave; partir duquel
g&eacute;n&eacute;rer un compte rendu de condition de
MAC.
Les trois variables suivantes, interd&eacute;pendantes, concernent l’horloge. Avant de les modifier,
assurez-vous que vous avez bien assimil&eacute; leur fonction, telle que d&eacute;finie dans RFC 1512.
• fddimibPATHTVXLowerBound
• fddimibPATHTMaxLowerBound
• fddimibPATHMaxTReq
5-30
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
fddimibPORTConnectionPolicies
Sp&eacute;cifie les politiques de connexion pour le port sp&eacute;cifi&eacute;.
Instance
Valeur
Action
n.n
k
D&eacute;finit les politiques de con–
nexion pour le port sp&eacute;cifi&eacute;.
fddimibPORTRequestedPaths
Cette variable est la liste des chemins permis du port. Le premier octet
correspond &agrave; “aucun”, le deuxi&egrave;me, &agrave; “arborescence”, et le troisi&egrave;me, &agrave;
“homologue”.
Instance
Valeur
Action
n.n
ccc
D&eacute;finit les chemins du port.
fddimibPORTLerCutoff
Estimation du taux d’erreur de liaison au-del&agrave; duquel une connexion de liaison
sera rompue. La valeur est comprise entre 10**-4 et 10**-15, et est rapport&eacute;e
comme la valeur absolue du logarithme &agrave; base 10 (valeur par d&eacute;faut : 7).
Instance
Valeur
Action
n.n
k
D&eacute;finit le LerCutoff du port.
fddimibPORTLerAlarm
Estimation du taux d’erreur de liaison au-del&agrave; duquel une connexion de
liaison g&eacute;n&egrave;re une alarme. La valeur est comprise entre 10**-4 et 10**-15
et est rapport&eacute;e comme la valeur absolue du logarithme &agrave; base 10 de
l’estimation (valeur par d&eacute;faut : 8).
Instance
Valeur
Action
n.n
k
D&eacute;finit le LerAlarm du port.
fddimibPORTAction
Cette variable entra&icirc;ne l’ex&eacute;cution d’une action sp&eacute;cifique par le PORT.
Pour en savoir plus, voir la RFC.
Instance
Valeur
Action
n
k
D&eacute;finit une action sur le port d&eacute;fini. Valeurs
comprises entre 1 et 6.
Remarque :
RFC 1213 d&eacute;crit toutes les variables des tables atEntry et
ipNetToMediaEntry comme &eacute;tant en lecture-&eacute;criture. Le support de set n’est
assur&eacute; que pour les variables atEntry aux adresses atPhysAddress et
atNetAddress, et pour les variables ipNetToMediaEntry aux adresses
ipNetToMediaPhysAddress, ipNetToMediaNetAddress, et de type
ipNetToMediaType. Les requ&ecirc;tes set accept&eacute;es qui sp&eacute;cifient les autres
attributs non accept&eacute;s dans ces deux tables sont : atIfIndex et
ipNetToMediaIfIndex. Aucune r&eacute;ponse d’erreur n’est renvoy&eacute;e &agrave; l’&eacute;metteur
de la requ&ecirc;te set, mais la requ&ecirc;te get suivante montrera que les valeurs
originales sont retenues.
RFC 1213 d&eacute;crit toutes les variables de la table ipRouteEntry comme &eacute;tant en
lecture-&eacute;criture, sauf ipRouteProto. Comme mentionn&eacute; ci-dessus, le support de set n’est
assur&eacute; que pour les variables ipRouteDest, ipRouteNextHop et ipRouteType. Pour
accepter des requ&ecirc;tes set pouvant sp&eacute;cifier plusieurs attributs de route non pris en
charge, les requ&ecirc;tes set pour les autres variables de la table ipRouteEntry sont
accept&eacute;es : ipRouteIfIndex, ipRouteMetric1, ipRouteMetric2, ipRouteMetric3,
ipRouteMetric4, ipRouteMetric5, ipRouteAge et ipRouteMask. Aucune r&eacute;ponse d’erreur
Administration du r&eacute;seau
5-31
n’est renvoy&eacute;e &agrave; l’&eacute;metteur de la requ&ecirc;te set, mais la requ&ecirc;te get suivante montrera que
les valeurs originales sont retenues. Le d&eacute;mon snmpd ne coordonne pas le routage
avec le d&eacute;mon routed. Si le d&eacute;mon gated s’ex&eacute;cute et a enregistr&eacute; la variable
ipRouteTable avec le d&eacute;mon snmpd, les requ&ecirc;tes set sur ipRouteTable ne sont pas
autoris&eacute;es.
RFC 1229 d&eacute;crit les variables d&eacute;finissables ; snmpd permet leur d&eacute;finition.
Pour les exceptions, reportez-vous aux entr&eacute;es pr&eacute;c&eacute;dentes.
Exemples
Les exemples suivants utilisent la commande snmpinfo. Le nom de communaut&eacute; par d&eacute;faut
de snmpinfo, public, est suppos&eacute; avoir acc&egrave;s en lecture-&eacute;criture &agrave; la sous-arborescence
MIB correspondante :
snmpinfo –m set sysContact.0=”Primary contact: Bob Smith, office phon
e: 555–5555,
beeper: 9–123–4567. Secondary contact: John Harris, phone: 555–1234.”
Cette commande affecte &agrave; sysContact.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e. S’il existe d&eacute;j&agrave;
une entr&eacute;e pour sysContact.0, elle est remplac&eacute;e.
snmpinfo –m set sysName.0=”bears.austin.ibm.com”
Cette commande affecte &agrave; sysName.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e. S’il existe d&eacute;j&agrave; une
entr&eacute;e pour sysName.0, elle est remplac&eacute;e.
snmpinfo –m set sysLocation.0=”Austin site, building 802, lab 3C–23
, southeast
corner of the room.”
Cette commande affecte &agrave; sysLocation.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e.
S’il existe d&eacute;j&agrave; une entr&eacute;e pour sysLocation.0, elle est remplac&eacute;e.
snmpinfo –m set ifAdminStatus.2=2
D&eacute;sactive la carte d’interface r&eacute;seau dont l’ifIndex a la valeur 2. Si la valeur affect&eacute;e est
&eacute;gale &agrave; 1, la carte d’interface est activ&eacute;e.
snmpinfo –m set atPhysAddress.2.1.192.100.154.2=02:60:8c:2e:c2:00
snmpinfo –m set ipNetToMediaPhysAddress.2.1.192.100.154.2=02:60:8c:
2e:c2:00
Changent l’adresse mat&eacute;rielle dans l’entr&eacute;e de la table ARP de 192.100.154.2 en
02:60:8c:2e:c2:00. Elles affectent la m&ecirc;me entr&eacute;e de table ARP. La variable
MIB atPhysAddress est une variable d&eacute;pr&eacute;ci&eacute;e, remplac&eacute;e par la variable
MIB ipNetToMediaPhysAddress. Donc, atPhysAddress et ipNetToMediaPhysAddress ont
acc&egrave;s &agrave; la m&ecirc;me structure dans la table ARP du noyau TCP/IP.
snmpinfo –m set atNetAddress.2.1.192.100.154.2=192.100.154.3
snmpinfo –m set ipNetToMediaNetAddress.2.1.192.100.154.2=192.100.154.3
Changent l’adresse IP dans l’entr&eacute;e de la table ARP de 192.100.154.2 en
192.100.154.3. Elles affectent la m&ecirc;me entr&eacute;e de table ARP. La variable MIB
atNetAddress est une variable d&eacute;pr&eacute;ci&eacute;e, remplac&eacute;e par la variable MIB
ipNetToMediaNetAddress. Ainsi, atNetAddress et ipNetToMediaNetAddress ont acc&egrave;s &agrave; la
m&ecirc;me structure dans la table ARP du noyau TCP/IP.
snmpinfo –m set ipForwarding.0=1
D&eacute;finit le noyau TCP/IP de sorte qu’il puisse acheminer les paquets si l’h&ocirc;te de l’agent a
plusieurs interfaces actives. S’il n’en a qu’une, la requ&ecirc;te set &eacute;choue et l’agent snmpd
renvoie l’erreur badValue.
snmpinfo –m set ipDefaultTTL=50
5-32
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Permet &agrave; un datagramme IP utilisant la dur&eacute;e de vie (TTL) par d&eacute;faut de passer par des
passerelles (50 maximum) avant d’&ecirc;tre rejet&eacute;. A chaque traitement du datagramme par une
passerelle, cette derni&egrave;re d&eacute;cr&eacute;mente de 1 le champ de dur&eacute;e de vie. En outre, chaque
passerelle d&eacute;cr&eacute;mente ce champ du nombre de secondes qu’a attendu le datagramme pour
&ecirc;tre trait&eacute; avant d’&ecirc;tre transmis &agrave; la destination suivante.
snmpinfo –m set ipRouteDest.192.100.154.0=192.100.154.5
D&eacute;finit l’adresse IP de destination de la route associ&eacute;e &agrave; 192.100.154.0 comme &eacute;tant
192.100.154.5 (en supposant que la route 192.100.154 existait d&eacute;j&agrave;).
snmpinfo –m set ipRouteNextHop.192.100.154.1=129.35.38.47
D&eacute;finit une route vers l’h&ocirc;te 192.100.154.1 via la passerelle h&ocirc;te 129.35.38.47
(en supposant que la route 192.100.154.1 existait d&eacute;j&agrave;).
snmpinfo –m set ipRouteNextHop.192.100.154.0=192.100.154.7
D&eacute;finit une route vers le serveur de classe C 192.100.154 via la passerelle h&ocirc;te
192.100.154.7 (en supposant que la route 192.100.154.0 existait d&eacute;j&agrave;).
Remarquez que la partie h&ocirc;te de l’adresse doit &ecirc;tre 0 pour indiquer une adresse de r&eacute;seau.
snmpinfo –m set ipRouteType.192.100.154.5=2
Supprime toute route pour l’h&ocirc;te 192.100.154.5.
snmpinfo –m set ipRouteDest.129.35.128.1=129.35.128.1
ipRouteType.129.35.128.1=3
ipRouteNextHop.129.35.128.1=129.35.128.90
Cr&eacute;e une nouvelle route depuis l’h&ocirc;te 129.35.128.90 jusqu’&agrave;
passerelle.
129.35.128.1 comme
snmpinfo –m set ipNetToMediaType.2.1.192.100.154.11=4
D&eacute;finit l’entr&eacute;e de la table ARP en 192.100.154.11 comme statique.
snmpinfo –m set snmpEnableAuthenTraps=2
Indique &agrave; l’agent snmpd sur l’h&ocirc;te sp&eacute;cifi&eacute; de ne pas g&eacute;n&eacute;rer d’interruptions de type
authenticationFailure.
snmpinfo –m set smuxPstatus.1=2
Annule la validit&eacute; de l’homologue SMUX 1. L’effet secondaire est que la connexion entre
l’agent snmpd et cet homologue SMUX prend fin.
snmpinfo –m set smuxTstatus.8.1.3.6.1.2.1.4.21.0=2
Annule la validit&eacute; ou supprime le montage de l’arborescence SMUX 1.3.6.1.2.1.4.21,
la table ipRoute. Le premier nombre de l’instance indique le nombre de niveaux dans
l’identificateur d’arborescence SMUX. Le dernier nombre indique la priorit&eacute; smuxTpriority.
Dans cet exemple, il y a 8 niveaux dans l’identificateur d’arborescence SMUX :
1.3.6.1.2.1.4.21. La priorit&eacute;, 0, est la plus haute.
snmpinfo –m set ifExtnsPromiscuous.1=1 ifExtnsPromiscuous.2=2
Active le mode ”promiscuous” pour la premi&egrave;re unit&eacute; de la table d’interfaces et le d&eacute;sactive
pour la deuxi&egrave;me unit&eacute;.
snmpinfo –m set ifExtnsTestType.1=testFullDuplexLoopBack
Administration du r&eacute;seau
5-33
Lance le test testFullDuplexLoopBack sur l’interface 1.
snmpinfo –m set ifExtnsRcvAddrStatus.1.129.35.128.1.3.2=2
Indique &agrave; l’interface 1 de supprimer l’adresse physique 129.35.128.1.3.2 de la liste des
adresses acceptables.
snmpinfo –m set dot5Commands.1=2
Demande &agrave; la premi&egrave;re interface d’ex&eacute;cuter une ouverture.
snmpinfo –m set dot5RingSpeed.1=2
Indique &agrave; la premi&egrave;re interface de d&eacute;finir sa vitesse d’anneau &agrave; 1 m&eacute;gabit.
snmpinfo –m set dot5ActMonParticipate.1=1
Indique &agrave; la premi&egrave;re interface de participer au processus de s&eacute;lection du moniteur actif.
snmpinfo –m set dot5Functional.1=255.255.255.255.255.255
D&eacute;finit le masque d’adresse fonctionnel de sorte que tout soit autoris&eacute;.
snmpinfo –m set fddimibSMTUserData.1=”Greg’s Data”
D&eacute;finit les donn&eacute;es utilisateur sur la premi&egrave;re entit&eacute; SMT comme ”Greg’s Data”.
snmpinfo –m set fddimibMACFrameErrorThreshold.1.1=345
D&eacute;finit le seuil des erreurs de trame &agrave; 345 sur le premier MAC de la premi&egrave;re entit&eacute; SMT.
Remarque :
Toutes les variables d&eacute;crites sont d&eacute;finissables par l’une ou l’autre des
m&eacute;thodes indiqu&eacute;es pr&eacute;c&eacute;demment.
Pour en savoir plus sur les protocoles et les adresses Internet, reportez–vous &agrave; Protocole
ARP, page 4-22 et &agrave; Adresses Internet, page 4-60.
5-34
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Identification et r&eacute;solution des incidents li&eacute;s au d&eacute;mon SNMP
Si l’agent snmpd ne se comporte pas comme il le devrait, voici quelques indices pour vous
aider &agrave; diagnostiquer et corriger le probl&egrave;me. Il est fortement recommand&eacute; de d&eacute;marrer
l’agent snmpd en sp&eacute;cifiant une journalisation. En cas d’incidents suite &agrave; l’appel du d&eacute;mon
snmpd, il est vivement recommand&eacute; de configurer le d&eacute;mon syslogd pour une
journalisation au niveau de l’utilitaire du d&eacute;mon et de la gravit&eacute; DEBUG. Reportez–vous &agrave; la
