Bull AIX 5.2 Manuel utilisateur

Ajouter à Mes manuels
510 Des pages
Bull
Guide de gestion du syst&egrave;me
Communications et r&eacute;seaux
AIX
REFERENCE
86 F2 27EF 03
Bull
Guide de gestion du syst&egrave;me
Communications et r&eacute;seaux
AIX
Logiciel
Juin 2003
BULL CEDOC
357 AVENUE PATTON
B.P.20845
49008 ANGERS CEDEX 01
FRANCE
REFERENCE
86 F2 27EF 03
L’avis juridique de copyright ci–apr&egrave;s place le pr&eacute;sent document sous la protection des lois de Copyright des
&Eacute;tats–Unis d’Am&eacute;rique et des autres pays qui prohibent, sans s’y limiter, des actions comme la copie, la
distribution, la modification et la cr&eacute;ation de produits d&eacute;riv&eacute;s &agrave; partir du pr&eacute;sent document.
Copyright
Bull S.A. 1992, 2003
Imprim&eacute; en France
Vos suggestions sur la forme et le fond de ce manuel seront les bienvenues.
Une feuille destin&eacute;e &agrave; recevoir vos remarques se trouve &agrave; la fin de ce document.
Pour commander d’autres exemplaires de ce manuel ou d’autres publications
techniques Bull, veuillez utiliser le bon de commande &eacute;galement fourni en fin de
manuel.
Marques d&eacute;pos&eacute;es
Toutes les marques d&eacute;pos&eacute;es sont la propri&eacute;t&eacute; de leurs titulaires respectifs.
AIXR est une marque d&eacute;pos&eacute;e d’IBM Corp. et est utilis&eacute;e sous licence.
UNIX est une marque d&eacute;pos&eacute;e licenci&eacute;e exclusivement par Open Group.
Linux est une marque d&eacute;pos&eacute;e de Linus Torvalds.
Les informations contenues dans ce document peuvent &ecirc;tre modifi&eacute;es sans pr&eacute;avis. Bull S.A. n’est pas
responsable des erreurs &eacute;ventuelles pouvant figurer dans ce document, ni des dommages pouvant r&eacute;sulter
de son utilisation.
A propos de ce manuel
Ce manuel s’adresse aux administrateurs syst&egrave;me qui g&egrave;rent les connexions du syst&egrave;me
au r&eacute;seau. Il est n&eacute;cessaire de conna&icirc;tre le syst&egrave;me d’exploitation de base et les sujets
abord&eacute;s dans les manuels AIX 5L Version 5.2 System Management Guide: Operating
System and Devices et AIX 5L Version 5.2 System User’s Guide: Communications and
Networks.
En commen&ccedil;ant par la biblioth&egrave;que de documentation AIX 5.2, toutes les informations que
ce manuel contenait concernant la s&eacute;curit&eacute; syst&egrave;me AIX ou toutes les rubriques relatives &agrave;
la s&eacute;curit&eacute; ont &eacute;t&eacute; retir&eacute;es. Pour consulter les informations de s&eacute;curit&eacute;, reportez–vous au
manuel AIX 5L Version 5.2 Security Guide.
Cette &eacute;dition prend en charge l’&eacute;dition d’AIX 5L Version 5.2 avec le module de maintenance
recommand&eacute; 5200–01. Toutes les r&eacute;f&eacute;rences sp&eacute;cifiques &agrave; ce module de maintenance sont
signal&eacute;es par l’indication AIX 5.2 avec 5200–01.
A qui s’adresse ce manuel ?
Ce manuel s’adresse aux administrateurs syst&egrave;me effectuant les t&acirc;ches de gestion du
syst&egrave;me impliquant des communications dans un r&eacute;seau.
Conventions typographiques
Les conventions typographiques suivantes sont utilis&eacute;es dans ce manuel :
Gras
Commandes, mots-cl&eacute;s, fichiers, r&eacute;pertoires et autres &eacute;l&eacute;ments dont le
nom est pr&eacute;d&eacute;fini par le syst&egrave;me.
Italique
Param&egrave;tres dont le nom ou la valeur est fourni par l’utilisateur.
Espacement
fixe
Exemples (valeurs sp&eacute;cifiques, texte affich&eacute;, code programme),
messages syst&egrave;me ou donn&eacute;es entr&eacute;es par l’utilisateur.
Distinction majuscules/minuscules dans AIX
La distinction majuscules/minuscules s’applique &agrave; toutes les donn&eacute;es entr&eacute;es dans le
syst&egrave;me d’exploitation AIX. Vous pouvez, par exemple, utiliser la commande ls pour afficher
la liste des fichiers. Si vous entrez LS, le syst&egrave;me affiche un message d’erreur indiquant
que la commande entr&eacute;e est introuvable. De la m&ecirc;me mani&egrave;re, FICHEA, FiChea et fichea
sont trois noms de fichiers distincts, m&ecirc;me s’ils se trouvent dans le m&ecirc;me r&eacute;pertoire. Pour
&eacute;viter toute action ind&eacute;sirable, v&eacute;rifiez syst&eacute;matiquement que vous utilisez la casse
appropri&eacute;e.
Pr&eacute;face
iii
ISO 9000
Ce produit a &eacute;t&eacute; d&eacute;velopp&eacute; et fabriqu&eacute; conform&eacute;ment aux proc&eacute;dures de qualit&eacute; ISO 9000.
Bibliographie
Les manuels suivants compl&egrave;tent la documentation sur les communications.
• AIX 5L Version 5.2 System Management Guide: Operating System and Devices
• AIX 5L Version 5.2 System Management Concepts: Operating System and Devices
• AIX 5L Version 5.2 System User’s Guide: Communications and Networks
• AIX 5L Version 5.2 General Programming Concepts: Writing and Debugging Programs
• AIX 5L Version 5.2 Network Information Service (NIS and NIS+) Guide
• AIX 5L Version 5.2 Commands Reference
• AIX 5L Version 5.2 R&eacute;f&eacute;rences et guide d’installation
• AIX 5L Version 5.2 Security Guide
iv
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Table des mati&egrave;res
A propos de ce manuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A qui s’adresse ce manuel ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Distinction majuscules/minuscules dans AIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ISO 9000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iii
iii
iii
iii
iv
iv
Chapitre 1. Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau . . . . . . . . . . . . . . . .
Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4 . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Configuration des h&ocirc;tes pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du routeur pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au d&eacute;marrage .
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au d&eacute;marrage
Mise &agrave; niveau vers IPv6 sans configuration d’IPv4
dans AIX 5.2 et versions ult&eacute;rieures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1 : Configuration des h&ocirc;tes pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2 : Configuration du routeur pour IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au d&eacute;marrage .
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au d&eacute;marrage
Migration de SNMPv1 vers SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Migration des informations de communaut&eacute; . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Migration des informations d’affichage . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Migration des informations d’interruption . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 4. Migration des informations smux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’utilisateurs dans SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Cr&eacute;ation de l’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Configuration des permissions d’acc&egrave;s et d’affichage . . . . . . . . . . . . . .
Etape 4. Configuration des entr&eacute;es d’interruption pour l’utilisateur . . . . . . . . . . . .
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 6. Test de votre configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise &agrave; jour dynamique des cl&eacute;s d’authentification
et de confidentialit&eacute; dans SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique . . . . . . . . . . . . . . . . . . . . .
Configuration des serveurs de nom de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 1. Configuration du serveur de noms ma&icirc;tre . . . . . . . . . . . . . . . . . . . . . . . . .
Etape 2. Configuration du serveur de noms esclave . . . . . . . . . . . . . . . . . . . . . . . .
Etape 3. Configuration du serveur de noms d’indices . . . . . . . . . . . . . . . . . . . . . . .
1-1
1-2
1-2
1-3
1-3
1-3
1-18
1-21
1-22
1-23
1-25
1-27
Chapitre 2. Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . .
Fonctions de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation des r&eacute;seaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;seaux physiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;mes r&eacute;seau et protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Domaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Passerelles et ponts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-1
2-2
2-3
2-5
2-6
2-6
2-6
2-6
2-7
2-7
Pr&eacute;face
1-5
1-5
1-5
1-6
1-7
1-9
1-9
1-10
1-11
1-12
1-12
1-13
1-13
1-14
1-15
1-16
1-17
1-17
v
vi
Noeud local et noeud distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Client et serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Communication avec d’autres syst&egrave;mes d’exploitation . . . . . . . . . . . . . . . . . . . . . . . .
2-7
2-7
2-8
Chapitre 3. Messagerie &eacute;lectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion du courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du fichier /etc/rc.tcpip pour lancer le d&eacute;mon sendmail . . . . . . . . . .
Gestion des alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/mail/aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’alias de syst&egrave;me local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cr&eacute;ation d’une base de donn&eacute;es d’alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des fichiers et r&eacute;pertoires de file d’attente courrier . . . . . . . . . . . . . . . . . . . .
Impression de la file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers de file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sp&eacute;cification des d&eacute;lais au d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ex&eacute;cution forc&eacute;e de la file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intervalle de traitement de la file d’attente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Transfert de file d’attente courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arr&ecirc;t du d&eacute;mon sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion de la journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion du journal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Journalisation du trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Journalisation des donn&eacute;es statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affichage des informations des programmes facteurs . . . . . . . . . . . . . . . . . . . . . .
Mise au point de sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles IMAP (Internet Message Access Protocol)
et POP (Post Office Protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des serveurs IMAP et POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations de r&eacute;f&eacute;rence du courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers et r&eacute;pertoires courrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes IMAP et POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-1
3-2
3-2
3-3
3-3
3-4
3-4
3-6
3-6
3-6
3-8
3-9
3-9
3-9
3-10
3-10
3-11
3-12
3-12
3-13
3-14
3-15
Chapitre 4. Protocole TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration du r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation et configuration pour TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes de gestion syst&egrave;me TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une liste de contr&ocirc;le du r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . .
Protocoles TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IP version 6 - G&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suivi de paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
En-t&ecirc;tes de paquet au niveau interface de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau transport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles Internet de niveau application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nombres r&eacute;serv&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes de r&eacute;seau local (LAN) TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation d’une carte r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration et gestion des cartes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN) . . . . . . . . . . . . . .
Utilisation de cartes ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1
4-2
4-3
4-3
4-4
4-4
4-6
4-9
4-17
4-17
4-20
4-26
4-30
4-35
4-36
4-36
4-37
4-38
4-39
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
3-16
3-16
3-18
3-19
3-19
3-19
3-20
Interfaces de r&eacute;seau TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration automatique des interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;seaux avec plusieurs interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion d’interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Options du r&eacute;seau sp&eacute;cifiques &agrave; l’interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adressage TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de sous-r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de diffusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresses de bouclage local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution de noms sous TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me d’appellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution locale des noms (/etc/hosts) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Serveur de noms : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un serveur exp&eacute;diteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de serveur exclusivement exp&eacute;diteur . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un h&ocirc;te avec serveur de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de zones dynamiques sur le serveur de noms DNS . . . . . . . . . . . .
BIND 9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification et configuration pour la r&eacute;solution de noms LDAP
(Sch&eacute;ma de r&eacute;pertoire SecureWay) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification et configuration pour la r&eacute;solution de noms NIS_LDAP
(Sch&eacute;ma RFC 2307) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation des adresses et param&egrave;tres TCP/IP - Protocole DHCP . . . . . . . . . . . . .
Le serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;paration de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP et DDNS (Dynamic Domain Name System –
Syst&egrave;me de noms de domaine dynamique) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilit&eacute; DHCP avec les versions ant&eacute;rieures . . . . . . . . . . . . . . . . . . . . . . . . .
Options connues du fichier de serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–option de conteneur fournisseur de l’environnement PXE
(Preboot Execution Environment) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur DHCP pour le fonctionnement
g&eacute;n&eacute;ral du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la syntaxe du fichier de serveur DHCP
pour la base de donn&eacute;es db_file : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP et gestion NIM (Network Installation Management) . . . . . . . . . . . . . . . . . .
D&eacute;mon DHCP avec structure PXED
(Preboot Execution Environment Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Le serveur DHCP proxy PXE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du serveur PXED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–options du conteneur fournisseur PXE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur PXED pour le fonctionnement
g&eacute;n&eacute;ral du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remarques sur la syntaxe du fichier de serveur PXED
pour la base de donn&eacute;es db_file : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon BINLD (Boot Image Negotiation Layer Daemon) . . . . . . . . . . . . . . . . . . . . . .
Le serveur BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de BINLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral
du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral
du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous-syst&egrave;mes et sous-serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;face
4-49
4-50
4-53
4-53
4-54
4-57
4-57
4-59
4-62
4-62
4-63
4-63
4-71
4-72
4-73
4-77
4-78
4-80
4-82
4-85
4-89
4-90
4-93
4-94
4-97
4-97
4-104
4-106
4-106
4-111
4-113
4-117
4-129
4-130
4-130
4-131
4-136
4-138
4-139
4-147
4-147
4-147
4-152
4-155
4-161
4-161
vii
Fonction SRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon inetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services r&eacute;seau client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services r&eacute;seau serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Routage statique ou dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planification des passerelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’une passerelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; des routes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;tection des passerelles non op&eacute;rationnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clonage de route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression manuelle de routes dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon routed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon gated . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtention d’un num&eacute;ro de syst&egrave;me autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv6 Mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents Mobile IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse IP virtuelle (VIPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion de VIPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EtherChannel et IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion d’EtherChannel et de IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . .
Identification des incidents d’EtherChannel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IEEE 802.3ad Link Aggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sc&eacute;narios d’interop&eacute;rabilit&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Recherche de MTU d’acc&egrave;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
protocole SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de SLIP pour modem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de SLIP pour c&acirc;ble de modem nul . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;sactivation d’une connexion SLIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suppression d’un TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocole asynchrone point-&agrave;-point (PPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du protocole asynchrone PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocoles PPP et SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes QoS (Qualit&eacute; du service) TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mod&egrave;les QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normes prises en charge et &eacute;bauches de normes . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des probl&egrave;mes au niveau du QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sp&eacute;cification de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instructions relatives aux environnements DiffServ . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de configuration policyd exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chargement de politiques dans le serveur de r&eacute;pertoires SecureWay Directory
Configuration du syst&egrave;me . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conformit&eacute; aux normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prise en charge de IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le du d&eacute;mon de politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;f&eacute;rence QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
viii
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
4-162
4-164
4-165
4-166
4-168
4-168
4-169
4-171
4-172
4-174
4-174
4-175
4-175
4-175
4-176
4-179
4-180
4-181
4-182
4-183
4-183
4-183
4-186
4-186
4-187
4-191
4-193
4-194
4-197
4-199
4-200
4-200
4-201
4-203
4-204
4-205
4-205
4-206
4-208
4-210
4-211
4-212
4-212
4-213
4-216
4-216
4-219
4-219
4-221
4-223
4-223
4-224
4-224
4-224
Identification des incidents TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de r&eacute;solution de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents SRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents li&eacute;s &agrave; telnet ou rlogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents courants sur les interfaces de r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents de livraison de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidents au niveau du protocole DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations de r&eacute;f&eacute;rence TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des d&eacute;mons TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des m&eacute;thodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des RFC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-225
4-225
4-225
4-227
4-228
4-229
4-231
4-231
4-234
4-235
4-236
4-236
4-237
4-237
4-238
4-238
Chapitre 5. Administration du r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Administration de r&eacute;seau avec SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation de SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Architecture SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cl&eacute;s utilisateur SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Emission de requ&ecirc;tes SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SNMPv1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Politiques d’acc&egrave;s SNMPv1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonctionnement du d&eacute;mon SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’un message et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une requ&ecirc;te . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une r&eacute;ponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Traitement d’une interruption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Support du d&eacute;mon SNMP pour la famille EGP de variables MIB . . . . . . . . . . . . .
Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification et r&eacute;solution des incidents li&eacute;s au d&eacute;mon SNMP . . . . . . . . . . . . . . .
Interruption pr&eacute;matur&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;faillance du d&eacute;mon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acc&egrave;s impossible aux variables MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acc&egrave;s impossible aux variables MIB dans une entr&eacute;e de communaut&eacute; . . . . . . .
Absence de r&eacute;ponse de l’agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Message noSuchName . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1
5-2
5-3
5-4
5-5
5-7
5-10
5-11
5-13
5-14
5-15
5-16
5-17
5-17
5-18
5-18
5-19
5-21
5-32
5-35
5-35
5-36
5-36
5-37
5-37
5-38
Chapitre 6. Syst&egrave;me de fichiers r&eacute;seau et SMBFS . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listes de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Syst&egrave;me de fichiers cache (CacheFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mappage de fichiers sous NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Types de montage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus de montage NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/xtab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Impl&eacute;mentation de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-1
6-2
6-2
6-3
6-3
6-5
6-5
6-6
6-7
6-7
6-7
Pr&eacute;face
ix
x
Contr&ocirc;le de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation et configuration de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etapes de configuration de NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un serveur NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’un client NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exportation d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Annulation de l’exportation d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . .
Modification d’un syst&egrave;me de fichiers export&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activation de l’acc&egrave;s racine &agrave; un syst&egrave;me de fichiers export&eacute; . . . . . . . . . . . . . . . .
Montage explicite d’un syst&egrave;me de fichiers NFS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montage automatique d’un syst&egrave;me de fichiers &agrave; l’aide de AutoFS . . . . . . . . . . .
Etablissement de montages NFS pr&eacute;d&eacute;finis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;montage d’un syst&egrave;me de fichiers mont&eacute; explicitement ou automatiquement
Suppression de montages NFS pr&eacute;d&eacute;finis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service d’authentification PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Service d’impression en diff&eacute;r&eacute; PC–NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V&eacute;rification de la disponibilit&eacute; du d&eacute;mon rpc.pcnfsd . . . . . . . . . . . . . . . . . . . . . . . .
WebNFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestionnaire NLM (Network Lock Manager) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Architecture du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verrouillage des fichiers du r&eacute;seau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Processus de reprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lancement du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;pannage du gestionnaire NLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inaccessibilit&eacute; des fichiers en montage fixe ou logiciel . . . . . . . . . . . . . . . . . . . . . .
Liste de contr&ocirc;le pour l’identification des incidents NFS . . . . . . . . . . . . . . . . . . . . .
Erreurs d’&eacute;criture asynchrone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Messages d’erreur NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Probl&egrave;mes de temps d’acc&egrave;s &agrave; NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations de r&eacute;f&eacute;rence NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des fichiers NFS (Network File System) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des commandes NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Liste des d&eacute;mons NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sous–routines NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SMBFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de SMBFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Montage du syst&egrave;me de fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents SMBFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-8
6-11
6-11
6-11
6-11
6-12
6-12
6-13
6-13
6-14
6-15
6-16
6-19
6-19
6-20
6-20
6-20
6-21
6-21
6-22
6-23
6-24
6-24
6-24
6-24
6-25
6-25
6-27
6-27
6-27
6-28
6-28
6-31
6-36
6-36
6-36
6-36
6-38
6-39
6-39
6-39
6-41
Chapitre 7. Unit&eacute;s TTY et communications s&eacute;rie . . . . . . . . . . . . . . . . . . . . . . . . . .
G&eacute;n&eacute;ralit&eacute;s TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Variable TERM pour diff&eacute;rents &eacute;crans et terminaux . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des caract&eacute;ristiques de terminal TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des attributs de l’unit&eacute; TTY raccord&eacute;e . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des unit&eacute;s TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilitaire d’&eacute;cran dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier de configuration de terminal dscreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation de touches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Affectation d’&eacute;cran dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Description du fichier dsinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-1
7-2
7-2
7-2
7-3
7-4
7-6
7-6
7-6
7-8
7-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration des modems g&eacute;n&eacute;riques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modems Hayes et compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification et r&eacute;solution des probl&egrave;mes de modem . . . . . . . . . . . . . . . . . . . . . . .
Questionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;capitulatif des commandes AT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;finition des options de terminal avec stty–cxma . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Emulation ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G&eacute;n&eacute;ralit&eacute;s sur la configuration d’ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Personnalisation d’ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration d’ATE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;alables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identification des incidents TTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;g&eacute;n&eacute;ration trop rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informations journalis&eacute;es et identificateurs de journal TTY . . . . . . . . . . . . . . . . . .
D&eacute;blocage d’un port tty bloqu&eacute; . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-12
7-12
7-14
7-18
7-19
7-19
7-20
7-24
7-27
7-27
7-27
7-29
7-29
7-29
7-30
7-30
7-31
7-35
Chapitre 8. Protocole DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Environnement GDLC – g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crit&egrave;res GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mise en oeuvre de l’interface GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation de DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Op&eacute;rations ioctl sur l’interface GDLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Point d’acc&egrave;s au service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Station de liaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode Local-Busy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode Short-Hold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Test et suivi d’une liaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Services sp&eacute;ciaux du noyau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestion des pilotes d’unit&eacute;s DLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-1
8-2
8-4
8-5
8-6
8-7
8-8
8-8
8-8
8-8
8-9
8-9
8-10
8-12
Chapitre 9. Utilitaires r&eacute;seau (BNU) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;sentation de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fonctionnement de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Structure des fichiers et r&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
S&eacute;curit&eacute; de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pr&eacute;requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Collecte des informations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proc&eacute;dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du contr&ocirc;le automatique de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Appel automatique BNU des syst&egrave;mes distants . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichier /etc/uucp/Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition des fichiers Devices pour connexion c&acirc;bl&eacute;e . . . . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition du fichier Devices pour connexion automatique . . . . . . . . . . . . . . . . . . . . .
&Eacute;dition du fichier Devices pour TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Maintenance de BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers journaux BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes de maintenance BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le d’une connexion distante BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Contr&ocirc;le du transfert de fichier BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9-1
9-2
9-3
9-3
9-6
9-9
9-11
9-11
9-11
9-12
9-15
9-15
9-16
9-16
9-17
9-18
9-19
9-19
9-20
9-22
9-23
Pr&eacute;face
xi
xii
R&eacute;solution des incidents BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;solution des incidents de connexion BNU via le d&eacute;mon uucico . . . . . . . . . . . .
Communication avec des syst&egrave;mes UNIX via la commande tip . . . . . . . . . . . . . .
Fichiers de configuration BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exemple de configuration BNU pour connexion TCP/IP . . . . . . . . . . . . . . . . . . . . .
Exemple de configuration BNU pour connexion t&eacute;l&eacute;phonique . . . . . . . . . . . . . . . .
Exemple de configuration BNU pour connexion directe . . . . . . . . . . . . . . . . . . . . .
R&eacute;f&eacute;rence des fichiers, commandes et r&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . .
R&eacute;pertoires BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fichiers BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Commandes BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D&eacute;mons BNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9-24
9-28
9-30
9-32
9-32
9-35
9-37
9-40
9-40
9-40
9-41
9-42
Annexe A. Cartes PCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cartes PCI WAN (Wide Area Network) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pilote d’unit&eacute; multiprotocole HDLC 2 ports : g&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . .
Configuration de la carte multiprotocole 2 ports . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Carte ARTIC960Hx PCI : G&eacute;n&eacute;ralit&eacute;s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuration du pilote d’&eacute;mulation MPQP COMIO
sur la carte ARTIC960Hx PCI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A-1
A-1
A-1
A-2
A-2
A-3
Annexe B. Configuration de la sauvegarde de l’interface r&eacute;seau
dans les versions pr&eacute;c&eacute;dentes d’AIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
B-1
Annexe C. Table de conversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C-1
INDEX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
X-1
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 1. Proc&eacute;dures des t&acirc;ches d’administration
r&eacute;seau
Le pr&eacute;sent chapitre contient des instructions sur l’ex&eacute;cution des t&acirc;ches d’administration
r&eacute;seau courantes :
• Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4 page 1-2
•
Mise &agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2 et versions ult&eacute;rieures
page 1-5
• Migration de SNMPv1 vers SNMPv3 page 1-9
• Cr&eacute;ation d’utilisateurs dans SNMPv3 page 1-13
• Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3
page 1-18
• Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique page 1-21
• Configuration des serveurs de noms de domaine page 1-22
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-1
Mise &agrave; niveau vers IPv6 &agrave; partir d’une configuration IPv4
Dans ce sc&eacute;nario, vous r&eacute;alisez une mise &agrave; niveau manuelle d’une configuration IPv4 vers
IPv6. Le r&eacute;seau utilis&eacute; dans cet exemple est constitu&eacute; d’un routeur et de deux
sous–r&eacute;seaux. Il y a deux h&ocirc;tes sur chaque sous–r&eacute;seau : le routeur et un autre h&ocirc;te. Vous
allez mettre &agrave; niveau chaque machine sur ce r&eacute;seau vers la configuration IPv6. A la fin du
sc&eacute;nario, le routeur annonce le pr&eacute;fixe fec0:0:0:aaaa::/64 sur l’interface r&eacute;seau en0
et le pr&eacute;fixe fec0:0:0:bbbb::/64 sur l’interface r&eacute;seau en1. Vous allez d’abord
configurer les machines pour qu’elles prennent en charge de fa&ccedil;on temporaire IPv6 &agrave; des
fins de test. Vous les configurerez ensuite pour qu’elles soient pr&ecirc;tes en configuration IPv6
au moment du d&eacute;marrage.
Si vous ex&eacute;cutez AIX 5.2 et n’avez pas configur&eacute; vos param&egrave;tres IPv4, reportez–vous &agrave; Mise
&agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2 et versions ult&eacute;rieures page 1-5.
Etape 1. Configuration des h&ocirc;tes pour IPv6
Sur les h&ocirc;tes des deux sous–r&eacute;seaux, effectuez les actions suivantes :
1. V&eacute;rifiez que IPv4 est configur&eacute; en tapant la commande suivante :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
Coll
en0
0
en0
0
lo0
0
lo0
0
lo0
0
Mtu
Network
Address
Ipkts Ierrs
Opkts Oerrs
1500
link#2
0.6.29.4.55.ec
279393
0
2510
0
1500
9.3.230.64
9.3.230.117
279393
0
2510
0
913
0
919
0
913
0
919
0
913
0
919
0
16896 link#1
16896 127
127.0.0.1
16896 ::1
2. Avec les droits d’acc&egrave;s root, configurez vos param&egrave;tres IPv6 en sp&eacute;cifiant la commande
suivante :
autoconf6
3. Ex&eacute;cutez &agrave; nouveau la commande suivante :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name Mtu
Network
Address
en0
1500 link#2
0.6.29.4.55.ec
0
en0
1500 9.3.230.64 9.3.230.117
0
en0
1500 fe80::206:29ff:fe04:55ec
0
sit0 1480 link#3
9.3.230.117
0
sit0 1480 ::9.3.230.117
0
lo0
16896 link#1
0
lo0
16896 127
127.0.0.1
0
lo0
16896 ::1
0
Ipkts Ierrs
279679
0
Opkts Oerrs
2658
Coll
0
279679
0
2658
0
279679
0
2658
0
0
0
0
0
0
0
0
0
2343
0
2350
0
2343
0
2350
0
2343
0
2350
0
4. Lancez les d&eacute;mons ndpd–host en tapant la commande suivante :
startsrc –s ndpd–host
L’h&ocirc;te est d&eacute;sormais pr&ecirc;t pour la configuration IPv6. R&eacute;p&eacute;tez cette proc&eacute;dure pour chaque
h&ocirc;te du sous–r&eacute;seau.
1-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Etape 2. Configuration du routeur pour IPv6
1. V&eacute;rifiez que les param&egrave;tres IPv4 sont configur&eacute;s en entrant la commande suivante :
netstat –ni
2. Avec les droits d’acc&egrave;s root, entrez la commande suivante :
autoconf6
3. Configurez manuellement les adresses locales/du site sur les interfaces du routeur
appartenant &agrave; chacun des deux sous–r&eacute;seaux en entrant les commandes suivantes :
# ifconfig en0 inet6 fec0:0:0:aaaa::/64 eui64 alias
# ifconfig en1 inet6 fec0:0:0:bbbb::/64 eui64 alias
Vous devrez r&eacute;it&eacute;rer cette action pour chaque sous–r&eacute;seau auquel votre routeur envoie
des paquets.
4. Pour activer le r&eacute;acheminement IPv6, entrez la commande suivante :
no –o ip6forwarding=1
5. Pour d&eacute;marrer le d&eacute;mon ndpd–router, saisissez :
startsrc –s ndpd–router
Le d&eacute;mon ndpd–router annonce des pr&eacute;fixes correspondant aux adresses locales que
vous avez configur&eacute;es sur le routeur. Dans ce cas, ndpd–router annonce le pr&eacute;fixe
ec0:0:0:aaaa::/64 on en0 et le pr&eacute;fixe fec0:0:0:bbbb::/64 on en1.
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au
d&eacute;marrage
Votre nouvelle configuration IPv6 est supprim&eacute;e lorsque vous red&eacute;marrez la machine. Pour
activer la fonctionnalit&eacute; d’h&ocirc;te IPv6 &agrave; chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez comme
suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire des lignes suivantes :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
# Start up ndpd–host daemon
start /usr/sbin/ndpd–host ”$src_running”
Au red&eacute;marrage, la configuration IPv6 est d&eacute;finie. R&eacute;p&eacute;tez ce processus pour chaque h&ocirc;te.
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au
d&eacute;marrage
Votre nouvelle configuration IPv6 est supprim&eacute;e lorsque vous red&eacute;marrez la machine. Pour
activer la fonctionnalit&eacute; de routeur IPv6 &agrave; chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez
comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire de la ligne suivante :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
3. Ajoutez les lignes suivantes imm&eacute;diatement &agrave; la suite de la ligne dont vous venez de
supprimer la mise en commentaire :
# Configure site–local addresses for router
ifconfig en0 inet6 fec0:0:0:aaaa::/ eui64 alias
ifconfig en1 inet6 fec0:0:0:bbbb::/ eui64 alias
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-3
Dans ce sc&eacute;nario, le r&eacute;seau comporte uniquement deux sous–r&eacute;seaux, en0 et en1. Vous
devrez ajouter une ligne dans ce fichier pour chaque sous–r&eacute;seau auquel votre routeur
envoie des paquets.
4. Supprimez la mise en commentaire de la ligne suivante :
# Start up ndpd–router daemon
start /usr/sbin/ndpd–router ”$src_running”
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
1-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Mise &agrave; niveau vers IPv6 sans configuration d’IPv4 dans AIX 5.2
et versions ult&eacute;rieures
Le pr&eacute;sent sc&eacute;nario indique comment configurer des h&ocirc;tes et un routeur pour IPv6 sans
que les param&egrave;tres IPv4 soient configur&eacute;s. Le r&eacute;seau utilis&eacute; dans cet exemple est constitu&eacute;
d’un routeur et de deux sous–r&eacute;seaux. Il y a deux h&ocirc;tes sur chaque sous–r&eacute;seau : le
routeur et un autre h&ocirc;te. A la fin du sc&eacute;nario, le routeur annonce le pr&eacute;fixe
fec0:0:0:aaaa::/64 sur l’interface r&eacute;seau en0 et le pr&eacute;fixe fec0:0:0:bbbb::/64
sur l’interface r&eacute;seau en1. Vous allez d’abord configurer les machines pour qu’elles
prennent en charge de fa&ccedil;on temporaire IPv6 &agrave; des fins de test. Vous les configurerez
ensuite pour qu’elles soient pr&ecirc;tes en configuration IPv6 au moment du d&eacute;marrage.
Ce sc&eacute;nario part du principe que le fichier bos.net.tcp.client est install&eacute;.
Pour effectuer une mise &agrave; niveau IPv6 avec IPv4 d&eacute;j&agrave; configur&eacute;, reportez–vous &agrave; Upgrade
to IPv6 with IPv4 Configured page 1-2.
Etape 1 : Configuration des h&ocirc;tes pour IPv6
1. Avec les droits d’acc&egrave;s root, entrez la commande suivante sur chaque h&ocirc;te du
sous–r&eacute;seau :
autoconf6 –A
Toutes les interfaces adapt&eacute;es &agrave; IPv6 sur le syst&egrave;me sont affich&eacute;es.
Remarque :
Pour afficher un sous–ensemble d’interfaces, utilisez l’indicateur –i. Par
exemple, autoconf6 –i en0 en1 affiche les interfaces en0 et en1.
2. Entrez la commande suivante pour afficher vos interfaces :
netstat –ni
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Name
Coll
en0
0
en0
0
lo0
0
lo0
0
lo0
0
Mtu
Network
Address
Ipkts Ierrs
1500
link#3
0.4.ac.17.b4.11
1500
fe80::204:acff:fe17:b411
16896 link#1
16896 127
127.0.0.1
16896 ::1
Opkts Oerrs
7
0
17
0
7
0
17
0
436
0
481
0
436
0
481
0
436
0
481
0
3. Lancez les d&eacute;mons ndpd–host en tapant la commande suivante :
startsrc –s ndpd–host
Etape 2 : Configuration du routeur pour IPv6
1. Avec les droits d’acc&egrave;s root, entrez la commande suivante sur l’h&ocirc;te du routeur :
autoconf6 –A
Toutes les interfaces adapt&eacute;es &agrave; IPv6 sur le syst&egrave;me sont affich&eacute;es.
Remarque :
Pour afficher un sous–ensemble d’interfaces, utilisez l’indicateur –i .
Par exemple, autoconf6 –i en0 en1 affiche les interfaces en0 et
en1.
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-5
Name
Coll
en1
0
en1
0
en0
0
en0
0
lo0
0
lo0
0
lo0
0
Mtu
Network
1500
link#2
1500
Address
Ipkts Ierrs
0.6.29.dc.15.45
Opkts Oerrs
0
0
7
0
fe80::206:29ff:fedc:1545
0
0
7
0
1500
link#3
7
0
17
0
1500
fe80::204:acff:fe17:b411
7
0
17
0
436
0
481
0
436
0
481
0
436
0
481
0
0.4.ac.17.b4.11
16896 link#1
16896 127
127.0.0.1
16896 ::1
2. Configurez manuellement les adresses locales/du site sur les interfaces du routeur
appartenant &agrave; chacun des deux sous–r&eacute;seaux en entrant les commandes suivantes :
# ifconfig en0 inet6 fec0:0:0:aaaa::/64 eui64 alias
# ifconfig en1 inet6 fec0:0:0:bbbb::/64 eui64 alias
Remarque :
Vous devrez r&eacute;it&eacute;rer cette action pour chaque sous–r&eacute;seau auquel votre
routeur envoie des paquets.
3. Pour activer le r&eacute;acheminement IPv6, entrez la commande suivante :
no –o ip6forwarding=1
4. Pour d&eacute;marrer le d&eacute;mon ndpd–router, saisissez :
startsrc –s ndpd–router
Le d&eacute;mon ndpd–router annonce des pr&eacute;fixes correspondant aux adresses locales que
vous avez configur&eacute;es sur le routeur. Dans ce cas, ndpd–router annonce le pr&eacute;fixe
ec0:0:0:aaaa::/64 on en0 et le pr&eacute;fixe fec0:0:0:bbbb::/64 on en1.
Etape 3. D&eacute;finition d’IPv6 pour une configuration sur les h&ocirc;tes au
d&eacute;marrage
Lorsque vous aurez ex&eacute;cut&eacute; l’&eacute;tape 1 pour chaque h&ocirc;te, la configuration IPv6 sera
supprim&eacute;e lorsque vous red&eacute;marrez la machine. Pour activer la fonctionnalit&eacute; d’h&ocirc;te IPv6 &agrave;
chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire des lignes suivantes :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
# Start up ndpd–host daemon
start /usr/sbin/ndpd–host ”$src_running”
3. Ajoutez l’indicateur –A &agrave; start /usr/sbin/autoconf6 ””:
start /usr/sbin/autoconf6 ”” –A
4. R&eacute;p&eacute;tez ce processus pour chaque h&ocirc;te.
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
1-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Etape 4 : D&eacute;finition d’IPv6 pour une configuration sur le routeur au
d&eacute;marrage
Lorsque vous aurez ex&eacute;cut&eacute; l’&eacute;tape 2 pour le routeur, la configuration IPv6 sera supprim&eacute;e
lorsque vous red&eacute;marrez la machine. Pour activer la fonctionnalit&eacute; de routeur IPv6 &agrave;
chaque red&eacute;marrage du syst&egrave;me, proc&eacute;dez comme suit :
1. Ouvrez le fichier /etc/rc.tcpip avec votre &eacute;diteur favori.
2. Supprimez la mise en commentaire de la ligne suivante :
# Start up autoconf6 process
start /usr/sbin/autoconf6 ””
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-7
3. Ajoutez l’indicateur –A &agrave; cette ligne :
start /usr/sbin/autoconf6 ”” –A
4. Ajoutez les lignes suivantes imm&eacute;diatement &agrave; la suite de la ligne dont vous venez de
supprimer la mise en commentaire :
# Configure site–local addresses for router
ifconfig en0 inet6 fec0:0:0:aaaa::/ eui64 alias
ifconfig en1 inet6 fec0:0:0:bbbb::/ eui64 alias
Dans ce sc&eacute;nario, le r&eacute;seau comporte uniquement deux sous–r&eacute;seaux, en0 et en1. Vous
devrez ajouter une ligne dans ce fichier pour chaque sous–r&eacute;seau auquel votre routeur
envoie des paquets.
5. Supprimez la mise en commentaire de la ligne suivante :
# Start up ndpd–router daemon
start /usr/sbin/ndpd–router ”$src_running”
6. Ex&eacute;cutez la commande ci–apr&egrave;s pour activer le r&eacute;acheminement IP au moment du
d&eacute;marrage :
no –r –o ip6forwarding=1
Au red&eacute;marrage, la configuration IPv6 est automatiquement lanc&eacute;e.
1-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Migration de SNMPv1 vers SNMPv3
Le pr&eacute;sent sc&eacute;nario pr&eacute;sente une migration classique de SNMPv1 vers SNMPv3.
Dans AIX 5.2, l’agent SNMP par d&eacute;faut s’ex&eacute;cutant au moment du d&eacute;marrage du syst&egrave;me
est la version non chiffr&eacute;e de SNMPv3. SNMPv3 utilise le fichier /etc/snmpdv3.conf
comme fichier de configuration. Vous devez faire migrer tous les param&egrave;tres que vous avez
configur&eacute;s dans le fichier /etc/snmpd.conf, qui est utilis&eacute; par SNMPv1 dans AIX 5.1 et
versions ant&eacute;rieures, dans le fichier /etc/snmpdv3.conf.
Dans ce sc&eacute;nario, les communaut&eacute;s et les interruption configur&eacute;es dans le fichier
/etc/snmpd.conf seront migr&eacute;es vers le fichier /etc/snmpdv3.conf. A la fin du sc&eacute;nario,
SNMPv3 fournira une fonctionnalit&eacute; identique &agrave; celle propos&eacute;e par SNMPv1. Si vous n’avez
configur&eacute; aucun de vos signaux d’interruption ou communaut&eacute;s SNMPv1, vous n’avez pas
besoin de suivre cette proc&eacute;dure.
Ce fichier ne contient aucune information sur les fonctions disponibles dans SNMPv3.
Pour plus d’informations sur la cr&eacute;ation d’utilisateurs avec des fonctions de SNMPv3 non
disponibles dans SNMPv1, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3
page 1-13.
Le fichier suivant est l’exemple de fichier /etc/snmpd.conf qui va faire l’objet de la
migration. Les communaut&eacute;s suivantes sont configur&eacute;es : daniel, vasu, et david. Vous
devez les faire migrer manuellement.
logging
logging
community
1.17.35
community
community
1.17.35
file=/usr/tmp/snmpd.log
size=0
enabled
level=0
daniel
0.0.0.0
0.0.0.0
vasu
david
9.3.149.49 255.255.255.255 readOnly
9.53.150.67 255.255.255.255 readWrite
view 1.17.35
view 10.3.5
udp icmp snmp 1.3.6.1.2.1.25
system interfaces tcp icmp
trap
trap
trap
daniel
vasu
david
smux
sampled
9.3.149.49
9.3.149.49
9.53.150.67
1.3.6.1.4.1.2.3.1.2.3.1.1
readWrite
1.17.35
10.3.5
1.17.35
10.3.5
fe
fe
fe
sampled_password
#
Pour ex&eacute;cuter les &eacute;tapes de ce sc&eacute;nario, reportez–vous au fichier /etc/snmpd.conf.
Gardez &agrave; votre port&eacute;e une copie de ce fichier lorsque vous d&eacute;marrez cette proc&eacute;dure.
Etape 1. Migration des informations de communaut&eacute;
Les noms de communaut&eacute; du fichier /etc/snmpd.conf sont int&eacute;gr&eacute;s aux entr&eacute;es
VACM_GROUP du fichier /etc/snmpdv3.conf. Chaque communaut&eacute; doit &ecirc;tre plac&eacute;e dans
un groupe. Vous accordez ensuite aux groupes les droits d’acc&egrave;s et d’affichage
n&eacute;cessaires.
1. Avec les droits de l’utilisateur racine, ouvrez le fichier /etc/snmpdv3.conf avec votre
&eacute;diteur favori. Recherchez les entr&eacute;es VACM_GROUP dans le fichier.
2. Cr&eacute;ez une entr&eacute;e VACM_GROUP pour chaque communaut&eacute; que vous voulez faire
migrer. Si plusieurs communaut&eacute;s doivent partager les m&ecirc;mes droits d’acc&egrave;s et
d’affichage, vous ne devez cr&eacute;er qu’un seul groupe pour elles. Les noms de
communaut&eacute; du fichier /etc/snmpd.conf deviennent les valeurs securityName des
entr&eacute;es VACM_GROUP. Dans ce sc&eacute;nario, les entr&eacute;es suivantes ont &eacute;t&eacute; ajout&eacute;es pour
vasu, daniel, et david:
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-9
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# entr&eacute;es VACM_GROUP
#
D&eacute;finit un groupe de s&eacute;curit&eacute; (compos&eacute; d’utilisateurs ou de
communaut&eacute;s)
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName securityModel securityName storageType
VACM_GROUP group2 SNMPv1 vasu –
VACM_GROUP group3 SNMPv1 daniel –
VACM_GROUP group3 SNMPv1 david –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– groupName peut &ecirc;tre la valeur de vote choix, sauf group1.
– securityModel reste SNMPv1 car nous migrons les communaut&eacute;s SNMPv1.
– Dans ce sc&eacute;nario, daniel et david partagent les m&ecirc;mes droits d’affichage et
d’acc&egrave;s au fichier /etc/snmpd.conf. Par cons&eacute;quent, ils sont tous les deux membres
de group3 dans le fichier /etc/snmpdv3.conf. La communaut&eacute; vasu est plac&eacute;e
dans un groupe diff&eacute;rent parce ses droits d’acc&egrave;s et d’affichage sont diff&eacute;rents de
ceux de david et daniel.
Les communaut&eacute;s sont d&eacute;sormais plac&eacute;es dans des groupes.
Etape 2. Migration des informations d’affichage
Les informations d’affichage du fichier /etc/snmpd.conf deviennent les entr&eacute;es
COMMUNITY, VACM_VIEW, et VACM_ACCESS dans le fichier /etc/snmpdv3.conf. Ces
entr&eacute;es d&eacute;terminent les droits d’acc&egrave;s et d’affichage pour chaque groupe.
1. Cr&eacute;ez les entr&eacute;es COMMUNITY pour daniel, vasu, et david, en conservant les
m&ecirc;mes adresses IP pour netAddr et netMask que celles indiqu&eacute;es dans le fichier
/etc/snmpd.conf.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# COMMUNITY
#
D&eacute;finit une communaut&eacute; pour une s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute;.
# Format :
# communityName securityName securityLevel netAddr netMask storageType
COMMUNITY public
public
noAuthNoPriv 0.0.0.0
0.0.0.0
–
COMMUNITY daniel
daniel
noAuthNoPriv 0.0.0.0
0.0.0.0
–
COMMUNITY vasu
vasu
noAuthNoPriv 9.3.149.49 255.255.255.255 –
COMMUNITY david
david
noAuthNoPriv 9.53.150.67 255.255.255.255 –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
2. Cr&eacute;ez une entr&eacute;e VACM_VIEW pour chaque objet ou variable MIB auquel chaque
groupe a acc&egrave;s. D’apr&egrave;s le fichier /etc/snmpd.conf, daniel et david ont acc&egrave;s &agrave;
udp, icmp, snmp, et 1.3.6.1.2.1.25 (sous–arborescence h&ocirc;te d&eacute;finie dans RFC
1514), et vasu a acc&egrave;s aux interfaces system, interfaces, tcp, et icmp. La
migration de ces entr&eacute;es d’affichage dans le fichier /etc/snmpdv3.conf s’effectue
comme suit :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_VIEW
#
D&eacute;finit un ensemble particulier de donn&eacute;es MIB, appel&eacute; une vue, pour
le
#
Mod&egrave;le VACM (View–based Access Control Model).
# Format :
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW
VACM_VIEW
VACM_VIEW
VACM_VIEW
group2View
group2View
group2View
group2View
system
interfaces
tcp
icmp
–
–
–
–
included
included
included
included
–
–
–
–
VACM_VIEW group3View
udp
– included –
VACM_VIEW group3View
icmp
– included –
VACM_VIEW group3View
snmp
– included –
VACM_VIEW group3View
1.3.6.1.2.1.25
– included –
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
3. D&eacute;finissez les droits d’acc&egrave;s aux variables MIB d&eacute;finies dans les entr&eacute;es VACM_VIEW
en ajoutant les entr&eacute;es VACM_ACCESS. Dans le fichier /etc/snmpd.conf, daniel et
david ont tous les deux un droit readWrite sur leurs variables MIB, tandis que vasu
a le droit readOnly.
D&eacute;finissez ces droits en ajoutant les entr&eacute;es VACM_ACCESS . Dans ce sc&eacute;nario, nous
avons donn&eacute; &agrave; group2 ( vasu ) group2View pour readView, mais lui avons donn&eacute;
– pour writeView car vasu avait le droit readOnly dans le fichier
/etc/snmpd.conf. Nous avons donn&eacute; &agrave; group3 ( daniel et david ) group3View
pour &agrave; la fois readView et writeView car ces groupes avaient un acc&egrave;s readWrite
dans /etc/snmpd.conf. Voir l’exemple ci–apr&egrave;s.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_ACCESS
#
Identifie les droits d’acc&egrave;s accord&eacute;s aux diff&eacute;rents groupe de
s&eacute;curit&eacute;
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName contextPrefix contextMatch securityLevel securityModel
readView writeView notifyView storageType
VACM_ACCESS group1 – – noAuthNoPriv SNMPv1 defaultView – defaultView –
VACM_ACCESS group2 – – noAuthNoPriv SNMPv1 group2View – group2View –
VACM_ACCESS group3 – – noAuthNoPriv SNMPv1 group3View group3View
group3View –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Etape 3. Migration des informations d’interruption
Les informations d’interruption du fichier /etc/snmpd.conf deviennent les entr&eacute;es NOTIFY,
TARGET_ADDRESS, et TARGET_PARAMETERS dans le fichier /etc/snmpdv3.conf.
Toutefois, seuls TARGET_ADDRESS et TARGET_PARAMETERS ont besoin d’&ecirc;tre migr&eacute;s.
1. Les adresses IP figurant dans les entr&eacute;es d’interruption du fichier /etc/snmpd.conf sont
int&eacute;gr&eacute;s aux entr&eacute;es TARGET_ADDRESS du fichier /etc/snmpdv3.conf. Cette ligne
sp&eacute;cifie l’h&ocirc;te vers lequel le signal d’interruption sera envoy&eacute;. Vous pouvez d&eacute;finir les
entr&eacute;es targetParams. Dans ce sc&eacute;nario, nous utilisons trapparms1, trapparms2,
trapparms3, et trapparms4, qui seront d&eacute;finis dans les entr&eacute;es
TARGET_PARAMETERS .
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_ADDRESS
#
D&eacute;finit l’adresse et les param&egrave;tres d’une application de gestion
#
&agrave; utiliser pour envoyer des notifications.
# Format :
# targetAddrName tDomain tAddress tagList targetParams timeout
retryCount storageType
TARGET_ADDRESS Target1 UDP 127.0.0.1
traptag trapparms1 – – –
TARGET_ADDRESS Target2 UDP 9.3.149.49
traptag trapparms2 – – –
TARGET_ADDRESS Target3 UDP 9.3.149.49
traptag trapparms3 – – –
TARGET_ADDRESS Target4 UDP 9.53.150.67 traptag trapparms4 – – –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
2. Les noms de communaut&eacute; figurant dans les entr&eacute;es d’interruption du fichier
/etc/snmpd.conf sont int&eacute;gr&eacute;s aux entr&eacute;es TARGET_ PARAMETERS du fichier
/etc/snmpdv3.conf. Les noms de communaut&eacute; doivent &ecirc;tre mapp&eacute;s avec une entr&eacute;e
TARGET_ADDRESS sp&eacute;cifique avec les valeurs targetParams. Par exemple, la
communaut&eacute; daniel est mapp&eacute;e avec trapparms2, qui, sous l’entr&eacute;e
TARGET_ADDRESS est mapp&eacute;e avec l’adresse IP 9.3.149.49. La communaut&eacute;
daniel et l’adresse IP 9.3.149.49 &eacute;taient &agrave; l’origine une entr&eacute;e d’interruption
dans le fichier /etc/snmpd.conf. Voir l’exemple ci–apr&egrave;s :
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-11
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_PARAMETERS
#
D&eacute;finit les param&egrave;tres de traitement des messages et de s&eacute;curit&eacute;
#
&agrave; utiliser pour envoyer les notifications &agrave; une cible de gestion
particuli&egrave;re.
# Format :
# paramsName mpModel securityModel securityName securityLevel
storageType
TARGET_PARAMETERS trapparms1 SNMPv1 SNMPv1 public noAuthNoPriv –
TARGET_PARAMETERS trapparms2 SNMPv1 SNMPv1 daniel noAuthNoPriv –
TARGET_PARAMETERS trapparms3 SNMPv1 SNMPv1 vasu
noAuthNoPriv –
TARGET_PARAMETERS trapparms4 SNMPv1 SNMPv1 david
noAuthNoPriv –
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
3. Les informations trapmask du fichier /etc/snmpd.conf ne migrent pas vers le fichier
/etc/snmpdv3.conf.
Etape 4. Migration des informations smux
Si vous disposez des informations smux que vous devez faire migrer, vous pouvez copier
ces lignes directement dans le nouveau fichier. Dans ce sc&eacute;nario, l’entr&eacute;e smux sampled
a &eacute;t&eacute; configur&eacute;e dans le fichier /etc/snmpd.conf. Cette ligne doit &ecirc;tre copi&eacute;e dans le fichier
/etc/snmpdv3.conf.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
#
smux &lt;client OIdentifier&gt; &lt;password&gt; &lt;address&gt; &lt;netmask&gt;
smux
1.3.6.1.4.1.2.3.1.2.3.1.1
sampled_password #
sampled
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd
Une fois termin&eacute;e la migration du d&eacute;mon /etc/snmpd.conf vers le fichier
/etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon snmpd. Vous devez arr&ecirc;ter et d&eacute;marrer
le d&eacute;mon snmpd chaque fois que vous modifiez le fichier /etc/snmpdv3.conf.
1. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon :
stopsrc –s snmpd
2. Entrez la commande suivante pour red&eacute;marrer le d&eacute;mon :
startsrc –s snmpd
Remarque :
1-12
La simple actualisation de l’agent SNMPv3 ne fonctionne pas comme sous
SNMPv1. Si vous modifiez le fichier /etc/snmpdv3.conf, vous devez
arr&ecirc;ter et red&eacute;marrer le d&eacute;mon, comme indiqu&eacute; dans la proc&eacute;dure
pr&eacute;c&eacute;dente. La fonction de configuration dynamique prise en charge dans
SNMPv3 ne vous permet pas d’actualisation.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Cr&eacute;ation d’utilisateurs dans SNMPv3
Ce sc&eacute;nario montre comment cr&eacute;er un utilisateur dans SNMPv3 en &eacute;ditant manuellement
les fichiers /etc/snmpdv3.conf et /etc/clsnmp.conf.
L’utilisateur u1 sera cr&eacute;&eacute; dans ce sc&eacute;nario. L’utilisateur u1 re&ccedil;oit des cl&eacute;s d’autorisation
mais pas des cl&eacute;s de confidentialit&eacute; (qui sont disponibles uniquement si vous avez install&eacute;
le fichier snmp.crypto). Le protocole HMAC–MD5 servira &agrave; cr&eacute;er les cl&eacute;s d’autorisation de
u1. Une fois qu’u1 aura &eacute;t&eacute; configur&eacute;, il sera plac&eacute; dans un groupe, puis les droits d’acc&egrave;s
d’affichage de ce groupe seront d&eacute;finis. Enfin, des entr&eacute;es de signaux d’interruption seront
cr&eacute;&eacute;es pour u1.
Chaque valeur individuelle utilis&eacute;e dans les fichiers /etc/snmpdv3.conf et
/etc/clsnmp.conf ne doit pas exc&eacute;der 32 octets.
Etape 1. Cr&eacute;ation de l’utilisateur
1. Choisissez le protocole de s&eacute;curit&eacute; &agrave; utiliser, HMAC–MD5 ou HMAC–SHA. Dans le
pr&eacute;sent sc&eacute;nario, HMAC–MD5 est utilis&eacute;.
2. G&eacute;n&eacute;rez les cl&eacute;s d’authentification &agrave; l’aide de la commande pwtokey. Votre sortie peut
diff&eacute;rer, selon le protocole d’authentification utilis&eacute; et l’utilisation ou non de cl&eacute;s de
confidentialit&eacute;. Ces cl&eacute;s sont utilis&eacute;es dans les fichiers /etc/snmpdv3.conf et
/etc/clsnmp.conf. La commande employ&eacute;e pour l’utilisateur u1 est la suivante :
pwtokey –p HMAC–MD5 –u auth
anypassword
9.3.230.119
L’adresse IP sp&eacute;cifi&eacute;e est celle o&ugrave; s’ex&eacute;cute l’agent. Le mot de passe est quelconque,
mais veillez &agrave; le conserver en un lieu s&ucirc;r en vue d’une utilisation ult&eacute;rieure. Le r&eacute;sultat
est pr&eacute;sent&eacute; de la mani&egrave;re suivante :
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 authKey :
63960c12520dc8829d27f7fbaf5a0470
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 localized
authKey :
b3b6c6306d67e9c6f8e7e664a47ef9a0
3. Avec les droits de l’utilisateur racine, ouvrez le fichier /etc/snmpdv3.conf avec votre
&eacute;diteur favori.
4. Cr&eacute;ez un utilisateur en ajoutant une entr&eacute;e USM_USER suivant le format donn&eacute; dans le
fichier. La valeur authKey est la cl&eacute; d’authentification localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la
commande pwtokey. L’entr&eacute;e associ&eacute;e &agrave; l’utilisateur u1 est la suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es USM_USER
#
D&eacute;finit l’utilisateur pour le mod&egrave;le USM (User–based Security Model).
# Format :
# userName engineID authProto authKey privProto privKey keyType
storageType
#
USM_USER u1 – HMAC–MD5 b3b6c6306d67e9c6f8e7e664a47ef9a0 – – L –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– userName est le nom de l’utilisateur. Dans ce cas, il s’agit de u1.
– authProto doit &ecirc;tre le protocole que vous avez utilis&eacute; lors de la cr&eacute;ation des cl&eacute;s.
Dans ce cas, il s’agit de HMAC–MD5.
– authKey est la cl&eacute; d’authentification localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la commande pwtokey.
– privProto et privkey ,e sont pas pr&eacute;cis&eacute;s car nous n’utilisons pas les cl&eacute;s de
confidentialit&eacute; dans ce sc&eacute;nario.
– keyType est L parce que nous utilisons la cl&eacute; d’authentification localis&eacute;e.
5. Sauvegardez puis fermez le fichier /etc/snmpdv3.conf.
6. Ouvrez le fichier /etc/clsnmp.conf du gestionnaire SNMP sous votre &eacute;diteur favori.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-13
7. Ajoutez le nouvel utilisateur selon le format donn&eacute; dans le fichier. L’entr&eacute;e associ&eacute;e &agrave;
l’utilisateur u1 est la suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
#
# Format des entr&eacute;es :
# winSnmpName targetAgent admin secName password context secLevel
authProto authKey privProto privKey
#
user1 9.3.230.119 SNMPv3 u1 – – AuthNoPriv HMAC–MD5
63960c12520dc8829d27f7fbaf5a0470 – –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– winSnmpName peut &ecirc;tre la valeur de votre choix. Cette valeur est utilis&eacute;e lors des
requ&ecirc;tes SNMP &agrave; l’aide de la commande clsnmp.
– targetAgent repr&eacute;sente l’adresse IP d’ex&eacute;cution de l’agent, qui a &eacute;galement servi
lors de la cr&eacute;ation des cl&eacute;s d’authentification.
– admin est d&eacute;fini comme SNMPv3 car nous allons envoyer des requ&ecirc;tes SNMPv3.
– secName est le nom de l’utilisateur que vous cr&eacute;ez. Dans ce cas, il s’agit de u1.
– seclevel est d&eacute;fini comme AuthNoPriv car il est configur&eacute; pour utiliser
l’authentification mais pas la confidentialit&eacute; (par cons&eacute;quent, il n’y a pas de valeurs
pour privProto et privKey ).
– authproto est d&eacute;fini comme le protocole d’authentification utilis&eacute; pour cr&eacute;er les
cl&eacute;s d’authentification.
– authKey est la cl&eacute; d’authentification non localis&eacute;e g&eacute;n&eacute;r&eacute;e avec la commande
pwtokey.
8. Sauvegardez et fermez le fichier /etc/clsnmp.conf.
Etape 2. Configuration du groupe
L’utilisateur doit maintenant &ecirc;tre plac&eacute; dans un groupe. Si vous disposez d&eacute;j&agrave; d’un groupe
configur&eacute; avec tous les droits d’acc&egrave;s et d’affichage que vous voulez accorder &agrave; cet
utilisateur, vous pouvez y placer l’utilisateur. Si vous voulez doter cet utilisateur de droits
d’acc&egrave;s et d’affichage n’existant dans aucun groupe existant, cr&eacute;ez un groupe dans lequel
vous ajoutez l’utilisateur.
Pour ajouter l’utilisateur &agrave; un nouveau groupe, cr&eacute;ez une nouvelle entr&eacute;e VACM_GROUP
dans le fichier /etc/snmpdv3.conf. L’entr&eacute;e de groupe associ&eacute;e &agrave; l’utilisateur u1 est la
suivante :
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# entr&eacute;es VACM_GROUP
#
D&eacute;finit un groupe de s&eacute;curit&eacute; (compos&eacute; d’utilisateurs ou de
communaut&eacute;s)
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName securityModel securityName storageType
VACM_GROUP group1 USM u1 –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
• groupName peut &ecirc;tre le nom de votre choix. Il devient le nom du groupe. Dans ce cas,
il s’agit de group1.
• securityModel est d&eacute;fini comme USM, qui tire parti des fonctionnalit&eacute;s de s&eacute;curit&eacute;
SNMPv3.
• securityName est le nom de l’utilisateur. Dans ce cas, il s’agit de u1.
1-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Etape 3. Configuration des permissions d’acc&egrave;s et d’affichage
Les droits d’acc&egrave;s et d’affichage doivent &ecirc;tre d&eacute;finis pour le nouveau groupe que vous
venez de cr&eacute;er. Ces droits sont d&eacute;finis en ajoutant les entr&eacute;es VACM_VIEW et
VACM_ACCESS au fichier /etc/snmpdv3.conf.
1. Choisissez les droits d’acc&egrave;s et d’affichage &agrave; accorder au groupe.
2. Ajoutez les entr&eacute;es VACM_VIEW au fichier /etc/snmpdv3.conf pour d&eacute;finir les objets
MIB auquel le groupe peut acc&eacute;der. Dans ce sc&eacute;nario, group1 aura acc&egrave;s aux
sous–arborescences MIB interfaces, tcp, icmp, et system. Nous allons toutefois
limiter l’acc&egrave;s de group1 &agrave; la variable MIB sysObjectID au sein de la
sous–arborescence MIB syst&egrave;me.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_VIEW
# D&eacute;finit un ensemble particulier de donn&eacute;es MIB, appel&eacute; une vue, pour le
#
Mod&egrave;le VACM (View–based Access Control Model).
# Format :
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW group1View
interfaces
– included –
VACM_VIEW group1View
tcp
– included –
VACM_VIEW group1View
icmp
– included –
VACM_VIEW group1View
system
– included –
VACM_VIEW group1View
sysObjectID
– excluded –
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– viewName est le nom de la vue. Dans ce cas, il s’agit de group1View.
– viewSubtree est la sous–arborescence MIB &agrave; laquelle vous voulez donner acc&egrave;s.
– viewType d&eacute;termine si les sous–arborescences MIB d&eacute;finies sont incluses dans la
vue. Dans le cas pr&eacute;sent, toutes les sous–arborescences sont incluses, &agrave; l’exception
de la variable MIB sysObjectID qui fait partie de la sous–arborescence system .
3. Ajoutez une entr&eacute;e VACM_ACCESS au fichier /etc/snmpdv3.conf afin de d&eacute;finir les
droits accord&eacute;s au groupe sur les objets MIB indiqu&eacute;s ci–dessus. Pour group1, un
acc&egrave;s en lecture seule est accord&eacute;.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# Entr&eacute;es VACM_ACCESS
#
Identifie les droits d’acc&egrave;s accord&eacute;s aux diff&eacute;rents groupe de
s&eacute;curit&eacute;
#
pour le mod&egrave;le VACM (View–based Access Control Model).
# Format :
# groupName contextPrefix contextMatch securityLevel securityModel
readView writeView notifyView storageType
VACM_ACCESS group1 – – AuthNoPriv USM group1View – group1View –
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
– groupName est le nom du groupe. Dans ce cas, il s’agit de group1.
– securityLevel est le niveau de s&eacute;curit&eacute; utilis&eacute;. Dans le pr&eacute;sent sc&eacute;nario, des cl&eacute;s
d’authentification sont utilis&eacute;es, mais pas des cl&eacute;s de confidentialit&eacute;. La valeur est
donc d&eacute;finie sur AuthNoPriv.
– securityModel correspond au mod&egrave;le de s&eacute;curit&eacute; que vous utilisez (SNMPv1,
SNMPv2c ou USM). Dans le pr&eacute;sent sc&eacute;nario, il est d&eacute;fini sur USM pour permettre
l’utilisation des dispositifs de s&eacute;curit&eacute; SNMPv3.
– readView d&eacute;termine les VACM_VIEWs auxquels le groupe a un acc&egrave;s en lecture.
Dans ce sc&eacute;nario, group1View est accord&eacute;, ce qui donne &agrave; group1 un acc&egrave;s en
lecture aux entr&eacute;es group1View VACM_VIEW .
– writeView d&eacute;termine les VACM_VIEWs auxquels le groupe a un acc&egrave;s en &eacute;criture.
Dans le pr&eacute;sent sc&eacute;nario, aucun acc&egrave;s en &eacute;criture n’est accord&eacute; au group1.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-15
– notifyView sp&eacute;cifie le nom de la vue &agrave; appliquer en cas de signal d’interruption
ex&eacute;cut&eacute; sous le contr&ocirc;le de l’entr&eacute;e dans la table d’acc&egrave;s.
Remarque :
Il arrive que plusieurs entr&eacute;es VACM_ACCESS soient n&eacute;cessaires pour
un groupe. Si des utilisateurs du groupe ont des param&egrave;tres
d’authentification et de confidentialit&eacute; diff&eacute;rents ( noAuthNoPriv,
AuthNoPriv, ou AuthPriv), plusieurs entr&eacute;es VACM_ACCESS sont
requises et le param&egrave;tre securityLevel doit &ecirc;tre d&eacute;fini en
cons&eacute;quence.
Etape 4. Configuration des entr&eacute;es d’interruption pour l’utilisateur
Les entr&eacute;es d’interruption dans SNMPv3 sont cr&eacute;&eacute;es en ajoutant les entr&eacute;es NOTIFY,
TARGET_ADDRESS et TARGET_PARAMETERS au fichier /etc/snmpdv3.conf. L’entr&eacute;e
TARGET_ADDRESS indique la destination des interruptions et l’entr&eacute;e
TARGET_PARAMETERS &eacute;tablit une &eacute;quivalence entre les informations de
TARGET_ADDRESS et group1.
L’entr&eacute;e NOTIFY a &eacute;t&eacute; configur&eacute;e par d&eacute;faut. Voici l’entr&eacute;e NOTIFY par d&eacute;faut :
NOTIFY notify1 traptag trap –
Dans le pr&eacute;sent sc&eacute;nario, nous utilisons la valeur qui est sp&eacute;cifi&eacute;e dans l’entr&eacute;e par d&eacute;faut,
traptag.
1. Ajoutez une entr&eacute;e TARGET_ADDRESS pour sp&eacute;cifier la destination des signaux
d’interruption.
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_ADDRESS
#
D&eacute;finit l’adresse et les param&egrave;tres d’une application de gestion
#
&agrave; utiliser pour envoyer des notifications.
# Format :
# targetAddrName tDomain tAddress tagList targetParams timeout
retryCount storageType
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
TARGET_ADDRESS Target1 UDP 9.3.207.107
traptag trapparms1 – – –
– targetAddrName peut &ecirc;tre le nom de votre choix. Dans ce sc&eacute;nario, nous avons
utilis&eacute; Target1.
– tAddress est l’adresse IP &agrave; laquelle doivent &ecirc;tre envoy&eacute;s les signaux
d’interruption du groupe.
– tagList est le nom configur&eacute; dans l’entr&eacute;e NOTIFY. Dans ce cas, il s’agit de
traptag.
– targetParams peut &ecirc;tre la valeur de votre choix. Nous avons utilis&eacute; trapparms1,
qui sera employ&eacute; dans l’entr&eacute;e TARGET_PARAMETERS .
2. Ajouter une entr&eacute;e TARGET_PARAMETERS .
#–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
# TARGET_PARAMETERS
#
D&eacute;finit les param&egrave;tre de traitement des messages et de s&eacute;curit&eacute;
#
&agrave; utiliser pour envoyer les notifications &agrave; une cible de gestion
particuli&egrave;re.
# Format :
# paramsName mpModel securityModel securityName securityLevel
storageType
#––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
TARGET_PARAMETERS trapparms1 SNMPv3 USM
u1
AuthNoPriv
– paramsName est identique &agrave; la valeur targetParams dans l’entr&eacute;e
TARGET_ADDRESS qui, dans ce cas, est trapparms1.
– mpModel est la version de SNMP qui est utilis&eacute;e.
1-16
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
– securityModel correspond au mod&egrave;le de s&eacute;curit&eacute; que vous utilisez (SNMPv1,
SNMPv3 ou USM). Dans le pr&eacute;sent sc&eacute;nario, il est d&eacute;fini sur USM pour permettre
l’utilisation des dispositifs de s&eacute;curit&eacute; SNMPv3.
– securityName est le nom d’utilisateur indiqu&eacute;e dans l’entr&eacute;e USM_USER qui, dans
ce cas, est u1.
– securityLeve est d&eacute;fini comme AuthNoPriv car nous utilisons des cl&eacute;s
d’authentification mais pas des cl&eacute;s de confidentialit&eacute;.
Etape 5. Arr&ecirc;t et d&eacute;marrage du d&eacute;mon snmpd
Apr&egrave;s avoir modifi&eacute; le fichier /etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon snmpd.
1. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon snmpd :
stopsrc –s snmpd
2. Entrez la commande suivante pour arr&ecirc;ter le d&eacute;mon snmpd :
startsrc –s snmpd
Les nouveaux param&egrave;tres sont d&eacute;sormais valid&eacute;s.
Remarque :
La simple actualisation de l’agent SNMPv3 utilisant refresh –s snmpd ne
fonctionne pas comme sous SNMPv1. Si vous modifiez le fichier
/etc/snmpdv3.conf, vous devez arr&ecirc;ter et red&eacute;marrer le d&eacute;mon, comme
indiqu&eacute; dans la proc&eacute;dure pr&eacute;c&eacute;dente. La fonction de configuration
dynamique prise en charge dans SNMPv3 ne vous permet pas
d’actualisation.
Etape 6. Test de votre configuration
Pour v&eacute;rifier que votre configuration est correcte, vous pouvez lancer la commande
suivante dans le gestionnaire SNMP.
clsnmp –h user1 walk
mib
o&ugrave; mib est une sous–arborescence MIB &agrave; laquelle l’utilisateur a acc&egrave;s. Dans ce sc&eacute;nario, il
peut s’agir de interfaces, tcp, icmp, ou system. Si la configuration est correcte, vous
visualisez les informations dans la sous–arborescence sp&eacute;cifi&eacute;e.
Si la sortie obtenue n’est pas correcte, r&eacute;visez les &eacute;tapes pr&eacute;sent&eacute;es dans ce document et
v&eacute;rifiez que vous avez entr&eacute; correctement toutes les informations.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-17
Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de
confidentialit&eacute; dans SNMPv3
Le pr&eacute;sent sc&eacute;nario d&eacute;montre comment mettre &agrave; jour dynamiquement des cl&eacute;s pour un
utilisateur dans SNMPv3. Dans ce sc&eacute;nario, l’utilisateur u4 met &agrave; jour les cl&eacute;s
d’authentification pour l’utilisateur u8. Les deux utilisateurs u4 et u8 ont d&eacute;j&agrave; cr&eacute;&eacute; des cl&eacute;s
d’authentification bas&eacute;es sur le mot de passe defaultpassword et l’adresse IP
9.3.149.49, et le tout fonctionne correctement.
Dans ce sc&eacute;nario, de nouvelles cl&eacute;s sont cr&eacute;&eacute;es pour l’utilisateur u8 et le fichier
/etc/snmpdv3.conf est mis &agrave; jour dynamiquement. La cl&eacute; d’authentification de l’utilisateur
u8 se trouvant dans le fichier /etc/clsnmp.conf c&ocirc;t&eacute; gestionnaire doit &ecirc;tre modifi&eacute;e
manuellement pour correspondre aux nouvelles cl&eacute;s.
Effectuez une sauvegarde du fichier /etc/snmpdv3.conf dans l’agent SNMP et une
sauvegarde du fichier /etc/clsnmp.conf dans le gestionnaire SNMP avant de d&eacute;marrer la
proc&eacute;dure.
Ci–dsous se trouve le fichier /etc/snmpdv3.conf qui va &ecirc;tre mis &agrave; jour dynamiquement :
USM_USER u4 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f – – N –
USM_USER u8 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 – – N –
VACM_GROUP group1 SNMPv1 public
VACM_GROUP group2 USM u4 –
VACM_GROUP group2 USM u8 –
VACM_VIEW defaultView
VACM_ACCESS
VACM_ACCESS
defaultView –
VACM_ACCESS
–
VACM_ACCESS
–
internet
– included –
group1 – – noAuthNoPriv SNMPv1 defaultView – defaultView –
group2 – – noAuthNoPriv USM defaultView defaultView
group2 – – AuthNoPriv USM defaultView defaultView defaultView
group2 – – AuthPriv USM defaultView defaultView defaultView –
NOTIFY notify1 traptag trap –
TARGET_ADDRESS
TARGET_ADDRESS
TARGET_ADDRESS
TARGET_ADDRESS
Target1
Target2
Target3
Target4
UDP
UDP
UDP
UDP
127.0.0.1
9.3.149.49
9.3.149.49
9.3.149.49
traptag trapparms1 – – –
traptag trapparms2 – – –
traptag trapparms3 – – –
traptag trapparms4 – – –
TARGET_PARAMETERS trapparms1 SNMPv1 SNMPv1 public noAuthNoPriv –
TARGET_PARAMETERS trapparms3 SNMPv2c SNMPv2c publicv2c noAuthNoPriv –
TARGET_PARAMETERS trapparms4 SNMPv3 USM
u4 AuthNoPriv –
Ci–dessous se trouve le fichier /etc/clsnmp.conf qui va &ecirc;tre mis &agrave; jour pour l’utilisateur u8 :
testu4 9.3.149.49 snmpv3 u4 – – AuthNoPriv HMAC–MD5
18a2c7b78f3df552367383eef9db2e9f – –
testu8 9.3.149.49 snmpv3 u8 – – AuthNoPriv HMAC–SHA
754ebf6ab740556be9f0930b2a2256ca40e76ef9 – –
Pour mettre &agrave; jour votre mot de passe et vos cl&eacute;s d’authentification, proc&eacute;dez comme suit :
1. Du c&ocirc;t&eacute; du gestionnaire SNMP, ex&eacute;cutez la commande pwchange. Au cours de ce
sc&eacute;nario, nous avons lanc&eacute; la commande suivante :
pwchange –u auth –p HMAC–SHA defaultpassword newpassword 9.3.149.49
Cette commande g&eacute;n&egrave;re une nouvelle cl&eacute; d’authentification.
– –u auth pr&eacute;cise que seule une cl&eacute; d’authentification sera cr&eacute;&eacute;e. Si vous mettez &agrave;
jour les cl&eacute;s de confidentialit&eacute; &eacute;galement, indiquez –u all.
1-18
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
– –p HMAC–SHA indique le protocole qui sera utilis&eacute; pour cr&eacute;er la cl&eacute;
d’authentification. Si vous mettez &agrave; jour les cl&eacute;s de confidentialit&eacute; &eacute;galement,
indiquez –p all.
– defaultpassword est le mot de passe utilis&eacute; pour cr&eacute;er la derni&egrave;re cl&eacute;
d’authentification (par exemple si bluepen aurait &eacute;t&eacute; utilis&eacute; pour cr&eacute;er la derni&egrave;re
cl&eacute; d’authentification, bluepen serait aussi utilis&eacute; ici)
– newpassword est le nouveau mot de passe qui sera utilis&eacute; pour g&eacute;n&eacute;rer le cl&eacute;
d’authentification. Conservez–le pour r&eacute;f&eacute;rence ult&eacute;rieure.
– 9.3.149.49 est l’adresse IP o&ugrave; s’ex&eacute;cute l’agent SNMP.
Cette commande a g&eacute;n&eacute;r&eacute; le r&eacute;sultat suivant :
Clich&eacute; de la valeur de 40 octets HMAC–SHA authKey keyChange :
8173701d7c00913af002a3379d4b150a
f9566f56a4dbde21dd778bb166a86249
4aa3a477e3b96e7d
Vous utiliserez cette cl&eacute; d’authentification &agrave; l’&eacute;tape suivante.
Remarque :
Conservez en lieu s&ucirc;r les nouveaux mots de passe que vous utilisez.
Vous devrez les r&eacute;utiliser lorsque vous effectuerez des modifications
ult&eacute;rieurement.
2. Sur le gestionnaire SNMP, l’utilisateur u4 modifiera la cl&eacute; d’authentification pour
l’utilisateur u8 en entrant la commande suivante :
clsnmp –h testu4 set
usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56
\’8173701d7c00913af002a3379d4b150af9566f56a4dbde21dd778bb166a862494aa3a47
7e3b96e7d\’h
– testu4 est utilis&eacute; car il est mapp&eacute; avec l’utilisateur u4 dans le fichier
/etc/clsnmp.conf.
– L’ID d’instance de usmUserAuthKeyChange inclut, en valeurs d&eacute;cimales, l’ID de
moteur de l’agent SNMP o&ugrave; se produit la mise &agrave; jour et le nom d’utilisateur dont la cl&eacute;
d’authentification est mise &agrave; jour. L’ID moteur peut &ecirc;tre trouv&eacute; dans le fichier
/etc/snmpd.boots (le fichier /etc/snmpd.boots contient deux cha&icirc;nes de chiffres.
L’ID moteur correspond &agrave; la premi&egrave;re cha&icirc;ne. Ignorez la deuxi&egrave;me cha&icirc;ne.
Il est n&eacute;cessaire de convertir les valeurs hexad&eacute;cimales de cet ID moteur pour
pouvoir l’utiliser. Tous les deux chiffres de l’ID moteur hexad&eacute;cimal se convertissent
en une seule valeur d&eacute;cimale. Par exemple, l’ID moteur
000000020000000009039531 sera lu sous la forme 00 00 00 02 00 00 00
00 09 03 95 31. Chacun de ces nombres doit &ecirc;tre converti en valeurs d&eacute;cimales,
donnant 0.0.0.2.0.0.0.0.9.3.149.49 (Vous trouverez une table de
conversion dans Annexe C. Table de conversion page C-1 .). Le premier nombre de
la cha&icirc;ne est le nombre d’octets de la cha&icirc;ne d&eacute;cimale. Dans ce cas, il s’agit de 12,
dont le r&eacute;sultat est 12.0.0.0.2.0.0.0.0.9.3.149.49.
Le nombre suivant est le nombre d’octets du nom d’utilisateur, suivi des valeurs
d&eacute;cimales du nom d’utilisateur lui–m&ecirc;me. Dans ce cas, le nom d’utilisateur est u8.
Lorsqu’i est converti en valeurs d&eacute;cimales, u8 devient 117.56. Parce que le nom
d’utilisateur a une longueur de 2 octets, la valeur repr&eacute;sentant le nom d’utilisateur
devient 2.117.56. Vous pouvez l’ajouter &agrave; la fin de l’ID moteur d&eacute;cimal (Vous
trouverez une table de conversion dans Annexe C. Table de conversion page C-1 .).
Dans ce cas, le r&eacute;sultat est 12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56.
– La valeur suivante de la commande est la nouvelle cl&eacute; d’authentification g&eacute;n&eacute;r&eacute;e &agrave;
l’aide de la commande pwchange dans l’&eacute;tape pr&eacute;c&eacute;dente.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-19
Remarque :
Si des cl&eacute;s de confidentialit&eacute; sont &eacute;galement configur&eacute;es pour
l’utilisateur, cette proc&eacute;dure soit &ecirc;tre r&eacute;it&eacute;r&eacute;e pour leur mise &agrave; jour.
Lors de la mise &agrave; jour des cl&eacute;s de confidentialit&eacute;, utilisez la valeur
usmUserPrivKeyChange &agrave; la place de la valeur
usmUserAuthKeyChange .
L’utilisation de usmUserOwnAuthKeyChange au lieu de
usmUserAuthKeyChange permet &agrave; l’utilisateur de modifier sa propre cl&eacute;
d’authentification. Par exemple, l’utilisateur u4 peut modifier sa propre cl&eacute;
d’authentification avec usmUserOwnAuthKeyChange.
La sortie de la commande est la suivante :
1.3.6.1.6.3.15.1.2.2.1.6.12.0.0.0.2.0.0.0.0.9.3.149.49.2.117.56 =
’8173701d7c00913af002a3379
d4b150af9566f56a4dbde21dd778bb166a862494aa3a477e3b96e7d’h
Une fois la commande termin&eacute;e, le fichier /etc/snmpdv3.conf est automatiquement mis
&agrave; jour, au bout de 5 minutes, c&ocirc;t&eacute; agent SNMP. Vous pouvez &eacute;galement arr&ecirc;ter puis
d&eacute;marrer le d&eacute;mon SNMP pour mettre &agrave; jour le fichier. L’entr&eacute;e suivant pour l’utilisateur
u8 est mise &agrave; jour dynamiquement dans le fichier /etc/snmpdv3.conf :
USM_USER u8 000000020000000009039531 HMAC–SHA
4be657b3ae92beee322ee5eaeef665b338caf2d9
None – L nonVolatile
3. C&ocirc;t&eacute; gestionnaire SNMP, lancez la commande pwtokey pour g&eacute;n&eacute;rer la nouvelle cl&eacute;
d’authentification sur la base du nouveau mot de passe &agrave; placer dans le fichier
/etc/clsnmp.conf. Au cours de ce sc&eacute;nario, nous avons lanc&eacute; la commande suivante :
pwtokey –u auth –p HMAC–SHA
newpassword 9.3.149.49
– –u auth pr&eacute;cise que seule une cl&eacute; d’authentification sera cr&eacute;&eacute;e. Si vous mettez &agrave;
jour les cl&eacute;s de confidentialit&eacute; &eacute;galement, indiquez –u all.
– –p HMAC–SHA indique le protocole qui sera utilis&eacute; pour cr&eacute;er la cl&eacute;
d’authentification. Si vous mettez &agrave; jour les cl&eacute;s de confidentialit&eacute; &eacute;galement,
indiquez –p all.