commande snmpd et au fichier snmpd.conf pour plus d’informations sur la journalisation
snmpd.
Interruption pr&eacute;matur&eacute;e
Si le d&eacute;mon snmpd s’arr&ecirc;te d&egrave;s son appel :
• La cause de l’arr&ecirc;t est enregistr&eacute;e dans le fichier journal snmpd ou syslogd configur&eacute;.
Consultez ce fichier pour prendre connaissance du message d’erreur FATAL.
Solution : Corrigez le probl&egrave;me et relancez le d&eacute;mon snmpd.
• La syntaxe de la ligne de commande snmpd est incorrecte. Si vous avez appel&eacute; la
commande snmpd sans SRC (System Resource Controller), la syntaxe requise s’affiche
&agrave; l’&eacute;cran. Si vous avez appel&eacute; le d&eacute;mon snmpd sous SRC (System Resource
Controller), la syntaxe requise ne s’affiche pas &agrave; l’&eacute;cran. Consultez le fichier journal pour
conna&icirc;tre la syntaxe appropri&eacute;e.
Solution : Corrigez la syntaxe de la commande snmpd.
• Seul l’utilisateur racine doit appeler le d&eacute;mon snmpd. L’agent snmpd n’est pas ex&eacute;cut&eacute;
s’il n’est pas appel&eacute; par l’utilisateur racine.
Solution : Ouvrez une session utilisateur racine et relancez le d&eacute;mon snmpd.
• Le fichier snmpd.conf doit appartenir &agrave; l’utilisateur racine. L’agent snmpd v&eacute;rifie la
propri&eacute;t&eacute; du fichier de configuration. Si le fichier n’appartient pas &agrave; l’utilisateur racine,
l’agent snmpd s’arr&ecirc;te, ceci &eacute;tant consid&eacute;r&eacute; comme une erreur fatale.
Solution : V&eacute;rifiez que vous &ecirc;tes connect&eacute; en tant qu’utilisateur racine, changez le
propri&eacute;taire du fichier de configuration et relancez le d&eacute;mon snmpd.
• Le fichier snmpd.conf doit exister. Si vous n’avez pas sp&eacute;cifi&eacute; le fichier de journalisation
sur la ligne de commande snmpd via l’indicateur –c, c’est le fichier /etc/snmpd.conf qui
doit exister. Si vous avez accidentellement supprim&eacute; le fichier /etc/snmpd.conf,
r&eacute;installez l’image bos.net.tcp.client ou reconstituez le fichier avec les entr&eacute;es de
configuration ad&eacute;quates, telles que d&eacute;finies dans la page man du fichier snmpd.conf.
Si vous aviez vraiment sp&eacute;cifi&eacute; le fichier de configuration sur la ligne de commande
snmpd via l’indicateur –c, v&eacute;rifiez que ce fichier existe et qu’il appartient &agrave; l’utilisateur
racine. Vous devez sp&eacute;cifier le chemin d’acc&egrave;s complet et le nom du fichier de
configuration si vous ne voulez pas utiliser le fichier /etc/snmpd.conf par d&eacute;faut.
Solution : Assurez-vous de l’existence du fichier de configuration sp&eacute;cifi&eacute; et de son
appartenance &agrave; l’utilisateur racine. Relancez le d&eacute;mon snmpd.
• Il y a d&eacute;j&agrave; une liaison avec le port udp 161. V&eacute;rifiez que le d&eacute;mon snmpd n’est pas d&eacute;j&agrave;
en cours d’ex&eacute;cution. Lancez la commande ps –eaf | grep snmpd pour d&eacute;terminer si un
processus du d&eacute;mon snmpd est d&eacute;j&agrave; en cours. Un seul agent snmpd peut effectuer la
liaison au port udp 161.
Solution : Tuez l’agent snmpd existant ou n’essayez pas de d&eacute;marrer un autre
processus du d&eacute;mon snmpd.
Administration du r&eacute;seau
5-35
D&eacute;faillance du d&eacute;mon
Si le d&eacute;mon snmpd &eacute;choue lorsque vous &eacute;mettez un signal refresh ou kill -1 :
• La cause de l’arr&ecirc;t est enregistr&eacute;e dans le fichier journal snmpd ou syslogd configur&eacute;.
Recherchez dans l’un ou l’autre le message d’erreur FATAL.
Solution : Corrigez le probl&egrave;me et relancez le d&eacute;mon snmpd.
• V&eacute;rifiez que vous avez sp&eacute;cifi&eacute; le chemin d’acc&egrave;s complet et le nom du fichier de
configuration &agrave; l’appel du d&eacute;mon snmpd. Le d&eacute;mon snmpd ”bifurque”, passant au
r&eacute;pertoire racine lorsqu’il est appel&eacute;. Si vous n’avez pas sp&eacute;cifi&eacute; le nom complet du
fichier, l’agent snmpd ne peut pas le trouver lors d’un rafra&icirc;chissement. Il s’agit d’une
erreur fatale qui entra&icirc;ne l’arr&ecirc;t pr&eacute;matur&eacute; de l’agent snmpd.
Solution : Sp&eacute;cifiez le chemin d’acc&egrave;s complet et le nom du fichier de configuration
snmpd. V&eacute;rifiez qu’il appartient &agrave; l’utilisateur racine. Relancez le d&eacute;mon snmpd.
• V&eacute;rifiez que le fichier de configuration du snmpd existe encore. Il peut avoir &eacute;t&eacute;
malencontreusement supprim&eacute; apr&egrave;s l’appel de l’agent snmpd. Si l’agent snmpd ne
peut pas l’ouvrir, l’agent snmpd s’arr&ecirc;te pr&eacute;matur&eacute;ment.
Solution : Recr&eacute;ez le fichier de configuration snmpd, assurez-vous qu’il appartient &agrave;
l’utilisateur racine et relancez le d&eacute;mon snmpd.
Acc&egrave;s impossible aux variables MIB
Si l’agent snmpd ne peut acc&eacute;der aux variables MIB, ou s’il s’ex&eacute;cute mais que l’application
du gestionnaire SNMP (Simple Network Management Protocol) d&eacute;passe le d&eacute;lai d’attente
d’une r&eacute;ponse de l’ agent snmpd :
• V&eacute;rifiez la configuration r&eacute;seau de l’h&ocirc;te sur lequel s’ex&eacute;cute l’agent snmpd &agrave; l’aide de la
commande netstat –in. V&eacute;rifiez que l’unit&eacute; lo0, en boucle, est active. Si l’unit&eacute; n’est pas
active, un * (ast&eacute;risque) est affich&eacute; en regard de lo0. Pour que l’agent snmpd serve les
requ&ecirc;tes, lo0 doit &ecirc;tre active.
Solution : Emettez la commande suivante pour d&eacute;marrer l’interface de boucle :
ifconfig lo0 inet up
• V&eacute;rifiez que le d&eacute;mon snmpd a une route conduisant &agrave; l’h&ocirc;te sur lequel vous avez &eacute;mis
les requ&ecirc;tes.
Solution : Sur l’h&ocirc;te sur lequel s’ex&eacute;cute le d&eacute;mon snmpd, ajoutez une route conduisant
&agrave; l’h&ocirc;te sur lequel la requ&ecirc;te SNMP a &eacute;mis la commande route add. Reportez-vous &agrave; la
commande route.
• V&eacute;rifiez que le nom de l’h&ocirc;te et son adresse IP sont les m&ecirc;mes.
Solution : Red&eacute;finissez le nom de l’h&ocirc;te pour le faire correspondre &agrave; son adresse IP.
• V&eacute;rifiez si localhost (h&ocirc;te local) est d&eacute;fini comme adresse IP de lo0.
Solution : D&eacute;finissez que localhost est &agrave; la m&ecirc;me adresse que celle utilis&eacute;e par l’adresse
IP de lo0 (g&eacute;n&eacute;ralement 127.0.0.1).
5-36
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Acc&egrave;s impossible aux variables MIB dans une entr&eacute;e de communaut&eacute;
Si une entr&eacute;e de communaut&eacute; est sp&eacute;cifi&eacute;e dans le fichier de configuration avec un nom de
vue MIB, mais qu’il est impossible d’acc&eacute;der aux variables MIB :
• V&eacute;rifiez l’entr&eacute;e de communaut&eacute;. Si vous y avez indiqu&eacute; un nom de vue, tous les champs
de cette entr&eacute;e sont obligatoires.
Solution : Sp&eacute;cifiez tous les champs de l’entr&eacute;e de la communaut&eacute; dans le fichier de
configuration. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que le mode d’acc&egrave;s d&eacute;fini dans l’entr&eacute;e de la communaut&eacute; correspond &agrave;
votre type de requ&ecirc;te. Si vous &eacute;mettez une requ&ecirc;te get ou get–next, v&eacute;rifiez que la
communaut&eacute; est dot&eacute;e de droits en lecture seule ou en lecture-&eacute;criture. Si vous &eacute;mettez
une requ&ecirc;te set, v&eacute;rifiez qu’elle est dot&eacute;e de droits en lecture-&eacute;criture.
Solution : Corrigez le mode d’acc&egrave;s dans l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez
l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que vous avez sp&eacute;cifi&eacute; une entr&eacute;e de vue correspondant au nom de vue
indiqu&eacute; dans l’entr&eacute;e de communaut&eacute;. Faute de quoi, l’agent snmpd interdit l’acc&egrave;s &agrave;
cette communaut&eacute;. Il est imp&eacute;ratif de sp&eacute;cifier une entr&eacute;e de vue pour une entr&eacute;e de
communaut&eacute;e dans le fichier de configuration.
Solution : Sp&eacute;cifiez une entr&eacute;e de vue correspondant au nom de vue indiqu&eacute; dans
l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Si vous avez sp&eacute;cifi&eacute; iso comme sous-arborescence MIB pour votre entr&eacute;e de vue,
assurez-vous d’avoir indiqu&eacute; iso.3. L’instance de 3 est requise pour que l’agent snmpd
ait acc&egrave;s &agrave; la portion org de l’arborescence iso.
Solution : Sp&eacute;cifiez iso.3 comme sous-arborescence MIB dans l’entr&eacute;e de vue.
Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• V&eacute;rifiez l’adresse IP et le masque de r&eacute;seau dans l’entr&eacute;e de la communaut&eacute;. V&eacute;rifiez
que l’h&ocirc;te &agrave; partir duquel vous &eacute;mettez la requ&ecirc;te SNMP est inclus dans la communaut&eacute;
sp&eacute;cifi&eacute;e.
Solution : Modifiez les champs IP address (adresse IP) et network mask (masque de
r&eacute;seau) dans l’entr&eacute;e de communaut&eacute; du fichier de configuration pour y inclure l’h&ocirc;te &agrave;
partir duquel vous &eacute;mettez la requ&ecirc;te SNMP.
Absence de r&eacute;ponse de l’agent
Si l’adresse IP de la communaut&eacute; est 0.0.0.0, mais que l’agent snmpd ne r&eacute;pond pas :
• V&eacute;rifiez le champ network mask (masque de r&eacute;seau) dans l’entr&eacute;e de la communaut&eacute;.
Pour donner un acc&egrave;s g&eacute;n&eacute;ral &agrave; ce nom de communaut&eacute;, le champ network mask doit
avoir la valeur 0.0.0.0. Si vous avez affect&eacute; au champ network mask la valeur
255.255.255.255, vous avez configur&eacute; l’agent snmpd de fa&ccedil;on &agrave; interdire toute requ&ecirc;te
avec le nom de communaut&eacute; sp&eacute;cifi&eacute;.
Solution : Donnez la valeur 0.0.0.0 au champ network mask (masque de r&eacute;seau) de
l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que le mode d’acc&egrave;s d&eacute;fini dans l’entr&eacute;e de la communaut&eacute; correspond &agrave;
votre type de requ&ecirc;te. Si vous &eacute;mettez une requ&ecirc;te get ou get–next, v&eacute;rifiez que la
communaut&eacute; est dot&eacute;e de droits en lecture seule ou en lecture-&eacute;criture. Si vous &eacute;mettez
une requ&ecirc;te set, v&eacute;rifiez qu’elle est dot&eacute;e de droits en lecture-&eacute;criture.
Solution : Corrigez le mode d’acc&egrave;s dans l’entr&eacute;e de la communaut&eacute;.
Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
Administration du r&eacute;seau
5-37
Message noSuchName
Si, lors d’une tentative de d&eacute;finition d’une variable MIB que l’agent snmpd est cens&eacute;
prendre en charge, le message d’erreur noSuchName est renvoy&eacute; :
La requ&ecirc;te set &eacute;mise n’incluait peut-&ecirc;tre pas de nom de communaut&eacute; correspondant &agrave; une
communaut&eacute; autoris&eacute;e avec un acc&egrave;s en &eacute;criture. Le protocole SNMP sp&eacute;cifie qu’une
requ&ecirc;te set mentionnant une communaut&eacute; avec des droits d’acc&egrave;s inad&eacute;quats doit recevoir
en r&eacute;ponse le message d’erreur noSuchName.
Solution : Emettez la requ&ecirc;te set avec le nom d’une communaut&eacute; dot&eacute;e de droits d’acc&egrave;s
en &eacute;criture et comprenant l’h&ocirc;te &agrave; partir duquel est &eacute;mise la requ&ecirc;te set.
5-38
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Chapitre 6. Syst&egrave;me de fichiers NFS
Ce chapitre fournit des informations sur NFS (Network File System),
m&eacute;canisme de stockage des fichiers sur le r&eacute;seau. Il traite des points suivants :
• Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s, page 6-2
• Installation et configuration de NFS, page 6-16
• PC–NFS, page 6-32
• Gestion des mappes LDAP Automount, page 6-35
• WebNFS, page 6-36
• Gestionnaire NLM (Network Lock Manager), page 6-37
• S&eacute;curit&eacute; NFS, page 6-41
• Identification des incidents NFS, page 6-42
• Informations de r&eacute;f&eacute;rence NFS, page 6-52
Syst&egrave;me de fichiers NFS
6-1
Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s
Le syst&egrave;me NFS (Network File System) est un syst&egrave;me de fichiers distribu&eacute;s, donnant aux
utilisateurs acc&egrave;s aux fichiers et r&eacute;pertoires sur des ordinateurs distants - ils ont ainsi la
possibilit&eacute; de les traiter comme s’il s’agissait de fichiers et r&eacute;pertoires locaux. Les
utilisateurs, par exemple, peuvent utiliser les commandes du syst&egrave;me d’exploitation pour
cr&eacute;er, supprimer, lire, &eacute;crire des fichiers et d&eacute;finir des attributs sur les fichiers et les
r&eacute;pertoires distants.
Le module NFS contient les commandes et d&eacute;mons de NFS, NIS (Network Information
Service) et d’autres services. Mais, bien qu’ils soient install&eacute;s simultan&eacute;ment, NFS et NIS
constituent deux modules distincts, configur&eacute;s et administr&eacute;s ind&eacute;pendamment. Pour plus
d’informations sur NIS et NIS+, consultez le manuel AIX 5L Version 5.3 Network Information
Services (NIS and NIS+).
AIX 5.3 et les versions ult&eacute;rieures prennent en charge les protocoles NFS version 2, 3 et 4.
NFS version 4 est la derni&egrave;re version de NFS et est d&eacute;crite par les sp&eacute;cifications RFC 3530.
Nous discuterons plus en d&eacute;tail de la compatibilit&eacute; AIX avec la NFS version 4 plus loin dans
cette section. Les clients NFS utilisent le protocole NFS version 3 par d&eacute;faut.
Cette section traite des points suivants :
•
Services NFS, page 6-2
•
Liste de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS, page 6-3
•
Syst&egrave;me de fichiers cache (CacheFS), page 6-5
•
Mappage de fichiers sous NFS, page 6-7
•
Types de montage NFS, page 6-7
•
Exportation et montage NFS, page 6-8
•
Fichiers NFS, page 6-10
•
Impl&eacute;mentation de NFS, page 6-12
•
Contr&ocirc;le de NFS, page 6-13
•
Prise en charge de NFS version 4, page 6-15
Services NFS
Les services NFS sont fournis via une relation client-serveur. Les ordinateurs qui rendent
leurs syst&egrave;mes de fichiers, leurs r&eacute;pertoires et d’autres ressources accessibles &agrave; distance
sont appel&eacute;s des serveurs. Le fait de rendre ces ressources disponibles est appel&eacute;
exportation. Les ordinateurs et leurs processus qui tirent parti des ressources du serveur
sont consid&eacute;r&eacute;s comme des clients. Lorsqu’un client monte un syst&egrave;me de fichiers export&eacute;
par un serveur, il a acc&egrave;s aux fichiers du serveur (l’acc&egrave;s aux r&eacute;pertoires peut &ecirc;tre limit&eacute; &agrave;
certains clients).
Les principaux services NFS sont les suivants :
6-2
Service
Description
Service Mount
Via le d&eacute;mon /usr/sbin/rpc.mountd sur le serveur et la commande
/usr/sbin/mount sur le client. Ce service est disponible uniquement
avec NFS version 2 et version 3.
Remote File
access
Via le d&eacute;mon /usr/sbin/nfsd sur le serveur et la commande
/usr/sbin/biod sur le client.
Service Remote
execution
Via le d&eacute;mon /usr/sbin/rpc.rexd sur le serveur et la commande
/usr/sbin/on sur le client.
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Service
Description
Service Remote
System Statistics
A partir du d&eacute;mon /usr/sbin/rpc.rstatd sur le serveur et la
commande /usr/bin/rup sur le client.
Service Remote
User Listing
A partir du d&eacute;mon /usr/lib/netsvc/rusers/rpc.rusersd sur le
serveur et la commande /usr/bin/rusers sur le client.
Service Boot
Parameters
Fournit des param&egrave;tres de d&eacute;marrage aux clients sans disque
SunOS via le d&eacute;mon /usr/sbin/rpc.bootparamd sur le serveur.
Service Remote
Wall
&Agrave; partir du d&eacute;mon /usr/lib/netsvc/rwall/rpc.rwalld sur le serveur
et de la commande /usr/sbin/rwall sur le client.
Service Spray
Envoie un flot unilat&eacute;ral de paquets RPC via le d&eacute;mon
/usr/lib/netsvc/spray/rpc.sprayd sur le serveur et la commande
/usr/sbin/spray sur le client.
Service PC
authentication
Fournit un service d’authentification utilisateur pour PCNFS via le
d&eacute;mon /usr/sbin/rpc.pcnfsd sur le serveur.
Service Enhanced
security
Fournit au client et au serveur un acc&egrave;s &agrave; des services de s&eacute;curit&eacute;
plus &eacute;volu&eacute;s, tels que Kerberos 5. Le d&eacute;mon /usr/sbin/gssd
donne &agrave; NFS un acc&egrave;s aux services de s&eacute;curit&eacute; fournis par le
service d’authentification r&eacute;seau (NAS). L’ensemble des fichiers
du service d’authentification r&eacute;seau (NAS) et de la biblioth&egrave;que
cryptographique (krb5.client.rte, krb5.server.rte et
modcrypt.base) doivent &ecirc;tre install&eacute;s. Ces ensembles de fichiers
peuvent &ecirc;tre install&eacute;s depuis le module d’extension AIX (AIX
Expansion Pack).
Service Identity
translation
Proc&egrave;de &agrave; la traduction entre les principaux de s&eacute;curit&eacute;, les cha&icirc;nes
d’identit&eacute; NFS version 4 et les ID correspondants de leurs syst&egrave;me
num&eacute;riques. Ce fichier assure, en outre, un mappage des
informations d’identit&eacute; provenant des domaines NFS version 4
&eacute;trangers. Ces services sont fournis par le d&eacute;mon
/usr/sbin/nfsrgyd .
Remarque :
Un ordinateur peut &ecirc;tre simultan&eacute;ment serveur NFS et client NFS.
Les serveurs NFS version 2 et 3 sont sans &eacute;tat, c’est–&agrave;–dire que le serveur ne conserve
aucune information de transaction sur ses clients. Une transaction NFS correspond &agrave; une et
une seule op&eacute;ration compl&egrave;te sur un fichier. Pour NFS, c’est le client qui doit m&eacute;moriser les
informations requises pour les usages ult&eacute;rieurs de NFS.
Un serveur NFS version 4 est un serveur avec &eacute;tat suite &agrave; des op&eacute;rations d’ouverture et de
verrouillage du fichier d&eacute;finies dans le protocole NFS version 4.
Listes de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS
L’impl&eacute;mentation d’AIX NFS version 4 prend en charge deux types d’ACL : NFS4 et AIXC.
Ces deux types d’ACL sont d&eacute;crits ci–dessous.
Syst&egrave;me de fichiers NFS
6-3
NFS4 ACL
NFS4 ACL est la liste de contr&ocirc;le d’acc&egrave;s d&eacute;finie par le protocole NFS version 4. Comme il
est ind&eacute;pendant de la plate–forme, il peut &ecirc;tre pris en charge par d’autres clients ou
serveurs de fournisseurs. Les clients et serveurs de NFS version 4 ne doivent pas prendre
en charge NFS4 ACL.
Dans un serveur AIX, si une instance de syst&egrave;me de fichiers physique sous–jacente prend
en charge NFS4 ACL, le serveur AIX NFS4 g&egrave;re NFS4 ACL pour cette instance de syst&egrave;me
de fichiers. La plupart des types de syst&egrave;mes de fichiers physiques sur AIX ne prennent pas
en charge NFS4 ACL. Ces types de syst&egrave;mes de fichiers incluent CFS, UDF, JFS mais ne
s’y limitent pas ; idem pour JFS2 incluant les attributs &eacute;tendus version 1. Toutes les
instances de JFS2 int&eacute;grant les attributs &eacute;tendus version 2 prennent en charge NFS4 ACL.
Les syst&egrave;mes de fichiers client NFS version 4 peuvent lire et &eacute;crire NFS4 ACL si l’instance
de syst&egrave;me de fichiers NFS version 4 export&eacute;e sur le serveur g&egrave;re NFS4 ACL.
AIX ACL
AIXC ACL est un ACL propri&eacute;taire d’AIX. Il n’est pas d&eacute;fini par le protocole NFS version 4,
et il est compris uniquement par les serveurs et clients AIX.
Sur un serveur NFS version 4, AIXC ACL est pris en charge lorsque l’instance de syst&egrave;me
de fichiers sous–jacente prend en charge AIXC ACL. Toutes les instances de JFS et de
JFS2 prennent en charge AIXC ACL.
Un client NFS version 4 poss&egrave;de une option de montage pr&eacute;vue pour activer ou d&eacute;sactiver
la prise en charge AIX ACL. Par d&eacute;faut, la liste de contr&ocirc;le d’acc&egrave;s AIXC n’est pas prise en
charge. L’utilisateur d’un syst&egrave;me de fichiers client NFS version 4 peut lire et &eacute;crire AIXC
ACL &agrave; condition que le client et le serveur ex&eacute;cutent tous deux AIX, que l’instance de
syst&egrave;me de fichiers physique sous–jacente du serveur g&egrave;re AIXC ACL et que le client AIX
monte l’instance du syst&egrave;me de fichiers lorsque AIXC ACL est activ&eacute;. La prise en charge
d’AIXC ACL dans NFS version 4 est similaire &agrave; la prise en charge d’ AIXC ACL dans les
impl&eacute;mentations d’AIX NFS version 2 et NFS version 3.
Toutes les instances d’un syst&egrave;me de fichiers JFS2 incluant l’attribut &eacute;tendu version 2
prennent en charge &agrave; la fois AIXC ACL et NFS4 ACL. Un fichier figurant dans ce type de
syst&egrave;me de fichiers peut poss&eacute;der le mode bits uniquement (aucun ACL), un NFS4 ACL ou
un AIXC ACL. Cependant, il ne peut pr&eacute;senter NFS4 ACL et AIXC ACL en m&ecirc;me temps.
La commande aclgettypes peut &ecirc;tre utilis&eacute;e pour d&eacute;terminer les types ACL sur lesquels on
peut lire et &eacute;crire dans une instance de syst&egrave;me de fichiers. Cette commande peut produire
diff&eacute;rentes sorties selon qu’elle est ex&eacute;cut&eacute;e localement par rapport &agrave; un syst&egrave;me de
fichiers physique sur un serveur NFS version 4 ou qu’elle est ex&eacute;cut&eacute;e par rapport au
m&ecirc;me syst&egrave;me de fichiers sur un client NFS version 4. Par exemple, une instance de
syst&egrave;me de fichiers NFS version 4 et le serveur NFS version 4 peuvent prendre en charge
NFS4 ACL et AIXC ACL, mais le client est configur&eacute; uniquement pour envoyer et recevoir
NFS4 ACL. Dans ce cas, lorsque la commande aclgettypes est ex&eacute;cut&eacute;e depuis un
syst&egrave;me de fichiers client NFS version 4, seul NFS4 est obtenu. Ainsi, si un utilisateur du
client requiert un AIXC ACL, une erreur est renvoy&eacute;e.
La source autoris&eacute;e pour acc&eacute;der au contr&ocirc;le se trouve dans le syst&egrave;me de fichiers
sous–jacent export&eacute; par le serveur NFS. Le syst&egrave;me de fichiers tient compte des contr&ocirc;les
d’acc&egrave;s au fichier (ACL ou bits de permission), des r&eacute;f&eacute;rences de l’appelant et d’autres
restrictions du syst&egrave;me local qui peuvent s’appliquer. Les applications et utilisateurs ne
doivent pas supposer que le seul examen des modes bits UNIX ou des ACL permet de
pr&eacute;dire un acc&egrave;s de mani&egrave;re concluante.
Les commandes aclget, aclput et alcedit peuvent &ecirc;tre utilis&eacute;es sur le client pour manipuler
NFS ou les AIX ACL. Pour plus d’informations, reportez–vous &agrave; la section traitant des listes
de contr&ocirc;le d’acc&egrave;s dans le manuel AIX 5L Version 5.3 – Guide de s&eacute;curit&eacute;.
6-4
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Syst&egrave;me de fichiers cache (CacheFS)
Le syst&egrave;me de fichiers cache (CacheFS) est un m&eacute;canisme de cache qui am&eacute;liore les
performances et l’&eacute;volutivit&eacute; du serveur NFS en r&eacute;duisant la charge du r&eacute;seau et du
serveur. Con&ccedil;u comme un syst&egrave;me de fichiers en couches, CacheFS permet de cacher un
syst&egrave;me sur un autre. Dans un environnement NFS, CacheFS augmente le taux
client-par-serveur, r&eacute;duit la charge du serveur et du r&eacute;seau et am&eacute;liore les performances
des liaisons client lentes, telles que le protocole PPP (Point-to-Point Protocol).
Un cache est cr&eacute;&eacute; sur la machine client de sorte que l’acc&egrave;s aux syst&egrave;mes de fichiers
d&eacute;finis pour &ecirc;tre mont&eacute;s dans le cache s’effectue localement et non par le r&eacute;seau. Les