– Le mot de passe utilis&eacute; (dans ce cas newpassword) doit &ecirc;tre le m&ecirc;me que le mot de
passe utilis&eacute; lors de la g&eacute;n&eacute;ration de nouvelles cl&eacute;s d’authentification avec la
commande pwchange.
– L’adresse IP utilis&eacute;e (dans le cas pr&eacute;sent, 9.3.149.49) doit &ecirc;tre celle o&ugrave; s’ex&eacute;cute
l’agent.
Le r&eacute;sultat donne les cl&eacute;s d’authentification localis&eacute;es et non localis&eacute;es :
Affichage de la cl&eacute; d’authentification 20 octets HMAC–SHA authKey :
79ce23370c820332a7f2c7840c3439d12826c10d
Affichage de la cl&eacute; d’authentification 20 octets HMAC–SHA localized
authKey :
b07086b278163a4b873aace53a1a9ca250913f91
4. Ouvrez le fichier /etc/clsnmp.conf avec l’&eacute;diteur de votre choix et placez la cl&eacute;
d’authentification non localis&eacute;e sur la ligne correspondant &agrave; l’utilisateur dont les cl&eacute;s sont
mises &agrave; jour. Dans le pr&eacute;sent sc&eacute;nario, l’entr&eacute;e est la suivante :
testu8 9.3.149.49 snmpv3 u8 – – AuthNoPriv HMAC–SHA
79ce23370c820332a7f2c7840c3439d12826c10d – –
Enregistrez, puis fermez le fichier.
5. Testez la configuration mise &agrave; jour en ex&eacute;cutant la commande suivante :
clsnmp –v –h testu8 walk
mib
o&ugrave; mib est une variable MIB &agrave; laquelle l’utilisateur u8 a un acc&egrave;s en lecture. Dans ce
cas, l’utilisateur u8 a acc&egrave;s &agrave; Internet.
1-20
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Cr&eacute;ation d’un alias local pour la messagerie &eacute;lectronique
La cr&eacute;ation d’alias locaux pour la messagerie &eacute;lectronique permet de cr&eacute;er des groupes ou
des listes de distribution auxquels du courrier peut &ecirc;tre envoy&eacute;.
Dans ce sc&eacute;nario, geo@medussa, mark@zeus, ctw@athena, and dsf@plato sont ajout&eacute;s &agrave;
l’alias de messagerie testers. Une fois l’alias testers cr&eacute;&eacute;, glenda@hera re&ccedil;oit la
propri&eacute;t&eacute; de l’alias.
Une fois l’alias testers ajout&eacute; au fichier /etc/mail/aliases, la base de donn&eacute;es des alias
est recompil&eacute;e &agrave; l’aide de la commande sendmail. Une fois la base de donn&eacute;es
recompil&eacute;e, des messages &eacute;lectroniques peuvent &ecirc;tre envoy&eacute;s &agrave; l’alias testers.
1. Ouvrez le fichier /etc/mail/aliases sous votre &eacute;diteur favori.
2. Sur une ligne vierge, ajoutez un nom d’alias suivi de deux points (:) et d’une liste de
destinataires s&eacute;par&eacute;s par une virgule. Par exemple, l’entr&eacute;e suivante d&eacute;finit l’alias
testers :
testers: geo@medussa, mark@zeus, ctw@athena, dsf@plato
3. Cr&eacute;ez le propri&eacute;taire de l’alias. Si la commande sendmail ne parvient pas &agrave; envoyer du
courrier &agrave; l’alias, elle envoie un message d’erreur au propri&eacute;taire.
Ajoutez une ligne dans /etc/mail/aliases pour indiquer le propri&eacute;taire. Le format de cette
ligne est owner– groupname: owner, o&ugrave; groupname est le nom de l’alias et owner
l’adresse &eacute;lectronique du propri&eacute;taire. Dans cet exemple, glenda@hera est d&eacute;fini
comme le propri&eacute;taire de l’alias testers :
testers: geo@medussa, mark@zeus, ctw@athena, dsf@plato
owner–testers: glenda@hera
4. Une fois l’alias cr&eacute;&eacute;, ex&eacute;cutez la commande sendmail –bi pour recompiler la base
de donn&eacute;es des alias. Vous devez ex&eacute;cuter cette commande &agrave; chaque fois que vous
mettez &agrave; jour le fichier /etc/mail/aliases.
Vous pouvez maintenant envoyer des messages &agrave; l’alias testers.
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-21
Configuration des serveurs de nom de domaine
Dans ce sc&eacute;nario, un serveur de noms ma&icirc;tre, un serveur de noms esclave et un serveur
de noms d’indice est configur&eacute; pour effectuer une r&eacute;solution de noms. Chaque serveur de
noms est une machine distincte et pour chacun, un fichier /etc/named.conf est configur&eacute;,
m&ecirc;me si les informations de chacun sont diff&eacute;rentes. Le fichier /etc/named.conf est lu
chaque fois que le d&eacute;mon named est d&eacute;marr&eacute;. Il indique le type du serveur (ma&icirc;tre,
esclave, indice) et l’endroit o&ugrave; il obtient ses donn&eacute;es de r&eacute;solution de noms. Chacun de ces
serveurs de noms ex&eacute;cute BIND 8.
Le serveur de noms ma&icirc;tre est configur&eacute; pour fournir une r&eacute;solution de noms pour la zone
abc.aus.century.com. Dans ce sc&eacute;nario, l’adresse IP du serveur de noms ma&icirc;tre est
192.9.201.1, et son nom h&ocirc;te est venus.abc.aus.century.com. Il fournit une
r&eacute;solution de noms pour les noms h&ocirc;te venus, earth, mars, et jupiter. Le fichier
/etc/named.conf est configur&eacute; pour indiquer que le d&eacute;mon named doit rechercher les
fichiers de donn&eacute;es dans le r&eacute;pertoire /usr/local/domain. Les fichiers de donn&eacute;es qui
seront configur&eacute;s pour le serveur de noms ma&icirc;tre sont named.ca, named.abc.local,
named.abc.data, et named.abc.rev.
Un serveur de noms esclave est alors configur&eacute;. Le nom h&ocirc;te du serveur de noms esclave
est earth.abc.aus.century.com, et son adresse IP est 192.9.201.5. Dans le fichier
/etc/named.conf du serveur de noms esclave, nous indiquons l’adresse du serveur de
noms ma&icirc;tre de fa&ccedil;on &agrave; ce que le serveur de noms esclave puisse r&eacute;pliquer les fichiers
named.abc.data et named.abc.rev du serveur de noms ma&icirc;tre. En outre, les fichiers de
donn&eacute;es named.ca et named.abc.local sont configur&eacute;s pour ce serveur.
Un serveur de noms d’indices est alors configur&eacute;. Le serveur de noms d’indices stocke une
cache locale contenant le nom h&ocirc;te et les &eacute;quivalences d’adresses. Si une adresse ou un
nom h&ocirc;te demand&eacute; ne se trouve pas dans sa cache, le serveur d’indices contacte le
serveur de noms ma&icirc;tre, obtient les informations de r&eacute;solution et les ajoute &agrave; sa cache. En
outre, les fichiers de donn&eacute;es named.ca et named.abc.local sont configur&eacute;s pour ce
serveur.
Toutes les informations des fichiers de donn&eacute;es named (pas le fichier /etc/named.conf)
des serveurs de noms doivent avoir le format Standard Resource Record Format. Pour plus
de d&eacute;tails sur les informations contenues dans les fichiers de donn&eacute;es named,
reportez–vous &agrave; Standard Resource Record Format for TCP/IP dans le manuel AIX 5L
Version 5.2 Files Reference
L’administrateur de chacun des serveurs de noms est
gail.zeus.abc.aus.century.com. Ceci est indiqu&eacute; dans les fichiers de donn&eacute;es
locaux de chaque serveur de noms. En outre, dans ce sc&eacute;nario, le serveur de noms racine
est relay.century.com, avec l’adresse IP 129.114.1.2.
A la fin de ce sc&eacute;nario, la r&eacute;solution de noms est fournie pour les h&ocirc;tes venus, earth, mars,
et jupiter. En outre, une r&eacute;solution de noms inverse (adresse IP en nom h&ocirc;te) est fournie.
Lorsqu’une demande impossible &agrave; r&eacute;soudre est re&ccedil;ue, le serveur de noms ma&icirc;tre contacte
relay.century.com pour trouver les informations requises.
1-22
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Etape 1. Configuration du serveur de noms ma&icirc;tre
1. Sur le serveur de noms ma&icirc;tre, ouvrez le fichier /etc/named.conf. S’il n’existe pas de
fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
Si vous choisissez de ne pas indiquer de r&eacute;pertoire, les fichiers de donn&eacute;es requis sont
recherch&eacute;s dans le r&eacute;pertoire /etc.
b. Pour stocker des donn&eacute;es d’enregistrement en dehors des zones d&eacute;finies, sp&eacute;cifiez
le nom du fichier de zone d’indices. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
zone ”.” IN {
type hint;
file ”named.ca”;
};
c. Ajoutez les strophes suivantes pour sp&eacute;cifier chaque zone, le type de serveur de
noms que vous configurez et le fichier de donn&eacute;es du domaine de votre serveur de
noms. Dans ce sc&eacute;nario, le serveur ma&icirc;tre des zones avant et inverse est le suivant :
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data”;
};
zone ”201.9.192.in–addr.arpa” in {
type master;
file ”named.abc.rev”;
};
d. D&eacute;finissez le nom du fichier named local. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Ouvrez le fichier /usr/local/domain/named.ca. Ajoutez les adresses des serveurs de
noms racine du domaine. Ce qui suit a &eacute;t&eacute; ajout&eacute; dans ce sc&eacute;nario :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
3. Ouvrez le fichier /usr/local/domain/named.abc.local. Ajoutez les informations
suivantes :
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-23
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live) par
d&eacute;faut. Ce qui suit a &eacute;t&eacute; ajout&eacute; dans ce sc&eacute;nario :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
(
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Ouvrez le fichier /usr/local/domain/named.abc.data. Ajoutez les informations suivantes
:
– La valeur de SOA (Start Of Authority) et les d&eacute;lais TTL (timetolive) par d&eacute;faut de la
zone. Cet article indique le d&eacute;but de la zone. Un seul article de SOA par zone est
autoris&eacute;. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
3600
;negative caching TTL
)
– Les enregistrements du serveur de noms de tous les serveurs de noms ma&icirc;tres de la
zone. Ins&eacute;rez une tabulation au d&eacute;but de la ligne. Le d&eacute;mon named remplace la
tabulation par le nom de zone :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
– Les informations de r&eacute;solution de noms en adresses pour tous les h&ocirc;tes dans la zone
d’autorit&eacute; du serveur de noms.
venus
earth
mars
jupiter
IN
IN
IN
IN
A
A
A
A
192.9.201.1
192.9.201.5
192.9.201.3
192.9.201.7
Ins&eacute;rez d’autres types d’entr&eacute;e : articles de nom canonique ou de serveur de noms
(facultatif). Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
5. Ouvrez le fichier /usr/local/domain/named.abc.rev. Ajoutez les informations suivantes :
1-24
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live) par
d&eacute;faut. Cet article indique le d&eacute;but de la zone. Un seul article de SOA par zone est
autoris&eacute; :
$TTL 3h
@
(
IN
;3 hour
SOA
venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– Les autres types d’entr&eacute;es, tels que les articles de serveur de noms. Si vous incluez
ces articles, ins&eacute;rez une tabulation au d&eacute;but de la ligne. Le d&eacute;mon named remplace
la tabulation par le nom de zone. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
– Des informations de r&eacute;solution adresse–nom sur tous les h&ocirc;tes &agrave; placer dans la zone
d’autorit&eacute; du serveur de noms.
1
5
3
7
IN
IN
IN
IN
PTR
PTR
PTR
PTR
venus.abc.aus.century.com.
earth.abc.aus.century.com.
mars.abc.aus.century.com.
jupiter.abc.aus.century.com.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
La pr&eacute;sence de ce fichier indique que l’h&ocirc;te doit utiliser un serveur de noms pour la
r&eacute;solution de noms.
7. Ajoutez l’entr&eacute;e suivante dans le fichier /etc/resolv.conf :
nameserver 127.0.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui–m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain abc.aus.century.com
Dans ce cas, abc.aus.century.com est le nom du domaine. Apr&egrave;s avoir &eacute;dit&eacute; le
fichier, enregistrez–le et fermez–le.
8. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
Etape 2. Configuration du serveur de noms esclave
Pour configurer un serveur de noms esclave, utilisez la proc&eacute;dure suivante. Editez une
s&eacute;rie de fichiers puis utilisez SMIT pour d&eacute;marrer le d&eacute;mon named.
1. Sur le serveur de noms esclave, ouvrez le fichier /etc/named.conf. S’il n’existe pas de
fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-25
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
Si vous choisissez de ne pas indiquer de r&eacute;pertoire, le d&eacute;mon named recherche les
fichiers de donn&eacute;es requis dans le r&eacute;pertoire /etc.
b. Pour stocker des donn&eacute;es d’enregistrement en dehors des zones d&eacute;finies, sp&eacute;cifiez
le nom du fichier de zone d’indices pour le serveur de noms.
zone ”.” IN {
type hint;
file ”named.ca”;
};
c. Sp&eacute;cifiez les clauses de zone esclave. Chaque strophe comprend le type de zone, un
nom de fichier dans lequel le serveur de noms peut sauvegarder ses donn&eacute;es et
l’adresse IP du serveur de noms ma&icirc;tre, &agrave; partir duquel le serveur de noms ma&icirc;tre
peut r&eacute;pliquer ses fichiers de donn&eacute;es. Dans ce sc&eacute;nario, nous avons ajout&eacute; les
clauses de zone esclave suivantes :
zone ”abc.aus.century.com” IN {
type slave;
file ”named.abc.data.bak”;
masters { 192.9.201.1; };
};
zone ”201.9.192.in–addr.arpa” IN {
type slave;
file ”named.abc.rev.bak”;
masters { 192.9.201.1; };
};
d. Pour supporter l’adressage en boucle, indiquez une zone de type ma&icirc;tre avec comme
source le fichier named.abc.local, ainsi que le domaine dont le serveur de noms
est responsable.
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Editez le fichier /usr/local/domain/named.ca
Ce fichier contient le serveur d’adresses qui est le serveur de domaine racine du r&eacute;seau.
Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
3. Ouvrez le fichier /usr/local/domain/named.abc.local. Dans ce sc&eacute;nario, ce qui suit a
&eacute;t&eacute; ajout&eacute; :
1-26
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live) par
d&eacute;faut :
$TTL 3h
;3 hour
@ IN SOA earth.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
(
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone. Par exemple :
IN
&lt;tab&gt;
NS
earth.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
5. Ajoutez les lignes suivantes au fichier :
nameserver 127.0.0.1
domain abc.aus.century.com
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
Etape 3. Configuration du serveur de noms d’indices
Pour configurer un serveur de noms d’indices ou de m&eacute;moire cache uniquement, suivez la
proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a recours &agrave; SMIT ou &agrave; la ligne de
commande pour d&eacute;marrer le d&eacute;mon named.
1. Sur le serveur de noms d’indices, ouvrez le fichier /etc/named.conf. S’il n’existe pas de
fichiers /etc/named.conf dans le r&eacute;pertoire /etc, cr&eacute;ez–en un en ex&eacute;cutant la
commande suivante :
touch /etc/named.conf
Proc&eacute;dez comme suit pour configurer le fichier /etc/named.conf :
a. Indiquez une clause de r&eacute;pertoire dans la strophe des options. Ceci permet aux
fichiers de donn&eacute;es named d’utiliser des chemins relatifs au r&eacute;pertoire
/usr/local/domain. Dans ce sc&eacute;nario, ce qui suit a &eacute;t&eacute; ajout&eacute; :
options {
directory ”/usr/local/domain”;
};
Proc&eacute;dures des t&acirc;ches d’administration r&eacute;seau
1-27
b. Pour supporter l’adressage en boucle, indiquez une zone de type ma&icirc;tre avec comme
source le fichier named.abc.local, ainsi que le domaine dont le serveur de noms est
responsable. Dans cet exemple, le mot–cl&eacute; du r&eacute;pertoire d’options a &eacute;t&eacute; indiqu&eacute; dans
le fichier /etc/named.conf.
zone ”0.0.127.in–addr.arpa” IN {
type master;
file ”named.abc.local”;
};
c. Sp&eacute;cifiez le nom du fichier de zone de cache. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
2. Editez le fichier /usr/local/domain/named.ca
Ce fichier contient l’adresse des serveurs de noms ”experts” pour le domaine racine
(root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
129.114.1.2
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
3. Editez le fichier /usr/local/domain/named.local. Dans ce sc&eacute;nario, les informations
suivantes ont &eacute;t&eacute; ajout&eacute;es :
– La valeur de SOA (Start Of Authority) de la zone et les d&eacute;lais TTL (time–to–live) par
d&eacute;faut :
$TTL 3h
@
(
IN
;3 hour
SOA
venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
1
3600
600
3600000
3600
;serial
;refresh
;retry
;expire
;negative caching TTL
)
– L’enregistrement du serveur de noms (NS). Ins&eacute;rez une tabulation au d&eacute;but de la
ligne. Le d&eacute;mon named remplace la tabulation par le nom de zone :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
– L’enregistrement PTR (pointeur).
1
IN
PTR
localhost.
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
5. Ajoutez les lignes suivantes au fichier :
nameserver 127.0.0.1
domain abc.aus.century.com
Apr&egrave;s avoir &eacute;dit&eacute; le fichier, enregistrez–le et fermez–le.
6. Utilisez le raccourci SMIT smit stnamed pour activer le d&eacute;mon named. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du syst&egrave;me
ou les deux.
1-28
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 2. Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
Ce chapitre pr&eacute;sente les concepts de base pour la compr&eacute;hension des syst&egrave;mes en
r&eacute;seau. Il est destin&eacute; &agrave; l’administrateur syst&egrave;me peu familiaris&eacute; avec les r&eacute;seaux. Ceux qui
ma&icirc;trisent d&eacute;j&agrave; ces concepts sous UNIX peuvent passer directement au chapitre suivant.
Un r&eacute;seau est la combinaison d’un ou plusieurs ordinateurs interconnect&eacute;s. Le r&eacute;seau
physique regroupe les &eacute;l&eacute;ments mat&eacute;riels du r&eacute;seau (cartes, c&acirc;bles, lignes t&eacute;l&eacute;phoniques,
etc). Quant au r&eacute;seau logique, il comporte les &eacute;l&eacute;ments logiciels et le mod&egrave;le conceptuel du
r&eacute;seau.
Les concepts pr&eacute;sent&eacute;s sont les suivants :
• Fonctions de communication page 2-2
• Pr&eacute;sentation des r&eacute;seaux page 2-3
• R&eacute;seaux physiques page 2-5
• Syst&egrave;mes et protocoles r&eacute;seau page 2-6
• Communication avec d’autres syst&egrave;mes d’exploitation page 2-8
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-1
Fonctions de communication
Les r&eacute;seaux offrent diverses fonctions de communication d&eacute;di&eacute;es aux applications et aux
utilisateurs. Ils permettent par exemple aux utilisateurs d’effectuer les t&acirc;ches suivantes :
• Envoi de courrier &eacute;lectronique (e–mail)
• Emulation d’un terminal ou connexion &agrave; un autre ordinateur.
• Transfert de donn&eacute;es.
• Ex&eacute;cution de programmes r&eacute;sidant sur un nœud distant.
L’application de r&eacute;seau la plus r&eacute;pandue est la messagerie &eacute;lectronique, qui permet aux
utilisateurs d’&eacute;changer des messages. Les utilisateurs peuvent se trouver sur le m&ecirc;me
syst&egrave;me (dans ce cas un r&eacute;seau n’est pas n&eacute;cessaire), sur des syst&egrave;mes diff&eacute;rents situ&eacute;s
dans des immeubles diff&eacute;rents, voire des pays diff&eacute;rents.
Un r&eacute;seau de communication permet &eacute;galement &agrave; un syst&egrave;me d’en simuler un autre de
fa&ccedil;on &agrave; acc&eacute;der aux informations, comme s’il &eacute;tait un autre type d’ordinateur ou de terminal.
La connexion par le r&eacute;seau &agrave; un syst&egrave;me distant donne acc&egrave;s aux m&ecirc;mes programmes et
fichiers qu’avec une connexion locale sans r&eacute;seau.
La connexion par le r&eacute;seau &agrave; un syst&egrave;me distant donne acc&egrave;s aux m&ecirc;mes programmes et
fichiers qu’avec une connexion locale sans r&eacute;seau. Les donn&eacute;es sont transf&eacute;rables par le
r&eacute;seau d’un syst&egrave;me &agrave; un autre, qu’il s’agisse de fichiers, de r&eacute;pertoires ou de syst&egrave;mes de
fichiers complets. Elles peuvent &ecirc;tre sauvegard&eacute;es &agrave; distance et dupliqu&eacute;es sur plusieurs
machines pour parer aux d&eacute;faillances mat&eacute;rielles.
Il existe plusieurs protocoles permettant aux applications et aux utilisateurs d’un syst&egrave;me
d’appeler des proc&eacute;dures et des applications d’un autre syst&egrave;me, ce qui est utile pour
r&eacute;partir la charge des routines particuli&egrave;rement lourdes.
2-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Pr&eacute;sentation des r&eacute;seaux
La complexit&eacute; des r&eacute;seaux informatiques modernes a donn&eacute; lieu &agrave; plusieurs mod&egrave;les
conceptuels de r&eacute;seaux. Le plus connu est le mod&egrave;le de r&eacute;f&eacute;rence pour l’interconnexion
des syst&egrave;mes ouverts (OSI) propos&eacute; par l’organisation internationale de normalisation
(ISO), aussi appel&eacute; mod&egrave;le OSI en sept couches. Les sept couches du mod&egrave;le OSI sont
num&eacute;rot&eacute;es comme suit :
7
Application
6
Pr&eacute;sentation
5
Session
4
Transport
3
R&eacute;seau
2
Liaison
1
Physique
Les niveaux 1 &agrave; 3 sont propres aux r&eacute;seaux et varient en fonction du r&eacute;seau physique
utilis&eacute;. Les niveaux 4 &agrave; 7 couvrent les fonctions de haut niveau, ind&eacute;pendantes du r&eacute;seau.
Chacune de ces couches d&eacute;crit une fonction de communication sp&eacute;cifique et non un
protocole donn&eacute;. Les sept couches fonctionnent du niveau le plus bas (niveau machine) au
niveau le plus haut (le niveau auquel la plupart des &eacute;changes humains interviennent),
comme suit :
Application
Englobe les applications qui utilisent le r&eacute;seau.
Pr&eacute;sentation
Met en forme les donn&eacute;es pour les rendre coh&eacute;rentes pour
les applications.
Session
G&egrave;re les connexions entre les applications.
Transport
Assure l’acheminement des donn&eacute;es sans erreur.
R&eacute;seau
G&egrave;re les connexions aux autres machines du r&eacute;seau.
Liaison
Assure la transmission des donn&eacute;es &agrave; travers la couche
physique (qui, par nature, n’est pas fiable).
Physique
D&eacute;crit les supports physiques du r&eacute;seau. Par exemple, le
c&acirc;ble &agrave; fibre optique requis pour un r&eacute;seau FDDI (Fiber
Distributed Data Interface) fait partie de la couche
physique.
Remarque :
Le mod&egrave;le de r&eacute;f&eacute;rence OSI, utile pour la pr&eacute;sentation conceptuelle, n’est
en pratique pas toujours scrupuleusement suivi par les protocoles de
r&eacute;seau. Par exemple, lors de la discussion du protocole TCP/IP, les
fonctions des couches Application et Pr&eacute;sentation peuvent &ecirc;tre combin&eacute;es,
de m&ecirc;me que les couches Session et Transport, ainsi que les couches
Liaison et Physique.
Chaque couche du mod&egrave;le OSI communique avec la couche &eacute;quivalente sur la machine
distante (cf. figure Mod&egrave;le de r&eacute;f&eacute;rence OSI). Elle transmet les donn&eacute;es uniquement aux
couches situ&eacute;es imm&eacute;diatement au-dessus ou au-dessous d’elle. Chaque couche
encapsule les informations h&eacute;rit&eacute;es des couches sup&eacute;rieures et ajoute ses propres
informations d’en-t&ecirc;te (et de fin pour la couche Liaison).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-3
Figure 1. Mod&egrave;le de r&eacute;f&eacute;rence OSI Cette illustration montre les diff&eacute;rents niveaux
de communication du Mod&egrave;le OSI d&eacute;crits dans le texte pr&eacute;c&eacute;dent.
Donn&eacute;es
7 Application
En–t&ecirc;te Donn&eacute;es
6 Pr&eacute;sentation
En–t&ecirc;te
5 Session
En–t&ecirc;te
4 Transport
En–t&ecirc;te
3 R&eacute;seau
En–t&ecirc;te
2 Liaison
1 Physique
En–t&ecirc;te
Donn&eacute;es
Donn&eacute;es
Donn&eacute;es
Donn&eacute;es
Bas de page
Donn&eacute;es
Les r&eacute;seaux offrent nombre de possibilit&eacute;s aux entreprises et aux particuliers :
• Entr&eacute;e de donn&eacute;es,
• Recherche de donn&eacute;es,
• Soumission par lots &agrave; distance,
• Partage des ressources
• Partage des donn&eacute;es,
• Courrier &eacute;lectronique.
Une entr&eacute;e de donn&eacute;es correspond &agrave; une importation de donn&eacute;es directement dans des
fichiers de donn&eacute;es locaux ou distants. Par l&agrave;-m&ecirc;me, les risques d’&eacute;chec ou d’erreur li&eacute;s &agrave;
un transfert en plusieurs &eacute;tapes sont r&eacute;duits. La recherche des donn&eacute;es consiste &agrave;
examiner des fichiers de donn&eacute;es pour obtenir des informations particuli&egrave;res. Leur mise &agrave;
jour consiste &agrave; modifier, ajouter ou supprimer des informations stock&eacute;es dans des fichiers
locaux ou distants. La soumission par lots &agrave; distance consiste &agrave; entrer &agrave; distance des trains
de donn&eacute;es trait&eacute;s le plus souvent durant la nuit ou une p&eacute;riode de faible activit&eacute;. Pour
toutes ces fonctions, les communications et r&eacute;seaux se r&eacute;v&egrave;lent non seulement
souhaitables mais aussi indispensables.
Les r&eacute;seaux autorisent &eacute;galement le partage des ressources : donn&eacute;es, programmes,
espace de stockage et p&eacute;riph&eacute;riques (tels que les imprimantes, les modems, les terminaux
et les disques inamovibles). Cette particularit&eacute; accro&icirc;t &agrave; la fois la rentabilit&eacute; du syst&egrave;me
(p&eacute;riph&eacute;riques partag&eacute;s) et sa fonctionnalit&eacute; (une seule copie des programmes et fichiers,
&eacute;vitant ainsi tout probl&egrave;me de coh&eacute;rence inh&eacute;rent aux copies multiples).
2-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
R&eacute;seaux physiques
Le r&eacute;seau physique est constitu&eacute; par l’ensemble des c&acirc;bles (coaxiaux, &agrave; paire torsad&eacute;e,
optiques ou t&eacute;l&eacute;phoniques) qui relient les unit&eacute;s mat&eacute;rielles, les cartes des syst&egrave;mes h&ocirc;tes
raccord&eacute;s et les &eacute;ventuels concentrateurs, r&eacute;p&eacute;teurs, routeurs et ponts utilis&eacute;s sur le
r&eacute;seau. (Le terme h&ocirc;te est employ&eacute; dans le sens d’ordinateur connect&eacute; au r&eacute;seau.)
Les r&eacute;seaux physiques varient en fonction de leur taille et du type de mat&eacute;riel qui les
composent. On distingue g&eacute;n&eacute;ralement les r&eacute;seaux locaux (LAN) des r&eacute;seaux longue
distance (WAN). Un r&eacute;seau local couvre une zone g&eacute;ographiquement r&eacute;duite (1 &agrave; 10 km),
comme par exemple un immeuble de bureaux, un entrep&ocirc;t, un campus, par opposition au
r&eacute;seau longue distance (WAN) qui dessert une zone plus vaste (pays, continent, etc.) Un
r&eacute;seau longue distance (WAN) fournit des communications de donn&eacute;es dans une zone plus
vaste (pays, continent, etc.) que celle desservie par un r&eacute;seau local (LAN). Un mod&egrave;le
interm&eacute;diaire de r&eacute;seau existe &eacute;galement, appel&eacute; metropolitan area networks (MAN). Dans
ce guide, les r&eacute;seaux MAN sont g&eacute;n&eacute;ralement englob&eacute;s dans les r&eacute;seaux WAN.
Les r&eacute;seaux locaux utilisent g&eacute;n&eacute;ralement des &eacute;quipements Ethernet standard, IEEE 802.3
ou en anneau &agrave; jeton, et les r&eacute;seaux longue distance et asynchrones utilisent les moyens
de communication fournis par les entreprises de t&eacute;l&eacute;communications. Dans les deux cas,
les op&eacute;rations effectu&eacute;es sur le r&eacute;seau physique sont g&eacute;n&eacute;ralement soumises &agrave; des
normes de communications r&eacute;seau telles que l’EIA (Electronics Industry Association) ou
l’ITU (International Telecommunication Union).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-5
Syst&egrave;mes r&eacute;seau et protocoles
Toute communication sur un r&eacute;seau requiert un support mat&eacute;riel et logiciel. Le mat&eacute;riel est
l’&eacute;quipement physique connect&eacute; au r&eacute;seau physique. Le logiciel regroupe les programmes
et les pilotes de p&eacute;riph&eacute;rique utilis&eacute;s pour l’exploitation d’un syst&egrave;me.
L’&eacute;quipement mat&eacute;riel d’un syst&egrave;me comprend les cartes et autres dispositifs qui donnent
acc&egrave;s ou font office d’interface entre la partie logicielle du syst&egrave;me et le r&eacute;seau physique.
Chacune de ces cartes doit &ecirc;tre install&eacute;e &agrave; un emplacement de carte d’entr&eacute;e/sortie (E/S)
sur le syst&egrave;me. D’autres dispositifs, tels que les modems, peuvent &ecirc;tre raccord&eacute;s &agrave; un port
standard de l’ordinateur.
Ces cartes sont compatibles avec les normes du r&eacute;seau physique (par exemple, EIA 232D,
Smartmodem, V.25 bis, EIA 422A, X.21 ou V.35) et avec les protocoles utilis&eacute;s (par
exemple, les protocoles SDLC, HDLC et bisynchrones). Le support logiciel, s’il n’est pas
int&eacute;gr&eacute; &agrave; la carte, est fourni par le pilote de la carte.
Protocoles
Tout logiciel de communication fait appel &agrave; un protocole (ou plusieurs), ensemble de r&egrave;gles
s&eacute;mantiques et syntaxiques qui d&eacute;finissent comment les unit&eacute;s fonctionnelles assurent la
communication : livraison de l’information, conditionnement des donn&eacute;es pour en assurer
l’int&eacute;grit&eacute; jusqu’&agrave; destination, et chemin d’acc&egrave;s. Les protocoles se chargent &eacute;galement de
coordonner le flux de messages et leur acquittement.
Les protocoles interviennent &agrave; diff&eacute;rents niveaux du noyau et ne peuvent &ecirc;tre manipul&eacute;s
directement. Leur activation s’effectue en fonction des programmes sollicit&eacute;s par l’utilisateur
au niveau de l’interface de programmation d’application (API) lors de l’ex&eacute;cution des t&acirc;ches
(transfert de fichiers, connexion &agrave; distance, &eacute;mulation de terminal, etc.).
Adresses
Les adresses associ&eacute;es &agrave; la fois au logiciel et au mat&eacute;riel, indiquent &agrave; la station exp&eacute;ditrice
ou au poste de contr&ocirc;le comment identifier la station du destinataire : elles permettent de
localiser les emplacements de stockage et de r&eacute;ception. Une adresse physique est un code
unique attribu&eacute; &agrave; chaque unit&eacute; ou station connect&eacute;e &agrave; un r&eacute;seau.
Par exemple, sur un r&eacute;seau en anneau &agrave; jeton, la commande netstat –iv affiche l’adresse
de la carte d&eacute;di&eacute;e &agrave; ce type de r&eacute;seau. Il s’agit de l’adresse physique. La commande
netstat –iv procure &eacute;galement des informations d’adressage au niveau de l’utilisateur et de
la classe. Les adresses sont souvent d&eacute;finies par le logiciel, mais il arrive qu’elles soient
cr&eacute;&eacute;es &eacute;galement par l’utilisateur.
Domaines
Li&eacute;e au concept d’adresse, la notion de domaine est commune &agrave; un grand nombre de
r&eacute;seaux de communication. La structure d’Internet, par exemple, illustre comment les
domaines d&eacute;finissent l’adresse IP (Internet Protocol). Internet est un r&eacute;seau extensif qui
regroupe de nombreux r&eacute;seaux de moindre envergure. Les adresses Internet sont
structur&eacute;es hi&eacute;rarchiquement en domaines pour faciliter le routage et l’adressage.
Au sommet de la structure se trouvent les cat&eacute;gories les plus g&eacute;n&eacute;rales, par exemple com
pour le secteur commercial, edu pour le secteur de l’enseignement et gov.
Le domaine com est divis&eacute; en domaines plus restreints correspondant aux entreprises
individuelles, ibm, par exemple. Ce domaine ibm.com est &agrave; son tour divis&eacute; en
sous-domaines qui, cette fois, correspondent aux adresses Internet des divers sites, par
exemple austin.ibm.com ou raleigh.ibm.com. C’est &agrave; ce niveau que commencent &agrave;
appara&icirc;tre le nom des h&ocirc;tes. Dans ce contexte, les h&ocirc;tes sont les ordinateurs connect&eacute;s au
r&eacute;seau. Par exemple, le domaine austin.ibm.com peut comporter les syst&egrave;mes hamlet
et lear, aux adresses respectives hamlet.austin.ibm.com et
lear.austin.ibm.com.
2-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Passerelles et ponts
Le r&eacute;seau Internet regroupe une grande vari&eacute;t&eacute; de r&eacute;seaux faisant intervenir divers
mat&eacute;riels et logiciels. La communication entre ces r&eacute;seaux h&eacute;t&eacute;rog&egrave;nes s’effectue par le
biais de passerelles et de ponts. Un pont est une unit&eacute; fonctionnelle qui relie deux r&eacute;seaux
locaux pouvant utiliser la m&ecirc;me proc&eacute;dure de contr&ocirc;le de liaison logique (LLC), Ethernet
par exemple, mais des proc&eacute;dures de contr&ocirc;le d’acc&egrave;s au support (MAC) diff&eacute;rentes. La
passerelle couvre un champ plus large : elle intervient au–dessus de la couche Liaison et
assure, s’il y a lieu, la conversion des protocoles et des interfaces pour permettre &agrave; deux
protocoles de communiquer entre eux. Elle permet le transfert des donn&eacute;es &agrave; travers les
divers r&eacute;seaux qui composent Internet.
Routage
L’utilisation de noms de domaines pour l’adressage et de passerelles pour le transfert
facilite grandement le routage, op&eacute;ration qui consiste &agrave; d&eacute;finir le parcours d’un message
jusqu’&agrave; sa destination. En effet, c’est le nom du domaine qui d&eacute;finit la destination : dans un
r&eacute;seau &eacute;tendu comme Internet, l’information est achemin&eacute;e d’un r&eacute;seau de communication
au suivant jusqu’&agrave; destination. Chacun des r&eacute;seaux v&eacute;rifie le nom du domaine en fonction
de ceux qu’il conna&icirc;t et achemine l’information, jusqu’&agrave; l’extr&eacute;mit&eacute; logique suivante. Ainsi,
chaque r&eacute;seau par lequel les donn&eacute;es transitent participe au processus de routage.
Noeud local et noeud distant
Un r&eacute;seau physique est utilis&eacute; par les syst&egrave;mes h&ocirc;tes qui y r&eacute;sident. Chacun de ces
syst&egrave;mes h&ocirc;tes est un noeud sur le r&eacute;seau. C’est-&agrave;-dire un point adressable du r&eacute;seau qui
offre des services de traitement h&ocirc;te. L’intercommunication entre ces diff&eacute;rents nœuds
engendre les notions de local et de distant. Local s’applique aux unit&eacute;s, fichiers ou
syst&egrave;mes directement accessibles &agrave; partir de votre syst&egrave;me, sans recourir &agrave; une ligne de
communication. Distant s’applique aux unit&eacute;s, fichiers ou syst&egrave;mes accessibles &agrave; partir de
votre syst&egrave;me via une ligne de communication. En effet, les fichiers locaux sont implant&eacute;s
sur votre syst&egrave;me alors que les fichiers distants r&eacute;sident sur un serveur de fichiers ou un
autre noeud accessible via un r&eacute;seau physique, par exemple, un r&eacute;seau Ethernet, un
r&eacute;seau en anneau &agrave; jeton ou des lignes t&eacute;l&eacute;phoniques.
Client et serveur
Les concepts de client et de serveur sont li&eacute;s aux notions de ”local” et de ”distant”. Un
serveur est un ordinateur qui contient des donn&eacute;es ou fournit des services accessibles aux
autres ordinateurs du r&eacute;seau. Les types de serveur les plus courants sont les serveurs de
fichiers dans lesquels sont stock&eacute;s des fichiers, les serveurs de noms qui stockent les noms
et adresses, les serveurs d’application qui stockent les programmes et applications et les
serveurs d’impression, qui planifient et dirigent les travaux d’impression vers leur
destination.
Un client est un ordinateur qui sollicite des services ou des donn&eacute;es aupr&egrave;s d’un serveur.
Par exemple, un client peut demander un code de programme mis &agrave; jour ou une application
aupr&egrave;s d’un serveur de code. Pour obtenir un nom ou une adresse, le client contacte un
serveur de noms. Un client peut &eacute;galement interroger un serveur de fichiers pour retrouver
des fichiers et des donn&eacute;es, et effectuer des op&eacute;rations (saisie de donn&eacute;es, recherches,
mise &agrave; jour d’articles).
Communications et r&eacute;seaux : g&eacute;n&eacute;ralit&eacute;s
2-7
Communication avec d’autres syst&egrave;mes d’exploitation
Un r&eacute;seau peut relier divers types d’ordinateurs (mod&egrave;les ou constructeurs h&eacute;t&eacute;rog&egrave;nes).
Des programmes de communication sont alors utilis&eacute;s pour pallier les disparit&eacute;s entre les
syst&egrave;mes d’exploitation install&eacute;s sur ces machines.
Parfois, ces programmes n&eacute;cessitent l’installation pr&eacute;alable d’un autre programme sur le
r&eacute;seau. Certains programmes peuvent n&eacute;cessiter la pr&eacute;sence sur le r&eacute;seau d’un autre
programme ou de protocoles de connexion (tels que TCP/IP ou SNA).
Avec les versions AIX 4.3.2 et ult&eacute;rieures, par exemple, AIX Fast Connect for Windows
permet aux clients PC d’acc&eacute;der aux fichiers et aux imprimantes &agrave; l’aide du logiciel r&eacute;seau
du client PC natif. Les utilisateurs PC peuvent acc&eacute;der directement aux syst&egrave;mes de
fichiers distants &agrave; partir de leurs machines comme si ces fichiers &eacute;taient sauvegard&eacute;s en
local. De plus, ils peuvent lancer des t&acirc;ches d’impression sur des imprimantes utilisant le
syst&egrave;me de spoulage, visualiser celles qui sont disponibles et configurer une imprimante en
r&eacute;seau. Pour plus d’informations sur AIX Fast Connect, reportez–vous au AIX Fast Connect
for Windows Version 3.1 Guide.
2-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 3. Messagerie &eacute;lectronique
La messagerie fournit un outil d’&eacute;change du courrier &eacute;lectronique (e–mail) entre les
utilisateurs d’un m&ecirc;me syst&egrave;me ou de syst&egrave;mes distincts connect&eacute;s via un r&eacute;seau. Ce
chapitre d&eacute;crit le syst&egrave;me de messagerie, l’interface utilisateur standard, et les protocoles
IMAP (Internet Message Access Protocol) et POP (Post Office Protocol).
La messagerie, outil de livraison de messages interr&eacute;seau, comprend une interface
utilisateur, un programme de routage et un programme de livraison des messages
(aussi appel&eacute; programme facteur). L’acheminement des messages est assur&eacute; entre deux
utilisateurs d’un m&ecirc;me syst&egrave;me h&ocirc;te ou de syst&egrave;mes h&ocirc;tes ou r&eacute;seaux diff&eacute;rents. L’outil
comporte &eacute;galement une fonction d’&eacute;dition limit&eacute;e pour pr&eacute;senter les en-t&ecirc;tes dans un
format reconnu par l’h&ocirc;te r&eacute;cepteur.
Une interface utilisateur permet aux utilisateurs de cr&eacute;er, envoyer et recevoir des
messages. La messagerie propose deux interfaces : mail et mhmail. La commande mail
est l’interface utilisateur standard des syst&egrave;mes UNIX. La commande mhmail est l’interface
utilisateur du gestionnaire de message (MH). Plus &eacute;volu&eacute;e, cette derni&egrave;re s’adresse aux
utilisateurs chevronn&eacute;s.
Un programme de routage des messages sert &agrave; acheminer les messages jusqu’&agrave;
destination. Dans la messagerie pr&eacute;sent&eacute;e ici, il s’agit du programme sendmail. Ce
programme, int&eacute;gr&eacute; au syst&egrave;me d’exploitation de base (BOS), est install&eacute; avec ce dernier.
Sendmail est un d&eacute;mon qui utilise les informations des fichiers /etc/mail/sendmail.cf et
/etc/mail/aliases pour effectuer le routage n&eacute;cessaire.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les fichiers sendmail.cf et aliases
sont respectivement situ&eacute;s dans /etc/sendmail.cf et /etc/mail/aliases.
En fonction de la route, la commande sendmail fait appel &agrave; diff&eacute;rents programmes facteur
pour livrer les messages.
Mail
MH
sendmail
bellmail
BNU
SM TP
local
bo&icirc;te aux lettres
UUCP
liaison
TCP/IP
liaison
distant
bo&icirc;te aux lettres
distant
bo&icirc;te aux lettres
Messagerie &eacute;lectronique
3-1
Comme l’illustre la figure :
• Pour acheminer un courrier local, le programme sendmail achemine les messages au
programme bellmail. Le programme bellmail transmet le courrier au syst&egrave;me local, dans
la bo&icirc;te aux lettres syst&egrave;me de l’utilisateur, situ&eacute;e dans le r&eacute;pertoire /var/spool/mail.
• Pour acheminer le courrier via une liaison r&eacute;seau UUCP, le programme sendmail
achemine les messages &agrave; l’aide de BNU (Basic Network Utilities).
• Pour transmettre un courrier via TCP/IP, la commande sendmail &eacute;tablit une connexion
TCP/IP au syst&egrave;me distant et utilise le protocole SMTP (Simple Mail Transfer Protocol)
pour effectuer le transfert.
Gestion du courrier
L’administrateur du courrier est responsable de l’ex&eacute;cution des t&acirc;ches suivantes :
1. Pour que sendmail soit ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me, configurez le fichier
/etc/rc.tcpip comme suit. Reportez–vous &agrave; Configuration du fichier /etc/rc.tcpip pour
lancer le d&eacute;mon sendmail
2. Personnaliser le fichier de configuration /etc/mail/sendmail.cf. Par d&eacute;faut,
/etc/mail/sendmail.cf est d&eacute;fini pour permettre la livraison du courrier local et du
courrier TCP/IP. Le fichier /etc/mail/sendmail.cf doit &ecirc;tre modifi&eacute; pour pouvoir
acheminer le courrier via une liaison BNU. Pour en savoir plus, reportez-vous &agrave;
”sendmail.cf File” dans le document AIX Version 5.2 Files Reference.
3. D&eacute;finir les alias aux niveaux syst&egrave;me et domaine dans le fichier /etc/mail/aliases. Pour
en savoir plus, reportez-vous &agrave; ”Gestion des alias”.
4. G&eacute;rer les files d’attente de messages. Pour plus de d&eacute;tails, reportez vous &agrave; ”Gestion des
fichiers et r&eacute;pertoires de file d’attente courrier”e.
5. G&eacute;rer le journal des messages. Pour en savoir plus, reportez–vous &agrave; ”Gestion de la
journalisation”.
Configuration du fichier /etc/rc.tcpip pour lancer le d&eacute;mon sendmail
Pour que sendmail soit ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me, configurez le fichier /etc/rc.tcpip
comme suit :
1. Modifiez le fichier /etc/rc.tcpip avec l’&eacute;diteur de votre choix.
2. Recherchez la ligne introduite par start /usr/lib/sendmail. Par d&eacute;faut, cette ligne ne doit
pas &ecirc;tre en commentaire, c’est-&agrave;-dire pr&eacute;c&eacute;d&eacute;e du signe #. Si ce signe figure en d&eacute;but
de ligne, supprimez-le.
3. Sauvegardez le fichier.
Le d&eacute;mon sendmail sera ex&eacute;cut&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me.
3-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Gestion des alias
Les alias mettent en correspondance des noms et des listes d’adresses par le biais de
fichiers personnels, syst&egrave;me ou domaine. Il existe trois types d’alias :
personnel
D&eacute;fini par l’utilisateur dans son fichier $HOME/.mailrc.
syst&egrave;me
local
D&eacute;fini par l’administrateur du syst&egrave;me de messagerie dans le fichier
/etc/mail/aliases. Les alias de ce type s’appliquent au courrier trait&eacute; par le
programme sendmail sur le syst&egrave;me local. Ils ont rarement besoin d’&ecirc;tre
modifi&eacute;s.
domaine
Par d&eacute;faut, le programme sendmail lit /etc/alias pour convertir les alias.
Pour effacer les param&egrave;tres par d&eacute;faut et utiliser NIS, modifiez ou cr&eacute;ez la
commande /etc/netsvc.conf et ajoutez la ligne :
aliases=nis
Fichier /etc/mail/aliases
Le fichier /etc/mail/aliases se compose d’une s&eacute;rie d’entr&eacute;es au format suivant :
Alias: Nom1, Nom2, ... NomX
Alias &eacute;tant une cha&icirc;ne alphanum&eacute;rique de votre choix (sans caract&egrave;res sp&eacute;ciaux, tels
que @ et !). Les variables Nom1 &agrave; NomX repr&eacute;sentent une liste de noms de destinataires.
Cette liste de noms peut s’&eacute;tendre sur plusieurs lignes. Chaque ligne de suite doit
commencer par un espace ou une tabulation. Les lignes blanches ou pr&eacute;c&eacute;d&eacute;es d’un di&egrave;se
(#) sont des commentaires.
Le fichier /etc/mail/aliases doit comporter les trois alias suivants :
MAILER-DAEMON
ID de l’utilisateur destinataire des messages adress&eacute;s au d&eacute;mon du
programme facteur. Ce nom est attribu&eacute; initialement &agrave; l’utilisateur
racine :
MAILER-DAEMON: root
postmaster
ID de l’utilisateur charg&eacute; de l’exploitation de la messagerie locale.
L’alias postmaster d&eacute;finit une adresse de bo&icirc;te aux lettres unique
valable sur chaque syst&egrave;me du r&eacute;seau. Cette adresse permet
d’envoyer des requ&ecirc;tes &agrave; l’alias postmaster &agrave; partir de n’importe
quel syst&egrave;me, sans conna&icirc;tre l’adresse exacte de l’utilisateur sur ce
syst&egrave;me. Ce nom est attribu&eacute; initialement &agrave; l’utilisateur racine :
postmaster: root
nobody
ID destinataire des messages adress&eacute;s aux programmes tels que
news et msgs. Ce nom est attribu&eacute; initialement &agrave; /dev/null :
nobody: /dev/null
Pour recevoir ces messages, d&eacute;clarez l’alias
comme utilisateur valide.
A chaque modification du fichier, vous devez le recompiler dans un format de base de
donn&eacute;es exploitable par la commande sendmail. Reportez-vous &agrave; Cr&eacute;ation d’une base de
donn&eacute;es d’alias.
Messagerie &eacute;lectronique
3-3
Cr&eacute;ation d’alias de syst&egrave;me local
Pour obtenir des instructions pas &agrave; pas sur la cr&eacute;ation d’un local system alias,
reportez–vous &agrave; Cr&eacute;er un alias local de messagerie page 1-21.
Cr&eacute;ation d’une base de donn&eacute;es d’alias
La commande sendmail n’utilise pas directement les d&eacute;finitions d’alias dans le fichier
/etc/mail/aliases du syst&egrave;me local. Elle fait appel &agrave; une version de ce fichier g&eacute;n&eacute;r&eacute;e par le
gestionnaire de base de donn&eacute;es. Pour compiler la base de donn&eacute;es d’alias, vous avez le
choix entre les m&eacute;thodes suivantes :
• Lancez la commande /usr/sbin/sendmail assortie de l’indicateur -bi.
• Ex&eacute;cutez la commande newaliases. Cette commande provoque la lecture, par
sendmail, du fichier /etc/mail/aliases du syst&egrave;me local et la cr&eacute;ation d’un nouveau
fichier contenant les informations de la base d’alias. Ce fichier est au format Berkeley,
plus efficace :
/etc/mail/aliases.db
(Les versions ant&eacute;rieures &agrave; AIX 5.1 cr&eacute;aient deux fichiers de bases de donn&eacute;es,
/etc/aliases.dir et /etc/aliases.pag.)
• Lancez la commande sendmail assortie de l’indicateur Rebuild Aliases. Cette
commande reconstruit automatiquement la base de donn&eacute;es d’alias lorsqu’elle est
p&eacute;rim&eacute;e. Le reconstruction automatique peut &ecirc;tre dangereuse sur des machines tr&egrave;s
charg&eacute;es, contenant de gros fichiers d’alias. Si la reconstruction dure plus longtemps que
le d&eacute;lai imparti (normalement, 5 minutes), il y a des chances que plusieurs processus la
lancent simultan&eacute;ment.
1. Sans ces fichiers, la commande sendmail ne peut pas traiter le courrier et g&eacute;n&egrave;re un
message d’erreur.
2. Si plusieurs bases de donn&eacute;es d’alias sont sp&eacute;cifi&eacute;es, l’indicateur -bi reconstruit tous les
types qu’il peut interpr&eacute;ter (il peut, par exemple, reconstruire les bases de donn&eacute;es
NDBM, et non les bases NIS).
Le fichier /etc/netsvc.conf contient l’ordonnancement des services syst&egrave;me. Pour sp&eacute;cifier
l’ordonnancement des services des alias, ajoutez la ligne suivante :
aliases=service, service
service pouvant &ecirc;tre files ou nis. Par exemple:
aliases=files, nis
Indique &agrave; la commande sendmail de tenter d’abord le fichier d’alias local puis, en cas
d’&eacute;chec, d’essayer nis. Si nis est d&eacute;fini comme un service, il doit &ecirc;tre actif.
Pour plus d’informations sur le fichier /etc/ netsvc.conf, reportez–vous &agrave; AIX 5L Version
5.2 Files Reference.
3-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Le fichier /etc/netsvc.conf contient l’ordonnancement des services syst&egrave;me. Pour sp&eacute;cifier
l’ordonnancement des services des alias, ajoutez la ligne suivante :
aliases=service, service
service pouvant &ecirc;tre files ou nis. Par exemple :
aliases=files, nis
indique &agrave; la commande sendmail de tenter d’abord le fichier d’alias local puis, en cas
d’&eacute;chec, d’essayer nis. Si nis est d&eacute;fini comme un service, il doit &ecirc;tre actif.
Pour en savoir plus sur le fichier /etc/netsvc.conf, reportez-vous &agrave; AIX Files Reference.
Messagerie &eacute;lectronique
3-5
Gestion des fichiers et r&eacute;pertoires de file d’attente courrier
La file d’attente courrier est un r&eacute;pertoire qui stocke des donn&eacute;es et g&egrave;re les files d’attente
de messages distribu&eacute;s par la commande sendmail. Son nom par d&eacute;faut est
/var/spool/mqueue.
Les messages peuvent &ecirc;tre mis en attente pour diverses raisons : si la commande
sendmail est configur&eacute;e pour ex&eacute;cuter la file d’attente &agrave; intervalles r&eacute;guliers et non
imm&eacute;diatement, les messages y sont stock&eacute;s temporairement. Par ailleurs, si un syst&egrave;me
h&ocirc;te distant ne r&eacute;pond pas &agrave; une demande de connexion courrier, la messagerie met les
messages en attente en vue d’une tentative ult&eacute;rieure.
Impression de la file d’attente courrier
Pour imprimer le contenu de la file d’attente, lancez la commande mailq
(ou sp&eacute;cifiez l’indicateur -bp avec la commande sendmail).
Une liste des ID de file d’attente est g&eacute;n&eacute;r&eacute;e, indiquant la taille de chaque
message, la date de son insertion dans la file et les noms d’exp&eacute;diteur et de
destinataire.
Fichiers de file d’attente courrier
Chaque message en attente est associ&eacute; &agrave; un certain nombre de fichiers, d&eacute;sign&eacute;s par :
TypefID
ID est l’ID unique de file d’attente et Type, le type du fichier symbolis&eacute; par une lettre :
d
Fichier de donn&eacute;es contenant le corps du texte du message sans l’en-t&ecirc;te.
q
Fichier de contr&ocirc;le de file d’attente contenant les informations utiles au traitement
du travail.
t
Fichier temporaire correspondant &agrave; l’image du fichier q lors de sa reconstitution.
Tr&egrave;s vite renomm&eacute; q.
x
Fichier de transcription cr&eacute;&eacute; pour la dur&eacute;e d’une session, dans lequel sont
consign&eacute;s tous les &eacute;v&eacute;nements de la session.
Par exemple, soit le message portant l’ID de file d’attente AA00269, les fichiers suivants
sont g&eacute;n&eacute;r&eacute;s et supprim&eacute;s du r&eacute;pertoire de file d’attente courrier pendant que sendmail
tente de livrer ce message :
3-6
dfAA00269
Fichier de donn&eacute;es
qfAA00269
Fichier de contr&ocirc;le
tfAA00269
Fichier temporaire
xfAA00269
Fichier de transcription
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Fichier de contr&ocirc;le q
Ce fichier contient une s&eacute;rie de lignes commen&ccedil;ant par les lettres suivantes :
B
Sp&eacute;cifie le body type. Le reste de la ligne est une cha&icirc;ne de texte d&eacute;finissant le
body type. En l’absence de ce champ, le body type est de 7 bits par d&eacute;faut et
aucun traitement particulier n’est entrepris. Valeurs possibles : 7BIT et 8BITMIME.
C
Contient l’adresse de contr&ocirc;le. Pour les adresses de destinataires constitu&eacute;es
d’un fichier ou d’un programme, sendmail se comporte comme le propri&eacute;taire du
fichier ou du programme. L’utilisateur de contr&ocirc;le devient propri&eacute;taire du fichier ou
du programme. Les adresses de destinataires sont lues &agrave; partir d’un fichier
.forward ou :include: comportant aussi un utilisateur de contr&ocirc;le propri&eacute;taire du
fichier. sendmail d&eacute;livre les messages &agrave; ces destinataires en tant qu’utilisateur de
contr&ocirc;le, puis retourne &agrave; la racine.
F
Contient des bits d’indicateur. Les indicateurs sont une combinaison de w,
indiquant le message d’avertissement EF_WARNING, r, indiquant le message de
r&eacute;ponse EF_RESPONSE, 8, d&eacute;finissant l’indicateur EF_HAS8BIT et b,
d&eacute;finissant l’indicateur EF_DELETE_BCC. Les autres lettres sont ignor&eacute;es.
H
Ligne(s) contenant la d&eacute;finition de l’en-t&ecirc;te. Le nombre de lignes est indiff&eacute;rent.
L’ordre d’apparition des lignes H d&eacute;termine leur disposition dans le message final.
Elles utilisent la syntaxe de d&eacute;finition des en-t&ecirc;tes appliqu&eacute;e dans le fichier
/etc/mail/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1, ce fichier est
/etc/sendmail.cf.)
I
D&eacute;finit l’information sur le i–node et l’unit&eacute; pour le fichier df. Utile pour recouvrer la
file d’attente courrier apr&egrave;s un crash de disque.
K
Heure (en secondes) de la derni&egrave;re tentative de distribution.
M
Lorsqu’un message est mis en file d’attente suite &agrave; une erreur lors d’une tentative
de livraison, le type d’erreur est stock&eacute; sur la ligne M.
N
Nombre total de tentatives de distribution.
O
Sp&eacute;cifie la valeur MTS originale de la transaction ESMTP. Utilis&eacute; exclusivement
pour les Notifications d’&eacute;tat de distribution.
P
Ligne pr&eacute;cisant le niveau de priorit&eacute; du message courant, lequel d&eacute;termine l’ordre
d’ex&eacute;cution des messages en file d’attente. Plus le num&eacute;ro est &eacute;lev&eacute;, plus la
priorit&eacute; est basse, autrement dit, la priorit&eacute; cro&icirc;t &agrave; mesure que l’on descend dans
la liste des messages. Autrement dit, la priorit&eacute; cro&icirc;t &agrave; mesure que l’on descend
dans la liste des messages. Le niveau de priorit&eacute; initial est fonction de la classe et
de la taille du message.
Q
Destinataire initial tel que sp&eacute;cifi&eacute; par le champ ORCPT= dans une transaction
ESMTP. Utilis&eacute; exclusivement pour les Notifications d’&eacute;tat de distribution. Il ne
s’applique qu’&agrave; la ligne ”R” figurant imm&eacute;diatement apr&egrave;s.
R
Lignes comportant chacune une adresse de destinataire.
S
Lignes comportant chacune une adresse d’exp&eacute;diteur.
T
Ligne indiquant l’heure de cr&eacute;ation, qui sert &agrave; calculer le d&eacute;lai de r&eacute;tention du
message en file d’attente.
V
Num&eacute;ro de version du format de fichier de file d’attente utilis&eacute; pour que les
nouveaux fichiers binaires sendmail puissent lire les fichiers cr&eacute;&eacute;s sous les
versions ant&eacute;rieures. Valeur par d&eacute;faut : zero. Si pr&eacute;sent, doit figurer sur la
premi&egrave;re ligne du fichier.
Z
ID enveloppe initiale (issu de la transaction SMTP). Utilis&eacute; exclusivement pour les
Notifications d’&eacute;tat de distribution.
$
Contient une d&eacute;finition de macro. Les valeurs de certaines macros ($r et $s) sont
pass&eacute;es au cours de la phase d’ex&eacute;cution de la file.
Messagerie &eacute;lectronique
3-7
Le fichier q associ&eacute; au message adress&eacute; &agrave; amy@zeus se pr&eacute;senterait comme suit :
P217031
T566755281
MDeferred: Connection timed out during user open with zeus
Sgeo
Ramy@zeus
H?P?return-path: &lt;geo&gt;
Hreceived: by george (0.13 (NL support)/0.01)
id AA00269; Thu, 17 Dec 87 10:01:21 CST
H?D?date: Thu, 17 Dec 87 10:01:21 CST
H?F?From: geo
Hmessage-id: &lt;8712171601.AA00269@george&gt;
HTo: amy@zeus
Hsubject: test
o&ugrave; :
P217031
Priorit&eacute; du message
T566755281
Temps de soumission en secondes
MDeferred: Connection timed out during user open with zeus
Message d’&eacute;tat
Sgeo
ID de l’exp&eacute;diteur
Ramy@zeus
ID du destinataire
HLines
Informations d’en-t&ecirc;te du message.
Sp&eacute;cification des d&eacute;lais au d&eacute;mon sendmail
Un format horaire sp&eacute;cial est pr&eacute;vu pour sp&eacute;cifier les d&eacute;lais associ&eacute;s au message et les
intervalles de traitement des files d’attente. Ce format est le suivant :
–qNombreUnit&eacute;
Nombre est un entier et Unit&eacute; est une des lettres symbolisant l’unit&eacute; utilis&eacute;e. Unit&eacute; peut
avoir l’une des valeurs suivantes :
s
secondes
m
minutes
h
heures
d
jours
w
semaines
L’unit&eacute; de temps par d&eacute;faut est la minute (m). Voici trois exemples :
/usr/sbin/sendmail -q15d
Avec cette commande, sendmail traite la file d’attente tous les 15 jours.
/usr/sbin/sendmail -q15h
Avec cette commande, sendmail traite la file d’attente toutes les 15 heures.
/usr/sbin/sendmail -q15
Avec cette commande, sendmail traite la file d’attente toutes les 15 minutes.
3-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Ex&eacute;cution forc&eacute;e de la file d’attente courrier
Si vous trouvez qu’une file d’attente commence &agrave; saturer, vous pouvez forcer son ex&eacute;cution
par le biais de l’indicateur –q (sans autre valeur). Vous pouvez &eacute;galement sp&eacute;cifier
l’indicateur –v (verbose) pour voir ce qui se passe :
/usr/sbin/sendmail -q-v
Vous pouvez &eacute;galement limiter les travaux &agrave; ceux dot&eacute;s d’un identificateur de file, d’un
exp&eacute;diteur ou d’un destinataire donn&eacute;, via l’un des modificateurs de file d’attente.
Par exemple, -qRsally limite l’ex&eacute;cution de la file d’attente aux travaux dont l’adresse d’un
des destinataires contient la cha&icirc;ne sally. De m&ecirc;me, -qS cha&icirc;ne limite l’ex&eacute;cution &agrave;
quelques exp&eacute;diteurs et -qI cha&icirc;ne, &agrave; quelques identificateurs de file d’attente.
Intervalle de traitement de la file d’attente
L’intervalle de traitement de la file d’attente courrier par le d&eacute;mon sendmail est d&eacute;termin&eacute;
par l’indicateur -q, qui est pris en compte au lancement du d&eacute;mon.
G&eacute;n&eacute;ralement, sendmail est lanc&eacute; par le fichier /etc/rc.tcpip au d&eacute;marrage du syst&egrave;me.
Ce fichier contient la variable QPI (Queue Processing Interval), qui sert &agrave; attribuer une
valeur &agrave; l’indicateur -q &agrave; l’ex&eacute;cution du d&eacute;mon sendmail. Par d&eacute;faut, la valeur de qpi est
30 minutes. Pour la modifier :
1. Modifiez le fichier /etc/rc.tcpip avec l’&eacute;diteur de votre choix.
2. Recherchez la ligne qui d&eacute;finit cette valeur, par exemple :
qpi=30m
3. Changez la valeur de qpi en fonction de vos besoins.
Ces modifications prendront effet au prochain lancement du syst&egrave;me. Pour une prise en
compte imm&eacute;diate, arr&ecirc;tez puis relancez le d&eacute;mon sendmail en sp&eacute;cifiant la nouvelle
valeur pour l’indicateur –q. Pour plus d’informations, reportez-vous &agrave; ”Arr&ecirc;t du d&eacute;mon
sendmail”, page3-10 et ”Lancement du d&eacute;mon sendmail”, page3-10.
Transfert de file d’attente courrier
Si un syst&egrave;me h&ocirc;te est hors service pendant quelques temps, de nombreux messages
envoy&eacute;s ou en transit sur ce syst&egrave;me sont peut-&ecirc;tre stock&eacute;s dans votre file d’attente
courrier. Ce ph&eacute;nom&egrave;ne alourdit le traitement de la file d’attente au d&eacute;triment des
performances de votre syst&egrave;me. Dans ce cas, vous avez la possibilit&eacute; de transf&eacute;rer
temporairement la file d’attente vers un autre emplacement et d’en cr&eacute;er une nouvelle. Vous
pourrez ainsi traiter l’ancienne file une fois le syst&egrave;me h&ocirc;te remis en service. Pour effectuer
ces op&eacute;rations :
1. Arr&ecirc;tez le d&eacute;mon sendmail comme indiqu&eacute; &agrave; ”Arr&ecirc;t du d&eacute;mon sendmail”, page 3-10.
2. D&eacute;placez la totalit&eacute; du r&eacute;pertoire de file d’attente :
cd/var/spool
mv mqueue omqueue
3. Relancez sendmail comme indiqu&eacute; &agrave; ”Lancement du d&eacute;mon sendmail”, page 3-10.
4. Pour traiter l’ancienne file d’attente, entrez :
/usr/sbin/sendmail -oQ/var/spool/omqueue -q.
L’indicateur –oQ d&eacute;signe le r&eacute;pertoire temporaire de la file transf&eacute;r&eacute;e, et l’indicateur –q
demande l’ex&eacute;cution de tous les travaux de la file. Pour obtenir un compte rendu du
d&eacute;roulement des op&eacute;rations, pr&eacute;cisez -v.
Remarque :
Cette op&eacute;ration peut durer un certain temps.
Messagerie &eacute;lectronique
3-9
5. Supprimez fichiers journaux et r&eacute;pertoire temporaire une fois la file d’attente vid&eacute;e :
rm /var/spool/omqueue/*
rmdir /var/spool/omqueue
Lancement du d&eacute;mon sendmail
Pour lancer le d&eacute;mon sendmail, entrez :
startsrc –s sendmail –a ”–bd –q15”
/usr/lib/sendmail –bd –q15
Si sendmail est d&eacute;j&agrave; activ&eacute; &agrave; l’ex&eacute;cution de ces commandes, un message vous indique que
le d&eacute;mon ne peut &ecirc;tre lanc&eacute; plusieurs fois :
The sendmail subsystem is already active. Multiple instances are no
t supported.
Sinon, un message vous confirme le lancement du d&eacute;mon.
Arr&ecirc;t du d&eacute;mon sendmail
Pour arr&ecirc;ter le d&eacute;mon sendmail, ex&eacute;cutez la commande stopsrc -s sendmail. Sinon :
• Recherchez l’ID de processus de sendmail.
• Saisissez la commande kill sendmail_pid
(o&ugrave; sendmail_pid est l’ID de processus du processus sendmail).
3-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Gestion de la journalisation
La commande sendmail consigne dans un journal les activit&eacute;s de la messagerie en faisant
appel au d&eacute;mon syslogd. Le d&eacute;mon syslogd doit &ecirc;tre configur&eacute; et ex&eacute;cut&eacute; pour permettre
la journalisation. Dans le fichier /etc/syslog.conf notamment, la ligne ci-apr&egrave;s doit &ecirc;tre
activ&eacute;e (et non mise en commentaire) :
mail.debug
/var/spool/mqueue/log
Si elle est d&eacute;sactiv&eacute;e, modifiez-la &agrave; l’aide de l’&eacute;diteur de votre choix, en prenant soin
d’indiquer le chemin d’acc&egrave;s correct. Si vous modifiez le fichier /etc/syslog.conf au cours
de l’ex&eacute;cution du d&eacute;mon syslogd, vous devez r&eacute;g&eacute;n&eacute;rer le d&eacute;mon comme suit :
refresh –s syslogd
Si le fichier /var/spool/mqueue/log n’existe pas, vous devez le cr&eacute;er via la commande :
touch /var/spool/mqueue/log
Les messages sont consign&eacute;s dans le fichier journal au format suivant :
Chaque ligne d’un journal syst&egrave;me comporte un horodateur, le nom de la machine qui l’a
g&eacute;n&eacute;r&eacute; (pour les journaux concernant plusieurs machines d’un r&eacute;seau local), le mot
”sendmail:,” et un message. La plupart des messages sont constitu&eacute;s d’une s&eacute;rie de
paires nom=valeur.
Deux lignes communes sont consign&eacute;es lorsqu’un message est trait&eacute;. La premi&egrave;re indique
la r&eacute;ception d’un message : il y en a une par message. Certains champs peuvent &ecirc;tre omis.
Les champs du message sont les suivants :
from
Adresse de l’exp&eacute;diteur de l’enveloppe.
size
Taille du message (en octets).
class
Classe (priorit&eacute; num&eacute;rique) du message.
pri
Priorit&eacute; initiale du message (pour le tri des files d’attente).
nrcpts
Nombre de destinataires de l’enveloppe pour ce message (apr&egrave;s d&eacute;finition
d’alias et transmission).
proto
Protocole utilis&eacute; pour la r&eacute;ception du message (par exemple, ESMTP ou
UUCP).
relay
Machine d’o&ugrave; provient le message.
Une autre ligne est consign&eacute;e &agrave; chaque tentative de livraison (il peut donc y en avoir
plusieurs par message - si le message est diff&eacute;r&eacute; ou qu’il y a plusieurs destinataires).
Les champs du message sont les suivants :
to
Liste des destinataires, s&eacute;par&eacute;s par une virgule.
ctladdr
”Utilisateur contr&ocirc;leur”, c’est-&agrave;-dire nom de l’utilisateur dont les r&eacute;f&eacute;rences
sont utilis&eacute;es pour la livraison.
delay
D&eacute;lai total entre le moment o&ugrave; le message a &eacute;t&eacute; re&ccedil;u et le moment o&ugrave; il a
&eacute;t&eacute; d&eacute;livr&eacute;.
xdelay
Dur&eacute;e n&eacute;cessaire pour cette tentative de livraison.
mailer
Nom du programme facteur utilis&eacute; pour d&eacute;livrer &agrave; ce destinataire.
relay
Nom de l’h&ocirc;te qui a effectivement accept&eacute; (ou rejet&eacute;) ce destinataire.
stat
Etat de la livraison.
Messagerie &eacute;lectronique
3-11
Les informations qui peuvent &ecirc;tre consign&eacute;es sont nombreuses. Le journal est structur&eacute; en
niveaux. Au niveau le plus bas, seules les situations tr&egrave;s inhabituelles sont consign&eacute;es.
Au niveau le plus &eacute;lev&eacute;, m&ecirc;me les &eacute;v&eacute;nements insignifiants le sont. Par convention, les
niveaux inf&eacute;rieurs &agrave; 10 sont consid&eacute;r&eacute;s utiles. Les niveaux sup&eacute;rieurs &agrave; 64 sont r&eacute;serv&eacute;s &agrave;
la mise au point et les niveaux interm&eacute;diaires (11–64), d&eacute;di&eacute;s aux informations d&eacute;taill&eacute;es.
Les types d’activit&eacute; consign&eacute;s par la commande sendmail dans le journal sont sp&eacute;cifi&eacute;s via
l’option L dans le fichier /etc/mail/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1, ce
fichier est /etc/sendmail.cf.)
Gestion du journal
Sans cesse aliment&eacute; par de nouvelles donn&eacute;es, le journal peut prendre des proportions non
n&eacute;gligeables. Par ailleurs, il arrive que certains incidents g&eacute;n&egrave;rent des entr&eacute;es inattendues
dans la file d’attente courrier. Pour limiter l’encombrement du journal et de la file d’attente,
ex&eacute;cutez le script shell /usr/lib/smdemon.cleanu. Ce script force la commande sendmail
&agrave; traiter la file d’attente et tient &agrave; jour quatre copies des fichiers journaux &agrave; des niveaux de
mise &agrave; jour croissants log.0, log.1, log.2 et log.3. A chaque ex&eacute;cution du script, le contenu
des fichiers est transf&eacute;r&eacute; comme suit :
• log.2 &agrave; log.3
• log.1 &agrave; log.2
• log.0 &agrave; log.1
• log &agrave; log.0.
Ces transferts permettent de reprendre la journalisation sur un nouveau fichier. Ex&eacute;cutez le
script manuellement ou &agrave; intervalle r&eacute;gulier &agrave; l’aide du d&eacute;mon cron.
Journalisation du trafic
De nombreuses versions de SMTP n’impl&eacute;mentent pas compl&egrave;tement le protocole. Par
exemple, certains SMTP bas&eacute;s sur PC ne savent pas interpr&eacute;ter les lignes de suite dans les
codes de r&eacute;ponse. Ceci peut &ecirc;tre tr&egrave;s difficile &agrave; d&eacute;celer. Si vous suspectez un probl&egrave;me de
cet ordre, vous pouvez activer la journalisation du trafic via l’indicateur -X. Par exemple :
/usr/sbin/sendmail-X /tmp/traffic -bd
Cette commande consigne l’int&eacute;gralit&eacute; du trafic dans le fichier /tmp/traffic.
Cette op&eacute;ration consigne une &eacute;norme quantit&eacute; de donn&eacute;es en tr&egrave;s peu de temps et ne doit
jamais &ecirc;tre effectu&eacute;e dans le cadre de l’exploitation normale. Apr&egrave;s avoir lanc&eacute; un d&eacute;mon
de ce type, forcez l’impl&eacute;mentation errant &agrave; envoyer un message &agrave; votre h&ocirc;te. Tout le trafic
entrant et sortant de sendmail, trafic SMTP entrant compris, sera consign&eacute; dans ce fichier.
Via sendmail, vous pouvez consigner un clich&eacute; des fichiers ouverts et du cache de
connexion en lui envoyant un signal SIGUSR1. Les r&eacute;sultats sont consign&eacute;s avec la priorit&eacute;
LOG_DEBUG.
3-12
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Journalisation des donn&eacute;es statistiques
La commande sendmail assure le suivi du volume de courrier trait&eacute; par chaque programme
facteur qui communique avec la commande. Ces programmes sont d&eacute;finis dans le fichier
/etc/sendmail.cf. (Pour les versions ant&eacute;rieures &agrave; AIX 5.1, ce fichier est /etc/sendmail.cf.)
Figure 2. Programmes facteur utilis&eacute;s par la commande Sendmail Cette illustration
repr&eacute;sente un type d’organigramme structur&eacute; du haut vers le bas avec la messagerie et MH
en haut. Il en part des branches correspondant &agrave; bellmail, BNU et SMTP. Sous le niveau
pr&eacute;c&eacute;dent se trouvent respectivement la bo&icirc;te aux lettres locale, la liaison UUCP et la
liaison TCP/IP. Sous la liaison UUCP et sous la liaison TCP/IP se trouvent des bo&icirc;tes aux
lettres distantes.
Mail
MH
sendmail
bellmail
BNU
SM TP
local
bo&icirc;te aux lettres
UUCP
liaison
TCP/IP
liaison
distant
bo&icirc;te aux lettres
distant
bo&icirc;te aux lettres
Pour lancer la collecte des donn&eacute;es statistiques, cr&eacute;ez le fichier /var/tmp/sendmail.st
comme suit :
touch /var/tmp/sendmail.st
Si la commande sendmail rencontre des erreurs pendant l’enregistrement des donn&eacute;es
statistiques, elle inscrit un message via la sous-routine syslog. Ces erreurs n’entravent pas
les autres op&eacute;rations de sendmail.
La commande sendmail met les informations &agrave; jour chaque fois qu’un courrier est trait&eacute;.
La taille du fichier reste &eacute;gale, mais les nombres dans le fichier augmentent.
Ils repr&eacute;sentent le volume de courrier depuis que vous avez cr&eacute;&eacute; ou r&eacute;initialis&eacute; le fichier
/etc/mail/statistics.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les statistiques &eacute;taient conserv&eacute;es
dans le fichier /var/tmp/sendmail.st.
Messagerie &eacute;lectronique
3-13
Affichage des informations des programmes facteurs
Les donn&eacute;es statistiques conserv&eacute;es dans le fichier /etc/mail/statistics sont sauvegard&eacute;es
sous un format de base de donn&eacute;es, et ne peuvent donc &ecirc;tre consult&eacute;es comme un fichier
texte. Pour les afficher, tapez ceci &agrave; une invite de commande :
/usr/sbin/mailstats
Cette commande lit les donn&eacute;es du fichier /etc/mail/statistics, et les formate avant de les
envoyer vers la sortie standard. Pour obtenir de plus amples informations sur la sortie de la
commande /usr/sbin/mailstats, lisez sa description dans la AIX Version 5.2 Commands
Reference.
Les champs propos&eacute;s ont la signification suivante :
msgs_from
Nombre de messages re&ccedil;us du programme facteur par la machine locale.
bytes_from
Nombre d’octets des messages re&ccedil;us du programme facteur par la
machine locale.
msgs_to
Nombre de messages &eacute;mis par la machine locale &agrave; l’aide du programme
facteur.
bytes_to
Nombre d’octets des messages &eacute;mis par la machine locale &agrave; l’aide du
programme facteur.
Si la commande sendmail envoie le courrier directement dans un fichier de type
$HOME/dead.letter ou alias, le d&eacute;compte des messages et des octets est imput&eacute; au
programme facteur prog.
3-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Mise au point de sendmail
Il existe de nombreux indicateurs de mise au point, int&eacute;gr&eacute;s &agrave; la commande sendmail.
A chaque indicateur sont associ&eacute;s un num&eacute;ro et un niveau, les niveaux sup&eacute;rieurs indiquant
un accroissement des informations. Par convention, les niveaux sup&eacute;rieurs &agrave; 9 fournissent
tellement d’informations que vous ne souhaiterez pas les consulter - sauf pour mettre au
point un module particulier de code source. Les indicateurs de mise au point sont d&eacute;finis via
l’indicateur –d, comme illustr&eacute; dans l’exemple ci-dessous :
debug–flag:
debug–list:
debug–flag:
debug–range:
debug–level:
–d debug–list
debug–flag[.debug–flag]*
debug–range[.debug–level]
integer|integer–integer
integer
Par exemple :
–d12
–d12.3
–d3–17
–d3–17.4
Set
Set
Set
Set
flag 12
flag 12
flags 3
flags 3
to level 1
to level 3
through 17 to level 1
through 17 to level 4
Les indicateurs de mise au point disponibles sont les suivants :
–d0
Mise au point g&eacute;n&eacute;rale.
–d1
Affiche les informations d’envoi.
–d2
Prend fin avec fini ( ).
–d3
Indique la charge moyenne.
–d4
Espace disque suffisant.
–d5
Affiche les &eacute;v&eacute;nements.
–d6
Affiche le courrier non parvenu.
–d7
Nom du fichier de file d’attente.
–d8
R&eacute;solution de noms DNS.
–d9
Effectue un suivi des requ&ecirc;tes RFC1413.
–d9.1
Met le nom d’h&ocirc;te sous forme canonique.
–d10
Affiche le courrier re&ccedil;u par le destinataire.
–d11
Effectue un suivi des livraisons.
–d12
Affiche le mappage de l’h&ocirc;te relatif.
–d13
Affiche les livraisons.
–d14
Affiche les virgules du champ d’en-t&ecirc;te.
–d15
Affiche l’activit&eacute; des requ&ecirc;tes d’obtention (get) du r&eacute;seau.
–d16
Connexions sortantes.
–d17
Affiche la liste des h&ocirc;tes MX.
Remarque : Il existe d&eacute;sormais pr&egrave;s de 200 indicateurs de mise au point d&eacute;finis dans le
programme sendmail.
Messagerie &eacute;lectronique
3-15
Protocoles IMAP (Internet Message Access Protocol) et POP
(Post Office Protocol)
Pour l’acc&egrave;s &agrave; distance &agrave; la messagerie, il existe deux serveurs de protocole de messagerie
&eacute;lectronique bas&eacute;s sur Internet :
• POP (Post Office Protocol),
• IMAP (Internet Message Access Protocol).
Ces deux types de serveur stockent le courrier &eacute;lectronique et y donnent acc&egrave;s. Gr&acirc;ce &agrave;
ces protocoles, l’ordinateur n’a plus besoin d’&ecirc;tre allum&eacute; pour la r&eacute;ception du courrier.
Le serveur POP fournissant un syst&egrave;me de courrier &eacute;lectronique hors ligne, par le biais du
logiciel client POP, le client a acc&egrave;s &agrave; distance au serveur de messagerie pour r&eacute;ceptionner
son courrier. Il peut t&eacute;l&eacute;charger son courrier et, ensuite, soit le supprimer imm&eacute;diatement du
serveur, soit le conserver sur le serveur POP. Le courrier, une fois charg&eacute; sur la machine
cliente, est trait&eacute; localement sur cette machine. Le serveur POP autorise l’acc&egrave;s &agrave; une bo&icirc;te
aux lettres utilisateur &agrave; un seul client &agrave; la fois.