fichiers sont plac&eacute;s dans le cache la premi&egrave;re fois qu’un utilisateur effectue une demande
d’acc&egrave;s. Le cache reste vide tant qu’un utilisateur ne demande pas l’acc&egrave;s &agrave; un (ou
plusieurs) fichier(s). Les premi&egrave;res requ&ecirc;tes d’acc&egrave;s peuvent sembler lentes, mais les
acc&egrave;s suivants aux m&ecirc;mes fichiers sont plus rapides.
Remarques :
1. Vous ne pouvez pas cacher les syst&egrave;mes de fichier / (racine) et /usr.
2. Vous ne pouvez monter que des syst&egrave;mes de fichiers partag&eacute;s. (Reportez-vous &agrave; la
commande exportfs.)
3. Cacher un syst&egrave;me de fichiers disque JFS local (Journaled File System) n’apporte aucun
gain de performances.
4. Les t&acirc;ches du tableau suivant sont r&eacute;serv&eacute;es aux utilisateurs d&eacute;tenant les droits racine
ou syst&egrave;me.
Syst&egrave;me de fichiers NFS
6-5
T&acirc;ches CacheFS
T&acirc;che
Raccourci SMIT
Commande ou fichier
Environnement
d’administration
Web–based System
Manager
D&eacute;finition d’un
cache
cachefs_admin_create
cfsadmin –c
MountDirectoryName 1.
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
Nouveau syst&egrave;me de
fichiers cache.
Sp&eacute;cification
des fichiers &agrave;
monter
cachefs_mount
mount –F cachefs –o
backfstype= FileSysType,
cachedir= CacheDirectory [,
options ]
BackFileSystem
MountDirectoryName 2
ou
edit /etc/ filesystems .
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Aper&ccedil;u et
t&acirc;ches ––&gt; Monter un
syst&egrave;me de fichiers.
Modification du cachefs_admin_
cache
change
Supprime le cache, puis le
recr&eacute;e avec les options
ad&eacute;quates de la commande
mount.
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Supprimer. Configure un
cache comme &agrave; la premi&egrave;re
rang&eacute;e de ce tableau.
Affichage des
informations
du cache
cachefs_admin_
change
cfsadmin –l
MountDirectoryName.
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Propri&eacute;t&eacute;s.
Suppression
d’un cache
cachefs_admin_
remove
1. D&eacute;montage du syst&egrave;me de
fichiers
umount
MountDirectoryName
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Supprimer.
2. D&eacute;termination de l’ID du
cache :
cfsadmin –l
MountDirectoryName
3. Suppression du syst&egrave;me de
fichiers
cfsadmin –d CacheID
CacheDirectory
V&eacute;rification de
l’int&eacute;grit&eacute; du
syst&egrave;me de
fichiers
cachefs_admin_check
fsck_cachefs CacheDirectory
3.
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt; V&eacute;rifier
l’int&eacute;grit&eacute; du cache.
Remarques :
1. Une fois le cache cr&eacute;&eacute;, n’ex&eacute;cutez aucune op&eacute;ration &agrave; l’int&eacute;rieur du r&eacute;pertoire cache
lui-m&ecirc;me (cachedir). Vous provoqueriez un conflit &agrave; l’int&eacute;rieur du logiciel CacheFS.
6-6
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
2. Si vous utilisez la commande mount pour sp&eacute;cifier les fichiers &agrave; monter,
vous devez relancer la commande chaque fois que le syst&egrave;me est red&eacute;marr&eacute;.
3. Associez l’option –m ou –o &agrave; la commande fsck_cachefs pour v&eacute;rifier les syst&egrave;mes
de fichiers sans effectuer aucune r&eacute;paration.
Mappage de fichiers sous NFS
Le mappage de fichiers NFS donne aux programmes d’un client acc&egrave;s &agrave; un fichier comme
s’il se trouvait en m&eacute;moire. Via la sous–routine shmat, les utilisateurs peuvent mapper des
zones d’un fichier dans leur espace d’adressage : lorsqu’un programme lit ou &eacute;crit dans cet
espace m&eacute;moire, le fichier est copi&eacute; en m&eacute;moire &agrave; partir du serveur ou mis &agrave; jour sur le
serveur.
Le mappage de fichiers sous NFS est limit&eacute; :
• Le partage des informations entre clients est mal assur&eacute;.
• Les modifications apport&eacute;es &agrave; un fichier sur un client via un fichier mapp&eacute; ne sont pas
visibles sur un autre client.
• Verrouiller et d&eacute;verrouiller des r&eacute;gions d’un fichier est inefficace quant &agrave; la coordination
des donn&eacute;es entre clients.
Si un fichier NFS doit servir au partage de programmes de diff&eacute;rents clients, il convient de
verrouiller les enregistrements et d’ex&eacute;cuter les sous-routines standard read et write.
Plusieurs programmes sur un client peuvent partager des donn&eacute;es via un fichier mapp&eacute;.
Un verrouillage astucieux d’enregistrement peut coordonner les mises &agrave; jour sur le fichier
sur le client, sous r&eacute;serve que l’int&eacute;gralit&eacute; du fichier soit verrouill&eacute;. Plusieurs clients ne
peuvent partager des donn&eacute;es via des fichiers mapp&eacute;s que s’il s’agit de donn&eacute;es
immuables (base de donn&eacute;es statique, par exemple).
Types de montage NFS
Il existe trois types de montage :
• Pr&eacute;d&eacute;fini
• Explicite
• Automatique
Les montages pr&eacute;d&eacute;finis sont sp&eacute;cifi&eacute;s dans le fichier /etc/filesystems. Chaque strophe
(entr&eacute;e) de ce fichier d&eacute;finit les caract&eacute;ristiques d’un montage : elle comprend des donn&eacute;es
telles que le nom de l’h&ocirc;te, le chemin d’acc&egrave;s &agrave; distance, le chemin d’acc&egrave;s local, etc.
Adoptez des montages pr&eacute;d&eacute;finis si l’exploitation d’un client requiert toujours le m&ecirc;me type
de montage.
Les montages explicites sont l’apanage de l’utilisateur racine. G&eacute;n&eacute;ralement limit&eacute;s &agrave; de
courtes p&eacute;riodes, ils permettent de r&eacute;pondre &agrave; un besoin occasionnel, non planifi&eacute;. Ils
permettent &eacute;galement d’effectuer un montage pour une t&acirc;che sp&eacute;ciale, lequel est
g&eacute;n&eacute;ralement inaccessible au client NFS. Ces montages sont g&eacute;n&eacute;ralement enti&egrave;rement
qualifi&eacute;s sur la ligne de commande via l’instruction mount assortie de toutes les
informations requises. Les montages explicites ne requi&egrave;rent pas la mise &agrave; jour du fichier
/etc/filesystems. Les syst&egrave;mes de fichiers explicitement mont&eacute;s le restent tant qu’ils ne
sont pas explicitement d&eacute;mont&eacute;s via la commande umount ou que le syst&egrave;me n’est pas
r&eacute;initialis&eacute;.
Les montages automatiques sont contr&ocirc;l&eacute;s par le d&eacute;mon automount ; l’extension de noyau
AutoFS surveille alors l’activit&eacute; des r&eacute;pertoires sp&eacute;cifi&eacute;s. Si un programme ou un utilisateur
tente d’acc&eacute;der &agrave; un r&eacute;pertoire non mont&eacute;, le d&eacute;mon AutoFS intercepte la demande, monte
le syst&egrave;me de fichiers, puis r&eacute;pond &agrave; la demande.
Syst&egrave;me de fichiers NFS
6-7
Exportation et montage NFS
L’administration du serveur NFS suppose une bonne compr&eacute;hension du processus
d’exportation et de montage des r&eacute;pertoires. Un serveur NFS doit exporter un fichier
ou un r&eacute;pertoire pour que le client NFS puisse monter ensuite ce fichier ou ce r&eacute;pertoire.
Ces concepts sont d&eacute;crit de fa&ccedil;on plus d&eacute;taill&eacute;e dans cette section.
Exportation de r&eacute;pertoires
L’exportation d’un r&eacute;pertoire se fait sur le serveur NFS. Cette op&eacute;ration indique qu’un
r&eacute;pertoire dans l’espace nom du serveur est disponible pour les machines client.
Le r&eacute;pertoire export&eacute; est d&eacute;sign&eacute; comme export et inclut tous les fichiers compris
dans le r&eacute;pertoire r&eacute;sidant sur le syst&egrave;me de fichiers du r&eacute;pertoire export&eacute;.
Chaque export d&eacute;finit aussi des restrictions d’acc&egrave;s. Parmi les restrictions applicables,
vous pouvez notamment d&eacute;terminer :
• quels clients ont acc&egrave;s au r&eacute;pertoire export&eacute;
• quelles versions NFS sont susceptibles d’&ecirc;tre utilis&eacute;es par le client pour acc&eacute;der
au r&eacute;pertoire
• si le client est autoris&eacute; ou non &agrave; &eacute;crire des fichiers dans l’exportation
• quelles m&eacute;thodes de s&eacute;curit&eacute; doivent &ecirc;tre utilis&eacute;es par le client pour acc&eacute;der aux
r&eacute;pertoires et fichiers dans l’exportation
Pour une description exhaustive des restrictions et des s&eacute;mantiques d’exportation
autoris&eacute;es, reportez–vous &agrave; la description de la commande exportfs dans le manuel AIX
5L Version 5.3 Commands Reference, Volume 2 et &agrave; la description du fichier /etc/exports
dans le manuel AIX 5L Version 5.3 Files Reference.
Remarque :
Lorsque des attributs d’exportation sont modifi&eacute;s, vous devez r&eacute;exporter le
r&eacute;pertoire pour que ces modifications prennent effet. Cela peut &eacute;galement
&ecirc;tre n&eacute;cessaire en cas de modifications apport&eacute;es aux autres fichiers ou de
modifications externes au serveur. Par exemple, si un nom de client indiqu&eacute;
dans une liste d’acc&egrave;s est un groupe r&eacute;seau d&eacute;fini dans le fichier
/etc/netgroup et que la d&eacute;finition du groupe client est modifi&eacute;e, toutes les
exportations qui utilisent ce groupe r&eacute;seau dans une liste d’acc&egrave;s doivent
&ecirc;tre r&eacute;export&eacute;es afin que la modification entre en vigueur.
De m&ecirc;me, si l’adresse IP d’un client est modifi&eacute;e, toutes les exportations indiquant ce
client dans une liste d’acc&egrave;s doivent &ecirc;tre r&eacute;export&eacute;es. Cela vient du fait que le
serveur NFS g&egrave;re un cache des droits d’acc&egrave;s du client pour chaque exportation. Le
cache est vid&eacute; &agrave; chaque annulation de l’exportation ou &agrave; chaque r&eacute;exportation. Si les
droits d’acc&egrave;s d’une exportation sont modifi&eacute;s, en particulier si l’adresse IP d’un client
change ou si un client est supprim&eacute; de la liste d’acc&egrave;s, l’annulation d’une exportation
ou la r&eacute;exportation doit &ecirc;tre effectu&eacute;e afin que l’acc&egrave;s au client soit correctement
repr&eacute;sent&eacute; dans le cache. Le serveur NFS fait appel au d&eacute;mon rpc.mountd pour
obtenir les droits d’acc&egrave;s de chaque client. Il faut donc que le d&eacute;mon rpc.mountd
soit en cours d’ex&eacute;cution sur le serveur m&ecirc;me si celui–ci exporte uniquement des
syst&egrave;mes de fichiers pour l’acc&egrave;s &agrave; NFS version 4.
6-8
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Montage de r&eacute;pertoires
Un client NFS peut monter un r&eacute;pertoire qui a &eacute;t&eacute; export&eacute; par un serveur NFS. Monter un
r&eacute;pertoire met les fichiers qui r&eacute;sident sur le serveur NFS &agrave; la disposition d’un client NFS.
Un client a acc&egrave;s aux fichiers d’un serveur si les fichiers ont &eacute;t&eacute; export&eacute;s par le serveur et si
les restrictions d’exportation permettent au client d’acc&eacute;der aux fichiers d’exportation. Une
fois que le client a mont&eacute; correctement une exportation de serveur sur un point de montage
dans son espace nom, les fichiers du serveur pour cette exportation existent dans l’espace
nom du client et apparaissent comme fichiers dans le syst&egrave;me de fichiers local.
Supposons, par exemple, que vous vouliez exporter le r&eacute;pertoire /tmp sur le serveur
diamond et monter ce r&eacute;pertoire sur le client clip comme r&eacute;pertoire /mnt. Entrez la
commande suivante sur le serveur :
exportfs –i –o access=clip /tmp
Le r&eacute;pertoire /tmp est maintenant disponible pour le client.
Entrez la commande suivante sur le client :
mount diamond:/tmp /mnt
Les r&eacute;pertoires et fichiers du r&eacute;pertoire /tmp du serveur apparaissent d&eacute;sormais dans le
r&eacute;pertoire /mnt du client.
Remarques :