Le serveur IMAP propose un ”super-ensemble” de fonctions POP, mais avec une autre
interface. Le serveur IMAP fournit un service hors ligne, un service en ligne et un service
d&eacute;connect&eacute;. Le protocole IMAP permet de manipuler des bo&icirc;tes aux lettres &agrave; distance
comme si elles &eacute;taient locales. Par exemple, les clients peuvent faire des recherches dans
les messages et y ins&eacute;rer des indicateurs d’&eacute;tat tels que ”deleted” ou ”answered”
(”supprim&eacute;” ou ”r&eacute;pondu”). En outre, les messages peuvent &ecirc;tre conserv&eacute;s dans la base de
donn&eacute;es du serveur tant qu’ils ne sont pas supprim&eacute;s explicitement. Le serveur IMAP
permet &agrave; plusieurs clients d’acc&eacute;der de fa&ccedil;on interactive et simultan&eacute;e aux bo&icirc;tes aux
lettres utilisateur.
Les serveurs IMAP et POP sont exclusivement des serveurs d’acc&egrave;s au courrier. Pour
l’envoi du courrier, ils utilisent le protocole SMTP (Simple Mail Transfer Protocol).
IMAP et POP sont tous deux des protocoles ouverts, qui reposent sur les normes d&eacute;crites
dans les RFC (Request for Comments). Le serveur IMAP repose sur le RFC 1730 et le
serveur POP sur le RFC 1725. Les deux serveurs sont “ orient&eacute;s connexion ” et utilisent des
sockets TCP. L’&eacute;coute IMAP et POP a respectivement lieu sur les ports identifi&eacute;s 143
et 110. En outre, le d&eacute;mon inetd g&egrave;re les deux serveurs.
Configuration des serveurs IMAP et POP
Pr&eacute;requis
Vous devez &ecirc;tre utilisateur racine (root).
Proc&eacute;dure
1. D&eacute;sactivez le commentaire des entr&eacute;es imapd et pop3d dans le fichier /etc/inetd.conf.
2. Rafra&icirc;chissez le d&eacute;mon inetd avec la commande :
refresh –s inetd
3-16
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Tests de configuration
Vous pouvez lancer quelques tests pour vous assurer que les serveurs imapd et pop3d sont
op&eacute;rationnels.
Tout d’abord, v&eacute;rifiez que leur &eacute;coute a lieu sur les ports identifi&eacute;s : Pour cela, proc&eacute;dez
comme suit :
netstat –a | grep imap
netstat –a | grep pop
En principe, le r&eacute;sultat de la commande netstat donne :
tcp
tcp
0
0
0
0
*.imap2
*.pop3
*.*
*.*
LISTEN
LISTEN
Si vous n’obtenez pas ce r&eacute;sultat, v&eacute;rifiez &agrave; nouveau les entr&eacute;es dans le fichier
/etc/inetd.conf, puis relancez la commande refresh –s inetd.
Testez la configuration sur le serveur imapd, via telnet, au niveau du port imap2, 143. Vous
obtenez l’invite imapd. Vous pouvez entrer les commandes IMAP version 4 d&eacute;finies dans la
RFC 1730. Pour ce faire, tapez un point (.) puis un espace suivi du nom de la commande.
Par exemple :
. NomCommande
Notez l’&eacute;cho des mots de passe quand telnet est utilis&eacute; vers le serveur imapd.
Dans l’exemple telnet suivant, vous devez indiquer votre propre mot de passe &agrave; la place
de id_password dans la commande login.
telnet e–xbelize 143
Trying...
Connected to e–xbelize.austin.ibm.com.
Escape character is ’^]’.
* OK e–xbelize.austin.ibm.com IMAP4 server ready
. login id id_password
. OK
. examine /usr/spool/mail/root
* FLAGS (\Answered \Flagged \Draft \Deleted \Seen)
* OK [PERMANENTFLAGS (\Answered \Flagged \Draft \Deleted \Seen \*)]
* 0 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 823888143]
. OK [READ–ONLY] Examine completed
. logout
* BYE Server terminating connection
. OK Logout completed
Connection closed.
Testez la configuration du serveur pop3d, via telnet, au niveau du port pop3, 110. Vous
obtenez l’invite pop3d. Vous pouvez entrer les commandes POP d&eacute;finies dans la
RFC 1725. Pour ce faire, tapez un point (.) puis un espace suivi du nom de la commande.
Par exemple :
. CommandName
Notez l’&eacute;cho des mots de passe quand telnet est utilis&eacute; vers le serveur pop3d.
Dans l’exemple telnet suivant, vous devez indiquer votre propre mot de passe &agrave; la place
de id_password dans la commande pass.
telnet e–xbelize 110
Trying...
Connected to e–xbelize.austin.ibm.com.
Messagerie &eacute;lectronique
3-17
Escape character is ’^]’.
+OK e–xbelize.austin.ibm.com POP3 server ready
user id
+OK Name is a valid mailbox
pass id_password
+OK Maildrop locked and ready
list
+OK scan listing follows
.
stat
+OK 0 0
quit
+OK
Connection closed.
syslog
Le logiciel serveur IMAP et POP adresse des journaux &agrave; l’outil syslog.
Pour configurer la journalisation IMAP et POP sur votre syst&egrave;me par le biais de syslog,
vous devez &ecirc;tre un utilisateur racine. Editez le fichier de configuration /etc/syslog.conf
pour y ajouter une entr&eacute;e pour *.debug comme suit :
*.debug /usr/adm/imapd.log
Le fichier usr/adm/imapd.log doit &ecirc;tre existant avant la relecture par le d&eacute;mon syslogd
du fichier /etc/syslog.conf. Pour cr&eacute;er usr/adm/imapd.log, utilisez la commande :
touch /usr/adm/imapd.log
Ensuite, rafra&icirc;chissez syslogd avec la commande suivante pour la relecture de son fichier
de configuration :
refresh –s syslogd
3-18
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Informations de r&eacute;f&eacute;rence du courrier
Cette section fournit un bref r&eacute;capitulatif des commandes, fichiers et r&eacute;pertoires intervenant
dans la messagerie.
Liste des commandes
Cette liste r&eacute;pertorie les commandes d’exploitation et de gestion de la messagerie.
bugfiler
Enregistre les comptes rendus d’anomalies dans des
r&eacute;pertoires courrier sp&eacute;cifiques.
comsat
Avertit les utilisateurs de l’arriv&eacute;e d’un courrier (d&eacute;mon).
mailq
Imprime le contenu de la file d’attente courrier.
mailstats
Affiche les statistiques relatives au trafic du courrier.
newaliases
Cr&eacute;e une copie de la base de donn&eacute;es d’alias &agrave; partir du
fichier /etc/aliases.
rmail
G&egrave;re le courrier distant re&ccedil;u via la commande uucp de
BNU.
sendbug
Envoie un compte rendu d’anomalies &agrave; une adresse
sp&eacute;cifique.
sendmail
D&eacute;livre le courrier en local ou sur le r&eacute;seau.
smdemon.cleanu
Epure la file d’attente sendmail pour les t&acirc;ches de
routine.
Liste des fichiers et r&eacute;pertoires courrier
Les fichiers et r&eacute;pertoires sont pr&eacute;sent&eacute;s par fonction.
Remarque : Dans les versions ant&eacute;rieures &agrave; AIX 5.1, les fichiers sendmail.cf et aliases
sont respectivement situ&eacute;s dans /etc/sendmail.cf et /etc/aliases.
Messagerie
/usr/share/lib/Mail.rc
D&eacute;finit les valeurs par d&eacute;faut du syst&egrave;me local pour tous
les utilisateurs de la messagerie. Fichier de texte
modifiable pour d&eacute;finir les caract&eacute;ristiques par d&eacute;faut de
la commande mail.
$HOME/.mailrc
Permet de modifier les valeurs par d&eacute;faut du syst&egrave;me
local pour la messagerie.
$HOME/mbox
Stocke le courrier trait&eacute; d’un utilisateur.
/usr/bin/Mail, /usr/bin/mail,
ou /usr/bin/mailx
Indique trois noms associ&eacute;s au m&ecirc;me programme.
La messagerie est l’une des interfaces entre l’utilisateur
et le syst&egrave;me de messagerie.
/var/spool/mail
Indique le r&eacute;pertoire par d&eacute;faut de d&eacute;p&ocirc;t du courrier.
Le courrier est stock&eacute; par d&eacute;faut dans le fichier
/var/spool/mail/nom-utilisateur.
/usr/bin/bellmail
Prend en charge la livraison du courrier local.
/usr/bin/rmail
Assure l’interface courrier distant pour BNU.
/var/spool/mqueue
Contient le fichier journal et les fichiers temporaires
associ&eacute;s aux messages de la file d’attente courrier.
Messagerie &eacute;lectronique
3-19
Commande sendmail
/usr/sbin/sendmail
Commande sendmail.
/usr/ucb/mailq
Pointe sur le fichier /usr/sbin/sendmail. Equivaut &agrave;
/usr/sbin/sendmail –bp.
/usr/ucb/newaliases
Pointe sur le fichier /usr/sbin/sendmail. Equivaut &agrave;
/usr/sbin/sendmail –bi.
/etc/netsvc.conf
Sp&eacute;cifie l’ordre de certains services de r&eacute;solution de
noms.
/usr/sbin/mailstats
Formate et affiche les donn&eacute;es statistiques sendmail
recueillies dans le fichier par d&eacute;faut /etc/sendmail.st,
s’il existe. Vous pouvez sp&eacute;cifier un autre fichier.
/etc/aliases
D&eacute;crit une version texte du fichier d’alias pour la
commande sendmail. Vous pouvez &eacute;diter ce fichier pour
cr&eacute;er, modifier ou supprimer des alias de votre syst&egrave;me.
/etc/aliasesDB
D&eacute;crit un r&eacute;pertoire contenant les fichiers de base de
donn&eacute;es d’alias, DB.dir et DB.pag, cr&eacute;&eacute;s &agrave; partir du
fichier /etc/aliases &agrave; l’ex&eacute;cution de la commande
sendmail –bi.
/etc/sendmail.cf
Contient les informations de configuration de sendmail
dans un format texte. Editez ce fichier pour modifier les
informations.
/usr/lib/smdemon.cleanu
Sp&eacute;cifie un fichier shell qui ex&eacute;cute la file d’attente
courrier et tient &agrave; jour des fichiers journaux sendmail
dans le r&eacute;pertoire /var/spool/mqueue.
/var/tmp/sendmail.st
Rassemble les statistiques relatives au trafic du courrier.
Ce fichier a une taille fixe. Utilisez la commande
/usr/sbin/mailstats pour afficher son contenu.
Supprimez-le si vous ne voulez pas recueillir ce type
d’informations.
/var/spool/mqueue
D&eacute;signe le r&eacute;pertoire contenant les fichiers temporaires
associ&eacute;s &agrave; chaque message en file d’attente. Ce
r&eacute;pertoire peut contenir le fichier journal.
/var/spool/cron/crontabs
D&eacute;signe le r&eacute;pertoire contenant les fichiers lus par le
d&eacute;mon cron pour d&eacute;terminer le travail &agrave; ex&eacute;cuter. Le
fichier root comporte une ligne d’ex&eacute;cution du script shell
smdemon.cleanu.
Liste des commandes IMAP et POP
3-20
/usr/sbin/imapd
Process serveur IMAP (Internet Message Access
Protocol).
/usr/sbin/pop3d
Process serveur POP3 (Post Office Protocol version 3.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 4. Protocole TCP/IP
Ce chapitre d&eacute;crit la suite de logiciels r&eacute;seau TCP/IP (Transmission Control
Protocol/Internet Protocol). TCP/IP est un protocole normalis&eacute; souple et puissant,
permettant de connecter plusieurs ordinateurs &agrave; d’autres machines.
Ce chapitre traite des points suivants :
• Pr&eacute;paration du r&eacute;seau TCP/IP, page 4-2
• Installation et configuration de TCP/IP, page 4-3
• Protocoles TCP/IP, page 4-6
• Cartes r&eacute;seau LAN TCP/IP, page 4-36
• Interfaces r&eacute;seau TCP/IP, page 4-49
• Adressage TCP/IP, page 4-57
• R&eacute;solution de noms sous TCP/IP page 4-63
• Affectation des adresses et param&egrave;tres TCP/IP – Protocole DHCP page 4-93
• D&eacute;mon DHCP avec structure PXED (Preboot Execution Environment Proxy) page 4-130
• Service BINLD (Boot Image Negotiation Layer Daemon) on page 4-147
• D&eacute;mons TCP/IP page 4-161
• Routage TCP/IP page 4-168
• Mobile IPv6 page 4-180
• Adresse IP virtuelle (VIPA) page 4-183
• Agr&eacute;gation de liaison EtherChannel et IEEE 802.3ad page 4-186
• D&eacute;tection MTU de chemin page 4-199
• SLIP (Serial Line Interface Protocol) page 4-200
• Sous–syst&egrave;me de protocole asynchrone point &agrave; point (PPP) page 4-205
• Qualit&eacute; de Service (QoS) TCP/IP page 4-210
• D&eacute;termination des incidents TCP/IP page 4-225
• R&eacute;f&eacute;rence TCP/IP page 4-236
Remarque :
La plupart des t&acirc;ches abord&eacute;es dans ce chapitre n&eacute;cessitent les droits
d’utilisateur racine.
Protocole TCP/IP
4-1
Pr&eacute;paration du r&eacute;seau TCP/IP
TCP/IP &eacute;tant un protocole r&eacute;seau tr&egrave;s souple, vous pouvez le personnaliser et l’adapter aux
besoins sp&eacute;cifiques de votre organisation. Les principaux points &agrave; prendre en compte pour
pr&eacute;parer votre r&eacute;seau sont les suivants. Chaque point fait l’objet d’un &eacute;tude d&eacute;taill&eacute;e dans la
suite de ce manuel. Cette liste vous permettra simplement d’&eacute;valuer la port&eacute;e des actions
possibles.
1. Choisissez le type de mat&eacute;riel r&eacute;seau que vous souhaitez utiliser : anneau &agrave; jeton
(token–ring), Ethernet Version 2, IEEE 802.3, interface FDDI (Fiber Distributed Data
Interface), canal optique s&eacute;rie (Serial Optical Channel, SOC) ou protocole SLIP (Serial
Line Interface Protocol).
2. Tracez l’implantation physique du r&eacute;seau.
R&eacute;fl&eacute;chissez aux fonctions que devra assurer chaque machine h&ocirc;te. Par exemple, vous
devez choisir &agrave; ce stade les machines qui serviront de passerelles avant de passer au
c&acirc;blage du r&eacute;seau.
3. Optez selon vos besoins pour un r&eacute;seau plat ou une structure de r&eacute;seau hi&eacute;rarchis&eacute;e.
Si votre r&eacute;seau est de petite taille, concentr&eacute; sur un seul site, et ne comprend qu’un
r&eacute;seau physique, un r&eacute;seau plat peut parfaitement convenir.Si votre r&eacute;seau est tr&egrave;s
&eacute;tendu, complexe, avec de nombreux sites ou plusieurs r&eacute;seaux physiques, il sera
peut–&ecirc;tre plus pratique d’opter pour un r&eacute;seau hi&eacute;rarchis&eacute;.
4. Si votre r&eacute;seau doit &ecirc;tre raccord&eacute; &agrave; d’autres r&eacute;seaux, vous devez r&eacute;fl&eacute;chir &agrave; l’installation
et &agrave; la configuration des passerelles qui seront n&eacute;cessaires. Les &eacute;l&eacute;ments &agrave; prendre en
compte sont :
a. choisir les machines qui serviront de passerelles ;
b. d&eacute;cider si vous utiliserez le routage statique ou le routage dynamique, &agrave; moins que
vous ne choisissiez une combinaison des deux. Si vous optez pour le routage
dynamique, choisissez les d&eacute;mons de routage que devra utiliser chaque passerelle,
en tenant compte des diff&eacute;rents types de protocoles de communication &agrave; prendre en
charge.
5. pr&eacute;parez un sch&eacute;ma d’adressage.
Si votre r&eacute;seau n’est pas destin&eacute; &agrave; faire partie d’un interr&eacute;seau plus &eacute;tendu, choisissez
le sch&eacute;ma d’adressage convenant le mieux &agrave; vos besoins. Si vous souhaitez int&eacute;grer
votre r&eacute;seau au sein d’un interr&eacute;seau plus &eacute;tendu tel qu’Internet, vous devrez vous
procurer un jeu officiel d’adresses aupr&egrave;s de votre fournisseur d’acc&egrave;s &agrave; Internet (FAI).
6. Voyez s’il convient d’envisager la division de votre syst&egrave;me en plusieurs sous–r&eacute;seaux.
Si oui, d&eacute;cidez du mode d’attribution des masques de sous–r&eacute;seau.
7. Choisissez des conventions de noms. Chaque machine du r&eacute;seau doit poss&eacute;der un nom
d’h&ocirc;te unique.
8. D&eacute;cidez si votre r&eacute;seau requiert un serveur de noms pour la r&eacute;solution des noms ou si le
recours au fichier /etc/hosts est suffisant.
Si vous d&eacute;cidez d’utiliser des serveurs de noms, choisissez le type de serveur
n&eacute;cessaire et combien de serveurs de noms vous devez pr&eacute;voir pour &ecirc;tre efficace.
9. D&eacute;cidez des types de services que le r&eacute;seau doit, selon vous, proposer aux utilisateurs
distants : services de messagerie, d’impression, partage de fichiers, connexion &agrave;
distance, ex&eacute;cution de commandes &agrave; distance, etc.
4-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Installation et configuration pour TCP/IP
Pour plus d’informations sur l’installation de TCP/IP, reportez–vous au manuel AIX 5L
Version 5.2 Installation Guide and Reference.
Configuration de TCP/IP
Une fois TCP/IP install&eacute;, la configuration du syst&egrave;me peut &ecirc;tre effectu&eacute;e.
Pour configurer TCP/IP, vous pouvez :
• utiliser l’application Web-based System Manager Network (raccourci wsm network),
• utiliser SMIT (System Management Interface System),
• &eacute;diter un format de fichier,
• lancer une commande &agrave; partir de l’invite du shell.
Par exemple, le script shell rc.net effectue la configuration minimale du syst&egrave;me h&ocirc;te pour
TCP/IP au d&eacute;marrage du syst&egrave;me (ce script est lanc&eacute; &agrave; la seconde phase de l’amor&ccedil;age
par le gestionnaire de configuration). Si vous utilisez SMIT ou Web-based System Manager
pour configurer le syst&egrave;me h&ocirc;te, le fichier rc.net est automatiquement configur&eacute;.
Vous pouvez &eacute;galement reconfigurer le fichier /etc/rc.bsdnet &agrave; l’aide d’un &eacute;diteur standard
et ainsi utiliser les commandes traditionnelles de configuration de TCP/IP sous UNIX, telles
que ifconfig, hostname et route. Pour en savoir plus, reportez-vous &agrave; ”Liste des
commandes TCP/IP”. Si vous utilisez cette m&eacute;thode, entrez le raccourci smit configtcp,
puis s&eacute;lectionnez une configuration rc de type BSD.
Certaines t&acirc;ches, telles que la configuration d’un serveur de noms, ne peuvent &ecirc;tre
accomplies via SMIT ou via Web-based System Manager.
Configuration des syst&egrave;mes h&ocirc;te
Chaque syst&egrave;me h&ocirc;te du r&eacute;seau doit &ecirc;tre adapt&eacute; aux besoins des utilisateurs et aux
contraintes du r&eacute;seau. Pour chaque h&ocirc;te, vous devez configurer l’interface de r&eacute;seau,
d&eacute;finir l’adresse Internet, le nom d’h&ocirc;te et les routes statiques vers les passerelles ou les
autres syst&egrave;mes h&ocirc;te. Il faut &eacute;galement sp&eacute;cifier les d&eacute;mons &agrave; lancer par d&eacute;faut et
configurer le fichier /etc/hosts pour la r&eacute;solution des noms (ou configurer l’h&ocirc;te de telle
sorte qu’il utilise le serveur de noms).
Configuration des h&ocirc;tes en tant que serveurs
Si la machine h&ocirc;te joue un r&ocirc;le sp&eacute;cifique (passerelle, serveur de fichiers ou serveur de
noms), la configuration de base doit &ecirc;tre compl&eacute;t&eacute;e.
Par exemple, si le r&eacute;seau est organis&eacute; hi&eacute;rarchiquement et que vous utilisez le protocole
DOMAIN pour la r&eacute;solution des noms dans les adresses Internet, vous devez configurer au
moins un serveur de noms.
N’oubliez pas qu’un h&ocirc;te serveur n’a pas besoin d’&ecirc;tre une machine d&eacute;di&eacute;e : elle peut
&eacute;galement servir &agrave; d’autres fonctions. Par exemple, si la fonction de serveur de noms est
relativement limit&eacute;e, la machine peut &eacute;galement &ecirc;tre utilis&eacute;e comme station de travail ou
serveur de fichiers sur le r&eacute;seau.
Remarque : Si NIS ou NIS+ est install&eacute; sur votre syst&egrave;me, ces services peuvent
&eacute;galement vous aider &agrave; la r&eacute;solution des noms. Pour plus d’informations, reportez–vous
&agrave; NIS/NIS+ (Network Information Services) AIX 5L Version 5.2 Guide.
Configuration des passerelles
Si vous envisagez de connecter votre r&eacute;seau &agrave; d’autres r&eacute;seaux, il vous faut configurer au
moins une machine h&ocirc;te passerelle. Pour cela, vous devez d&eacute;terminer les protocoles de
communication n&eacute;cessaires et les d&eacute;mons de routage (routed ou gated) correspondants.
Protocole TCP/IP
4-3
Commandes de gestion syst&egrave;me TCP/IP
Voici la liste des commandes utiles pour configurer et g&eacute;rer le r&eacute;seau TCP/IP :
arp
Affichage/modification des tables de traduction d’adresse Internet en
adresse mat&eacute;rielle, utilis&eacute;es par ARP (Address Resolution Protocol).
finger
Retour d’informations concernant les utilisateurs sur un h&ocirc;te
sp&eacute;cifique.
host
Affichage de l’adresse Internet d’un h&ocirc;te sp&eacute;cifique ou d’un nom
d’h&ocirc;te figurant dans une adresse Internet sp&eacute;cifique.
hostname
Affichage ou d&eacute;finition du nom et de l’adresse Internet d’un syst&egrave;me
h&ocirc;te local.
ifconfig
Configuration des interfaces de r&eacute;seau.
netstat
Affichage des adresses locales et distantes, des tables de routage,
des donn&eacute;es statistiques sur le mat&eacute;riel et du compte rendu des
paquets transf&eacute;r&eacute;s.
no
Affichage ou d&eacute;finition des options courantes du noyau de r&eacute;seau.
ping
D&eacute;termination de l’accessibilit&eacute; d’un syst&egrave;me h&ocirc;te.
route
Manipulation des tables de routage.
ruptime
Affichage des informations d’&eacute;tat sur les h&ocirc;tes connect&eacute;s aux
r&eacute;seaux physiques locaux et ex&eacute;cutant le serveur rwhod.
rwho
Affichage des informations d’&eacute;tat sur les utilisateurs des h&ocirc;tes
connect&eacute;s aux r&eacute;seaux physiques locaux et ex&eacute;cutant le
serveur rwhod.
setclock
Calage de l’heure et de la date de l’h&ocirc;te local sur celles du service
horaire du r&eacute;seau.
timedc
Informations sur le d&eacute;mon timed.
trpt
Compte rendu de suivi du protocole sur les prises TCP.
whois
Service du r&eacute;pertoire de noms Internet.
Configuration d’une liste de contr&ocirc;le du r&eacute;seau TCP/IP
Utilisez la proc&eacute;dure suivante comme guide de configuration de votre r&eacute;seau. Prenez le
temps n&eacute;cessaire pour rassembler les informations et comprendre les instructions.
Une fois le r&eacute;seau install&eacute; et op&eacute;rationnel, cette liste de contr&ocirc;le vous servira &agrave; r&eacute;soudre
des incidents.
Pr&eacute;requis
1. Les mat&eacute;riels r&eacute;seau sont install&eacute;s et c&acirc;bl&eacute;s. Reportez–vous aux AIX 5L Version 5.2
Cartes r&eacute;seau LAN TCP/IP.
2. Le logiciel TCP/IP doit &ecirc;tre install&eacute; (voir le manuel AIX Installation Guide).
4-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Proc&eacute;dure
1. Consultez ”Protocoles TCP/IP”, page 4-6, pour la structure de base de TCP/IP. Vous
devez comprendre :
– la structure en couches de TCP/IP (diff&eacute;rents protocoles r&eacute;sidant sur diff&eacute;rentes
couches),
– le m&eacute;canisme de flux des donn&eacute;es &agrave; travers les couches.
2. Effectuez la configuration minimale de chaque machine h&ocirc;te du r&eacute;seau : ajout d’une
interface r&eacute;seau, affectation d’une adresse IP, attribution d’un nom d’h&ocirc;te &agrave; chaque
machine h&ocirc;te et d&eacute;finition d’une route par d&eacute;faut d’acc&egrave;s au r&eacute;seau. Consultez tout
d’abord les sections ”Interfaces de r&eacute;seau TCP/IP”, page 4-49 , ”Adressage TCP/IP”,
page 4-57 et ”D&eacute;finition des noms d’h&ocirc;te”, page 4-65.
3. Adressage TCP/IP page 4-57, et Choix des noms pour les h&ocirc;tes de votre r&eacute;seau
page 4-65.
Remarque : Chaque machine du r&eacute;seau doit subir cette configuration minimale, qu’il
s’agisse d’un h&ocirc;te utilisateur, d’un serveur de fichiers, d’une passerelle ou d’un serveur
de noms.
4. Configurez et lancez le d&eacute;mon inetd sur chaque machine h&ocirc;te du r&eacute;seau. Consultez la
section ”D&eacute;mons TCP/IP”, page 4-161 , et proc&eacute;dez comme indiqu&eacute; &agrave; ”Configuration du
d&eacute;mon inetd”, page 4-164 .
5. Configurez chaque machine h&ocirc;te pour effectuer la r&eacute;solution des noms en local ou
utiliser le serveur de noms. Si vous installez un syst&egrave;me hi&eacute;rarchique de type DOMAIN,
vous devez configurer au moins une machine h&ocirc;te en tant que serveur de noms.
Reportez-vous &agrave; ”R&eacute;solution de noms sous TCP/IP”, page 4-63 .
6. Si votre r&eacute;seau doit &ecirc;tre connect&eacute; &agrave; d’autres r&eacute;seaux distants, configurez au moins une
machine h&ocirc;te comme passerelle. Pour l’acheminement interr&eacute;seau, la passerelle peut
utiliser des routes statiques ou un d&eacute;mon de routage. Reportez-vous &agrave;
”Routage TCP/IP”, page 4-168 .
7. D&eacute;terminez pour chaque machine h&ocirc;te du r&eacute;seau, les services accessibles. Par d&eacute;faut,
ils le sont tous. Pour changer cette configuration, proc&eacute;dez comme indiqu&eacute; &agrave; ”Services
r&eacute;seau client”, page 4-165 .
8. D&eacute;signez, parmi les machines h&ocirc;tes, celles qui joueront le r&ocirc;le de serveurs et d&eacute;finissez
leurs services respectifs. Pour lancer les d&eacute;mons de serveur de votre choix,
reportez-vous &agrave; ”Services r&eacute;seau serveur”, page 4-166 .
9. Configurez les serveurs d’impression &agrave; distance n&eacute;cessaires. Pour en savoir plus,
reportez-vous aux g&eacute;n&eacute;ralit&eacute;s sur les imprimantes dans AIX Guide to Printers and
Printing.
10.Si vous le souhaitez, configurez une machine &agrave; utiliser comme serveur horaire ma&icirc;tre
pour le r&eacute;seau. Pour en savoir plus, reportez-vous au d&eacute;mon timed dans le manuel AIX
5L Version 5.2 Commands Reference.
Protocole TCP/IP
4-5
Protocoles TCP/IP
Cette section traite des points suivants :
• IP (Internet Protocol) Version 6 : G&eacute;n&eacute;ralit&eacute;s page 4-9
• Suivi de paquet, page 4-17
• En-t&ecirc;tes de paquets au niveau interface de r&eacute;seau, page 4-17
• Protocoles Internet de niveau r&eacute;seau, page 4-20
• Protocoles Internet de niveau transport, page 4-26
• Protocoles Internet de niveau application, page 4-30
• Nombres r&eacute;serv&eacute;s, page 4-35
Les protocoles sont des ensembles de r&egrave;gles de formats de message et de proc&eacute;dures qui
permettent aux machines et aux applications d’&eacute;changer des informations. Ces r&egrave;gles
doivent &ecirc;tre observ&eacute;es par chaque machine impliqu&eacute;e dans la communication pour que le
message puisse &ecirc;tre interpr&eacute;t&eacute; par le syst&egrave;me destinataire.
La suite de protocoles TCP/IP (voir figure) peut &ecirc;tre repr&eacute;sent&eacute;e en couches (ou niveaux).
Figure 3. Suite de protocoles TCP/IP Cette illustration repr&eacute;sente les couches du
protocole TCP/IP. Ce sont, &agrave; partir du haut : couche d’application, couche de transport,
couche r&eacute;seau, couche d’interface r&eacute;seau et mat&eacute;riel.
COUCHE
Application
Transport
PROTOCOLE
APPLICATION
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
TCP/IP d&eacute;finit pr&eacute;cis&eacute;ment l’acheminement de l’information de l’&eacute;metteur au destinataire.
Les messages ou trains de donn&eacute;es sont envoy&eacute;s par les programmes d’application &agrave; l’un
des deux protocoles Internet de niveau transport : UDP (User Datagram Protocol) ou TCP
(Transmission Control Protocol). A la r&eacute;ception des donn&eacute;es, ces protocoles les divisent en
paquets, y ajoutent une adresse de destination et les transmettent &agrave; la couche de protocole
suivante, la couche R&eacute;seau Internet.
La couche R&eacute;seau Internet encapsule le paquet dans un datagramme IP (Internet Protocol),
ins&egrave;re les donn&eacute;es d’en-t&ecirc;te et de fin, d&eacute;cide de la destination du datagramme (directement
&agrave; destination ou via une passerelle) et transmet le datagramme &agrave; la couche Interface
r&eacute;seau.
La couche Interface r&eacute;seau r&eacute;ceptionne les datagrammes IP et les transmet sous forme de
trames &agrave; travers un r&eacute;seau sp&eacute;cifique, tel que Ethernet ou anneau &agrave; jeton (voir figure).
4-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Figure 4. Mouvement des informations de l’application &eacute;mettrice vers l’h&ocirc;te
r&eacute;cepteur Cette illustration repr&eacute;sente le flux d’informations descendant dans les couches
de protocole TCP/IP de l’&eacute;metteur vers l’h&ocirc;te.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole
de transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Les trames re&ccedil;ues par une machine h&ocirc;te sont r&eacute;exp&eacute;di&eacute;es &agrave; travers les couches de
protocoles dans le sens inverse. Chaque couche supprime l’information d’en-t&ecirc;te
correspondante jusqu’&agrave; ce que les donn&eacute;es atteignent de nouveau la couche Application
(reportez–vous &agrave; la figure). Les trames arrivent dans la couche Interface r&eacute;seau (dans le
cas pr&eacute;sent, une carte Ethernet). L’en–t&ecirc;te Ethernet est supprim&eacute; et le datagramme
renvoy&eacute; vers la couche R&eacute;seau. Dans la couche R&eacute;seau, le protocole Internet supprime
l’en-t&ecirc;te IP et envoie &agrave; son tour le paquet vers la couche Transport. A ce niveau, l’en-t&ecirc;te
TCP est supprim&eacute; par le protocole TCP et les donn&eacute;es sont envoy&eacute;es vers la couche
Application.
Protocole TCP/IP
4-7
Figure 5. Mouvement des informations de l’h&ocirc;te vers l’application Cette illustration
repr&eacute;sente le flux d’informations remontant les couches de protocole TCP/IP de l’h&ocirc;te vers
l’&eacute;metteur.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole
de transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Les machines h&ocirc;tes envoient et re&ccedil;oivent des informations simultan&eacute;ment. En ce sens, la
figure Transmission et r&eacute;ception des donn&eacute;es h&ocirc;tes repr&eacute;sente avec plus d’exactitude le
mode de communication de l’h&ocirc;te.
4-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les h&ocirc;tes d’un r&eacute;seau envoient et re&ccedil;oivent les informations simultan&eacute;ment. La Figure 6
repr&eacute;sente avec davantage de pr&eacute;cision un h&ocirc;te en cours de communication.
Figure 6. Transmissions et r&eacute;ceptions des donn&eacute;es h&ocirc;te Cette illustration repr&eacute;sente
les flux de donn&eacute;es dans les deux sens dans les couches TCP/IP.
COUCHE APPLICATION
Donn&eacute;es
Message ou flot (stream)
COUCHE TRANSPORT
En-t&ecirc;te TCP
Donn&eacute;es
Paquet du protocole de
transport
COUCHE RESEAU
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Paquet de la couche r&eacute;seau
COUCHE INTERFACE DE L’APPLICATION
En-t&ecirc;te Ethernet
En-t&ecirc;te IP
En-t&ecirc;te TCP
Donn&eacute;es
Trame Ethernet
RESEAU PHYSIQUE
Remarque : Les en–t&ecirc;tes sont ajout&eacute;s et supprim&eacute;s dans
chaque couche de protocole au fur et &agrave; mesure
que les donn&eacute;es sont transmises et re&ccedil;ues par l’h&ocirc;te.
IP version 6 - G&eacute;n&eacute;ralit&eacute;s
IP (Internet Protocol) version 6 (IPv6 ou IP ng) est la prochaine g&eacute;n&eacute;ration IP, con&ccedil;ue
comme une &eacute;volution d’IP version 4 (IPv4). Si IPv4 a permis le d&eacute;veloppement d’un Internet
global, il n’est cependant pas capable de progresser davantage &agrave; cause de deux facteurs
fondamentaux : espace d’adressage limit&eacute; et complexit&eacute; du routage. Les adresses 32 bits
IPv4 ne fournissent pas suffisamment de flexibilit&eacute; pour le routage global Internet. Le
d&eacute;ploiement de CIDR (Classless InterDomain Routing) a &eacute;tendu la dur&eacute;e de vie du routage
IPv4 d’un certain nombre d’ann&eacute;es, mais l’effort de gestion du routage continue toutefois &agrave;
augmenter. M&ecirc;me si le routage IPv4 pouvait &ecirc;tre augment&eacute;, Internet finirait par &ecirc;tre &agrave; court
de num&eacute;ros de r&eacute;seau.
L’IETF (Internet Engineering Task Force) ayant reconnu qu’IPv4 ne serait pas capable
d’assumer la croissance ph&eacute;nom&eacute;nale d’Internet, le groupe de travail IETF IP ng a &eacute;t&eacute;
form&eacute;. Parmi les propositions effectu&eacute;es, SIPP (Simple Internet Protocol Plus) a &eacute;t&eacute; choisi
comme &eacute;tape dans le d&eacute;veloppement d’IP. Il a &eacute;t&eacute; renomm&eacute; IP ng, et RFC1883 a &eacute;t&eacute;
finalis&eacute; en d&eacute;cembre 1995.
IPv6 &eacute;tend le nombre maximal d’adresses Internet de fa&ccedil;on &agrave; g&eacute;rer la croissance de la
population utilisatrice d’Internet. Par rapport &agrave; IPv4, IPv6 pr&eacute;sente l’avantage de permettre
la coexistence des nouveaut&eacute;s et des &eacute;l&eacute;ments existants. Ceci permet une migration
ordonn&eacute;e d’IPv4 (adressage 35 bits) &agrave; IPv6 (adressage 128 bits) sur un r&eacute;seau
op&eacute;rationnel.
Protocole TCP/IP
4-9
Cette pr&eacute;sentation est destin&eacute;e &agrave; donner au lecteur une compr&eacute;hension g&eacute;n&eacute;rale du
protocole IPng. Pour plus d’informations, veuillez vous reporter &agrave; RFC 2460, 2373, 2465,
1886, 2461, 2462 et 2553.
Routage et adressage &eacute;tendus
IPv6 augmente la taille de l’adresse IP de 32 bits &agrave; 128 bits, prenant ainsi en charge
davantage de niveaux dans la hi&eacute;rarchie d’adressage, un nombre beaucoup plus grand de
nœuds adressables et une configuration automatique plus simple des adresses.
Dans IPv6, il existe trois types d’adresses :
unicast
Un paquet envoy&eacute; &agrave; une adresse unicast est livr&eacute; &agrave;
l’interface identifi&eacute;e par cette adresse. Une adresse unicast
a une port&eacute;e particuli&egrave;re : local–liaison, local–site, global. Il
existe &eacute;galement deux adresses unicast sp&eacute;ciales :
•
::/128 (adresse non sp&eacute;cifi&eacute;e)
•
::1/128 (adresse en boucle)
multicast
Un paquet envoy&eacute; &agrave; une adresse multicast est livr&eacute; &agrave;
l’interface identifi&eacute;e par cette adresse. Une adresse
multicast est identifi&eacute;e par le pr&eacute;fixe ff::/8. Les adresses
multicast ont une port&eacute;e semblable &agrave; celle des adresses
unicast : local–nœud, local–liaison, local–site et
local–organisation.
anycast
Une adresse anycast a un seul exp&eacute;diteur, plusieurs
auditeurs et un seul interlocuteur (normalement le ”plus
proche”, conform&eacute;ment &agrave; la mesure de distance des
protocoles de routage). Par exemple, il peut y avoir
plusieurs serveurs Web &agrave; l’&eacute;coute d’une adresse anycast.
Lorsqu’une requ&ecirc;te est envoy&eacute;e &agrave; cette adresse, un seul
serveur r&eacute;pond.
Une adresse anycast ne se distingue pas d’une adresse
unicast. Une adresse unicast devient une adresse anycast
lorsque plus d’une interface est configur&eacute;e avec cette
adresse.
Remarque :
Il n’existe pas d’adresse de diffusion dans IPv6. Cette fonction est
remplac&eacute;e par l’adresse multicast.
Configuration automatique
Les principaux m&eacute;canismes disponibles, permettant &agrave; un nœud de s’initialiser et de
commencer &agrave; communiquer avec d’autres nœuds sur un r&eacute;seau IPv4 sont le codage
”hard–coding”, BOOTP et DHCP.
IPv6 introduit le concept de port&eacute;e aux adresses IP, dont l’une est local–liaison. Ceci permet
&agrave; un h&ocirc;te &agrave; cr&eacute;er une adresse valide &agrave; partir du pr&eacute;fixe local–liaison pr&eacute;d&eacute;fini et son
identificateur local. Cet identificateur local est en g&eacute;n&eacute;ral extrait de l’adresse MAC (medium
access control) de l’interface &agrave; configurer. A l’aide de cette adresse, le nœud peut
communiquer avec les autres h&ocirc;tes sur le m&ecirc;me sous–r&eacute;seau et, pour un sous–r&eacute;seau
enti&egrave;rement isol&eacute;, peut ne pas avoir besoin d’une autre configuration d’adresse.
Adresses significatives
Avec IPv4, la seule signification g&eacute;n&eacute;ralement identifiable dans les adresses est la diffusion
(en g&eacute;n&eacute;ral tout 1 ou tout 0), et les classes (par exemple, une classe D est multicast). Avec
IPv6, il est possible d’examiner rapidement le pr&eacute;fixe pour d&eacute;terminer la port&eacute;e
(par exemple, local-liaison), multicast ou unicast, et un m&eacute;canisme d’affectation (bas&eacute; sur le
fournisseur, sur l’implantation g&eacute;ographique, etc.).
4-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les informations de routage peuvent &eacute;galement &ecirc;tre charg&eacute;es explicitement dans les bits
sup&eacute;rieurs des adresses, bien que l’IETF n’ait pas encore finalis&eacute; ce point (pour les
adresses bas&eacute;es sur le fournisseur, les informations de routage sont implicitement
pr&eacute;sentes dans l’adresse).
D&eacute;tection d’adresse en double
Lorsqu’une interface est initialis&eacute;e, ou r&eacute;initialis&eacute;e, elle se sert de la configuration
automatique pour essayer d’associer une adresse de type local-liaison &agrave; cette interface
(l’adresse n’est pas encore affect&eacute;e &agrave; cette interface dans le sens traditionnel). A ce stade,
l’interface rejoint les groupes multicast tous nœuds et nœuds sollicit&eacute;s, et leur envoie un
message de d&eacute;couverte de voisinage. Avec l’adresse multicast, le noeud peut d&eacute;terminer si
cette adresse local-liaison particuli&egrave;re a &eacute;t&eacute; pr&eacute;alablement affect&eacute;e, puis choisir une autre
adresse. Ceci &eacute;vite une des erreurs communes de gestion de r&eacute;seau, c’est-&agrave;-dire
l’affectation de la m&ecirc;me adresse &agrave; deux interfaces diff&eacute;rentes sur le m&ecirc;me lien.
(Il est encore possible de cr&eacute;er des adresses en double de port&eacute;e globale pour les nœuds
ne se trouvant pas sur le m&ecirc;me lien.)
Configuration automatique de d&eacute;couverte voisinage/adresse sans &eacute;tat
Le protocole NDP (Neighbor Discovery Protocol) pour IPv6 est utilis&eacute; par des nœuds
(h&ocirc;tes et routeurs) pour d&eacute;terminer les adresses de couche liaison pour les voisins connus
sur des liens rattach&eacute;s, et maintient les tables de routage par destination pour les
connexions actives. Les h&ocirc;tes utilisent &eacute;galement NDP pour d&eacute;couvrir des routeurs de
voisinage d&eacute;sireux d’acheminer des paquets pour leur compte et d&eacute;tectent les adresses de
couche liaison modifi&eacute;es. NDP (Neighbor Discovery Protocol) utilise ICMP (Internet Control
Message Protocol) version 6 avec ses propres types de messages uniques. D’une fa&ccedil;on
g&eacute;n&eacute;rale, le protocole NDP IPv6 correspond &agrave; la combinaison du protocole ARP IPv4,
RDISC (ICMP Router Discovery) et ICMP Redirect (ICMPv4), avec beaucoup
d’am&eacute;liorations.
IPv6 d&eacute;finit le m&eacute;canisme de configuration automatique d’une adresse avec et sans &eacute;tat. La
configuration automatique sans &eacute;tat n’exige pas de configuration manuelle des h&ocirc;tes, une
configuration, &eacute;ventuelle, minimale des routeurs; et pas de serveur suppl&eacute;mentaire. Le
m&eacute;canisme sans &eacute;tat permet &agrave; un h&ocirc;te de g&eacute;n&eacute;rer ses propres adresses &agrave; l’aide d’une
combinaison d’informations disponibles localement et pr&eacute;sent&eacute;es par les routeurs. Les
routeurs annoncent les pr&eacute;fixes qui identifient le(s) sous–r&eacute;seau(x) associ&eacute;s &agrave; un lien,
tandis que les h&ocirc;tes g&eacute;n&egrave;rent un jeton d’interface qui identifie de fa&ccedil;on unique une interface
sur un sous–r&eacute;seau. Une adresse est form&eacute;e par la combinaison des deux &eacute;l&eacute;ments.
En l’absence de routeurs, un h&ocirc;te ne peut g&eacute;n&eacute;rer que des adresses de type local-liaison.
Ces adresses sont toutefois suffisantes pour la communication entre nœuds rattach&eacute;s au
m&ecirc;me lien.
Simplification de routage
Pour simplifier les probl&egrave;mes de routage, les adresses IPv6 sont d&eacute;compos&eacute;es en deux
parties : un pr&eacute;fixe et un ID. La diff&eacute;rence avec le d&eacute;coupage des adresses IPv4 n’est pas
tr&egrave;s sensible, mais pr&eacute;sente deux avantages :
absence de classe
Il n’y a pas de nombre fixe de bits pour le pr&eacute;fixe ou l’ID, ce
qui permet de r&eacute;duire les pertes dues &agrave; une suraffectation.
imbrication
Il est possible d’utiliser un nombre arbitraire de divisions si
l’on consid&egrave;re diff&eacute;rents nombres de bits comme pr&eacute;fixe.
Protocole TCP/IP
4-11
Cas 1 :
_________________________________________________________________
|
|
|
128 bits
|
|
|
|_______________________________________________________________|
|
|
|
Adresse de nœud
|
|
|
|_______________________________________________________________|
Cas 2 :
__________________________________________________________________|
|
|
|
|
n bits
|
128– n bits
|
|
|
|
|____________________________________________|____________________|
|
|
|
|
Pr&eacute;fixe sous–r&eacute;seau
|
ID interface
|
|
|
|
|____________________________________________|____________________|
Cas 3 :
__________________________________________________________________|
|
|
|
|
|
n bits
|
80– n bits
|
48 bits
|
|
|
|
|
|_________________________|___________________|___________________|
|
|
|
|
|
Pr&eacute;fixe abonn&eacute;
| ID sous–r&eacute;seau
|
ID interface
|
|
|
|
|
|_________________________|___________________|___________________|
Cas 4 :
__________________________________________________________________|
|
|
|
|
|
|
s bits
|
n bits
|
m bits | 128–s–n–m bits |
|
|
|
|
|
|__________________|________________|____________|________________|
|
|
|
|
|
| Pr&eacute;fixe abonn&eacute;
| ID zone
| ID sous–
| ID interface
|
|
|
|
r&eacute;seau
|
|
|__________________|________________|____________|________________|
En g&eacute;n&eacute;ral, IPv4 ne peut aller au del&agrave; du cas 3, m&ecirc;me avec VLSM (Variable Length Subnet
Mask, masque de sous–r&eacute;seau de longueur variable). (VLSM est un moyen d’allouer des
ressources d’adresses IP &agrave; des sous–r&eacute;seaux selon leurs besoins plut&ocirc;t qu’en respectant
des r&egrave;gles g&eacute;n&eacute;rales &agrave; l’&eacute;chelle du r&eacute;seau). Il s’agit autant d’un artefact de la longueur
d’adresse la plus courte que de la d&eacute;finition des pr&eacute;fixes de longueur variable, mais cela
m&eacute;rite cependant d’&ecirc;tre not&eacute;.
4-12
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Simplification du format d’en-t&ecirc;te
IPv6 simplifie l’en-t&ecirc;te IP, soit par suppression compl&egrave;te soit par d&eacute;placement sur un en-t&ecirc;te
d’extension de certains champs trouv&eacute;s dans l’en-t&ecirc;te IPV4, et il d&eacute;finit un format plus
souple pour les informations facultatives (en-t&ecirc;tes d’extension). Sp&eacute;cifiquement, notez
l’absence de :
• longueur d’en-t&ecirc;te (la longueur est constante)
• identification
• indicateurs
• d&eacute;calage de fragment (d&eacute;plac&eacute; dans les en-t&ecirc;tes d’extension de fragmentation)
• total de contr&ocirc;le d’en-t&ecirc;te (l’en-t&ecirc;te de protocole de couche sup&eacute;rieure ou d’extension de
s&eacute;curit&eacute; g&egrave;re l’int&eacute;grit&eacute; des donn&eacute;es)
Tableau 1. En–t&ecirc;te IPv4 :
IHL
Version
Type de service
Identification
Dur&eacute;e de vie
Longueur totale
Identifica
teurs
Protocole
D&eacute;calage
fragment
(Offset)
Total de contr&ocirc;le
d’en–t&ecirc;te (checksum)
Adresse source
Adresse de destination
Options
Remplissage
Tableau 3–2. En–t&ecirc;te Ipv6 :
Prio
Version
Longueur bloc
Libell&eacute; du flux
En–t&ecirc;te suivant
Limite de
tron&ccedil;on
Adresse source
Adresse de destination
IP ng inclut un m&eacute;canisme d’options am&eacute;lior&eacute; par rapport &agrave; IPv4. Les options IPv6 sont
plac&eacute;es dans des en-t&ecirc;tes d’extension s&eacute;par&eacute;s qui r&eacute;sident entre l’en-t&ecirc;te IPv6 et l’en-t&ecirc;te
de couche transport dans un paquet. La plupart des en-t&ecirc;tes d’extension ne sont pas
examin&eacute;s ou trait&eacute;s par un routeur le long du chemin de livraison de paquets.
Ce m&eacute;canisme apporte une grande am&eacute;lioration aux performance du routeur pour les
paquets contenant des options. Dans IPv4, la pr&eacute;sence d’options requiert l’examen de
toutes les options par le routeur.
Une autre am&eacute;lioration provient du fait que, contrairement aux options IPv4, les en-t&ecirc;tes
d’extension IPv6 peuvent &ecirc;tre d’une longueur arbitraire et le nombre total d’options
transmises dans un paquet n’est pas limit&eacute; &agrave; 40 octets. Cette fonction, ainsi que la fa&ccedil;on
dont elle est trait&eacute;e, permet aux options IPv6 d’&ecirc;tre utilis&eacute;es pour les fonctions qui n’&eacute;taient
pas pratiques dans IPv4, comme les options d’authentification et d’encapsulage de
s&eacute;curit&eacute; IPv6.
Pour am&eacute;liorer les performances de gestion des en-t&ecirc;tes d’option suivants et du protocole
de transport qui suit, les options IPv6 sont toujours un multiple entier de huit octets, pour
conserver cet alignement pour les en–t&ecirc;tes suivants.
En utilisant des en-t&ecirc;tes d’extension au lieu d’un sp&eacute;cificateur de protocole et de champs
d’options, l’int&eacute;gration des extensions nouvellement d&eacute;finies est plus facile.
Les sp&eacute;cifications actuelles d&eacute;finissent les en-t&ecirc;tes d’extension comme suit :
• Options bond par bond s’appliquant &agrave; chaque bond (routeur) sur le chemin
Protocole TCP/IP
4-13
• En-t&ecirc;te de routage pour un routage de source strict ou non (rarement utilis&eacute;)
• Un fragment d&eacute;finit le paquet comme un fragment et contient des informations &agrave; ce sujet
(les routeur Ipv6 ne fragmentent pas les paquets)
• Authentification (reportez–vous &agrave; S&eacute;curit&eacute; IP dans AIX 5L Version 5.2 Security Guide
• Chiffrement (reportez–vous &agrave; S&eacute;curit&eacute; IP dans AIX 5L Version 5.2 Security Guide
• Options de destination pour le nœud de destination (ignor&eacute; par les routeurs)
Am&eacute;lioration du contr&ocirc;le trafic/qualit&eacute; du service
La qualit&eacute; du service peut &ecirc;tre contr&ocirc;l&eacute;e &agrave; l’aide d’un protocole de contr&ocirc;le comme RSVP,
et IPv6 fournit une d&eacute;finition de priorit&eacute; explicite pour les paquets en utilisant le champ de
priorit&eacute; dans l’en-t&ecirc;te IP. Un nœud peut d&eacute;finir cette valeur pour indiquer la priorit&eacute; relative
d’un paquet ou d’un ensemble de paquets, pouvant &ecirc;tre alors utilis&eacute;s par le nœud, un ou
plusieurs routeurs, ou la destination pour indiquer que faire du paquet (l’abandonner ou
non).
IPv6 sp&eacute;cifie deux types de priorit&eacute;s, une pour le trafic contr&ocirc;le en cas de congestion, et
une pour le trafic non contr&ocirc;l&eacute; en cas de congestion. Il n’y a aucun ordre relatif entre ces
deux types.
Le trafic contr&ocirc;le en cas de congestion est un trafic r&eacute;pondant aux embouteillages par un
algorithme de limitation. Dans ce cas, les priorit&eacute;s sont :
0
trafic non caract&eacute;ris&eacute;
1
trafic ”de remplissage” (par exemple, informations sur le r&eacute;seau)
2
transfert de donn&eacute;es non assist&eacute; (par exemple, messagerie automatique)
3
(r&eacute;serv&eacute;)
4
transfert de lot assist&eacute; (par exemple, FTP)
5
(r&eacute;serv&eacute;)
6
trafic interactif (par exemple, Telnet)
7
trafic de contr&ocirc;le (par exemple, protocoles de routage)
Le trafic non contr&ocirc;l&eacute; en cas de congestion est un trafic r&eacute;pondant &agrave; des situations
d’embouteillage par l’abandon (ou simplement la non r&eacute;exp&eacute;dition) des paquets, par
exemple le trafic vid&eacute;o, audio ou autre trafic en temps r&eacute;el. Les niveaux explicites ne sont
pas d&eacute;finis avec des exemples, mais l’ordre est semblable &agrave; celui utilis&eacute; pour le trafic
contr&ocirc;l&eacute; en cas de congestion.
• La valeur la plus basse que la source cherche le plus &agrave; rejeter doit &ecirc;tre utilis&eacute;e pour le
trafic.
• La valeur la plus haute que la source cherche le moins &agrave; rejeter doit &ecirc;tre utilis&eacute;e pour le
trafic.
Ce contr&ocirc;le de priorit&eacute; ne s’applique qu’au trafic provenant d’une adresse source
particuli&egrave;re. Le contr&ocirc;le de trafic &agrave; partir d’une adresse ne constitue pas une priorit&eacute;
explicitement sup&eacute;rieure &agrave; un transfert de lot assist&eacute; &agrave; partir d’une autre adresse.
Libell&eacute; du flux
En-dehors de la d&eacute;finition de priorit&eacute; de base pour le trafic, IPv6 d&eacute;finit un m&eacute;canisme de
sp&eacute;cification d’un flux particulier de paquets. En termes IPv6, un flux est une suite de
paquets envoy&eacute;s &agrave; partir d’une source sp&eacute;cifique vers une destination sp&eacute;cifique (unicast
ou multicast), pour laquelle la source recherche un traitement sp&eacute;cial par les routeurs
intervenants.
Cette identification de flux peut servir pour le contr&ocirc;le de priorit&eacute;, mais peut &eacute;galement &ecirc;tre
utilis&eacute;e pour un certain nombre de contr&ocirc;les.
4-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Le libell&eacute; de flux est choisi de fa&ccedil;on al&eacute;atoire, et ne doit pas &ecirc;tre utilis&eacute; pour identifier une
caract&eacute;ristique du trafic diff&eacute;rente du flux correspondant. Un routeur ne peut donc pas
d&eacute;terminer qu’un paquet est d’un type particulier (par exemple, FTP) par le seul examen du
libell&eacute; de flux. Il pourra cependant d&eacute;terminer qu’il s’agit d’une partie de la m&ecirc;me suite de
paquets que le dernier paquet portant ce libell&eacute;.
Remarque :
Jusqu’&agrave; g&eacute;n&eacute;ralisation de l’utilisation d’IPv6, le libell&eacute; de flux est
principalement exp&eacute;rimental. Les utilisations et les contr&ocirc;les impliquant des
libell&eacute;s de flux n’ont pas encore &eacute;t&eacute; d&eacute;finis ni standardis&eacute;s.
Utilisation de tunnel
La cl&eacute; d’une transition IPv6 r&eacute;ussie est la compatibilit&eacute; avec la base install&eacute;e existante
d’h&ocirc;tes IPv4 et de routeurs. Le maintien de cette compatibilit&eacute; permet un passage en
douceur d’Internet sur IPv6.
Dans la plupart des cas, l’infrastructure de routage IPv6 &eacute;volue dans le temps. Pendant le
d&eacute;ploiement de l’infrastructure IPv6, l’infrastructure de routage IPv4 existante peut rester
fonctionnelle et peut servir &agrave; acheminer le trafic IPv6. L’utilisation de tunnels permet
d’utiliser une infrastructure de routage IPv4 existante pour acheminer le trafic IPv6.
Les h&ocirc;tes et routeurs IPv6/IPv4 peuvent utiliser des tunnels pour les datagrammes IPv6 sur
des zones de la topologie de routage IPv4 en les encapsulant dans des paquets IPv4.
Le tunnel peut &ecirc;tre utilis&eacute; d’une multitude de fa&ccedil;ons.
Routeur-routeur
Les routeurs IPv6/IPv4 interconnect&eacute;s par une
infrastructure IPv4 peuvent faire passer dans un tunnel les
reliant des paquets IPv6. Dans ce cas, le tunnel fractionne
un segment du chemin complet qu’emprunte le paquet
IPv6.
H&ocirc;te-routeur
Les h&ocirc;tes IPv6/IPv4 peuvent faire passer dans un tunnel
des paquets IPv6 vers un routeur interm&eacute;diaire IPv6/IPv4
accessible via une infrastructure IPv4. Ce type de tunnel
fractionne le premier segment du chemin complet du
paquet.
H&ocirc;te-h&ocirc;te
Les h&ocirc;tes IPv6/IPv4 interconnect&eacute;s par une infrastructure
IPv4 peuvent faire passer des paquets IPv6 dans un tunnel
les reliant. Dans ce cas, le tunnel fractionne tout le chemin
qu’emprunte le paquet.
Routeur-h&ocirc;te
Les routeurs IPv6/IPv4 peuvent faire passer dans un tunnel
des paquets IPv6 jusqu’&agrave; leur h&ocirc;te final IPv6/IPv4. Dans ce
cas, le tunnel ne fractionne que le dernier segment du
chemin complet.
Les techniques de tunnel sont g&eacute;n&eacute;ralement class&eacute;es en fonction du m&eacute;canisme par lequel
le nœud d’encapsulage d&eacute;termine l’adresse du nœud en fin de tunnel. Dans les m&eacute;thodes
routeur-routeur ou h&ocirc;te-routeur, le paquet IPv6 est achemin&eacute; par tunnel vers un routeur.
Dans les m&eacute;thodes h&ocirc;te-h&ocirc;te ou routeur-h&ocirc;te, le paquet IPv6 passe dans un tunnel tout le
long jusqu’&agrave; sa destination.
Le noeud d’entr&eacute;e du tunnel (noeud d’encapsulage) cr&eacute;e un en-t&ecirc;te IPv4 d’encapsulage et
transmet le paquet encapsul&eacute;. Le noeud de sortie du tunnel (noeud de d&eacute;capsulage) re&ccedil;oit
le paquet encapsul&eacute;, supprime l’en-t&ecirc;te IPv4, met &agrave; jour l’en-t&ecirc;te IPv6 et traite le paquet
IPv6 re&ccedil;u. Toutefois, le nœud d’encapsulage doit mettre &agrave; jour les informations sur l’&eacute;tat du
logiciel pour chaque tunnel, par exemple MTU pour chaque tunnel, pour traiter les
paquets IPv6 achemin&eacute;s dans le tunnel.
S&eacute;curit&eacute; IPv6
Pour plus d’informations sur la s&eacute;curit&eacute; IP, versions 4 et 6, reportez–vous &agrave; S&eacute;curit&eacute; IP dans
AIX 5L Version 5.2 Security Guide.
Protocole TCP/IP
4-15
Support IPv6 des adresses locales du site et des liens Multihomed
Plusieurs interfaces peuvent &ecirc;tre d&eacute;finies pour un h&ocirc;te. Un h&ocirc;te comportant deux ou
plusieurs interfaces interactives est dit multihomed. Chaque interface est associ&eacute;e &agrave; une
adresse de type local. Ces adresses sont suffisantes pour la communication entre nœuds
rattach&eacute;s &agrave; un m&ecirc;me lien.
Un h&ocirc;te multihomed est associ&eacute;s &agrave; deux ou plusieurs adresses de type local. Dans cette
impl&eacute;mentation IPv6, 4 options permettent de d&eacute;terminer comment la r&eacute;solution des
adresses de couche liaison s’effectue sur les h&ocirc;tes multihomed. L’option 1 est activ&eacute;e par
d&eacute;faut.
4-16
Option 0
Aucune action multihomed n’est effectu&eacute;e. Les
transmissions sortent par la premi&egrave;re interface de type
local. Lorsque le protocole NDP (Neighbor Discovery
Protocol) doit r&eacute;soudre les adresses, il envoie (multicast)
un message de d&eacute;couverte de voisinage sur chaque
interface pour laquelle est d&eacute;finie cette adresse de type
local. NDP met le paquet de donn&eacute;es en attente jusqu’&agrave; ce
qu’il re&ccedil;oive le premier message d’avis de voisinage
(Neighbor Advertisement). Le paquet de donn&eacute;es est alors
transmis par cette liaison.
Option 1
Lorsque le protocole NDP doit r&eacute;soudre une adresse
(lorsqu’il envoie un paquet de donn&eacute;es vers une destination
et que les informations relatives &agrave; la liaison pour le tron&ccedil;on
suivant ne sont pas dans le cache de voisinage (Neighbor
Cache), il envoie (multicast) un message de d&eacute;couverte de
voisinage sur chaque interface pour laquelle est d&eacute;finie
cette adresse de type local. NDP met alors le paquet de
donn&eacute;es en attente jusqu’&agrave; ce qu’il re&ccedil;oive les informations
concernant la liaison. NDP attend de recevoir la r&eacute;ponse de
chaque interface. Ceci permet de garantir que les paquets
de donn&eacute;es sont envoy&eacute;s par l’interm&eacute;diaire des interfaces
sortantes appropri&eacute;es. Si NDP r&eacute;pondait au premier avis
de voisinage sans attendre les autres r&eacute;ponses, il pourrait
arriver qu’un paquet de donn&eacute;es soit envoy&eacute; sur une
liaison non associ&eacute;e &agrave; l’adresse source du paquet. Comme
NDP doit attendre toutes les r&eacute;ponses, on constate un
certain d&eacute;lai avant l’envoi du premier paquet. De toute
fa&ccedil;on, un d&eacute;lai est &eacute;galement &agrave; pr&eacute;voir lors de l’attente de
la premi&egrave;re r&eacute;ponse.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Option 2
Le fonctionnement multihomed est autoris&eacute; mais
l’exp&eacute;dition d’un paquet de donn&eacute;es est limit&eacute;e &agrave; l’interface
sp&eacute;cifi&eacute;e par main_if6. Lorsque le protocole NDP doit
r&eacute;soudre les adresses, il envoie (multicast) un message de
d&eacute;couverte de voisinage sur chaque interface pour laquelle
est d&eacute;finie cette adresse de type local. Il attend alors le
message d’avis de voisinage en provenance de l’interface
sp&eacute;cifi&eacute;e par main_if6 (voir la commande no). D&egrave;s qu’il
re&ccedil;oit la r&eacute;ponse de cette interface, le paquet de donn&eacute;es
est envoy&eacute; sur cette liaison.
Option 3
Le fonctionnement multihomed est autoris&eacute; mais
l’exp&eacute;dition d’un paquet de donn&eacute;es est limit&eacute;e &agrave; l’interface
sp&eacute;cifi&eacute;e par main_if6 et les adresses de type local ne sont
achemin&eacute;es que pour l’interface sp&eacute;cifi&eacute;e par main_site6
(voir la commande no). Le protocole NDP fonctionne
comme avec l’option 2. Pour les applications qui
acheminent des paquets de donn&eacute;es en utilisant des
adresses de type local, sur un h&ocirc;te multihomed, seule
l’adresse locale sp&eacute;cifi&eacute;e par main_site6 est utilis&eacute;e.
Suivi de paquet
Le suivi de paquet consiste &agrave; contr&ocirc;ler le parcours d’un paquet &agrave; travers les couches
jusqu’&agrave; destination. La commande iptrace permet d’effectuer ce contr&ocirc;le au niveau de la
couche Interface de r&eacute;seau. La commande ipreport g&eacute;n&egrave;re en sortie un compte rendu de
suivi aux formats hexad&eacute;cimal et ASCII. La commande trpt effectue le contr&ocirc;le au niveau
de la couche transport pour le protocole TCP. La sortie de la commande trpt est plus
d&eacute;taill&eacute;e : elle comprend des informations sur la date et l’heure, l’&eacute;tat TCP et la mise en
s&eacute;quence des paquets.
En-t&ecirc;tes de paquet au niveau interface de r&eacute;seau
Au niveau de la couche Interface de r&eacute;seau, des en-t&ecirc;tes sont associ&eacute;s aux donn&eacute;es
sortantes.
Figure 7. Flux de paquet dans la structure de l’interface r&eacute;seau Cette illustration
repr&eacute;sente un flux de donn&eacute;es bidirectionnel dans les couches de la structure de l’interface
r&eacute;seau. Ce sont, en partant du haut : (logiciel) couche r&eacute;seau, couche d’interface r&eacute;seau,
pilote de p&eacute;riph&eacute;rique, et (mat&eacute;riel) carte adaptateur r&eacute;seau ou connexion.
Protocole TCP/IP
4-17
R&eacute;seau
Interface de r&eacute;seau
Pilote d’unit&eacute;
LOGICIEL
MATERIEL
Carte r&eacute;seau
Carte/Connexion
Les paquets transitent alors par la carte de r&eacute;seau vers le r&eacute;seau correspondant. Ils
traversent parfois plusieurs passerelles avant d’atteindre leur destination. Une fois arriv&eacute;s
au r&eacute;seau de destination, ces en-t&ecirc;tes sont supprim&eacute;s et les donn&eacute;es envoy&eacute;es &agrave; l’h&ocirc;te
concern&eacute;.
Ce processus s’applique aux informations d’en-t&ecirc;te de plusieurs interfaces de r&eacute;seau
courantes.
En-t&ecirc;tes de trame pour carte Ethernet
Le tableau ci-apr&egrave;s repr&eacute;sente un en-t&ecirc;te de trame IP (Internet Protocol) ou ARP (Address
Resolution Protocol) pour la carte Ethernet.
En-t&ecirc;te de trame de carte Ethernet
Zone
Longueur
D&eacute;finition
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute;
&agrave; 1, l’information de routage (RI) est pr&eacute;sente.
Type
2 octets
Type du paquet : IP ou ARP. IP ou ARP (le type est
repr&eacute;sent&eacute; par des num&eacute;ros, comme indiqu&eacute;
ci-dessous).
Num&eacute;ros de la zone Type :
4-18
IP
0800
ARP
0806
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
En-t&ecirc;te de trame pour r&eacute;seau en anneau &agrave; jeton
L’en-t&ecirc;te MAC (Medium Access Control) pour carte anneau &agrave; jeton se compose des cinq
zones ci-dessous :
En-t&ecirc;te MAC pour r&eacute;seau en anneau &agrave; jeton
Zone
Longueur
D&eacute;finition
AC
1 octet
Contr&ocirc;le d’acc&egrave;s. La valeur x‘00’ conf&egrave;re &agrave; l’en-t&ecirc;te la priorit&eacute; 0.
FC
1 octet
Contr&ocirc;le de la zone. La valeur x‘40’ indique une trame LLC
(Logical Link Control).
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute; &agrave; 1,
l’information de routage (RI) est pr&eacute;sente.
RI
18 octets
Information de routage. Les valeurs possibles sont fournies plus
loin.
L’en-t&ecirc;te MAC comprend deux zones d’informations sur le routage, de 2 octets chacune : le
contr&ocirc;le de routage (RC) et les num&eacute;ros de segment. Huit num&eacute;ros de segment au
maximum peuvent &ecirc;tre utilis&eacute;s pour d&eacute;signer les destinataires d’une diffusion limit&eacute;e. Les
informations RC sont fournies aux octets 0 et 1 de la zone RI. Les deux premiers bits de la
zone RC peuvent prendre les valeurs suivantes :
bit (0) = 0
Utilisation de la route de non–diffusion, sp&eacute;cifi&eacute;e dans la zone RI.
bit (0) = 1
Cr&eacute;ation de la zone RI et diffusion vers tous les anneaux.
bit (0) = 1
Diffusion via tous les ponts.
bit (1) = 1
Diffusion via certains ponts.
L’en-t&ecirc;te LLC (contr&ocirc;le de liaison logique) comporte les cinq zones suivantes :
En-t&ecirc;te LLC 802.3
Zone
Longueur
D&eacute;finition
DSAP
1 octet
Point d’acc&egrave;s au service de destination. La valeur est x‘aa’.
SSAP
1 octet
Point d’acc&egrave;s au service source. La valeur est x‘aa’.
CONTROL 1 octet
Commandes et r&eacute;ponses LLC (contr&ocirc;le de liaison logique).
Trois valeurs possibles (pr&eacute;sent&eacute;es plus loin).
PROT_ID
3 octets
ID de protocole. Cette zone est r&eacute;serv&eacute;e. Sa valeur est de x‘0’.
TYPE
2 octets
Type du paquet : IP ou ARP.
Valeurs de la zone CONTROL
x‘03’
Trame d’information non num&eacute;rot&eacute;e (UI). Mode de transmission normale
ou non s&eacute;quentielle des donn&eacute;es de la carte anneau &agrave; jeton sur le r&eacute;seau.
Les donn&eacute;es sont mises en s&eacute;quence par TCP/IP.
x‘AF’
Trame XID (Exchange Identification). Elle transmet les caract&eacute;ristiques de
l’h&ocirc;te &eacute;metteur.
x‘E3’
Trame de test. Cette trame teste la route de transmission, et renvoie les
donn&eacute;es re&ccedil;ues.
Protocole TCP/IP
4-19
En-t&ecirc;tes de trame 802.3
L’en-t&ecirc;te MAC (Medium Access Control) pour la carte 802.3 est compos&eacute; de deux zones,
comme vous pouvez le constater dans le tableau d’en–t&ecirc;tes suivant.
En-t&ecirc;te MAC 802.3
Zone
Longueur
D&eacute;finition
DA
6 octets
Adresse de destination.
SA
6 octets
Adresse source. Si le bit 0 de cette zone est positionn&eacute; &agrave; 1,
l’information de routage (RI) est pr&eacute;sente.
L’en-t&ecirc;te LLC (Logical Link Control) pour la carte 802.3 est identique &agrave; l’en-t&ecirc;te MAC de
l’anneau &agrave; jeton.
Protocoles Internet de niveau r&eacute;seau
Les protocoles Internet de niveau r&eacute;seau g&egrave;rent la communication entre les machines.
Autrement dit, c’est la couche qui assure le routage TCP/IP. Ces protocoles r&eacute;ceptionnent
les demandes de transmission de paquets (dot&eacute;s de l’adresse r&eacute;seau de la machine
destinataire) issues de la couche Transport, convertissent les paquets en datagrammes et
les communiquent &agrave; la couche Interface de r&eacute;seau (voir figure).
Figure 8. Couche r&eacute;seau de la suite de protocoles TCP/IP Cette illustration repr&eacute;sente
les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la couche
d’application comprend l’application. La couche de transport comprend UDP et TCP. La
couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient le
r&eacute;seau physique.
PROTOCOLE
COUCHE
Application
APPLICATION
Transport
UDP
R&eacute;seau
Interface de r&eacute;seau
TCP
PROTOCOLE INTERNET
INTERFACE DE RESEAU (MATERIEL)
Mat&eacute;riel
RESEAU PHYSIQUE
TCP/IP fournit les protocoles requis pour &ecirc;tre conforme &agrave; RFC 1100 (Official Internet
Protocols), ainsi que d’autres protocoles couramment utilis&eacute;s par les machines h&ocirc;tes en
environnement Internet.
Remarque : Sous TCP/IP, l’utilisation des num&eacute;ros de r&eacute;seau, version, prise, service et
protocole Internet est &eacute;galement conforme &agrave; RFC 1010 (Assigned Numbers).
Protocole de r&eacute;solution d’adresse
Le premier protocole intervenant au niveau r&eacute;seau est le protocole de r&eacute;solution
d’adresse (ARP). Ce protocole est charg&eacute; de traduire dynamiquement les adresses
Internet en adresses mat&eacute;rielles uniques sur les r&eacute;seaux locaux.
Pour illustrer le fonctionnement d’ARP, prenons le cas de deux noeuds, jim et fred. Si le
nœud jim d&eacute;sire communiquer avec fred, et que jim et fred ne r&eacute;sident pas sur le
m&ecirc;me r&eacute;seau local (LAN), jim et fred doivent utiliser des ponts, routeurs ou passerelles
et des adresses IP. Au sein d’un r&eacute;seau local, les nœuds requi&egrave;rent en outre les adresses
mat&eacute;rielles (niveau inf&eacute;rieur).
Les noeuds implant&eacute;s sur le m&ecirc;me segment d’un r&eacute;seau local font appel au protocole ARP
pour d&eacute;terminer l’adresse mat&eacute;rielle d’autres noeuds. Tout d’abord, le noeud jim diffuse
4-20
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
une demande ARP pour conna&icirc;tre l’adresse mat&eacute;rielle de fred. Cette demande comporte
les adresses IP et mat&eacute;rielle de jim et l’adresse IP de fred. Lorsque fred re&ccedil;oit la
requ&ecirc;te ARP, il place une entr&eacute;e destin&eacute;e &agrave; jim dans sa m&eacute;moire cache ARP (utilis&eacute;e pour
&eacute;tablir rapidement l’&eacute;quivalence entre l’adresse IP et l’adresse mat&eacute;rielle). Ensuite, fred
renvoie directement &agrave; jim une r&eacute;ponse ARP avec l’adresse IP et l’adresse mat&eacute;rielle de
fred. Lorsque le nœud jim re&ccedil;oit cette r&eacute;ponse, il place &agrave; son tour une entr&eacute;e destin&eacute;e &agrave;
fred dans sa m&eacute;moire cache ARP.
D&egrave;s lors, jim peut correspondre directement avec fred sans recours au protocole ARP
(&agrave; moins que l’entr&eacute;e en m&eacute;moire cache ARP destin&eacute;e &agrave; fred ne soit supprim&eacute;e).
Contrairement &agrave; la plupart des protocoles, les en-t&ecirc;tes de paquet ARP n’ont pas un format
fixe. Le message est con&ccedil;u pour s’adapter &agrave; diverses technologies de r&eacute;seau, telles que :
• Carte de r&eacute;seau local Ethernet (qui prend en charge les protocoles Ethernet et 802.3)
• Carte de r&eacute;seau en anneau &agrave; jeton
• Carte de r&eacute;seau FDDI (Fiber Distributed Data Interface)
En revanche, ARP ne traduit pas les adresses pour SLIP ou convertisseur optique s&eacute;rie
(SOC), car il s’agit de connexions point &agrave; point.
Les tables de traduction sont tenues &agrave; jour par le noyau et les utilisateurs ou les
applications n’ont pas d’acc&egrave;s direct &agrave; ARP. Lorsqu’une application envoie un paquet
Internet &agrave; l’un des pilotes d’interface, le pilote demande l’&eacute;quivalence d’adresse. Si cette
&eacute;quivalence ne figure pas dans la table, un paquet ARP de diffusion est envoy&eacute; aux h&ocirc;tes
du r&eacute;seau local via le pilote d’interface demandeur.
Les entr&eacute;es de la table d’&eacute;quivalence (mappage) ARP sont supprim&eacute;es au bout de
20 minutes et les entr&eacute;es incompl&egrave;tes au bout de 3 minutes. Pour ins&eacute;rer une entr&eacute;e
permanente dans la table, lancez la commande arp assortie du param&egrave;tre pub :
arp –s 802.3 host2 0:dd:0:a:8s:0 pub
Lorsqu’un h&ocirc;te prenant en charge ARP re&ccedil;oit un paquet de demande ARP, il note l’adresse
IP et l’adresse mat&eacute;rielle du syst&egrave;me demandeur et met &agrave; jour sa table d’&eacute;quivalence. Si
son adresse IP ne correspond pas &agrave; l’adresse demand&eacute;e, il rejette le paquet. Sinon, il
envoie un paquet de r&eacute;ponse au syst&egrave;me demandeur. Le syst&egrave;me demandeur enregistre la
nouvelle &eacute;quivalence pour l’appliquer aux paquets Internet similaires en attente.
Protocole ICMP
Le deuxi&egrave;me protocole intervenant au niveau r&eacute;seau est le protocole de message de
contr&ocirc;le interr&eacute;seau (ICMP). Ce protocole, partie int&eacute;grante de toute impl&eacute;mentation IP g&egrave;re
les messages d’erreur et de contr&ocirc;le pour IP. Il est utilis&eacute; par les passerelles et les
syst&egrave;mes h&ocirc;tes pour transmettre les comptes rendus d’incidents aux machines &eacute;mettrices
d’un paquet. Il est charg&eacute; de :
• tester l’accessibilit&eacute; d’une destination,
• signaler les erreurs de param&egrave;tres dans un en-t&ecirc;te de datagramme,
• effectuer la synchronisation horaire et &eacute;valuer le temps de transit,
• obtenir les adresses Internet et les masques de sous-r&eacute;seau.
Remarque :
ICMP utilise la prise en charge de base d’IP comme s’il s’agissait d’un
protocole de niveau sup&eacute;rieur. ICMP fait partie int&eacute;grante du protocole IP
et doit &ecirc;tre mis en œuvre par tout module IP.
ICMP rend compte des anomalies de l’environnement de communications sans garantir
pour autant la fiabilit&eacute; du protocole IP. Autrement dit, il ne garantit pas la livraison d’un
paquet IP ni l’envoi d’un message ICMP &agrave; l’h&ocirc;te source en cas d’&eacute;chec ou d’erreur de
livraison.
Protocole TCP/IP
4-21
Les messages ICMP sont &eacute;mis dans les cas suivants :
• destination d’un paquet inaccessible,
• capacit&eacute; tampon insuffisante sur l’h&ocirc;te passerelle pour la r&eacute;exp&eacute;dition d’un paquet,
• passerelle capable d’obtenir que l’h&ocirc;te achemine le courrier via un chemin plus court.
TCP/IP envoie et re&ccedil;oit plusieurs types de message ICMP (reportez–vous &agrave; Types de
messages ICMP page 4-22). Le protocole ICMP int&eacute;gr&eacute; au noyau, ne dispose d’aucune
interface API.
Types de messages ICMP
ICMP peut envoyer ou recevoir des messages du type :
echo request
Demande d’&eacute;cho envoy&eacute;e par les h&ocirc;tes et les passerelles
pour tester l’accessibilit&eacute; de la destination.
information request
Demande d’information envoy&eacute;e par les h&ocirc;tes et les
passerelles pour obtenir l’adresse Internet d’un r&eacute;seau auquel
ils sont connect&eacute;s. Avec ce type de message, la portion
r&eacute;seau de l’adresse de destination IP est positionn&eacute;e &agrave; 0.
timestamp request
Demande de l’heure courante &agrave; la machine de destination.
address mask request
Demande de masque d’adresse envoy&eacute;e par l’h&ocirc;te pour
identifier son masque de sous-r&eacute;seau. Cette demande est
envoy&eacute;e &agrave; une passerelle s’il en conna&icirc;t l’adresse ou sous
forme de message de diffusion.
destination unreachable Message envoy&eacute; lorsqu’une passerelle ne parvient pas &agrave;
livrer un datagramme IP.
source quench
Demande effectu&eacute;e aupr&egrave;s de l’&eacute;metteur de datagrammes
lorsque son d&eacute;bit d’&eacute;mission est trop &eacute;lev&eacute; pour que les
passerelles ou h&ocirc;tes puissent traiter les datagrammes
entrants.
redirect message
Message de redirection envoy&eacute; lorsqu’une passerelle d&eacute;tecte
qu’un h&ocirc;te n’utilise pas une route optimale.
echo reply
R&eacute;ponse d’&eacute;cho renvoy&eacute;e, par la machine r&eacute;ceptrice, &agrave;
l’&eacute;metteur d’une demande d’&eacute;cho.
information reply
Message envoy&eacute; par les passerelles en r&eacute;ponse aux
demandes d’adresse (avec les zones source et destination du
datagramme IP renseign&eacute;es).
timestamp reply
R&eacute;ponse indiquant l’heure courante.
address mask reply
R&eacute;ponse de masque d’adresse envoy&eacute;e aux machines qui
requi&egrave;rent des masques de sous-r&eacute;seau.
parameter problem
Message envoy&eacute; lorsqu’un h&ocirc;te ou une passerelle rel&egrave;ve une
anomalie dans un en-t&ecirc;te de datagramme.
time exceeded
Message envoy&eacute; lorsque les conditions ci–dessous sont
r&eacute;unies :
• A chaque datagramme IP est associ&eacute;e une dur&eacute;e de vie
(nombre de bonds), d&eacute;cr&eacute;ment&eacute;e par chaque passerelle.
• Un datagramme est rejet&eacute; par une passerelle, sa dur&eacute;e de
vie ayant atteint la valeur 0.
Internet Timestamp
4-22
Horodateur Internet utilis&eacute; pour enregistrer les dates et heures
durant le parcours.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Protocole Internet
Le troisi&egrave;me protocole intervenant au niveau r&eacute;seau est le protocole Internet (IP). IP est
un protocole sans connexion car il traite chaque paquet d’informations s&eacute;par&eacute;ment. Il
effectue la livraison des paquets pour Internet, sans garantie de livraison (aucun
acquittement de message n’est exig&eacute; aupr&egrave;s des h&ocirc;tes &eacute;metteur, r&eacute;cepteur et
interm&eacute;diaires) et sans connexion (chaque paquet d’informations est trait&eacute; s&eacute;par&eacute;ment).