1. Il existe plusieurs diff&eacute;rences concernant les techniques de montage entre NFS
versions 2 et 3 d’une part et NFS version 4 d’autre part. Dans NFS versions 2 et 3, le
serveur a export&eacute; les r&eacute;pertoires qu’il voulait rendre disponibles pour le montage. Le
client NFS version 2 ou 3 devait ensuite monter de mani&egrave;re explicite chaque exportation
pour laquelle il voulait un acc&egrave;s.
Avec NFS version 4, le serveur continue d’indiquer les contr&ocirc;les d’exportation pour
chaque r&eacute;pertoire de serveur ou syst&egrave;me de fichiers &agrave; exporter pour un acc&egrave;s NFS. A
partir de ces contr&ocirc;les d’exportation, le serveur produit une seule arborescence de
r&eacute;pertoires contenant toutes les donn&eacute;es export&eacute;es, et remplit les espaces vides entre
les r&eacute;pertoires export&eacute;s. Cette arborescence est un pseudo syst&egrave;me de fichiers et
d&eacute;marre &agrave; la pseudo racine du serveur NFS version 4. Le mod&egrave;le de pseudo syst&egrave;me
de fichiers de NFS version 4 permet &agrave; un client NFS version 4, en fonction de son
impl&eacute;mentation, d’ex&eacute;cuter un seul montage de la pseudo racine du serveur afin
d’acc&eacute;der &agrave; toutes les donn&eacute;es export&eacute;es du serveur. Le client AIX NFS prend en
charge cette fonction. Le contenu r&eacute;el visible par le client d&eacute;pend des contr&ocirc;les
d’exportation du serveur.
2. NFS version 4 n’autorise pas le montage fichier &agrave; fichier.
Dans AIX 5.3 et les versions sup&eacute;rieures, la version du protocole NFS par d&eacute;faut utilis&eacute;e
dans les exportations serveur et les montages client est la version 3. L’option vers peut &ecirc;tre
utilis&eacute;e avec les montages et les exportations pour d&eacute;signer le protocole NFS version 4.
Lorsqu’un r&eacute;pertoire est export&eacute; par le serveur, ce r&eacute;pertoire n’est disponible que pour les
clients utilisant le protocole NFS version 2 ou version 3 par d&eacute;faut. Pour autoriser l’acc&egrave;s &agrave;
NFS version 4, les options d’exportation doivent inclure l’option vers. Pour plus
d’informations, reportez–vous &agrave; la description de la commande exportfs dans le manuel
AIX 5L Version 5.3 Commands Reference, Volume 2.
Syst&egrave;me de fichiers NFS
6-9
Processus de montage NFS
Pour acc&eacute;der aux fichiers sur le serveur, les clients commencent par monter les r&eacute;pertoires
export&eacute;s du serveur. Lorsqu’un client monte un r&eacute;pertoire, il ne fait aucun copie de ce
r&eacute;pertoire. Le processus de montage utilise en revanche une s&eacute;rie d’appels de proc&eacute;dure
&agrave; distance pour donner &agrave; un client acc&egrave;s aux r&eacute;pertoires du serveur de fa&ccedil;on transparente.
Le processus de montage est le suivant :
1. Lorsque le serveur d&eacute;marre, le script /etc/rc.nfs ex&eacute;cute la commande exportfs,
laquelle lit le fichier /etc/exports du serveur et informe le noyau des r&eacute;pertoires &agrave;
exporter et des restrictions d’acc&egrave;s qu’ils requi&egrave;rent.
2. Le d&eacute;mon rpc.mountd et plusieurs d&eacute;mons nfsd sont ensuite lanc&eacute;s par le script
/etc/rc.nfs.
3. Le script /etc/rc.nfs ex&eacute;cute ensuite la commande mount, qui lit les syst&egrave;mes de
fichiers r&eacute;pertori&eacute;s dans le fichier /etc/filesystems.
4. mount rep&egrave;re le(s) serveur(s) exportant les informations demand&eacute;es par le client et
&eacute;tablit la communication avec ce(s) serveur(s). Ce processus est appel&eacute; liaison.
5. La commande mount demande ensuite qu’un ou plusieurs serveurs autorisent le client
&agrave; acc&eacute;der aux r&eacute;pertoires inscrits dans le fichier /etc/filesystems.
6. Le d&eacute;mon du serveur re&ccedil;oit les demandes de montage client, et les accorde ou les
refuse. Si le r&eacute;pertoire demand&eacute; est accessible, le d&eacute;mon du serveur envoie au noyau
du client un identificateur appel&eacute; descripteur de fichier.
7. Le noyau client attache ce descripteur au point de montage (r&eacute;pertoire) en enregistrant
des informations dans un enregistrement de montage.
La communication client avec le d&eacute;mon rpc.mountd n’a pas lieu lors du traitement du
montage avec NFS version 4. Les op&eacute;rations r&eacute;alis&eacute;es au niveau du protocole central NFS
version 4 servent &agrave; assurer les op&eacute;rations de montage du c&ocirc;t&eacute; client. L’impl&eacute;mentation du
serveur NFS version 4 fait appel au support du d&eacute;mon rpc.mountd dans le cadre du
traitement de l’acc&egrave;s NFS version 4.
Fichiers NFS
Cette section contient des informations au sujet des fichiers de configuration associ&eacute;s &agrave;
NFS et utilis&eacute;s par NFS.
Fichier /etc/exports
Le fichier /etc/exports recense tous les r&eacute;pertoires export&eacute;s par un serveur &agrave; ses clients.
Chaque ligne sp&eacute;cifie un seul r&eacute;pertoire. Le serveur exporte automatiquement les
r&eacute;pertoires de la liste &agrave; chaque lancement du serveur NFS. Ces r&eacute;pertoires export&eacute;s
peuvent ensuite &ecirc;tre mont&eacute;s par les clients. La syntaxe d’une ligne du fichier /etc/exports
est la suivante :
directory
–option[,option]
directory est le chemin d’acc&egrave;s complet au r&eacute;pertoire. Options d&eacute;signe soit un indicateur
simple, tel que ro, soit une liste de noms d’h&ocirc;tes. Reportez-vous &agrave; la documentation du
fichier /etc/exports et de la commande exportfs pour la liste compl&egrave;te des options et leur
description. Le script /etc/rc.nfs ne lance pas les d&eacute;mons nfsd ou le d&eacute;mon rpc.mountd si
le fichier /etc/exports n’existe pas.
Exemple d’entr&eacute;es d’un fichier /etc/exports :
/usr/games
–ro,access=ballet:jazz:tap
/home
–root=ballet,access=ballet
/var/tmp
/usr/lib
–access=clients
/accounts/database –vers=4,sec=krb5,access=accmachines,root=accmachine1
6-10
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
La premi&egrave;re entr&eacute;e indique que le r&eacute;pertoire /usr/games peut &ecirc;tre mont&eacute; par les
syst&egrave;mes ballet, jazz et tap. Ces syst&egrave;mes sont habilit&eacute;s &agrave; lire des donn&eacute;es et &agrave;
ex&eacute;cuter des programmes du r&eacute;pertoire, mais ne peuvent y &eacute;crire.
La deuxi&egrave;me entr&eacute;e sp&eacute;cifie que le r&eacute;pertoire /home peut &ecirc;tre mont&eacute; par le syst&egrave;me
ballet et que l’acc&egrave;s racine y est autoris&eacute;.
La troisi&egrave;me entr&eacute;e sp&eacute;cifie que n’importe quel client peut monter le r&eacute;pertoire /var/tmp.
(Notez l’absence de liste d’acc&egrave;s.)
La quatri&egrave;me entr&eacute;e sp&eacute;cifie une liste d’acc&egrave;s d&eacute;sign&eacute;e par le groupe r&eacute;seau clients. En
d’autres termes, ces machines d&eacute;sign&eacute;es comme appartenant au groupe r&eacute;seau clients
peuvent monter le r&eacute;pertoire /usr/lib &agrave; partir de ce serveur. (Un groupe r&eacute;seau est
groupe &agrave; l’&eacute;chelle du r&eacute;seau, ayant acc&egrave;s &agrave; certains ressources du r&eacute;seau &agrave; des fins de
s&eacute;curit&eacute; ou d’organisation. Les Netgroups sont contr&ocirc;l&eacute;s &agrave; l’aide de NIS ou de NIS+. Pour
plus d’informations, consultez le manuel AIX 5L Version 5.3 Network Information Services
(NIS and NIS+) Guide.
La cinqui&egrave;me entr&eacute;e donne acc&egrave;s au r&eacute;pertoire /accounts/database uniquement pour les
clients appartenant au groupe r&eacute;seau accmachines utilisant le protocole NFS Version 4 et
acc&eacute;dant au r&eacute;pertoire &agrave; l’aide de l’authentification Kerberos 5. L’acc&egrave;s racine est autoris&eacute;
uniquement &agrave; partir de accmachine1.
Fichier /etc/xtab
Le format du fichier /etc/xtab est similaire &agrave; celui du fichier /etc/exports. Ce fichier donne la
liste des r&eacute;pertoires export&eacute;s. A chaque ex&eacute;cution de la commande exportfs, le fichier
/etc/xtab est modifi&eacute; : vous pouvez ainsi exportez temporairement un r&eacute;pertoire sans avoir
&agrave; modifier le fichier /etc/exports. Si vous annulez l’exportation du r&eacute;pertoire, il est retir&eacute; du
fichier /etc/xtab.
Remarque :
Le fichier /etc/xtab dont la mise &agrave; jour est automatique, ne doit pas &ecirc;tre
&eacute;dit&eacute;.
Fichier /etc/nfs/hostkey
Ce fichier est utilis&eacute; par le serveur NFS pour d&eacute;finir le principal Kerberos h&ocirc;te et
l’emplacement du fichier keytab. Pour savoir comment configurer et g&eacute;rer ce fichier,
reportez–vous &agrave; la description de la commande nfshostkey dans le manuel AIX 5L
Version 5.3 Commands Reference, Volume 4.
Fichier /etc/nfs/local_domain
Ce fichier contient le domaine NFS local du syst&egrave;me. Les syst&egrave;mes partageant le m&ecirc;me
domaine local NFS partagent, en principe, les m&ecirc;mes registres groupe et les m&ecirc;mes
registres utilisateur. Pour savoir comment configurer et g&eacute;rer ce fichier, reportez–vous &agrave; la
description de la commande chnfsdom dans le manuel AIX 5L Version 5.3 Commands
Reference, Volume 1.
Fichier /etc/nfs/realm.map
Ce fichier est utilis&eacute; par le d&eacute;mon NFS registry pour mapper des principaux Kerberos
entrants name@kerberos–realm en principaux name@nfs–domain. Cela permet ensuite de
r&eacute;soudre le principal name@nfs–domain sous la forme de donn&eacute;es d’identification UNIX
locales. Ce fichier est un moyen pratique pour mapper des principaux Kerberos dans le
registre utilisateur du serveur. Envisagez cette solution lorsque des clients de diff&eacute;rentes
partitions Kerberos auront acc&egrave;s au serveur, mais que l’espace nom utilisateur est global.
Ce fichier doit contenir des lignes au format suivant :
realm1
realm2
nfs–domain
nfs–domain
Syst&egrave;me de fichiers NFS
6-11
pour l’ensemble des partitions Kerberos g&eacute;r&eacute;es par le serveur. Si le nom de la partition
Kerberos est syst&eacute;matiquement le m&ecirc;me que celui du domaine NFS du serveur, ce fichier
est inutile. Si vous souhaitez tirer parti des fonctions plus g&eacute;n&eacute;rales de mappage entre
userA@kerberos–realm et userB@nfs–domain, utilisez le service EIM (Enterprise Identity
Mapping). Pour plus d’informations, reportez–vous &agrave; la section Mappage d’identit&eacute;
page 6-18.
Pour ajouter, modifier ou supprimer des entr&eacute;es dans ce fichier, servez–vous de la
commande chnfsrtd. Pour plus d’informations, reportez–vous &agrave; la description de la
commande chnfsrtd dans le manuel AIX 5L Version 5.3 Commands Reference, Volume 1.
Fichier /etc/nfs/princmap
Ce fichier permet de mapper les noms d’h&ocirc;te aux principaux Kerberos lorsque le principal
n’est pas le nom de domaine complet du serveur. Il est constitu&eacute; de plusieurs lignes sous le
format suivant :
&lt;partie h&ocirc;te du principal&gt; alias1 alias2 ...
Pour ajouter, modifier ou supprimer des entr&eacute;es dans ce fichier, servez–vous de la
commande nfshostmap. Pour plus d’informations, reportez–vous &agrave; la description de la
commande nfshostmap dans le manuel AIX 5L Version 5.3 Commands Reference,
Volume 4.
Fichier /etc/nfs/security_default
Le fichier /etc/nfs/security_default contient la liste des types de s&eacute;curit&eacute; susceptibles
d’&ecirc;tre utilis&eacute;s par le client NFS, dans l’ordre appropri&eacute;. Pour g&eacute;rer ce fichier, servez–vous
de la commande chnfssec. Pour plus d’informations, reportez–vous &agrave; la description de la
commande chnfssec dans le manuel AIX 5L Version 5.3 Commands Reference, Volume 1.
Impl&eacute;mentation de NFS
NFS est impl&eacute;ment&eacute; sur nombre de types de machines, de syst&egrave;mes d’exploitation et
d’architectures r&eacute;seau. Cette autonomie lui est conf&eacute;r&eacute;e par le protocole RPC
(Remote Procedure Call).
Protocole RPC (Remote Procedure Call)
RPC est une biblioth&egrave;que de proc&eacute;dures. Ces proc&eacute;dures permettent &agrave; un processus
(client) de commander &agrave; un autre (processus serveur) l’ex&eacute;cution d’appels de proc&eacute;dures,
comme s’il les ex&eacute;cutait dans son propre espace d’adressage. Les processus client et
serveur &eacute;tant distincts, ils n’ont pas besoin de r&eacute;sider sur le m&ecirc;me syst&egrave;me (bien qu’ils le
puissent).
NFS est impl&eacute;ment&eacute; comme un ensemble d’appels RPC, le serveur prenant en charge
certains types d’appels client. Le client lance ces appels sur la base des op&eacute;rations sur
syst&egrave;mes de fichiers effectu&eacute;es par le processus client. En ce sens, NFS est une
application RPC.
Les processus serveur et client pouvant r&eacute;sider sur des syst&egrave;mes d’architectures
compl&egrave;tement diff&eacute;rentes, RPC doit prendre en compte le fait que les donn&eacute;es ne sont
peut–&ecirc;tre pas repr&eacute;sent&eacute;es de la m&ecirc;me mani&egrave;re des deux c&ocirc;t&eacute;s. D’o&ugrave; son adoption du
protocole de repr&eacute;sentation XDR (eXternal Data Representation).
Protocole XDR (eXternal Data Representation)
XDR est une sp&eacute;cification assurant une repr&eacute;sentation standard de diff&eacute;rents types de
donn&eacute;es. Un programme utilisant cette norme ne risque pas de mal interpr&eacute;ter des
donn&eacute;es, m&ecirc;me provenant d’un syst&egrave;me dot&eacute; d’une architecture totalement diff&eacute;rente.
Dans la pratique, la plupart des programmes n’utilisent pas XDR en interne. Ils adoptent
plut&ocirc;t la repr&eacute;sentation propre &agrave; l’architecture du syst&egrave;me concern&eacute;. Lorsque le programme
doit communiquer avec un autre, il convertit ses donn&eacute;es au format XDR avant de les
envoyer. De m&ecirc;me, lorsqu’il re&ccedil;oit des donn&eacute;es, il les convertit du format XDR dans sa
propre repr&eacute;sentation de donn&eacute;es.
6-12
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&eacute;mon portmap
Chaque application RPC est associ&eacute;e avec un num&eacute;ro de programme et un num&eacute;ro de
version. Ces num&eacute;ros servent &agrave; communiquer avec une application serveur sur un
syst&egrave;me. Lorsqu’il effectue une demande &agrave; partir d’un serveur, le client doit conna&icirc;tre le
num&eacute;ro du port sur lequel le serveur re&ccedil;oit les demandes. Ce num&eacute;ro de port est associ&eacute;
au protocole UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) utilis&eacute;
par le service. Le client conna&icirc;t le num&eacute;ro du programme, le num&eacute;ro de version et le nom
du syst&egrave;me (ou celui de l’h&ocirc;te sur lequel r&eacute;side le service). Le client doit pouvoir faire
correspondre la paire num&eacute;ro de programme/num&eacute;ro de version au num&eacute;ro de port de
l’application serveur. Cette op&eacute;ration est effectu&eacute;e &agrave; l’aide du d&eacute;mon portmap.
Le d&eacute;mon portmap est ex&eacute;cut&eacute; sur le m&ecirc;me syst&egrave;me que l’application NFS. Lorsque le
serveur la lance, il l’enregistre avec portmap. Par le biais de cet enregistrement, il fournit
son num&eacute;ro de programme, son num&eacute;ro de version et son num&eacute;ro de port UDP ou TCP.
Le d&eacute;mon portmap maintient une table des applications serveur. Lorsque le client &eacute;met une
demande vis-&agrave;-vis du serveur, il contacte d’abord le d&eacute;mon portmap pour conna&icirc;tre le port
utilis&eacute; par le serveur. Le d&eacute;mon portmap r&eacute;pond au client en lui indiquant le port en
question. Le client est alors &agrave; m&ecirc;me d’&eacute;mettre ses demandes directement &agrave; l’application
serveur.
Contr&ocirc;le de NFS
Les d&eacute;mons NFS, NIS et NIS+ sont surveill&eacute;s par le contr&ocirc;leur SRC (System Resource
Controller). Cela signifie que vous devez utiliser les commandes telles que startsrc,
stopsrc et lssrc pour lancer, arr&ecirc;ter et v&eacute;rifier l’&eacute;tat des d&eacute;mons NFS, NIS et NIS+.
Certains d&eacute;mons NFS ne sont pas contr&ocirc;l&eacute;s par SRC, &agrave; savoir : rpc.rexd, rpc.rusersd,
rpc.rwalld et rpc.rsprayd. Ils sont lanc&eacute;s et arr&ecirc;t&eacute;s par le d&eacute;mon inetd.
Le tableau suivant r&eacute;pertorie les d&eacute;mons et sous-syst&egrave;mes contr&ocirc;l&eacute;s par SRC.
D&eacute;mons et sous–syst&egrave;mes associ&eacute;s
Chemin d’acc&egrave;s au fichier
Nom du
sous–syst&egrave;me
Nom du
groupe
/usr/sbin/nfsd
nfsd
nfs
/usr/sbin/biod
biod
nfs
/usr/sbin/rpc.lockd
rpc.lockd
nfs
/usr/sbin/rpc.statd
rpc.statd
nfs
/usr/sbin/rpc.mountd
rpc.mountd
nfs
/usr/sbin/nfsrgyd
nfsrgyd
nfs
/usr/sbin/gssd
gssd
nfs
/usr/lib/netsvc/yp/ypserv
ypserv
yp
/usr/lib/netsvc/yp/ypbind
ypbind
yp
/usr/lib/netsvc/rpc.yppasswdd
yppasswdd
yp
/usr/lib/netsvc/rpc.ypupdated
ypupdated
yp
/usr/sbin/keyserv
keyserv
keyserv
/usr/sbin/portmap
portmap
portmap
Les d&eacute;mons NIS+ sont d&eacute;crits dans le manuel AIX 5L Version 5.3 Network Information
Services (NIS and NIS+) Guide. Chacun de ces d&eacute;mons peut &ecirc;tre d&eacute;fini dans les
commandes SRC &agrave; l’aide de leur nom de sous–syst&egrave;me ou de leur nom de groupe
appropri&eacute;. Aucun de ces d&eacute;mons ne prend en charge la liste des fonctions, ni les
commandes de suivi SRC.
Syst&egrave;me de fichiers NFS
6-13
Pour plus d’informations sur l’utilisation du SRC, reportez–vous &agrave; la section de pr&eacute;sentation
du contr&ocirc;leur SRC (System Resource Controller) dans le manuel AIX 5L Version 5.3
System Management Concepts: Operating System and Devices.
Modification du nombre de d&eacute;mons biod et nfsd
La commande chnfs permet de changer le nombre maximum de d&eacute;mons biod ou nfsd
ex&eacute;cutables sur un syst&egrave;me. Ainsi, pour limiter &agrave; 1000 le nombre de d&eacute;mons nfsd, et &agrave; 4 le
nombre de d&eacute;mons biod, entrez :
chnfs –n 1000 –b 4
Remarque :
Cette commande permet d’arr&ecirc;ter les d&eacute;mons en cours d’ex&eacute;cution, de
mettre &agrave; jour les informations de configuration SRC, puis de red&eacute;marrer les
d&eacute;mons. Le service NFS ne sera temporairement plus disponible.
Il est possible &eacute;galement de sp&eacute;cifier le nombre maximum de d&eacute;mons biod par montage en
utilisant l’option de montage biods= n.
Modification des arguments des d&eacute;mons contr&ocirc;l&eacute;s par SRC
Nombre de d&eacute;mons NFS, NIS et NIS+ peuvent &ecirc;tre assortis d’arguments, sur la ligne de
commande, sp&eacute;cifi&eacute;s une fois le d&eacute;mon activ&eacute;. Ces d&eacute;mons n’&eacute;tant pas eux-m&ecirc;mes activ&eacute;s
directement via la ligne de commande, vous devez mettre &agrave; jour la base de donn&eacute;es SRC
pour que les d&eacute;mons puissent &ecirc;tre correctement activ&eacute;s. Pour ce faire, lancez la
commande chssys. La commande chssys a le format :
chssys –s Daemon –a ’NewParameter’
Par exemple :
chssys –s nfsd –a ’10’
modifie le sous-syst&egrave;me nfsd de sorte que, &agrave; l’activation du d&eacute;mon, la ligne de commande
soit semblable &agrave; nfsd 10. La modification induite par la commande chssys ne prend effet
qu’une fois le sous-syst&egrave;me arr&ecirc;t&eacute; puis relanc&eacute;.
Lancement des d&eacute;mons NFS
La taille maximale des fichiers situ&eacute;s sur un serveur NFS est d&eacute;finie par l’environnement
du processus au d&eacute;marrage de nfsd. Pour utiliser une valeur sp&eacute;cifique, &eacute;ditez le fichier
/etc/rc.nfs. Ex&eacute;cutez la commande ulimit en pr&eacute;cisant la limite d&eacute;sir&eacute;e avant d’ex&eacute;cuter
la commande startsrc pour nfsd.
Les d&eacute;mons NFS peuvent &ecirc;tre lanc&eacute;s individuellement ou tous &agrave; la fois. Pour les lancer
individuellement, ex&eacute;cutez :
startsrc –s
D&eacute;mon
D&eacute;mon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour lancer les d&eacute;mons nfsd,
ex&eacute;cutez :
startsrc –s nfsd
Pour les lancer tous simultan&eacute;ment, ex&eacute;cutez :
startsrc –g nfs
Remarque :
Si le fichier /etc/exports n’existe pas, les d&eacute;mons nfsd et rpc.mountd ne
sont pas lanc&eacute;s. Vous pouvez cr&eacute;er un fichier /etc/exports vide via la
commande touch /etc/exports : les d&eacute;mons nfsd et rpc.mountd seront
lanc&eacute;s, mais aucun syst&egrave;me de fichiers ne sera export&eacute;.
Arr&ecirc;t des d&eacute;mons NFS
Les d&eacute;mons NFS peuvent &ecirc;tre arr&ecirc;t&eacute;s individuellement ou tous &agrave; la fois.
Pour les arr&ecirc;ter individuellement, ex&eacute;cutez :
stopsrc –s
6-14
D&eacute;mon
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
D&eacute;mon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour arr&ecirc;ter rpc.lockd, ex&eacute;cutez :
stopsrc –s rpc.lockd
Pour les arr&ecirc;ter tous simultan&eacute;ment, ex&eacute;cutez :
stopsrc –g nfs
Etat des d&eacute;mons NFS
Vous pouvez afficher l’&eacute;tat de d&eacute;mons NFS sp&eacute;cifiques ou de tous les d&eacute;mons &agrave; la fois.
Pour afficher l’&eacute;tat d’un d&eacute;mon, ex&eacute;cutez :
lssrc –s
D&eacute;mon
D&eacute;mon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour obtenir l’&eacute;tat de rpc.lockd,
ex&eacute;cutez :
lssrc –s rpc.lockd
Pour obtenir simultan&eacute;ment l’&eacute;tat de tous les d&eacute;mons NFS, ex&eacute;cutez :
lssrc –a
Prise en charge de NFS version 4
La prise en charge des fonctions du protocole NFS version 4 est assur&eacute;e &agrave; partir de
AIX 5.3. Les fonctions essentielles du protocole sont g&eacute;r&eacute;es conform&eacute;ment aux
sp&eacute;cifications RFC 3530 &agrave; l’exception des fonctions suivantes :
• Les m&eacute;canismes de s&eacute;curit&eacute; LIPKEY et SPKM–3 ne sont pas compatibles avec
l’authentification RPC RPCSEC–GSS. Seul le m&eacute;canisme Kerberos V5 est g&eacute;r&eacute;.
• Les sp&eacute;cifications UTF–8 ne sont pas enti&egrave;rement prises en charge. De fa&ccedil;on plus
pr&eacute;cise, il n’est pas garanti que la transmission des noms de fichier et des cha&icirc;nes du
syst&egrave;me de fichiers (comme, par exemple, le contenu d’un lien symbolique et les noms
des entr&eacute;es de r&eacute;pertoire) se fasse au format UTF–8. La transmission des cha&icirc;nes
d’attribut NFS, telles que le propri&eacute;taire et le groupe de propri&eacute;taires, est
syst&eacute;matiquement au format UTF–8. Le serveur et le client NFS proc&egrave;dent &agrave; la
validation UTF–8 des donn&eacute;es de cha&icirc;nes entrantes conform&eacute;ment &agrave; la d&eacute;finition
RFC 3530. Il est possible de d&eacute;sactiver cette fonction de contr&ocirc;le au moyen de la
commande nfso. Il peut &ecirc;tre utile de d&eacute;sactiver la validation UTF–8 afin d’utiliser le
protocole NFS version 4 dans des environnements contenant des configurations et
des donn&eacute;es non UTF–8.
• Le client sans disque, NIM et UDP ne sont pas compatibles avec le protocole NFS
version 4.
Les fonctions facultatives suivantes du protocole NFS version 4 sont prises en charge :
• Les listes de contr&ocirc;le d’acc&egrave;s (ACL) NFS version 4 sont g&eacute;r&eacute;es aussi bien par le client
NFS que par le serveur NFS. Le client NFS assure l’administration des listes de contr&ocirc;le
d’acc&egrave;s NFS version 4 &agrave; l’aide des utilitaires acledit, aclget et aclput. Le serveur NFS
est capable de stocker et d’extraire les listes de contr&ocirc;le d’acc&egrave;s NFS version 4 dans
les syst&egrave;mes de fichiers sous–jacents compatibles avec le mod&egrave;le ACL NFS version 4.