IP assure l’interface avec les protocoles de niveau Interface de r&eacute;seau. Les connexions
physiques d’un r&eacute;seau transmettent l’information sous forme d’une trame compos&eacute;e d’un
en-t&ecirc;te et de donn&eacute;es. L’en-t&ecirc;te contient les adresses source et destination. IP utilise un
datagramme Internet contenant des informations similaires &agrave; celles de la trame physique.
Son en–t&ecirc;te comporte &eacute;galement les adresses Internet source et de destination des
donn&eacute;es.
IP d&eacute;finit le format des donn&eacute;es achemin&eacute;es sur le r&eacute;seau Internet (voir figure).
Figure 9. En–t&ecirc;te de paquet IP (Internet Protocol) Cette illustration repr&eacute;sente les
premiers 32 bits d’un en–t&ecirc;te de paquet IP typique. Le tableau ci–dessous dresse la liste
des diff&eacute;rentes entit&eacute;s.
Bits
31
4
8
0
16
19
Longueur totale
Version Longueur Type de service
D&eacute;calage fragment
Identi–
Identificateur
ficateur
(Offset)
Contr&ocirc;le d’en–t&ecirc;te (checksum)
Dur&eacute;e de vie
Protocole
Adresse source
Adresse de destination
Option
Donn&eacute;es
D&eacute;finitions des zones d’en-t&ecirc;te IP
Version
Version IP utilis&eacute;e. La version courante du protocole IP est 4.
Longueur
Longueur de l’en-t&ecirc;te du datagramme, en nombre de mots de
32 bits.
Type de service
Zone comprenant cinq champs qui d&eacute;finissent pour le paquet
concern&eacute; le type de priorit&eacute;, le d&eacute;lai, le d&eacute;bit et le niveau de
fiabilit&eacute; souhait&eacute;s. Cette demande n’est pas garantie par Internet.
Les param&egrave;tres par d&eacute;faut de ces cinq champs sont normaux.
Actuellement, cette zone n’est pas utilis&eacute;e par Internet de fa&ccedil;on
g&eacute;n&eacute;ralis&eacute;e. La mise en œuvre d’IP est conforme &agrave; la
sp&eacute;cification IP RFC 791, Internet Protocol.
Protocole TCP/IP
4-23
4-24
Longueur totale
Longueur du datagramme, en octets, incluant l’en-t&ecirc;te et les
donn&eacute;es. La fragmentation en paquets au niveau des passerelles
et le r&eacute;assemblage &agrave; destination sont assur&eacute;s. La longueur totale
du paquet IP peut &ecirc;tre configur&eacute;e par interface individuelle &agrave; l’aide
de wsm de Web-based System Manager, de la commande
ifconfig ou via le raccourci smit chinet de SMIT. Pour d&eacute;clarer
ces valeurs comme permanentes dans la base de donn&eacute;es de
configuration, utilisez Web-based System Manager ou SMIT, et
pour les d&eacute;finir ou les modifier dans le syst&egrave;me en ex&eacute;cution,
utilisez la commande ifconfig.
Identificateur
Nombre entier unique identifiant le datagramme.
Indicateurs (flags)
de fragment
Contr&ocirc;le la fragmentation du datagramme ainsi que le champ
Identification. Indique si le datagramme doit &ecirc;tre fragment&eacute; et si le
fragment courant est le dernier.
D&eacute;calage fragment
(Offset)
D&eacute;calage du fragment dans le datagramme d’origine, en unit&eacute;s de
8 octets.
Dur&eacute;e de vie
Dur&eacute;e de r&eacute;tention du datagramme sur Internet. Ce param&egrave;tre
&eacute;vite de conserver ind&eacute;finiment sur Internet les datagrammes qui
n’ont pas abouti. La dur&eacute;e de r&eacute;tention par d&eacute;faut est de 255
secondes.
Protocole
Type de protocole de niveau sup&eacute;rieur.
Total de contr&ocirc;le
d’en–t&ecirc;te
(checksum)
Nombre calcul&eacute; pour assurer l’int&eacute;grit&eacute; des valeurs d’en-t&ecirc;te.
Adresse source
Adresse Internet de l’h&ocirc;te &eacute;metteur.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Adresse de
destination
Adresse Internet de l’h&ocirc;te r&eacute;cepteur.
Options
Options de test et de mise au point du r&eacute;seau. Zone facultative
pour certains datagrammes.
End of Option List
Indique la fin de la liste des options. Utilis&eacute; &agrave; la fin de la liste des
options (et non de chaque option) Cette option doit &ecirc;tre utilis&eacute;e
uniquement si la fin de la liste ne co&iuml;ncide par avec la fin de
l’en–t&ecirc;te IP. Cette option n’est utilis&eacute;e que si les options
exc&egrave;dent la longueur du datagramme.
No Operation
Permet l’alignement avec d’autres options. Par exemple,
alignement &agrave; 32 bits du d&eacute;but de l’option suivante.
Loose Source and record Route
Informations de routage fournies par la source du datagramme
Internet aux passerelles, qui les utilisent pour exp&eacute;dier le
datagramme &agrave; destination et les enregistrent. Il s’agit d’une
route source libre : la passerelle ou l’IP h&ocirc;te peut utiliser
n’importe quelle route via un nombre quelconque de passerelles
interm&eacute;diaires pour atteindre l’adresse suivante dans la route.
Strict Source and record Route
Informations de routage fournies par la source du datagramme
Internet aux passerelles, qui les utilisent pour exp&eacute;dier le
datagramme &agrave; destination et les enregistrent. Il s’agit d’une
route source impos&eacute;e : la passerelle ou l’IP h&ocirc;te doit envoyer le
datagramme directement &agrave; l’adresse suivante sp&eacute;cifi&eacute;e par la
route source en passant par le r&eacute;seau direct indiqu&eacute; dans
l’adresse, pour atteindre la passerelle ou l’h&ocirc;te suivant sp&eacute;cifi&eacute;
dans la route.
Record Route
Cette option permet d’enregistrer le parcours suivi par le
datagramme Internet.
Stream Identifier
Cette option v&eacute;hicule un identificateur de flot (stream) &agrave; travers
des r&eacute;seaux qui ne prennent pas en charge le concept de flot.
Internet Timestamp
Enregistre la date et l’heure le long du parcours du
datagramme.
L’en-t&ecirc;te IP est automatiquement pr&eacute;fix&eacute; aux paquets sortants, et supprim&eacute; des paquets
entrants qui vont &ecirc;tre envoy&eacute;s aux protocoles de niveau sup&eacute;rieur. Le protocole IP procure
un syst&egrave;me d’adressage universel des h&ocirc;tes sur le r&eacute;seau Internet.
Protocole TCP/IP
4-25
Protocoles Internet de niveau transport
Les protocoles TCP/IP de niveau transport (voir figure) permettent aux programmes
d’application de communiquer entre eux.
Figure 10. Couche de transport de la suite de protocoles TCP/IP Cette illustration
repr&eacute;sente les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la
couche d’application comprend l’application. La couche de transport comprend UDP et TCP.
La couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient le
r&eacute;seau physique.
COUCHE
Application
Transport
PROTOCOLE
APPLICATION
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
Les protocoles UDP (User Datagram Protocol) et TCP en sont les principaux : ils
autorisent l’interconnexion d’h&ocirc;tes Internet et l’&eacute;change de messages entre applications
implant&eacute;es sur des h&ocirc;tes diff&eacute;rents. Le m&eacute;canisme est le suivant : lorsqu’une application
envoie &agrave; la couche Transport une demande d’exp&eacute;dition de message, les protocoles UDP
et TCP fragmentent l’information en paquets qu’ils dotent d’un en-t&ecirc;te portant l’adresse de
destination. Ces paquets sont alors soumis par les protocoles &agrave; la couche r&eacute;seau. Pour
d&eacute;terminer la destination exacte du message, les protocoles TCP et UDP se servent des
ports de protocole de l’h&ocirc;te.
Les protocoles et applications de niveau sup&eacute;rieur utilisent UDP pour les connexions
datagramme et TCP pour les connexion Stream (trains de donn&eacute;es). Ces protocoles sont
mis en œuvre par l’interface Sockets du syst&egrave;me d’exploitation.
Protocole UDP
Le protocole UDP intervient lorsqu’une application de r&eacute;seau doit envoyer des messages &agrave;
une application ou un process d’un autre r&eacute;seau : il fournit aux applications d’h&ocirc;tes Internet
le moyen de communiquer par datagramme. L’&eacute;metteur d’un message ne conna&icirc;t pas les
process actifs au moment de l’envoi, c’est pourquoi le protocole UDP utilise les ports de
protocole de destination (ou sur un h&ocirc;te, points de destination abstraits dans une machine),
identifi&eacute;s par des nombres entiers positifs, pour envoyer les messages &agrave; un ou plusieurs
points de destination. A la r&eacute;ception des messages, les ports de protocole placent les
messages dans des files d’attente, o&ugrave; ils seront r&eacute;cup&eacute;r&eacute;s en temps voulu par les
applications du r&eacute;seau r&eacute;cepteur.
UDP fait appel &agrave; l’IP sous–jacent pour envoyer ses datagrammes, il assure donc la livraison
des messages sans connexion comme le fait le protocole IP, mais sans garantie de livraison
ni de protection contre la duplication. UDP pr&eacute;sente cependant deux particularit&eacute;s : il
autorise l’&eacute;metteur &agrave; sp&eacute;cifier le num&eacute;ro des ports source et cible et calcule le total de
contr&ocirc;le de l’en-t&ecirc;te et des donn&eacute;es. Il offre ainsi aux applications &eacute;mettrices et r&eacute;ceptrices
un moyen de fiabiliser la livraison d’un message (voir figure).
4-26
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Figure 11. En–t&ecirc;te de paquet UDP (User Datagram Protocol) Cette illustration
repr&eacute;sente les premiers 32 bits d’un en–t&ecirc;te de paquet UDP typique. Les 16 premiers bits
contiennent le num&eacute;ro de port source et la longueur. Les 16 bits suivants contiennent le
num&eacute;ro de port de destination et le total de contr&ocirc;le.
Bits
16
0
NUMERO DE PORT SOURCE
LONGUEUR
31
NUMERO DE PORT CIBLE
TOTAL DE CONTROLE
Les applications qui exigent une garantie de livraison des datagrammes doivent exercer
elles-m&ecirc;mes un contr&ocirc;le si elles utilisent UDP. Les applications qui exigent une garantie de
livraison des flots de donn&eacute;es doivent recourir &agrave; TCP.
D&eacute;finitions des zones d’en-t&ecirc;te UDP
Num&eacute;ro de port source
Adresse du port de protocole &eacute;metteur de l’information.
Num&eacute;ro de port cible
Adresse du port de protocole r&eacute;cepteur de l’information.
Longueur
Longueur en octets du datagramme UDP.
Total de contr&ocirc;le
(Checksum)
Contr&ocirc;le du datagramme UDP sur la base du m&ecirc;me
algorithme que le protocole IP.
L’interface de programmation d’applications (API) avec UDP est constitu&eacute;e d’un ensemble
de sous-routines de biblioth&egrave;que fourni par l’interface Sockets.
Protocole TCP
Le protocole TCP (Transmission Control Protocol) assure le transfert fiable des flots entre
les h&ocirc;tes Internet. Comme UDP, il fait appel au protocole sous-jacent IP pour v&eacute;hiculer les
datagrammes et en assurer la transmission par bloc en flot continu d’un port de process &agrave;
l’autre. Contrairement &agrave; UDP, TCP garantit une livraison fiable des messages. Il garantit que
les donn&eacute;es ne seront livr&eacute;es au process destinataire sans que les donn&eacute;es soient alt&eacute;r&eacute;es,
perdues, dupliqu&eacute;es ou restitu&eacute;es dans le d&eacute;sordre. Ainsi, les programmeurs d’applications
ne sont pas contraints de g&eacute;rer ce type d’erreurs dans leur logiciel.
TCP pr&eacute;sente les caract&eacute;ristiques suivantes :
Protocole TCP/IP
4-27
Transfert de donn&eacute;es de
base
TCP peut v&eacute;hiculer entre ses utilisateurs un flot continu
d’octets 8 bits en regroupant des octets en segments pour
les transmettre par Internet. Avec TCP, la taille des segments
atteint au moins 1024 octets. En g&eacute;n&eacute;ral, c’est TCP qui
d&eacute;termine le moment propice pour assembler et exp&eacute;dier les
paquets.
Fiabilit&eacute;
TCP doit r&eacute;cup&eacute;rer les donn&eacute;es alt&eacute;r&eacute;es, perdues,
dupliqu&eacute;es ou d&eacute;sorganis&eacute;es par Internet. Pour ce faire, il
affecte un num&eacute;ro de s&eacute;quence &agrave; chaque octet transmis et
exige un accus&eacute; de r&eacute;ception positif (ACK) de la part du TCP
r&eacute;cepteur. S’il ne re&ccedil;oit pas cet accus&eacute; apr&egrave;s un certain d&eacute;lai,
les donn&eacute;es sont retransmises. Ce d&eacute;lai est fix&eacute;
dynamiquement pour chaque connexion, en fonction du
temps de transmission aller-retour. C&ocirc;t&eacute; destinataire, les
num&eacute;ros de s&eacute;quence servent &agrave; r&eacute;ordonner les segments et
&agrave; &eacute;liminer les doublons. Les donn&eacute;es alt&eacute;r&eacute;es sont trait&eacute;es
gr&acirc;ce au total de contr&ocirc;le ajout&eacute; &agrave; chaque segment : ce total
est v&eacute;rifi&eacute; &agrave; la r&eacute;ception des segments et les segments
alt&eacute;r&eacute;s sont rejet&eacute;s.
Contr&ocirc;le de flux
TCP permet de r&eacute;guler le d&eacute;bit des donn&eacute;es &eacute;mises, en
associant &agrave; chaque accus&eacute; de r&eacute;ception une fen&ecirc;tre
indiquant l’intervalle de num&eacute;ros de s&eacute;quence admis au-del&agrave;
du dernier segment re&ccedil;u. La fen&ecirc;tre pr&eacute;cise le nombre
d’octets que l’&eacute;metteur est autoris&eacute; &agrave; envoyer avant de
recevoir la prochaine autorisation.
Multiplexage
TCP permet &agrave; un grand nombre de process d’un m&ecirc;me h&ocirc;te
d’utiliser simultan&eacute;ment les fonctions de communication TCP.
TCP re&ccedil;oit un ensemble d’adresses de ports pour chaque
h&ocirc;te et combine le num&eacute;ro de port &agrave; l’adresse r&eacute;seau et &agrave;
l’adresse h&ocirc;te pour pouvoir identifier chaque prise de fa&ccedil;on
unique. Une paire de prises identifie &agrave; son tour chaque
connexion de fa&ccedil;on unique.
Connexions
TCP doit initialiser et tenir &agrave; jour certaines informations d’&eacute;tat
pour chaque flot de donn&eacute;es. La combinaison de ces
informations (prises, num&eacute;ros de s&eacute;quence, tailles de
fen&ecirc;tre) est appel&eacute;e connexion. Chaque connexion est
identifi&eacute;e par une paire de prises uniques, une pour chaque
extr&eacute;mit&eacute;.
Priorit&eacute; et protection
Les utilisateurs de TCP peuvent sp&eacute;cifier un niveau de
priorit&eacute; et de protection pour leurs communications. Sinon,
des valeurs par d&eacute;faut sont pr&eacute;vues.
La figure d’un en–t&ecirc;te de paquet TCP illustre ces caract&eacute;ristiques.
4-28
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Figure 12. En–t&ecirc;te de paquet TCP (Transmission Control Protocol) Cette illustration
repr&eacute;sente le contenu de l’en–t&ecirc;te du paquet TCP. Les entit&eacute;s individuelles sont
r&eacute;pertori&eacute;es dans le texte ci–dessous.
Bits
0
16
8
31
Port cible
Port source
Num&eacute;ro de s&eacute;quence
Num&eacute;ro d’acquittement
D&eacute;calage
R&eacute;serv&eacute;
Code
Total de contr&ocirc;le (Checksum)
Fen&ecirc;tre
Pointeur urgent
Options
Remplissage
Donn&eacute;es
D&eacute;finitions de zones d’en-t&ecirc;te TCP
Port source
Num&eacute;ro de port du programme d’application source.
Port cible
Num&eacute;ro de port du programme d’application cible.
Num&eacute;ro de s&eacute;quence
Num&eacute;ro d’ordre du premier octet de donn&eacute;es dans le
segment.
Num&eacute;ro d’acquittement
Num&eacute;ro identifiant la position du plus grand octet re&ccedil;u.
D&eacute;calage
D&eacute;calage (Offset) de la portion de donn&eacute;es du segment.
R&eacute;serv&eacute;
Zone r&eacute;serv&eacute;e &agrave; un usage ult&eacute;rieur.
Code
Bits de contr&ocirc;le servant &agrave; identifier l’objet d’un segment :
URG
La zone Pointeur urgent est valide.
ACK
La zone Acquittement est valide.
PSH
Le segment requiert un PUSH.
RTS
R&eacute;initialise la connexion.
SYN
Synchronise les num&eacute;ros de s&eacute;quence.
FIN
Fin du flot d’octets.
Fen&ecirc;tre
Volume de donn&eacute;es admissible par la destination.
Total de contr&ocirc;le
(Checksum)
V&eacute;rifie l’int&eacute;grit&eacute; des donn&eacute;es et de l’en-t&ecirc;te du segment.
Protocole TCP/IP
4-29
Pointeur urgent
Indique les donn&eacute;es &agrave; livrer d&egrave;s que possible. Le pointeur
marque la fin des donn&eacute;es urgentes.
Options
End of Option List
Utilis&eacute; &agrave; la fin de la liste des options options (et non de
chaque option) uniquement si la fin de la liste ne
co&iuml;ncide par avec la fin de l’en–t&ecirc;te TCP.
No Operation
Indique la limite entre deux options. Par exemple,
alignement du d&eacute;but d’une option suivante sur un mot.
L’&eacute;metteur n’&eacute;tant pas oblig&eacute; d’utiliser cette option, le
destinataire doit &ecirc;tre pr&ecirc;t &agrave; traiter les options m&ecirc;me ne
commen&ccedil;ant pas sur un mot.
Maximum Segment Size
Taille maximale de segment acceptable par TCP
(indiqu&eacute;e dans la demande de connexion initiale). Cette
option doit &ecirc;tre envoy&eacute;e uniquement dans la demande de
connexion initiale.
L’interface de programmation d’applications (API) avec TCP est constitu&eacute;e d’un ensemble
de sous-routines de biblioth&egrave;que fourni par l’interface Sockets.
Protocoles Internet de niveau application
Au niveau du programme d’application, TCP/IP met en œuvre des protocoles Internet de
niveau sup&eacute;rieur (voir figure).
Figure 13. Couche d’application de la suite de protocoles TCP/IP Cette illustration
repr&eacute;sente les diff&eacute;rentes couches de la suite de protocoles TCP/IP. En partant du haut, la
couche d’application comprend l’application. La couche de transport comprend UDP et TCP.
La couche r&eacute;seau comprend l’interface r&eacute;seau (mat&eacute;riel). La couche mat&eacute;rielle contient le
r&eacute;seau physique.
PROTOCOLE
COUCHE
Application
APPLICATION
Transport
UDP
TCP
R&eacute;seau
PROTOCOLE INTERNET
Interface de r&eacute;seau
INTERFACE DE RESEAU
Mat&eacute;riel
RESEAU PHYSIQUE
Lorsqu’une application doit envoyer des donn&eacute;es &agrave; une application sur un h&ocirc;te diff&eacute;rent, les
informations sont envoy&eacute;es aux protocoles de niveau transport pour &ecirc;tre pr&eacute;par&eacute;es &agrave; la
transmission.
Les protocoles Internet de niveau application officiels englobent :
• Domain Name Protocol (Domain Name Protocol)
• Exterior Gateway Protoco l (Exterior Gateway Protocol)
• File Transfer Protocol (File Transfer Protocol)
• Name/Finger Protocol (Name/Finger Protocol)
• Telnet Protocol (Telnet Protocol)
• Trivial File Transfer Protocol (Trivial File Transfer Protocol)
4-30
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
TCP/IP met en œuvre d’autres protocoles de niveau sup&eacute;rieur, non officiels, mais
couramment utilis&eacute;s par la communaut&eacute; Internet pour les programmes d’application. A
savoir :
• Distributed Computer Network (DCN) Local–Network Protocol
(Distributed Computer Network Local–Network Protocol)
• Remote Command Execution Protocol (Remote Command Execution Protocol)
• Remote Login Protocol (Remote Login Protocol)
• Remote Shell Protocol (Remote Shell Protocol)
• Routing Information Protocol (Routing Information Protocol)
• Time Server Protocol (Time Server Protocol).
TCP/IP ne fournit pas d’interface API &agrave; ces protocoles.
Protocole DOMAIN
Le protocole DOMAIN permet &agrave; un syst&egrave;me h&ocirc;te membre d’un domaine de jouer le r&ocirc;le de
serveur de noms aupr&egrave;s des autres syst&egrave;mes h&ocirc;tes de son domaine. Il utilise comme
protocole sous-jacent le protocole UDP ou TCP et permet &agrave; un r&eacute;seau local d’affecter des
noms d’h&ocirc;te dans son domaine ind&eacute;pendamment des autres domaines. Normalement, le
protocole DOMAIN utilise UDP. Toutefois, si la r&eacute;ponse UDP est tronqu&eacute;e, DOMAIN fait
appel au protocole TCP. Le protocole DOMAIN de TCP/IP prend en charge les deux.
Pour r&eacute;soudre les noms et adresses Internet, les routines de r&eacute;solution locales du syst&egrave;me
d’appellation hi&eacute;rarchique DOMAIN peuvent recourir &agrave; la base de r&eacute;solution de noms locale
tenue par le d&eacute;mon named. Si le nom demand&eacute; par l’h&ocirc;te ne figure pas dans cette base, la
routine de r&eacute;solution interroge un serveur de noms DOMAIN distant. Dans tous les cas, en
cas d’&eacute;chec, la routine tente d’utiliser le fichier /etc/hosts.
Remarque :
TCP/IP configure les routines de r&eacute;solution locales pour le protocole
DOMAIN, si le fichier local /etc/resolv.conf existe. Sinon, TCP/IP les
configure pour qu’elles utilisent la base de donn&eacute;es /etc/hosts.
TCP/IP impl&eacute;mente le protocole DOMAIN dans le d&eacute;mon named et les routines de
r&eacute;solution, mais ne lui fournit pas d’interface API.
Protocole EGP
Le protocole EGP (Exterior Gateway Protocol) est le m&eacute;canisme qui permet &agrave; la
passerelle ext&eacute;rieure d’un syst&egrave;me autonome de partager les informations de routage avec
des passerelles ext&eacute;rieures d’autres syst&egrave;mes autonomes.
Syst&egrave;mes autonomes
Un syst&egrave;me autonome est un groupe de r&eacute;seaux et de passerelles sous la responsabilit&eacute;
d’une autorit&eacute; administrative. Les passerelles sont dites int&eacute;rieures limitrophes si elles
r&eacute;sident sur le m&ecirc;me syst&egrave;me autonome et ext&eacute;rieures limitrophes si elles r&eacute;sident sur des
syst&egrave;mes autonomes diff&eacute;rents. Les passerelles qui &eacute;changent des informations de routage
via le protocole EGP sont appel&eacute;es passerelles limitrophes ou homologues EGP.
Le protocole EGP permet aux passerelles de syst&egrave;mes autonomes d’acc&eacute;der aux
informations de leurs homologues EGP.
Via EGP, une passerelle ext&eacute;rieure peut demander &agrave; &eacute;changer des informations d’acc&egrave;s
avec une autre passerelle ext&eacute;rieure. EGP v&eacute;rifie en permanence que ses passerelles
homologues r&eacute;pondent aux demandes, et les aident dans ces &eacute;changes par des messages
de mise &agrave; jour de routage.
EGP limite la port&eacute;e d’une passerelle ext&eacute;rieure aux r&eacute;seaux de destination accessibles en
tous points dans le syst&egrave;me autonome de cette passerelle. Autrement dit, une passerelle
ext&eacute;rieure utilisant EGP peut transmettre les informations aux passerelles EGP limitrophes,
mais ne peut fournir des informations concernant ses passerelles limitrophes hors de son
syst&egrave;me autonome.
Protocole TCP/IP
4-31
EGP n’interpr&egrave;te aucune distance m&eacute;trique sp&eacute;cifi&eacute;e dans les messages de mise &agrave; jour de
routage issus d’autres protocoles. EGP utilise la zone de distance pour indiquer si un
chemin existe (la valeur 255 signifiant qu’un r&eacute;seau est inaccessible). La valeur sp&eacute;cifi&eacute;e ne
peut pas servir &agrave; d&eacute;terminer le chemin le plus court entre deux routes, sauf si ces derni&egrave;res
sont situ&eacute;es dans un seul syst&egrave;me autonome. C’est pourquoi EGP n’est pas utilis&eacute; comme
algorithme de routage. De ce fait, un seul chemin peut &ecirc;tre emprunt&eacute; entre la passerelle
ext&eacute;rieure et un r&eacute;seau.
Contrairement au protocole RIP (Routing Information Protocol), qui peut &ecirc;tre appliqu&eacute; &agrave;
un syst&egrave;me autonome de r&eacute;seaux Internet qui reconfigurent dynamiquement les routes, les
routes EGP sont pr&eacute;d&eacute;termin&eacute;es dans le fichier /etc/gated.conf. EGP consid&egrave;re que IP est
le protocole sous-jacent implicite.
Types de messages EGP
Neighbor Acquisition Request
Demande &eacute;mise par les passerelles ext&eacute;rieures
pour devenir limitrophes.
Neighbor Acquisition Reply
R&eacute;ponse favorable des passerelles ext&eacute;rieures
pour devenir limitrophes.
Neighbor Acquisition Refusal
R&eacute;ponse d&eacute;favorable des passerelles ext&eacute;rieures
pour devenir limitrophes. Les raisons du refus sont
indiqu&eacute;es dans le message, par exemple
out of table space.
Neighbor Cease
Demande &eacute;mise par les passerelles ext&eacute;rieures
pour mettre fin &agrave; une relation limitrophe. Les
raisons sont indiqu&eacute;es dans le message, par
exemple, going down.
Neighbor Cease Acknowledgment Acceptation par les passerelles ext&eacute;rieures de la
demande d’interruption d’une relation limitrophe.
Neighbor Hello
Message &eacute;mis par une passerelle limitrophe pour
v&eacute;rifier qu’une connexion est active. Une passerelle
&eacute;met un message Hello et la passerelle
interrog&eacute;e confirme la connexion en &eacute;mettant la
r&eacute;ponse I Heard You.
I Heard You
R&eacute;ponse d’une passerelle ext&eacute;rieure au message
Hello. Le message I Heard You
s’accompagne des informations d’acc&egrave;s &agrave; la
passerelle qui &eacute;met la r&eacute;ponse et, si la passerelle
est inaccessible, d’un message d’explication, par
exemple
You are unreachable due to problems wi
th my network interface.
NR Poll
Interrogation &eacute;mise par les passerelles ext&eacute;rieures
aupr&egrave;s des passerelles limitrophes pour d&eacute;terminer
leur capacit&eacute; d’acc&egrave;s aux autres passerelles.
Network Reachability
R&eacute;ponse des passerelles ext&eacute;rieures au message
NR Poll. Pour chaque passerelle interrog&eacute;e, le
message Network Reachability indique les
adresses auxquelles la passerelle limitrophe lui
donne acc&egrave;s.
EGP Error
R&eacute;ponse &eacute;mise par les passerelles ext&eacute;rieures aux
messages EGP qui pr&eacute;sentent des totaux de
contr&ocirc;le ou des valeurs de zones erron&eacute;s.
TCP/IP impl&eacute;mente le protocole EGP dans le d&eacute;mon gated mais ne lui fournit pas
d’interface de programmation d’applications (API).
4-32
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Protocole FTP
Le protocole FTP (File Transfer Protocol) permet le transfert des donn&eacute;es entre h&ocirc;tes
h&eacute;t&eacute;rog&egrave;nes et le transfert indirect de fichiers entre deux h&ocirc;tes &eacute;trangers. Il donne acc&egrave;s &agrave;
la liste des r&eacute;pertoires distants, permet de changer de r&eacute;pertoire distant courant, de cr&eacute;er
ou de supprimer des r&eacute;pertoires distants et de transf&eacute;rer plusieurs fichiers en une seule
demande. Un syst&egrave;me de protection par mot de passe et num&eacute;ro de compte utilisateur est
assur&eacute; au niveau de l’h&ocirc;te &eacute;tranger. Con&ccedil;u &agrave; l’origine pour des applications, FTP est
&eacute;galement utilis&eacute; pour les sessions interactives orient&eacute;es utilisateur.
FTP a recours au transfert fiable de flot (TCP/IP) pour l’envoi des fichiers, et &agrave; une
connexion Telnet pour le transfert des commandes et des r&eacute;ponses. FTP reconna&icirc;t
plusieurs formats de fichiers de base, notamment NETASCII, IMAGE et Local 8.
TCP/IP impl&eacute;mente FTP dans les commandes ftpet (utilisateur) et ftpd (serveur) mais ne
fournit pas d’interface de programmation d’applications (API) avec ce protocole.
Si vous cr&eacute;ez des r&eacute;pertoires et utilisateurs ftp anonymes, veillez &agrave; ce que le r&eacute;pertoire
personnel des utilisateurs ftp et anonymes (par exemple, /u/ftp) appartienne &agrave; un utilisateur
racine mais ne soit pas accessible en &eacute;criture (par exemple, dr–xr–xr–x). Vous pouvez
utiliser le script /usr/samples/tcpip/anon.ftp pour cr&eacute;er ces comptes, fichiers et
r&eacute;pertoires.
Protocole Telnet
Le protocole TELNET fournit une m&eacute;thode de communication standard pour les terminaux
et process orient&eacute;s terminal. TELNET est utilis&eacute; couramment par les programmes
d’&eacute;mulation de terminal pour la connexion &agrave; un h&ocirc;te distant. Il sert &agrave; la communication de
terminal &agrave; terminal et inter–process, et est sollicit&eacute; par d’autres protocoles (par exemple,
FTP) pour l’&eacute;tablissement d’un canal de contr&ocirc;le de protocole.
TCP/IP impl&eacute;mente TELNET dans les commandes utilisateur tn, telnet, ou tn3270. Le
d&eacute;mon telnetd ne fournit pas d’interface API pour TELNET.
TCP/IP accepte les options Telnet n&eacute;goci&eacute;es entre le client et le serveur :
BINARY TRANSMISSION
(pour sessions tn3270)
Transmet les caract&egrave;res sous forme de
donn&eacute;es binaires.
SUPPRESS GO_AHEAD
(Le syst&egrave;me d’exploitation supprime
les options GO–AHEAD.)
Lors de la transmission de donn&eacute;es, &agrave; la
demande de l’exp&eacute;diteur des donn&eacute;es, ne
transmet pas au destinataire d’option
GO_AHEAD. Si cette option n’est pas
accept&eacute;e, les interlocuteurs suppriment la
connexion dans les deux directions. Cette
action doit &ecirc;tre ex&eacute;cut&eacute;e de mani&egrave;re autonome
dans les deux directions.
TIMING MARK (Reconnue mais re&ccedil;oit
une r&eacute;ponse n&eacute;gative)
V&eacute;rifie que les donn&eacute;es transmises ont &eacute;t&eacute;
enti&egrave;rement trait&eacute;es.
EXTENDED OPTIONS LIST
Fournit la possibilit&eacute; de 256 options
suppl&eacute;mentaires &agrave; la liste des options TELNET.
Sans cette option, TELNET admet un
maximum de 256 options.
ECHO (Commande modifiable par
l’utilisateur)
Transmet les caract&egrave;res d’&eacute;cho d&eacute;j&agrave; renvoy&eacute;s
&agrave; l’exp&eacute;diteur d’origine.
TERM TYPE
Permet au serveur de d&eacute;terminer le type de
terminal connect&eacute; &agrave; un programme utilisateur
TELNET.
Protocole TCP/IP
4-33
SAK (Secure Attention Key)
S&eacute;curise la communication entre vous et le
syst&egrave;me.
NAWS (Negotiate About Window Size)
Dans une relation client–serveur, permet aux
deux parties de n&eacute;gocier la taille de la fen&ecirc;tre
(si les applications l’autorisent).
Remarque :
Telnet doit autoriser la transmission de caract&egrave;res 8 bits en mode non
binaire pour l’impl&eacute;mentation de la page de code ISO 8859 Latin. Cette
condition est n&eacute;cessaire pour l’internationalisation des commandes TCP/IP.
Protocole TFTP
Le protocole TFTP (Trivial File Transfer Protocol) peut lire et enregistrer des fichiers issus
de ou destin&eacute;s &agrave; un h&ocirc;te distant. TFTP est g&eacute;n&eacute;ralement plus rapide que FTP car, pour
acheminer les fichiers, il fait appel au protocole UDP qui ne garantit pas la livraison des
fichiers. Comme FTP, TFTP peut traiter les fichiers sous forme de donn&eacute;es NETASCII ou
binaires 8 bits. En revanche, il ne permet pas de lister ou de modifier les r&eacute;pertoires d’un
h&ocirc;te distant et ne pr&eacute;voit pas de protection de type mot de passe. De plus, sous TFTP,
l’&eacute;criture et la recherche des donn&eacute;es sont limit&eacute;es aux r&eacute;pertoires publics.
TCP/IP impl&eacute;mente TFTP dans les commandes utilisateur tftp et utftp, et dans la
commande serveur tftpd. La commande utftp est une variante de la commande tftp
utilisable dans les cha&icirc;nages (pipes). TCP/IP ne fournit pas d’interface API pour le protocole
FINGER.
Protocole FINGER
FINGER est un protocole Internet de niveau application qui joue le r&ocirc;le d’interface entre la
commande finger et le d&eacute;mon fingerd. Le d&eacute;mon fingerd renvoie les informations sur les
utilisateurs connect&eacute;s &agrave; un h&ocirc;te distant sp&eacute;cifique. Pour limiter la commande &agrave; un utilisateur
donn&eacute;, sp&eacute;cifiez-le (commande finger). FINGER utilise Transmission Control Protocol
(Transmission Control Protocol) comme protocole sous–jacent.
Remarque :
TCP/IP ne fournit pas d’interface API pour le protocole FINGER.
Protocole HELLO
Le protocole de r&eacute;seau local distribu&eacute; HELLO s’applique aux passerelles int&eacute;rieures et
doit &ecirc;tre utilis&eacute; dans des syst&egrave;mes autonomes. (Pour plus de d&eacute;tails, reportez-vous &agrave;
Syst&egrave;mes autonomes, page 4-31.) HELLO est charg&eacute; de tenir &agrave; jour les informations de
connectivit&eacute;, de routage et d’horloge. Il permet &agrave; chaque machine de trouver le chemin le
plus rapide vers la destination et met &agrave; jour dynamiquement l’information de routage vers
cette destination.
Ce protocole est fourni par le d&eacute;mon gated.
Protocole REXEC
Le protocole d’ex&eacute;cution &agrave; distance, fourni par la commande utilisateur rexec et le d&eacute;mon
rexecd, permet de lancer des commandes sur un h&ocirc;te distant compatible.
Protocole LOGIN
Le protocole de connexion &agrave; distance LOGIN, fourni par la commande utilisateur rlogin et
le d&eacute;mon rlogind, permet aux utilisateurs de se connecter &agrave; un h&ocirc;te distant et d’utiliser leur
terminal comme s’ils &eacute;taient connect&eacute;s directement &agrave; cet h&ocirc;te.
Protocole SHELL
Le protocole de commande &agrave; distance SHELL, fourni par la commande utilisateur rsh et le
d&eacute;mon rshd, permet d’ouvrir un shell sur un h&ocirc;te &eacute;tranger compatible pour y ex&eacute;cuter des
commandes.
4-34
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Protocole RIP
Le protocole de routage RIP (Routing Information protocol) et les d&eacute;mons routed et
gated qui le mettent en œuvre, sont charg&eacute;s de suivre les informations de routage (en
fonction du nombre de bonds effectu&eacute;s) et de tenir &agrave; jour les entr&eacute;es de la table de routage
du noyau.
Protocole TIMED
Le d&eacute;mon timed est charg&eacute; de la synchronisation horaire des h&ocirc;tes. Il est fond&eacute; sur le
concept de client/serveur.
Nombres r&eacute;serv&eacute;s
Dans un souci de compatibilit&eacute; avec l’environnement de r&eacute;seau g&eacute;n&eacute;ral, des nombres
connus sont attribu&eacute;s aux versions, r&eacute;seaux, ports, protocoles et options de protocoles
Internet, de m&ecirc;me qu’aux machines, r&eacute;seaux, syst&egrave;mes d’exploitation, protocoles, services
et terminaux. TCP/IP applique les num&eacute;ros et noms d&eacute;finis par la norme RFC 1010,
Nombres r&eacute;serv&eacute;s.
Une zone de 4 bits est pr&eacute;vue dans l’en-t&ecirc;te IP pour identifier la version du protocole
interr&eacute;seau utilis&eacute;. Le num&eacute;ro de version d’IP en d&eacute;cimal est 4. Pour plus d’informations sur
les nombres et noms r&eacute;serv&eacute;s de TCP/IP, reportez–vous aux fichiers /etc/protocols et
/etc/services inclus dans TCP/IP. Pour les noms et nombres r&eacute;serv&eacute;s en g&eacute;n&eacute;ral,
reportez-vous &agrave; la norme RFC 1010 et au fichier /etc/services.
Protocole TCP/IP
4-35
Cartes de r&eacute;seau local (LAN) TCP/IP
Cette section traite des points suivants :
• Installation d’une carte r&eacute;seau, page 4-36
•
Configuration et gestion des cartes page 4-37
• Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN), page 4-38
• Utilisation des cartes ATM, page 4-39
La carte r&eacute;seau est le dispositif mat&eacute;riel raccord&eacute; physiquement aux c&acirc;bles du r&eacute;seau. Elle
est charg&eacute;e de recevoir et de transmettre les donn&eacute;es au niveau physique. Elle est
contr&ocirc;l&eacute;e par le pilote de carte.
Chaque machine doit &ecirc;tre &eacute;quip&eacute;e d’autant de cartes r&eacute;seau (ou connexions) que de
r&eacute;seaux auxquels elle est connect&eacute;e. Par exemple, si un h&ocirc;te est raccord&eacute; &agrave; deux r&eacute;seaux
en anneau &agrave; jeton, il doit &ecirc;tre &eacute;quip&eacute; de deux cartes r&eacute;seau.
TCP/IP utilise les cartes r&eacute;seau et connexions suivantes :
• Ethernet standard version 2
• IEEE 802.3
• Anneau &agrave; jeton
• Cartes asynchrones et ports s&eacute;rie natifs (d&eacute;crit dans AIX 5L Version 5.2 Asynchronous
Communication Guide)
• Interface FDDI (Fiber Distributed Data Interface)
• Convertisseur de canal optique s&eacute;rie (d&eacute;crit dans AIX 5L Version 5.2 Kernel Extensions
and Device Support Programming Concepts)
• 100 and 155 ATM
• ATM (mode de transfert asynchrone)
Les technologies de r&eacute;seau Ethernet et 802.3 utilisent le m&ecirc;me type de carte.
Chaque machine offre un nombre limit&eacute; d’emplacements d’extension, que vous pouvez
utiliser pour les cartes de communication. En outre, chaque machine ne prend en charge
qu’un nombre limit&eacute; de cartes de communication d’un type donn&eacute; : 8 cartes Ethernet/802.3
maximum, 8 cartes en anneau &agrave; jeton maximum et une seule carte asynchrone de 64 ports
maximum. D&egrave;s lors, vous pouvez installer sur votre machine n’importe quelle combinaison
de ces cartes en respectant les contraintes logicielles (nombre et type de carte) et
mat&eacute;rielles (nombre total d’emplacements d’extension disponibles).
Une seule interface TCP/IP doit &ecirc;tre configur&eacute;e, quel que soit le nombre de convertisseurs
optiques s&eacute;rie pris en charge par le syst&egrave;me. Le pilote d’unit&eacute; Optique s&eacute;rie exploite les
deux convertisseurs de canal m&ecirc;me si une seule interface logique TCP/IP est configur&eacute;e.
Installation d’une carte r&eacute;seau
Pour installer une carte r&eacute;seau :
1. Arr&ecirc;tez l’ordinateur. Pour l’arr&ecirc;t syst&egrave;me, reportez-vous &agrave; la commande shutdown.
2. Mettez la machine hors tension.
3. D&eacute;posez le capot de l’ordinateur.
4. Recherchez un connecteur libre et ins&eacute;rez la carte r&eacute;seau.
Veillez &agrave; enclencher correctement la carte dans le connecteur.
5. Remettez le capot de l’ordinateur.
6. Relancez l’ordinateur.
4-36
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration et gestion des cartes
Pour configurer et g&eacute;rer les cartes pour r&eacute;seau en anneau &agrave; jeton ou Ethernet, suivez les
proc&eacute;dures du tableau suivant.
Configuration et gestion des t&acirc;ches relatives aux cartes
T&acirc;che
Raccourci SMIT
Commande ou fichier
Web-based
System
Manager
Management
Environment5
Configuration
d’une carte
smit chgtok
1.Recherchez le nom de la carte :1
(anneau &agrave; jeton)
smit chgenet
lsdev –C –c adapter –t to
(Ethernet)
kenring –H
ou
lsdev –C –c adapter –t et
hernet –H
2.Red&eacute;finissez la vitesse de
l’anneau (anneau &agrave; jeton) ou le
type de connecteur (Ethernet), si
n&eacute;cessaire. Par exemple :
chdev –l tok0 –a ring_spe
ed=16 –P
ou
chdev –l ent0 –a bnc_sele
ct=dix –P
D&eacute;termination
de l’adresse
mat&eacute;rielle de la
carte r&eacute;seau
smit chgtok
lscfg –l tok0 –v (token ring)2
(anneau &agrave; jeton) lscfg –l ent0 –v (Ethernet)2
smit chgenet
(Ethernet)
D&eacute;finition d’une
adresse
mat&eacute;rielle
secondaire
smit chgtok
1.D&eacute;finissez l’adresse mat&eacute;rielle
(anneau &agrave; jeton) secondaire. Par exemple, pour
smit chgenet
anneau &agrave; jeton : 2,3
(Ethernet)
chdev –l tok0 –a alt_add
r=0X10005A4F1B7F
Pour Ethernet : 2,3
chdev –l ent0 –a alt_addr
=0X10005A4F1B7F –p
2.Commencez &agrave; utiliser l’adresse
secondaire, pour anneau &agrave; jeton :
4
chdev –l tok0 –a use_alt_
addr=yes
Pour Ethernet : 4
chdev –l ent0 –a use_alt_
addr=yes
Protocole TCP/IP
4-37
Remarques :
1. Le nom de la carte r&eacute;seau peut changer si vous l’installez &agrave; un autre emplacement ou
que vous la retirez du syst&egrave;me. Dans ce cas, veillez &agrave; mettre &agrave; jour la base de donn&eacute;es
de configuration via la commande diag –a.
2. Indiquez le nom de votre carte &agrave; la place de tok0 et ent0.
3. Remplacez par l’adresse mat&eacute;rielle 0X10005A4F1B7F.
4. Une interruption de communication peut se produire apr&egrave;s cette op&eacute;ration jusqu’&agrave; ce
que les h&ocirc;tes vident leur m&eacute;moire cache ARP et enregistrent cette nouvelle adresse
mat&eacute;rielle.
5. Ces t&acirc;ches ne sont pas disponibles dans Web-based System Manager Management
Environment.
Configuration et utilisation des r&eacute;seaux locaux virtuels (VLAN)
Les r&eacute;seaux VLAN (Virtual Local Area Networks) ont une structure de type domaine de
diffusion logique. Un r&eacute;seau VLAN divise les groupes d’utilisateurs d’un r&eacute;seau physique
r&eacute;el en segments de r&eacute;seaux logiques. Cette mise en œuvre prend en charge la norme de
rep&eacute;rage VLAN IEEE 802.1Q, ainsi que la fonction de prise en charge de plusieurs ID VLAN
ex&eacute;cut&eacute;s sur des cartes Ethernet. Chaque ID VLAN est associ&eacute; aux couches sup&eacute;rieures
(IP, etc.) gr&acirc;ce &agrave; une interface Ethernet distincte, et cr&eacute;e une entit&eacute; logique de carte
Ethernet par r&eacute;seau VLAN, par exemple ent1, ent2 et ainsi de suite.
IEEE 802.1Q de VLAN peut &ecirc;tre configur&eacute;e pour n’importe quelle carte Ethernet prise en
charge. Les cartes doivent &ecirc;tre connect&eacute;es &agrave; un commutateur qui prend en charge la
norme IEEE 802.1Q de VLAN.
Vous pouvez configurer plusieurs unit&eacute;s logiques VLAN sur un seul syst&egrave;me. Chaque unit&eacute;
logique VLAN constitue une entit&eacute; de carte Ethernet suppl&eacute;mentaire. Ces unit&eacute;s logiques
peuvent &ecirc;tre utilis&eacute;es pour configurer les m&ecirc;mes interfaces IP Ethernet telles qu’elles sont
utilis&eacute;es avec les cartes physiques Ethernet. Par cons&eacute;quent, vous devez augmenter la
valeur de l’option ifsize de la commande no (dont la valeur par d&eacute;faut est 8), pour inclure
les interfaces Ethernet pour chaque carte, mais &eacute;galement toutes les unit&eacute;s logiques VLAN
configur&eacute;es. Reportez–vous &agrave; la documentation de la commande no.
A chaque VLAN, vous pouvez associer une valeur diff&eacute;rente de MTU (unit&eacute; de transmission
maximum) m&ecirc;me si vous partagez une carte Ethernet physique individuelle.
La prise en charge de VLAN est g&eacute;r&eacute;e par SMIT. A partir de la ligne de commande, tapez le
raccourci smit vlan et s&eacute;lectionnez les &eacute;l&eacute;ments appropri&eacute;s dans le menu principal de
VLAN. Vous pouvez &eacute;galement recourir &agrave; l’aide en ligne.
Apr&egrave;s la configuration de VLAN, configurez l’interface IP (par exemple, en1 pour Ethernet
standard ou et1 pour IEEE 802.3), &agrave; l’aide de Web-based System Manager, de SMIT ou
des commandes.
Remarques :
1. Si vous tentez de configurer une valeur ID de VLAN alors qu’il est en cours d’utilisation
par la carte sp&eacute;cifi&eacute;e, la configuration &eacute;choue et le message d’erreur suivant s’affiche :
Method error (/usr/lib/methods/chgvlan):
0514–018 The values specified for the following attributes
are not valid:
vlan_tag_id ID indicateur VLAN
2. Si un utilisateur (l’interface IP par exemple) utilise actuellement l’unit&eacute; logique VLAN,
toute tentative de retirer l’unit&eacute; logique VLAN &eacute;choue. Un message similaire &agrave; l’exemple
suivant s’affiche :
Method error (/usr/lib/methods/ucfgcommo):
0514–062 Cannot perform the requested function because the
specified device is busy.
4-38
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Pour retirer l’unit&eacute; VLAN logique, d&eacute;tachez d’abord l’utilisateur. Par exemple, si
l’utilisateur est l’interface IP en1, vous pouvez utiliser la commande suivante :
ifconfig en1 detach
Ensuite, retirez l’interface de r&eacute;seau &agrave; l’aide des menus TCP/IP de SMIT.
3. Si un utilisateur (l’interface IP par exemple) utilise actuellement l’unit&eacute; logique VLAN,
toute tentative de modifier les caract&eacute;ristiques VLAN (ID indicateur VLAN ou carte de
base) &eacute;choue. Un message similaire &agrave; l’exemple suivant s’affiche :
Method error (/usr/lib/methods/chgvlan):
0514–062 Cannot perform the requested function because the
specified device is busy.
Pour modifier l’unit&eacute; VLAN logique, d&eacute;tachez d’abord l’utilisateur. Par exemple, si
l’utilisateur est l’interface IP en1, vous pourriez utiliser la commande suivante :
ifconfig en1 detach
Ensuite, modifiez le VLAN et ajoutez de nouveau l’interface de r&eacute;seau &agrave; l’aide des
menus TCP/IP de SMIT.
Identification des incidents
Pour identifier les incidents relatifs &agrave; VLAN, vous pouvez utiliser tcpdump et trace. Le
tableau suivant d&eacute;crit l’ID du suivi d’erreur pour chaque type de paquet de transmission :
paquets de transmission
3FD
paquets de r&eacute;ception
3FE
autres &eacute;v&eacute;nements
3FF
La commande entstat affiche les valeurs totales des statistiques de la carte physique pour
laquelle VLAN est configur&eacute;. Elle ne fournit pas les statistiques individuelles de l’unit&eacute;
logique VLAN sp&eacute;cifique.
Restrictions
Le clich&eacute; &agrave; distance n’est pas pris en charge avec un VLAN. De plus, vous ne pouvez pas
utiliser les unit&eacute;s logiques VLAN pour cr&eacute;er un Etherchannel Cisco Systems.
Utilisation de cartes ATM
La norme internationale ATM (Asynchronous Transfer Mode) d&eacute;finit une m&eacute;thode de
transmission &agrave; grande vitesse pour le transport d’&eacute;l&eacute;ments mixtes compos&eacute;s d’audio, vid&eacute;o,
et de donn&eacute;es informatiques ordinaires sur des r&eacute;seaux locaux, m&eacute;tropolitains et longue
distance (LAN, MAN et WAN). Les cartes ATM offrent une connectivit&eacute; en duplex int&eacute;gral
pour les serveurs ESCALA ou pour les clients qui utilisent des circuits virtuels permanents
(PVC) et des circuits virtuels commut&eacute;s (SVC). Les mises en œuvre PVC et SVC sont
conformes aux sp&eacute;cifications ATM Forum. Le nombre maximum de circuits virtuels pris en
charge varie selon la carte. La plupart des cartes prennent en charge un minimum de 1024
circuits virtuels.
Technologie ATM
ATM (Asynchronous Transfer Mode) est une technologie de commutation de cellules,
orient&eacute;e connexion. Sur un r&eacute;seau ATM, les terminaux sont raccord&eacute;s au r&eacute;seau via des
connexions en duplex int&eacute;gral d&eacute;di&eacute;es. Les r&eacute;seaux ATM sont construits sur la base de
commutateurs interconnect&eacute;s par des connexions physiques d&eacute;di&eacute;es. Pour que le transfert
de donn&eacute;es puisse avoir lieu, des connexions de bout en bout doivent &ecirc;tre &eacute;tablies. Une
interface physique unique peut assurer des connexions multiples. Les stations &eacute;mettrices
transmettent les donn&eacute;es en segmentant les unit&eacute;s PDU (Protocol Data Unit) en cellules de
53-octets. La charge est maintenue sous forme de cellules lors du transport sur le r&eacute;seau.
C’est au niveau des stations r&eacute;ceptrices que les cellules sont r&eacute;assembl&eacute;es en PDU. Les
connexions sont identifi&eacute;es par un identificateur de chemin virtuel (VPI) et un identificateur
Protocole TCP/IP
4-39
de canal virtuel (VCI). Le champ VPI occupe 1 octet dans l’en–t&ecirc;te de 5 octets de la cellule
ATM ; tandis que le champ VCI occupe 2 octets dans l’en–t&ecirc;te de 5 octets de la cellule
ATM. En d’autres termes, une paire VPI:VCI identifie la source de la cellule ATM. Le
commutateur ATM a pour fonction d’identifier l’origine de la cellule, de d&eacute;terminer le saut
suivant et de diriger la cellule vers un port. La paire VPI:VCI change sur une base saut par
saut. Aussi les valeurs VPI:VCI ne sont-elles pas universelles. Un circuit virtuel est d&eacute;crit
par la concat&eacute;nation de valeurs VPI:VCI &agrave; travers le r&eacute;seau.
Connexions ATM
Dans l’architecture ATM, il existe deux types de circuits virtuels : permanent (PVC) et
commut&eacute; (SVC).
Circuits virtuels
permanents (PVC)
La configuration des PVC est statique et manuelle. Les
commutateurs composant le r&eacute;seau ATM doivent &ecirc;tre
configur&eacute;s au pr&eacute;alable de fa&ccedil;on &agrave; reconna&icirc;tre la
combinaison VPI:VCI de chaque terminal et &agrave; acheminer
les cellules ATM de ces points via le r&eacute;seau ATM. Apr&egrave;s
l’&eacute;tablissement d’une liaison de r&eacute;seau entre deux points
d’extr&eacute;mit&eacute;, les cellules ATM peuvent &ecirc;tre transmises &agrave;
travers le r&eacute;seau ATM et les commutateurs ATM. Pour
pouvoir acheminer la cellule vers sa destination, les
commutateurs de r&eacute;seau doivent convertir les valeurs
VPI:VCI de mani&egrave;re appropri&eacute;e.
Circuits virtuels
commut&eacute;s (SVC)
Les SVC sont configur&eacute;s dynamiquement, sur la base des
besoins. Les terminaux ATM sont affect&eacute;s d’adresses de
20-octets. Deux concepts entrent en jeu : le panneau de
contr&ocirc;le et le panneau de donn&eacute;es. Le panneau de contr&ocirc;le
utilise une paire de canaux de signalisation VPI:VCI 0:5.
Les SVC initient sur demande une configuration d’appel,
permettant &agrave; une station ATM d’envoyer des &eacute;l&eacute;ments
d’information sp&eacute;cifiant l’adresse ATM de destination
(et, &eacute;ventuellement, l’adresse ATM source). G&eacute;n&eacute;ralement,
la station appelante, le r&eacute;seau et la station appel&eacute;e
interviennent dans la n&eacute;gociation. Finalement, un appel est
soit accept&eacute;, soit rejet&eacute;. S’il est accept&eacute;, le r&eacute;seau affecte
des valeurs VPI:VCI au panneau de donn&eacute;es des deux
stations (appelante et appel&eacute;e). Sur le panneau de contr&ocirc;le,
le r&eacute;seau ATM achemine (ou commute) les paquets de
signaux sur la base des adresses ATM. Pendant le routage
de ces paquets, les commutateurs d&eacute;finissent les tables de
routage des cellules du panneau de donn&eacute;es. Sur le
panneau de donn&eacute;es, les r&eacute;seaux ATM commutent les
cellules sur la base des VPI:VCI, presque comme dans le
cas des PVC. A la fin du transfert, la connexion est close.
L’adresse ATM est construite par enregistrement sur le r&eacute;seau ATM et acquisition des
13 octets les plus significatifs. Les 6 octets suivants correspondent &agrave; l’adresse mat&eacute;rielle
”grav&eacute;e” dans la carte. L’octet le moins important est le s&eacute;lecteur ; son utilisation est laiss&eacute;e
&agrave; la discr&eacute;tion de l’utilisateur. Les r&eacute;seaux ATM n’interpr&egrave;tent pas cet octet.
4-40
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
TCP/IP sur ATM
Les normes de Internet Engineering Task Force RFC1577, Classical IP et ARP, sp&eacute;cifient
le m&eacute;canisme d’impl&eacute;mentation d’IP sur ATM. ATM &eacute;tant une technologie orient&eacute;e
connexion et IP une technologie orient&eacute;e datagramme, le mappage IP-ATM n’est pas
&eacute;vident.
Un r&eacute;seau ATM est le plus souvent r&eacute;parti en sous–r&eacute;seaux IP logiques (LIS). Chacun est
compos&eacute; d’un certain nombre de stations ATM. Les LIS pr&eacute;sentent des analogies avec les
segments LAN classiques. Les LIS sont interconnect&eacute;s par des routeurs. Une carte donn&eacute;e
(sur une station ATM) peut faire partie de plusieurs LIS. Cette fonction est tr&egrave;s utile pour la
mise en œuvre de routeurs.
RFC1577 sp&eacute;cifie RFC1483 qui sp&eacute;cifie LLC/SNAP Encapsulation comme valeur par
d&eacute;faut. Dans les r&eacute;seaux PVC, pour chaque station IP, tous les PVC doivent &ecirc;tre d&eacute;finis
manuellement, par configuration des valeurs VPI:VCI. Si l’encapsulage LLC/SNAP n’est pas
utilis&eacute;, l’adresse IP de destination associ&eacute;e &agrave; chaque VPI:VCI doit &ecirc;tre d&eacute;finie.
Si l’encapsulage LLC/SNAP est utilis&eacute;, la station IP peut conna&icirc;tre l’adresse IP distante par
le biais d’un m&eacute;canisme InARP. Pour les r&eacute;seaux SVC, RFC1577 sp&eacute;cifie un serveur ARP
pour chaque LIS. L’objet de ce serveur est de convertir les adresses IP en adresses ATM
sans utiliser de messages de diffusion. Chaque station IP est configur&eacute;e avec l’adresse
ATM du serveur ARP. Les stations IP configurent les SVC avec le serveur ARP, lequel, &agrave;
son tour, envoie les demandes InARP aux stations IP. Sur la base de la r&eacute;ponse InARP, un
serveur ARP configure IP en mappes d’adresses ATM. Les stations IP envoient les paquets
ARP au serveur ARP pour convertir les adresses, lequel renvoie les adresses ATM.
Les stations IP configurent ensuite un SVC vers la station de destination, et le transfert des
donn&eacute;es d&eacute;marre. Les entr&eacute;es ARP dans les stations IP et le serveur ARP sont fond&eacute;es sur
un m&eacute;canisme bien d&eacute;fini. Pour l’environnement PVC comme pour l’environnement SVC,
chaque station IP dispose d’au moins un circuit virtuel par adresse de destination.
La norme Internet Engineering Task Force RFC2225 remplace la norme RFC1577 et
s’attache principalement au support de la liste des adresses de requ&ecirc;tes ATM ARP. Cette
liste contient une ou plusieurs adresses ATM de serveurs ATM ARP situ&eacute;s au sein du LIS.
Le client RFC2225 supprime le point d’&eacute;chec individuel associ&eacute; aux services ATM ARP du
client 1577. Les clients 2225 ont la possibilit&eacute; de commuter sur les serveurs ARP de
secours en cas d’&eacute;chec du serveur actuel ATM ARP.
ESCALA d&eacute;finit la premi&egrave;re entr&eacute;e de la liste d’adresses des requ&ecirc;tes ATM ARP comme le
serveur ATM ARP principal, les autres &eacute;tant d&eacute;finies comme des serveurs ATM ARP
secondaires.
Le client essaie toujours d’utiliser le serveur ATM ARP principal. En cas d’&eacute;chec de
connexion &agrave; ce serveur, le client essaie de se connecter au premier serveur secondaire (la
position dans la liste d’adresses des requ&ecirc;tes ATM ARP d&eacute;termine l’ordre de celui–ci). En
cas d’&eacute;chec de la connexion au premier serveur ATM ARP secondaire, le client essaie de
se connecter au serveur ATM ARP secondaire suivant de la liste, et ainsi de suite. Ce
processus continue jusqu’&agrave; ce que la connexion aboutisse.
En cas d’&eacute;chec de connexion au serveur ATM ARP principal, ind&eacute;pendamment du serveur
ATM ARP secondaire auquel il est connect&eacute; ou tente de se connecter, le client fait, toutes
les 15 minutes, une nouvelle tentative de connexion au serveur principal ATM ARP. En cas
de r&eacute;ussite, la connexion au serveur ATM ARP secondaire est abandonn&eacute;e.
La liste d’adresses des requ&ecirc;tes ATM ARP est saisie manuellement &agrave; l’aide du menu SMIT
ou de la commande ifconfig. Cette liste ne peut pas &ecirc;tre configur&eacute;e avec la MIB
(Management Information Base).
R&eacute;seau PVC
Utilisez la Figure 14 pour configurer votre r&eacute;seau.
Dans la figure R&eacute;seau ATM type, un sous–r&eacute;seau IP logique est repr&eacute;sent&eacute; par des lignes
de pointill&eacute;s, reliant chaque h&ocirc;te au commutateur. L’autre sous-r&eacute;seau IP est repr&eacute;sent&eacute; par
des traits pleins.
Protocole TCP/IP
4-41
Figure 14. R&eacute;seau ATM repr&eacute;sentatif Cette illustration repr&eacute;sente un r&eacute;seau ATM typique
en &eacute;toile. Au centre de l’&eacute;toile se trouve le commutateur ATM. Des h&ocirc;tes IP num&eacute;rot&eacute;s
partent du commutateur ainsi que des liaisons vers d’autres commutateurs ATM et un
bo&icirc;tier de passerelle et un adaptateur ATM.
H&ocirc;te
non AIX
Vers autres
commutateurs ATM
H&ocirc;te
H6
H&ocirc;te
H1
Commutateurs
ATM
H&ocirc;te
H2
H&ocirc;te
H3
H&ocirc;te
H5
Deux adresses IP
partageant le m&ecirc;me
c&acirc;ble (fibre) physique
H&ocirc;te
H4
Bo&icirc;tier passerelle ATM avec
carte ATM TURBOWAYS 155
Le tableau suivant indique comment configurer les h&ocirc;tes H3 et H4 pour qu’ils puissent
communiquer avec une passerelle et avec chaque h&ocirc;te sur leur propre r&eacute;seau IP logique.
Configuration type d’un h&ocirc;te
Pilote d’interface r&eacute;seau
VPI:VCI
Observations
at0
0:40
Connexion &agrave; 128.10.1.5 (passerelle)
at0
0:42
Connexion &agrave; 128.10.1.2
at0
0:43
Connexion &agrave; 128.10.1.3
at0
0:50
Connexion &agrave; 128.10.2.5 (passerelle)
at0
0:52
Connexion &agrave; 128.10.2.2
at0
0:53
Connexion &agrave; 128.10.2.3
at0
0:54
Connexion &agrave; 128.10.2.4
H&ocirc;te H3
H&ocirc;te H4
4-42
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Pour atteindre les h&ocirc;tes d’un autre sous–r&eacute;seau IP logique, il suffit de cr&eacute;er une connexion
VPI:VCI &agrave; la passerelle (les VPI:VCI indiqu&eacute;s sont de simples exemples).
Le bo&icirc;tier de la passerelle ATM est &eacute;quip&eacute; d’un ATM avec deux adresses IP partageant le
m&ecirc;me c&acirc;ble physique.
R&eacute;seau SVC
En vous aidant de la Figure 15, imaginez que l’h&ocirc;te H3 veut appeler H4. H1 est le serveur
ARP du sous–r&eacute;seau 1 et H6, celui du sous–r&eacute;seau 2. En supposant que le masque de
sous–r&eacute;seau est 255.255.255.0, les stations ayant les adresses 128.10.1.X sont membres
d’un sous–r&eacute;seau, tandis que les stations ayant les adresses 128.10.2.X sont membres
d’un autre sous–r&eacute;seau. Reportez–vous &agrave; la liste des configurations h&ocirc;te repr&eacute;sentatives &agrave;
l’aide des SVC.
Figure 15. R&eacute;seau ATM repr&eacute;sentatif Cette illustration repr&eacute;sente un r&eacute;seau ATM typique
en &eacute;toile. Au centre de l’&eacute;toile se trouve le commutateur ATM. Des h&ocirc;tes IP num&eacute;rot&eacute;s
partent du commutateur ainsi que des liaisons vers d’autres commutateurs ATM et un
bo&icirc;tier de passerelle et un adaptateur ATM.
H&ocirc;te
non AIX
Vers autres
commutateurs ATM
H&ocirc;te
H6
H&ocirc;te
H1
Commutateurs
ATM
H&ocirc;te
H2
H&ocirc;te
H3
H&ocirc;te
H5
Deux adresses IP
partageant le m&ecirc;me
c&acirc;ble (fibre) physique
H&ocirc;te
H4
Bo&icirc;tier passerelle ATM avec
carte ATM TURBOWAYS 155
Protocole TCP/IP
4-43
Liste de configurations type d’h&ocirc;te
Pilote
d’interface
r&eacute;seau
Adresse IP
Serveur ARP
Adresse du
serveur ARP
128.10.1.3
Oui
128.10.1.1
Non
Adresse ATM
de H1
at0
128.10.1.5
Non
Adresse ATM
de H1
at1
128.10.2.5
Non
Adresse ATM
de H6
128.10.2.1
Non
Adresse ATM
de H6
128.10.2.3
Oui
Adresse
passerelle
H&ocirc;te H1
at0
128.10.1.5
H&ocirc;te H3
at0
128.10.1.5
Passerelle
H&ocirc;te H4
at0
128.10.2.5
H&ocirc;te H6
at0
128.10.2.5
Remarque : Chaque sous–r&eacute;seau requiert un et un seul serveur ARP.
H3 identifiant que l’adresse 128.10.2.1 ne se trouve pas sur son sous-r&eacute;seau, consulte H1
pour convertir l’adresse IP de la passerelle par d&eacute;faut en adresse ATM. H3 lance ensuite un
appel &agrave; la passerelle. La passerelle identifie que les donn&eacute;es sont associ&eacute;es au second
sous-r&eacute;seau et consulte H6 pour convertir effectivement l’adresse IP de H4 en adresse
ATM. Des connexions sont ensuite &eacute;tablies entre H3 et la passerelle, et entre la passerelle
et H4.
Configuration d’une carte ATM
Pour configurer la carte ATM, utilisez Web-based System Manager, la commande wsm ou
le raccourci SMIT smit chg_atm. S&eacute;lectionnez un nom de carte, puis avec l’aide en ligne et
les listes &agrave; choix multiples, d&eacute;cidez des modifications &agrave; apporter &agrave; votre configuration.
Statistiques sur la carte ATM
La commande atmstat permet d’obtenir des statistiques sur la carte ATM. Assortie de
l’indicateur –r, elle remet les statistiques &agrave; z&eacute;ro. Son format est atmstat NomUnit&eacute;. Elle
renvoie les ensembles de statistiques suivants :
Statistiques de transmission
Packets :
Nombre de paquets (ou de PDU) transmis.
Bytes :
D&eacute;compte des octets transmis. Ils repr&eacute;sentent les octets de l’utilisateur. La
charge ATM (par exemple, en-t&ecirc;te de cellule ATM, en-queue AAL5 PDU,
etc.) est exclue.
Interrupts :
Champ non utilis&eacute;.
Transmit Errors :
Nombre d’erreurs de transmission pour l’unit&eacute;.
Packets Dropped :
Nombre de paquets de transmission abandonn&eacute;s, suite, par exemple, &agrave; un
incident sur le tampon.
4-44
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Max Packets on S/W Transmit Queue :
Champ non applicable &agrave; ATM.
S/W Transmit Queue Overflow :
Champ non applicable &agrave; ATM.
Current S/W + H/W Transmit Queue Length :
Longueur de la file d’attente de transmission courante.
Cells Transmitted :
Nombre de cellules transmises par cette unit&eacute;.
Out of Xmit Buffers :
Nombre de paquets de transmission abandonn&eacute;s, suite &agrave; un incident sur
les tampons Xmit.
Current HW Transmit Queue Length :
Nombre courant de paquets de transmission sur la file d’attente mat&eacute;rielle.
Current SW Transmit Queue Length :
Champ non applicable &agrave; ATM.
Statistiques de r&eacute;ception
Packets :
Nombre de paquets (ou de PDU) re&ccedil;us.
Bytes :
D&eacute;compte des octets re&ccedil;us. Ils repr&eacute;sentent les octets de l’utilisateur. La
charge ATM (par exemple, en-t&ecirc;te de cellule ATM, en-queue AAL5 PDU,
etc.) est exclue.
Interrupts :
Nombre d’interruptions effectu&eacute;es par le syst&egrave;me pour les indications
carte-vers-syst&egrave;me. Parmi les &eacute;v&eacute;nements susceptibles de provoquer ces
interruptions, citons des paquets re&ccedil;us, des indications de transmission
effectu&eacute;e, etc.
Receive Errors :
Nombre d’erreurs de r&eacute;ception pour cette unit&eacute;.
Packets Dropped :
Nombre de paquets de r&eacute;ception abandonn&eacute;s, suite par exemple &agrave; un
incident sur les tampons.
Bad Packets :
Champ non applicable &agrave; ATM.
Cells Received :
Nombre de cellules re&ccedil;ues par cette unit&eacute;.
Out of Rcv Buffers :
Nombre de paquets abandonn&eacute;s, suite &agrave; un incident sur les tampons de
r&eacute;ception.
CRC Errors :
Nombre de paquets re&ccedil;us ayant rencontr&eacute; des erreurs CRC.
Packets Too Long :
Nombre de paquets re&ccedil;us, qui exc&eacute;daient la taille maximale du PDU.
Incomplete Packets :
Nombre de paquets incomplets re&ccedil;us.
Cells Dropped :
Nombre de cellules abandonn&eacute;es. Les raisons de l’abandon des cellules
sont diverses ; incident au niveau de l’en–t&ecirc;te (HEC), tampon satur&eacute;, etc.
Protocole TCP/IP
4-45
Statistiques g&eacute;n&eacute;rales
No mbuf Errors :
Nombre de requ&ecirc;tes mbuf refus&eacute;es.
Adapter Loss of Signals :
Nombre de pertes de signal rencontr&eacute;es par la carte.
Adapter Reset Count :
Nombre de r&eacute;initialisations effectu&eacute;es sur la carte.
Driver Flags: Up Running Simplex :
Indicateurs NDD.
Virtual Connections in use :
Nombre de VC actuellement allou&eacute;s ou en cours d’utilisation.
Max Virtual Connections in use :
Nombre maximal de VC allou&eacute;s depuis la derni&egrave;re remise &agrave; z&eacute;ro des
statistiques.
Virtual Connections Overflow :
Nombre de demandes d’allocation de VC refus&eacute;es.
SVC UNI Version :
Version UNI courante du protocole de signalisation utilis&eacute;.
Statistiques ATM Micro Channel compl&eacute;mentaires
Pour des statistiques d&eacute;taill&eacute;es, lancez la commande atmstat assortie de l’indicateur –d.
Turboways ATM Adapter Specific Statistics:
Packets Dropped - No small DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de petits
tampons syst&egrave;me pour DMA sur la carte.
Packets Dropped - No medium DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de
tampons syst&egrave;me moyens pour DMA sur la carte.
Packets Dropped – No large DMA buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de grands
tampons syst&egrave;me pour DMA sur la carte.
Receive Aborted – No Adapter Receive buffer :
Nombre de paquets de r&eacute;ception abandonn&eacute;s suite &agrave; l’absence de
tampons de r&eacute;ception sur la carte.
Transmit Aborted – No small DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
petits tampons syst&egrave;me pour DMA.
Transmit Aborted – No medium DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
tampons syst&egrave;me moyens pour DMA.
Transmit Aborted – No large DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
grands tampons syst&egrave;me pour DMA.
Transmit Aborted – No MTB DMA buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
grands tampons syst&egrave;me pour DMA.
Transmit Aborted – No Adapter Transmit buffer :
Nombre de paquets de transmission abandonn&eacute;s suite &agrave; l’absence de
tampons de transmission sur la carte.
4-46
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Max Hardware Transmit Queue Length :
Nombre maximal de paquets de transmission en attente dans la file
mat&eacute;rielle.
Small Mbufs in Use :
Nombre de petits tampons en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Medium Mbufs in Use :
Nombre de tampons moyens en cours d’utilisation. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Large Mbufs in Use :
Nombre de grands tampons en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Huge Mbufs in Use :
Nombre de tr&egrave;s grands tampons en cours d’utilisation. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
MTB Mbufs in Use :
Nombre de tampons MTB en cours d’utilisation. Le pilote d’unit&eacute; de carte
alloue ces tampons en fonction des donn&eacute;es de configuration fournies par
les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Max Small Mbufs in Use :
Nombre maximal de petits tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Max Medium Mbufs in Use :
Nombre maximal de tampons moyens qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute;
de carte alloue ces tampons en fonction des donn&eacute;es de configuration
fournies par les administrateurs syst&egrave;me. Cette information peut servir &agrave;
affiner les donn&eacute;es de configuration.
Max Large Mbufs in Use :
Nombre maximal de grands tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute;
de carte alloue ces tampons en fonction des donn&eacute;es de configuration
fournies par les administrateurs syst&egrave;me. Cette information peut servir &agrave;
affiner les donn&eacute;es de configuration.
Max Huge Mbufs in Use :
Nombre maximal de tr&egrave;s grands tampons qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote
d’unit&eacute; de carte alloue ces tampons en fonction des donn&eacute;es de
configuration fournies par les administrateurs syst&egrave;me. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
MTB Mbufs in Use :
Nombre maximal de tampons MTB qui ont &eacute;t&eacute; utilis&eacute;s. Le pilote d’unit&eacute; de
carte alloue ces tampons en fonction des donn&eacute;es de configuration fournies
par les administrateurs syst&egrave;me. Cette information peut servir &agrave; affiner les
donn&eacute;es de configuration.
Protocole TCP/IP
4-47
Small Mbufs overflow :
Nombre de fois qu’un petit tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Medium Mbufs overflow :
Nombre de fois qu’un moyen tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Large Mbufs overflow :
Nombre de fois qu’un grand tampon n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Huge Mbufs overflow :
Nombre de fois qu’un tr&egrave;s grand tampon n’a pu &ecirc;tre allou&eacute;. Cette
information peut servir &agrave; affiner les donn&eacute;es de configuration.
MTB Mbufs overflow :
Nombre de fois qu’un tampon MTB n’a pu &ecirc;tre allou&eacute;. Cette information
peut servir &agrave; affiner les donn&eacute;es de configuration.
Statistiques propres &agrave; la carte ATM PCI
Total 4K byte Receive Buffers : 768
Using : 512
Nombre de tampons de r&eacute;ception allou&eacute;s ainsi que le nombre de tampons
actuellement en cours d’utilisation.
Max 4K byte Receive Buffers limit : 1228 max_used : 514
Nombre maximum de tampons de r&eacute;ception pouvant &acirc;tre allou&eacute;s ainsi que
le nombre de tampons qui ont &eacute;t&eacute; utilis&eacute;s depuis la derni&egrave;re configuration
ou ouverture de la carte.
4-48
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Interfaces de r&eacute;seau TCP/IP
La couche interface de r&eacute;seau TCP/IP convertit les datagrammes IP de la couche r&eacute;seau
en paquets interpr&eacute;tables et transmissibles par les technologies de r&eacute;seau. Une interface
de r&eacute;seau est un logiciel sp&eacute;cifique d’un r&eacute;seau qui permet la communication entre le pilote
d’unit&eacute; du r&eacute;seau et la couche IP. Ainsi, la couche IP dispose d’une interface fiable pour
communiquer avec toutes les cartes r&eacute;seau en place.
La couche IP s&eacute;lectionne l’interface de r&eacute;seau correspondant &agrave; l’adresse de destination du
paquet &agrave; transmettre. Chaque interface est dot&eacute;e d’une adresse. La couche interface de
r&eacute;seau est charg&eacute;e d’ajouter ou de supprimer l’en-t&ecirc;te appliqu&eacute; par la couche liaison pour
assurer la livraison du message. Le pilote de carte r&eacute;seau contr&ocirc;le la carte r&eacute;seau.
Une interface de r&eacute;seau est g&eacute;n&eacute;ralement associ&eacute;e &agrave; une carte r&eacute;seau, mais ce n’est pas
obligatoire (l’interface de bouclage (loopback), par exemple, ne l’est pas). Chaque machine
doit &ecirc;tre &eacute;quip&eacute;e d’autant de cartes que de r&eacute;seaux (et non de types de r&eacute;seau) auxquels
elle est connect&eacute;e. Cependant, la machine requiert seulement une copie du logiciel
d’interface de r&eacute;seau et une copie du pilote d’unit&eacute; de r&eacute;seau. Par exemple, si un h&ocirc;te est
raccord&eacute; &agrave; deux r&eacute;seaux en anneau &agrave; jeton, il doit &ecirc;tre &eacute;quip&eacute; de deux cartes r&eacute;seau.
Cependant, il requiert seulement une copie du logiciel d’interface de r&eacute;seau et une copie du
pilote de r&eacute;seaux en anneau &agrave; jeton.
TCP/IP accepte plusieurs types d’interface de r&eacute;seau :
• Ethernet standard version 2 (en)
• IEEE 802.3 (et)
• Anneau &agrave; jeton (tr)
• SLIP (sl)
• Bouclage (lo)
• FDDI
• Optique s&eacute;rie (so)
• ATM (at)
• Protocole point &agrave; point (ppp)
• Adresse IP virtuelle (vi)
Les interfaces Ethernet, 802.3 et anneau &agrave; jeton sont destin&eacute;es aux r&eacute;seaux locaux (LAN)
et l’interface SLIP (Serial Line Internet Protocol) aux connexions s&eacute;rie. L’interface de
bouclage (loopback) est utilis&eacute;e par les h&ocirc;tes pour que les messages qu’ils envoient leur
soient r&eacute;exp&eacute;di&eacute;s. L’interface Optique s&eacute;rie s’applique aux r&eacute;seaux optiques point &agrave; point
exploitant le gestionnaire d’unit&eacute; de liaison optique s&eacute;rie. L’interface ATM est utilis&eacute;e pour
les connexions ATM 100 Mbits/sec et 155 Mbits/sec. Le protocole PPP (Point to Point
protocol) est g&eacute;n&eacute;ralement utilis&eacute; lors de la connexion &agrave; un autre ordinateur ou r&eacute;seau via
un modem. L’interface d’adresse IP virtuelle (&eacute;galement connue sous le nom d’interface
virtuelle) n’est pas associ&eacute;e &agrave; une carte r&eacute;seau donn&eacute;e. Plusieurs instances d’une interface
virtuelle peuvent &ecirc;tre configur&eacute;es sur un h&ocirc;te. Lorsque des interfaces virtuelles sont
configur&eacute;es, l’adresse de la premi&egrave;re d’entre elles devient l’adresse source sauf si une
application a choisi une autre interface. Les processus qui utilisent une adresse IP virtuelle
comme adresse source peuvent envoyer des paquets sur toute interface de r&eacute;seau qui
fournit la meilleure route vers cette destination. Les paquets entrants destin&eacute;s &agrave; une
adresse IP virtuelle sont livr&eacute;s au processus quelle que soit l’interface via laquelle ils
arrivent.
Protocole TCP/IP
4-49
Configuration automatique des interfaces de r&eacute;seau
A l’installation d’une nouvelle carte r&eacute;seau (physique), le syst&egrave;me d’exploitation ajoute
automatiquement l’interface correspondante. Par exemple, si vous installez une carte
r&eacute;seau en anneau &agrave; jeton, le syst&egrave;me la nomme tok0 et ajoute l’interface de r&eacute;seau en
anneau &agrave; jeton tr0. De m&ecirc;me, si vous installez une carte Ethernet, le syst&egrave;me la nomme
ent0 et ajoute une interface Ethernet version 2 et une interface IEEE 802.3
(respectivement nomm&eacute;es en0 et et0).
Dans la plupart des cas, il existe une correspondance unique entre un nom de carte et un
nom d’interface de r&eacute;seau. Par exemple, la carte r&eacute;seau en anneau &agrave; jeton tok0
correspond &agrave; l’interface tr0, la carte tok1, &agrave; l’interface tr1, etc. De m&ecirc;me, la carte
Ethernet ent0 correspond aux interfaces en0 (Ethernet version 2) et et0 (IEEE 802.3), la
carte ent1, aux interfaces en1 (Ethernet version 2) et et1 (IEEE 802.3).
Conform&eacute;ment &agrave; RFC1577, une station ATM peut faire partie de plusieurs sous-r&eacute;seaux IP
logiques. Dans ce cas, plusieurs interfaces sont associ&eacute;es &agrave; une unit&eacute;, ce qui suppose
d’ajouter une interface sp&eacute;cifique et de lui affecter un nom d’unit&eacute;.
Remarque :
En circonstances normales d’exploitation, vous n’aurez jamais &agrave; supprimer
ou ajouter manuellement une interface de r&eacute;seau. Mais vous pouvez &ecirc;tre
amen&eacute; &agrave; le faire au cours d’une proc&eacute;dure de r&eacute;solution d’incident. Dans ce
cas, utilisez wsm (Web-based System Manager) ou le raccourci SMIT smit
inet pour supprimer et r&eacute;ajouter l’interface appropri&eacute;e.
A chaque lancement du syst&egrave;me, l’interface de r&eacute;seau est automatiquement configur&eacute;e en
fonction des informations de la base de donn&eacute;es ODM, avec des valeurs par d&eacute;faut. La
communication n’est possible que si une adresse Internet lui a &eacute;t&eacute; attribu&eacute;e. C’est le seul
attribut que vous ayez &agrave; d&eacute;finir. Les autres attributs peuvent conserver leur valeur par
d&eacute;faut. Le d&eacute;tail de ces valeurs est donn&eacute; dans les paragraphes qui suivent.
Configuration Ethernet par d&eacute;faut
Voici les attributs de carte r&eacute;seau Ethernet et leurs valeurs par d&eacute;faut qui peuvent &ecirc;tre
modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web-based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
netaddr
netmask
broadcast
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau Ethernet et sa valeur par d&eacute;faut qui peut &ecirc;tre modifi&eacute;e
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm (Web-based System
Manager).
4-50
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1500
60 &agrave; 1500
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration 802.3 par d&eacute;faut
Voici les attributs de carte r&eacute;seau 802.3 et leurs valeurs par d&eacute;faut qui peuvent &ecirc;tre
modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web-based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
netaddr
netmask
broadcast
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau 802.3 et sa valeur par d&eacute;faut qui peut &ecirc;tre modifi&eacute;e
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm (Web-based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1492
60 &agrave; 1492
Valeurs de configuration par d&eacute;faut de l’anneau &agrave; jeton
Voici les attributs de carte r&eacute;seau en anneau &agrave; jeton et leurs valeurs par d&eacute;faut qui peuvent
&ecirc;tre modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec wsm
(Web-based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
down
up, down, detach
arp
yes
yes, no
hwloop
no
yes, no
no
yes, no
netaddr
netmask
netmask
broadcast
allcast
Voici les attributs de pilote d’unit&eacute; r&eacute;seau en anneau &agrave; jeton et leurs valeurs par d&eacute;faut qui
peuvent &ecirc;tre modifi&eacute;es dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou avec
wsm (Web-based System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu (4Mbps)
1500
60 &agrave; 4056
mtu (16Mbps)
1500
60 &agrave; 17960
Remarque :
Lorsque la communication transite par un pont, la valeur MTU par d&eacute;faut
(de 1500 octets) doit &ecirc;tre ramen&eacute;e &agrave; 8 octets en dessous de la valeur
maximum I-frame d&eacute;clar&eacute;e par le pont dans le champ de contr&ocirc;le de
routage. Par exemple, si la valeur de ”maximum I-frame” est 1500 dans le
champ de contr&ocirc;le de routage, celle de MTU doit &ecirc;tre fix&eacute;e &agrave; 1492 (pour les
interfaces anneau &agrave; jeton seulement). Pour en savoir plus, reportez-vous &agrave;
Incidents sur un pont reliant deux r&eacute;seaux en anneau &agrave; jeton, page 4-234.
Avec la carte en anneau &agrave; jeton IBM 16/4 PowerPC (ISA), le mtu est limit&eacute; &agrave; 2000.
Protocole TCP/IP
4-51
Configuration SLIP par d&eacute;faut
Voici les attributs de carte r&eacute;seau SLIP et leurs valeurs par d&eacute;faut telles qu’elles s’affichent
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web-based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
up
up, down, detach
netaddr
dest
state
netmask
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau SLIP et sa valeur par d&eacute;faut telle qu’elle s’affiche
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web-based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
1006
60 &agrave; 4096
Configuration optique s&eacute;rie par d&eacute;faut
Voici les attributs du convertisseur de canal r&eacute;seau optique s&eacute;rie et leurs valeurs par d&eacute;faut
telles qu’elles s’affichent dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans
wsm Web-based System Manager.
Attribut
Valeur par d&eacute;faut
Valeurs possibles
down
up, down, detach
netaddr
state
netmask
Voici l’attribut du gestionnaire d’unit&eacute; r&eacute;seau optique et sa valeur par d&eacute;faut telle qu’elle
s’affiche dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web-based
System Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
61428
1 &agrave; 61428
Configuration ATM par d&eacute;faut
Voici les attributs de carte r&eacute;seau ATM et leurs valeurs par d&eacute;faut telles qu’elles s’affichent
dans le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web-based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
state
up
up, down, detach
Connection Type
svc_s
svc_c, svc_s, pvc
idle timer
60
1 &agrave; 60
Best Effort Bit Rate (UBR)
en kbits/sec
0
1 &agrave; 155.000
netaddr
netmask
ATM Server Address
Alternate Device
4-52
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Voici l’attribut de pilote d’unit&eacute; r&eacute;seau ATM et sa valeur par d&eacute;faut telle qu’elle s’affiche dans
le menu SMIT S&eacute;lection d’une interface de r&eacute;seau ou dans wsm (Web-based System
Manager).
Attribut
Valeur par d&eacute;faut
Valeurs possibles
mtu
9180
1 &agrave; 64K
Remarque :
La plus grande prudence est recommand&eacute;e aux administrateurs r&eacute;seau
s’ils modifient la taille de MTU d&eacute;finie par d&eacute;faut. La valeur de ce param&egrave;tre
doit &ecirc;tre compatible avec les autres stations du r&eacute;seau.
Si des PVC sont utilis&eacute;s sur une interface, les VPI:VCI doivent &ecirc;tre d&eacute;finis via la derni&egrave;re
option du menu S&eacute;lection d’une interface de r&eacute;seau, PVCs for IP over ATM Network, qui
vous permet de r&eacute;pertorier, d’ajouter, de modifier ou de supprimer des PVC.
R&eacute;seaux avec plusieurs interfaces
Si plusieurs interfaces r&eacute;seau sont connect&eacute;es &agrave; un seul r&eacute;seau, chaque interface doit avoir
une adresse IP unique.
Avant AIX 5.1, si vous configuriez plusieurs interfaces r&eacute;seau sur le m&ecirc;me r&eacute;seau, seule la
premi&egrave;re interface configur&eacute;e avait un routage vers le r&eacute;seau dans la table de routage IP. La
totalit&eacute; du trafic IP sortant passerait par cons&eacute;quent uniquement par cette interface, et pas
les autres interfaces du r&eacute;seau. Bien qu’il soit possible d’utiliser cette configuration pour
&eacute;quilibrer le trafic entrant, il est d&eacute;conseill&eacute; de l’utiliser dans les versions ant&eacute;rieures &agrave;
AIX 5.1.
Dans AIX 5.1 et les versions sup&eacute;rieures, la fonction de Routage multi–chemins permet
d’ajouter des routes &agrave; la table de routage IP pour les interfaces multi–chemins sur le m&ecirc;me
sous–r&eacute;seau. Ceci permet au trafic sortant d’alterner entre les interfaces au lieu d’&ecirc;tre
envoy&eacute;es via une seule interface.
Gestion d’interfaces de r&eacute;seau
Pour g&eacute;rer des interfaces de r&eacute;seau, utilisez le gestionnaire syst&egrave;me Web, WSM Network,
l’application FastPath ou les proc&eacute;dures du tableau suivant.
Gestion des t&acirc;ches d’interfaces de r&eacute;seau
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web-based System
Manager Management
Environment
Liste de toutes les
unit&eacute;s de r&eacute;seau
smit lsinet
lsdev –C –c if
Logiciel ––&gt; Unit&eacute;s ––&gt;
Toutes les unit&eacute;s.
Reportez-vous &agrave; la
commande
ifconfig et au
fichier rc.net
Logiciel ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt;
Configuration de
protocole ––&gt;
Proc&eacute;dez &agrave; la
configuration TCP/IP
de base.
Configuration d’une smit chinet
unit&eacute; de r&eacute;seau
Protocole TCP/IP
4-53
Modification des
informations
d’interface r&eacute;seau
avec /usr mont&eacute; &agrave;
distance
smit chdev1,2
Statistiques sur
une interface de
r&eacute;seau
chgif1,2
Logiciel ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt; Interfaces de
r&eacute;seau ––&gt;. Cliquez
avec le bouton droit et
s&eacute;lectionnez Propri&eacute;t&eacute;s
––&gt; Alias.
netstat –v
R&eacute;seau ––&gt; R&eacute;seau
––&gt; TCPIP (IPv4 et
IPv6) ––&gt; Interfaces de
r&eacute;seau ––&gt;
Statistiques sur le
r&eacute;seau.
Remarques :
1. Les modifications apport&eacute;es depuis un /usr mont&eacute; &agrave; distance n’affectent que l’ODM tant
que le r&eacute;seau n’est pas r&eacute;initialis&eacute; ou tant que la commande ifconfig n’a pas &eacute;t&eacute; utilis&eacute;e
pour valider les modifications.
2. Avec /usr mont&eacute; &agrave; distance, l’administrateur syst&egrave;me doit veiller &agrave; ne pas changer
l’interface car elle correspond &agrave; l’emplacement des biblioth&egrave;ques, des commandes et du
noyau.
Options du r&eacute;seau sp&eacute;cifiques &agrave; l’interface
Les interfaces TCP/IP doivent &ecirc;tre sp&eacute;cialement d&eacute;finies pour atteindre une bonne
performance r&eacute;seau &agrave; haut d&eacute;bit (au moins 100 Mo). Le fait que plusieurs interfaces de
r&eacute;seau et une combinaison d’interfaces TCP/IP traditionnelles et &agrave; haut d&eacute;bit puissent &ecirc;tre
utilis&eacute;es sur un seul syst&egrave;me complique cet effort. Avant AIX 4.3.3 (4330–08) et AIX 5.1,
AIX fournissait un seul ensemble de valeurs au niveau des syst&egrave;mes pour les param&egrave;tres
de r&eacute;glage de r&eacute;seau d’interface IP principaux, ce qui rendait impossible le r&eacute;glage d’un
syst&egrave;me ayant des interfaces de cartes r&eacute;seau tr&egrave;s diff&eacute;rentes. Depuis AIX 4.3.3 (4330–08)
et AIX 5.1, Interface Specific Network Options (ISNO) permet aux administrateurs syst&egrave;me
de r&eacute;gler chaque interface TCP/IP pour obtenir la meilleure performance.
Il existe cinq param&egrave;tres ISNO par interface prise en charge : rfc1323, tcp_nodelay,
tcp_sendspace, tcp_recvspace et tcp_mssdflt. Lorsqu’elles sont d&eacute;finies, les valeurs de
ces param&egrave;tres remplacent les param&egrave;tres de m&ecirc;mes noms d&eacute;finis avec la commande no
au niveau de l’ensemble du syst&egrave;me. Lorsque les options ISNO ne sont pas d&eacute;finies pour
une interface particuli&egrave;re, les options au niveau de l’ensemble du syst&egrave;me sont utilis&eacute;es.
Lorsque des options ont &eacute;t&eacute; d&eacute;finies par une application pour un socket donn&eacute; utilisant la
sous–routine setsockopt, de telles options remplacent les ISNO.
L’option de r&eacute;seau use_isno, d&eacute;finie avec la commande no, doit &ecirc;tre &eacute;gale &agrave; 1 pour que
les ISNO soient pris en compte. La valeur par d&eacute;faut de use_isno est 1.
Les param&egrave;tres ISNO de certaines cartes &agrave; haut d&eacute;bit sont d&eacute;finis par d&eacute;faut dans la base
de donn&eacute;es d’ODM.
Les interfaces Gigabit Ethernet, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 9000,
utilisent les valeurs ISNO suivantes par d&eacute;faut :
4-54
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
131072
262144
262144
tcp_recvspace
92160
131072
131072
rfc1323
1
1
1
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les interfaces Gigabit Ethernet, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 1500,
utilisent les valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
65536
131072
131072
tcp_recvspace
16384
65536
65536
rfc1323
0
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 1500, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
16384
non d&eacute;finie
non d&eacute;finie
tcp_recvspace
16384
non d&eacute;finie
non d&eacute;finie
rfc1323
0
non d&eacute;finie
non d&eacute;finie
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 65527, utilisent
les valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
655360
655360
655360
tcp_recvspace
655360
655360
655360
rfc1323
0
1
1
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces ATM, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 9180, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur pour AIX
4.3.3
Valeur pour AIX
4.3.3 (4330–08)
Valeur pour AIX 5.1
(ou version
sup&eacute;rieure)
tcp_sendspace
65536
65536
65536
tcp_recvspace
65536
65536
65536
rfc1323
0
non d&eacute;finie
non d&eacute;finie
tcp_nodelay
0
non d&eacute;finie
non d&eacute;finie
tcp_mssdflt
512
non d&eacute;finie
non d&eacute;finie
Les interfaces FDDI, lorsqu’elles sont configur&eacute;es pour utiliser un MTU de 4352, utilisent les
valeurs ISNO suivantes par d&eacute;faut :
Nom
Valeur
tcp_sendspace
45046
tcp_recvspace
45046
Protocole TCP/IP
4-55
Les param&egrave;tres ISNO ne peuvent pas &ecirc;tre affich&eacute;s ou modifi&eacute;s &agrave; l’aide de SMIT. Ils peuvent
&ecirc;tre d&eacute;finis &agrave; l’aide des commandes chdev ou ifconfig. La commande ifconfig ne modifie
les valeurs que jusqu’au prochain red&eacute;marrage du syst&egrave;me. La commande chdev modifie
les valeurs dans la base de donn&eacute;es d’ODM afin qu’elles soient utilis&eacute;es lors de
red&eacute;marrages ult&eacute;rieurs du syst&egrave;me. Les commandes lsattr ou ifconfig peuvent &ecirc;tre
utilis&eacute;es pour afficher les valeurs actuelles.
Exemple
Les commandes suivantes peuvent &ecirc;tre d’abord utilis&eacute;es pour v&eacute;rifier la prise en charge du
syst&egrave;me et de l’interface, puis pour d&eacute;finir et v&eacute;rifier les nouvelles valeurs.
1. V&eacute;rifiez la prise en charge du syst&egrave;me g&eacute;n&eacute;ral et de l’interface en utilisant les
commandes no et lsattr.
– V&eacute;rifiez que l’option use_isno est activ&eacute;e en utilisant une commande semblable &agrave; la
suivante :
$ no –a | grep isno
use_isno=1
– V&eacute;rifiez que l’interface prend en charge les cinq nouveaux ISNO utilisant la commande
lsattr –El, comme illustr&eacute; ci–dessous :
$ lsattr –E –l en0 –H
attribute
value
rfc1323
tcp_nodelay
tcp_sendspace
tcp_recvspace
tcp_mssdflt
description
N/A
N/A
N/A
N/A
N/A
2. D&eacute;finissez les valeurs sp&eacute;cifiques &agrave; l’interface en utilisant les commandes ifconfig ou
chdev. La commande ifconfig d&eacute;finit temporairement des valeurs, ce qui est
recommand&eacute; pour effectuer des tests. La commande chdev modifie l’ODM, les valeurs
personnalis&eacute;es conservent donc leur validit&eacute; apr&egrave;s un red&eacute;marrage du syst&egrave;me.
– D&eacute;finissez tcp_recvspace et tcp_sendspace &agrave; 64 K et activez tcp_nodelay en
utilisant l’une des solutions suivantes :
$ ifconfig en0 tcp_recvspace 65536 tcp_sendspace 65536 tcp_nodelay 1
$ chdev –l en0 –a tcp_recvspace=65536 –a tcp_sendspace=65536 –a
tcp_nodelay=1
– En supposant &eacute;galement que la commande no donne une valeur globale rfc1323=1,
l’utilisateur racine peut d&eacute;sactiver rfc1323 pour toutes les connexions sur en0 avec les
commandes suivantes :
$ ifconfig en0 rfc1323 0
$ chdev –l en0 –a rfc1323=0
3. V&eacute;rifiez les param&egrave;tres &agrave; l’aide des commandes ifconfig ou lsattr, comme illustr&eacute; dans
l’exemple ci–dessous :
$ ifconfig en0 &lt;UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST
,GROUPRT,64BIT&gt;
en0: flags=e080863
inet 9.19.161.100 netmask 0xffffff00 broadcast 9.19.161.255
tcp_sendspace 65536 tcp_recvspace 65536 tcp_nodelay 1 rfc1323 0
$ lsattr –El en0
rfc1323
tcp_nodelay
tcp_sendspace
tcp_recvspace
tcp_mssdflt
4-56
0
1
65536
65536
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
N/A
N/A
N/A
N/A
N/A
True
True
True
True
True
Adressage TCP/IP
TCP/IP contient un sch&eacute;ma d’adressage Internet qui permet aux utilisateurs et aux
applications d’obtenir l’identit&eacute; d’un r&eacute;seau ou d’un h&ocirc;te pour &eacute;tablir une communication.
Une adresse Internet fonctionne sur le m&ecirc;me principe qu’une adresse postale : elle permet
aux donn&eacute;es d’&ecirc;tre achemin&eacute;es &agrave; destination. TClP/IP int&egrave;gre des normes d’adressage de
r&eacute;seaux, sous-r&eacute;seaux, h&ocirc;tes, sockets, et des normes d’utilisation des adresses de diffusion
et de bouclage.
Une adresse Internet est constitu&eacute;e d’une adresse r&eacute;seau et d’une adresse d’h&ocirc;te (locale).
Ce format permet de sp&eacute;cifier dans la m&ecirc;me adresse le r&eacute;seau et l’h&ocirc;te cible. Une adresse
officielle unique est attribu&eacute;e &agrave; chaque r&eacute;seau qui se connecte &agrave; d’autres r&eacute;seaux Internet.
Pour les r&eacute;seaux non connect&eacute;s &agrave; d’autres r&eacute;seaux Internet, l’adresse peut &ecirc;tre d&eacute;termin&eacute;e
selon la convenance locale.
Le sch&eacute;ma d’adressage Internet propose des adresses IP (Internet Protocol) et deux cas
particuliers d’adresse IP : adresses de diffusion et adresses de bouclage.
Adresses Internet
Le protocole IP (Internet Protocol) utilise une zone d’adresse de 32 bits form&eacute;e de deux
parties. Les 32 bits sont r&eacute;partis en groupes de quatre octets comme suit :
01111101 00001101 01001001 00001111
Ces nombres binaires correspondent &agrave; :
125 13 73 15
Les deux parties de l’adresse Internet sont respectivement l’adresse r&eacute;seau et l’adresse
h&ocirc;te. Ainsi, un h&ocirc;te distant peut exp&eacute;dier des informations en pr&eacute;cisant le r&eacute;seau distant et
l’h&ocirc;te destinataire sur ce r&eacute;seau. Par convention, le num&eacute;ro d’h&ocirc;te 0 (z&eacute;ro) d&eacute;signe le
r&eacute;seau lui-m&ecirc;me.
TCP/IP prend en charge trois classes d’adresses Internet : A, B et C, qui se distinguent par
l’attribution des 32 bits. L’appartenance &agrave; une classe est d&eacute;termin&eacute;e par la taille du r&eacute;seau.
Adresses de classe A
Une adresse de classe A se compose d’une adresse de r&eacute;seau de 8 bits et d’une adresse
h&ocirc;te local de 24 bits. Le premier bit de l’adresse de r&eacute;seau sert &agrave; d&eacute;signer la classe du
r&eacute;seau et les 7 autres, l’adresse effective. Le nombre le plus &eacute;lev&eacute; que peuvent repr&eacute;senter
ces 7 bits en binaire est 128 ; la classe A offre donc 128 adresses possibles. Deux sont
r&eacute;serv&eacute;es &agrave; des cas particuliers : l’adressage de bouclage local pour l’une (code 127) et
l’adressage de diffusion pour l’autre (adresse qui couvre la totalit&eacute; des r&eacute;seaux).
Il en r&eacute;sulte 126 adresses de r&eacute;seau de classe A possibles et 16 777 216 adresses d’h&ocirc;te
local. Dans une adresse de classe A, le bit de poids fort est positionn&eacute; &agrave; 0 (voir figure ).
Figure 16. Adresse de classe A Cette illustration repr&eacute;sente une structure d’adresse de
classe A typique. Les 8 premiers bits contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours
par un z&eacute;ro). Les 24 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(8 bits)
Adresse d’h&ocirc;te local
(24 bits)
Remarque : Le bit de poids fort (le premier) est toujours positionn&eacute; &agrave; 0 dans une
adresse de classe A.
Autrement dit, le premier octet d’une adresse de classe A est compris entre 1 et 126.
Protocole TCP/IP
4-57
Adresse de classe B
Une adresse de classe B se compose d’une adresse de r&eacute;seau de 16 bits et d’une adresse
h&ocirc;te local de 16 bits. Les 2 premiers bits de l’adresse de r&eacute;seau d&eacute;signent la classe de
r&eacute;seau et les 14 autres, l’adresse effective. Par cons&eacute;quent, il y a 16 384 adresses de
r&eacute;seau possibles et 65 536 adresses h&ocirc;te local. Dans une adresse de classe B, les bits de
poids fort sont positionn&eacute;s &agrave; 1 et 0.
Figure 17. Adresse de classe B Cette illustration repr&eacute;sente une structure d’adresse de
classe B typique. Les 16 premiers bits contiennent l’adresse r&eacute;seau. Les deux bits d’ordre
sup&eacute;rieur sont toujours un 1 et un z&eacute;ro. Les 16 bits restants contiennent l’adresse h&ocirc;te
locale.
Adresse de r&eacute;seau
(16 bits)
Adresse d’h&ocirc;te local
(16 bits)
Remarque : Les 2 bits de poids fort (les deux premiers) sont toujours positionn&eacute;s
&agrave; 1 et 0 dans une adresse de classe B.
Autrement dit, le premier octet d’une adresse de classe B est compris entre 128 et 191.
Adresse de classe C
Une adresse de classe C se compose d’une adresse de r&eacute;seau de 24 bits et d’une adresse
h&ocirc;te local de 8 bits. Les 2 premiers bits de l’adresse de r&eacute;seau d&eacute;signent la classe de
r&eacute;seau et les 22 autres, l’adresse effective. Par cons&eacute;quent, il y a 2 097 152 adresses de
r&eacute;seau possibles et 256 adresses h&ocirc;te local possibles. Dans une adresse de classe C, les
bits de poids fort sont positionn&eacute;s &agrave; 1 et 1 (voir figure).
Figure 18. Adresse de classe C Cette illustration repr&eacute;sente une structure d’adresse de
classe C typique. Les 24 premiers bits contiennent l’adresse r&eacute;seau (les deux bits d’ordre
sup&eacute;rieur sont toujours un 1 et un 1). Les 8 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(24 bits)
Adresse d’h&ocirc;te local
(8 bits)
Remarque : Les 2 bits de poids fort (les deux premiers) sont toujours positionn&eacute;s
&agrave; 1 dans une adresse de classe C.
Autrement dit, le premier octet d’une adresse de classe C est compris entre 192 et 223.
Pour d&eacute;cider de la classe d’adresse, vous devez tenir compte du nombre d’h&ocirc;tes locaux et
de sous-r&eacute;seaux pr&eacute;vus. Si l’organisation est r&eacute;duite et que le r&eacute;seau comporte moins de
256 h&ocirc;tes, une adresse de classe C est probablement suffisante. Sinon, il faut envisager
une adresse de classe A ou B.
Remarque :
Les adresses de classe D (1-1-1-0 pour les bits de poids fort), prises en
charge par UDP/IP sous ce syst&egrave;me, sont utilis&eacute;es comme adresses de
diffusion.
Les machines lisent les adresses en code binaire. Par convention, les adresses h&ocirc;tes
Internet sont exprim&eacute;es en notation d&eacute;cimale &agrave; points sur 32 bits r&eacute;partis en quatre zones
de 8 bits. Par exemple, la valeur binaire :
0001010 00000010 00000000 00110100
4-58
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
peut &ecirc;tre exprim&eacute;e comme suit :
010.002.000.052
ou
10.2.0.52
La valeur de chacune de ces zones, s&eacute;par&eacute;es par un point, est un nombre d&eacute;cimal.
Remarque :
La commande hostent reconna&icirc;t les adresses suivantes : .08, .008, .09
et .009. Les adresses introduites par des z&eacute;ros sont interpr&eacute;t&eacute;es en base
octale, laquelle exclut les chiffres 8 et 9.
TCP/IP requiert une adresse Internet unique pour chaque interface (carte) du r&eacute;seau. Ces
adresses, d&eacute;finies par la base de donn&eacute;es de configuration, doivent concorder avec celles
du fichier /etc/hosts ou, si un serveur de noms est utilis&eacute;, de la base de donn&eacute;es named.
Adresses Internet avec z&eacute;ros
Lorsque la zone d’adresse h&ocirc;te d’une adresse Internet de classe C a la valeur 0 (par
exemple 192.9.200.0), TCP/IP envoie une adresse g&eacute;n&eacute;rique sur le r&eacute;seau : toutes les
machines dot&eacute;es de l’adresse de classe 192.9.200.X (o&ugrave; X repr&eacute;sente une valeur comprise
entre 0 et 254) doivent r&eacute;pondre &agrave; la requ&ecirc;te. Il en r&eacute;sulte que le r&eacute;seau est inond&eacute; de
requ&ecirc;tes adress&eacute;es &agrave; des machines inexistantes.
Le m&ecirc;me probl&egrave;me se pose pour une adresse de classe B du type 129.5.0.0 : toutes les
machines dot&eacute;es de l’adresse de classe 129.5.X.X. (o&ugrave; X repr&eacute;sente une valeur comprise
entre 0 et 254) doivent r&eacute;pondre &agrave; la requ&ecirc;te. Mais, dans ce cas, le nombre de requ&ecirc;tes est
bien plus important encore que sur un r&eacute;seau de classe C car les adresses de classe B
couvrent des r&eacute;seaux plus vastes.
Adresses de sous-r&eacute;seau
Gr&acirc;ce au m&eacute;canisme d’adressage de sous-r&eacute;seau, un syst&egrave;me autonome regroupant
plusieurs r&eacute;seaux peut disposer d’une m&ecirc;me adresse Internet. Il est &eacute;galement possible de
diviser un r&eacute;seau en plusieurs r&eacute;seaux logiques (sous-r&eacute;seaux). Par exemple, une
organisation sera dot&eacute;e d’une adresse Internet unique connue par les utilisateurs ext&eacute;rieurs
&agrave; l’organisation mais comportera en interne plusieurs sous-r&eacute;seaux de service. Quel que
soit le cas de figure, l’adressage de sous-r&eacute;seau r&eacute;duit le nombre d’adresses Internet
requises et optimise le routage local.
La zone d’adresse du protocole IP est form&eacute;e de deux parties : une adresse r&eacute;seau et une
adresse locale. Cette derni&egrave;re est constitu&eacute;e d’un num&eacute;ro de sous–r&eacute;seau et d’un num&eacute;ro
d’h&ocirc;te, ce qui permet de d&eacute;finir des adresses de sous–r&eacute;seau. L’identification du
sous–r&eacute;seau est suffisamment pr&eacute;cise pour assurer le routage des messages de fa&ccedil;on
fiable.
Dans l’adresse Internet de classe A (voir figure), qui se compose d’une adresse de r&eacute;seau
de 8 bits et d’une adresse h&ocirc;te local de 24 bits, l’adresse locale identifie la machine h&ocirc;te
sp&eacute;cifique sur le r&eacute;seau.
Figure 19. Adresse de classe A Cette illustration repr&eacute;sente une structure d’adresse de
classe A typique. Les 8 premiers bits contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours
par un z&eacute;ro). Les 24 bits restants contiennent l’adresse h&ocirc;te locale.
Adresse de r&eacute;seau
(8 bits)
Adresse d’h&ocirc;te local
(24 bits)
Pour cr&eacute;er une adresse de sous-r&eacute;seau pour r&eacute;seau Internet de classe A, l’adresse locale
est compos&eacute;e de deux &eacute;l&eacute;ments : le num&eacute;ro d’identification du r&eacute;seau physique
(ou sous-r&eacute;seau) et le num&eacute;ro de l’h&ocirc;te sur le sous-r&eacute;seau. Les messages sont renvoy&eacute;s &agrave;
l’adresse de r&eacute;seau indiqu&eacute;e et le syst&egrave;me local se charge d’acheminer les messages vers
Protocole TCP/IP
4-59
ses sous-r&eacute;seaux et h&ocirc;tes. Le partitionnement de l’adresse locale en adresses sous-r&eacute;seau
et h&ocirc;te s’effectue en fonction du nombre de sous-r&eacute;seaux et d’h&ocirc;tes correspondants.
Le tableau ci–dessous d&eacute;crit l’adresse locale divis&eacute;e en une adresse de sous–r&eacute;seau
12 bits et une adresse h&ocirc;te 12 bits.
Figure 20. Adresse de classe A avec sous–r&eacute;seau correspondant Adresse Cette
illustration repr&eacute;sente une structure d’adresse de classe A typique. Les 8 premiers bits
contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours par un z&eacute;ro). Les 24 derniers bits
contiennent l’adresse h&ocirc;te locale avec l’adresse de sous–r&eacute;seau qui occupe les 8 premiers
bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Remarque : Le bit de poids fort (le premier) est toujours positionn&eacute; &agrave; 0 dans une
adresse de classe A.
Vous b&eacute;n&eacute;ficiez d’une grande souplesse d’adressage des sous-r&eacute;seaux et h&ocirc;tes. Les bits
de l’adresse locale peuvent &ecirc;tre r&eacute;partis en fonction de la croissance potentielle de
l’organisation et de la structure de r&eacute;seau. Les r&egrave;gles &agrave; respecter sont les suivantes :
• adresse_r&eacute;seau correspond &agrave; l’adresse Internet.
• adresse_sous–r&eacute;seau est une zone de longueur constante pour un r&eacute;seau donn&eacute;.
• adresse_h&ocirc;te est une zone de 1 bit minimum.
Si la longueur de la zone adresse de sous–r&eacute;seau est 0, le r&eacute;seau n’est pas organis&eacute;
en sous-r&eacute;seaux, et l’adressage du r&eacute;seau se fait par le biais de l’adresse de r&eacute;seau
Internet.
Il n’est donc pas n&eacute;cessaire que ces bits soient contigus dans l’adresse, bien que ce soit
g&eacute;n&eacute;ralement pr&eacute;f&eacute;rable. De m&ecirc;me, il est conseill&eacute; de positionner les bits de sous-r&eacute;seau
comme bits de poids fort de l’adresse locale.
Masques de sous-r&eacute;seau
Lorsqu’un h&ocirc;te envoie un message, le syst&egrave;me doit d&eacute;terminer si la destination du message
se trouve sur le m&ecirc;me r&eacute;seau que la source ou sur un r&eacute;seau directement accessible par
une des interfaces locales. Pour ce faire, il compare l’adresse de destination &agrave; l’adresse
h&ocirc;te sur la base d’un masque de sous-r&eacute;seau. Lorsque la destination n’est pas locale, le
message transite par une passerelle. La passerelle d&eacute;termine si la destination est
accessible localement en proc&eacute;dant &agrave; la m&ecirc;me comparaison.
Le masque de sous-r&eacute;seau fournit au syst&egrave;me le sch&eacute;ma de partitionnement du
sous-r&eacute;seau. Ce masque de bits comporte la partie adresse de r&eacute;seau et la partie adresse
de sous-r&eacute;seau de l’adresse Internet (voir figure). Par exemple, le masque de sous-r&eacute;seau
de l’adresse de classe A r&eacute;partie comme indiqu&eacute; pr&eacute;c&eacute;demment se pr&eacute;sente comme suit :
4-60
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Figure 21. Adresse de classe A avec sous–r&eacute;seau correspondant Adresse Cette
illustration repr&eacute;sente une structure d’adresse de classe A typique. Les 8 premiers bits
contiennent l’adresse r&eacute;seau (commen&ccedil;ant toujours par un z&eacute;ro). Les 24 derniers bits
contiennent l’adresse h&ocirc;te locale avec l’adresse de sous–r&eacute;seau qui occupe les 8 premiers
bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Adresse de classe A int&eacute;grant une adresse de sous-r&eacute;seau
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Masque de sous-r&eacute;seau
Adresse d’h&ocirc;te
Adresse de classe A int&eacute;grant un masque de sous-r&eacute;seau
Le masque de sous-r&eacute;seau est un ensemble de 4 octets, comme l’adresse interr&eacute;seau. Il
comporte des bits de poids fort (les 1) qui correspondent aux emplacements de bits de
l’adresse de r&eacute;seau et de sous-r&eacute;seau, et des bits de poids faible (les 0) correspondant aux
emplacements des bits de l’adresse h&ocirc;te. Le masque de sous-r&eacute;seau de l’adresse donn&eacute;e
dans la figure ci-dessus se pr&eacute;sente comme suit :
Figure 22. Exemple de masque de sous–r&eacute;seau Cette illustration repr&eacute;sente un exemple
d’une structure de masque de sous–r&eacute;seau. Les 8 premiers bits contiennent l’adresse
r&eacute;seau. Les 24 derniers bits contiennent l’adresse h&ocirc;te locale avec l’adresse de
sous–r&eacute;seau qui occupe les 8 premiers bits et l’adresse h&ocirc;te qui occupe les 8 derniers bits.
Adresse de r&eacute;seau
(8 bits)
Adresse de r&eacute;seau
Adresse d’h&ocirc;te local
(24 bits)
Adresse de sous-r&eacute;seau
Adresse d’h&ocirc;te
Comparaison d’adresses
L’adresse de destination est compar&eacute;e &agrave; l’adresse de r&eacute;seau local en appliquant l’op&eacute;rateur
logique AND et l’op&eacute;rateur d’exclusion OR sur le masque de sous-r&eacute;seau de l’h&ocirc;te source :
La proc&eacute;dure de comparaison se d&eacute;roule comme suit :
1. Application de l’op&eacute;rateur logique AND entre l’adresse de destination et le masque de
l’adresse de sous-r&eacute;seau local.
2. Application de l’op&eacute;rateur d’exclusion OR entre le r&eacute;sultat de l’op&eacute;ration pr&eacute;c&eacute;dente et
l’adresse de r&eacute;seau local associ&eacute;e &agrave; l’interface locale.
Si le r&eacute;sultat ne fournit que des z&eacute;ros, la destination est suppos&eacute;e directement
accessible via une des interfaces locales.
Protocole TCP/IP
4-61
3. Si un syst&egrave;me autonome est &eacute;quip&eacute; de plusieurs interfaces (et donc de plusieurs
adresses Internet), la comparaison est effectu&eacute;e pour chaque interface locale.
Supposons, par exemple, que deux interfaces locales soient d&eacute;finies pour le r&eacute;seau
h&ocirc;te T125. Leur adresse Internet et la repr&eacute;sentation binaire de ces adresses doivent se
pr&eacute;senter comme suit :
Adresses d’interface de r&eacute;seau local
CLASS A
73.1.5.2
= 01001001 00000001 00000101 00000010
CLASS B
145.21.6.3 = 10010001 00010101 00000110 00000011
Les masques de sous-r&eacute;seau correspondants des interfaces de r&eacute;seau local se pr&eacute;sentent
comme suit :
Adresses d’interface de r&eacute;seau local
CLASS A
73.1.5.2
= 11111111 11111111 11100000 00000000
CLASS B
145.21.6.3 = 11111111 11111111 11111111 11000000
Si le r&eacute;seau source T125 est sollicit&eacute; pour envoyer un message au r&eacute;seau de destination
avec 114.16.23.8 pour adresse h&ocirc;te (repr&eacute;sent&eacute;e en binaire par 01110010 00010000
00010111 00001000), le syst&egrave;me v&eacute;rifie si la destination est directement accessible via une
interface locale.
Remarque: Le mot cl&eacute; subnetmask doit &ecirc;tre d&eacute;fini dans la base de donn&eacute;es de
configuration de chaque h&ocirc;te appel&eacute; &agrave; desservir des sous-r&eacute;seaux. En effet,
les sous-r&eacute;seaux ne sont utilisables que s’ils sont pris en charge par chaque
h&ocirc;te du r&eacute;seau. Vous devez donc d&eacute;clarer le masque de sous-r&eacute;seau comme
permanent dans la base de donn&eacute;es de configuration, via le menu SMIT
S&eacute;lection d’une interface de r&eacute;seau ou via l’application Web-based System
Manager Network. Vous pouvez &eacute;galement d&eacute;clarer le masque de
sous–r&eacute;seau dans le syst&egrave;me d’exploitation via la commande ifconfig.
(si vous utilisez ifconfig, la modification n’est pas permanente).
Adresses de diffusion
TCP/IP peut transmettre des donn&eacute;es &agrave; tous les h&ocirc;tes du r&eacute;seau local ou des r&eacute;seaux
directement connect&eacute;s. Ces transmissions sont appel&eacute;es messages de diffusion. Par
exemple, le d&eacute;mon de routage routed fait appel &agrave; ce type de message pour lancer des
requ&ecirc;tes de routage ou y r&eacute;pondre.
Les donn&eacute;es &agrave; diffuser aux h&ocirc;tes des r&eacute;seaux directement connect&eacute;s sont transmises par
les protocoles UDP (User Datagram Protocol) et IP (Internet Protocol), avec, dans l’en-t&ecirc;te
IP, tous les bits de l’adresse de destination h&ocirc;te positionn&eacute;s &agrave; 1. Dans le cas de donn&eacute;es &agrave;
diffuser aux h&ocirc;tes d’un r&eacute;seau sp&eacute;cifique, tous les bits de la partie adresse locale de
l’adresse IP sont positionn&eacute;s &agrave; 0.
L’adresse de diffusion peut &ecirc;tre modifi&eacute;e temporairement via le param&egrave;tre broadcast dans
la commande ifconfig. Modifiez-la de fa&ccedil;on permanente avec le raccourci Web-based
System Manager wsm ou avec le raccourci SMIT smit chinet. Ceci peut s’av&eacute;rer utile pour
la compatibilit&eacute; avec des versions ant&eacute;rieures de logiciels qui utilisent des adresses de
diffusion diff&eacute;rentes (avec, par exemple, des ID h&ocirc;te d&eacute;finies &agrave; 0).
Adresses de bouclage local
Le protocole IP d&eacute;clare l’adresse de r&eacute;seau sp&eacute;ciale 127.0.0.1 comme adresse de
bouclage local. Les h&ocirc;tes utilisent cette adresse pour s’envoyer des messages &agrave;
eux-m&ecirc;mes. L’adresse de bouclage local est d&eacute;finie par le gestionnaire de configuration lors
du d&eacute;marrage du syst&egrave;me. Le bouclage local est appliqu&eacute; dans le noyau et peut &eacute;galement
&ecirc;tre d&eacute;fini avec la commande ifconfig. Le bouclage est appel&eacute; au lancement du syst&egrave;me.
4-62
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
R&eacute;solution de noms sous TCP/IP
Bien que les adresses Internet 32–bits fournissent un moyen efficace d’identifier la source
et la destination des datagrammes &agrave; travers un interr&eacute;seau, les utilisateurs pr&eacute;f&egrave;rent utiliser
des noms repr&eacute;sentatifs et faciles &agrave; m&eacute;moriser. TCP/IP propose un syst&egrave;me d’attribution de
noms applicable &agrave; des r&eacute;seaux hi&eacute;rarchiques ou plats.
Cette section traite des points suivants :
• Syst&egrave;me d’appellation, page 4-63
• R&eacute;solution locale des noms (/etc/hosts), page 4-71
• Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN), page 4-72
• Serveur de noms : g&eacute;n&eacute;ralit&eacute;s page 4-73
• Configuration des serveurs de noms, page 4-73
• Configuration d’un serveur exp&eacute;diteur, page 4-77
• Configuration d’un serveur de noms exclusivement exp&eacute;diteur, page 4-78
• Configuration d’un h&ocirc;te avec un serveur de noms, page 4-80
• Configuration de zones dynamiques sur le serveur de noms DNS, page 4-82
• Planification et configuration pour la r&eacute;solution de noms LDAP (Sch&eacute;ma de r&eacute;pertoire
SecureWay), page 4-89
• Planification et configuration pour la r&eacute;solution de noms NIS_LDAP (Sch&eacute;ma RFC
2307), page 4-90
Syst&egrave;me d’appellation
Le syst&egrave;me d’appellation des r&eacute;seaux plats est tr&egrave;s simple : les noms attribu&eacute;s aux h&ocirc;tes
sont form&eacute;s par une cha&icirc;ne unique de caract&egrave;res et g&eacute;r&eacute;s le plus souvent localement.
Chaque machine du r&eacute;seau plat dispose d’un fichier /etc/hosts qui contient, pour chaque
h&ocirc;te du syst&egrave;me, l’&eacute;quivalence entre le nom et l’adresse Internet. Ce fichier s’&eacute;toffe avec
l’extension du r&eacute;seau et sa mise &agrave; jour repr&eacute;sente une t&acirc;che de plus en plus lourde.
Lorsque des r&eacute;seaux prennent une grande envergure comme dans le cas d’Internet, leurs
syst&egrave;mes d’appellation sont hi&eacute;rarchis&eacute;s. Ces divisions refl&egrave;tent g&eacute;n&eacute;ralement
l’organisation des r&eacute;seaux. En TCP/IP, le syst&egrave;me d’appellation est connu sous le nom de
DNS (domain name system) et utilise le protocole DOMAIN. Ce protocole DOMAIN est
lanc&eacute; par le d&eacute;mon named dans TCP/IP.
Le syst&egrave;me d’appellation hi&eacute;rarchique DNS, comme pour les r&eacute;seaux plats, attribue aux
r&eacute;seaux et aux h&ocirc;tes des noms symboliques &agrave; la fois repr&eacute;sentatifs et faciles &agrave; m&eacute;moriser.
Mais au lieu de tenir un fichier d’&eacute;quivalence sur chaque machine du r&eacute;seau, il d&eacute;signe un
ou plusieurs h&ocirc;tes pour jouer le r&ocirc;le de serveurs de noms. Ces serveurs sont charg&eacute;s de
traduire (r&eacute;soudre) les noms symboliques des r&eacute;seaux et des h&ocirc;tes en adresses Internet
interpr&eacute;tables par les machines. Chaque serveur dispose des informations compl&egrave;tes sur la
zone du domaine dont il a la charge.
Autorit&eacute; d’appellation
Dans un r&eacute;seau plat, tous les h&ocirc;tes sont g&eacute;r&eacute;s par une autorit&eacute; centrale. Cette forme de
r&eacute;seau implique que tous les h&ocirc;tes aient un nom unique. Transpos&eacute; &agrave; un r&eacute;seau &eacute;tendu, ce
syst&egrave;me repr&eacute;senterait, pour l’autorit&eacute; centrale, une charge administrative tr&egrave;s lourde.
Dans un r&eacute;seau hi&eacute;rarchique (organis&eacute; en domaines), les h&ocirc;tes sont g&eacute;r&eacute;s par groupes
r&eacute;partis dans une hi&eacute;rarchie de domaines et de sous-domaines. Ainsi, l’unicit&eacute; d’un nom
d’h&ocirc;te n’est exig&eacute;e que dans son domaine local, et l’autorit&eacute; centrale n’a en charge que le
domaine racine. Cette structure, qui permet la gestion des sous-domaines en local,
d&eacute;charge l’autorit&eacute; centrale. Prenons l’exemple du r&eacute;seau Internet : son domaine racine est
divis&eacute; en domaines com (secteur commercial), edu (secteur &eacute;ducatif), gov (secteur public)
Protocole TCP/IP
4-63
et mil (secteur militaire). A ce niveau, seule l’autorit&eacute; centrale est habilit&eacute;e &agrave; ajouter de
nouveaux domaines. Dans chacun de ces domaines, l’appellation de deuxi&egrave;me niveau est
d&eacute;l&eacute;gu&eacute;e &agrave; un agent d&eacute;sign&eacute;. Ainsi, l’agent du domaine COM d&eacute;cide de l’appellation de
tous les sous-domaines situ&eacute;s sous com. De m&ecirc;me, l’appellation au troisi&egrave;me niveau (et
ainsi de suite) est d&eacute;l&eacute;gu&eacute;e aux agents de ce niveau. Dans la figure qui suit, le domaine
Century est responsable de l’appellation de ses sous–domaines Austin, Hopkins et
Charlotte.
Figure 23. Structure de domaine Internet Cette figure illustre la structure hi&eacute;rarchique
d’Internet. Elle commence par le haut avec la racine et forme de branches jusqu’au niveau
suivant contenant les domaines mil, com et edu. Sous le domaine com se trouve un autre
niveau contenant Charlotte, Austin et Hopkins. Sous Austin se trouvent Dev et Graphics.
RACINE
COM
MIL
EDU
Century
Austin
Charlotte
Dev
4-64
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Hopkins
Graphics
Le sous-domaine Austin pourrait aussi &ecirc;tre divis&eacute; en zones comme Dev et Graphics. Dans
ce cas, la zone austin.century.com couvre toutes les donn&eacute;es du domaine
austin.century.com, except&eacute; celles d&eacute;pendant de Dev et de Graphics. De m&ecirc;me, la
zone dev.century.com contient uniquement les donn&eacute;es confi&eacute;es &agrave; Dev et n’a aucune
visibilit&eacute; sur le contenu de la zone Graphics. La zone austin.century.com (par
opposition au domaine du m&ecirc;me nom) ne contient que les donn&eacute;es qui n’ont pas &eacute;t&eacute;
confi&eacute;es aux autres zones.
Conventions d’appellation
Dans un syst&egrave;me d’appellation hi&eacute;rarchique, les noms sont form&eacute;s par une suite de noms
sans distinction majuscules/minuscules, s&eacute;par&eacute;s par un point et d&eacute;pourvus d’espaces.
Selon le protocole DOMAIN, la longueur du nom de domaine local doit &ecirc;tre inf&eacute;rieure &agrave;
64 caract&egrave;res et celle du nom d’h&ocirc;te, &agrave; 32 caract&egrave;res. Le nom de l’h&ocirc;te vient en premier,
suivi d’un point (.), d’une s&eacute;rie de noms de domaines locaux et enfin du domaine racine.
Au total, le nom complet d’un domaine pour un h&ocirc;te ne doit pas d&eacute;passer 255 caract&egrave;res
(points compris) et se pr&eacute;sente sous la forme :
h&ocirc;te.sousdomaine1.[sousdomaine2 . . . sousdomain].domaineracine
Les noms d’h&ocirc;te &eacute;tant uniques dans un domaine, vous pouvez utiliser des noms abr&eacute;g&eacute;s
(relatifs) pour envoyer des messages au sein du m&ecirc;me domaine. Par exemple, au lieu
d’adresser un message &agrave; smith.eng.lsu.edu, un h&ocirc;te du domaine eng peut indiquer
seulement smith. Par ailleurs, chaque h&ocirc;te peut &ecirc;tre assorti de plusieurs alias utilisables
par les autres h&ocirc;tes.
Appellation des h&ocirc;tes de votre r&eacute;seau
Les noms d’h&ocirc;te sont con&ccedil;us pour simplifier la d&eacute;signation des ordinateurs d’un r&eacute;seau.
Les administrateurs d’Internet ont constat&eacute; que, en mati&egrave;re de nom, il existe de bons et de
mauvais choix. Il faut donc &eacute;viter certains pi&egrave;ges.
Voici quelques conseils pour vous aider &agrave; choisir les noms d’h&ocirc;te de votre r&eacute;seau :
• Pr&eacute;f&eacute;rez des noms peu usit&eacute;s tels que sphinx ou eclipse.
• Utilisez aussi des noms th&eacute;matiques tels que des couleurs, des &eacute;l&eacute;ments helium,
argon ou zinc), des fleurs, des poissons, etc.
• Pensez encore &agrave; utiliser de v&eacute;ritables mots (plut&ocirc;t que des cha&icirc;nes de caract&egrave;res
al&eacute;atoires).
Puisez dans le vocabulaire existant (n’inventez pas de cha&icirc;nes de caract&egrave;res).
Inversement, pour limiter les oublis ou les confusions (pour l’utilisateur ou la machine),
&eacute;vitez :
• les termes tr&egrave;s courants tels que up, down ou crash,
• les noms contenant uniquement des chiffres,
• les noms contenant des signes de ponctuation,
• les noms diff&eacute;renci&eacute;s par des majuscules ou des minuscules (par exemple, Orange et
orange),
• le nom ou les initiales de l’utilisateur principal du syst&egrave;me,
• les noms de plus de 8 caract&egrave;res,
• les orthographes inhabituelles ou volontairement incorrectes (par exemple, czek, qui
peut &ecirc;tre confondu avec ”check” ou ”tech”),
• les noms de domaine ou assimilables, tel que yale.edu.
Serveurs de noms
Dans une structure plate, tous les noms doivent &ecirc;tre stock&eacute;s dans le fichier /etc/hosts de
chaque h&ocirc;te membre du r&eacute;seau. Ce syst&egrave;me se r&eacute;v&egrave;le difficile &agrave; g&eacute;rer lorsque le r&eacute;seau est
tr&egrave;s &eacute;tendu.
Protocole TCP/IP
4-65
Dans une structure hi&eacute;rarchique, les h&ocirc;tes d&eacute;sign&eacute;s comme serveurs de noms se chargent
de r&eacute;soudre le nom de chaque h&ocirc;te en une adresse Internet. Ce m&eacute;canisme pr&eacute;sente deux
avantages par rapport &agrave; la structure plate : les ressources n&eacute;cessaires &agrave; la r&eacute;solution des
noms ne sont pas mobilis&eacute;es au niveau de chaque h&ocirc;te et la t&acirc;che de l’administrateur
syst&egrave;me, alors d&eacute;charg&eacute; de la mise &agrave; jour de chaque fichier de r&eacute;solution des noms, s’en
trouve all&eacute;g&eacute;e. L’ensemble des noms administr&eacute;s par un serveur de noms est appel&eacute;
zone d’autorit&eacute; de ce serveur.
Remarque :
La machine qui assure la fonction de r&eacute;solution des noms pour une
zone d’autorit&eacute; est appel&eacute;e h&ocirc;te serveur de noms mais, en r&eacute;alit&eacute;, c’est
le process (d&eacute;mon named) contr&ocirc;lant cette fonction qui est le v&eacute;ritable
serveur de noms.
Pour optimiser l’activit&eacute; du r&eacute;seau, les serveurs de noms stockent en m&eacute;moire cache
(m&eacute;moire temporaire) les &eacute;quivalences noms-adresses. Ainsi, lorsqu’un client demande au
serveur de r&eacute;soudre un nom, ce dernier consulte d’abord la m&eacute;moire cache o&ugrave; se trouvent
les &eacute;quivalences des derniers noms r&eacute;solus. Ces &eacute;quivalences sont conserv&eacute;es en
m&eacute;moire pour une dur&eacute;e limit&eacute;e (d&eacute;finie dans le param&egrave;tre TTL ”Time-To-Live” de l’article
de ressource), les noms de domaine et d’h&ocirc;tes pouvant &ecirc;tre modifi&eacute;s. Les autorit&eacute;s
d’appellation sont donc en mesure de sp&eacute;cifier la dur&eacute;e pendant laquelle la r&eacute;solution de
noms est r&eacute;put&eacute;e fiable.
Un syst&egrave;me autonome peut comporter plusieurs serveurs de noms. Ces serveurs de noms
suivent g&eacute;n&eacute;ralement une structure hi&eacute;rarchique qui refl&egrave;te l’organisation du r&eacute;seau.
Comme le montre la figure Structure en domaines d’Internet, chaque domaine peut
b&eacute;n&eacute;ficier d’un serveur de noms responsable de tous ses sous-domaines. Les serveurs de
noms des sous-domaines communiquent avec le serveur de noms du domaine sup&eacute;rieur
(ou serveur de noms p&egrave;re) et les serveurs des autres sous-domaines.
Figure 24. Structure de domaine Internet Cette figure illustre la structure hi&eacute;rarchique
d’Internet. Elle commence par le haut avec la racine et forme de branches jusqu’au niveau
suivant contenant les domaines mil, com et edu. Sous le domaine com se trouve un autre
niveau contenant Charlotte, Austin et Hopkins. Sous Austin se trouvent Dev et Graphics.
4-66
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Dans la figure Structure en domaines d’Internet, Austin, Hopkins et Charlotte sont tous des
sous-domaines de Century. Si la hi&eacute;rarchie du r&eacute;seau est respect&eacute;e, le serveur de noms
Austin communique avec Charlotte et Hopkins ainsi qu’avec le serveur de noms p&egrave;re
Century.
Austin communique &eacute;galement avec les serveurs de noms charg&eacute;s de ses sous-domaines.
Il existe plusieurs types de serveur de noms :
serveur de noms ma&icirc;tre
Il charge ses donn&eacute;es &agrave; partir d’un fichier ou d’un disque et
peut &eacute;ventuellement d&eacute;l&eacute;guer des fonctions &agrave; d’autres
serveurs de son domaine.
serveur de noms esclave
Au lancement du syst&egrave;me, il re&ccedil;oit du serveur de noms
ma&icirc;tre les informations sur une zone d’autorit&eacute; donn&eacute;e, et
interroge p&eacute;riodiquement ce serveur ma&icirc;tre pour la mise &agrave;
jour des informations. Une fois le d&eacute;lai de rafra&icirc;chissement
&eacute;coul&eacute; (valeur de l’article SOA sur le serveur de noms
esclave), ou &agrave; r&eacute;ception d’une notification &eacute;mise par le
serveur ma&icirc;tre, le serveur esclave recharge la base de
donn&eacute;es &agrave; partir du serveur ma&icirc;tre si la sienne est devenue
obsol&egrave;te (autrement dit, si sa r&eacute;f&eacute;rence est ant&eacute;rieure &agrave;
celle de la base du serveur ma&icirc;tre). S’il devient n&eacute;cessaire
de forcer un transfert de zones, il suffit de supprimer les
bases de donn&eacute;es en place sur les serveurs esclaves et de
r&eacute;g&eacute;n&eacute;rer le d&eacute;mon named sur le serveur de noms
esclave.
Protocole TCP/IP
4-67
Serveur de noms de
tron&ccedil;on (stub)
Bien que la m&eacute;thode soit similaire &agrave; celle utilis&eacute;e par le
serveur de noms esclave, le serveur de noms de tron&ccedil;on
(stub) reproduit uniquement les donn&eacute;es de serveurs de
noms de la base de donn&eacute;es ma&icirc;tre, et non l’ensemble de
la base.
Serveur d’indices
(hint server)
Ce serveur de noms ne fonctionne que d’apr&egrave;s les indices
accumul&eacute;s suite aux requ&ecirc;tes ant&eacute;rieures aupr&egrave;s d’autres
serveurs. Le serveur d’indices (hint server) r&eacute;pond aux
requ&ecirc;tes en demandant les informations souhait&eacute;es aupr&egrave;s
des autres serveurs ”experts” (serveurs ayant autorit&eacute;) s’il
ne dispose pas dans sa m&eacute;moire cache de l’&eacute;quivalence
demand&eacute;e.
Serveur client ou
exp&eacute;diteur
Envoie les requ&ecirc;tes qu’il ne peut satisfaire localement aux
serveurs r&eacute;pertori&eacute;s dans une liste pr&eacute;d&eacute;finie. Les serveurs
exclusivement exp&eacute;diteurs (simples transmetteurs
d’informations, qui ne sont pas &agrave; proprement parler des
serveurs) ne dialoguent pas avec les serveurs de noms
ma&icirc;tres pour le domaine racine ou les autres domaines.
Les requ&ecirc;tes transitent d’un serveur &agrave; l’autre de fa&ccedil;on
r&eacute;cursive : les serveurs exp&eacute;diteurs sont contact&eacute;s l’un
apr&egrave;s l’autre jusqu’&agrave; la fin de la liste. Ce type de
configuration est g&eacute;n&eacute;ralement utilis&eacute; pour &eacute;viter que tous
les serveurs d’un site dialoguent avec les autres serveurs
Internet, ou pour constituer une m&eacute;moire cache &eacute;tendue
dans un certain nombre de serveurs de noms.
Serveur distant
Lance tous les programmes r&eacute;seau qui font appel au
serveur de noms, alors que le process serveur de noms
n’est pas ex&eacute;cut&eacute; sur l’h&ocirc;te local. Les requ&ecirc;tes sont prises
en charge par un serveur de noms ex&eacute;cut&eacute; sur une autre
machine du r&eacute;seau.
Un h&ocirc;te serveur de noms peut exercer diverses fonctions dans des zones d’autorit&eacute;
diff&eacute;rentes. Par exemple, il peut faire fonction de serveur de noms ma&icirc;tre dans une zone, et
de serveur de noms esclave dans une autre.
R&eacute;solution de noms
La proc&eacute;dure d’obtention d’une adresse Internet &agrave; partir d’un nom d’h&ocirc;te, appel&eacute;e
”r&eacute;solution de noms”, est ex&eacute;cut&eacute;e par la sous-routine gethostbyname. Inversement, la
traduction d’une adresse Internet en nom d’h&ocirc;te est appel&eacute;e ”r&eacute;solution inverse de noms”,
et est ex&eacute;cut&eacute;e par la sous-routine gethostbyaddr. Ces routines permettent
essentiellement d’acc&eacute;der &agrave; une biblioth&egrave;que de routines de traduction de noms appel&eacute;es
”routines de r&eacute;solution”.
Les routines de r&eacute;solution sur les h&ocirc;tes TCP/IP essaient normalement de r&eacute;soudre les
noms en utilisant les sources suivantes :
1. BIND/DNS (nomm&eacute;),
2. NIS (Network Information Services),
3. Fichier /etc/hosts local.
Lors de l’installation de NIS+, les pr&eacute;f&eacute;rences de recherche sont d&eacute;finies dans le fichier
irs.conf. Pour plus d’informations, reportez–vous &agrave; AIX 5L Version 5.2 NIS/NIS+ (Network
Information Services) Guide .
Pour r&eacute;soudre un nom dans un r&eacute;seau hi&eacute;rarchique, la routine de r&eacute;solution &eacute;met tout
d’abord une requ&ecirc;te aupr&egrave;s de la base de donn&eacute;es du serveur de noms de domaine,
r&eacute;sidant sur l’h&ocirc;te local (s’il s’agit d’un h&ocirc;te serveur de noms de domaine) ou sur un h&ocirc;te
&eacute;tranger. Les serveurs de noms transforment les noms de domaines en adresses Internet.
L’ensemble des noms administr&eacute;s par un serveur de noms est appel&eacute; zone d’autorit&eacute; de ce
4-68
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
serveur. Si la routine de r&eacute;solution utilise un serveur de noms distant, elle a recours au
protocole DOMAIN (protocole de noms de domaine) pour les requ&ecirc;tes de mappage. Pour
r&eacute;soudre un nom dans un r&eacute;seau plat, la routine recherche l’entr&eacute;e correspondante dans le
fichier local /etc/hosts. Si NIS ou NIS+ est utilis&eacute;, le fichier /etc/hosts du serveur ma&icirc;tre est
&eacute;galement v&eacute;rifi&eacute;.
Par d&eacute;faut, les routines de r&eacute;solution essaient de r&eacute;soudre les noms &agrave; l’aide des ressources
mentionn&eacute;es ci–dessus. Le m&eacute;canisme BIND/DNS est lanc&eacute; en premier. Si le fichier
/etc/resolv.conf n’existe pas ou si le nom est introuvable, une requ&ecirc;te est &eacute;mise aupr&egrave;s de
NIS si ce syst&egrave;me est en service. NIS ayant autorit&eacute; sur le fichier /etc/hosts local, la
recherche peut s’arr&ecirc;ter l&agrave;. Si NIS n’est pas en service, la recherche s’effectue sur le fichier
local /etc/hosts. Si ce nom reste introuvable, les routines de r&eacute;solution renvoient le
message HOST_NOT_FOUND. Si tous les services sont indisponibles, les routines de
r&eacute;solution renvoient le message SERVICE_UNAVAILABLE.
Il est possible de modifier l’ordre de recherche pr&eacute;sent&eacute; ci–dessus en cr&eacute;ant le fichier de
configuration /etc/irs.conf pour y pr&eacute;ciser l’ordre voulu. Ces deux ordres (ordre par d&eacute;faut
et fichier /etc/irs.conf) peuvent encore &ecirc;tre &eacute;cras&eacute;s par la variable d’environnement
NSORDER. Si ni le fichier /etc/irs.conf ni la variable d’environnement NSORDER ne sont
d&eacute;finies, au moins une valeur doit &ecirc;tre sp&eacute;cifi&eacute;e avec l’option.
Pour d&eacute;finir l’ordre des h&ocirc;tes avec le fichier /etc/irs.conf :
hosts value [ continue ]
Pour d&eacute;finir l’ordre, chaque m&eacute;thode doit &ecirc;tre indiqu&eacute;e sur une ligne distincte. La valeur
correspond &agrave; une des m&eacute;thodes indiqu&eacute;es et le mot cl&eacute; continue indique qu’une autre
m&eacute;thode de r&eacute;solution figure en ligne suivante.
Dans la variable d’environnement NSORDER :
NSORDER= value, value, value
L’ordre est sp&eacute;cifi&eacute; sur une seule ligne avec des valeurs s&eacute;par&eacute;es par une virgule. Les
espaces sont admis entre les virgules et le signe &eacute;gal.
Par exemple, si le r&eacute;seau local est ”plat”, seul le fichier /etc/hosts/ est n&eacute;cessaire. Dans cet
exemple, le fichier /etc/irs.conf contient la ligne suivante :
hosts local
Autrement, la variable NSORDER peut &ecirc;tre renseign&eacute;e comme suit :
NSORDER=local
Si le r&eacute;seau local est ”hi&eacute;rarchique” et fait appel &agrave; un serveur de noms pour la r&eacute;solution
des noms et &agrave; un fichier /etc/hosts pour une copie de secours, les deux services doivent
&ecirc;tre sp&eacute;cifi&eacute;s. Dans cet exemple, le fichier /etc/irs.conf contiendrait les lignes suivantes :
hosts dns continue
hosts local
Et la variable NSORDER est renseign&eacute;e comme suit :
NSORDER=bind,local
Remarque :
les valeurs doivent &ecirc;tre sp&eacute;cifi&eacute;es en minuscules.
En suivant un ordre de r&eacute;solution d&eacute;fini ou l’ordre par d&eacute;faut, l’algorithme de recherche ne
passe d’une routine &agrave; la suivante que si :
• le service courant n’est pas accessible (il n’est pas actif),
• le service courant ne trouve pas le nom recherch&eacute; et n’est pas un serveur ”expert”.
Si le fichier /etc/resolv.conf n’existe pas, le m&eacute;canisme BIND/DNS est consid&eacute;r&eacute; comme
non install&eacute;, et par l&agrave;–m&ecirc;me non accessible. En cas d’&eacute;chec des sous–routines
getdomainname et yp_bind, le service NIS est consid&eacute;r&eacute; comme non install&eacute; et par
l&agrave;–m&ecirc;me non accessible. Si le fichier /etc/hosts n’a pas pu &ecirc;tre ouvert, il est impossible de
proc&eacute;der &agrave; une recherche locale et d’acc&eacute;der au fichier et au service.
Protocole TCP/IP
4-69
Un service est dit expert si, de par les informations qu’il contient, il est jug&eacute; mieux &agrave; m&ecirc;me
de r&eacute;pondre aux requ&ecirc;tes que les services cit&eacute;s apr&egrave;s lui. Les routines de r&eacute;solution
n’essaient pas les services suivants, puisque ces derniers ne peuvent contenir qu’un
sous–ensemble des informations du service expert. La r&eacute;solution des noms s’arr&ecirc;te &agrave; la
consultation du service expert m&ecirc;me s’il n’est pas parvenu &agrave; fournir le nom demand&eacute;
(message HOST_NOT_FOUND renvoy&eacute;). En cas d’indisponibilit&eacute; d’un service expert, le
service suivant sp&eacute;cifi&eacute; est interrog&eacute;.
La source ”expert” est d&eacute;clar&eacute;e par la cha&icirc;ne ”=auth” sp&eacute;cifi&eacute;e &agrave; la suite de son nom. Il
est possible de sp&eacute;cifier &eacute;galement tout le mot ”authoritative”. Par exemple, si la
variable NSORDER contient :
hosts = nis=auth,dns,local
Si NIS est actif, la recherche prend fin apr&egrave;s consultation de NIS, que le nom ait &eacute;t&eacute; trouv&eacute;
ou non. Si NIS n’est pas actif, elle est &eacute;tendue &agrave; la source suivante (en l’occurrence, DNS).
Les serveurs de noms TCP/IP ont recours &agrave; la m&eacute;moire cache pour r&eacute;duire le co&ucirc;t de
recherche de noms d’h&ocirc;te sur r&eacute;seaux distants. Ainsi, ils consultent d’abord la m&eacute;moire
cache o&ugrave; se trouvent les &eacute;quivalences des derniers noms r&eacute;solus. Ces &eacute;quivalences sont
conserv&eacute;es en m&eacute;moire pour une dur&eacute;e limit&eacute;e (d&eacute;finie dans le param&egrave;tre TTL
”Time-To-Live” de l’article de ressource), les noms de domaine et d’h&ocirc;tes pouvant &ecirc;tre
modifi&eacute;s. Les serveurs de noms sont donc en mesure de sp&eacute;cifier la dur&eacute;e pendant laquelle
leurs r&eacute;ponses sont r&eacute;put&eacute;es fiables.
Risques de conflits de noms d’h&ocirc;te
En environnement DNS, un nom d’h&ocirc;te d&eacute;fini soit par la commande hostname en ligne de
commande, soit par le fichier rc.net, doit &ecirc;tre le nom officiel de l’h&ocirc;te tel qu’il est renvoy&eacute;
par le serveur de noms. Ce nom est g&eacute;n&eacute;ralement le nom complet du domaine de l’h&ocirc;te
sous la forme :
host.subdomain.subdomain.rootdomain
Remarque :
pour les routines de r&eacute;solution, le domaine par d&eacute;faut doit &ecirc;tre d&eacute;fini.
S’il n’est pas d&eacute;fini dans hostname, il doit l’&ecirc;tre dans /etc/resolv.conf.
Si le nom de l’h&ocirc;te n’est pas configur&eacute; en nom complet du domaine, et si le syst&egrave;me est
configur&eacute; avec serveur de noms de domaine associ&eacute; au programme sendmail, le fichier de
configuration /etc/sendmail.cf doit &ecirc;tre modifi&eacute; conform&eacute;ment &agrave; ce nom officiel. Pour que le
programme sendmail fonctionne correctement, il faut de plus que les macros de nom de
domaine soient d&eacute;finies dans cette configuration.
Remarque :
pour toutes les fonctions de sendmail, le domaine sp&eacute;cifi&eacute; dans le
fichier /etc/sendmail.cf prime sur celui d&eacute;fini &agrave; la commande
hostname.
Risques de conflits de noms de domaine
Dans le cas d’un h&ocirc;te membre d’un r&eacute;seau DOMAIN mais qui n’est pas un serveur de
noms, le nom de domaine local et le serveur de noms de domaine sont sp&eacute;cifi&eacute;s dans le
fichier /etc/resolv.conf. Or, dans un h&ocirc;te serveur de noms de domaine, le domaine local et
les autres serveurs de noms sont d&eacute;finis dans des fichiers que le d&eacute;mon named lit &agrave; son
lancement.
Protocole RARP
Le protocole RARP (Reverse Address Resolution Protocol) traduit les adresses mat&eacute;rielles
uniques en adresses Internet sur la carte LAN Ethernet (protocole Ethernet seulement).
Le protocole Ethernet standard est pris en charge dans les limites suivantes :
• Le serveur r&eacute;pond uniquement aux requ&ecirc;tes RARP.
• Le serveur se limite aux entr&eacute;es permanentes de la table ARP
• Le serveur n’utilise pas les entr&eacute;es dynamiques de la table ARP.
• Le serveur ne r&eacute;pond pas automatiquement pour lui–m&ecirc;me.
4-70
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
L’administrateur syst&egrave;me doit cr&eacute;er et tenir &agrave; jour manuellement une table des entr&eacute;es
permanentes ARP &agrave; l’aide de la commande arp. Une entr&eacute;e de table ARP sp&eacute;cifique doit
&ecirc;tre ajout&eacute;e sur le serveur pour chaque h&ocirc;te qui sollicite des r&eacute;ponses RARP d’une source
”expert”.
R&eacute;solution locale des noms (/etc/hosts)
Le fichier /etc/hosts doit &ecirc;tre configur&eacute; si vous travaillez sur un r&eacute;seau limit&eacute; et plat. Cette
configuration peut &eacute;galement &ecirc;tre utile sur un r&eacute;seau hi&eacute;rarchique pour identifier les h&ocirc;tes
inconnus des serveurs de noms.
Vous pouvez configurer votre syst&egrave;me en vue de la r&eacute;solution locale de noms via
Web-based System Manager, SMIT ou les commandes. Si c’est &agrave; partir de la ligne de
commande, veillez &agrave; conserver le format du fichier /etc/hosts, comme indiqu&eacute; &agrave; la section
”Hosts File Format for TCP/IP” du manuel AIX 5L Version 5.2 Files Reference).
R&eacute;solution locale des noms
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web-based System Manager
Management Environment
Afficher la liste
des h&ocirc;tes
smit lshostent
affichez
/etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File ––&gt; Contents of
/etc/hosts file.
Ajouter un h&ocirc;te
smit mkhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. Dans la bo&icirc;te de
dialogue Add/Change host
entry, compl&eacute;tez les champs
suivants : IP Addresses, Host
name, Alias(es) et Comment.
Cliquez sur Add/Change
Entry ––&gt; OK.
Protocole TCP/IP
4-71
Modifier/afficher
les
caract&eacute;ristiques
d’un h&ocirc;te
smit chhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. S&eacute;lectionnez un
h&ocirc;te dans Contents of
/etc/hosts/file, puis changez
les donn&eacute;es dans
Add/Change host entry.
Cliquez sur Add/Change
Entry ––&gt; OK.
Supprimer un
h&ocirc;te
smit rmhostent
&eacute;ditez /etc/hosts
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol
Configuration ––&gt; TCP/IP
––&gt; Configure TCP/IP ––&gt;
Advanced Methods ––&gt;
Hosts File. S&eacute;lectionnez un
h&ocirc;te dans Contents of
/etc/hosts/file, puis cliquez
sur Delete Entry ––&gt; OK.
Pr&eacute;paration &agrave; la r&eacute;solution DNS (DOMAIN)
Si vous faites partie d’un interr&eacute;seau &eacute;tendu, coordonnez vos serveurs de noms et
domaines avec leur autorit&eacute; centrale.
Les conseils suivants vous aideront &agrave; configurer votre syst&egrave;me pour la r&eacute;solution DSN :
• Familiarisez–vous avec TCP/IP, DNS et BIND et les nombreuses fonctionnalit&eacute;s de leur
architecture et de leur configuration avant d’arr&ecirc;ter votre choix. Avant d’utiliser un service
d’information r&eacute;seau (NIS), familiarisez–vous &eacute;galement avec NIS. Vous disposez pour
cela de nombreux documents. Pour plus d’informations sur les caract&eacute;ristiques de NIS et
de NIS+, reportez–vous au AIX 5L Version 5.2 NIS/NIS+ (Network Information Services)
Guide.
• Planifiez la configuration.
Rappelez-vous qu’il est plus compliqu&eacute; de changer un nom que de le d&eacute;finir. Avant de
configurer vos fichiers, d&eacute;cidez (en accord avec votre organisation) des noms des h&ocirc;tes,
du r&eacute;seau, de la passerelle et du serveur de noms.
• D&eacute;finissez des serveurs de noms redondants.
A d&eacute;faut, veillez &agrave; d&eacute;finir des serveurs de noms esclaves et des serveurs d’indices pour
disposer d’un syst&egrave;me de secours.
• Pour la s&eacute;lection des serveurs de noms :
– choisissez les machines g&eacute;ographiquement les plus proches des syst&egrave;mes
ext&eacute;rieurs ;
– vos serveurs de noms doivent &ecirc;tre aussi ind&eacute;pendants que possible. Si possible,
utilisez des alimentations &eacute;lectriques et des c&acirc;blages distincts.
– d&eacute;signez un autre r&eacute;seau comme r&eacute;seau de secours pour votre service de r&eacute;solution
des noms ; faites de m&ecirc;me pour les autres r&eacute;seaux.
• testez les serveurs :
– testez la r&eacute;solution des noms normale et inverse,
– testez le transfert de zone du serveur de noms ma&icirc;tre au serveur de noms esclave,
4-72
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
– testez chaque serveur de noms, apr&egrave;s une panne et un r&eacute;amor&ccedil;age du syst&egrave;me.
• Faites transiter vos requ&ecirc;tes de r&eacute;solution de noms par des serveurs exp&eacute;diteurs avant
de les envoyer vers des serveurs de noms ext&eacute;rieurs. Cela permet aux serveurs de noms
de partager leur m&eacute;moire cache et d’am&eacute;liorer les performances en all&eacute;geant la charge
des serveurs de noms ma&icirc;tres.
objectclass: container
requires
objectclass,
cn
objectclass hosts
requires
objectclass,
hname
allows
addr
halias,
comment
Serveur de noms : g&eacute;n&eacute;ralit&eacute;s
Dans un r&eacute;seau hi&eacute;rarchis&eacute;, certains h&ocirc;tes sont d&eacute;finis comme serveurs de noms. Ces
h&ocirc;tes r&eacute;solvent les noms en adresses IP pour les autres h&ocirc;tes. The Le d&eacute;mon named
contient la fonction du serveur de noms et doit donc &ecirc;tre ex&eacute;cut&eacute; sur un h&ocirc;te de serveur de
noms.
Avant de proc&eacute;der &agrave; la configuration, d&eacute;terminez les types de serveur de noms les mieux
adapt&eacute;s &agrave; votre r&eacute;seau. Il existe trois types :
Leurs noms, d&eacute;fini dans le fichier conf, peut &ecirc;tre modifi&eacute; par l’utilisateur. Par convention, ce
nom comporte celui du d&eacute;mon (named) avec, en extension, le type de fichier et le nom du
domaine. Serveur de noms esclave ou serveur de noms de tron&ccedil;on (stub) : ceux–ci
re&ccedil;oivent leurs informations d’un serveur ma&icirc;tre au d&eacute;marrage du syst&egrave;me pour une zone
d’autorit&eacute; donn&eacute;e, puis l’interrogent p&eacute;riodiquement pour les mettre &agrave; jour. Serveur d’indices
(hint server) : ce serveur r&eacute;pond aux requ&ecirc;tes de r&eacute;solution des noms en demandant les
informations souhait&eacute;es aupr&egrave;s d’autres serveurs experts.
Remarque :
les g&eacute;n&eacute;rations ant&eacute;rieures du serveur de noms named d&eacute;finissaient le
serveur ma&icirc;tre comme serveur de noms primaire, le serveur esclave
comme serveur de noms secondaire, et le serveur d’indices comme serveur
de m&eacute;moire cache. Dans cette documentation, toute r&eacute;f&eacute;rence au fichier
named.conf est sp&eacute;cifique &agrave; version 4.3.2 ou versions ult&eacute;rieures.
Rappelons qu’un serveur de noms peut exercer des fonctions diff&eacute;rentes selon les zones
d’autorit&eacute;. Par exemple, un h&ocirc;te peut faire fonction de serveur de noms ma&icirc;tre dans une
zone, et de serveur de noms esclave dans une autre. Si NIS ou NIS+ est install&eacute; sur votre
syst&egrave;me, ces services peuvent &eacute;galement vous aider &agrave; la r&eacute;solution des noms. Pour plus
d’informations, reportez–vous au AIX 5L Version 5.2 NIS/NIS+ (Network Information
Services) Guide.
Plusieurs fichiers sont impliqu&eacute;s dans la configuration des serveurs de noms.
Protocole TCP/IP
4-73
conf
Fichier lu au d&eacute;marrage du d&eacute;mon named. Les articles du fichier conf
indiquent au d&eacute;mon named le type du serveur, ses zones d’autorit&eacute;
(domaines) et l’implantation des donn&eacute;es pour la configuration initiale de
sa base de donn&eacute;es. Son nom par d&eacute;faut est /etc/named.conf. Vous
pouvez lui en attribuer un autre en indiquant sur la ligne de commande le
nouveau nom complet d&egrave;s le lancement du d&eacute;mon named. Si vous utilisez
pour l’amor&ccedil;age le fichier /etc/named.conf, mais que ce dernier n’existe
pas, un message est g&eacute;n&eacute;r&eacute; dans syslog et le d&eacute;mon named s’arr&ecirc;te.
Toutefois, si un autre fichier conf a &eacute;t&eacute; pr&eacute;vu et qu’il n’existe pas, il n’y
aura pas de message d’erreur et le d&eacute;mon named continuera.
cache
Fichier contenant les informations sur la m&eacute;moire cache locale : nom et
adresse des serveurs de noms b&eacute;n&eacute;ficiant de la plus haute ”autorit&eacute;”. Ce
fichier respecte le format des articles de ressource standard (Standard
Resource Record Format). Son nom est d&eacute;fini dans le fichier conf.
domain data Il existe trois types de fichiers domain data, &eacute;galement nomm&eacute;s fichiers de
donn&eacute;es named. Le fichier named local contient les informations de
r&eacute;solution d’adresses en bouclage local. Le fichier de donn&eacute;es named
contient les donn&eacute;es de r&eacute;solution d’adresses pour toutes les machines de
la zone d’autorit&eacute; du serveur de noms. Le fichier de donn&eacute;es invers&eacute;es
named contient les informations de r&eacute;solution invers&eacute;e d’adresses pour
toutes les machines de la zone d’autorit&eacute; du serveur de noms. Ces trois
fichiers respectent le format des articles de ressource standard (Standard
Resource Record Format). Leurs noms, d&eacute;fini dans le fichier conf , peut
&ecirc;tre modifi&eacute; par l’utilisateur. Par convention, ce nom comporte celui du
d&eacute;mon (named) avec, en extension, le type de fichier et le nom du
domaine. Par exemple, les fichiers du serveur de noms du domaine abc
peuvent &ecirc;tre :
named.abc.data
named.abc.rev
named.abc.local
En modifiant les fichiers de donn&eacute;es named, il est conseill&eacute; d’incr&eacute;menter
le num&eacute;ro de s&eacute;rie donn&eacute; dans l’article SOA pour les serveurs de noms
esclaves afin d’effectuer correctement les modifications de zones.
resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un
serveur de noms pour effectuer une r&eacute;solution. En l’absence de
resolv.conf, l’h&ocirc;te fait ensuite appel au fichier /etc/hosts. Obligatoire sur
un serveur de noms, le fichier resolv.conf peut contenir l’adresse de l’h&ocirc;te
local, l’adresse de bouclage (127.0.0.1), ou &ecirc;tre vide.
Remarque :
Pour les routines de r&eacute;solution, le domaine par d&eacute;faut doit &ecirc;tre d&eacute;fini.
S’il n’est pas d&eacute;fini dans /etc/resolv.conf, il doit l’&ecirc;tre dans hostname.
Le param&egrave;tre TTL (Time-To-Live) est sp&eacute;cifi&eacute; dans les articles de ressource. A d&eacute;faut, le
d&eacute;lai appliqu&eacute; est la plus petite valeur d&eacute;finie dans l’article SOA (Start Of Authority) de la
zone d’autorit&eacute; concern&eacute;e. TTL est utilis&eacute; lorsque les donn&eacute;es sont stock&eacute;es en dehors
d’une zone (en m&eacute;moire cache) pour s’assurer qu’elles n’y sont pas maintenues
ind&eacute;finiment.
Configuration des serveurs de noms
Pour savoir comment configurer les serveurs ma&icirc;tre, esclave et d’indices, reportez–vous &agrave;
Configurer les serveurs de noms de domaine.
4-74
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration d’un serveur de courrier de domaine
En d&eacute;finissant un serveur de courrier de domaine, vous mettez &agrave; la disposition des
utilisateurs externes une m&eacute;thode d’adressage simple leur permettant de correspondre
avec votre organisation. Sans cela, l’adresse doit obligatoirement pr&eacute;ciser un h&ocirc;te
particulier de votre organisation. Par exemple, [email protected], widget.com
&eacute;tant le nom de domaine de votre organisation, et orange l’h&ocirc;te utilis&eacute; par sam. Avec le
serveur de courrier de domaine, il suffit &agrave; l’utilisateur externe d’indiquer le nom de
l’utilisateur et le nom du domaine sans le nom de l’h&ocirc;te, dans notre exemple,
[email protected].