Pour plus d’informations, reportez–vous &agrave; la section Liste de contr&ocirc;le d’acc&egrave;s (ACL)
sous NFS page 6-3.
• La prise en charge permet de mapper des principaux et des attributs de propri&eacute;t&eacute; de
fichier d’un domaine NFS version 4 &agrave; un autre. Elle est destin&eacute;e principalement aux
serveurs AIX NFS. Il est n&eacute;cessaire, pour cela, de proc&eacute;der au d&eacute;ploiement de LDAP.
Les mappages NFS sont g&eacute;r&eacute;s au moyen de l’utilitaire chnfsim.
Plusieurs consid&eacute;rations sont &agrave; prendre en compte pour autoriser un acc&egrave;s simultan&eacute; avec
NFS versions 2 et 3 et avec NFS version 4. L’acc&egrave;s NFS version 3 peut recevoir des erreurs
en raison de l’&eacute;tat accord&eacute; NFS version 4. De m&ecirc;me, l’exportation des donn&eacute;es pour
l’acc&egrave;s NFS version 4 peut avoir une incidence sur les performances de NFS version 3.
Syst&egrave;me de fichiers NFS
6-15
Installation et configuration de NFS
Pour plus d’informations sur ce type d’installation, reportez–vous au manuel AIX 5L
Version 5.3 – R&eacute;f&eacute;rences et guide d’installation.
Etapes de configuration de NFS
Une fois le logiciel NFS install&eacute; sur vos syst&egrave;mes, il faut le configurer. Voici l’ensemble des
&eacute;tapes qu’il convient de r&eacute;aliser pour configurer NFS. Chacune de ces &eacute;tapes est d&eacute;crite de
fa&ccedil;on d&eacute;taill&eacute;e &agrave; la suite.
1. D&eacute;terminez les syst&egrave;mes du r&eacute;seau qui seront serveurs, et ceux qui seront clients (un
syst&egrave;me peut &ecirc;tre &agrave; la fois serveur et client).
2. D&eacute;terminez la version de NFS que vous allez utiliser.
3. D&eacute;cidez s’il est n&eacute;cessaire ou non de recourir &agrave; la fonction de s&eacute;curit&eacute; RPCSEC–GSS.
Le cas &eacute;ch&eacute;ant, tenez compte des consid&eacute;rations expos&eacute;es dans la section
Configuration d’un r&eacute;seau pour RPCSEC–GSS, page 6-19.
4. Pour chaque syst&egrave;me (client ou serveur), suivez les instructions indiqu&eacute;es &agrave; la section
Lancement des d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me, page 6-16.
5. Pour chaque serveur NFS, suivez les instructions indiqu&eacute;es &agrave; la section Configuration
d’un serveur NFS, page 6-16.
6. Pour chaque client NFS, suivez les instructions indiqu&eacute;es &agrave; la section Configuration d’un
client NFS, page 6-17.
7. Si vous souhaitez donner aux PC du r&eacute;seau acc&egrave;s aux serveurs NFS (outre leur
capacit&eacute; &agrave; monter des syst&egrave;mes de fichiers), configurez PC-NFS comme indiqu&eacute; &agrave; la
section PC-NFS, page 6-32.
8. Si vous avez pr&eacute;vu d’utiliser NFS version 4, tenez compte des consid&eacute;rations expos&eacute;es
&agrave; la section Prise en charge de NFS version 4, page 6-15.
Lancement des d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me
Par d&eacute;faut, les d&eacute;mons NFS ne sont pas activ&eacute;s au cours de l’installation. Celle-ci achev&eacute;e,
tous les fichiers sont plac&eacute;s sur le syst&egrave;me, mais les &eacute;tapes d’activation de NFS ne sont
pas effectu&eacute;es. Vous pouvez lancer les d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me via :
• Web–based System Manager, wsm
• le raccourci SMIT, smit mknfs
• la commande mknfs
Quelle que soit la m&eacute;thode choisie, une entr&eacute;e est int&eacute;gr&eacute;e au fichier inittab de fa&ccedil;on que
le script /etc/rc.nfs soit ex&eacute;cut&eacute; &agrave; chaque red&eacute;marrage du syst&egrave;me. A son tour, ce script
lance tous les d&eacute;mons requis par un syst&egrave;me donn&eacute;.
Configuration d’un serveur NFS
Proc&eacute;dez comme suit :
1. Cr&eacute;ez le fichier /etc/exports. Reportez–vous au fichier /etc/exports, page 6-10
2. Si vous utilisez Kerberos, configurez le serveur NFS comme un client Kerberos.
Reportez–vous &agrave; Configuration d’un r&eacute;seau pour RPCSEC–GSS, page 6-19.
3. Si vous utilisez NFS version 4, &eacute;tablissez le domaine NFS version 4 au moyen de la
commande chnfsdom. Pour plus d’informations, reportez–vous &agrave; la description de la
commande chnfsdom dans le manuel AIX 5L Version 5.3 Commands Reference.
Vous avez la possibilit&eacute;, au d&eacute;part, de sp&eacute;cifier le domaine Internet du serveur dans le
fichier. Vous pouvez, cependant, d&eacute;finir un domaine NFS version 4 diff&eacute;rent du domaine
6-16
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Internet du serveur. Pour en savoir plus &agrave; ce sujet, reportez–vous &agrave; la section relative au
d&eacute;mon NFS registry, nfsrgyd dans le manuel AIX 5L Version 5.3 Commands
Reference, Volume 4.
4. Si vous utilisez NFS version 4 avec Kerberos, vous devrez &eacute;ventuellement cr&eacute;er le
fichier /etc/nfs/realm.map. Reportez–vous au fichier /etc/nfs/realm.map, page 6-11.
5. Si vous souhaitez appliquer l’authentification Kerberos au serveur, vous devez activer la
fonction de s&eacute;curit&eacute; &eacute;volu&eacute;e sur le serveur. Vous pouvez le faire via SMIT ou en utilisant
la commande chnfs –S –B. Pour plus d’informations au sujet de la commande chnfs,
reportez–vous &agrave; la description de la commande chnfs dans le manuel AIX 5L
Version 5.3 Commands Reference, Volume 1.
Configuration d’un client NFS
1. Lancez NFS comme indiqu&eacute; &agrave; la section Lancement des d&eacute;mons NFS, page6-14.
2. D&eacute;finissez le point de montage local par la commande mkdir. La r&eacute;ussite d’un montage
NFS suppose la pr&eacute;sence d’un r&eacute;pertoire servant de point de montage. Ce r&eacute;pertoire
doit &ecirc;tre vide. La cr&eacute;ation de ce point de montage ne diff&egrave;re en rien de celle de n’importe
quel r&eacute;pertoire, et aucun attribut particulier ne doit &ecirc;tre sp&eacute;cifi&eacute;.
Remarque :
Les points de montage doivent exister pr&eacute;alablement &agrave; tout montage &agrave;
une exception pr&egrave;s : si vous utilisez le d&eacute;mon automount, il n’est pas
n&eacute;cessaire de cr&eacute;er des points de montage. Pour plus d’informations,
reportez–vous &agrave; la description du d&eacute;mon automount dans le manuel
AIX 5L Version 5.3 Commands Reference, Volume 1.
3. Si vous utilisez Kerberos, proc&eacute;dez comme suit :
a. Configurez le client NFS au sein d’une partition Kerberos. Faites appel pour cela
&agrave; la commande config.krb5.
b. Cr&eacute;ez des principaux Kerberos pour tous les utilisateurs du client pr&eacute;voyant
d’acc&eacute;der aux fichiers via des montages Kerberos. Faites appel pour cela &agrave; la
commande kadmin.
c. L’&eacute;tablissement d’un principal Kerberos pour la machine client elle–m&ecirc;me est
facultatif. On appelle client l&eacute;ger un client pour lequel aucun principal n’a &eacute;t&eacute; d&eacute;fini et
client lourd un client dot&eacute; d’un principal. Les clients l&eacute;gers ont recours &agrave; une s&eacute;curit&eacute;
NFS RPC moins puissante lorsqu’ils effectuent certaines op&eacute;rations de gestion de
contexte client–serveur sous NFS version 4 dans le cadre de l’administration d’&eacute;tat.
Un client lourd, d&eacute;pendant de la configuration, peut b&eacute;n&eacute;ficier d’une s&eacute;curit&eacute; RPC de
type Kerberos plus performante. Les configurations des clients l&eacute;gers monopolisent
moins de ressources administratives et peuvent &ecirc;tre suffisantes dans de nombreux
environnements. Pour les d&eacute;ploiements exigeant des niveaux de s&eacute;curit&eacute; extr&ecirc;mes,
il est g&eacute;n&eacute;ralement pr&eacute;f&eacute;rable d’opter pour des configurations de client lourd.
4. Si vous utilisez NFS version 4, vous devez &eacute;galement &eacute;tablir le domaine NFS version 4
au moyen de la commande chnfsdom. Vous avez la possibilit&eacute;, au d&eacute;part, de sp&eacute;cifier
le domaine Internet du client dans le fichier. Vous pouvez, cependant, d&eacute;finir un domaine
NFS version 4 diff&eacute;rent du domaine Internet du client. Pour en savoir plus &agrave; ce sujet,
reportez–vous &agrave; la documentation relative au d&eacute;mon NFS registry nfsrgyd.
5. Si vous souhaitez appliquer l’authentification Kerberos au client, vous devez activer la
fonction de s&eacute;curit&eacute; &eacute;volu&eacute;e sur le client. Vous pouvez le faire via SMIT ou en utilisant la
commande chnfs –S –B. Pour plus d’informations sur chnfs, reportez–vous &agrave; la page
de r&eacute;f&eacute;rence de la commande chnfs.
6. Etablissez les montages pr&eacute;d&eacute;finis comme indiqu&eacute; &agrave; la section Etablissement de
montages NFS pr&eacute;d&eacute;finis, page 6-27.
Syst&egrave;me de fichiers NFS
6-17
Mappage d’identit&eacute;
Le mappage d’identit&eacute; est une m&eacute;thode utilis&eacute;e par le serveur et le client local NFS pour
traduire des utilisateurs et des groupes &eacute;trangers en utilisateurs et groupes locaux. AIX
utilise la technologie EIM, laquelle est bas&eacute;e sur LDAP, pour proc&eacute;der au mappage
d’identit&eacute;. Toutes les donn&eacute;es de mappage d’identit&eacute; NFS sont stock&eacute;es sur un serveur
LDAP.
Pour configurer un client EIM, les ensembles de fichiers bos.eim.rte et ldap.client doivent
&ecirc;tre install&eacute;s. Le serveur EIM a besoin &eacute;galement de l’ensemble de fichiers ldap.server.
Apr&egrave;s avoir install&eacute; les ensembles de fichiers appropri&eacute;s, servez–vous de
/usr/sbin/chnfsim pour configurer EIM. Les options de configuration minimum sont les
suivantes :
/usr/sbin/chnfsim –c –h [serveur EIM] –e [domaine LDAP/EIM] –f [suffixe
LDAP] –w [mot de passe administrateur]
Cela permet de configurer &agrave; la fois les clients et les serveurs EIM afin d’utiliser un serveur
EIM sp&eacute;cifique pour le mappage d’identit&eacute;. Si le nom d’h&ocirc;te sp&eacute;cifi&eacute; dans la commande
correspond au nom d’h&ocirc;te local, un serveur LDAP est &eacute;galement configur&eacute;.
Une fois la phase de configuration termin&eacute;e, l’administrateur EIM peut renseigner le serveur
LDAP en fonction des donn&eacute;es de mappage d’identit&eacute; NFS. Un utilisateur ou un groupe
individuel, tel que Jean Dupont, est connu sous le nom d’identit&eacute; de mappage. La cha&icirc;ne du
propri&eacute;taire NFS de cet utilisateur, [email protected], est appel&eacute;e un mappage
d’identit&eacute;. Pour entrer ces donn&eacute;es sur le serveur LDAP, voici l’instruction &agrave; ex&eacute;cuter :
/usr/sbin/chnfsim –a –u –i ”Jean Dupont” –n jeandupont –d austin.ibm.com
L’identit&eacute; de mappage est le nom descriptif de l’utilisateur ou du groupe alors que le
mappage d’identit&eacute; correspond &agrave; la cha&icirc;ne du propri&eacute;taire NFS nom@domaine. Les
mappages entre les partitions et les domaines sont aussi stock&eacute;s sur le serveur LDAP. Pour
&eacute;tablir une correspondance entre la partition Kerberos kerb.austin.ibm.com et le
domaine NFS austin.ibm.com, voici l’instruction qu’il convient d’ex&eacute;cuter :
/usr/sbin/chnfsim –a –r kerb.austin.ibm.com –d austin.ibm.com
Pour configurer NFS de fa&ccedil;on &agrave; utiliser les donn&eacute;es de mappage dans EIM, il faut
red&eacute;marrer le d&eacute;mon NFS registry. Celui–ci v&eacute;rifie si un serveur EIM est disponible au
d&eacute;marrage, et le cas &eacute;ch&eacute;ant, toutes les fonctions de mappage passent par EIM et tous les
mappages locaux sont ignor&eacute;s.
Pour plus d’informations sur EIM, reportez–vous &agrave; la section EIM (Entreprise Identity
Mapping) dans le manuel AIX 5L Version 5.3 – Guide de s&eacute;curit&eacute;.
Exportation d’un syst&egrave;me de fichiers NFS
Vous pouvez exporter un syst&egrave;me de fichiers NFS via l’application r&eacute;seau Web–based