Vous pouvez configurer un serveur de courrier via le raccourci Web-based System Manager
wsm ou via l’une des proc&eacute;dures suivantes.
Configuration d’un serveur de courrier de domaine
1. Cr&eacute;ez un article MX et un article A pour le serveur de courrier (black.widget.com) :
widget.com
widget.com
black.widget.com
IN
IN
IN
MX
A
A
10 black.widget.com
192.10.143.9
192.10.143.9
2. Editez sendmail.cf sur le serveur de courrier (black.widget.com) pour ajouter l’alias
du domaine (classe w) :
Cw $w $?D$w.$D$. widget.com
3. Les clients de la messagerie doivent savoir o&ugrave; adresser leur courrier non local. Editez
sendmail.cf sur chaque client pour pointer sur le serveur de courrier (macro S) :
DRblack.widget.com
4. A l’aide de l’option NameServOpt, configurez le d&eacute;mon sendmail de sorte que chacun
puisse utiliser les articles MX d&eacute;finis dans le serveur de noms brown.widget.com.
5. Ajoutez l’alias des utilisateurs du domaine qui n’ont pas de compte sur le serveur de
courrier, en vous aidant du fichier d’alias.
sam:[email protected]
david:[email protected]
judy:[email protected]
Remarque :
les articles MB peuvent remplir la m&ecirc;me fonction.
6. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
7. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
8. Sur les clients, ex&eacute;cutez la commande refresh –s sendmail pour prendre les
modifications en compte.
Il existe d’autres m&eacute;thodes permettant de configurer un serveur de courrier de domaine.
Les proc&eacute;dures qui suivent utilisent les articles MB, MR et MG.
Configuration d’un serveur de courrier de domaine avec des articles MB
1. D&eacute;finissez un article MB pour chaque utilisateur du domaine. Par exemple :
sam IN MB orange.widget.com.
dans le fichier /usr/named.data de l’h&ocirc;te brown.widget.com . Cette instruction
stipule le serveur de courrier (black.widget.com ) destinataire pour chaque
utilisateur du domaine.
2. Configurez le d&eacute;mon sendmail sur le serveur de courrier (black.widget.com) pour
qu’il utilise les articles MB d&eacute;finis sur le serveur de noms (brown.widget.com).
Ayez recours &agrave; l’option NameServOpt.
Protocole TCP/IP
4-75
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
D&eacute;finition d’un article MR (Mail Rename)
1. Editez le fichier /usr/named.data sur votre serveur de noms de domaine.
2. Ajoutez un article MR pour chaque alias. Par exemple, l’utilisateur sam dont l’alias est
sammy aura pour article MR :
sammy IN MR sam
Cet article demande que tous les messages adress&eacute;s &agrave; sammy soient livr&eacute;s &agrave; sam. Il
faut pr&eacute;voir une ligne par article MR.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
D&eacute;finition d’un article MG (Mail Group)
1. Editez le fichier /etc/named.data sur votre serveur de noms de domaine.
2. Ajoutez des articles MG pour chaque groupe courrier. Ces articles fonctionnent comme
le fichier /usr/aliases, les alias &eacute;tant tenus &agrave; jour sur le serveur de noms. Par exemple :
users
users
users
users
IN
IN
IN
IN
HINFO users-request widget.com
MG sam
MG david
MG judy
Ces articles demandent que tous les messages adress&eacute;s &agrave; [email protected] soient
livr&eacute;s &agrave; sam, david et judy. Il faut pr&eacute;voir une ligne par article MG.
Remarque :
des articles MB doivent avoir &eacute;t&eacute; d&eacute;finis pour sam, david et judy.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande
refresh –s named.
5. Entrez la commande sendmail –bz pour recompiler le fichier sendmail.cf sur le serveur
de courrier, puis la commande refresh -s sendmail pour appliquer les modifications.
D&eacute;finition d’articles MX (Mail Exchanger)
1. Editez le fichier /usr/named.data sur votre serveur de noms de domaine.
2. Ajoutez des articles MX pour chaque machine indirectement connect&eacute;e &agrave; votre r&eacute;seau et
avec laquelle vous souhaitez correspondre. Par exemple, si le courrier adress&eacute; aux
utilisateurs de purple.widget.com doit &ecirc;tre transmis &agrave; post.office.widget,
ajoutez un article MX comme suit :
purple.widget.com IN MX 0 post.office.widget.
Lorsque vous utilisez les articles d’&eacute;changeur de courrier (MX), vous devez sp&eacute;cifier le
nom de la machine et le nom d’h&ocirc;te. Il faut pr&eacute;voir une ligne par article MX. L’utilisation
des caract&egrave;res g&eacute;n&eacute;riques est admise :
*.widget.com IN MX 0 post.office.widget.
4-76
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Ces articles demandent que les messages adress&eacute;s &agrave; un h&ocirc;te inconnu (sans article MX
explicite) du domaine widget.com soient exp&eacute;di&eacute;s &agrave; post.office.widget.
Remarque :
les caract&egrave;res g&eacute;n&eacute;riques dans les articles MX sont incompatibles avec
l’utilisation d’Internet.
3. La base de donn&eacute;es ayant &eacute;t&eacute; modifi&eacute;e, il est conseill&eacute; d’incr&eacute;menter le num&eacute;ro de s&eacute;rie
donn&eacute; dans l’article SOA.
4. R&eacute;g&eacute;n&eacute;rez la base de donn&eacute;es du serveur de noms via la commande refresh –s
named.
5. Tapez la commande refresh –s sendmail pour prendre les modifications en compte.
Configuration d’un serveur exp&eacute;diteur
Pour configurer un exp&eacute;diteur, utilisez le raccourci Web-based System Manager wsm ou
suivez la proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a recours &agrave; SMIT ou &agrave;
la ligne de commande pour d&eacute;marrer le d&eacute;mon named.
1. Editez le fichier /etc/named.conf. Si le r&eacute;pertoire /etc ne contient pas de fichier
named.conf, copiez-y le fichier-type /usr/samples/tcpip/named.conf et &eacute;ditez-le. Pour
en savoir plus et examiner un exemple de fichier de configuration, reportez-vous &agrave; la
section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L Version 5.2 Files
Reference.
– Ins&eacute;rez une ligne ”forwarders” dans la strophe d’options du fichier /etc/named.conf
indiquant toutes les adresses IP des serveurs de noms auxquels des requ&ecirc;tes doivent
&ecirc;tre exp&eacute;di&eacute;es. Par exemple :
options {
...
directory ”/usr/local/domain”;
forwarders { 192.100.61.1; 129.35.128.222; };
...
};
– Sp&eacute;cifiez la zone de bouclage. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
– Sp&eacute;cifiez la zone d’indices. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
2. Editez le fichier /usr/local/domain/named.ca Pour en savoir plus et disposer d’un
exemple de fichier cache, reportez–vous &agrave; la section ”DOMAIN Cache File Format for
TCP/IP” dans le manuel AIX 5L Version 5.2 Files Reference.
Ce fichier contient l’adresse des serveurs de noms ”experts” pour le domaine racine
(root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
Remarque :
129.114.1.2
toutes les lignes de ce fichier doivent respecter le format des articles de
ressource standard (Standard Resource Record Format).
3. Editez le fichier /usr/local/domain/named.abc.local. Pour en savoir plus et disposer
d’un exemple de fichier de donn&eacute;es local, reportez–vous &agrave; la section ” DOMAIN Local
Data File Format for TCP/IP ” dans le manuel AIX 5L Version 5.2 Files Reference.
Protocole TCP/IP
4-77
a. Sp&eacute;cifiez pour la zone la valeur de SOA (Start Of Authority) et les d&eacute;lais TTL
(time–to–live) par d&eacute;faut. Par exemple :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
(
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
b. Sp&eacute;cifiez l’article NS (serveur de noms). Par exemple :
IN
&lt;tab&gt;
NS
venus.abc.aus.century.com.
c. Sp&eacute;cifiez l’article PTR (pointeur).
1
IN
Remarque :
PTR
localhost.
toutes les lignes de ce fichier doivent respecter le format des articles
de ressource standard (Standard Resource Record Format).
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un serveur de
noms pour effectuer une r&eacute;solution, et non au fichier /etc/hosts.
Autrement, le fichier /etc/resolv.conf peut contenir l’entr&eacute;e suivante :
nameserver 127.00.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui-m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain
NomDomaine
Dans cet exemple, NomDomaine serait austin.century.com.
5. Ex&eacute;cutez l’une des t&acirc;ches suivantes :
– Activez le d&eacute;mon named en utilisant le raccourci SMIT smit stnamed. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du
syst&egrave;me ou les deux.
– Editez le fichier /etc/rc.tcpip. Activez le d&eacute;mon named en retirant la marque de
commentaire (#) de la ligne suivante :
#start /etc/named ”$src_running”
Cette commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me.
6. Si vous ne souhaitez pas initialiser le d&eacute;mon named via SMIT, lancez-le pour la session
en cours par la commande :
startsrc -s named
Configuration de serveur exclusivement exp&eacute;diteur
Pour configurer un serveur de noms esclave, utilisez le raccourci Web-based System
Manager wsm ou suivez la proc&eacute;dure ci–dessous, qui &eacute;dite une s&eacute;rie de fichiers puis a
recours &agrave; SMIT ou &agrave; la ligne de commande pour d&eacute;marrer le d&eacute;mon named.
Remarque :
4-78
vous pouvez obtenir une configuration similaire sans ex&eacute;cuter de serveur
de noms exclusivement exp&eacute;diteur. Il suffit de cr&eacute;er un fichier
/etc/resolv.conf en ins&eacute;rant des lignes de serveur de noms qui pointent
vers les serveurs exp&eacute;diteurs souhait&eacute;s.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
1. Editez le fichier /etc/named.conf. Si le r&eacute;pertoire /etc ne contient pas de fichier
named.conf, copiez-y le fichier-type /usr/samples/tcpip/named.conf et &eacute;ditez-le. Pour
en savoir plus et examiner un exemple de fichier de configuration, reportez-vous &agrave; la
section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L Version 5.2 Files
Reference.
– Ins&eacute;rez les lignes ”forwarders” et ”forward only” dans la strophe d’options du fichier
/etc/named.conf indiquant toutes les adresses IP des serveurs de noms auxquels des
requ&ecirc;tes doivent &ecirc;tre exp&eacute;di&eacute;es. Par exemple :
options {
...
directory ”/usr/local/domain”;
forwarders { 192.100.61.1; 129.35.128.222; };
forward only;
...
};
– Sp&eacute;cifiez la zone de bouclage. Par exemple :
zone ”0.0.127.in–addr.arpa” in {
type master;
file ”named.abc.local”;
};
– Sp&eacute;cifiez la zone d’indices. Par exemple :
zone ”.” IN {
type hint;
file ”named.ca”;
};
2. Editez le fichier /usr/local/domain/named.ca Pour en savoir plus et disposer d’un
exemple de fichier cache, reportez–vous &agrave; la section DOMAIN Cache File Format for
TCP/IP dans le manuel AIX 5L Version 5.2 Files Reference. Ce fichier contient l’adresse
des serveurs de noms ”experts” pour le domaine racine (root) du r&eacute;seau. Par exemple :
; root name servers.
.
IN
NS
relay.century.com.
relay.century.com.
3600000
IN
A
Remarque :
129.114.1.2
toutes les lignes de ce fichier doivent respecter le format des articles de
ressource standard (Standard Resource Record Format).
3. Editez le fichier /etc/named.local. Pour en savoir plus et disposer d’un exemple de
fichier de donn&eacute;es local, reportez-vous &agrave; la section ”DOMAIN Local Data File Format for
TCP/IP” dans le manuel AIX 5L Version 5.2 Files Reference.
a. Sp&eacute;cifiez pour la zone la valeur de SOA (Start Of Authority) et les d&eacute;lais TTL
(time-to-live) par d&eacute;faut. Par exemple :
$TTL 3h
;3 hour
@ IN SOA venus.abc.aus.century.com. gail.zeus.abc.aus.century.com.
(
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
b. Sp&eacute;cifiez l’article NS (serveur de noms). Par exemple :
&lt;tab&gt;
IN
NS
venus.abc.aus.century.com.
c. Sp&eacute;cifiez l’article PTR (pointeur).
Remarque :
toutes les lignes de ce fichier doivent respecter le format des articles de
ressource standard ( Standard Resource Record Format).
Protocole TCP/IP
4-79
4. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
Ce fichier indique par sa pr&eacute;sence que l’h&ocirc;te doit d’abord faire appel &agrave; un serveur de
noms pour effectuer une r&eacute;solution, et non au fichier /etc/hosts.
Autrement, le fichier /etc/resolv.conf peut contenir l’entr&eacute;e suivante :
nameserver 127.00.0.1
127.0.0.1 est l’adresse de bouclage qui, pour l’acc&egrave;s au serveur de noms, dirige l’h&ocirc;te
vers lui-m&ecirc;me. Ce fichier /etc/resolv.conf peut &eacute;galement comporter une ligne du type :
domain
NomDomaine
Dans cet exemple, NomDomaine serait austin.century.com.
5. Ex&eacute;cutez l’une des t&acirc;ches suivantes :
– Activez le d&eacute;mon named en utilisant le raccourci SMIT smit stnamed. Cette
commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me. Indiquez quand vous
souhaitez lancer le d&eacute;mon named : imm&eacute;diatement, au prochain lancement du
syst&egrave;me ou les deux.
– Editez le fichier /etc/rc.tcpip. Activez le d&eacute;mon named en retirant la marque de
commentaire (#) de la ligne suivante :
#start /etc/named ”$src_running”
Cette commande initialise le d&eacute;mon &agrave; chaque lancement du syst&egrave;me.
6. Si vous ne souhaitez pas initialiser le d&eacute;mon named via SMIT, lancez-le pour la session
en cours par la commande :
startsrc -s named
Configuration d’un h&ocirc;te avec serveur de noms
Vous pouvez configurer un h&ocirc;te pour un serveur de noms via le raccourci Web-based
System Manager, wsm ou via l’une des proc&eacute;dures suivantes.
1. Cr&eacute;ez un fichier /etc/resolv.conf via la commande :
touch /etc/resolv.conf
2. Sur la premi&egrave;re ligne du fichier /etc/resolv.conf, entrez le mot domain puis le nom
complet du domaine auquel appartient l’h&ocirc;te. Par exemple :
domain abc.aus.century.com
3. Sur une ligne vierge apr&egrave;s la ligne introduite par domain, entrez le mot nameserver
suivi d’au moins un espace et de l’adresse Internet (en notation d&eacute;cimale &agrave; points) du
serveur de noms &agrave; ajouter (il doit desservir le domaine indiqu&eacute; dans l’instruction
domain). Vous pouvez ins&eacute;rer jusqu’&agrave; 16 entr&eacute;es de serveur de noms. Par exemple,
votre fichier /etc/resolv.conf peut contenir les entr&eacute;es :
nameserver 192.9.201.1
nameserver 192.9.201.2
Le syst&egrave;me interroge les serveurs dans l’ordre de leur sp&eacute;cification.
search domainname_list
Le mot–cl&eacute; de recherche peut aussi &ecirc;tre utilis&eacute; pour indiquer l’ordre dans lequel le
programme de r&eacute;solution interrogera la liste des domaines. Dans ce cas, les valeurs de
domainname_list sont abc.aus.century.com et aus.century.com.
domainname_list peut contenir au maximum six noms de domaines, chacun s&eacute;par&eacute;s
par un espace.
4. En supposant que le serveur de noms est op&eacute;rationnel, vous pouvez tester sa
communication avec l’h&ocirc;te via la commande suivante :
4-80
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
host hostname
Indiquez un nom d’h&ocirc;te que le serveur doit r&eacute;soudre. Si le processus aboutit, vous
obtenez un r&eacute;sultat du type :
brown.abc.aus.century.com is 129.35.145.95
D’autres t&acirc;ches de configuration sont pr&eacute;sent&eacute;es dans le tableau suivant.
Configuration d’un h&ocirc;te avec serveur de noms
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Cr&eacute;er un fichier
/etc/resolv.conf.
smit stnamerslv2
cr&eacute;ez et &eacute;ditez
/etc/resolv.conf1
Web-based System Manager
Management Environment
Afficher la liste des smit lsnamerslv
serveurs utilis&eacute;s
par un h&ocirc;te
affichez
/etc/resolv.conf
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Hosts File ––&gt;
Contents of /etc/hosts file.
Ajouter un serveur
de noms
smit mknamerslv
&eacute;ditez
/etc/resolv.conf 2
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. Dans le
champ Name Server IP
Address, tapez l’Adresse IP.
Cliquez sur Add ––&gt; OK.
Supprimer un
serveur de noms
smit rmnamerslv
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS.
S&eacute;lectionnez un serveur de nom
dans Name server to search.
Cliquez sur Delete ––&gt; OK.
Activer/R&eacute;activer
la r&eacute;solution DNS
smit stnamerslv
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. Cochez la
case Enable domain name
resolution using Domain
Name Service (DNS). Cliquez
sur OK.
Protocole TCP/IP
4-81
D&eacute;sactiver la
r&eacute;solution DNS
smit spnamerslv
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. D&eacute;cochez la
case Enable domain name
resolution using Domain
Name Service (DNS). Cliquez
sur OK.
Modifier/Afficher le smit mkdomain
domaine
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS. ––&gt;
Domain name to search.
Cliquez sur Add ––&gt; OK.
Supprimer un
domaine
&eacute;ditez
/etc/resolv.conf
Remarques :
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; DNS.
S&eacute;lectionnez un domaine dans
la liste Domain search list.
Cliquez sur Delete ––&gt; OK.
smit rmdomain
Configuration de zones dynamiques sur le serveur de noms DNS
La commande named autorise les mises &agrave; jour dynamiques. La base de donn&eacute;es nomm&eacute;e
et les fichiers de configuration doivent &ecirc;tre configur&eacute;s pour permettre aux machines clientes
d’&eacute;mettre des mises &agrave; jour. Une zone peut &ecirc;tre dynamique ou statique. La zone par d&eacute;faut
est statique.
Pour rendre une zone dynamique, il faut ajouter le mot cl&eacute; allow–update &agrave; la strophe
correspondante du fichier /etc/named.conf file. Ce mot cl&eacute; pr&eacute;cise la liste de
correspondances d’adresses Internet d&eacute;finissant les h&ocirc;tes autoris&eacute;s &agrave; soumettre des mises
&agrave; jour. Pour en savoir plus et examiner un exemple de fichier de configuration,
reportez-vous &agrave; la section ”named.boot File Format for TCP/IP” dans le manuel AIX 5L
Version 5.2 Files Reference. Dans l’exemple ci–dessous, la mise &agrave; jour de la zone
dynamique est autoris&eacute;e &agrave; tous les h&ocirc;tes :
zone ”abc.aus.century.com” IN {
type master;
file ”named.abc.data”;
allow–update { any; };
};
4-82
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Sur une zone dynamique, trois modes de s&eacute;curit&eacute; peuvent &ecirc;tre d&eacute;finis :
Non s&eacute;curis&eacute;
N’importe qui peut, &agrave; tout moment, mettre &agrave; jour les
informations de la zone.
Attention : il est d&eacute;conseill&eacute; d’opter pour ce mode. Des
donn&eacute;es risquent d’&ecirc;tre perdues ou intercept&eacute;es, et
l’utilisateur frustr&eacute;. Il convient au minimum de limiter la mise
&agrave; jour d’une zone non s&eacute;curis&eacute;e (”unsecured”) &agrave; des
adresses Internet sp&eacute;cifiques.
Contr&ocirc;l&eacute;
Autorise la cr&eacute;ation d’informations et le remplacement de
donn&eacute;es existantes. C’est sans doute le mode le plus
adapt&eacute; &agrave; un environnement de transition s&eacute;curis&eacute;. Ce
mode requiert &eacute;galement que les donn&eacute;es entrantes soient
horodat&eacute;es et munies d’une signature &agrave; cl&eacute;.
Pr&eacute;–securis&eacute;
Impose que les mises &agrave; jour remplacent les informations
existantes par des informations similaires. Ne permet pas
de cr&eacute;er de nouvelles informations. Ce mode requiert
&eacute;galement que les donn&eacute;es entrantes soient horodat&eacute;es et
munies d’une signature &agrave; cl&eacute;.
Par d&eacute;faut, une zone dynamique se trouve en mode non s&eacute;curis&eacute;. Pour utiliser l’un des
autres modes, tapez controlled ou presecured apr&egrave;s le mot de passe update–security
dans la zone de strophe du fichier /etc/named.conf file. Cela indique au serveur named le
niveau de s&eacute;curit&eacute; &agrave; utiliser pour cette zone. Par exemple :
zone ”abc.aus.century.com” IN {
type master;
file ”named.abc.data”;
allow–update { any; };
update–security controlled;
};
Une fois le mode s&eacute;lectionn&eacute;, les fichiers de donn&eacute;es doivent &ecirc;tre amen&eacute;s au niveau de
s&eacute;curit&eacute; choisi. En mode non s&eacute;curis&eacute;, les fichiers de donn&eacute;es sont utilis&eacute;s tels quels. En
mode contr&ocirc;l&eacute; ou pr&eacute;–s&eacute;curis&eacute;, vous devez cr&eacute;er un ensemble de paires de cl&eacute;s entre
noms de serveur ma&icirc;tres et h&ocirc;tes pour chaque nom de la zone. Utilisez pour cela la
commande nsupdate avec l’option –g. Cette commande g&eacute;n&egrave;re la paire de cl&eacute;s, une priv&eacute;e
et une publique. Ces cl&eacute;s sont n&eacute;cessaires pour authentifier les mises &agrave; jour. Apr&egrave;s avoir
cr&eacute;&eacute; toutes les cl&eacute;s pour la liste de noms de zones, il faut les ajouter au fichier de donn&eacute;es.
Le format de cl&eacute; (KEY) est le suivant :
Index
ttl
Class
Type
KeyFlags
Protocol
Algorithm
KeyData
o&ugrave; :
Index
Nom r&eacute;f&eacute;ren&ccedil;ant les donn&eacute;es de la zone.
ttl
ttl (”time to live”) des donn&eacute;es. Ce champ est facultatif.
Classe
Classe des donn&eacute;es. D&eacute;pend de la zone, mais g&eacute;n&eacute;ralement IN.
Type
Type de l’enregistrement. Dans ce cas, le type est KEY.
IndicCl&eacute;
Informations sur la cl&eacute;. En g&eacute;n&eacute;ral, l’enregistrement de cl&eacute; pour un h&ocirc;te
est sous la forme 0x0000. Le code 0x0100 d&eacute;finit l’enregistrement de cl&eacute;
associ&eacute; au nom de zone.
Protocole
Protocole &agrave; utiliser. Pour le moment, il n’y en a qu’un, 0.
Protocole TCP/IP
4-83
Algorithme
Algorithme de la cl&eacute;. Pour le moment, il n’y en a qu’un, 1. Cette m&eacute;thode
est celle de l’authentification priv&eacute;/public.
Donn&eacute;esCl&eacute;
Cl&eacute; exprim&eacute;e en base 64. La commande nsupdate g&eacute;n&egrave;re les deux cl&eacute;s
(publique et priv&eacute;e) en base 64. Dans le fichier de sortie, la cl&eacute; publique
appara&icirc;t en dernier.
Exemple
Pour garantir la s&eacute;curit&eacute; d’un nom d’h&ocirc;te dans une zone dynamique, il faut ajouter au fichier
de zone une ligne du type ci–dessous pour la zone contenant ce nom :
bears
4660
IN
KEY
0x0000
0
1
AQOtg......
Dans cet exemple, bears est dot&eacute; d’un enregistrement KEY d&eacute;fini : toute personne
souhaitant mettre &agrave; jour bears doit signer sa mise &agrave; jour avec la cl&eacute; priv&eacute;e correspondant &agrave;
la cl&eacute; publique enregistr&eacute;e dans la base de donn&eacute;es. Pour que la commande nsupdate
agisse, cette cl&eacute; priv&eacute;e doit figurer dans un fichier de cl&eacute; chez le client (fichier /etc/keyfile
par d&eacute;faut). Son format est le suivant :
hostname
mastername
base64
key
Une entr&eacute;e similaire KEY doit se trouver dans la section de d&eacute;finition de la zone. La cl&eacute; de
zone est obligatoire en mode pr&eacute;–s&eacute;curis&eacute; ou contr&ocirc;l&eacute; : sans cl&eacute;, le mode est
consid&eacute;r&eacute; non s&eacute;curis&eacute;. L’exemple bears pr&eacute;c&eacute;dent montre comment proc&eacute;der, mais
l’utilisation de cl&eacute; priv&eacute;e revient &agrave; l’administrateur qui utilise la commande nsupdate en
mode administrateur.
1. Pour g&eacute;n&eacute;rer une paire de cl&eacute;s avec la commande nsupdate, entrez :
nsupdate –g –h
FichierCl&eacute;Admin
NomZone
–p
NomServeur
–k
Une cl&eacute; est g&eacute;n&eacute;r&eacute;e pour la zone. Dans cet exemple, nsupdate est li&eacute; &agrave; nsupdate4, en
tapant ce qui suit :
ln –fs /usr/sbin/nsupdate4 /usr/sbin/nsupdate
2. Placez la derni&egrave;re cl&eacute; de la paire au d&eacute;but de la section relative &agrave; la zone, comme suit :
IN
KEY
0x0100
0
1
Key
L’entr&eacute;e du fichier named.abc.data est la suivante :
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
IN
NS
venus.abc.aus.century.com.
IN
KEY
0x0100 0 1
AQPlwHmIQeZzRk6Q/nQYhs3xwnhfTgF/8YlBVzKSoKxVKPNLINnYW0mB7attTcfhHaZZcZr4u
/vDNikKnhnZwgn/
venus
IN
A
192.9.201.1
earth
IN
A
192.9.201.5
mars
IN
A
192.9.201.3
3. La zone est maintenant pr&ecirc;te &agrave; &ecirc;tre charg&eacute;e en r&eacute;g&eacute;n&eacute;rant le serveur de noms. Placez
FichierCl&eacute;Admin sur le client ou le serveur DHCP qui met la zone &agrave; jour. La cl&eacute; de zone
contenue dans FichierCl&eacute;Admin peut &ecirc;tre utilis&eacute;e pour appliquer des mises &agrave; jour et des
op&eacute;rations de maintenance au serveur de noms.
4-84
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
BIND 9
BIND 9 offre les deux mesures de s&eacute;curit&eacute; suivantes pour named:
• Transaction Signatures (TSIG) page 4-85
• Signature (SIG) page 4-87
Le serveur de noms avec BIND 9, par d&eacute;faut, ne permet pas les mises &agrave; jour dynamiques
dans les zones d’autorit&eacute;, comme dans BIND 8.
Transaction Signatures (TSIG)
BIND 9 prend en charge TSIG pour l’administration de serveur &agrave; serveur. Ceci comprend
les messages de transfert de zones, de notification et d’interrogation r&eacute;cursive. TSIG est
&eacute;galement utile pour les mises &agrave; jour dynamiques. Un serveur principal pour une zone
dynamique doit utiliser le contr&ocirc;le d’acc&egrave;s pour contr&ocirc;ler les mises &agrave; jour, mais le contr&ocirc;le
d’acc&egrave;s IP est insuffisant.
En utilisant un chiffrement de base de cl&eacute; &agrave; la place de la m&eacute;thode actuelle des listes de
contr&ocirc;le d’acc&egrave;s, TSIG permet de restreindre les utilisateurs autoris&eacute;s &agrave; mettre &agrave; jour les
zones dynamiques. Contrairement &agrave; la m&eacute;thode ACL (Access Control List) de mises &agrave; jour
dynamiques, la cl&eacute; TSIG peut &ecirc;tre distribu&eacute;s aux autres auteurs de mises &agrave; jour sans qu’il
soit n&eacute;cessaire de modifier les fichiers de configuration sur le serveur de noms, ce qui
signifie qu’il n’est pas n&eacute;cessaire que le serveur de noms relise les fichiers de configuration.
Il est important de noter que BIND 9 ne dispose pas de tous les mots–cl&eacute;s existant dans
BIND 8. Dans cet exemple, nous utilisons la configuration ma&icirc;tre simple de BIND 8.
Remarque :
Pour utiliser named 9, vous devez relier la liaison symbolique au d&eacute;mon
named &agrave; named9, et nsupdate &agrave; nsupdate9 en ex&eacute;cutant les
commandes suivantes :
1. ln –fs /usr/sbin/named9 /usr/sbin/named
2. ln –fs /usr/sbin/nsupdate9 /usr/sbin/nsupdate
1. G&eacute;n&eacute;rez la cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a HMAC–MD5 –b 128 –n HOST cl&eacute;
– HMAC–MD5 est l’algorithme de chiffrement
– 128 est la longueur de la cl&eacute; &agrave; utiliser (ou nombre de bits)
– HOST: HOST est le mot–cl&eacute; TSIG utilis&eacute; pour g&eacute;n&eacute;rer une cl&eacute; h&ocirc;te pour un
chiffrement de cl&eacute; partag&eacute;.
La commande
dnssec–keygen –a HMAC–MD5 –b 128 –n HOST venus–batman.abc.aus.century.com
g&eacute;n&egrave;re deux fichiers de cl&eacute;, comme suit :
Kvenus–batman.abc.aus.century.com.+157+35215.key
Kvenus–batman.abc.aus.century.com.+157+35215.private
– 157 est l’algorithme utilis&eacute; (HMAC–MD5)
– 35215 est l’empreinte, ce qui est utile dans DNNSEC car plusieurs cl&eacute;s par zone
sont autoris&eacute;es
2. Ajoutez l’entr&eacute;e &agrave; named.conf sur le serveur de noms ma&icirc;tre :
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
En supposant que HMAC–MD5 est utilis&eacute;, les deux fichiers de cl&eacute; contiennent la cl&eacute;
partag&eacute;e, qui est stock&eacute;e en tant que derni&egrave;re entr&eacute;e des fichiers. Trouvez un moyen
Protocole TCP/IP
4-85
s&eacute;curis&eacute; de copier la cl&eacute; secr&egrave;te partag&eacute;e sur le client. Vous n’avez pas besoin de copier
le fichier de cl&eacute;, uniquement la cl&eacute; secr&egrave;te partag&eacute;e.
Ce qui suit est l’entr&eacute;e du fichier
Kvenus–batman.abc.aus.century.com.+157+35215.private:
Format–cl&eacute;–priv&eacute;e : v1.2
Algorithme : 157 (HMAC_MD5)
Cl&eacute; : +UWSvbpxHWFdNwEAdy1Ktw==
Vous trouverez ci–apr&egrave;s un exemple du fichier named.conf du serveur de noms ma&icirc;tre.
La zone abc.aus.century.com permet le transfert de zones et les mises &agrave; jour
dynamiques uniquement sur les serveurs ayant la cl&eacute;
venus–batman.abc.aus.century.com. Proc&eacute;dez de m&ecirc;me dans la zone inverse,
pour laquelle les auteurs de mises &agrave; jour doivent avoir la cl&eacute; partag&eacute;e.
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data”;
allow–transfer { key venus–batman.abc.aus.century.com.;};
allow–update{ key venus–batman.abc.aus.century.com.; };
};
Comme les transferts de zone sont restreints &agrave; ceux qui ont une cl&eacute;, le fichier
named.conf du serveur de noms doit aussi &ecirc;tre &eacute;dit&eacute;. Toutes les demande transmises &agrave;
192.9.201.1(venus.abc.aus.century.com) sont sign&eacute;es par une cl&eacute;. Le nom de la cl&eacute;
(venus–batman.abc.aus.century.com.) doit correspondre &agrave; ceux des serveurs qui les
utilisent.
Vous trouverez ci–apr&egrave;s un exemple du fichier named.conf du serveur de noms
esclave :
// Cl&eacute; TSIG
key venus–batman.abc.aus.century.com. {
algorithm hmac–md5;
secret ”+UWSvbpxHWFdNwEAdy1Ktw==”;
};
server 192.9.201.1{
keys { venus–batman.abc.aus.century.com.;};
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” IN {
type slave;
file ”named.abc.data.bak”;
masters { 192.9.201.1; };
};
4-86
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Signature (SIG)
BIND 9 prend en partie en charge les signatures de transaction DNSSEC SIG comme
indiqu&eacute; dans RFC 2535. SIG utilise les cl&eacute;s publiques et priv&eacute;es pour authentifier les
messages.
Les enregistrements SIG permettent aux administrateurs de signer leurs donn&eacute;es de zone
afin de les authentifier.
S&eacute;curisation de la zone racine
Supposons que les autres serveurs de noms sur Internet n’utilisent pas BIND 9, et que vous
vouliez s&eacute;curiser vos donn&eacute;es de zone et permettre aux autres serveurs de v&eacute;rifier vos
donn&eacute;es de zone. Vous souhaitez indiquer que votre zone (dans notre cas
aus.century.com ) est une racine s&eacute;curis&eacute;e et valide toutes les donn&eacute;es de zone
s&eacute;curis&eacute;es sous celle–ci.
1. G&eacute;n&eacute;rez la cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a RSA –b 512 –r /usr/sbin/named –n ZONE aus.century.com.
Remarque :
Le chiffrement RSA peut &ecirc;tre utilis&eacute; comme l’algorithme de g&eacute;n&eacute;ration
de la cl&eacute; si OpenSSL est install&eacute;, mais vous devez d’abord relier la
biblioth&egrave;que DNS &agrave; une biblioth&egrave;que DNS s&eacute;curis&eacute;e en ex&eacute;cutant la
commande suivante :
ln –fs /usr/lib/libdns_secure.a /usr/lib/libdns.a
– ZONE: ZONE est le mot–cl&eacute; DNSSEC utilis&eacute; pour g&eacute;n&eacute;rer des cl&eacute;s de zones pour le
chiffrement de cl&eacute; priv&eacute;e/publique.
– L’indicateur r d&eacute;signe un p&eacute;riph&eacute;rique al&eacute;atoire.
2. Ajoutez l’entr&eacute;e de cl&eacute; publique comme dans le fichier named.conf. L’entr&eacute;e utilis&eacute;e
dans l’exemple est indiqu&eacute;e ci–apr&egrave;s. Le contenu du fichier de cl&eacute;
Kaus.century.com.+001+03254.key est indiqu&eacute; ci–dessous.
abc.aus.century.com. IN KEY 256 3 1
AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6TygUfaw6vz6ldmauB4UQFcGKOyL68/Zv5Z
nEvyB1fMTAaDLYz
La cl&eacute; publique est contenue dans le fichier Kzonename.+algor.+fingerprint.key, ou
dans notre exemple Kaus.century.com.+001+03254.key. Vous devez supprimer la
classe IN et taper KEY et mettre la cl&eacute; entre guillemets. Lorsque vous ajoutez cette
entr&eacute;e au fichier /etc/named.conf et r&eacute;g&eacute;n&eacute;rez le serveur de noms, la zone
aus.century.com est une racine s&eacute;curis&eacute;e.
trusted–keys {
aus.century.com. 256 3 1
”AQOnfGEAg0xpzSdNRe7KePq3Dl4NqQiq7HkwKl6Tyg
Ufaw6vz6ldmauB 4UQFcGKOyL68/Zv5ZnEvyB1fMTAaDLYz”;
};
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data.signed”;
allow–update{192.9.201.1;};
};
Application de la cha&icirc;ne de confiance
Une fois votre racine s&eacute;curis&eacute;e, vous pouvez s&eacute;curiser le reste de vos zones enfant. Dans
ce cas, nous voulons s&eacute;curiser la zone abc.aus.century.com. Proc&eacute;dez comme suit
pour s&eacute;curiser vos zones enfants restantes :
1. G&eacute;n&eacute;rez les paires de cl&eacute; &agrave; l’aide de la commande dnssec–keygen :
dnssec–keygen –a RSA –b 512 –r /usr/sbin/named –n ZONE
abc.aus.century.com.
Protocole TCP/IP
4-87
– L’indicateur r d&eacute;signe un fichier d’entr&eacute;e al&eacute;atoire.
2. Cr&eacute;ez un fichier de cl&eacute; en ex&eacute;cutant la commande dnssec–makekeyset :
dnssec–makekeyset –t 172800
Kabc.aus.century.com.+001+11515.key
o&ugrave; Kabc.aus.century.com.+001+03254.key est votre propre cl&eacute; publique.
Ceci cr&eacute;e un fichier de cl&eacute; appel&eacute; keyset–abc.aus.century.com.
3. Envoyez ce fichier de cl&eacute; &agrave; la zone parente pour le faire signer. Dans cet exemple, notre
zone parente est la zone racine s&eacute;curis&eacute;e aus.century.com.
4. Le parent doit signer la cl&eacute; avec sa cl&eacute; priv&eacute;e.
dnssec–signkey keyset–abc.aus.century.com.
Kaus.century.com.+001+03254.private
Ceci g&eacute;n&egrave;re un fichier appel&eacute; signedkey–abc.aus.century.com, et le parent doit
renvoyer ce fichier &agrave; la zone enfant.
5. Sur le serveur de noms enfant de la zone abc.aus.century.com, ajoutez $INCLUDE
Kabc.aus.century.com.+001+11515.key au fichier de zone simple
named.abc.data. Souvenez–vous de placer le fichier
signedkey–abc.aus.century.com dans le m&ecirc;me emplacement que le fichier de zone
named.abc.data. Lorsque la zone est sign&eacute;e dans l’&eacute;tape suivante, le programme sait
qu’il doit inclure signedkey–abc.aus.century.com, qui a &eacute;t&eacute; re&ccedil;ue du parent.
$TTL 3h
;3 hour
@ IN
SOA
venus.abc.aus.century.com.
gail.zeus.abc.aus.century.com. (
1
;serial
3600
;refresh
600
;retry
3600000 ;expire
86400
;negative caching TTL
)
$INCLUDE Kabc.aus.century.com.+001+03254.key
6. Signez la zone &agrave; l’aide de la commande dnssec–signzone :
dnssec–signzone –o abc.aus.century.com. named.abc.data
7. Modifiez le fichier named.conf dans la zone enfant abc.aus.century.com pour
utiliser le nouveau fichier de zone sign&eacute; ( named.abc.data.signed). Par exemple :
options {
directory ”/usr/local/domain”;
};
zone ”abc.aus.century.com” in {
type master;
file ”named.abc.data.signed”;
allow–update{192.9.201.1;};
};
8. R&eacute;g&eacute;n&eacute;rez le serveur de noms.
Pour plus d’informations sur la r&eacute;solution des probl&egrave;mes, reportez–vous &agrave; Probl&egrave;mes de
r&eacute;solution des noms page 4-225.
4-88
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Planification et configuration pour la r&eacute;solution de noms LDAP
(Sch&eacute;ma de r&eacute;pertoire SecureWay)
LDAP (Lightweight Directory Access Protocol) est un standard du march&eacute; qui d&eacute;finit une
m&eacute;thode d’acc&egrave;s et de mise &agrave; jour des informations d’un r&eacute;pertoire. Un sch&eacute;ma LDAP
d&eacute;finit les r&egrave;gles de classement des donn&eacute;es. La classe d’objet ibm–HostTable, contenue
dans le sch&eacute;ma de r&eacute;pertoire SecureWay Directory, peut &ecirc;tre utilis&eacute;e pour stocker
l’&eacute;quivalence entre le nom et l’adresse Internet pour chaque h&ocirc;te du syst&egrave;me.
La classe d’objet ibm–HostTable est d&eacute;finit comme suit :
Nom de la classe d’objets :
ibm–HostTable
Description :
Entr&eacute;e de la table des syst&egrave;mes h&ocirc;te regroupant
des noms h&ocirc;te pour des mappages d’adresses IP.
OID :
TBD
RDN :
ipAddress
Classe d’objet sup&eacute;rieure : top
Attributs n&eacute;cessaires :
h&ocirc;te, ipAddress
Attributs optionnels :
ibm–hostAlias, ipAddressType, description
D&eacute;finitions des attributs :
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
Attribut :
Description :
OID :
Syntaxe :
Longueur :
Valeur unique
:
:
:
:
:
ipAddress
Adresses IP des noms h&ocirc;tes de la Table des syst&egrave;mes h&ocirc;te
TBD
caseIgnoreString
256
Yes
ibm–hostAlias
Alias de l’h&ocirc;te dans la table des syst&egrave;mes h&ocirc;te
TBD
caseIgnoreString
256
Valeur multiple
ipAddressType
Famille d’adresses d’une adresse IP (1=IPv4, 2=IPv6)
TBD
Entier
11
Yes
host
Nom d’h&ocirc;te d’un syst&egrave;me.
1.13.18.0.2.4.486
caseIgnoreString
256
Valeur multiple
description
Commentaires sur un objet de r&eacute;pertoire.
2.5.4.13
caseIgnoreString
1024
Valeur multiple
Utilisez la proc&eacute;dure suivante pour configurer le serveur LDAP conform&eacute;ment au sch&eacute;ma
SecureWay Directory, de fa&ccedil;on &agrave; stocker l’&eacute;quivalence entre les noms et les adresses
Internet :
1. Ajoutez un suffixe au serveur LDAP. Le suffixe est le point de d&eacute;part de la base de
donn&eacute;es des h&ocirc;tes. Par exemple, ”cn=hosts”. Utilisez pour cela l’utilitaire IBM
SecureWay Directory Server Administration.
2. Cr&eacute;ez un fichier LDIF (Data Interchange Format) LDAP : Vous pouvez le faire
manuellement ou &agrave; l’aide de la commande hosts2ldif, qui cr&eacute;e un fichier LDIF &agrave; partir
du fichier /etc/hosts. Reportez–vous &agrave; hosts2ldif Command dans le manuel AIX 5L
Version 5.2 Commands Reference pour plus d’informations. Voici un exemple de fichier
LDIF :
Protocole TCP/IP
4-89
dn: cn=hosts
objectclass: top
objectclass: container
cn: hosts
dn: ipAddress=1.1.1.1, cn=hosts
host: test
ipAddress: 1.1.1.1
objectclass: ibm–HostTable
ipAddressType: 1
ibm–hostAlias: e–test
ibm–hostAlias: test.austin.ibm.com
description: first ethernet interface
dn: ipAddress=fe80::dead, cn=hosts
host: test
ipAddress: fe80::dead
objectclass: ibm–HostTable
ipAddressType: 2
ibm–hostAlias: test–ll
ibm–hostAlias: test–ll.austin.ibm.com
description: v6 link level interface
3. Importez les donn&eacute;es du r&eacute;pertoire d’h&ocirc;tes &agrave; partir du fichier LDIF du serveur LDAP.
Pour cela, utilisez la commande ldif2db ou l’outil Web SecureWay Directory Server
Administration.
Configurez le client pour qu’il acc&egrave;de &agrave; la base de donn&eacute;es des h&ocirc;tes sur le serveur LDAP,
via le m&eacute;canisme LDAP, en proc&eacute;dant comme suit :
1. Cr&eacute;ez le fichier /etc/resolv.ldap Pour en savoir plus et disposer d’un exemple de fichier
resolv.ldap, reportez–vous &agrave; la section resolv.ldap File Format for TCP/IP dans le
manuel AIX 5L Version 5.2 Files Reference.
2. Modifiez le nom de r&eacute;solution par d&eacute;faut avec la variable d’environnement NSORDER, le
fichier /etc/netsvc.conf ou le fichier /etc/irs.conf. Pour plus de d&eacute;tails, reportez–vous &agrave;
netsvc.conf File Format for TCP/IP, ou &agrave; irs.conf File Format for TCP/IP dans le manuel
AIX 5L Version 5.2 Files Reference.
Bien qu’il soit toujours pris en charge, il n’est plus conseill&eacute; d’utiliser le m&eacute;canisme ldap .
Le m&eacute;canisme ldap existant fonctionne avec SecureWay Directory Schema. AIX 5.2
propose le nouveau m&eacute;canisme d’attribution des noms, nis_ldap (NIS_LDAP), qui
fonctionne avec le sch&eacute;ma RFC 2307. Il est conseill&eacute; d’utiliser le m&eacute;canisme nis_ldap &agrave;
la place du m&eacute;canisme ldap . Pour plus d’informations sur la r&eacute;solution de noms
nis_ldap , reportez–vous &agrave; P Planification et configuration pour la r&eacute;solution de noms
NIS_LDAP (Sch&eacute;ma de r&eacute;pertoire RFC 2307) page 4-90 .
Planification et configuration pour la r&eacute;solution de noms
NIS_LDAP (Sch&eacute;ma RFC 2307)
AIX 5.2 proopse un nouveau m&eacute;canisme d’attribution de noms appel&eacute; NIS_LDAP. La
diff&eacute;rence entre le m&eacute;canisme LDAP existant et ce nouveau m&eacute;canisme NIS_LDAP est li&eacute;
au sch&eacute;ma LDAP (le groupe des attributs et des classes d’objets qui d&eacute;terminent la fa&ccedil;on
dont les attributs sont regroup&eacute;s pour d&eacute;crire une entit&eacute;). Le m&eacute;canisme LDAP existant
fonctionne avec le serveur LDAP compatible avec le sch&eacute;ma SecureWay et prend en
charge uniquement le service d’attribution de noms h&ocirc;te. Le m&eacute;canisme NIS_LDAP
fonctionne avec le serveur LDAP compatible avec le sch&eacute;ma RFC 2307, et prend en charge
tous les services NIS : utilisateurs et groupes, h&ocirc;tes, services, protocoles, r&eacute;seaux et
groupe r&eacute;seau. RFC 2307 d&eacute;finit un ensemble d’attributs et de classes d’objets qui peut
&ecirc;tre utilis&eacute; pour d&eacute;crire les services d’informations r&eacute;seau, notamment les utilisateurs et les
groupes.
Pour configurer le serveur LDAP, vous devez configurer le serveur LDAP et migrer les
donn&eacute;es requises vers le serveur.
1. Pour configurer un serveur, utilisez la commande mksecldap. Le m&eacute;canisme nis_ldap
fonctionne uniquement avec le sch&eacute;ma RFC 2307. Lors de la configuration du serveur
4-90
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
LDAP, la commande mksecldap devrait &ecirc;tre appel&eacute;e avec l’option –S rfc2307 ou –S
rfc2307aix (pas l’option –S aix qui sp&eacute;cifie le sch&eacute;ma SecureWay Directory). Par
d&eacute;faut, la commande mksecldap migre les utilisateurs et les groupes d&eacute;finis dans local
system sur le serveur LDAP. Si vous souhaitez d&eacute;sactiver cette migration, utilisez
l’option –u NONE .
mksecldap –s –a cn=admin –p adminpwd –S rfc2307aix
Le serveur LDAP se voit attribuer cn=admin comme DN administrateur et adminpwd
comme mot de passe. Le suffixe par d&eacute;faut, cn=aixdata, est &eacute;galement ajout&eacute; au
fichier /etc/slapd32.conf, le fichier de configuration du serveur LDAP.
Par d&eacute;faut, la commande mksecldap migre les utilisateurs et les groupes d&eacute;finis dans le
syst&egrave;me local sur le serveur LDAP. Pour d&eacute;sactiver cette migration, utilisez l’option –u
NONE , qui emp&ecirc;che la migration des utilisateurs et des groupes locaux sur le serveur
LDAP. Vous ne pouvez ainsi ajouter les utilisateurs et les groupes NIS que plus tard.
mksecldap –s –a cn=admin –p adminpwd –u NONE
Pour plus de d&eacute;tails sur la commande mksecldap, reportez–vous &agrave; la description de la
commande dans le manuel AIX 5L Version 5.2 Commands Reference.
2. Migrez les donn&eacute;es NIS. Utilisez la commande nistoldif du serveur NIS pour migrer les
&eacute;quivalences NIS vers le serveur LDAP. La commande nistoldif peut aussi &ecirc;tre utilis&eacute;e
pour migrer les donn&eacute;es des fichiers plats.
Ex&eacute;cutez la commande nistoldif sur un syst&egrave;me contenant des donn&eacute;es NIS qui doivent
&ecirc;tre migr&eacute;es vers le serveur LDAP.
nistoldif –h server1.ibm.com –a cn=admin –p adminpwd –d cn=aixdata
Ceci permet de faire migrer les &eacute;quivalences NIS depuis le local system sur le serveur
LDAP, server1.ibm.com. Les donn&eacute;es NIS sont plac&eacute;es sous le DNcn=aixdata .
Vous pouvez aussi ex&eacute;cuter la commande nistoldif pour migrer les donn&eacute;es des fichiers
plats de n’importe quel syst&egrave;me vers le serveur LDAP. Les fichiers plats seront utilis&eacute;s
pour toutes les &eacute;quivalences manquantes du serveur NIS.
Pour plus de d&eacute;tails sur la commande nistoldif, reportez–vous &agrave; la description de la
commande dans le manuel AIX 5L Version 5.2 Commands Reference.
Remarque :
Les noms sont repr&eacute;sent&eacute;s par l’attribut cn du serveur LDAP. L’attribut
cn d&eacute;fini par RFC 2307 ne tient pas compte de la casse. Les noms
diff&eacute;renci&eacute;s uniquement par la casse sont fusionn&eacute;s sur le serveur. Les
&eacute;quivalences exactes ne tiennent pas non plus compte de la casse. Les
recherches effectu&eacute;es sur TCP, tcp, ou Tcp renverraient toutes l’entr&eacute;e
de protocole de TCP.
Pour configurer le client LDAP afin qu’il acc&egrave;de aux noms du serveur LDAP, ex&eacute;cutez la
commande mksecldap avec les options de configuration du client.
1. La commande mksecldap enregistre le nom de serveur LDAP, le port, admindn, le mot
de passe et basedn dans le fichier /etc/security/ldap/ldap.cfg, qui est lu par le d&eacute;mon
secldapclntd lors du d&eacute;marrage. La commande mksecldap d&eacute;marre le d&eacute;mon
secldapclntd automatiquement, si la configuration r&eacute;ussit.
Pour plus d’informations sur le fichier /etc/security/ldap/ldap.cfg, consultez le manuel
AIX 5L Version 5.2 Files Reference. Pour plus d’informations sur le d&eacute;mon
secldapclntd, consultez le manuel AIX 5L Version 5.2 Commands Reference.
2. La commande mksecldap ajoute le m&eacute;canisme nis_ldap au fichier /etc/netsvc.conf
et /etc/irs.conf afin de diriger la r&eacute;solution de noms vers LDAP. Vous pouvez aussi
d&eacute;finir la variable d’environnement NSORDER en tant que nis_ldap pour utiliser la
r&eacute;solution de noms NIS_LDAP.
mksecldap –c –a cn=admin –p adminpwd –h server1.ibm.com
Ceci configure le local system afin qu’il utilise le serveur LDAP server1.ibm.com . Le
DN et le mot de passe administrateur du serveur LDAP doivent &ecirc;tre fournis au client
Protocole TCP/IP
4-91
pour lui permettre de s’authentifier. Les fichiers /etc/netsvc.conf et /etc/irs.conf sont
mis &agrave; jour afin que la r&eacute;solution d’attribution de noms soit r&eacute;solue via NIS_LDAP.
Pour plus d’informations, consultez le format de fichier /etc/netsvc.conf pour TCP/IP ou
/etc/irs.conf pour TCP/IP dans le manuel AIX 5L Version 5.2 Files Reference.
3. La r&eacute;solution des noms pour les utilisateurs et les groupes n’est pas contr&ocirc;l&eacute;e par les
fichiers /etc/netsvc.conf ou /etc/irs.conf, mais par le fichier /etc/security/user. Pour
permettre &agrave; un utilisateur LDAP de se connecter &agrave; un syst&egrave;me AIX, d&eacute;finissez les
variables SYSTEM et registry de l’utilisateur en tant que LDAP dans le fichier
/etc/security/user de ce syst&egrave;me client. Vous pouvez effectuer cette op&eacute;ration avec la
commande chuser.
chuser –R LDAP SYSTEM=LDAP registry=LDAP foo
Vous pouvez configurer votre syst&egrave;me afin d’autoriser tous les utilisateurs LDAP &agrave; se
connecter &agrave; un syst&egrave;me. Pour ce faire, &eacute;ditez le fichier /etc/security/user. Ajoutez
registry = files &agrave; la strophe racine. Ajoutez ensuite SYSTEM = LDAP et
registry = LDAP &agrave; la strophe par d&eacute;faut.
Pour plus d’informations sur l’authentification utilisateur, reportez–vous &agrave; la section
LDAP Exploitation of the Security Subsystem dans le manuel AIX 5L Version 5.2
Security Guide.
4-92
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Affectation des adresses et param&egrave;tres TCP/IP Protocole DHCP
Le protocole TCP/IP permet la communication entre machines disposant d’adresses
configur&eacute;es. L’affectation des adresses et la distribution des param&egrave;tres pour toutes les
machines du r&eacute;seau est une des t&acirc;ches incombant &agrave; l’administrateur de r&eacute;seau.
G&eacute;n&eacute;ralement, ce processus consiste pour l’administrateur &agrave; imposer une configuration &agrave;
chaque utilisateur, tout en permettant &agrave; l’utilisateur de configurer sa propre machine.
Toutefois, des erreurs de configuration ou des malentendus peuvent g&eacute;n&eacute;rer des appels de
service que l’administrateur doit traiter individuellement. Le protocole DHCP (Dynamic Host
Configuration Protocol) offre &agrave; l’administrateur une alternative, permettant d’exclure
l’utilisateur final des probl&egrave;mes de configuration et de g&eacute;rer la configuration du r&eacute;seau &agrave;
partir d’un site central.
DHCP est un protocole de couche application qui permet &agrave; une machine du r&eacute;seau, le
client, d’obtenir du serveur une adresse IP ainsi que d’autres param&egrave;tres de configuration.
Les informations sont obtenues au moyen d’un &eacute;change de paquets r&eacute;alis&eacute; entre un d&eacute;mon
sur le client et un autre sur le serveur. La plupart des syst&egrave;mes d’exploitation proposent &agrave;
l’heure actuelle un client DHCP dans leur module de base.
Pour obtenir une adresse, le d&eacute;mon du client DHCP (dhcpcd) diffuse un message de
d&eacute;couverte DHCP, qui est re&ccedil;u et trait&eacute; par le serveur. (Il est possible de configurer &agrave; cet
effet plusieurs serveurs sur le r&eacute;seau.) S’il existe une adresse disponible pour ce client, un
message DHCP de proposition est cr&eacute;&eacute;, contenant une adresse IP et d’autres options
client. Le client re&ccedil;oit cette proposition DHCP et la stocke en attendant d’autres
propositions. Il choisit ensuite la meilleure et diffuse une demande DHCP indiquant au
serveur la proposition retenue.
Tous les serveurs DHCP configur&eacute;s re&ccedil;oivent la demande. Chacun d’eux v&eacute;rifie qu’il n’est
pas le serveur demand&eacute;. Si ce n’est pas le cas, le serveur lib&egrave;re l’adresse qu’il a affect&eacute; au
client. En revanche, le serveur demand&eacute; marque que l’adresse est affect&eacute;e et renvoie un
accus&eacute; de r&eacute;ception DHCP, qui finalise la transaction et attribue au client une adresse pour
une dur&eacute;e (d&eacute;lai) d&eacute;finie par le serveur.
A &eacute;ch&eacute;ance de la moiti&eacute; de ce d&eacute;lai, le client tente de renouveler la r&eacute;servation de son
adresse en envoyant au serveur un paquet de renouvellement. Si le serveur accepte la
demande, il envoie un accus&eacute; de r&eacute;ception DHCP. Si le client ne parvient pas &agrave; obtenir une
r&eacute;ponse de son serveur attitr&eacute;, il diffuse un paquet de nouvelle liaison DHCP afin de tenter
de joindre le serveur (celui–ci a pu, par exemple, &ecirc;tre d&eacute;plac&eacute; d’un r&eacute;seau &agrave; un autre). Si, &agrave;
l’expiration de la totalit&eacute; du d&eacute;lai, le client n’a pas renouvel&eacute; son adresse, l’interface est
arr&ecirc;t&eacute;e et le processus recommence &agrave; z&eacute;ro. Ce cycle permet d’&eacute;viter que plusieurs clients
d’un r&eacute;seau ne se voient affecter la m&ecirc;me adresse.
Le serveur DHCP proc&egrave;de &agrave; l’attribution des adresses en fonction de cl&eacute;s. Les quatre cl&eacute;s
les plus courantes sont le r&eacute;seau, la classe, le fournisseur et l’ID de client. Le serveur se
sert de ces cl&eacute;s pour obtenir une adresse et un jeu d’options de configuration qu’il envoie
au client.
r&eacute;seau
Identifie le segment de r&eacute;seau d’o&ugrave; est issu le paquet. La cl&eacute; r&eacute;seau
permet au serveur de v&eacute;rifier sa base de donn&eacute;es d’adresses et d’attribuer
une adresse correspondant au segment de r&eacute;seau.
classe
Elle est enti&egrave;rement configurable par le client. Elle peut comprendre une
adresse et des options. Cette cl&eacute; peut &ecirc;tre utilis&eacute;e pour pr&eacute;ciser la fonction
d’une machine du r&eacute;seau ou d&eacute;crire le mode de regroupement des
machines adopt&eacute; &agrave; des fins administratives. Ainsi, l’administrateur du
r&eacute;seau peut cr&eacute;er une classe netbios contenant les options destin&eacute;es
aux clients NetBIOS ou une classe comptabilit&eacute; repr&eacute;sentant les
machines du service Comptabilit&eacute; qui ont besoin d’acc&eacute;der &agrave; une
imprimante sp&eacute;cifique.
Protocole TCP/IP
4-93
fournisseur
Facilite l’identification du client &agrave; l’aide de sa plate–forme
mat&eacute;rielle/logicielle (par exemple, un client Windows 95 ou un client OS/2
Warp).
ID client
Identifie le client, soit par le nom d’h&ocirc;te de sa machine soit par son adresse
de couche MAC (medium access control). L’ID client figure dans le fichier
de configuration du d&eacute;mon dhcpcd. Par ailleurs, il peut &ecirc;tre utilis&eacute; par le
serveur pour transmettre des options &agrave; un client ou pour emp&ecirc;cher un
client de recevoir des param&egrave;tres.
Ces cl&eacute;s peuvent figurer dans le fichier de configuration soit seules, soit en combinaison. Si
un client fournit plusieurs cl&eacute;s et que plusieurs adresses peuvent &ecirc;tre allou&eacute;es, le choix
porte sur une cl&eacute; et le jeu d’options d&eacute;coule de la cl&eacute; choisie en premier. Pour plus
d’informations sur la s&eacute;lection des cl&eacute;s et des adresses, reportez–vous &agrave; la section
Configuration de DHCP, page 4-97.
Un agent relais est requis pour que les diffusions initiales du client puissent quitter le r&eacute;seau
local. Cet agent est appel&eacute; agent relais BOOTP. Ces agents assurent le relais des paquets
DHCP et BOOTP.
Le serveur DHCP
A partir de AIX Version 4.3.1, le serveur DHCP a &eacute;t&eacute; divis&eacute; en trois grandes parties : une
base de donn&eacute;es, un moteur de protocole et un ensemble de routines de service, chaque
partie disposant de ses propres informations de configuration.
La base de donn&eacute;es DHCP
La base de donn&eacute;es db_file.dhcpo permet d’effectuer le suivi des clients et des adresses
et de contr&ocirc;ler les acc&egrave;s (par exemple, pour autoriser certains clients exclusivement &agrave;
acc&eacute;der &agrave; certains r&eacute;seaux ou pour d&eacute;sactiver les clients BOOTP sur un r&eacute;seau particulier).
Les options sont &eacute;galement enregistr&eacute;es dans la base de donn&eacute;es d’o&ugrave; elles peuvent &ecirc;tre
extraites et distribu&eacute;es aux clients. La base de donn&eacute;es est impl&eacute;ment&eacute;e sous la forme d’un
objet pouvant &ecirc;tre charg&eacute; de fa&ccedil;on dynamique, ce qui facilite les mises &agrave; niveau et la
maintenance du serveur.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e. Un ensemble de fichiers de points de contr&ocirc;le met &agrave; jour la base de
donn&eacute;es et r&eacute;duit le volume d’&eacute;critures vers le fichier de stockage principal. La base de
donn&eacute;es contient &eacute;galement des pools d’adresses et d’options, mais ceux–ci sont statiques
et sont &eacute;tudi&eacute;s dans la section Configuration de DHCP, page 4-97.
Le fichier de stockage principal et sa copie de sauvegarde sont de simples fichiers ASCII
qui peuvent, si n&eacute;cessaire, &ecirc;tre modifi&eacute;s. Leur format est le suivant :
DF01
”
ID CLIENT ” ”
0.0.0.0 ”
Etat
LeaseTimeStart
LeaseTimeDuration
LeaseTimeEnd
”
Adresse IP serveur ” ” ID classe ” ”ID fournisseur” ”H&ocirc;te ” ”Nom de
domaine ”
”
ID CLIENT ” ”
0.0.0.0 ”
Etat
LeaseTimeStart
LeaseTimeDuration
LeaseTimeEnd
”
Adresse IP serveur ” ”
ID classe ” ”
ID fournisseur ” ”
H&ocirc;te
” ”
Nom de domaine ”
...
La premi&egrave;re ligne indique la version du fichier : DF01c. Les lignes qui suivent d&eacute;finissent
des enregistrements client. Le serveur proc&egrave;de &agrave; la lecture de la seconde ligne jusqu’&agrave; la fin
du fichier. (Les param&egrave;tres entre guillemets doivent &ecirc;tre indiqu&eacute;s entre guillemets.)
”CLIENT ID” ID utilis&eacute; par le client pour se pr&eacute;senter au serveur.
4-94
”0.0.0.0”
est l’adresse IP actuellement attribu&eacute;e au serveur DHCP. Si aucune
adresse n’a &eacute;t&eacute; attribu&eacute;e, ”0.0.0.0” sera adopt&eacute; par d&eacute;faut.
State
Etat actuel du client. Le moteur de protocole DHCP contient le jeu de
valeurs attribuables et les &eacute;tats sont g&eacute;r&eacute;s dans la base de donn&eacute;es DHCP.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Le nombre en regard de State repr&eacute;sente sa valeur. Les diff&eacute;rents &eacute;tats
possibles sont :
(1) FREE
Repr&eacute;sente les adresses qui sont disponibles. En g&eacute;n&eacute;ral, les clients
n’ont pas cet &eacute;tat, &agrave; moins qu’aucune adresse ne leur ait encore &eacute;t&eacute;
attribu&eacute;e. dadmin et la sortie de lssrc signalent pour cet &eacute;tat ”Free”.
(2) BOUND
Indique que le client et l’adresse sont li&eacute;s et que l’adresse a &eacute;t&eacute;
attribu&eacute;e au client il y a d&eacute;j&agrave; un certain temps. dadmin et la sortie de
lssrc indiquent pour cet &eacute;tat ”Leased”.
(3) EXPIRED
Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement, de la m&ecirc;me mani&egrave;re que l’&eacute;tat released. Cet &eacute;tat
signale toutefois que le client a laiss&eacute; son bail arriver &agrave; expiration.
Une adresse arriv&eacute;e &agrave; expiration est disponible et est r&eacute;affect&eacute;e
lorsque toutes les adresses libres sont indisponibles et avant que les
adresses lib&eacute;r&eacute;es ne soient r&eacute;attribu&eacute;es. dadmin et la sortie de lssrc
indiquent pour cet &eacute;tat ”Expired”.
(4) RELEASED Indique que le client et l’adresse sont li&eacute;s, &agrave; titre d’information
uniquement. Le protocole DHCP conseille aux serveurs DHCP de
g&eacute;rer les informations concernant leurs clients pr&eacute;c&eacute;dents &agrave; des fins
de r&eacute;f&eacute;rence ult&eacute;rieure (principalement pour essayer de redonner &agrave;
un client une adresse qu’il a d&eacute;j&agrave; utilis&eacute;e dans le pass&eacute;). Cet &eacute;tat
signale que le client a lib&eacute;r&eacute; l’adresse. Cette adresse peut donc &ecirc;tre
utilis&eacute;e par d’autres clients si aucune autre adresse n’est disponible.
dadmin et la sortie de lssrc indiquent pour cet &eacute;tat ”Released”.
(5) RESERVED
Indique qu’une liaison l&acirc;che existe entre le client et l’adresse. Le
client a envoy&eacute; un message de d&eacute;couverte DHCP, auquel le serveur
DHCP a r&eacute;pondu, et le client n’a pas encore r&eacute;pondu par une
requ&ecirc;te DHCP demandant cette adresse. dadmin et la sortie de
lssrc indiquent pour cet &eacute;tat ”Reserved”.
(6) BAD
Repr&eacute;sente une adresse utilis&eacute;e sur le r&eacute;seau mais qui n’a pas &eacute;t&eacute;
distribu&eacute;e par le serveur DHCP. Cet &eacute;tat qualifie &eacute;galement les
adresses qui ont &eacute;t&eacute; rejet&eacute;es par les clients. Cet &eacute;tat ne s’applique
pas &agrave; des clients. dadmin et la sortie de lssrc indiquent que cet &eacute;tat
est ”Utilis&eacute;” (Used) et ”Mauvais” (Bad), respectivement.
LeaseTimeStart D&eacute;but du bail actuel (en nombre de secondes &eacute;coul&eacute;es depuis le 1er
janvier 1970).
LeaseTimeDuration
Dur&eacute;e du bail (en secondes).
LeaseTimeEnd Utilise le m&ecirc;me format que LeaseTimeStart, pour indiquer la fin du bail.
Certaines options de configuration utilisent des valeurs diff&eacute;rentes pour le
d&eacute;but et la fin d’un bail et il est possible de substituer &agrave; ces valeurs des
options du fichier de configuration. Reportez–vous &agrave; Syntaxe du fichier de
serveur DHCP pour la base de donn&eacute;es db_file, page 4-117.
”Server IP Address”
Adresse IP du serveur DHCP d&eacute;tenteur de cet enregistrement.
”Class ID”
”Vendor ID”Host Name”
”Domain Name”
Valeurs utilis&eacute;es par le serveur pour d&eacute;terminer les options qui sont
envoy&eacute;es au serveur (stock&eacute;es sous la forme de cha&icirc;nes entre guillemets).
Ces param&egrave;tres permettent d’am&eacute;liorer les performances, puisque les listes
d’options peuvent &ecirc;tre g&eacute;n&eacute;r&eacute;es &agrave; l’avance pour ces clients au d&eacute;marrage
du serveur DHCP.
Protocole TCP/IP
4-95
Fichiers de points de contr&ocirc;le
La syntaxe des fichiers de points de contr&ocirc;le n’est pas sp&eacute;cifi&eacute;e. En cas de panne du
serveur, ou si vous devez l’arr&ecirc;ter sans avoir pu fermer normalement la base de donn&eacute;es,
le serveur peut utiliser les fichiers de points de contr&ocirc;le et les fichiers de sauvegarde pour
reconstruire une base de donn&eacute;es correcte. La pire situation serait de perdre un client (si le
client &eacute;tait en cours d’&eacute;criture dans le fichier de point de contr&ocirc;le au moment de la panne).
Les fichiers par d&eacute;faut sont :
/etc/db_file.cr fonctionnement normal de la base de donn&eacute;es
/etc/db_file.crbk
sauvegardes de la base de donn&eacute;es
/etc/db_file.chkpt et /etc/db_file.chkpt2
fichiers de point de contr&ocirc;le en alternance
Le serveur DHCP pour AIX Version 4.3.1 et ult&eacute;rieures est du type encha&icirc;n&eacute;. Pour garantir
un d&eacute;bit &eacute;lev&eacute;, les op&eacute;rations sur la base de donn&eacute;es (y compris les op&eacute;rations de
sauvegarde) sont optimis&eacute;es pour le type encha&icirc;n&eacute;. Lorsqu’une sauvegarde est demand&eacute;e,
le fichier de points de contr&ocirc;le existant est remplac&eacute; par le fichier de points de contr&ocirc;le
suivant, le fichier de base de donn&eacute;es existant est copi&eacute; dans le fichier de secours et un
nouveau fichier de sauvegarde est cr&eacute;&eacute;. Chaque enregistrement client est consign&eacute; et un
bit est modifi&eacute; afin d’indiquer que le client doit utiliser le nouveau fichier de points de
contr&ocirc;le pour la journalisation. Lorsque tous les enregistrements client sont pris en compte,
la sauvegarde est ferm&eacute;e et les anciens fichiers de secours et de points de contr&ocirc;le sont
supprim&eacute;s. De cette mani&egrave;re, les clients peuvent toujours &ecirc;tre trait&eacute;s et, si l’enregistrement
du client a &eacute;t&eacute; sauvegard&eacute;, les modifications s’inscrivent dans un nouveau fichier de
sauvegarde ou un nouveau fichier de points de contr&ocirc;le.
Le moteur de protocole DHCP
Pour AIX Version 4.3.1 et ult&eacute;rieures, le moteur de protocole DHCP a &eacute;t&eacute; mis au niveau de
la norme RFC 2131, mais reste compatible avec RFC 1541. (Le serveur peut &eacute;galement
traiter des options d&eacute;finies dans RFC 2132.) Le moteur de protocole utilise la base de
donn&eacute;s pour d&eacute;terminer quelles informations doivent &ecirc;tre retourn&eacute;es au client.
La configuration des pools d’adresses fait intervenir certaines options qui affectent l’&eacute;tat de
la machine. Par exemple, le serveur DHCP interroge (ping) les adresses avant de les
attribuer. La dur&eacute;e d’attente de la r&eacute;ponse par le serveur peut d&eacute;sormais &ecirc;tre configur&eacute;e
pour chaque pool d’adresses.
Op&eacute;rations DHCP encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur DHCP est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; des op&eacute;rations. Comme le serveur DHCP est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont en fait d&eacute;finies sous la forme de routines qui interviennent
occasionnellement pour s’assurer du bon d&eacute;roulement des op&eacute;rations.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
La routine suivante, dadmin, interface avec le programme client dadmin et le serveur
DHCP. L’outil dadmin peut &ecirc;tre utilis&eacute; pour obtenir des informations sur l’&eacute;tat de la base de
donn&eacute;es et la modifier, et &eacute;vite de modifier manuellement les diff&eacute;rents fichiers de la base
de donn&eacute;es. Les versions ant&eacute;rieures du serveur DHCP emp&ecirc;chaient l’attribution
d’adresses aux clients lorsqu’une requ&ecirc;te d’&eacute;tat &eacute;tait en cours. Gr&acirc;ce aux routines dadmin
et src, le serveur est d&eacute;sormais en mesure de g&eacute;rer les requ&ecirc;tes de services tout en
continuant &agrave; traiter les requ&ecirc;tes des clients.
4-96
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
La routine suivante est garbage qui, &agrave; intervalles r&eacute;guliers, nettoie la base de donn&eacute;es, la
sauvegarde, purge les clients ne poss&eacute;dant pas d’adresse et supprime les adresses
r&eacute;serv&eacute;es qui le sont depuis trop longtemps. Les intervalles peuvent &ecirc;tre configur&eacute;s
(reportez–vous &agrave; la section Configuration de DHCP, page 4-97). Les autres routines
correspondent &agrave; des processeurs de paquet. Leur nombre peut &ecirc;tre configur&eacute; et il est de 10
par d&eacute;faut. Chaque routine peut traiter une requ&ecirc;te &eacute;mise par un client DHCP. Le nombre
de processeurs de paquets requis est fonction de la charge et de la machine. Si la machine
assure d’autres services que DHCP, il n’est peut &ecirc;tre pas tr&egrave;s sage de lancer 500 routines.
Pr&eacute;paration de DHCP
Pour exploiter ce protocole, l’administrateur r&eacute;seau doit configurer un serveur DHCP ainsi
que les agents relais BOOTP sur les liaisons d&eacute;pourvues de serveur DHCP. Une
planification anticip&eacute;e peut permettre de r&eacute;duire la charge de DHCP sur le r&eacute;seau. Par
exemple, si vous configurez un seul serveur pour g&eacute;rer tous les clients, tous les paquets
doivent transiter par ce serveur. Si vous ne disposez que d’un routeur entre deux grands
r&eacute;seaux, il est plus sage de pr&eacute;voir deux serveurs, un sur chaque liaison.
Un autre aspect &agrave; consid&eacute;rer est le fait que DHCP implique une trame de trafic. Par
exemple, si vous d&eacute;finissez un d&eacute;lai par d&eacute;faut inf&eacute;rieur &agrave; 2 jours et que vous arr&ecirc;tez les
machines pendant le week-end, le trafic DHCP conna&icirc;tra une pointe le lundi matin. Bien que
le trafic DHCP ne constitue pas une charge suppl&eacute;mentaire consid&eacute;rable, il doit n&eacute;anmoins
&ecirc;tre pris en compte au moment de d&eacute;cider du nombre et de l’emplacement des serveurs
DHCP sur le r&eacute;seau.
L’objectif de DHCP est de lib&eacute;rer le client de toute saisie une fois DHCP activ&eacute; pour int&eacute;grer
le client au r&eacute;seau. Le client DHCP, dhcpcd, lit un fichier de configuration, dhcpcd.ini, qui
contient des informations sur la journalisation ainsi que les param&egrave;tres requis pour
d&eacute;marrer. L’installation termin&eacute;e, il vous faut s&eacute;lectionner la m&eacute;thode de configuration de
TCP/IP : configuration minimale ou DHCP. Si vous optez pour DHCP, vous devez choisir
une interface et vous pouvez sp&eacute;cifier des param&egrave;tres facultatifs. Pour l’interface, vous
pouvez s&eacute;lectionner le mot–cl&eacute; any, qui indique &agrave; dhcpcd d’utiliser la premi&egrave;re interface
en &eacute;tat de fonctionnement qu’il rencontre. Cette m&eacute;thode minimise la quantit&eacute; d’entr&eacute;es
c&ocirc;t&eacute; client.
Configuration de DHCP
Par d&eacute;faut, la configuration du serveur DHCP est effectu&eacute;e par la lecture du fichier
/etc/dhcpsd.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est lanc&eacute; dans le fichier /etc/rc.tcpip, &agrave; partir de Web-based System Manager,
de SMIT, ou &agrave; l’aide de commandes SRC. Vous pouvez configurer un client DHCP via
Web-based System Manager, SMIT ou en &eacute;ditant un fichier ASCII plat.
La configuration de DHCP constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
DHCP dans votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients DHCP. Chaque sous–r&eacute;seau du r&eacute;seau principal repr&eacute;sente un pool
d’adresses que le serveur DHCP doit ajouter &agrave; sa base de donn&eacute;es. Par exemple :
database db_file
{
subnet 9.3.149.0 255.255.255.0
{ option 3 9.3.149.1 # Passerelle par d&eacute;faut que les clients de
ce r&eacute;seau doivent utiliser
option 6 9.3.149.2 # Serveur de noms que les clients de ce r&eacute;sea
u doivent utiliser
}
... options ou autres conteneurs ajout&eacute;s ult&eacute;rieurement
}
L’exemple ci–dessus repr&eacute;sente un sous–r&eacute;seau, 9.3.149.0, avec un masque de
sous–r&eacute;seau 255.255.255.0. Toutes les adresses de ce sous–r&eacute;seau, de 9.3.149.1 &agrave;
9.3.149.254, sont contenues dans le pool. Eventuellement, il est possible de sp&eacute;cifier un
Protocole TCP/IP
4-97
intervalle &agrave; la fin de la ligne, ou d’inclure un intervalle ou une instruction d’exclusion dans le
conteneur de sous–r&eacute;seau. Pour plus d’informations sur les d&eacute;finitions et m&eacute;thodes de
configuration classiques, reportez–vous &agrave; Options connues du fichier de serveur DHCP,
page 4-106.
La clause de base de donn&eacute;es mentionnant db_file indique la m&eacute;thode &agrave; utiliser pour le
traitement de cette portion du fichier de configuration. Les commentaires sont introduits par
le symbole #. Le texte plac&eacute; entre le # initial et la fin de la ligne est ignor&eacute; par le serveur
DHCP. Chaque ligne option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit
faire. La section Options connues du fichier de serveur DHCP, page 4-106 d&eacute;crit les options
reconnues et prises en charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options
inconnues du serveur, reportez–vous &agrave; la section Syntaxe du fichier de serveur DHCP pour
le fonctionnement g&eacute;n&eacute;ral du serveur, page 4-113.
Si le serveur ne comprend pas comment analyser une option, il utilise des m&eacute;thodes par
d&eacute;faut pour transmettre l’option au client. Ceci permet au serveur DHCP d’envoyer des
options sp&eacute;cifiques &agrave; certains sites, qui ne sont pas d&eacute;finies dans les normes RFC, mais
sont utilisables par certains clients ou certaines configurations de client.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Les modificateurs sont des instructions isol&eacute;es qui modifient l’aspect d’un conteneur, par
exemple la valeur par d&eacute;faut de la dur&eacute;e du bail.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute; &agrave;
ce conteneur.
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77 (User Site Class Identifier –
identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60 (Vendor Class Identifier –
identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients DHCP et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur de
correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
4-98
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs sont plac&eacute;s dans le
conteneur global. La plupart des conteneurs peuvent &ecirc;tre inclus dans d’autres conteneurs,
ce qui implique une certaine visibilit&eacute;. Les conteneurs peuvent ou non &ecirc;tre associ&eacute;s &agrave; des
plages d’adresses. Tel est le cas, par nature, des sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
• Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
• Les conteneurs client restreints ne peuvent englober de sous–conteneurs.
En tenant compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs
qui r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction de
leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par
exemple :
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
Cet exemple pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2. Il y a un
nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de client,
Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils r&eacute;sident
dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identique mais leurs valeurs,
diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis Sous–r&eacute;seau 1
avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va g&eacute;n&eacute;rer le chemin de
conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2), Client 1
(au niveau de Classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1 , puis de Client 1 au niveau
de Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous
Protocole TCP/IP
4-99
dans la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re
instruction client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de
Classe 1 au sein de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1 (au niveau de
Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. Les options sp&eacute;cifiques au r&eacute;seau
dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est pas utilis&eacute;e &agrave; partir de
ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Modificateurs
Les modificateurs sont des &eacute;l&eacute;ments qui modifient l’aspect de certains conteneurs, par
exemple le type d’acc&egrave;s ou la dur&eacute;e du bail. Apr&egrave;s avoir d&eacute;fini les pools d’options et
d’adresses, r&eacute;fl&eacute;chissez aux modificateurs &agrave; ajouter aux conteneurs. Les plus courants sont
leasetimedefault, supportBootp et supportUnlistedclients.
leasetimedefault
D&eacute;finit la dur&eacute;e pendant laquelle une adresse est lou&eacute;e &agrave; un client.
supportBootp D&eacute;termine si le serveur doit r&eacute;pondre aux clients BOOTP.
supportUnlistedclients
Indique si un client doit &ecirc;tre explicitement d&eacute;fini par une instruction de client
pour recevoir une adresse. La valeur de supportUnlistedClients peut &ecirc;tre
4-100
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
none (aucun) , dhcp, bootp ou both (les deux). Vous pouvez ainsi
restreindre l’acc&egrave;s des clients bootp et autoriser tous les clients DHCP &agrave;
obtenir des adresses.
Pour conna&icirc;tre les autres modificateurs, reportez–vous &agrave; Syntaxe du fichier de serveur
DHCP pour la base de donn&eacute;es db_file.
Journalisation
Une fois les modificateurs s&eacute;lectionn&eacute;s, configurez la fonction de journalisation. Les
param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de donn&eacute;es,
mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est conseill&eacute;
d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de configurer
cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration puissent &ecirc;tre
consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute; logitem
active le niveau de journalisation ; si vous supprimez logitem, le niveau de journalisation
sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent d’indiquer le
nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Options sp&eacute;cifiques au serveur
Le dernier groupe de param&egrave;tres concerne les options sp&eacute;cifiques au serveur, et permet &agrave;
l’utilisateur de contr&ocirc;ler le nombre de processeurs de paquets, la fr&eacute;quence d’ex&eacute;cution des
routines de nettoyage, etc.
Voici deux exemples d’options sp&eacute;cifiques au serveur :
reservedTime Indique pendant combien de temps une adresse doit rester &agrave; l’&eacute;tat r&eacute;serv&eacute;
apr&egrave;s l’envoi d’une OFFRE au client DHCP
reservedTimeInterval
Indique &agrave; quelle fr&eacute;quence le serveur DHCP analyse les adresses pour
v&eacute;rifier si certaines ne sont pas &agrave; l’&eacute;tat r&eacute;serv&eacute; depuis une dur&eacute;e
sup&eacute;rieure &agrave; celle d&eacute;finie par reservedTime.
Ces options sont pratiques si vous avez plusieurs clients qui diffusent des messages
DISCOVER, mais qui n’envoient pas de message REQUEST ou que leur message
REQUEST se perd sur le r&eacute;seau. Ces param&egrave;tres permettent d’&eacute;viter la r&eacute;servation
ind&eacute;finie des adresses pour un client non conforme.
Une autre option particuli&egrave;rement importante, SaveInterval, permet de d&eacute;finir la fr&eacute;quence
de sauvegarde. Toutes les options sp&eacute;cifiques au serveur sont abord&eacute;es dans la section
Syntaxe du fichier de serveur DHCP pour le fonctionnement g&eacute;n&eacute;ral du serveur, avec les
mots–cl&eacute;s de journalisation.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute; de configuration ainsi que la structure du
fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les performances
du serveur DHCP.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client DHCP. L’ajout
Protocole TCP/IP
4-101
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi, la limitation du
volume de journalisation am&eacute;liore les performances du serveur DHCP. En cas de
pr&eacute;somption d’erreur sur le serveur DHCP, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide des commandes SRC traceson ou dadmin.
Troisi&egrave;mement, la s&eacute;lection d’une valeur numprocessors doit d&eacute;pendre de la taille du
r&eacute;seau DHCP, du param&egrave;tre de configuration pingTime db_file et du d&eacute;lai de propagation
type sur le r&eacute;seau. Etant donn&eacute; que chaque routine de processeur de paquet &eacute;met une
requ&ecirc;te d’&eacute;cho ICMP pour v&eacute;rifier l’&eacute;tat de l’adresse serveur avant de l’attribuer &agrave; un client,
le d&eacute;lai de r&eacute;ponse affecte directement la dur&eacute;e de traitement d’un message DISCOVER.
La routine de processeur de paquet se borne essentiellement &agrave; attendre une r&eacute;ponse ou le
pingTime. Par cons&eacute;quent, la r&eacute;duction de la valeur numprocessors am&eacute;liore le temps de
r&eacute;ponse du serveur, et r&eacute;duit par l&agrave;–m&ecirc;me le nombre de retransmissions par clients, sans
pour autant sacrifier les avantages que pr&eacute;sentent le ping inh&eacute;rent &agrave; la conception du
serveur.
Pour optimiser les performances, s&eacute;lectionnez une valeur pingTime bas&eacute;e sur le d&eacute;lai de
propagation des r&eacute;seaux distants pris en charge par le serveur DHCP. S&eacute;lectionnez
&eacute;galement numprocessors en fonction de la valeur pingTime et de la taille du r&eacute;seau. La
s&eacute;lection d’une valeur trop basse peut entra&icirc;ner l’arr&ecirc;t de toutes les routines de traitement
de paquet dans l’attente des r&eacute;ponses d’&eacute;cho tandis que les messages client DHCP
entrants sont mis en attente sur le port du serveur. Celui–ci traite alors les messages client
par lots au lieu de les traiter en continu.
Une valeur s&eacute;lectionn&eacute;e trop petite peut causer l’arr&ecirc;t du traitement de tous les paquets
dans l’attente de Echo Responses, ce qui provoquerait le.
Afin d’&eacute;viter ce cas de figure, la valeur de numprocessors doit &ecirc;tre sup&eacute;rieure au nombre
pr&eacute;vu de messages DISCOVER pouvant &ecirc;tre re&ccedil;us dans un intervalle pingTime au cours
d’une p&eacute;riode de forte activit&eacute; client sur le DHCP. Toutefois, ne d&eacute;finissez pas une valeur
trop &eacute;lev&eacute;e pour numprocessors car la gestion de routines risquerait d’encombrer le
noyau.
A titre d’exemple, les valeurs numprocessors 5 et pingTime 300 offrent de faibles
performances dans un environnement pouvoir recevoir 10 messages DISCOVER par
seconde. En effet, en cas de forte sollicitation, 5 messages seulement peuvent &ecirc;tre trait&eacute;s
toutes les 3 secondes. Cet environnement doit &ecirc;tre configur&eacute; avec des valeurs se
rapprochant de numprocessors 20 et de pingTime 80.
Personnalisation d’un fichier de configuration
De nombreux administrateurs r&eacute;seau ont &agrave; g&eacute;rer des r&eacute;seaux comprenant plusieurs types
de clients : ainsi, on peut trouver dans le m&ecirc;me r&eacute;seau des ordinateurs ex&eacute;cutant diff&eacute;rents
syst&egrave;mes d’exploitation, tels que Windows, OS/2, Java OS et UNIX. Chaque type de
machine requiert des identificateurs de fournisseurs uniques (c’est ce champ qui permet
d’indiquer le type de machine au serveur DHCP). Les clients Java et les machines Thin
Client peuvent exiger des param&egrave;tres qui leur sont propres, par exemple bootfiles, et il est
possible que vous deviez adapter les options de configuration en cons&eacute;quence. En
revanche, les ordinateurs Windows 95 ne vont pas g&eacute;rer correctement les options
sp&eacute;cifiques &agrave; Java. Il est donc possible d’encapsuler les options sp&eacute;cifiques &agrave; chaque
machine au sein de son conteneur fournisseur.
Pour reprendre notre exemple, imaginez une t&acirc;che principale d&eacute;di&eacute;e &agrave; certaines machines
en fonction de leurs utilisateurs. Par exemple, le personnel de d&eacute;veloppement peut travailler
sur des clients de ce syst&egrave;me d’exploitation pour effectuer des travaux de programmation,
le personnel du service marketing peut utiliser des clients OS/2, les membres du service
des ventes peuvent pr&eacute;f&eacute;rer les clients Java et les machines Thin Client, tandis que la
comptabilit&eacute; a adopt&eacute; des machines Windows 95. Chacune de ces familles d’utilisateurs
peut avoir besoin d’options de configuration diff&eacute;rentes (imprimantes, serveurs de noms ou
serveurs Web par d&eacute;faut, etc.). Dans un tel cas, il est possible d’inclure ces options dans le
conteneur fournisseur, puisque chaque groupe utilise un type de machine diff&eacute;rent. Si le
m&ecirc;me type de machine &eacute;tait utilis&eacute; par plusieurs groupes, il serait possible de placer les
4-102
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
options au sein d’un identificateur de classe subordonn&eacute;, ce qui permettrait, par exemple,
aux directeurs du marketing d’utiliser un groupe d’imprimantes non accessible au reste du
personnel.
Remarque : L’exemple suivant repr&eacute;sente une portion d’un fichier de configuration. Les
commentaires sont pr&eacute;c&eacute;d&eacute;s d’un symbole # et indiquent l’effet de chaque ligne sur
l’installation.
vendor ”AIX_CLIENT”
{
# Pas d’option sp&eacute;cifique, les diff&eacute;rents &eacute;l&eacute;ments sont trait&eacute;s
en fonction de leur classe
}
vendor ”OS/2 Client”
{
# Pas d’option sp&eacute;cifique, les diff&eacute;rents &eacute;l&eacute;ments sont trait&eacute;s
en fonction de leur classe
}
vendor ”Windows 95”
{ option 44 9.3.150.3
# Serveur de noms NetBIOS par
d&eacute;faut
}
vendor ”Java OS”
{ bootstrapserver 9.3.150.4
# Serveur TFTP par d&eacute;faut pour
les bo&icirc;tes Java
option 67 ”javaos.bin”
# Fichier de d&eacute;marrage de la bo&icirc;te
Java OS
}
vendor ”IBM Thin Client”
{ bootstrapserver 9.3.150.5
# Serveur TFTP par d&eacute;faut pour
les bo&icirc;tes Thin Client
option 67 ”thinos.bin”
# Fichier de d&eacute;marrage par d&eacute;faut
pour les bo&icirc;tes Thin Client
}
subnet 9.3.149.0 255.255.255.0
{ option 3 9.3.149.1
# Passerelle par d&eacute;faut pour le
sous–r&eacute;seau
option 6 9.3.150.2
# Serveur de noms pour le
sous–r&eacute;seau
class accounting 9.3.149.5–9.3.149.20
{
# La classe de facturation est limit&eacute;e &agrave; la plage
d’adresses 9.3.149.5–9.3.149.20
# L’imprimante destin&eacute;e &agrave; ce groupe fait &eacute;galement
partie de cette plage, elle est donc exclue.
exclude 9.3.149.15
option 9 9.3.149.15
# Serveur LPR (serveur
d’impression)
vendor ”Windows 95”
{
option 9 deny
# Cette installation de Windows
95 ne prend pas en charge
# cette imprimante, l’option est
donc refus&eacute;e.
}
}
. . .
}
Protocole TCP/IP
4-103
DHCP et DDNS (Dynamic Domain Name System – Syst&egrave;me de noms de
domaine dynamique)
Le serveur DHCP fournit des options permettant le fonctionnement en environnement
DDNS. Pour utiliser DHCP dans l’environnement DDNS, vous devez d&eacute;finir et utiliser une
zone dynamique sur un serveur DNS.
Une fois le serveur DDNS configur&eacute;, vous devez d&eacute;cider si le serveur DHCP doit effectuer
des mises &agrave; jour d’enregistrement A, des mises &agrave; jour d’enregistrement PTR, des mises &agrave;
jour pour les deux types d’enregistrement ou aucune mise &agrave; jour. Cette d&eacute;cision d&eacute;pendra
de la part de travail que peut prendre en charge la machine client.
• Si le client peut assumer une partie de la mise &agrave; jour, vous pouvez confier les mises &agrave;
jour d’enregistrement PTR au serveur et les mises &agrave; jour d’enregistrement A au client.
• Si le client peut tout assumer, configurez le serveur de sorte qu’il n’effectue aucune mise
&agrave; jour.
• Si le client ne peut se charger de rien, configurez le serveur de sorte qu’il effectue les
deux types de mise &agrave; jour.
Le serveur DHCP dispose d’un jeu de mots–cl&eacute;s de configuration qui vous permettent de
d&eacute;clencher l’ex&eacute;cution d’une commande lorsqu’une mise &agrave; jour est requise. Ce sont les
suivants :
updatedns
(d&eacute;conseill&eacute;) Repr&eacute;sente la commande &agrave; ex&eacute;cuter pour effectuer n’importe
quel type de mise &agrave; jour. Elle sera appel&eacute;e pour les enregistrements A et
les enregistrements PTR.
updatednsA
Sp&eacute;cifie la commande de mise &agrave; jour de l’enregistrement A.
updatednsP
Sp&eacute;cifie la commande de mise &agrave; jour de l’enregistrement PTR.
Ces mots–cl&eacute;s d&eacute;finissent des cha&icirc;nes ex&eacute;cutables que le serveur DHCP ex&eacute;cute
lorsqu’une mise &agrave; jour est n&eacute;cessaire. Les cha&icirc;nes de mot–cl&eacute; doivent contenir quatre %s
(symbole de pourcentage, lettre s). Le premier %s correspond au nom d’h&ocirc;te ; le second, au
nom de domaine ; le troisi&egrave;me, &agrave; l’adresse IP et le quatri&egrave;me, &agrave; la dur&eacute;e du bail. Ils sont
utilis&eacute;s comme quatre premiers param&egrave;tres de la commande dhcpaction. Les deux autres
param&egrave;tres de dhcpaction indiquent l’enregistrement &agrave; mettre &agrave; jour (A, PTR, NONE ou
BOTH) et si NIM doit &ecirc;tre actualis&eacute; (NIM or NONIM). Pour plus d’informations sur les
interactions NIM et DHCP, reportez–vous &agrave; DHCP et gestion NIM (Network Installation
Management), page 4-129. Par exemple :
updatednsA ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ A NONIM”
# Ceci applique la commande dhcpaction uniquement &agrave;
l’enregistrement A
updatednsP ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’
PTR NONIM”
# Ceci applique la commande uniquement &agrave;
l’enregistrement PTR
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’
BOTH NIM”
# Ceci applique la commande aux deux enregistrements
et actualise NIM
Le serveur DHCP dispose &eacute;galement d’un jeu de mots–cl&eacute;s pour supprimer les entr&eacute;es
DNS lorsqu’un bail est lib&eacute;r&eacute; ou arrive &agrave; expiration. Ce sont les suivants :
4-104
releasednsA
Supprime l’enregistrement A.
releasednsP
Supprime l’enregistrement PTR.
removedns
Supprime les deux types d’enregistrement.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Ces mots–cl&eacute;s d&eacute;finissent des cha&icirc;nes ex&eacute;cutables que le serveur DHCP ex&eacute;cute
lorsqu’une adresse est lib&eacute;r&eacute;e ou p&eacute;rim&eacute;e. La commande dhcpremove fonctionne de la
m&ecirc;me mani&egrave;re que dhcpaction, mais n’accepte que trois param&egrave;tres :
1. L’adresse IP, sp&eacute;cifi&eacute;e sous la forme d’un %s dans la cha&icirc;ne de commande.
2. L’enregistrement &agrave; supprimer (A, PTR, NONE ou BOTH).
3. L’actualisation &eacute;ventuelle de NIM (NIM ou NONIM).
releasednsA ”/usr/sbin/dhcpremove ’%s’ A NONIM”
# Ceci applique la commande dhcpremove uniquement &agrave;
l’enregistrement A
releasednsP ”/usr/sbin/dhcpremove ’%s’ PTR NONIM”
# Ceci applique la commande uniquement &agrave;
l’enregistrement PTR
removedns ”/usr/sbin/dhcpremove ’%s’ BOTH NIM”
# Ceci applique la commande aux deux enregistrements
et actualise NIM
Les scripts dhcpaction et dhcpremove effectuent quelques v&eacute;rifications sur les
param&egrave;tres, puis d&eacute;finissent un appel vers nsupdate, qui a &eacute;t&eacute; adapt&eacute; pour fonctionner
avec les serveurs de ce syst&egrave;me d’exploitation et les serveurs DDNS OS/2. Pour plus
d’informations, reportez–vous &agrave; la description de la commande nsupdate.
Si l’interaction NIM n’est PAS requise par la mise &agrave; jour des noms, le serveur DHCP peut
&ecirc;tre configur&eacute; afin d’utiliser un transfert de sockets entre le d&eacute;mon DHCP et la commande
nsupdate afin d’am&eacute;liorer les performances et de permettre la reprise des mises &agrave; jour
DNS &agrave; la suite d’une d&eacute;faillance. Pour configurer cette option, le premier mot cit&eacute; dans le
mot–cl&eacute; updateDNSA, updateDNSP, releaseDNSA ou releaseDNSP doit &ecirc;tre
”nsupdate_daemon”. Les param&egrave;tres et les indicateurs de mise &agrave; jour sont identiques &agrave;
ceux qui sont accept&eacute;s par la commande nsupdate. De plus, les noms de variables
suivants peuvent &ecirc;tre utilis&eacute;s en remplacement :
$hostname
Remplac&eacute; par le nom d’h&ocirc;te du client lors de la mise &agrave; jour
DNS ou par le nom d’h&ocirc;te pr&eacute;alablement associ&eacute; au client
pour le retrait DNS.
$domain
Remplac&eacute; par le domaine DNS relatif &agrave; la mise &agrave; jour ou
par le domaine pr&eacute;alablement utilis&eacute; pour le nom d’h&ocirc;te du
client dans le cas de retrait DNS.
$ipadress
Remplac&eacute; par l’adresse IP associ&eacute;e ou dissoci&eacute;e du nom
du client DHCP.
$leasetime
Remplac&eacute; par la dur&eacute;e du bail (en secondes).
$clientid
Remplac&eacute; par la repr&eacute;sentation en cha&icirc;ne de l’identificateur
du client DHCP ou par l’association du type de mat&eacute;riel et
de l’adresse mat&eacute;rielle pour les clients BOOTP.
Par exemple :
updateDNSA ”nsupdate_daemon –p 9.3.149.2 –h $hostname –d $domain
updateDNSP ”nsupdate_daemon –p 9.3.149.2 –r $ipaddress
releaseDNSA ”nsupdate_daemon –p 9.3.149.2 –h $hostname –d $domain –
s”d;a;*;s;1;3110400””
releaseDNSP ”nsupdate_daemon –p 9.3.149.2 –r $ipaddress –s”d;ptr;*;
s;1;3110400””
Pour plus d’informations, reportez–vous &agrave; la description de la commande nsupdate.
Protocole TCP/IP
4-105
Des dispositifs d&eacute;finis par l’administrateur ont &eacute;galement &eacute;t&eacute; ajout&eacute;s pour les &eacute;changes de
noms d’h&ocirc;te entre le serveur et les clients. Par d&eacute;faut, le nom d’h&ocirc;te retourn&eacute; au client et
utilis&eacute; pour une mise &agrave; jour DDNS correspond &agrave; l’option 12 (d&eacute;finie dans le fichier de
configuration du serveur ). Toutefois, ce nom d’h&ocirc;te par d&eacute;faut peut &eacute;galement &ecirc;tre un nom
d’h&ocirc;te sugg&eacute;r&eacute; par le client, par le biais de l’option 81 (option DHCPDDNS) ou de l’option
12 (option HOSTNAME). L’administrateur a la possibilit&eacute; de remplacer ce nom d’h&ocirc;te par
d&eacute;faut en utilisant les mots–cl&eacute;s de configuration hostnamepolicy, proxyarec et
appenddomain. Ces options et leurs param&egrave;tres sont d&eacute;finies dans Syntaxe du fichier de
serveur DHCP pour la base de donn&eacute;es db_file.
Compatibilit&eacute; DHCP avec les versions ant&eacute;rieures
Le serveur DHCP pour AIX Version 4.3.1 et ult&eacute;rieures reconna&icirc;t les fichiers de
configuration et de base de donn&eacute;es des versions ant&eacute;rieures, dhcps.ar et dhcps.cr. Il
analyse les anciens fichiers de configuration et g&eacute;n&egrave;re de nouveaux fichiers de base de
donn&eacute;es aux anciens emplacements. Les anciennes bases de donn&eacute;es sont
automatiquement converties au nouveau format. Le fichier de configuration lui–m&ecirc;me n’est
pas converti.
Le module de base de donn&eacute;es du serveur DHCP, db_file, est capable de lire l’ancien
format. Le serveur DHCP est en mesure de d&eacute;tecter si un conteneur de base de donn&eacute;es
est absent du fichier de configuration et consid&egrave;re dans ce cas que le fichier contient tous
les param&egrave;tres de serveur, les param&egrave;tres de journalisation et les param&egrave;tres de base de
donn&eacute;es db_file.
1. Une partie de la syntaxe de l’ancien fichier de configuration est d&eacute;conseill&eacute;e mais
toujours prise en charge. Les autres &eacute;l&eacute;ments obsol&egrave;tes sont les suivants :
2. Le conteneur r&eacute;seau est totalement obsol&egrave;te. Pour obtenir une sp&eacute;cification correcte,
convertissez la clause r&eacute;seau en une plage au sein d’un conteneur de sous–r&eacute;seau
correct mentionnant une adresse de sous–r&eacute;seau, un masque de sous–r&eacute;seau et la
plage d’adresses. Si le conteneur r&eacute;seau renferme des conteneurs de sous–r&eacute;seau,
supprimez le mot–cl&eacute; du conteneur r&eacute;seau et ses accolades, puis placez le masque de
sous–r&eacute;seau &agrave; l’endroit appropri&eacute; sur la ligne. Pour d&eacute;marrer &agrave; l’aide du conteneur base
de donn&eacute;es, regroupez tous les &eacute;l&eacute;ments ayant trait au r&eacute;seau et aux acc&egrave;s client dans
un seul conteneur de base de donn&eacute;es de type db_file.
3. Les mots–cl&eacute;s updatedns et removedns sont obsol&egrave;tes et seront remplac&eacute;s de
pr&eacute;f&eacute;rence par la sp&eacute;cification des actions &agrave; appliquer individuellement aux
enregistrements A et PTR.
4. Les mots–cl&eacute;s clientrecorddb et addressrecorddb ont &eacute;t&eacute; supplant&eacute;s respectivement
par clientrecorddb et backupfile.
5. Les mots–cl&eacute;s option sa et option ga ont &eacute;t&eacute; remplac&eacute;s respectivement par
bootstrapserver et giaddrfield. Pour plus d’informations, reportez–vous &agrave; la section
Syntaxe du fichier de serveur DHCP pour le fonctionnement g&eacute;n&eacute;ral du serveur,
page 4-113 et &agrave; Syntaxe du fichier de serveur DHCP pour la base de donn&eacute;es db_file,
page 4-117.
Options connues du fichier de serveur DHCP
Remarque :
4-106
Les options du tableau suivant qui sont marqu&eacute;es non autoris&eacute;es peuvent
&ecirc;tre sp&eacute;cifi&eacute;es (Non dans la colonne Autoris&eacute;e ?) dans le fichier de
configuration mais seront remplac&eacute;es par la valeur r&eacute;elle. Pour une
d&eacute;finition plus compl&egrave;te de chaque option, reportez–vous &agrave; la norme
RFC 2132.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Num&eacute;ro Type de donn&eacute;es par
de
d&eacute;faut
l’option
Autoris&eacute;e
?
Description/Emploi
0
Aucune
Non
Compl&egrave;te le champ d’option, si
n&eacute;cessaire. Le serveur ajoute des
caract&egrave;res de remplissage le cas
&eacute;ch&eacute;ant.
1
Dotted quad (quatre
num&eacute;ros s&eacute;par&eacute;s par
points )
Non
Masque du sous–r&eacute;seau d’o&ugrave; est tir&eacute;
l’adresse.
2
Entier 32 bits
Oui
Indique le d&eacute;calage du sous–r&eacute;seau
du client, en secondes du syst&egrave;me
UTC (Coordinated Universal Time).
3
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP de la passerelle
par d&eacute;faut.
4
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
horaires.
5
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
noms.
6
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des DNS.
7
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
journaux.
8
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
”cookies”.
9
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
LPR.
10
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs
Impress.
11
Un ou plusieurs ”dotted
quad”
Oui
Liste des adresses IP des serveurs de
localisation des ressources.
12
Cha&icirc;ne ASCII
Oui
Nom d’h&ocirc;te du client &agrave; utiliser.
13
Entier 16 bits non sign&eacute;
Oui
Taille du fichier de d&eacute;marrage.
14
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s du fichier Merit Dump.
15
Cha&icirc;ne ASCII
Oui
Nom de domaine DNS par d&eacute;faut.
16
Adresse IP
Oui
Adresse du serveur Swap.
17
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s racine par d&eacute;faut.
18
Cha&icirc;ne ASCII
Oui
Chemin d’acc&egrave;s aux extensions pour
le client.
19
Yes, No, True, False, 1, 0
Oui
Indique si le r&eacute;acheminement IP doit
&ecirc;tre activ&eacute; ou non.
20
Yes, No, True, False, 1, 0
Oui
Indique si le routage source non local
doit &ecirc;tre utilis&eacute;.
21
Une ou plusieurs paires de Oui
”dotted quad”, sous la
forme
DottedQuad:DottedQuad
Dispositifs de filtre pour les adresses
IP.
22
Entier 16 bits non sign&eacute;
Oui
Taille maximale autoris&eacute;e pour les
fragments de datagrammes.
23
Entier 8 bits non sign&eacute;
Oui
TTL (time–to–live) IP.
Protocole TCP/IP
4-107
4-108
24
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes &agrave; utiliser dans le
d&eacute;lai de vieillissement du MTU
d’acc&egrave;s.
25
Liste d’un ou plusieurs
entiers 16 bits non sign&eacute;s
Oui
Table des valeurs MTU d’acc&egrave;s.
Sp&eacute;cifie un ensemble de valeurs
repr&eacute;sentant les tailles MTU &agrave; utiliser
lors de la recherche de MTU d’acc&egrave;s.
26
Entier 16 bits non sign&eacute;
Oui
Taille MTU pour l’interface r&eacute;ceptrice.
27
Yes, No, True, False, 1, 0
Oui
Indique si tous les sous–r&eacute;seaux sont
locaux.
28
Une adresse IP (”dotted
quad”)
Oui
Diffuse une adresse pour l’interface.
29
Yes, No, True, False, 1, 0
Oui
Indique si la recherche de masque de
r&eacute;seau ICMP doit &ecirc;tre utilis&eacute;e.
30
Yes, No, True, False, 1, 0
Oui
Indique si le client doit devenir un
fournisseur de masque de r&eacute;seau
ICMP.
31
Yes, No, True, False, 1, 0
Oui
Indique si les messages de recherche
de routeur ICMP doivent &ecirc;tre utilis&eacute;s.
32
Une adresse IP (”dotted
quad”)
Oui
Adresse &agrave; utiliser pour la sollicitation
du routeur.
33
Une ou plusieurs paires
d’adresses IP, sous la
forme
DottedQuad:DottedQuad
Oui
Chaque paire d’adresses repr&eacute;sente
une route statique.
34
Yes/No, True/False, 1/0
Oui
Indique si l’encapsulation de fin doit
&ecirc;tre utilis&eacute;e.
35
Entier 32 bits non sign&eacute;
Oui
Valeur du d&eacute;lai de cache ARP.
36
Yes/No, True/False, 1/0
Oui
Indique si l’encapsulation Ethernet doit
&ecirc;tre utilis&eacute;e.
37
Entier 8 bits non sign&eacute;
Oui
TTL (time–to–live) TCP.
38
Entier 32 bits non sign&eacute;
Oui
Intervalle de garde en vie (keep alive)
TCP.
39
Yes/No, True/False, 1/0
Oui
Indique si la garde en vie (keep alive)
TCP doit &ecirc;tre utilis&eacute;e.
40
Cha&icirc;ne ASCII
Oui
Domaine NIS par d&eacute;faut.
41
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NIS.
42
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NTP.
43
Cha&icirc;nes hexad&eacute;cimales
de chiffres, sous la forme
hex ”digits”, hex ”digits” ou
0xdigits
Oui, mais Conteneur en option encapsul&eacute; pour le
sp&eacute;cifi&eacute;e conteneur fournisseur.
en fait
uniqueme
nt pour le
conteneur
fournisse
ur
44
Un ou plusieurs ”dotted
quad”
Oui
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Adresses IP des serveurs de noms
NetBIOS.
45
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs de
distribution de datagramme NetBIOS.
46
Entier 8 bits non sign&eacute;
Oui
Type de nœud NetBIOS.
47
Cha&icirc;nes hexad&eacute;cimales
Oui
de chiffres, sous la forme
hex ”digits”, hex ”digits” ou
0xdigits
Port&eacute;e NetBIOS.
48
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs de polices X
Windows.
49
Un ou plusieurs ”dotted
quad”
Oui
Gestionnaire d’affichage X Windows.
50
Aucune
Non
Adresse IP demand&eacute;e, utilis&eacute;e par le
client pour indiquer l’adresse
souhait&eacute;e.
51
Entier 32 bits non sign&eacute;
Oui
Dur&eacute;e du bail pour l’adresse
retourn&eacute;e. Par d&eacute;faut, le serveur
DHCP utilise le mot–cl&eacute;
leasetimedefault, mais la
sp&eacute;cification directe de l’option 51
prend le pas sur la valeur.
52
Aucune
Non
Options &eacute;ventuelles. Le client utilise ce
param&egrave;tre pour indiquer que les
champs sname et file du paquet
BOOTP peuvent avoir des options.
53
Aucune
Non
Le serveur ou le client DHCP utilise
cette option pour indiquer le type de
message DHCP.
54
Aucune
Non
Le serveur ou le client DHCP utilise
cette option pour indiquer l’adresse du
serveur ou le serveur auquel le
message est envoy&eacute;.
55
Aucune
Non
Le client DHCP utilise ce param&egrave;tre
pour indiquer les options souhait&eacute;es.
56
Cha&icirc;ne ASCII
Oui
Cha&icirc;ne que le serveur DHCP envoie
au client. En g&eacute;n&eacute;ral, elle peut &ecirc;tre
utilis&eacute;e par le client et le serveur
DHCP pour signaler des probl&egrave;mes.
57
Non
Non
Le client DHCP utilise cette option
pour indiquer au serveur DHCP la
taille de paquet DHCP maximale que
le client peut recevoir.
58
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes pendant
lesquelles le client doit attendre avant
d’envoyer un paquet de
renouvellement.
59
Entier 32 bits non sign&eacute;
Oui
Nombre de secondes pendant
lesquelles le client doit attendre avant
d’envoyer un paquet de nouvelle
liaison.
Protocole TCP/IP
4-109
4-110
60
Aucune
Non
Le client DHCP utilise cette option
pour indiquer son type de fournisseur.
Le client DHCP utilise ce champ pour
la correspondance avec les
conteneurs fournisseur.
61
Aucune
Non
Le client DHCP utilise ce param&egrave;tre
pour s’identifier de mani&egrave;re unique. Le
serveur DHCP utilise ce champ pour la
correspondance avec les conteneurs
client.
64
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le domaine NIS+.
65
Un ou plusieurs ”dotted
quad”
Oui
Adresses IP des serveurs NIS+.
66
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le nom du serveur TFTP. Ce
nom d’h&ocirc;te est utilis&eacute; &agrave; la place du
champ siaddr si le client comprend
cette option.
67
Cha&icirc;ne ASCII
Oui
Sp&eacute;cifie le nom du fichier de
d&eacute;marrage. Ce param&egrave;tre peut &ecirc;tre
utilis&eacute; &agrave; la place du mot–cl&eacute; bootfile,
qui ins&egrave;re le nom du fichier dans le
champ nom de fichier du paquet.
68
Un ou plusieurs ”dotted
quad” ou NONE
Oui
Adresses des agents personnels.
69
Un ou plusieurs ”dotted
quad”
Oui
Serveurs SMTP par d&eacute;faut &agrave; utiliser.
70
Un ou plusieurs ”dotted
quad”
Oui
Serveurs POP3 par d&eacute;faut &agrave; utiliser.
71
Un ou plusieurs ”dotted
quad”
Oui
Serveurs NNTP par d&eacute;faut &agrave; utiliser.
72
Un ou plusieurs ”dotted
quad”
Oui
Serveurs WWW par d&eacute;faut &agrave; utiliser.
73
Un ou plusieurs ”dotted
quad”
Oui
Serveurs Finger par d&eacute;faut &agrave; utiliser.
74
Un ou plusieurs ”dotted
quad”
Oui
Serveurs IRC par d&eacute;faut &agrave; utiliser.
75
Un ou plusieurs ”dotted
quad”
Oui
Serveurs Street Talk par d&eacute;faut &agrave;
utiliser.
76
Un ou plusieurs ”dotted
quad”
Oui
Serveurs de renseignements Street
Talk par d&eacute;faut &agrave; utiliser.
77
Cha&icirc;ne ASCII
Oui
Identificateur de la classe du site
utilisateur. Le serveur DHCP utilise ce
champ pour la correspondance avec
les conteneurs classe.
78
Octet obligatoire, un ou
Oui
plusieurs &laquo; dotted quads &raquo;
L’option SLP directory Agent indique la
liste des adresses IP des agents de
r&eacute;pertoire
79
Octet obligatoire et cha&icirc;ne
ASCII
La cha&icirc;ne ASCII est une liste de
port&eacute;es, c’est–&agrave;–dire une liste
d&eacute;limit&eacute;e par des virgules qui indique
les port&eacute;es qu’un agent SLP est
configur&eacute; pour utiliser.
Oui
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
81
Cha&icirc;ne ASCII plus
d’autres &eacute;l&eacute;ments
Non
Le client DHCP utilise cette option
pour d&eacute;finir la politique que doit suivre
le serveur DHCP vis &agrave; vis de DDNS.
85
Un ou plusieurs ”dotted
quad”
Oui
L’option de serveur NDS indique un ou
plusieurs serveurs que le client doit
contacter pour acc&eacute;der &agrave; la base de
donn&eacute;es DNS. Les serveurs doivent
&ecirc;tre r&eacute;pertori&eacute;s dans l’ordre de
pr&eacute;f&eacute;rence.
86
Cha&icirc;ne ASCII
Oui
L’option d’arborescence NDS indique
le nom de l’arborescence NDS que le
client va contacter.
87
Cha&icirc;ne ASCII
Oui
L’option de contexte NDS indique le
contexte NDS initial que le client doit
utiliser.
93
Aucune
Non
Le client DHCP utilise cette option
pour d&eacute;finir l’architecture du syst&egrave;me
client.
94
Aucune
Non
Le client DHCP utilise cette option
pour d&eacute;finir l’identifiant de l’interface
du r&eacute;seau client.
117
Liste d’un ou plusieurs
entiers 16 bits non sign&eacute;s
Oui
L’option Name Service Search Option
indique l’ordre de pr&eacute;f&eacute;rence du code
d’option des entiers pour les services
de noms. Par exemple :
Services de nom
valeur
Option de serveur de noms de
domaine 6
Option NIS
41
Option NIS+
65
118
Un ”dotted quad”
Non
Subnet Selection Option est une
option envoy&eacute;e par le client
demandant au serveur dhcp d’allouer
l’adresse IP &agrave; partir du sous–r&eacute;seau
indiqu&eacute;.
255
Aucune
Non
Le serveur et le client DHCP utilisent
cette option pour signaler la fin d’une
liste d’options.
Sous–option de conteneur fournisseur de l’environnement PXE
(Preboot Execution Environment)
Dans le cadre de la prise en charge d’un environnement PXE client, le serveur DHCP
transmet l’option suivante au serveur BINLD, qui l’utilise pour sa configuration :
Opt Num
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e ?
Description
7
Un ”dotted quad”
Oui
Adresse IP de multi–diffusion.
Adresse IP de multi–diffusion de
d&eacute;couverte du serveur de
d&eacute;marrage.
Protocole TCP/IP
4-111
L’exemple ci–dessous montre comment cette option peut &ecirc;tre utilis&eacute;e :
pxeservertype
proxy_on_dhcp_server
Vendor pxeserver
{
option
7
9.3.4.68
}
Dans cet exemple, le serveur DHCP informe le client que le serveur proxy est ex&eacute;cut&eacute; sur la
m&ecirc;me machine mais est &agrave; l’&eacute;coute des requ&ecirc;tes sur le port 4011. Le conteneur fournisseur
est requis ici car le serveur BINLD diffuse un message INFORM/REQUEST sur le port 67,
l’option 60 &eacute;tant d&eacute;finie sur ”PXEServer”. En retour, le serveur DHCP envoie l’adresse IP de
multi–diffusion sur laquelle le serveur BINLD doit &eacute;couter les requ&ecirc;tes du client PXE.
Exemple de fichier de configuration prenant en charge les clients PXE
Dans l’exemple ci–dessous, le serveur dhcpsd donne le nom du fichier de d&eacute;marrage au
PXEClient ou dirige celui–ci sur le serveur BINLD en envoyant des sous–options. Le
mot–cl&eacute; pxeboofile est utilis&eacute; pour cr&eacute;er une liste de fichiers de d&eacute;marrage pour
l’architecture d’un client donn&eacute; et des versions majeures et mineures du syst&egrave;me client.
pxeservertype
dhcp_pxe_binld
subnet default
{
vendor pxe
{
option 6 2
# D&eacute;sactiver la multidiffusion
option 8 5 4 10.10.10.1 12.1.1.15 12.5.5.5 12.6.6.6\
2 2 10.1.1.10 9.3.4.5 1 1 10.5.5.9\
1 1 9.3.149.15\
4 0
option 9 5 ”WorkSpace On Demand” 2 ”Intel”\
1 ”Microsoft WindowsNT” 4 ”NEC ESMPRO”
option 10 2 ”Press F8 to View Menu”
}
vendor pxeserver
{
option 7 239.0.0.239
}
}
subnet 9.3.149.0 255.255.255.0
{
option 3
9.3.149.1
option 6
9.3.149.15
vendor pxe
{
option
6
4
# bootfile est pr&eacute;sent dans le paquet propos
&eacute;
pxebootfile
pxebootfile
}
1
2
2
2
1
1
os2.one
aix.one
}
4-112
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chaque ligne option du conteneur pxe est utilis&eacute;e par le serveur pour indiquer au client ce
qu’il doit faire. La section Sous–options du conteneur fournisseur PXE d&eacute;crit les
sous–options PXE connues et prises en charge.
Syntaxe du fichier de serveur DHCP pour le fonctionnement g&eacute;n&eacute;ral du
serveur
Remarque :
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont les
secondes (1), les minutes (60), les heures (3600), les jours (86400), les
semaines (604800), les mois (2392000) et les ann&eacute;es (31536000). Le
nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Mot–cl&eacute;
Forme
Sous– Valeur par Signification
conten d&eacute;faut
eurs ?
database
database db type
Oui
Aucune
Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s
client. db type est le nom du
module charg&eacute; pour traiter cette
portion du fichier. La seule valeur
actuellement disponible est
db_file.
logging_info
logging_info
Oui
Aucune
Conteneur de journalisation
principal d&eacute;finissant les
param&egrave;tres de journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour tous
par
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
Non
0
Indique le nombre de fichiers
journaux &agrave; cr&eacute;er. Les journaux
alternent lorsque le premier journal
est rempli. n est le nombre de
journaux &agrave; cr&eacute;er.
logitem SYSERR
logitem OBJERR
logitem PROTOCOL
logitem PROTERR
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
numLogFiles
numLogFiles n
Protocole TCP/IP
4-113
logFileSize
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de
1024 octets.
logFileName
logFileName path
Non
Aucune
Indique le chemin d’acc&egrave;s au
premier fichier journal. Le nom
d’origine du fichier journal est
nomfichier ou
nomfichier.extension. nomfichier
est limit&eacute; &agrave; huit caract&egrave;res.
Lorsque la permutation des fichiers
est effectu&eacute;e, le premier fichier est
renomm&eacute; en conservant le base
du nom, nomfichier, et en lui
ajoutant un num&eacute;ro, ou en
rempla&ccedil;ant l’extension par un
num&eacute;ro. Par exemple, si le nom
d’origine du fichier est file, le
nom du fichier apr&egrave;s permutation
devient file01. Si le nom du
fichier d’origine est file.log, il
devient file.01.
CharFlag
charflag yes
Non
true
Non applicable au serveur DHCP
d ce syst&egrave;me
de
t&egrave;
d’
d’exploitation,
l it ti
mais
i
utilis&eacute; par le serveur DHCP OS/2
pour g&eacute;n&eacute;rer des fen&ecirc;tres de
d&eacute;bogage.
charflag true
charflag false
charflag no
4-114
StatisticSnapS
hot
StatisticSnapShot n
Non
–1, jamais Indique, en secondes, &agrave; quelle
fr&eacute;quence les statistiques sont
&eacute;crites dans le fichier journal.
UsedIpAddres
s
ExpireInterval
UsedIpAddressExpire
Interval n time_units
Non
–1, jamais Indique &agrave; quelle fr&eacute;quence les
adresses pr&eacute;sentant l’&eacute;tat BAD
sont recoup&eacute;es et test&eacute;es afin de
v&eacute;rifier leur validit&eacute;.
leaseExpireInt
erval
leaseExpireInterval n
time_units
Non
900
secondes
reservedTime
reservedTime n
time_units
Non
–1, jamais Indique pendant combien de
temps les adresses peuvent rester
&agrave; l’&eacute;tat RESERVED avant de
reprendre l’&eacute;tat FREE.
reservedTime
Interval
reservedTimeInterval
n time_units
Non
900
secondes
Indique &agrave; quelle fr&eacute;quence les
adresses &agrave; l’&eacute;tat RESERVE sont
v&eacute;rifi&eacute;es pour voir si elles peuvent
reprendre l’&eacute;tat FREE.
saveInterval
saveInterval n
time_units
Non
3600
secondes
Indique &agrave; quelle fr&eacute;quence le
serveur DHCP doit d&eacute;clencher une
sauvegarde des bases de donn&eacute;es
ouvertes. Pour les serveurs tr&egrave;s
charg&eacute;s, cette valeur doit tourner
autour de 60 ou 120 secondes.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Indique &agrave; quelle fr&eacute;quence les
adresses &agrave; l’&eacute;tat BOUND sont
v&eacute;rifi&eacute;es pour voir si elles sont
arriv&eacute;es &agrave; expiration. Si l’adresse
est arriv&eacute;e &agrave; expiration, l’&eacute;tat
devient EXPIRED.
clientpruneintv
clientpruneintv n
time_units
Non
3600
secondes
Indique &agrave; quelle fr&eacute;quence le
serveur DHCP supprime des
bases de donn&eacute;es les clients non
associ&eacute;s &agrave; une adresse (&eacute;tat
UNKNOWN). Ceci permet
d’&eacute;conomiser la m&eacute;moire du
serveur DHCP.
num
processors
numprocessors n
Non
10
Indique le nombre de processeurs
de paquets &agrave; cr&eacute;er. Le minimum
est de un.
userObject
userObject obj_name
Oui
Aucune
Indique que le serveur doit charger
un objet partag&eacute; d&eacute;fini par
l’utilisateur et appeler des routines
au sein de cet objet par le biais de
chaque interaction avec les clients
DHCP. L’objet &agrave; charger est situ&eacute;
dans le r&eacute;pertoire /usr/sbin
sous le nom de
obj_name.dhcpo. Pour plus
d’informations, reportez–vous au
DHCP Server User–Defined
Extension API.
Protocole TCP/IP
4-115
pxeservertype
pxeservertype
server_type
No
dhcp_only
Indique le type du
serveur dhcpd.
server_type peut
avoir l’une des
valeurs suivantes :
dhcp_pxe_binld
DHCP ex&eacute;cute
les fonctions
dhcpsd, pxed et
bindl.
proxy_on_dhcp_server
DHCP renvoie le
client PXE au
port du serveur
proxy sur la
m&ecirc;me machine.
La valeur par
d&eacute;faut est
dhcp_only, ce qui
signifie que
dhcpsd ne prend
pas en charge les
clients PXE en
mode par d&eacute;faut.
supportsubnetselec
No
tion
supportsubnetselec
tion global
supportsubnetselec
tion subnetlevel
supportsubnetselec
tion no
Aucune
Indique si le
serveur dhcp prend
en charge l’option
118 (option de
s&eacute;lection du
sous–r&eacute;seau) dans
le paquet
DISCOVER ou
REQUEST des
clients.
global: tous les
sous–r&eacute;seaux du
fichier de
configuration
prennent en charge
l’option 118.
subnetlevel: les
sous–r&eacute;seaux
configur&eacute;s pour
prendre en charge
cette option via le
mot–cl&eacute;
supportoption118
acceptent cette
option.
no: ne prend pas
en charge l’option
118.
4-116
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Remarques sur la syntaxe du fichier de serveur DHCP pour la base de
donn&eacute;es db_file :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Par ailleurs, les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux
d’un sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau particulier, autoriser les clients BOOTP en
indiquant le mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res. Pour la
classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave; l’int&eacute;rieur
des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne doit &ecirc;tre
consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les expressions
r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est utilis&eacute;e pour
repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent une cha&icirc;ne ASCII. Pour tout
autre nombre, les donn&eacute;es sont des chiffres hexad&eacute;cimaux.
Mot–cl&eacute;
Forme
Sous–
Valeur
contene par
urs ?
d&eacute;faut
Signification
subnet
subnet default
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau sans plage
associ&eacute;e. Ce sous–r&eacute;seau est utilis&eacute;
par le serveur uniquement pour
r&eacute;pondre &agrave; un paquet
INFORM/REQUEST du client et si
aucun conteneur de sous–r&eacute;seau ne
correspond &agrave; l’adresse de ce dernier.
subnet
subnet subnet id
netmask
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau et un pool
d’adresses. Toutes les adresses sont
suppos&eacute;es faire partie du pool, sauf si
une plage est sp&eacute;cifi&eacute;e sur la ligne ou
si les adresses sont modifi&eacute;es
ult&eacute;rieurement dans le conteneur par
une instruction de plage ou
d’exclusion. La plage facultative est
une paire
d’adresses IP en format de
p
”dotted quad” s&eacute;par&eacute;es par un tiret. Il
est possible de pr&eacute;ciser un label et
une priorit&eacute;. Ceux–ci sont utilis&eacute;s
dans les sous–r&eacute;seaux virtuels pour
identifier et classer les sous–r&eacute;seaux
du sous–r&eacute;seau virtuel. Le label et la
priorit&eacute; sont s&eacute;par&eacute;s par un signe
deux–points. Ces conteneurs ne sont
autoris&eacute;s qu’au niveau global ou au
niveau du conteneur base de
donn&eacute;es.
subnet subnet id
netmask range
subnet subnet id
netmask
label:priority
subnet subnet id
netmask range
label:priority
Protocole TCP/IP
4-117
subnet
subnet subnet id
range
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau qui s’inscrit
dans un conteneur r&eacute;seau. Il d&eacute;finit
une plage d’adresses formant la
totalit&eacute; du sous–r&eacute;seau, sauf si la
plage facultative est indiqu&eacute;e. Le
masque de r&eacute;seau associ&eacute; au
sous–r&eacute;seau est issu du conteneur
r&eacute;seau environnant.
Remarque : Cette m&eacute;thode est
d&eacute;conseill&eacute;e au profit des autres
formes de sous–r&eacute;seaux.
option
option number
data ...
Non
Aucune
Sp&eacute;cifie une option &agrave; envoyer &agrave; un
client ou, dans le cas d’un refus
(deny), une option qui ne doit pas &ecirc;tre
envoy&eacute;e &agrave; un client. La clause option
* deny signifie que toutes les options
non sp&eacute;cifi&eacute;es dans le conteneur en
cours ne doivent pas &ecirc;tre retourn&eacute;es
au client. L’option numberdeny ne
refuse que l’option sp&eacute;cifi&eacute;e. number
est un entier 8 bits non sign&eacute;. data est
sp&eacute;cifique &agrave; l’option (voir ci–dessus)
ou peut &ecirc;tre d&eacute;finie sous la forme
d’une cha&icirc;ne entre guillemets (texte
ASCII) ou 0xhexdigits ou
hex”hexdigits” ou encore hex
”hexdigits”. Si l’option correspond &agrave; un
conteneur fournisseur, elle sera
encapsul&eacute;e avec les autres options
dans une option 43.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction exclude.
L’instruction exclude n’est pas valide
au niveau des conteneurs de base de
donn&eacute;es ou au niveau g&eacute;n&eacute;ral.
L’instruction exclude supprime
l’adresse ou la plage sp&eacute;cifi&eacute;e de la
plage actuelle sur le conteneur. Elle
permet de cr&eacute;er des plages non
contigu&euml;s pour sous sous–r&eacute;seaux ou
d’autres conteneurs.
option
numberdeny
option * deny
exclude
exclude an IP
address
exclude
dotted_quad–dott
ed_quad
4-118
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
range
range IP_address
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction range.
L’instruction range n’est pas valide au
niveau des conteneurs de base de
donn&eacute;es ou au niveau g&eacute;n&eacute;ral. S’il
s’agit de la premi&egrave;re plage du
conteneur qui ne sp&eacute;cifie pas une
plage sur la ligne de d&eacute;finition du
conteneur, la plage du conteneur
devient alors la plage sp&eacute;cifi&eacute;e par
l’instruction range. Toute instruction
range suivante, ou toutes les
instructions range dans le cas d’un
conteneur sp&eacute;cifiant des plages dans
sa d&eacute;finition sont ajout&eacute;es &agrave; la page
actuelle. Avec l’instruction range, il est
possible d’ajouter &agrave; la plage existante
une adresse unique ou un jeu
d’adresses. La plage doit &ecirc;tre
incorpor&eacute;e dans la d&eacute;finition du
conteneur de sous–r&eacute;seau.
Oui
Aucune
Sp&eacute;cifie un conteneur client qui
emp&ecirc;che le client indiqu&eacute; par hwaddr
et hwtype d’obtenir une adresse. Si
hwtype est 0, alors hwaddr est une
cha&icirc;ne
h &icirc; ASCII
ASCII. Si
Sinon, hwtype
h t
correspond au type de mat&eacute;riel du
client et hwaddr &agrave; l’adresse du
mat&eacute;riel du client. Si hwaddr est une
cha&icirc;ne des guillemets peuvent
cha&icirc;ne,
encadrer la cha&icirc;ne. Si hwaddr est une
cha&icirc;ne hexad&eacute;cimale, l’adresse peut
&ecirc;tre sp&eacute;cifi&eacute;e sous la forme
0xhexdigits ou hex digits. range
permet au client sp&eacute;cifi&eacute; par hwaddr
et hwtype d’obtenir une adresse
faisant partie de cette plage. Pour
faire r&eacute;f&eacute;rence &agrave; plusieurs clients, il
faut utiliser une expression r&eacute;guli&egrave;re.
Oui
Aucune
Sp&eacute;cifie un conteneur classe portant
le nom string. La cha&icirc;ne peut ou non
&ecirc;tre plac&eacute;e entre guillemets. Si oui,
les guillemets sont supprim&eacute;s avant la
comparaison. Les guillemets sont
obligatoires si la cha&icirc;ne contient des
espaces ou des tabulations. Ce
conteneur est autoris&eacute; &agrave; tous les
niveaux. Il est possible d’indiquer une
plage pour sp&eacute;cifier le jeu d’adresses
&agrave; proposer au client avec cette classe.
La plage est soit une adresse IP en
format de ”dotted quad”, soit deux
adresses IP en format de ”dotted
quad” s&eacute;par&eacute;es par un tiret.
range
dotted_quad–dott
ed_quad
client
client hwtype
hwaddr NONE
client hwtype
hwaddr ANY
client hwtype
hwaddr
dotted_quad
client hwtype
hwaddr range
class
class string
class string range
Protocole TCP/IP
4-119
r&eacute;seau
network network
id netmask
Oui
Aucune
network network
id
network network
id range
vendor
vendor vendor_id
Oui
Aucune
vendor vendor_id
hex””
vendor vendor_id
hex ””
vendor vendor_id
0xdata
vendor vendor_id
””
vendor vendor_id
range
vendor vendor_id
range hex””
vendor vendor_id
range hex ””
vendor vendor_id
range 0xdata
vendor vendor_id
range ””
4-120
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Sp&eacute;cifie un ID de r&eacute;seau &agrave; l’aide des
informations de classe (par exemple
9.3.149.0 avec un masque de r&eacute;seau
de 255.255.255.0 correspond au
r&eacute;seau 9.0.0.0 255.255.255.0). Cette
version du conteneur de r&eacute;seau est
utilis&eacute;e pour englober les
sous–r&eacute;seaux partageant le m&ecirc;me
masque et le m&ecirc;me ID de r&eacute;seau.
Lorsqu’une plage est fournie, toutes
les adresses de la plage font partie du
pool. La plage doit &ecirc;tre comprise dans
le r&eacute;seau de l’ID de r&eacute;seau. Elle fait
appel &agrave; l’adresse
l adresse int&eacute;grale de la
classe. Elle n’est valide qu’au niveau
g&eacute;n&eacute;ral ou au niveau du conteneur de
base de donn&eacute;es.
Remarque : Le mot–cl&eacute; network est
d&eacute;conseill&eacute; au profit du conteneur de
sous–r&eacute;seau.
Sp&eacute;cifie un conteneur de fournisseur.
Les conteneurs fournisseur sont
utilis&eacute;s pour retourner l’option 43 au
client. L’id de fournisseur peut &ecirc;tre
sp&eacute;cifi&eacute; sous la forme d’une cha&icirc;ne
entre guillemets ou d’un cha&icirc;ne
binaire du type 0xhexdigits ou
hex”digits” Il est possible d’ajouter &agrave;
hex”digits”.
l’id de fournisseur une plage
facultative, en utilisant deux ”dotted
quad”
d” s&eacute;par&eacute;s
&eacute; &eacute; par un tiret.
i
A lla suite
i
de la plage facultative, une cha&icirc;ne
hexad&eacute;cimale ou ASCII &eacute;galement
facultative peut &ecirc;tre indiqu&eacute;e comme
premi&egrave;re partie de l’option 43. Si des
options figurent dans le conteneur,
elles sont annex&eacute;es aux donn&eacute;es de
l’option 43. Une fois toutes les options
trait&eacute;es une option End Of Option List
trait&eacute;es,
(fin de la liste d’options) est ajout&eacute;e
aux donn&eacute;es. Pour retourner les
options en dehors d’une option 43,
43
utilisez une expression r&eacute;guli&egrave;re
correspondant &agrave; tous les clients pour
sp&eacute;cifier
&eacute; ifi lles options
ti
normales
l &agrave;
renvoyer en fonction de l’ID
fournisseur.
inoption
inoption number
option_data
Oui
Aucune
Indique un conteneur &agrave; rapprocher
d’une option entrante arbitraire d&eacute;finie
par le client. number indique le
num&eacute;ro de l’option. option_data d&eacute;finit
la cl&eacute; correspondant au conteneur &agrave;
s&eacute;lectionner lors du choix de l’adresse
et de l’option pour ce client. La cl&eacute;
option_data se pr&eacute;sente sous forme
de cha&icirc;ne entre guillemets, d’adresse
IP ou de nombre entier pour les
options connues mais peut &eacute;galement
se pr&eacute;senter sous forme de cha&icirc;ne
hexad&eacute;cimale d’octets si elle est
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x. Pour les
options
que
p
q le serveur conna&icirc;t mal,, il
est possible de d&eacute;finir une cha&icirc;ne
hexad&eacute;cimale d’octets sur le m&ecirc;me
sch&eacute;ma. En outre, la valeur
option_data peut faire r&eacute;f&eacute;rence &agrave; une
expression r&eacute;guli&egrave;re &agrave; rapprocher de
la repr&eacute;sentation en cha&icirc;ne des
donn&eacute;es d’option du client. Ces
expressions r&eacute;guli&egrave;res se pr&eacute;sentent
sous la forme d’une cha&icirc;ne entre
guillemets (dont le premier caract&egrave;re
est un point d’exclamation ”!). Les
options peu connues du serveur se
pr&eacute;sentent sous forme de cha&icirc;ne
hexad&eacute;cimale d’octets NON pr&eacute;c&eacute;d&eacute;e
des caract&egrave;res 0x.
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec
une politique. fill signifie utiliser
toutes les adresses de ce conteneur
avant de passer au suivant. rotate
signifie s&eacute;lectionner une adresse du
pooll suivant
i
t de
d la
l liste
li t sur chaque
h
requ&ecirc;te. sfill et srotate sont
identiques &agrave; fill et rotate, mais
une recherche est effectu&eacute;e pour
savoir si le client correspond aux
conteneurs aux fournisseurs ou aux
conteneurs,
classes du sous–r&eacute;seau. Si une
correspondance permet d’obtenir une
adresse, cette adresse est adopt&eacute;e &agrave;
partir du conteneur au lieu de suivre la
politique indiqu&eacute;e. Il peut y avoir
autant d’ID
d ID que n&eacute;cessaire. id est soit
l’ID de sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs sous–r&eacute;seaux
partagent le m&ecirc;me ID de
sous–r&eacute;seau.
inoption number
option_data range
virtual
virtual fill id id ...
virtual sfill id id ...
virtual rotate id id
...
virtual srotate id id
...
Protocole TCP/IP
4-121
inorder:
inorder: id id ...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec
une politique de remplissage, ce qui
signifie utiliser toutes les adresses de
ce conteneur avant de passer au
conteneur suivant. Il peut y avoir
autant d’ID que n&eacute;cessaire. id est soit
l’ID de sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs sous–r&eacute;seaux
partagent le m&ecirc;me ID de
sous–r&eacute;seau.
balance:
balance: id id ...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec
une politique de rotation, ce qui
signifie utiliser l’adresse suivante du
conteneur suivant. Il peut y avoir
autant d’ID que n&eacute;cessaire. id est soit
l’ID de sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs sous–r&eacute;seaux
partagent le m&ecirc;me ID de
sous–r&eacute;seau.
support
Bootp
supportBootp true
Non
Oui
Indique si le conteneur en cours et
tous ceux qui en d&eacute;coulent (jusqu’&agrave;
mention contraire) doivent accepter
les clients BOOTP.
Non
Both
Indique si le conteneur en cours et
tous ceux qui en d&eacute;coulent (jusqu’&agrave;
mention
ti contraire)
t i ) doivent
d i
t accepter
t
les clients non r&eacute;pertori&eacute;s. La valeur
indique si tous les clients b&eacute;n&eacute;ficient
d’un acc&egrave;s sans instructions client
particuli&egrave;res, si seuls les clients DHCP
ont un acc&egrave;s, si seuls les clients
BOOTP sont autoris&eacute;s ou aucun des
d
deux.
supportBootp 1
supportBootp yes
supportBootp
false
supportBootp 0
supportBootp no
supportU supportUnlistedcli
nlisted
ents BOTH
clients
li t
supportUnlistedcli
ents DHCP
supportUnlistedcli
ents BOOTP
supportUnlistedcli
ents NONE
supportUnlistedcli
ents true
supportUnlistedcli
ents yes
supportUnlistedcli
ents 1
supportUnlistedcli
ents false
supportUnlistedcli
ents no
supportUnlistedcli
ents 0
4-122
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
e a que : Les
es valeurs
a eu s true
t ue et false
a se
Remarque
ont &eacute;t&eacute; conserv&eacute;es par souci de
compatibilit&eacute; avec les versions
ant&eacute;rieures mais sont d&eacute;conseill&eacute;es
d&eacute;conseill&eacute;es.
La valeur true est &eacute;quivalente &agrave;
BOTH et la valeur false &agrave; NONE.
address
recorddb
addressrecrddb
path
Non
Aucune
Lorsqu’elle est sp&eacute;cifi&eacute;e, cette option
fonctionne comme le mot–cl&eacute;
backupfile. L’option n’est valide qu’au
niveau g&eacute;n&eacute;ral ou au niveau du
conteneur de base de donn&eacute;es.
Remarque : Cette m&eacute;thode est
d&eacute;conseill&eacute;e.
backup
file
backupfile path
Non
/etc/db_ Indique le fichier &agrave; utiliser pour les
file.crbk sauvegardes de la base de donn&eacute;es.
L’option n’est valide qu’au niveau
g&eacute;n&eacute;ral ou au niveau du conteneur de
base de donn&eacute;es.
check
pointfile
checkpointfile
path
Non
/etc/db_ Indique le fichier de points de contr&ocirc;le
file.crbk de la base de donn&eacute;es. Le premier
fichier de points de contr&ocirc;le
correspond &agrave; path. Le second est
path, avec le dernier caract&egrave;re
remplac&eacute; par un 2. Le nom du fichier
de contr&ocirc;le ne doit donc pas se
terminer &agrave; l’origine par un 2. Cette
option n’est valable qu’au niveau
g&eacute;n&eacute;ral ou au niveau du conteneur de
base de donn&eacute;es.
client
recorddb
clientrecorddb
path
Non
/etc/db_ Indique le fichier de sauvegarde de la
file.crbk base de donn&eacute;es. Le fichier contient
tous les enregistrements client que le
serveur DHCP a trait&eacute;s. L’option n’est
valide qu’au niveau g&eacute;n&eacute;ral ou au
niveau du conteneur de base de
donn&eacute;es.
bootstrap bootstrapserver
server
IP address
Non
Aucune
Indique le serveur que les clients
doivent utiliser comme point de d&eacute;part
vers les fichiers TFTP &agrave; l’issue de la
r&eacute;ception de paquets BOOTP ou
DHCP. Cette valeur compl&egrave;te le
champ siaddr du paquet. Cette option
est valide &agrave; tous les niveaux de
conteneur.
giaddr
field
Non
Aucune
D&eacute;finit le champ giaddrfield pour les
paquets de r&eacute;ponse.
giaddrfield IP
address
Remarque : Cette sp&eacute;cification n’est
pas autoris&eacute;e pour les protocoles
BOOTP et DHCP, mais certains
clients exigent le champ giaddr
comme passerelle par d&eacute;faut pour le
r&eacute;seau. En raison de ce risque de
conflit, il est conseill&eacute; de n’utiliser
giaddrfield qu’au sein d’un conteneur
client, bien que l’option fonctionne &agrave;
tous les niveaux.
Protocole TCP/IP
4-123
pingTime pingTime n
time_unit
Non
3
second
es
Indique la dur&eacute;e pendant laquelle la
r&eacute;ponse ping doit &ecirc;tre attendue avant
qu’une adresse ne soit suspendue.
L’unit&eacute; de temps par d&eacute;faut est de
l’ordre des centi&egrave;mes de seconde. La
valeur de l’unit&eacute; de temps est d&eacute;finie
dans la remarque qui pr&eacute;c&egrave;de ce
tableau. Cette option est valide &agrave; tous
les niveaux de conteneur. Le
param&egrave;tre time_unit est facultatif.
bootptim
e
Non
–1,
illimit&eacute;
Indique la dur&eacute;e pendant laquelle
louer une adresse &agrave; un client BOOTP.
La valeur par d&eacute;faut est –1, ce qui
signifie dur&eacute;e illimit&eacute;e. Les valeurs
classiques d’unit&eacute;s de temps sont
accept&eacute;es. Le param&egrave;tre time unit est
facultatif. Cette option est valide &agrave;
tous les niveaux de conteneur.
Non
0
Si un r&eacute;ponse de diffusion est requise,
indique si cette r&eacute;ponse doit &ecirc;tre
diff &eacute; sur toutes
t t les
l routes.
t
C tt
diffus&eacute;e
Cette
option est valide &agrave; tous les niveaux de
conteneur Elle est ignor&eacute;e par les
conteneur.
serveurs DHCP du syst&egrave;me
d
exploitation car ll’adresse
adresse MAC r&eacute;elle
d’exploitation
du client, y compris les RIF, est
stock&eacute;e pour le paquet en retour.
C tt option
ti estt valide
lid &agrave; ttous lles
Cette
niveaux de conteneur.
bootptime n
time_unit
AllRoute allroutesbroadcas
sBroadca t no
stt
allroutesbroadcas
t false
allroutesbroadcas
t0
allroutesbroadcas
t yes
allroutesbroadcas
t true
allroutesbroadcas
t1
4-124
address
assigned
addressassigned
”string”
Non
Aucune
Indique une cha&icirc;ne entre guillemets &agrave;
ex&eacute;cuter lorsqu’une adresse est
attribu&eacute;e &agrave; un client. La cha&icirc;ne doit
comporter deux %s. Le premier %s
correspond &agrave; l’ID client, sous la forme
type–string. Le second %s est une
adresse IP en format de ”dotted
quad”. Cette option est valide &agrave; tous
les niveaux de conteneur.
addressr
eleased
addressreleased
”string”
Non
Aucune
Indique une cha&icirc;ne entre guillemets &agrave;
ex&eacute;cuter lorsqu’une adresse est
lib&eacute;r&eacute;e par un client. La cha&icirc;ne ne doit
comporter qu’un %s, correspondant &agrave;
l’adresse IP lib&eacute;r&eacute;e en format de
”dotted quad”. Cette option est valide
&agrave; tous les niveaux de conteneur.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
appendd
i
omain
appenddomain 0
Non
Non
Indique s’il convient d’ajouter le nom
d domaine
d
i d&eacute;fini
d&eacute;fi i par l’option
l’ ti 15 au
de
nom d’h&ocirc;te sugg&eacute;r&eacute; par le client
lorsque ce dernier ne propose pas de
nom de domaine. Cette option est
valide &agrave; tous les niveaux de
conteneur
conteneur.
Non
0
Indique que l’ID du client est en format
canonique Cette option n’est valide
canonique.
qu’au
qu
au niveau du conteneur client.
leaseTim leaseTimeDefault
eDefault n time_unit
Non
86400
second
es
Indique la dur&eacute;e du bail par d&eacute;faut
pour les clients. Cette option est
valide &agrave; tous les niveaux de
conteneur. Le param&egrave;tre time_unit est
facultatif.
proxyare
c
Non
usedhc Indique les options et m&eacute;thodes qui
pddnspl
dd
l doivent
d i
t &ecirc;tre
&ecirc;t utilis&eacute;es
tili &eacute; pour la
l mise
i &agrave;
us
jour des enregistrements A dans DNS.
never signifie que l’enregistrement A
ne doit jamais &ecirc;tre actualis&eacute;.
usedhcpddns signifie utiliser ll’option
option
81 si le client l’a d&eacute;finie.
usedhcpddnsplus
dh dd
l signifie
i ifi utiliser
tili
l’option 81, ou les options 12 et 15, si
sp&eacute;cifi&eacute;. always signifie que
ll’enregistrement
enregistrement A doit &ecirc;tre actualis&eacute;
pour tous les clients.
XXXXprotected modifie la
commande nsupdate pour s’assurer
s assurer
que le client est autoris&eacute;. standard
est synonyme de always.
protected
t t d est synonyme de
alwaysprotected. Cette option est
valide &agrave; tous les niveaux de
conteneur.
Non
Aucune
appenddomain no
appenddomain
false
appenddomain 1
appenddomain
yes
appenddomain
true
canonical canonical 0
canonical no
canonical false
canonical 1
canonical yes
canonical true
proxyarec never
proxyarec
usedhcpddns
proxyarec
usedhcpddnsplus
proxyarec always
proxyarec
usedhcpddnsprot
ected
proxyarec
usedhcpddnsplus
protected
proxyarec
alwaysprotected
proxyarec
standard
proxyarec
protected
released
nsA
releasednsA
”string”
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour supprimer
l’enregistrement A associ&eacute; &agrave; l’adresse
lib&eacute;r&eacute;e. Cette option est valide &agrave; tous
les niveaux de conteneur.
Protocole TCP/IP
4-125
released
nsP
releasednsP
”string”
Non
Aucune
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour supprimer
l’enregistrement PTR associ&eacute; &agrave;
l’adresse lib&eacute;r&eacute;e. Cette option est
valide &agrave; tous les niveaux de
conteneur.
removed
ns
removedns
”string”
Non
Aucune
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la lib&eacute;ration d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour supprimer les
enregistrements A et PTR associ&eacute;s &agrave;
l’adresse lib&eacute;r&eacute;e. Cette option est
valide &agrave; tous les niveaux de
conteneur.
Remarque : Cette option est
d&eacute;conseill&eacute;e au profit des mots–cl&eacute;s
releasednsA et releasednsP.
updatedn updatedns
s
”string”
Non
Aucune
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour mettre &agrave; jour
les enregistrements A et PTR
associ&eacute;s &agrave; l’adresse. Cette option est
valide &agrave; tous les niveaux de
conteneur.
Remarque : Cette option est
d&eacute;conseill&eacute;e au profit des mots–cl&eacute;s
updatednsA et updatednsP.
4-126
updatedn updatednsA
sA
”string”
Non
Aucune
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour mettre &agrave; jour
l’enregistrement A associ&eacute; &agrave;
l’adresse. Cette option est valide &agrave;
tous les niveaux de conteneur.
updatedn updatednsP
sP
”string”
Non
Aucune
Indique la cha&icirc;ne d’ex&eacute;cution &agrave; utiliser
lors de la liaison d’une adresse. La
cha&icirc;ne est utilis&eacute;e pour mettre &agrave; jour
l’enregistrement PTR associ&eacute; &agrave;
l’adresse. Cette option est valide &agrave;
tous les niveaux de conteneur.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
hostnam
epolicy
hostnamepolicy
suggested
Non
hostnamepolicy
resolved
hostnamepolicy
always_resolved
hostnamepolicy
defined
hostnamepolicy
always_defined
hostnamepolicy
default
bootfilep
olicy
bootfilepolicy
suggested
Non
bootfilepolicy
merge
bootfilepolicy
defined
bootfilepolicy
always
stealfrom stealfromchildren
children
true
stealfromchildren
1
stealfromchildren
yes
stealfromchildren
false
stealfromchildren
0
stealfromchildren
no
Non
par
d&eacute;faut
Sp&eacute;cifie le nom d’h&ocirc;te &agrave; retourner au
client. La politique par d&eacute;faut pr&eacute;f&egrave;re
le nom d’h&ocirc;te et le nom de domaine
explicitement d&eacute;finis par rapport aux
noms sugg&eacute;r&eacute;s. Les autres politiques
respectent strictement les consignes
(par exemple : defined retourne le
nom d&eacute;fini ou rien si aucun nom n’est
d&eacute;fini dans la configuration). En outre,
les politiques utilisant le modificateur
always demandent au serveur de
toujours retourner l’option nom d’h&ocirc;te
m&ecirc;me si le client ne l’a pas demand&eacute;
l option liste des
au moyen de l’option
param&egrave;tres. A noter que sugg&eacute;rer un
nom d’h&ocirc;te implique &eacute;galement de le
demander, et que les noms d’h&ocirc;te
peuvent &ecirc;tre sugg&eacute;r&eacute;s &agrave; l’aide de
l’option 81 ou des options 12 et 15. Ce
mot–cl&eacute; est valide &agrave; tous les niveaux
de conteneur.
suggest D&eacute;finit une pr&eacute;f&eacute;rence pour retourner
ed
le nom du fichier de d&eacute;marrage &agrave; un
client. suggested pr&eacute;f&egrave;re le nom du
fichier de d&eacute;marrage sugg&eacute;r&eacute; par le
client &agrave; n’importe quel autre nom
configur&eacute; par le serveur. merge ajoute
le nom sugg&eacute;r&eacute;
par
gg
p le client au
r&eacute;pertoire personnel configur&eacute; par le
serveur. defined pr&eacute;f&egrave;re le nom
d&eacute;fini &agrave; n’importe quel autre nom
sugg&eacute;r&eacute;. always retourne le nom
d&eacute;fini m&ecirc;me si le client ne l’a pas
demand&eacute; &agrave; l’aide de l’option liste des
param&egrave;tres.
Non
Indique si le conteneur parent est
autoris&eacute; &agrave; “voler” des adresses dans
ses conteneurs enfants lorsqu’il est &agrave;
court d’adresses. Cela signifie que si
sous–r&eacute;seau
vous avez un sous
r&eacute;seau avec une
classe d&eacute;finie &agrave; l’aide d’une plage
d’adresses, ces adresses sont
r&eacute;serv&eacute;es aux clients qui mentionnent
cette classe. Si
stealfromchildren a la valeur
true, les
l adresses
d
seront r&eacute;cup&eacute;r&eacute;es
&eacute;
&eacute;&eacute;
chez un enfant afin de tenter de
satisfaire la requ&ecirc;te. La valeur par
d&eacute;faut n’autorise pas les vols
d’adresses.
Protocole TCP/IP
4-127
homedire homedirectory
ctory
path
Non
Aucune
Indique le r&eacute;pertoire personnel &agrave;
utiliser dans la section fichier du
paquet de r&eacute;ponse. Cette option peut
&ecirc;tre d&eacute;finie &agrave; tous les niveaux de
conteneur. La politique bootfile d&eacute;finit
comment les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans
la section fichier du paquet entrant se
conjuguent avec les instructions du
fichier de d&eacute;marrage et du r&eacute;pertoire
personnel.
bootfile
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave;
utiliser dans la section fichier du
paquet de r&eacute;ponse. Cette option peut
&ecirc;tre d&eacute;finie &agrave; tous les niveaux de
conteneur. La politique bootfile d&eacute;finit
comment les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans
la section fichier du paquet entrant se
conjuguent avec les instructions du
fichier de d&eacute;marrage et du r&eacute;pertoire
personnel.
pxebootfi pxebootfile
Non
le
system_architectu
re major_version
minor_version
boofilename
Aucune
Indique le fichier de d&eacute;marrage &agrave;
donner pour un client. Il n’est utilis&eacute;
que lorsque dhcpsd prend en charge
les clients PXE (pxeservertype a la
valeur dhcp_pxe_binld). L’analyseur
du fichier de configuration g&eacute;n&egrave;re une
erreur si le nombre de param&egrave;tres
apr&egrave;s pxebootfile est inf&eacute;rieur &agrave;
quatre, et il ignore les param&egrave;tres
suppl&eacute;mentaires. pxebootfile ne
peut &ecirc;tre utilis&eacute; que dans un
conteneur.
Non.
Aucune
Peut
&ecirc;tre
d&eacute;fini
unique
ment
dans le
contene
ur du
sous–r&eacute;
seau.
Ce mot–cl&eacute; indique si ce conteneur
prend en charge l’option 118. Yes
signifie qu’elle est prise en charge, No
qu’elle ne l’est pas. Pour que cette
option soit prise en compte, vous
devez aussi utiliser le mot–cl&eacute;
supportsubnetselection.
supporto
ption118
4-128
bootfile
path
supportoption118
no / yes
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
DHCP et gestion NIM (Network Installation Management)
Le concept d’affectation dynamique d’adresses IP est relativement nouveau. Voici quelques
suggestions relatives &agrave; l’interaction entre DHCP et NIM.
1. Lorsque vous configurez des objets dans l’environnement NIM, utilisez des noms d’h&ocirc;te
chaque fois que possible : vous pouvez ainsi exploiter un serveur de noms dynamique
qui met &agrave; jour les adresses IP lorsque le nom d’h&ocirc;te est converti en adresse IP dans
l’environnement NIM.
2. Placez le ma&icirc;tre NIM et le serveur DHCP sur le m&ecirc;me syst&egrave;me. Le serveur DHCP est
dot&eacute;, dans la cha&icirc;ne DNS de mise &agrave; jour, d’une option qui, affect&eacute;e de la valeur NIM,
tente de conserver les objets NIM hors des &eacute;tats qui requi&egrave;rent des adresses IP
statiques quand ces adresses changent.
3. Pour les clients NIM, vous devez d&eacute;finir un d&eacute;lai d&eacute;di&eacute; double du temps requis pour
installer un client. Cela permet &agrave; une adresse IP d&eacute;di&eacute;e de rester valide pendant
l’installation. Celle-ci termin&eacute;e, le client r&eacute;amorce et DHCP est lanc&eacute; ou doit &ecirc;tre
configur&eacute;, selon le type de l’installation.
4. Le serveur dhcpsd doit &ecirc;tre responsable des enregistrements syst&egrave;me noms de
domaine PTR et A. Lorsque NIM r&eacute;installe la machine, le fichier contenant le RSA est
supprim&eacute; et le client ne peut mettre ses enregistrements &agrave; jour. C’est pourquoi le serveur
doit mettre &agrave; jour les enregistrements syst&egrave;me. Pour ce faire, modifiez la ligne
updatedns du fichier /etc/dhcpcd.ini :
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ NONE NONIM”
Dans le fichier /etc/dhcpsd.cnf, changez la ligne updatedns en :
updatedns ”/usr/sbin/dhcpaction ’%s’ ’%s’ ’%s’ ’%s’ BOTH NIM”
Remarque :
Lorsqu’un objet NIM est plac&eacute; en &eacute;tat d’attente de l’installation BOS, le
serveur dhcpsd peut passer des arguments diff&eacute;rents de ceux pr&eacute;vus &agrave;
l’origine. Pour &eacute;viter cette situation, r&eacute;duisez au minimum le d&eacute;lai
pendant lequel le client se trouve en &eacute;tat d’attente.
Suivez ces suggestions : les clients dynamiques pourront exploiter l’environnement NIM.
Pour en savoir plus sur l’environnement NIM, reportez-vous au manuel AIX 5L Version
5.2Network Installation Management Guide and Reference.
Protocole TCP/IP
4-129
D&eacute;mon DHCP avec structure PXED
(Preboot Execution Environment Proxy)
Le serveur DHCP proxy PXE se comporte comme un serveur DHCP ; il &eacute;coute le trafic
client DHCP ordinaire et r&eacute;pond &agrave; certaines requ&ecirc;tes. Toutefois, contrairement au serveur
DHCP, le serveur DHCP proxy ne g&egrave;re pas les adresses r&eacute;seau, et il ne r&eacute;pond qu’aux
clients qui s’identifient en tant que clients PXE. Les r&eacute;ponses donn&eacute;es par le serveur DHCP
proxy PXE contiennent le m&eacute;canisme selon lequel le client localise les serveurs de
d&eacute;marrage ou les adresses r&eacute;seau et les descriptions des serveurs de d&eacute;marrage
compatibles pris en charge.
L’utilisation d’un serveur DHCP proxy PXE avec un serveur DHCP fournit trois
fonctionnalit&eacute;s cl&eacute;s. Tout d’abord, vous pouvez s&eacute;parer l’administration des adresses
r&eacute;seau de l’administration des images de d&eacute;marrage. En utilisant deux processus diff&eacute;rents
sur le m&ecirc;me syst&egrave;me, vous pouvez configurer les informations de d&eacute;marrage g&eacute;r&eacute;es par le
serveur DHCP proxy PXE sans intervenir sur la configuration du serveur DHCP ou avoir
besoin d’y acc&eacute;der. Ensuite, vous pouvez d&eacute;finir plusieurs serveurs de d&eacute;marrage et laisser
le client PXE en s&eacute;lectionner un lors du d&eacute;marrage. Chaque serveur de d&eacute;marrage peut,
par exemple, offrir un type diff&eacute;rent de syst&egrave;me d’exploitation ou de configuration syst&egrave;me.
Enfin, l’utilisation du serveur proxy offre la possibilit&eacute; de configurer le client PXE de telle
sorte qu’il utilise l’adressage IP multi–diffusion pour trouver la localisation des serveurs de
d&eacute;marrage compatibles.
Le serveur DHCP proxy PXE peut &ecirc;tre configur&eacute; pour s’ex&eacute;cuter sur le m&ecirc;me syst&egrave;me que
celui ex&eacute;cutant le serveur DHCP ou sur un syst&egrave;me diff&eacute;rent. En outre, il peut &ecirc;tre configur&eacute;
pour s’ex&eacute;cuter sur le syst&egrave;me qui ex&eacute;cute &eacute;galement le d&eacute;mon du serveur de d&eacute;marrage
ou sur un syst&egrave;me diff&eacute;rent.
Le serveur DHCP proxy PXE
Le serveur PXED est divis&eacute; en trois grandes parties : une base de donn&eacute;es, un moteur de
protocole et un ensemble de routines de service, chaque partie disposant de ses propres
informations de configuration.
La base de donn&eacute;es PXED
La base de donn&eacute;es db_file.dhcpo est utilis&eacute;e pour g&eacute;n&eacute;rer les options &agrave; transmettre au
client lorsqu’il envoie un paquet REQUEST. Les options renvoy&eacute;es par la base de donn&eacute;es
d&eacute;pendent du type de serveur choisi. Celui–ci est d&eacute;fini &agrave; l’aide du mot–cl&eacute; pxeservertype
dans le fichier pxed.cnf.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e.
Le moteur de protocole PXED
Pour AIX Version 4.3.1 et ult&eacute;rieures, le moteur de protocole PXED est bas&eacute; sur Preboot
Execution Environment (PXE) Specification Version 2.1 d’Intel, mais il reste compatible avec
PXE Specification Version 1.1. Le moteur de protocole utilise la base de donn&eacute;s pour
d&eacute;terminer quelles informations doivent &ecirc;tre retourn&eacute;es au client.
Op&eacute;rations PXED encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur PXED est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; de l’ex&eacute;cution. Comme le serveur PXED est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont d&eacute;finies sous la forme de routines qui interviennent occasionnellement pour
s’assurer du bon d&eacute;roulement de l’ex&eacute;cution.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
4-130
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
L’autre routine traite les paquets. Selon le type du serveur, une ou deux routines sont
utilis&eacute;es. L’une d’entre elles &eacute;coute le port 67 et la deuxi&egrave;me le port 4011. Chacune peut
traiter une requ&ecirc;te d’un client.
Configuration du serveur PXED
Par d&eacute;faut, la configuration du serveur PXED est effectu&eacute;e par la lecture du fichier
/etc/pxed.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est d&eacute;marr&eacute; &agrave; partir de Web-based System Manager, de SMIT ou via les
commandes SRC.
La configuration de PXED constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
PXED sur votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients PXE. L’exemple suivant configure le d&eacute;mon pxed de telle sorte qu’il
s’ex&eacute;cute sur la m&ecirc;me machine que le serveur DHCP :
pxeservertype
proxy_on_dhcp_server
subnet default
{
vendor pxe
{
option 6
2
d&eacute;marrage multi–diffusion
option 8
1
2
# D&eacute;sactiver la d&eacute;couverte du serveur de
9.3.4.5
9.3.4.6
2
1
9.3.149.29
# L’option ci–dessus fournit la liste des
serveurs de d&eacute;marrage
option 9
0
”PXE bootstrap server” \
1
”Microsoft Windows NT Boot Server” \
2
”DOS/UNDI Boot Server”
option 10 20
”secondes avant la s&eacute;lection automatique de
la premi&egrave;re option du menu de d&eacute;marrage”
}
}
Les sous–options du conteneur fournisseur ne sont envoy&eacute;es aux clients PXE que si
l’adresse IP du client figure dans la plage d’adresses IP du sous–r&eacute;seau (de 9.3.149.0 &agrave;
9.3.149.255 par exemple).