System Manager, ou en utilisant l’une des proc&eacute;dures suivantes.
• Via SMIT :
1. V&eacute;rifiez que NFS est actif en entrant la commande lssrc –g nfs. La sortie doit
indiquer que les d&eacute;mons nfsd et rpc.mountd sont actifs. Dans la n&eacute;gative, lancez
NFS comme indiqu&eacute; &agrave; la section Lancement des d&eacute;mons NFS page 6-14.
2. Sur la ligne de commande, tapez l’instruction suivante et appuyez sur Entr&eacute;e :
smit mknfsexp
3. Renseignez les zones Chemin d’acc&egrave;s du r&eacute;pertoire &agrave; exporter, Mode d’acc&egrave;s
au r&eacute;pertoire export&eacute; et Export r&eacute;pert maintenant, init-syst. ou les deux.
4. Modifiez les autres caract&eacute;ristiques ou acceptez les valeurs par d&eacute;faut.
5. Vos changements termin&eacute;s, SMIT met &agrave; jour le fichier /etc/exports. Si le fichier
/etc/exports n’existe pas, il est cr&eacute;&eacute;.
6. R&eacute;p&eacute;tez les &eacute;tapes 3 &agrave; 5 pour chaque r&eacute;pertoire &agrave; exporter.
6-18
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
• Pour exporter un syst&egrave;me de fichiers NFS via un &eacute;diteur :
1. Ouvrez le fichier /etc/exports avec votre &eacute;diteur favori.
2. Cr&eacute;ez une entr&eacute;e pour chaque r&eacute;pertoire &agrave; exporter, en indiquant son chemin d’acc&egrave;s
complet. R&eacute;pertoriez tous les r&eacute;pertoires &agrave; exporter en commen&ccedil;ant &agrave; la marge
gauche. Ne sp&eacute;cifiez pas de r&eacute;pertoire qui en contient un autre d&eacute;j&agrave; export&eacute;. Pour en
savoir plus sur la syntaxe des entr&eacute;es dans le fichier /etc/exports, reportez-vous &agrave; la
documentation du fichier /etc/exports.
3. Sauvegardez et fermez le fichier /etc/exports.
4. Si NFS est en cours d’ex&eacute;cution, tapez la commande suivante et appuyez sur
Entr&eacute;e:
/usr/sbin/exportfs –a
–a indique &agrave; la commande exportfs d’envoyer au noyau toutes les informations
du fichier /etc/exports. Si NFS n’est pas actif, lancez-le comme indiqu&eacute; &agrave; la section
Lancement des d&eacute;mons NFS page 6-14.
• Pour exporter temporairement un syst&egrave;me de fichiers NFS (sans changer le fichier
/etc/exports), tapez la commande suivante et appuyez sur Entr&eacute;e :
exportfs –i /dirname
o&ugrave; dirname est le nom du syst&egrave;me de fichiers que vous souhaitez exporter. La
commande exportfs –i sp&eacute;cifie de ne pas rechercher le r&eacute;pertoire dans le fichier
/etc/exports, et que toutes les options sont directement issues de la ligne de
commande.
La prise en charge AIX NFS version 4 permet &agrave; l’administrateur de cr&eacute;er et de g&eacute;rer un
autre espace nom pr&eacute;sent&eacute; par le serveur NFS sur les clients. il est n&eacute;cessaire pour cela
d’utiliser l’option d’exportation exname. Cette prise en charge peut &eacute;galement servir &agrave;
masquer les d&eacute;tails de l’espace nom du syst&egrave;me de fichiers local sur le serveur &agrave; partir
des clients NFS. Pour plus d’informations, reportez–vous &agrave; la description de la
commande exportfs dans le manuel AIX 5L Version 5.3 Commands Reference,
Volume 2 et &agrave; la description du fichier /etc/exports dans le manuel AIX 5L Version 5.3
Files Reference.
Configuration d’un r&eacute;seau pour RPCSEC–GSS
Cette section d&eacute;crit un sc&eacute;nario relatif &agrave; la configuration d’un r&eacute;seau pour RPCSEC–GSS.
Le r&eacute;seau compte cinq serveurs :
• kdc.austin.ibm.com
• alpha.austin.ibm.com
• beta.austin.ibm.com
• gamma.austin.ibm.com
• zeta.austin.ibm.com
Le syst&egrave;me kdc.austin.ibm.com sera configur&eacute; comme serveur KDC (Key Distribution
Center) et la partition Kerberos AUSTIN.IBM.COM sera r&eacute;serv&eacute;e &agrave; tous les syst&egrave;mes (&agrave;
l’exception de kdc.austin.ibm.com et zeta.austin.ibm.com ) qui feront office de
serveurs NFS pour les syst&egrave;mes de fichiers export&eacute;s avec RPCSEC–GSS.
Les syst&egrave;mes alpha.austin.ibm.com et beta.austin.ibm.com poss&egrave;dent un lien
suppl&eacute;mentaire entre eux. Gr&acirc;ce &agrave; ce lien, ils se pr&eacute;sentent l’un &agrave; l’autre comme
fast_alpha.test.austin.com et fast_beta.test.austin.ibm.com. C’est la
raison pour laquelle une &eacute;tape de configuration suppl&eacute;mentaire sera n&eacute;cessaire.
Syst&egrave;me de fichiers NFS
6-19
Ce r&eacute;seau compte en outre les utilisateurs suivants :
• adam
• brian
• charlie
• dave
• eric
lesquels ont &eacute;t&eacute; configur&eacute;s sur certains des syst&egrave;mes.
Remarque :
La configuration ci–dessous est propos&eacute;e uniquement &agrave; titre d’exemple et
risque de ne pas convenir &agrave; tous les environnements. Avant d’essayer de
configurer une nouvelle partition Kerberos, veuillez consulter le manuel
Administrator’s and User’s Guide pour le service d’authentification r&eacute;seau.
Remarque :
Kerberos ne tol&egrave;re que des &eacute;carts d’heure syst&egrave;me peu importants &agrave;
l’&eacute;chelle du r&eacute;seau. Avant de lancer cette proc&eacute;dure, il est donc
indispensable de pr&eacute;voir un m&eacute;canisme de synchronisation automatique
des heures sur tout le r&eacute;seau, en ayant recours, par exemple, au d&eacute;mon
AIX timed ou &agrave; une configuration NTP.
Etape 1.
Configurez le serveur KDC.
Remarque :
Dans l’id&eacute;al, il vaut mieux &eacute;viter d’utiliser le serveur KDC dans tout
autre but ; en effet, si les donn&eacute;es du serveur KDC venaient &agrave; &ecirc;tre
compromises, tous les principaux Kerberos le seraient &eacute;galement.
Dans ce sc&eacute;nario, kdc.austin.ibm.com sera configur&eacute; en tant que serveur KDC.
La configuration suivante s’applique &agrave; des3. If si vous pr&eacute;f&eacute;rez utilisez des pour des
raisons de performance, ajoutez l’argument –e des–cbc–crc:normal aux appels
addprinc et ktadd pour kadmin ci–dessous.
a. Installez l’ensemble de fichiers krb5.server.rte sur kdc.austin.ibm.com.
b. Configurez le serveur KDC. Dans ce sc&eacute;nario, la commande suivante a &eacute;t&eacute;
employ&eacute;e :
config.krb5 –S –d austin.ibm.com –r AUSTIN.IBM.COM
Apr&egrave;s l’ex&eacute;cution de cette commande, le syst&egrave;me vous demande un mot de passe
d’acc&egrave;s &agrave; la base de donn&eacute;es principale et un mot de passe d’acc&egrave;s au principal
d’administration.
c. Cr&eacute;ez des principaux pour chaque utilisateur et chaque h&ocirc;te en ex&eacute;cutant la
commande /usr/krb5/sbin/kadmin.local sur le serveur KDC. Cet exemple permet
de g&eacute;n&eacute;rer des principaux Kerberos correspondant au nom d’utilisateur UNIX de
l’utilisateur associ&eacute;. Le nom du principal sera mapp&eacute; au nom d’utilisateur par NFS
pour d&eacute;terminer les donn&eacute;es d’identification UNIX associ&eacute;es au principal. Pour
savoir comment &eacute;tablir un plus grand nombre de correspondances g&eacute;n&eacute;rales entre
des principaux et des noms d’utilisateur, reportez–vous &agrave; la section Mappage
d’identit&eacute; page 6-18. Dans le cadre de ce r&eacute;seau, nous avons d&eacute;fini les principaux
suivants :
– adam
– brian
– charlie
– dave
– eric
– nfs/alpha.austin.ibm.com
– nfs/beta.austin.ibm.com
– nfs/gamma.austin.ibm.com
6-20
Guide de gestion du syst&egrave;me – Communications et r&eacute;seaux
Remarque :
Etape 2.
Les noms des principaux utilisateur choisis doivent &ecirc;tre identiques
aux noms d’utilisateur correspondants dans le registre utilisateur
configur&eacute; du syst&egrave;me (/etc/passwd, LDAP, NIS, et ainsi de suite).
NFS utilise le nom de principal en tant que nom d’utilisateur afin
d’obtenir les ID d’utilisateur et de groupe sur le syst&egrave;me local. Si
les noms ne correspondent pas, l’acc&egrave;s sera trait&eacute; comme un
acc&egrave;s anonyme. Le serveur KDC est maintenant configur&eacute;.
Nous allons, &agrave; pr&eacute;sent, configurer chaque client et serveur NFS en tant que
clients Kerberos au moyen de la commande config.krb5. La m&eacute;thode
utilis&eacute;e d&eacute;pend de la fa&ccedil;on dont KDC a &eacute;t&eacute; configur&eacute;. Dans ce sc&eacute;nario,
l’instruction suivante a &eacute;t&eacute; ex&eacute;cut&eacute;e sur chaque syst&egrave;me NFS :
config.krb5 –C –d austin.ibm.com –r AUSTIN.IBM.COM –c
kdc.austin.ibm.com –s kdc.austin.ibm.com
Il est maintenant possible d’appliquer la commande kinit pour tout principal utilisateur
sur tous les syst&egrave;mes configur&eacute;s. Pour utiliser, par exemple, la commande kinit
comme utilisateur adam, ex&eacute;cutez l’instruction suivante :
/usr/krb5/bin/kinit adam
Il faudra sp&eacute;cifier le mot de passe Kerberos d’adam et non le mot de passe AIX.
Cet exemple a recours &agrave; kinit pour authentifier l’utilisateur. Vous avez la possibilit&eacute;
de configurer AIX pour utiliser l’authentification Kerberos lors de la connexion au
syst&egrave;me. Pour plus d’informations, reportez–vous &agrave; la section Authentification &agrave; AIX
&agrave; l’aide de Kerberos dans le manuel AIX 5L Version 5.3 – Guide de s&eacute;curit&eacute;.
Etape 3.
Nous avons pr&eacute;vu de configurer chaque serveur NFS en fonction de
l’entr&eacute;e keytab appropri&eacute;e. Dans ce sc&eacute;nario, nous avons choisi de
configurer l’entr&eacute;e keytab pour alpha.austin.ibm.com &agrave; titre
d’exemple. Nous proc&eacute;derons exactement de la m&ecirc;me mani&egrave;re pour
beta.austin.ibm.com et gamma.austin.ibm.com.
a. A partir de alpha.austin.ibm.com, ex&eacute;cutez la commande kadmin.
Ex&eacute;cutez ensuite l’instruction suivante :
ktadd nfs/alpha.austin.ibm.com
Cela a pour effet de cr&eacute;er le fichier keytab.
b. Configurez ensuite le d&eacute;mon gssd de fa&ccedil;on &agrave; utiliser le fichier keytab que vous
venez de cr&eacute;er avec la commande nfshostkey. Dans ce sc&eacute;nario, nous avons
ex&eacute;cut&eacute; l’instruction suivante :
nfshostkey –p nfs/alpha.austin.ibm.com –f /etc/krb5/krb5.keytab
c. Configurez le d&eacute;mon gssd pour qu’il d&eacute;marre automatiquement en ex&eacute;cutant la
commande suivante :
chnfs –S –B
R&eacute;p&eacute;tez cette proc&eacute;dure pour chaque syst&egrave;me.
Etape 4.
A ce stade, le serveur NFS est en &eacute;tat de fonctionner, m&ecirc;me si tous les
utilisateurs seront consid&eacute;r&eacute;s comme inconnus (nobody). Il faut faire en
sorte que l’ensemble des utilisateurs soient reconnus sur tous les serveurs
avec le m&ecirc;me ID utilisateur (UID) et le m&ecirc;me ID groupe (GID). Ceux qui
n’existent pas auront acc&egrave;s au r&eacute;pertoire export&eacute; uniquement en tant
qu’utilisateurs nobody. Pour vous assurer que les noms d’utilisateur sont
mapp&eacute;s correctement, vous devez configurer le d&eacute;mon NFS registry.
a. Configurez le domaine au moyen de la commande chnfsdom . Dans ce sc&eacute;nario,
la commande suivante a &eacute;t&eacute; ex&eacute;cut&eacute;e sur tous les serveurs NFS afin de configurer
austin.ibm.com comme domaine :
chnfsdom austin.ibm.com
Syst&egrave;me de fichiers NFS
6-21
b. Configurez le fichier /etc/nfs/realm.map. Celui–ci doit contenir une ligne en
veillant &agrave; ce que le nom de la partition soit suivie du domaine local. Dans le cadre
de notre exemple de r&eacute;seau, ces deux fichiers doivent &ecirc;tre similaires &agrave; ceci sur
tous les serveurs NFS :
realm.map AUSTIN.IBM.CO
Bull AIX 5.3 Manuel utilisateur

Manuels associés

Bull

AIX 5.2

Bull

AIX 4.3

Bull

AIX 4.3 -System

Bull

AIX 5.3

DeLOCK

89231

Bull

AIX 4.3 - NIM (Network Installation and Management)

Bull

AIX 5.1 - NIM (Network Installation and Management)

Bull

AIX 4.3 - Problem Solving

Apple

Mac OS X Server 10.5 Leopard

Apple

MAC OS X SERVER 10.4

Bull

AIX 5.3 - Web-based System Manager

Bull

AIX 5.2