L’exemple suivant configure le d&eacute;mon pxed de telle sorte qu’il s’ex&eacute;cute sur une autre
machine que le serveur DHCP :
Protocole TCP/IP
4-131
subnet default
{
vendor pxe
{
option
6
10
# Le nom du fichier de d&eacute;marrage est
pr&eacute;sent dans la proposition de paquet
# pxed du client.
option
8
1
2
9.3.4.5
9.3.4.6
2
1
9.3.149.29
# L’option ci–dessus fournit la liste des
serveurs de d&eacute;marrage
option
9
0
”PXE bootstrap server” \
1
”Microsoft Windows NT Boot Server”
\
2
”DOS/UNDI Boot Server”
option 10 20
”secondes avant la s&eacute;lection automatique de
la premi&egrave;re option du menu de d&eacute;marrage”
bootstrapserver
9.3.148.65
pxebootfile
1
2
1
window.one
pxebootfile
2
2
1
linux.one
pxebootfile
1
2
1
hello.one
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
pxebootfile
2
2
1
window.one
}
}
Vendor pxeserver
{
option
7
224.234.202.202
}
Le mot–cl&eacute; pxeservertype n’est pas d&eacute;fini dans le fichier de configuration. La valeur par
d&eacute;faut pdhcp_only est donc utilis&eacute;e, ce qui signifie que le serveur PXED est ex&eacute;cut&eacute; sur
une machine diff&eacute;rente que le serveur DHCP. Dans cette configuration, le serveur PXED est
&agrave; l’&eacute;coute des paquets BINLD REQUEST/INFORM des clients sur deux ports (67 et 4011).
L’option 7 est envoy&eacute;e au serveur BINLD lorsque le serveur PXED re&ccedil;oit un paquet
REQUEST/INFORM en provenance de BINLD sur le port 67 et si l’option 60 est d&eacute;finie sur
le serveur PXED.
La clause de base de donn&eacute;es db_file indique la m&eacute;thode &agrave; utiliser pour le traitement
de cette portion du fichier de configuration. Les commentaires sont introduits par le
symbole #. Tout le texte plac&eacute; entre le # et la fin de la ligne est ignor&eacute; par le serveur PXED.
Chaque ligne option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit faire. La
section Sous–options du conteneur fournisseur PXE d&eacute;crit les sous–options reconnues et
prises en charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options inconnues du
serveur, reportez–vous &agrave; la section Syntaxe du fichier de serveur PXED pour le
fonctionnement g&eacute;n&eacute;ral du serveur.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’Identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
4-132
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute; &agrave;
ce conteneur.
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77
(User Site Class Identifier – identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60
(Vendor Class Identifier – identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients PXE et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur de
correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs plac&eacute;s dans le
conteneur global s’appliquent &agrave; tous les conteneurs. La plupart des conteneurs peuvent &ecirc;tre
inclus dans d’autres conteneurs, ce qui implique une certaine visibilit&eacute;. Les conteneurs
peuvent ou non &ecirc;tre associ&eacute;s &agrave; des plages d’adresses. Tel est le cas, par nature, des
sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
•
Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
•
Les conteneurs client restreints ne peuvent englober de sous–conteneurs.
En tenant compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs
qui r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction de
leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par
exemple :
Protocole TCP/IP
4-133
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
L’exemple ci–dessus pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2.
Il y a un nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de
client, Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils
r&eacute;sident dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identiques mais leurs
valeurs, diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis
Sous–r&eacute;seau 1 avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va
g&eacute;n&eacute;rer le chemin de conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2), Client 1
(au niveau de Classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1 , puis de Client 1 au niveau
de Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous
dans la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re
instruction client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de
Classe 1 au sein de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1 (au niveau de
Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
4-134
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. La raison en est que les options
sp&eacute;cifiques au r&eacute;seau dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est
pas utilis&eacute;e &agrave; partir de ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Journalisation
Les param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de
donn&eacute;es, mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est
conseill&eacute; d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de
configurer cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration
puissent &ecirc;tre consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute;
logitem active le niveau de journalisation ; si vous supprimez logitem, le niveau de
journalisation sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent
d’indiquer le nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute; de configuration ainsi que la structure du
fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les performances
du serveur PXED.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client PXE. L’ajout
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi la limitation du
volume de journalisation am&eacute;liore les performances du serveur PXED. En cas de
pr&eacute;somption d’erreur sur le serveur PXED, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide de la commande SRC traceson.
Protocole TCP/IP
4-135
Sous–options du conteneur fournisseur PXE
Dans le cadre de la prise en charge d’un client PXE, le serveur DHCP transmet l’option
suivante au serveur BINLD, qui l’utilise pour sa configuration :
Opt Num
Type de donn&eacute;es
par d&eacute;faut
Autoris&eacute;e
?
Description
6
Nombre d&eacute;cimal
Oui
PXE_DISCOVERY_CONTROL. Limite 0–16. Ceci est
un champ de bit. Bit 0 est le bit le moins significatif.
bit 0
S’il est d&eacute;fini, il d&eacute;sactive la d&eacute;couverte de
diffusion.
bit 1
S’il est d&eacute;fini, il d&eacute;sactive la d&eacute;couverte de
multidiffusion.
bit 2
S’il est d&eacute;fini, seuls les serveurs de
PXE_BOOT_ SERVERS sont
utilis&eacute;s/accept&eacute;s.
bit 3
S’il est d&eacute;fini, et si un nom de fichier de
d&eacute;marrage est pr&eacute;sent dans le paquet
PXED initial, le fichier de d&eacute;marrage est
t&eacute;l&eacute;charg&eacute; (sans invite pr&eacute;alable).
bit 4–7
Doit &ecirc;tre d&eacute;fini sur 0. Si cette option n’est
pas fournie, le client suppose que tous les
bits sont &eacute;gaux &agrave; 0.
7
4-136
Un ”dotted quad”
Oui
Adresse IP de multi–diffusion. Adresse IP de
multi–diffusion de d&eacute;couverte du serveur de
d&eacute;marrage. Les serveurs dot&eacute;s de cette fonctionnalit&eacute;
doivent &eacute;couter cette adresse de multi–diffusion. Cette
option est requise si le bit de d&eacute;sactivation de la
d&eacute;couverte multi–diffusion (bit 1) de l’option
PXE_DISCOVERY_ CONTROL n’est pas d&eacute;fini.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
8
Boot server
type(0–65535)
Oui
PXE_BOOT_SERVERS IP address count (0–256)
Type 0
Microsoft Windows IP address...IP
address NT Boot Server Boot server
type IP address
Type 1
Intel LCM Boot Server count IP
address ...
Type 3
DOS/UNDI Boot Server IP address
Type 4
NEC ESMPRO Boot Server
Type 5
WSoD Boot Server
Type 6
LCCM Boot Server
Type 7
CA Unicenter TNG Boot Server.
Type 8
HP OpenView Boot Server.
Types 9 &agrave; 32767
R&eacute;serv&eacute;s
Types 32768 &agrave; 65534
A l’usage du fournisseur
Type 65535
PXE API Test Server.
Si IP address count a la valeur z&eacute;ro
pour un type de serveur, le client peut
accepter des offres de n’importe quel
serveur de d&eacute;marrage de ce type. Les
serveurs de d&eacute;marrage ne r&eacute;pondent
pas aux requ&ecirc;tes de d&eacute;couverte des
types qu’ils ne prennent pas en
charge.
9
Boot server type
(0–65535)
Oui
PXE_BOOT_MENU ”description” ”order” du serveur
de d&eacute;marrage implicite dans le type.
”description”...menu order.
10
D&eacute;lai d’attente en
secondes
(0–255)
Oui
PXE_MENU_PROMPT ”prompt” Le d&eacute;lai d’attente
correspond au nombre de secondes avant la s&eacute;lection
automatique de la premi&egrave;re option du menu de
d&eacute;marrage. Sur le syst&egrave;me client, l’invite est affich&eacute;e
suivie du nombre de secondes restant avant cette
s&eacute;lection. Si l’utilisateur appuie sur la touche F8 sur le
syst&egrave;me client, un menu est affich&eacute;. Si cette option est
fournie au client, le menu est affich&eacute; sans invite ni
d&eacute;lai d’attente. Si le d&eacute;lai d’attente est &eacute;gal &agrave; 0, la
premi&egrave;re option du menu est automatiquement
s&eacute;lectionn&eacute;e. Si le d&eacute;lai d’attente est &eacute;gal &agrave; 255, le
menu et l’invite sont affich&eacute;s sans s&eacute;lection
automatique ni d&eacute;lai d’attente.
Protocole TCP/IP
4-137
Syntaxe du fichier de serveur PXED pour le fonctionnement g&eacute;n&eacute;ral du
serveur
Remarque :
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont les
secondes (1), les minutes (60), les heures (3600), les jours (86400), les
semaines (604800), les mois (2392000) et les ann&eacute;es (31536000). Le
nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Mot–cl&eacute;
Forme
Sous–
conteneurs ?
Valeur par
d&eacute;faut
Signification
database
database db type
Oui
Aucune
Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s client. db
type est le nom du module charg&eacute; pour
traiter cette portion du fichier. La seule
valeur actuellement disponible est
db_file.
logging_
info
logging_info
Oui
Aucune
Conteneur de journalisation principal
d&eacute;finissant les param&egrave;tres de
journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour tous
par
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
logitem SYSERR
logitem OBJERR
logitem
PROTOCOL
logitem PROTERR
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem
PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
numLog
Files
numLogFiles n
Non
0
Indique le nombre de fichiers journaux
&agrave; cr&eacute;er. Les journaux alternent lorsque
le premier journal est rempli. n est le
nombre de journaux &agrave; cr&eacute;er.
logFile
Size
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de 1024
octets.
4-138
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
logFile
Name
logFileName path
Non
Aucune
Indique le chemin d’acc&egrave;s au premier
fichier journal. Le nom d’origine du
fichier journal est nomfichier ou
nomfichier.extension. nomfichier est
limit&eacute; &agrave; huit caract&egrave;res. Lorsque la
permutation des fichiers est effectu&eacute;e,
le premier fichier est renomm&eacute; en
conservant la base du nom, nomfichier,
et en lui ajoutant un num&eacute;ro, ou en
rempla&ccedil;ant l’extension par un num&eacute;ro.
Par exemple, si le nom original du
fichier est file, le nom du fichier apr&egrave;s
permutation devient file01. Si le nom
du fichier d’origine est file.log, il
devient file.01.
pxeserve
r
type
pxeservertype
servertype
Non
dhcp_only Indique le type du serveur dhcpsd.
servertype peut avoir la valeur
proxy_on_dhcp_server, ce qui signifie
que PXED est ex&eacute;cut&eacute; sur la m&ecirc;me
machine que le serveur DHCP et est &agrave;
l’&eacute;coute des requ&ecirc;tes client PXE sur le
port 4011 uniquement, ou la valeur par
d&eacute;faut pdhcp_only, ce qui signifie que
PXED est ex&eacute;cut&eacute; sur une machine &agrave;
part et doit &eacute;couter les paquets client
sur les ports 67 et 4011.
Remarques sur la syntaxe du fichier de serveur PXED pour la base de
donn&eacute;es db_file :
Remarques :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux d’un
sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau particulier, autoriser les clients BOOTP en
indiquant le mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res. Pour la
classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave; l’int&eacute;rieur
des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne doit &ecirc;tre
consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les expressions
r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est utilis&eacute;e pour
repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent une cha&icirc;ne ASCII. Pour tout
autre nombre, les donn&eacute;es sont des chiffres hexad&eacute;cimaux.
Protocole TCP/IP
4-139
Mot–cl&eacute;
Forme
Sous–
conteneurs ?
Valeur
par
d&eacute;faut
Signification
subnet
subnet
default
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau sans plage
associ&eacute;e. Il n’est utilis&eacute; par le
serveur que lorsqu’il r&eacute;pond &agrave; un
paquet INFORM &eacute;manant du client.
subnet
subnet
subnet id
netmask
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau et un pool
d’adresses. Toutes les adresses
sont suppos&eacute;es faire partie du pool,
sauf si une plage est sp&eacute;cifi&eacute;e sur la
li
ligne
ou sii lles adresses
d
sontt
modifi&eacute;es ult&eacute;rieurement dans le
conteneur par une instruction de
plage ou d’exclusion. La plage
facultative est une paire d’adresses
IP en format de ”dotted quad”
s&eacute;par&eacute;es par un tiret. Il est possible
de pr&eacute;ciser un label et une priorit&eacute;.
Ceux–ci sont utilis&eacute;s dans les
sous–r&eacute;seaux virtuels pour identifier
et classer les sous–r&eacute;seaux
sous r&eacute;seaux du
sous–r&eacute;seau virtuel. Le label et la
priorit&eacute; sont s&eacute;par&eacute;s par un signe
deux–points. Ces conteneurs ne
sont autoris&eacute;s qu’au niveau global
ou au niveau du conteneur base de
donn&eacute;es.
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau qui
s’inscrit dans un conteneur r&eacute;seau.
Il d&eacute;finit une plage d’adresses
formant la totalit&eacute; du sous–r&eacute;seau,
sauf si la plage facultative est
indiqu&eacute;e. Le masque de r&eacute;seau
associ&eacute; au sous–r&eacute;seau est issu du
conteneur r&eacute;seau environnant.
subnet
subnet id
netmask
range
subnet
subnet id
netmask
label:priority
subnet
subnet id
netmask
range
label:priority
subnet
subnet
subnet id
range
Remarque: Cette m&eacute;thode est
d&eacute;conseill&eacute;e au profit
des autres formes de
sous–r&eacute;seaux.
4-140
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
option
option
number data
...
Non
Aucune
Sp&eacute;cifie une option &agrave; envoyer &agrave; un
client ou, dans le cas d’un refus
(deny), une option qui ne doit pas
&ecirc;tre envoy&eacute;e &agrave; un client. La clause
optionnelle * deny signifie que
toutes les options non sp&eacute;cifi&eacute;es
dans le conteneur en cours ne
doivent pas &ecirc;tre retourn&eacute;es au
client. L’option numberdeny ne
refuse que l’option sp&eacute;cifi&eacute;e.
number est un entier 8 bits non
sign&eacute;. data est sp&eacute;cifique &agrave; l’option
(voir ci–dessus) ou peut &ecirc;tre d&eacute;finie
sous la forme d’une cha&icirc;ne entre
guillemets (texte
ASCII)) ou
g
(
0xhexdigits ou hex”hexdigits” ou
encore hex ”hexdigits”. Si l’option
correspond &agrave; un conteneur
fournisseur, elle sera encapsul&eacute;e
avec les autres options dans une
option 43.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction exclude.
L’instruction exclude n’est pas
valide au niveau des conteneurs de
base de donn&eacute;es ou au niveau
g&eacute;n&eacute;ral. L’instruction exclude
supprime l’adresse ou la plage
sp&eacute;cifi&eacute;e de la plage actuelle sur le
conteneur. Elle permet de cr&eacute;er des
plages non contigu&euml;s pour sous
sous–r&eacute;seaux ou d’autres
conteneurs.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction range.
L’instruction range n’est pas valide
au niveau des conteneurs de base
de donn&eacute;es ou au niveau g&eacute;n&eacute;ral.
S’il s’agit de la premi&egrave;re plage du
conteneur qui ne sp&eacute;cifie pas une
plage sur la ligne de d&eacute;finition du
conteneur, la plage du conteneur
devient alors la plage sp&eacute;cifi&eacute;e par
l’instruction range. Toute instruction
range suivante, ou toutes les
instructions range dans le cas d’un
conteneur sp&eacute;cifiant des plages
dans sa d&eacute;finition sont ajout&eacute;es &agrave; la
page actuelle. Avec l’instruction
range, il est possible d’ajouter &agrave; la
plage existante une adresse unique
ou un jeu d’adresses. La plage doit
&ecirc;tre incorpor&eacute;e dans la d&eacute;finition du
conteneur de sous–r&eacute;seau.
option
numberdeny
option * deny
exclude
exclude an
IP address
exclude
dotted_quad
–dotted_
quad
range
range
IP_address
range
dotted_quad
–dotted_
quad
Protocole TCP/IP
4-141
client
client hwtype
hwaddr
NONE
Oui
Aucune
Sp&eacute;cifie un conteneur client qui
emp&ecirc;che le client indiqu&eacute; par
hwaddr et hwtype d’obtenir une
adresse. Si hwtype est 0, alors
hwaddr est une cha&icirc;ne ASCII.
Sinon, hwtype correspond au type
de mat&eacute;riel du client et hwaddr &agrave;
l’adresse du mat&eacute;riel du client. Si
hwaddr est une cha&icirc;ne,, des
guillemets peuvent encadrer la
cha&icirc;ne. Si hwaddr est une cha&icirc;ne
hexad&eacute;cimale, l’adresse peut &ecirc;tre
sp&eacute;cifi&eacute;e sous la forme 0xhexdigits
ou hex digits. range permet au client
sp&eacute;cifi&eacute;
&eacute; ifi&eacute; par h
hwaddr
dd ett h
hwtype
t
d’obtenir une adresse faisant partie
de cette plage. Pour faire r&eacute;f&eacute;rence
&agrave; plusieurs clients, il faut utiliser une
expression r&eacute;guli&egrave;re.
Oui
Aucune
Sp&eacute;cifie un conteneur classe
portant le nom string. La cha&icirc;ne
peut ou non &ecirc;tre plac&eacute;e entre
guillemets. Si oui, les guillemets
sont supprim&eacute;s avant la
comparaison. Les guillemets sont
obligatoires si la cha&icirc;ne contient des
espaces
ou des tabulations. Ce
p
conteneur est autoris&eacute; &agrave; tous les
niveaux. Il est possible d’indiquer
une plage pour sp&eacute;cifier le jeu
d’adresses &agrave; proposer au client
avec cette classe. La plage est soit
une adresse IP en format de ”dotted
quad”, soit deux adresses IP en
format de ”dotted quad” s&eacute;par&eacute;es
par un tiret.
client hwtype
hwaddr ANY
client hwtype
hwaddr
dotted_quad
client hwtype
hwaddr
range
class
class string
class string
range
4-142
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
r&eacute;seau
network
network id
netmask
Oui
Aucune
network
network id
network
network id
range
Sp&eacute;cifie un ID de r&eacute;seau &agrave; l’aide
des informations de classe (par
exemple 9.3.149.0 avec un masque
de r&eacute;seau de 255.255.255.0
correspond au r&eacute;seau 9.0.0.0
255.255.255.0). Cette version du
conteneur de r&eacute;seau est utilis&eacute;e
sous–r&eacute;seaux
pour englober les sous
r&eacute;seaux
partageant le m&ecirc;me masque et le
m&ecirc;me ID de r&eacute;seau. Lorsqu’une
plage est fournie, toutes les
adresses de la plage font partie du
pool. La plage doit &ecirc;tre comprise
dans le r&eacute;seau de l’ID de r&eacute;seau.
Elle fait appel &agrave; l’adresse
l adresse int&eacute;grale
de la classe. Elle n’est valide qu’au
niveau g&eacute;n&eacute;ral ou au niveau du
conteneur de base de donn&eacute;es.
Remarque: Le mot–cl&eacute; network est
d&eacute;conseill&eacute; au profit du
conteneur de
sous–r&eacute;seau.
vendor
vendor
vendor_id
vendor
vendor_id
hex””
vendor
vendor_id
hex ””
vendor
vendor_id
0xdata
vendor
vendor_id ””
vendor
vendor_id
range
vendor
vendor_id
range hex””
vendor
vendor_id
range hex ””
vendor
vendor_id
range 0xdata
vendor
vendor_id
range ””
Oui
Aucune
Sp&eacute;cifie un conteneur de
fournisseur. Les conteneurs
f
i
tili &eacute; pour
fournisseur
sontt utilis&eacute;s
retourner l’option 43 au client.
L’id de fournisseur peut &ecirc;tre sp&eacute;cifi&eacute;
sous la forme d’une cha&icirc;ne entre
guillemets ou d’une cha&icirc;ne binaire
du type 0xhexdigits ou hex”digits”.
Il est possible d’ajouter
d ajouter &agrave; l’id
l id de
fournisseur une plage facultative, en
utilisant deux ”dotted quad” s&eacute;par&eacute;s
par un tiret. A la suite de la plage
facultative une cha&icirc;ne
facultative,
hexad&eacute;cimale ou ASCII &eacute;galement
facultative peut &ecirc;tre indiqu&eacute;e
comme premi&egrave;re partie de
l’option 43. Si des options figurent
dans le conteneur,, elles sont
annex&eacute;es aux donn&eacute;es de
l’option 43. Une fois toutes les
options trait&eacute;es, une option End Of
Option List (fin de la liste d’options)
est ajout&eacute;e aux donn&eacute;es. Pour
retourner les options en dehors
d’une
d
une option 43, utilisez une
expression r&eacute;guli&egrave;re correspondant
&agrave; tous les clients pour sp&eacute;cifier les
p
y en
options
normales &agrave; renvoyer
fonction
f
i de
d l’ID fournisseur.
f
i
Protocole TCP/IP
4-143
inoption
inoption
number
option_data
Oui
Aucune
Indique un conteneur &agrave; rapprocher
d’une option entrante arbitraire
d&eacute;finie par le client. number indique
le num&eacute;ro de l’option. option_data
d&eacute;finit la cl&eacute; correspondant au
conteneur &agrave; s&eacute;lectionner lors du
choix de l’adresse et de l’option
pour ce client. La cl&eacute; option_data se
pr&eacute;sente sous forme de cha&icirc;ne
entre guillemets, d’adresse IP ou de
nombre entier pour les options
connues mais peut &eacute;galement se
pr&eacute;senter sous forme de cha&icirc;ne
hexad&eacute;cimale d’octets si elle est
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x. Pour
les options que le serveur conna&icirc;t
mal, il est possible de d&eacute;finir une
cha&icirc;ne hexad&eacute;cimale d’octets sur le
m&ecirc;me sch&eacute;ma. En outre, la valeur
option_data peut faire r&eacute;f&eacute;rence &agrave;
une expression r&eacute;guli&egrave;re &agrave;
rapprocher de la repr&eacute;sentation en
cha&icirc;ne des donn&eacute;es d’option du
client. Ces expressions r&eacute;guli&egrave;res
se pr&eacute;sentent sous la forme d’une
cha&icirc;ne entre guillemets (dont le
premier caract&egrave;re est un point
d’exclamation ”!). Les options peu
connues du serveur se pr&eacute;sentent
sous forme de cha&icirc;ne hexad&eacute;cimale
d’octets NON pr&eacute;c&eacute;d&eacute;e des
caract&egrave;res 0x.
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique. fill signifie
utiliser toutes les adresses de ce
conteneur avant de passer au
suivant. rotate signifie
s&eacute;lectionner une adresse du pool
suivant de la liste sur chaque
requ&ecirc;te. sfill et srotate sont
identiques &agrave; fill et rotate, mais
une recherche est effectu&eacute;e pour
savoir si le client correspond aux
conteneurs,, aux fournisseurs ou aux
classes du sous–r&eacute;seau. Si une
correspondance permet d’obtenir
une adresse, cette adresse est
adopt&eacute;e &agrave; partir du conteneur au
lieu de suivre la politique indiqu&eacute;e. Il
peut y avoir autant d’ID que
n&eacute;cessaire.
&eacute;
i id estt soitit l’ID de
d
sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me ID
de sous–r&eacute;seau.
inoption
number
option_data
range
virtual
virtual fill id
id ...
virtual sfill id
id ...
virtual rotate
id id ...
virtual
srotate id id
...
4-144
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
inorder:
inorder: id id
...
Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique de remplissage,
ce qui signifie utiliser toutes les
adresses de ce conteneur avant de
passer au conteneur suivant. Il peut
y avoir autant d’ID que n&eacute;cessaire.
id est soit l’ID de sous–r&eacute;seau de la
d&eacute;finition de sous–r&eacute;seau, soit le
label de cette m&ecirc;me d&eacute;finition. Le
label est n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me ID
de sous–r&eacute;seau.
balance:
balance: id id Non
...
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel
avec une politique de rotation, ce
qui signifie utiliser l’adresse
suivante du conteneur suivant. Il
peut y avoir autant d’ID que
n&eacute;cessaire. id est soit l’ID de
sous–r&eacute;seau de la d&eacute;finition de
sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs
sous–r&eacute;seaux partagent le m&ecirc;me ID
de sous–r&eacute;seau.
Non
Aucune
Indique le serveur que les clients
doivent utiliser comme point de
d&eacute;part vers les fichiers TFTP &agrave;
l’issue de la r&eacute;ception de paquets
BOOTP ou DHCP. Cette valeur
compl&egrave;te le champ siaddr du
paquet. Cette option est valide &agrave;
tous les niveaux de conteneur.
giaddrfield IP Non
address
Aucune
D&eacute;finit le champ giaddrfield pour les
paquets de r&eacute;ponse.
bootstrap bootstrapser
server
ver IP
address
giaddr
field
Remarque : Cette sp&eacute;cification
n’est pas autoris&eacute;e pour les
protocoles BOOTP et DHCP, mais
certains clients exigent le champ
giaddr comme passerelle par
d&eacute;faut pour le r&eacute;seau. En raison de
ce risque de conflit, il est conseill&eacute;
de n’utiliser giaddrfield qu’au sein
d’un conteneur client, bien que
l’option fonctionne &agrave; tous les
niveaux.
Protocole TCP/IP
4-145
bootfile
bootfile path
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave;
utiliser dans la section fichier du
paquet de r&eacute;ponse. Cette option
peut &ecirc;tre d&eacute;finie &agrave; tous les niveaux
de conteneur. La politique bootfile
d&eacute;finit comment les &eacute;l&eacute;ments
sp&eacute;cifi&eacute;s dans la section fichier du
paquet entrant se conjuguent avec
les instructions du fichier de
d&eacute;marrage et du r&eacute;pertoire
personnel.
pxeboot
file
pxebootfile
Non
System Arch
MajorVer
MinorVer
Bootfilename
Aucune
Indique le fichier de d&eacute;marrage &agrave;
donner &agrave; un client. L’analyseur du
fichier de configuration g&eacute;n&egrave;re une
erreur si le nombre de param&egrave;tres
apr&egrave;s le mot–cl&eacute; est inf&eacute;rieur &agrave;
quatre, et il ignore les param&egrave;tres
suppl&eacute;mentaires. Ce mot–cl&eacute; ne
peut &ecirc;tre utilis&eacute; que dans un
conteneur.
Pour plus d’informations sur les autres options, reportez–vous &agrave; la section Options connues
du fichier de serveur DHCP.
4-146
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
D&eacute;mon BINLD (Boot Image Negotiation Layer Daemon)
Le serveur BINLD constitue le troisi&egrave;me contact des clients PXE. Apr&egrave;s avoir communiqu&eacute;
avec le serveur DHCP pour obtenir une adresse IP, et avec le serveur DHCP proxy PHE
pour conna&icirc;tre la localisation du serveur de d&eacute;marrage, ce dernier est contact&eacute; afin
d’obtenir le chemin d’acc&egrave;s &agrave; partir duquel t&eacute;l&eacute;charger l’image de d&eacute;marrage. Le client PXE
peut revenir communiquer plusieurs fois avec le serveur de d&eacute;marrage au cours de
l’initialisation s’il a besoin de plusieurs fichiers pour son processus de d&eacute;marrage.
La derni&egrave;re &eacute;tape du d&eacute;marrage du r&eacute;seau PXE est le t&eacute;l&eacute;chargement de l’image de
d&eacute;marrage fournie par le serveur de d&eacute;marrage. La localisation du serveur TFTP et le nom
du fichier qui doit &ecirc;tre t&eacute;l&eacute;charg&eacute; sont donn&eacute;s par le serveur de d&eacute;marrage au client PXE.
Le serveur BINLD
A partir de la mise &agrave; jour version 4.3.3, le serveur BINLD est segment&eacute; en trois composants
principaux : une base de donn&eacute;es, un moteur de protocole et un ensemble de routines de
service, chaque &eacute;l&eacute;ment disposant de ses propres informations de configuration.
La base de donn&eacute;es BINLD
La base de donn&eacute;es db_file.dhcpo est utilis&eacute;e pour g&eacute;n&eacute;rer les options qui r&eacute;pondent &agrave; un
paquet REQUEST d’un client. Les options renvoy&eacute;es par la base de donn&eacute;es d&eacute;pendent du
type de serveur choisi. Les options sont d&eacute;finies &agrave; l’aide du mot–cl&eacute; pxeservertype dans le
fichier binld.cnf.
A partir des informations du fichier de configuration, la base de donn&eacute;es est amorc&eacute;e et sa
coh&eacute;rence est v&eacute;rifi&eacute;e.
Le moteur de protocole BINLD
Le moteur de protocole PXED est bas&eacute; sur Preboot Execution Environment (PXE)
Specification Version 2.1 d’Intel, mais il reste compatible avec PXE Specification Version
1.1. Le moteur de protocole utilise la base de donn&eacute;s pour d&eacute;terminer quelles informations
doivent &ecirc;tre retourn&eacute;es au client.
Op&eacute;rations BINLD encha&icirc;n&eacute;es
Le dernier &eacute;l&eacute;ment du serveur BINLD est en fait un ensemble d’op&eacute;rations qui permettent
d’assurer la continuit&eacute; de l’ex&eacute;cution. Comme le serveur BINLD est du type encha&icirc;n&eacute;, ces
op&eacute;rations sont d&eacute;finies sous la forme de routines qui interviennent occasionnellement pour
s’assurer du bon d&eacute;roulement de l’ex&eacute;cution.
La premi&egrave;re routine, ou routine principale, g&egrave;re les requ&ecirc;tes SRC (par exemple startsrc,
stopsrc, lssrc, traceson et refresh). Cette routine coordonne &eacute;galement toutes les
op&eacute;rations qui affectent toutes les routines et g&egrave;re les signaux. Par exemple :
• A SIGHUP (–1) provoque un rafra&icirc;chissement de toutes les bases de donn&eacute;es du fichier
de configuration.
• A SIGTERM (–15) entra&icirc;ne l’arr&ecirc;t en douceur du serveur.
L’autre routine traite les paquets. Selon le type du serveur, une ou deux routines sont
utilis&eacute;es. L’une d’entre elles &eacute;coute le port 67 et la deuxi&egrave;me le port 4011. Chacune peut
traiter une requ&ecirc;te d’un client.
Configuration de BINLD
Par d&eacute;faut, la configuration du serveur BINLD est effectu&eacute;e par la lecture du fichier
/etc/binld.cnf, qui sp&eacute;cifie la base de donn&eacute;es initiale d’adresses et d’options du serveur.
Le serveur est d&eacute;marr&eacute; &agrave; partir de Web-based System Manager, de SMIT ou via les
commandes SRC.
Protocole TCP/IP
4-147
La configuration de BINLD constitue la t&acirc;che la plus d&eacute;licate dans le cadre de l’utilisation de
BINLD sur votre r&eacute;seau. Vous devez d’abord d&eacute;terminer le nombre de r&eacute;seaux qui devront
accueillir des clients PXE. L’exemple suivant configure un serveur BINLD ex&eacute;cut&eacute; sur la
m&ecirc;me machine que le serveur DHCP :
pxeservertype
binld_on_dhcp_server
subnet default
{
vendor pxe
{
bootstrapserver 9.3.149.6
#TFTP server IP address
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one 6
7
}
}
}
Dans la configuration ci–dessus, le serveur BINLD &eacute;coute les paquets uni–diffus&eacute;s d’un
client sur le port 4011 et les paquets multi–diffus&eacute;s sur ce m&ecirc;me port si BINLD obtient
l’adresse de multi–diffusion de dhcpsd/pxed. Le serveur BINLD r&eacute;pond aux paquets
REQUEST/INFORM du client avec le nom du fichier de d&eacute;marrage et l’adresse IP du
serveur TFTP. Si BINLD ne trouve pas le fichier de d&eacute;marrage avec une couche
correspondante sp&eacute;cifi&eacute;e par le client, il tente ensuite de trouver un fichier de d&eacute;marrage
pour la couche suivante. BINLD ne r&eacute;pond pas lorsqu’aucun fichier de d&eacute;marrage ne
correspond aux requ&ecirc;tes du client (Type, SystemArch, MajorVers, MinorVers et Layer).
L’exemple ci–dessous configure BINLD pour une ex&eacute;cution sur une machine &agrave; part (DHCP
et PXED ne sont pas ex&eacute;cut&eacute;s sur la m&ecirc;me machine).
subnet 9.3.149.0 255.255.255.0
{
vendor pxe
{
bootstrapserver
9.3.149.6
# Adresse IP du serveur TFTP.
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one
6
7
}
}
}
Dans l’exemple ci–dessus, pxeservertype n’est pas d&eacute;fini, le type de serveur par d&eacute;faut est
donc binld_only. Le serveur BINLD &eacute;coute les paquets uni–diffus&eacute;s d’un client sur le port
4011, les paquets diffus&eacute;s et uni–diffus&eacute;s sur le port 67 et les paquets multi–diffus&eacute;s sur le
port 4011 si BINLD obtient l’adresse de multi–diffusion de dhcpsd/pxed. Le nom du fichier
de d&eacute;marrage et l’adresse IP du serveur TFTP ne sont envoy&eacute;s &agrave; un client PXE que si son
adresse IP figure dans la plage d’adresses IP du sous–r&eacute;seau (de 9.3.149.0 &agrave; 9.3.149.255).
4-148
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
L’exemple suivant configure BINLD pour une ex&eacute;cution sur la m&ecirc;me machine que le
serveur PXED :
pxeservertype
binld_on_proxy_server
subnet default
{
vendor
{
bootstrapserver
9.3.149.6
# Adresse IP du serveur TFTP.
pxebootfile
1
2
1
window.one
1
0
pxebootfile
2
2
1
linux.one
2
3
pxebootfile
1
2
1
hello.one
3
4
client 6 10005a8ad14d any
{
pxebootfile
1
2
1
aix.one
5
6
pxebootfile
2
2
1
window.one 6
7
}
}
}
Dans cette configuration, le serveur BINLD n’&eacute;coute les paquets multi–diffus&eacute;s sur le port
4011 que si BINLD obtient une adresse de multi–diffusion de dhcpsd/pxed. S’il ne re&ccedil;oit pas
d’adresse de multidiffusion, BINLD est ferm&eacute; et un message d’erreur est enregistr&eacute; dans le
fichier journal.
La clause de base de donn&eacute;es db_file indique la m&eacute;thode &agrave; utiliser pour le traitement de
cette portion du fichier de configuration. Les commentaires sont introduits par le symbole #.
Tout le texte plac&eacute; entre le # et la fin de la ligne est ignor&eacute; par le serveur PXED. Chaque
ligne option est utilis&eacute;e par le serveur pour indiquer au client ce qu’il doit faire. La section
Sous–options du conteneur fournisseur PXE d&eacute;crit les sous–options reconnues et prises en
charge &agrave; l’heure actuelle. Pour savoir comment d&eacute;finir des options inconnues du serveur,
reportez–vous &agrave; la section Syntaxe du fichier de serveur BINLD pour le fonctionnement
g&eacute;n&eacute;ral du serveur.
Le fichier de configuration
Le fichier de configuration comprend une section d’adresses et une section de d&eacute;finition
d’options, bas&eacute;es sur le concept des conteneurs, qui renferment les options, les
modificateurs et, le cas &eacute;ch&eacute;ant, d’autres conteneurs.
Un conteneur (qui est finalement une m&eacute;thode de regroupement des options) fait appel &agrave; un
identificateur pour classer les clients en plusieurs groupes. Les types de conteneur sont le
sous–r&eacute;seau, la classe, le fournisseur et le client. A l’heure actuelle, il n’existe pas de
conteneur g&eacute;n&eacute;rique d&eacute;finissable par l’utilisateur. L’Identificateur d&eacute;finit le client de mani&egrave;re
unique, de sorte qu’il soit possible de suivre sa trace m&ecirc;me s’il est d&eacute;plac&eacute; vers un autre
sous–r&eacute;seau. Il est possible d’utiliser plusieurs types de conteneur pour d&eacute;finir les droits
d’acc&egrave;s du client.
Les options sont les identificateurs qui sont retourn&eacute;s au client, par exemple la passerelle
par d&eacute;faut et l’adresse de DNS.
Conteneurs
Lorsque le serveur DHCP re&ccedil;oit une requ&ecirc;te, le paquet est analys&eacute; et les cl&eacute;s
d’identification permettent de d&eacute;terminer les conteneurs, les options et les adresses &agrave;
extraire.
L’exemple pr&eacute;c&eacute;dent pr&eacute;sente un conteneur de sous–r&eacute;seau. La cl&eacute; d’identification est la
position du client au sein du r&eacute;seau. Si le client fait partie de ce r&eacute;seau, alors il est int&eacute;gr&eacute; &agrave;
ce conteneur.
Protocole TCP/IP
4-149
Chaque type de conteneur utilise une option diff&eacute;rente pour identifier les clients :
• Le conteneur sous–r&eacute;seau utilise le champ giaddr ou l’adresse de l’interface r&eacute;ceptrice
pour d&eacute;terminer le sous–r&eacute;seau d’origine du client.
• Le conteneur classe utilise la valeur de l’option 77
(User Site Class Identifier – identificateur de la classe du site utilisateur).
• Le conteneur fournisseur utilise la valeur de l’option 60
(Vendor Class Identifier – identificateur de la classe du fournisseur).
• Le conteneur client utilise la valeur de l’option 61 (Client Identifier – identificateur du
client) pour les clients PXED et le champ chaddr du paquet BOOTP pour les clients
BOOTP.
Sauf pour les sous–r&eacute;seaux, chaque conteneur accepte la sp&eacute;cification de la valeur de
correspondance &agrave; l’aide d’expressions r&eacute;guli&egrave;res.
A ces conteneurs, il faut ajouter un conteneur implicite, le conteneur global. Sauf
sp&eacute;cification contraire ou refus explicite, les options et modificateurs plac&eacute;s dans le
conteneur global s’appliquent &agrave; tous les conteneurs. La plupart des conteneurs peuvent &ecirc;tre
inclus dans d’autres conteneurs, ce qui implique une certaine visibilit&eacute;. Les conteneurs
peuvent ou non &ecirc;tre associ&eacute;s &agrave; des plages d’adresses. Tel est le cas, par nature, des
sous–r&eacute;seaux.
Les r&egrave;gles de base s’appliquant aux conteneurs et sous–conteneurs sont les suivantes :
• Tous les conteneurs sont valides au niveau g&eacute;n&eacute;ral.
• Les sous–r&eacute;seaux ne doivent jamais &ecirc;tre inclus dans d’autres conteneurs.
• Des conteneurs restreints ne peuvent englober des conteneurs r&eacute;guliers du m&ecirc;me type.
(Par exemple, un conteneur dot&eacute; d’une option autorisant uniquement la classe
Comptabilit&eacute; ne peut receler un conteneur dot&eacute; d’une option autorisant toutes les
classes commen&ccedil;ant par la lettre ”c”. Ceci n’est pas autoris&eacute;.)
• Les conteneurs client restreints ne peuvent englober de sous–conteneurs. En tenant
compte des r&egrave;gles ci–dessus, vous pouvez g&eacute;n&eacute;rer une hi&eacute;rarchie de conteneurs qui
r&eacute;partissent les options en diff&eacute;rents groupes pour des clients ou des ensembles de
clients sp&eacute;cifiques.
Comment sont g&eacute;r&eacute;es les options et adresses lorsqu’un client correspond &agrave; plusieurs
conteneurs ? Le serveur DHCP re&ccedil;oit les messages, il transmet la requ&ecirc;te &agrave; la base de
donn&eacute;es (fichier db_file en l’occurrence) et une liste de conteneurs est g&eacute;n&eacute;r&eacute;e. La liste est
organis&eacute;e par ordre de profondeur et de priorit&eacute;. La priorit&eacute; se d&eacute;finit comme une hi&eacute;rarchie
implicite au sein des conteneurs. Les conteneurs stricts ont une priorit&eacute; sup&eacute;rieure &agrave; celle
des conteneurs r&eacute;guliers. Les clients, les classes, les fournisseurs et enfin, les
sous–r&eacute;seaux sont tri&eacute;s, dans cet ordre, et &agrave; l’int&eacute;rieur de chaque conteneur en fonction de
leur profondeur. Ceci aboutit &agrave; une liste allant du plus sp&eacute;cifique au moins sp&eacute;cifique. Par
exemple :
Sous–r&eacute;seau 1
––Classe 1
––Client 1
Sous–r&eacute;seau 2
––Classe 1
––––Fournisseur 1
––––Client 1
––Client 1
Cet exemple pr&eacute;sente deux sous–r&eacute;seaux, Sous–r&eacute;seau 1 et Sous–r&eacute;seau 2. Il y a un
nom de classe, Classe 1, un nom de fournisseur, Fournisseur 1 et un nom de client,
Client 1. Classe 1 et Client 1 sont d&eacute;finis en plusieurs endroits. Comme ils r&eacute;sident
dans des conteneurs diff&eacute;rents, leurs noms peuvent &ecirc;tre identique mais leurs valeurs,
diff&eacute;rentes. Si Client 1 envoie un message au serveur DHCP depuis Sous–r&eacute;seau 1
4-150
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
avec Classe 1 sp&eacute;cifi&eacute;e dans sa liste d’options, le serveur DHCP va g&eacute;n&eacute;rer le chemin de
conteneur suivant :
Sous–r&eacute;seau 1, Classe 1, Client 1
Le conteneur le plus sp&eacute;cifique appara&icirc;t en dernier. Pour obtenir une adresse, la liste est
&eacute;tudi&eacute;e dans l’ordre inverse de la hi&eacute;rarchie et la premi&egrave;re adresse disponible est retenue.
Ensuite, l’&eacute;tude de la liste de poursuit en remontant dans la hi&eacute;rarchie afin d’obtenir les
options. Les options peuvent remplacer des valeurs pr&eacute;c&eacute;dentes, sauf si une option deny a
&eacute;t&eacute; incluse dans le conteneur. Par ailleurs, puisque Classe 1 et Client 1 figurent dans
Sous–r&eacute;seau 1, ils sont ordonn&eacute;s en fonction de la priorit&eacute; de leur conteneur. Si le m&ecirc;me
client se trouve dans Sous–r&eacute;seau 2 et envoie le m&ecirc;me message, la liste de conteneur
g&eacute;n&eacute;r&eacute;e sera :
Sous–r&eacute;seau 2, Classe 1, Client 1 (au niveau de Sous–r&eacute;seau 2), Client 1
(au niveau de Classe 1)
Sous–r&eacute;seau 2 appara&icirc;t en premier, suivi de Classe 1, puis de Client 1 au niveau de
Sous–r&eacute;seau 2 (car cette instruction client ne se trouve qu’&agrave; un niveau en dessous dans
la hi&eacute;rarchie). Cette hi&eacute;rarchie implique qu’un client correspondant &agrave; la premi&egrave;re instruction
client est moins sp&eacute;cifique que le client correspondant &agrave; Client 1 de Classe 1 au sein
de Sous–r&eacute;seau 2.
La priorit&eacute; s&eacute;lectionn&eacute;e en fonction de la profondeur dans la hi&eacute;rarchie prend le pas sur la
priorit&eacute; des conteneurs eux–m&ecirc;mes. Par exemple, si le m&ecirc;me client &eacute;met le m&ecirc;me
message, en pr&eacute;cisant cette fois un identificateur de fournisseur, la liste de conteneur
devient :
Sous–r&eacute;seau 2, Classe 1, Fournisseur 1, Client 1 (au niveau de
Sous–r&eacute;seau 2), Client 1 (au niveau de Classe 1)
La priorit&eacute; au niveau des conteneurs am&eacute;liore les performances en mati&egrave;re de recherche
car elle correspond &agrave; un concept g&eacute;n&eacute;ral selon lequel les conteneurs client constituent le
moyen le plus sp&eacute;cifique de d&eacute;finir un ou plusieurs clients. Le conteneur client contient des
adresses plus sp&eacute;cifiques qu’un conteneur classe, lui–m&ecirc;me plus sp&eacute;cifique qu’un
conteneur fournisseur, le conteneur sous–r&eacute;seau &eacute;tant le moins sp&eacute;cifique de tous.
Adresses et plages d’adresses
Les plages d’adresses, obligatoires pour les conteneurs sous–r&eacute;seau, peuvent &ecirc;tre
associ&eacute;es &agrave; tout type de conteneur. Chaque plage d&eacute;finie pour un conteneur doit &ecirc;tre un
sous–ensemble de la plage du conteneur parent et ne doit pas pr&eacute;senter de
chevauchement avec la plage d’un autre conteneur. Par exemple, si une classe d&eacute;finie
dans un sous–r&eacute;seau est associ&eacute;e &agrave; une plage d’adresses, cette plage doit constituer un
sous–ensemble des adresses de la plage du sous–r&eacute;seau. En outre, le conteneur de la
classe ne doit pas recouvrir, m&ecirc;me partiellement, d’autres plages d’adresses au m&ecirc;me
niveau.
Les plages peuvent &ecirc;tre d&eacute;finies sur la ligne du conteneur et modifi&eacute;es au moyen
d’instructions de plages et d’exclusion afin que des jeux d’adresse non contigus puissent
&ecirc;tre associ&eacute;s &agrave; un conteneur. Ainsi, si les dix premi&egrave;res adresses d’un sous–r&eacute;seau sont
disponibles, ainsi que les dix suivantes, le sous–r&eacute;seau peut sp&eacute;cifier ces adresses par
plage dans la clause de sous–r&eacute;seau afin de r&eacute;duire l’utilisation de la m&eacute;moire et les
risques de collision d’adresses avec d’autres clients ne se trouvant pas dans les plages
sp&eacute;cifi&eacute;es.
D&egrave;s qu’une adresse est s&eacute;lectionn&eacute;e, tout conteneur suivant dans la liste contenant les
plages d’adresses est retir&eacute; de la liste, avec ses enfants. La raison en est que les options
sp&eacute;cifiques au r&eacute;seau dans les conteneurs supprim&eacute;s ne sont pas valides si l’adresse n’est
pas utilis&eacute;e &agrave; partir de ce conteneur.
Options
Une fois la liste ponctionn&eacute;e pour d&eacute;terminer les adresses, un ensemble d’options est
g&eacute;n&eacute;r&eacute; pour le client. Lors de ce processus de s&eacute;lection, les nouvelles options remplacent
Protocole TCP/IP
4-151
les options pr&eacute;c&eacute;demment s&eacute;lectionn&eacute;es, sauf si une clause deny est rencontr&eacute;e, auquel
cas l’option refus&eacute;e est retir&eacute;e de la liste envoy&eacute;e au client. Cette m&eacute;thode autorise les
h&eacute;ritages &agrave; partir des conteneurs parents afin de r&eacute;duire la quantit&eacute; de donn&eacute;es &agrave; sp&eacute;cifier.
Journalisation
Les param&egrave;tres de journalisation sont pr&eacute;cis&eacute;s dans un conteneur tel que la base de
donn&eacute;es, mais le mot de passe du conteneur est : logging_info. Au d&eacute;marrage, il est
conseill&eacute; d’activer le niveau de journalisation le plus &eacute;lev&eacute;. En outre, il est pr&eacute;f&eacute;rable de
configurer cette fonction pr&eacute;alablement &agrave; toute autre afin que les erreurs de configuration
puissent &ecirc;tre consign&eacute;es apr&egrave;s initialisation du sous–syst&egrave;me de journalisation. Le mot–cl&eacute;
logitem active le niveau de journalisation ; si vous supprimez logitem, le niveau de
journalisation sera d&eacute;sactiv&eacute;. Les autres mots–cl&eacute; concernant la journalisation permettent
d’indiquer le nom du fichier journal, sa taille et le nombre de journaux utilis&eacute;s en alternance.
Consid&eacute;rations de performance
Vous n’&ecirc;tes pas sans savoir que certains mots–cl&eacute;s de configuration ainsi que la structure
du fichier de configuration ont une incidence sur l’utilisation de la m&eacute;moire et les
performances du serveur PXED.
Premi&egrave;rement, il est possible d’&eacute;viter toute sollicitation excessive de la m&eacute;moire en
appr&eacute;hendant le mod&egrave;le d’h&eacute;ritage des options des conteneurs parents vers les conteneurs
enfants. Dans un environnement qui ne prend pas en charge les clients non r&eacute;pertori&eacute;s,
l’administrateur doit express&eacute;ment lister chaque client du fichier. Lorsque des options sont
r&eacute;pertori&eacute;es pour chaque client en particulier, le serveur sollicite plus de capacit&eacute; m&eacute;moire
pour stocker cette structure de configuration arborescente que lorsque des options sont
h&eacute;rit&eacute;es d’un conteneur parent (conteneurs de sous–r&eacute;seau, de r&eacute;seau ou conteneurs
globaux, par exemple). Par cons&eacute;quent, l’administrateur doit v&eacute;rifier la r&eacute;p&eacute;tition ou non des
options relatives au client au sein du fichier de configuration. Si tel est le cas, il doit d&eacute;cider
si ces options peuvent ou non &ecirc;tre d&eacute;finies dans le conteneur parent et partag&eacute;es par
l’ensemble des clients.
Deuxi&egrave;mement, l’utilisation des entr&eacute;es logItem INFO et TRACE entra&icirc;ne la consignation
de nombreux messages au cours du traitement de chaque message du client PXE. L’ajout
d’une ligne au journal peut s’av&eacute;rer une op&eacute;ration on&eacute;reuse. C’est pourquoi la limitation du
volume de journalisation am&eacute;liore les performances du serveur PXED. En cas de
pr&eacute;somption d’erreur sur le serveur PXED, la journalisation peut &ecirc;tre dynamiquement
r&eacute;activ&eacute;e &agrave; l’aide de la commande SRC traceson.
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral du
serveur
Remarque :
4-152
Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont
facultatives et correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de
temps par d&eacute;faut est exprim&eacute;e en minutes. Les valeurs autoris&eacute;es sont les
secondes (1), les minutes (60), les heures (3600), les jours (86400), les
semaines (604800), les mois (2392000) et les ann&eacute;es (31536000). Le
nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
Mot–cl&eacute;
Forme
Sous–
conte–
neurs ?
Valeur
par
d&eacute;faut
database
database db type
Oui
Aucune Conteneur principal renfermant les
d&eacute;finitions des pools d’adresses,
options et instructions d’acc&egrave;s
client. db type est le nom du
module charg&eacute; pour traiter cette
portion du fichier. La seule valeur
actuellement disponible est db_file.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Signification
logging_info
logging_info
Oui
Aucune Conteneur de journalisation
principal d&eacute;finissant les param&egrave;tres
de journalisation.
logitem
logitem NONE
Non
Non
activ&eacute;
ti &eacute;
pour
tous
par
d&eacute;faut
d&eacute;faut.
Active le niveau de journalisation.
Pl i
Plusieurs
lignes
li
sontt autoris&eacute;es.
t i &eacute;
logitem SYSERR
logitem OBJERR
logitem PROTOCOL
logitem PROTERR
logitem WARN
logitem WARNING
logitem CONFIG
logitem EVENT
logitem PARSEERR
logitem ACTION
logitem ACNTING
logitem STAT
logitem TRACE
logitem RTRACE
logitem START
numLogFiles
numLogFiles n
Non
0
Indique le nombre de fichiers
journaux &agrave; cr&eacute;er. Les journaux
alternent lorsque le premier journal
est rempli. n est le nombre de
journaux &agrave; cr&eacute;er.
logFileSize
logFileSize n
Non
0
Indique la taille de chaque fichier
journal, exprim&eacute;e en unit&eacute;s de
1024 octets.
logFileName
logFileName path
Non
Aucune Indique le chemin d’acc&egrave;s au
premier fichier journal. Le nom
d’origine du fichier journal est
nomfichier ou nomfichier.extension.
nomfichier est limit&eacute; &agrave; huit
caract&egrave;res. Lorsque la permutation
des fichiers est effectu&eacute;e, le
premier fichier est renomm&eacute; en
conservant la base du nom,
nomfichier, et en lui ajoutant un
num&eacute;ro, ou en rempla&ccedil;ant
l’extension par un num&eacute;ro. Par
exemple, si le nom original du
fichier est file, le nom du fichier
apr&egrave;s permutation devient file01.
Si le nom du fichier d’origine est
file.log, il devient file.01.
Protocole TCP/IP
4-153
4-154
pxeservertype pxeservertype
servertype
Non
dhcp_o
nly
dhcp_or_prox
y _address
Non
Aucune Ce mot–cl&eacute; fournit l’adresse IP du
serveur dhcp ou pxed auquel le
serveur BINLD peut envoyer un
paquet uni–diffus&eacute; de type
REQUEST/INFORM pour recevoir
l’adresse de multi–diffusion. Ce
mot–cl&eacute; n’est d&eacute;fini que lorsque le
serveur dhcp ou pxed est ex&eacute;cut&eacute;
sur un sous–r&eacute;seau diff&eacute;rent de
BINLD.
dhcp_or_proxy_addre
ss IP address
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Indique le type de serveur dhcpsd.
servertype peut avoir l’une des
valeurs suivantes :
binld_on_dhcp_server Cela
signifie que BINLD est ex&eacute;cut&eacute; sur
la m&ecirc;me machine que le serveur
DHCP, qu’il &eacute;coute les requ&ecirc;tes
client PXE sur le port 4011 et
l’adresse de multi–diffusion si
celle–ci est re&ccedil;ue du serveur DHCP
/ PXED.binld_on_proxy_server
Cela signifie que BINLDest ex&eacute;cut&eacute;
sur la m&ecirc;me machine que le
serveur PXED et &eacute;coute les
requ&ecirc;tes client PXE sur l’adresse
de multi–diffusion si celle–ci est
re&ccedil;ue du serveur DHCP / PXED. La
valeur par d&eacute;faut est binld_only :
le serveur BINLD est ex&eacute;cut&eacute; sur
une machine &agrave; part et doit &eacute;couter
les paquets du client sur les ports
67 et 4011 et sur l’adresse de
multidiffusion si celle–ci est re&ccedil;ue
du serveur DHCP / PXED.
Syntaxe du fichier de serveur BINLD pour le fonctionnement g&eacute;n&eacute;ral du
serveur
Remarques :
1. Les unit&eacute;s de temps (time_units) indiqu&eacute;es dans le tableau suivant sont facultatives et
correspondent &agrave; un modificateur du temps r&eacute;el. L’unit&eacute; de temps par d&eacute;faut est exprim&eacute;e
en minutes. Les valeurs autoris&eacute;es sont les secondes (1), les minutes (60), les heures
(3600), les jours (86400), les semaines (604800), les mois (2392000) et les ann&eacute;es
(31536000). Le nombre entre parenth&egrave;ses est un multiplicateur appliqu&eacute; &agrave; la valeur n
sp&eacute;cifi&eacute;e pour exprimer cette valeur en secondes.
2. Les &eacute;l&eacute;ments sp&eacute;cifi&eacute;s dans un conteneur peuvent &ecirc;tre remplac&eacute;s par ceux d’un
sous–conteneur. Vous pouvez par exemple d&eacute;finir les clients BOOTP de mani&egrave;re
globale, et, au sein d’un sous–r&eacute;seau donn&eacute;, autoriser les clients BOOTP en indiquant le
mot–cl&eacute; supportBootp dans les deux conteneurs.
3. Les conteneurs client, classe et fournisseur acceptent les expressions r&eacute;guli&egrave;res. Pour la
classe et le vendeur, une cha&icirc;ne entre guillemets dont le premier caract&egrave;re &agrave; l’int&eacute;rieur
des guillemets est un point d’exclamation (!) indique que le reste de la cha&icirc;ne doit &ecirc;tre
consid&eacute;r&eacute; comme une expression r&eacute;guli&egrave;re. Le conteneur client accepte les expressions
r&eacute;guli&egrave;res dans les champs hwtype et hwaddr. Une cha&icirc;ne unique est utilis&eacute;e pour
repr&eacute;senter les deux champs, selon la syntaxe suivante :
nombre_d&eacute;cimal–donn&eacute;es
Si nombre_d&eacute;cimal est &eacute;gal &agrave; z&eacute;ro, les donn&eacute;es constituent une cha&icirc;ne ASCII. Pour tout
autre nombre, les donn&eacute;es sont des chiffres hexad&eacute;cimaux.
Mot–cl&eacute;
Forme
Sous–
conteneurs
?
Valeur
par
d&eacute;faut
Signification
subnet
subnet default
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau sans plage
associ&eacute;e. Ce sous–r&eacute;seau est utilis&eacute; par
un serveur uniquement pour r&eacute;pondre &agrave; un
paquet INFORM d’un client et si aucun
conteneur de sous–r&eacute;seau ne correspond
&agrave; l’adresse de ce dernier.
subnet
subnet subnet
id netmask
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau et un pool
d’adresses. Toutes les adresses sont
suppos&eacute;es
faire partie
du pool,
sauf si une
pp
p
p
l
&eacute; ifi&eacute; sur lla liligne ou sii lles
plage
est sp&eacute;cifi&eacute;e
adresses sont modifi&eacute;es ult&eacute;rieurement
dans le conteneur par une instruction de
plage ou d’exclusion. La plage facultative
est une paire d’adresses IP en format de
”dotted quad” s&eacute;par&eacute;es par un tiret. Il est
possible de pr&eacute;ciser un label et une
priorit&eacute;. Ceux–ci sont utilis&eacute;s dans les
sous–r&eacute;seaux
sous
r&eacute;seaux virtuels pour identifier et
classer les sous–r&eacute;seaux du sous–r&eacute;seau
virtuel. Le label et la priorit&eacute; sont s&eacute;par&eacute;s
par un signe deux–points. Ces conteneurs
ne sont autoris&eacute;s qu’au niveau global ou
au niveau du conteneur base de donn&eacute;es.
subnet subnet
id netmask
range
subnet subnet
id netmask
label:priority
subnet subnet
id netmask
range
label:priority
Protocole TCP/IP
4-155
subnet
subnet subnet
id range
Oui
Aucune
Sp&eacute;cifie un sous–r&eacute;seau qui s’inscrit dans
un conteneur r&eacute;seau. Il d&eacute;finit une plage
d’adresses formant la totalit&eacute; du
sous–r&eacute;seau, sauf si la plage facultative
est indiqu&eacute;e. Le masque de r&eacute;seau
associ&eacute; au sous–r&eacute;seau est issu du
conteneur r&eacute;seau environnant.
Remarque :
Cette m&eacute;thode est d&eacute;conseill&eacute;e au
profit des autres formes de
sous–r&eacute;seaux.
option
option number
data ...
Non
Aucune
Sp&eacute;cifie une option &agrave; envoyer &agrave; un client
ou, dans le cas d’un refus (deny), une
option qui ne doit pas &ecirc;tre envoy&eacute;e &agrave; un
client. La clause option * deny signifie
que toutes les options non sp&eacute;cifi&eacute;es dans
le conteneur en cours ne doivent pas &ecirc;tre
retourn&eacute;es au client. L’option numberdeny
ne refuse que l’option sp&eacute;cifi&eacute;e. number
est un entier 8 bits non sign&eacute;. data est
sp&eacute;cifique &agrave; l’option (voir ci–dessus) ou
peut &ecirc;tre d&eacute;finie sous la forme d’une
g
(
cha&icirc;ne entre guillemets
(texte
ASCII)) ou
0xhexdigits ou hex”hexdigits” ou encore
hex ”hexdigits”. Si l’option correspond &agrave; un
conteneur fournisseur, elle sera
encapsul&eacute;e avec les autres options dans
une option 43.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction exclude. L’instruction
exclude n’est pas valide au niveau des
conteneurs de base de donn&eacute;es ou au
g&eacute;n&eacute;ral L’instruction exclude
niveau g&eacute;n&eacute;ral.
supprime l’adresse ou la plage sp&eacute;cifi&eacute;e de
la plage actuelle sur le conteneur. Elle
permet de cr&eacute;er des plages non contigu&euml;s
pour sous sous–r&eacute;seaux ou d’autres
conteneurs.
Non
Aucune
Modifie la plage sur le conteneur qui
comporte l’instruction range. L’instruction
range n’est pas valide au niveau des
conteneurs de base de donn&eacute;es ou au
niveau g&eacute;n&eacute;ral. S’il s’agit de la premi&egrave;re
plage du conteneur qui ne sp&eacute;cifie pas une
plage sur la ligne de d&eacute;finition du
conteneur, la plage du conteneur devient
alors la plage sp&eacute;cifi&eacute;e par l’instruction
range. Toute instruction range suivante, ou
toutes les instructions range dans le cas
d’un conteneur sp&eacute;cifiant des plages dans
sa d&eacute;finition sont ajout&eacute;es &agrave; la page
actuelle. Avec l’instruction range, il est
possible d’ajouter &agrave; la plage existante une
adresse unique ou un jeu d’adresses. La
plage doit &ecirc;tre incorpor&eacute;e dans la d&eacute;finition
du conteneur de sous–r&eacute;seau.
option
numberdeny
option * deny
exclude
exclude an IP
address
exclude
dotted_quad–d
otted_quad
range
range
IP_address
range
dotted_quad–d
otted_quad
4-156
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
client
client hwtype
hwaddr NONE
Oui
Aucune
Sp&eacute;cifie un conteneur client qui emp&ecirc;che
le client indiqu&eacute; par hwaddr et hwtype
d’obtenir une adresse. Si hwtype est 0,
alors hwaddr est une cha&icirc;ne ASCII. Sinon,
hwtype correspond au type de mat&eacute;riel du
client et hwaddr &agrave; l’adresse du mat&eacute;riel du
client. Si hwaddr est une cha&icirc;ne, des
guillemets peuvent encadrer la cha&icirc;ne
cha&icirc;ne. Si
hwaddr est une cha&icirc;ne hexad&eacute;cimale,
l’adresse peut &ecirc;tre sp&eacute;cifi&eacute;e sous la forme
0xhexdigits ou hex digits. range permet au
client sp&eacute;cifi&eacute; par hwaddr et hwtype
d’obtenir une adresse faisant partie de
cette plage. Pour faire r&eacute;f&eacute;rence &agrave;
plusieurs clients, il faut utiliser une
expression r&eacute;guli&egrave;re.
Oui
Aucune
Sp&eacute;cifie un conteneur classe portant le
nom string. La cha&icirc;ne peut ou non &ecirc;tre
plac&eacute;e entre guillemets. Si oui, les
guillemets sont supprim&eacute;s avant la
comparaison. Les guillemets sont
obligatoires si la cha&icirc;ne contient des
espaces ou des tabulations
tabulations. Ce conteneur
est autoris&eacute; &agrave; tous les niveaux. Il est
possible d’indiquer une plage pour
sp&eacute;cifier le jeu d’adresses &agrave; proposer au
client avec cette classe. La plage est soit
une adresse IP en format de ”dotted quad”,
soit deux adresses IP en format de ”dotted
quad” s&eacute;par&eacute;es par un tiret.
Oui
Aucune
Sp&eacute;cifie un ID de r&eacute;seau &agrave; l’aide des
informations de classe (par exemple
9.3.149.0 avec un masque de r&eacute;seau de
255.255.255.0 correspond au r&eacute;seau
9.0.0.0 255.255.255.0). Cette version du
conteneur de r&eacute;seau est utilis&eacute;e pour
englober les sous–r&eacute;seaux partageant le
m&ecirc;me masque et le m&ecirc;me ID de r&eacute;seau.
Lorsqu’une plage est fournie, toutes les
adresses de la plage font partie du pool. La
plage doit &ecirc;tre comprise dans le r&eacute;seau de
l’ID de r&eacute;seau. Elle fait appel
pp &agrave; l’adresse
i &eacute; l de
int&eacute;grale
d la
l classe.
l
Elle
Ell n’est
’
valide
lid
qu’au niveau g&eacute;n&eacute;ral ou au niveau du
conteneur de base de donn&eacute;es.
client hwtype
hwaddr ANY
client hwtype
hwaddr
dotted_quad
client hwtype
hwaddr range
class
class string
class string
range
r&eacute;seau
network
network id
netmask
network
network id
network
network id
range
Remarque : Le mot–cl&eacute; network est
d&eacute;conseill&eacute; au profit du conteneur de
sous–r&eacute;seau.
Protocole TCP/IP
4-157
vendor
vendor
vendor_id
Oui
Aucune
vendor
vendor_id hex””
vendor
vendor_id hex
””
vendor
vendor_id
0xdata
vendor
vendor_id ””
vendor
vendor_id
range
vendor
vendor_id
range hex””
vendor
vendor_id
range hex ””
vendor
vendor_id
range 0xdata
vendor
vendor_id
range ””
vendor pxe
vendor
pxeserver
4-158
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Sp&eacute;cifie un conteneur de fournisseur. Les
conteneurs fournisseur sont utilis&eacute;s pour
t
l’ ti 43 au client.
li t L’id d
retourner
l’option
de
fournisseur peut &ecirc;tre sp&eacute;cifi&eacute; sous la forme
d’une cha&icirc;ne entre guillemets ou d’une
cha&icirc;ne binaire du type 0xhexdigits ou
hex”digits”. Il est possible d’ajouter &agrave; l’id de
fournisseur une plage facultative, en
utilisant deux ”dotted quad” s&eacute;par&eacute;s par un
tiret. A la suite de la plage facultative, une
cha&icirc;ne hexad&eacute;cimale ou ASCII &eacute;galement
facultative
f
lt ti peutt &ecirc;tre
&ecirc;t indiqu&eacute;e
i di &eacute; comme
premi&egrave;re partie de l’option 43. Si les
options figurent dans le conteneur
conteneur, elles
sont annex&eacute;es aux donn&eacute;es de l’option 43.
Une fois toutes les options trait&eacute;es, une
option End Of Option List (fin de la liste
d’options) est ajout&eacute;e aux donn&eacute;es. Pour
retourner les options en dehors d’une
option 43, utilisez une expression r&eacute;guli&egrave;re
correspondant &agrave; tous les clients pour
sp&eacute;cifier les options normales &agrave; renvoyer
en fonction de l’ID fournisseur.
pxe apr&egrave;s le mot–cl&eacute; vendor cr&eacute;e un
conteneur fournisseur pour PXEClient.
pxeserver apr&egrave;s le mot–cl&eacute; vendor cr&eacute;e
un conteneur fournisseur p
pour PXEServer.
inoption
inoption number Oui
option_data
Aucune
Indique un conteneur &agrave; rapprocher d’une
option entrante arbitraire d&eacute;finie par le
client. number indique le num&eacute;ro de
l’option. option_data d&eacute;finit la cl&eacute;
correspondant au conteneur &agrave; s&eacute;lectionner
lors du choix de l’adresse et de l’option
pour ce client. La cl&eacute; option_data se
pr&eacute;sente sous forme de cha&icirc;ne entre
guillemets, d’adresse IP ou de nombre
entier pour les options connues mais peut
&eacute;galement se pr&eacute;senter sous forme de
cha&icirc;ne hexad&eacute;cimale d’octets si elle est
pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x. Pour les
p
options que le serveur conna&icirc;t mal, il est
possible de d&eacute;finir une cha&icirc;ne
hexad&eacute;cimale d’octets sur le m&ecirc;me
sch&eacute;ma. En outre, la valeur option_data
peut faire r&eacute;f&eacute;rence &agrave; une expression
r&eacute;guli&egrave;re &agrave; rapprocher de la repr&eacute;sentation
en cha&icirc;ne des donn&eacute;es d’option du client.
Ces expressions r&eacute;guli&egrave;res se pr&eacute;sentent
sous la forme d’une cha&icirc;ne entre
guillemets (dont le premier caract&egrave;re est
un point d’exclamation ”!). Les options
peu connues du serveur se pr&eacute;sentent
sous forme de cha&icirc;ne hexad&eacute;cimale
d’octets NON pr&eacute;c&eacute;d&eacute;e des caract&egrave;res 0x.
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique. fill signifie utiliser toutes les
adresses de ce conteneur avant de passer
au suivant. rotate signifie s&eacute;lectionner
une adresse
d
d
du pooll suivant
i
td
de lla liliste
t sur
chaque requ&ecirc;te. sfill et srotate sont
identiques &agrave; fill et rotate, mais une
recherche est effectu&eacute;e pour savoir si le
client correspond aux conteneurs, aux
fournisseurs ou aux classes du
sous–r&eacute;seau. Si une correspondance
permet d’obtenir une adresse, cette
adresse est adopt&eacute;e &agrave; partir du conteneur
au lieu de suivre la politique indiqu&eacute;e. Il
d’ID
peut y avoir autant d
ID que n&eacute;cessaire. id
est soit l’ID de sous–r&eacute;seau de la d&eacute;finition
de sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est n&eacute;cessaire si
plusieurs sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique de remplissage, ce qui signifie
utiliser toutes les adresses de ce
conteneur avant de passer au conteneur
suivant. Il peut y avoir autant d’ID que
n&eacute;cessaire. id est soit l’ID de sous–r&eacute;seau
de la d&eacute;finition de sous–r&eacute;seau, soit le
label de cette m&ecirc;me d&eacute;finition. Le label est
n&eacute;cessaire si plusieurs sous–r&eacute;seaux
partagent le m&ecirc;me ID de sous–r&eacute;seau.
inoption number
option_data
range
virtual
virtual fill id id ... Non
virtual sfill id id
...
virtual rotate id
id ...
virtual srotate id
id ...
inorder:
inorder: id id ...
Non
Aucune
Protocole TCP/IP
4-159
balance:
balance: id id ... Non
Aucune
Sp&eacute;cifie un sous–r&eacute;seau virtuel avec une
politique de rotation, ce qui signifie utiliser
l’adresse suivante du conteneur suivant. Il
peut y avoir autant d’ID que n&eacute;cessaire. id
est soit l’ID de sous–r&eacute;seau de la d&eacute;finition
de sous–r&eacute;seau, soit le label de cette
m&ecirc;me d&eacute;finition. Le label est n&eacute;cessaire si
plusieurs sous–r&eacute;seaux partagent le m&ecirc;me
ID de sous–r&eacute;seau.
boots
trapserver
bootstrap
server IP
address
Non
Aucune
Indique le serveur que les clients doivent
utiliser comme point de d&eacute;part vers les
fichiers TFTP &agrave; l’issue de la r&eacute;ception de
paquets BOOTP ou DHCP. Cette valeur
compl&egrave;te le champ siaddr du paquet.
Cette option est valide &agrave; tous les niveaux
de conteneur.
giaddrfield
giaddrfield IP
address
Non
Aucune
D&eacute;finit le champ giaddrfield pour les
paquets de r&eacute;ponse.
Remarque : Cette sp&eacute;cification n’est pas
autoris&eacute;e pour les protocoles BOOTP et
DHCP, mais certains clients exigent le
champ giaddr comme passerelle par
d&eacute;faut pour le r&eacute;seau. En raison de ce
risque de conflit, il est conseill&eacute; de
n’utiliser giaddrfield qu’au sein d’un
conteneur client, bien que l’option
fonctionne &agrave; tous les niveaux.
bootfile
bootfile path
pxebootfile pxebootfile
SystemArch
MajorVer
MinorVer
Bootfilename
Type Layer
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave; utiliser
dans la section fichier du paquet de
r&eacute;ponse. Cette option peut &ecirc;tre d&eacute;finie &agrave;
tous les niveaux de conteneur. La politique
bootfile d&eacute;finit comment les &eacute;l&eacute;ments
sp&eacute;cifi&eacute;s dans la section fichier du paquet
entrant se conjuguent avec les instructions
du fichier de d&eacute;marrage et du r&eacute;pertoire
personnel.
Non
Aucune
Indique le fichier de d&eacute;marrage &agrave; donner &agrave;
un PXEClient. L’analyseur du fichier de
configuration g&eacute;n&egrave;re une erreur si le
nombre de param&egrave;tres apr&egrave;s le mot–cl&eacute;
est inf&eacute;rieur &agrave; 4 et les ignore s’il est
sup&eacute;rieur &agrave; 7. Si 4 param&egrave;tres sont
indiqu&eacute;s, il suppose les valeurs Type = 0 et
Layer = 0. Ce mot–cl&eacute; ne peut &ecirc;tre utilis&eacute;
que dans un conteneur.
Pour plus d’informations sur les autres options, reportez–vous aux sections Options
connues du fichier de serveur DHCP, page 4-106 et Sous–options du conteneur fournisseur
PXE, page 4-136.
4-160
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
D&eacute;mons TCP/IP
Les d&eacute;mons (ou serveurs) sont des process qui fonctionnent en continu, en arri&egrave;re-plan,
pour ex&eacute;cuter des fonctions requises par d’autres process. TCP/IP fournit des d&eacute;mons pour
impl&eacute;menter certaines fonctions sur le syst&egrave;me. Leur ex&eacute;cution en arri&egrave;re-plan n’interrompt
pas les autres processus (&agrave; moins qu’ils en soient charg&eacute;s).
Les d&eacute;mons sont appel&eacute;s par des commandes au niveau de la gestion syst&egrave;me, par
d’autres d&eacute;mons ou scripts shell. Vous pouvez &eacute;galement les contr&ocirc;ler &agrave; l’aide du d&eacute;mon
inetd, du script shell rc.tcpip et du contr&ocirc;leur SRC (System Resource Controller).
Sous-syst&egrave;mes et sous-serveurs
Un sous-syst&egrave;me est un d&eacute;mon ou serveur contr&ocirc;l&eacute; par SRC. Un sous-serveur est un
d&eacute;mon contr&ocirc;l&eacute; par un sous-syst&egrave;me. (Les commandes et noms de d&eacute;mon sont
g&eacute;n&eacute;ralement suffix&eacute;s par un d.) Sous–syst&egrave;me et sous–serveurs sont deux cat&eacute;gories
oppos&eacute;es et incompatibles : un d&eacute;mon ne peut relever des deux cat&eacute;gories &agrave; la fois. Le
seul sous-syst&egrave;me TCP/IP qui contr&ocirc;le d’autres d&eacute;mons est inetd. Ainsi, tout sous-serveur
TCP/IP est &eacute;galement un sous-serveur inetd.
Les d&eacute;mons TCP/IP contr&ocirc;l&eacute;s par SRC sont :
Sous-syst&egrave;mes
gated
Fournit des fonctions de routage de passerelle et prend en charge les
protocoles RIP (Routing Information Protocol ), RIPng (Routing
Information Protocol Next Generation), EGP (Exterior Gateway
Protocol), BGP (Border Gateway Protocol) et BGP4+, HELLO, OSPF
(Open Shortest Path First), IS–IS (Intermediate System to Intermediate
System), ICMP et ICMPv6 (Internet Control Message Protocol /Router
Discovery). Le d&eacute;mon gated prend &eacute;galement le protocole SNMP
(Simple Network Monitoring Protocol) en charge. Le d&eacute;mon gated est
l’un des deux d&eacute;mons de routage d&eacute;di&eacute;s aux adresses de r&eacute;seau. Le
d&eacute;mon gated est pr&eacute;f&eacute;r&eacute; au d&eacute;mon routed car il admet davantage de
protocoles de passerelle.
inetd
Appelle et planifie l’ex&eacute;cution d’autres d&eacute;mons &agrave; la r&eacute;ception des
demandes de services de d&eacute;mons. Ce d&eacute;mon peut aussi en lancer
d’autres. inetd est aussi appel&eacute; “ super d&eacute;mon ”.
iptrace
Suivi des paquets au niveau interface pour les protocoles Internet.
named
Fournit la fonction d’appellation au protocole de serveur de noms
DOMAIN.
routed
G&egrave;re les tables de routage de r&eacute;seau et prend en charge le protocole
RIP (Routing Information Protocol). Le d&eacute;mon gated est pr&eacute;f&eacute;r&eacute; au
d&eacute;mon routed car il admet davantage de protocoles de passerelle.
rwhod
Diffuse des messages &agrave; l’ensemble des h&ocirc;tes, toutes les trois minutes,
et stocke l’information relative aux utilisateurs connect&eacute;s et &agrave; l’&eacute;tat du
r&eacute;seau. Utilisez rwhod avec pr&eacute;caution car il monopolise une part
importante des ressources machine.
timed
Fournit la fonction serveur horaire.
Remarque :
Les d&eacute;mons routed et gated rel&egrave;vent de la cat&eacute;gorie des sous-syst&egrave;mes
TCP/IP. N’ex&eacute;cutez pas la commande startsrc –g tcpip, qui lance ces
deux d&eacute;mons de routage avec tous les autres sous-syst&egrave;mes TCP/IP. Ces
deux d&eacute;mons lanc&eacute;s ensemble produiraient des r&eacute;sultats impr&eacute;visibles.
Protocole TCP/IP
4-161
Les d&eacute;mons TCP/IP contr&ocirc;l&eacute;s par le sous-syst&egrave;me inetd sont :
Sous-serveurs inetd
comsat
Avertit les utilisateurs de l’arriv&eacute;e d’un courrier.
fingerd
Dresse un compte rendu concernant l’&eacute;tat de tous les utilisateurs
connect&eacute;s et l’&eacute;tat du r&eacute;seau sur l’h&ocirc;te distant sp&eacute;cifi&eacute;. Ce d&eacute;mon
utilise le protocole FINGER.
ftpd
Assure le transfert des fichiers pour un processus client en appliquant
le protocole FTP (File Transfer Protocol).
rexecd
Assure la fonction de serveur h&ocirc;te &eacute;tranger, pour la commande rexec.
rlogind
Effectue la connexion &agrave; distance pour la commande rlogin.
rshd
Effectue la fonction serveur d’ex&eacute;cution des commandes &agrave; distance
pour les commandes rcp et rsh.
talkd
Apport de la fonction conversation &agrave; la commande talk.
syslogd
Lecture et consignation des messages syst&egrave;me.Ce d&eacute;mon appartient
au groupe de sous-syst&egrave;mes Remote Access Service (RAS).
telnetd
Apport de la fonction serveur au protocole TELNET.
tftpd
Assure la fonction serveur pour le protocole TFTP
(Trivial File Transfer Protocol).
uucpd
G&egrave;re les communications entre BNU et TCP/IP.
Fonction SRC
Le contr&ocirc;leur de ressources syst&egrave;me (SRC) permet, entre autres, de lancer les d&eacute;mons, les
arr&ecirc;ter et suivre leurs activit&eacute;s. De plus, SRC permet de grouper des d&eacute;mons en
sous-syst&egrave;mes et sous-serveurs.
Cet outil a &eacute;t&eacute; con&ccedil;u pour aider l’administrateur syst&egrave;me &agrave; contr&ocirc;ler les d&eacute;mons. Ce
contr&ocirc;le s’effectue au-del&agrave; des indicateurs et param&egrave;tres disponibles pour chaque
commande de d&eacute;mon.
Pour en savoir plus sur SRC, reportez-vous &agrave; la section Contr&ocirc;leur SRC dans AIX 5L
Version 5.2 System Management Concepts: Operating System and Devices.
Commandes SRC
Les commandes SRC sont applicables &agrave; un seul d&eacute;mon, &agrave; un groupe de d&eacute;mons ou &agrave; un
d&eacute;mon et &agrave; ceux qu’il contr&ocirc;le (sous-syst&egrave;me avec sous-serveurs). Par ailleurs, certains
d&eacute;mons TCP/IP ne r&eacute;pondent pas &agrave; toutes les commandes SRC. Voici la liste des
commandes SRC disponibles pour contr&ocirc;ler des d&eacute;mons TCP/IP et leurs exceptions.
4-162
startsrc
D&eacute;marre tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd,
sans exception. La commande startsrc fonctionne pour tous les
sous-syst&egrave;mes TCP/IP et sous-serveurs inetd.
stopsrc
Arr&ecirc;te tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd, sans
exception. Cette commande s’appelle &eacute;galement stop normal. La
commande stop normal permet aux sous-syst&egrave;mes de traiter tout
le travail en cours et d’y mettre fin en douceur. Pour les
sous–serveurs inetd, toutes les connexions en attente sont lanc&eacute;es
et celles en ex&eacute;cution, termin&eacute;es. La commande stop normal
fonctionne pour tous les sous-syst&egrave;mes TCP/IP et sous-serveurs
inetd.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
stopsrc –f
Arr&ecirc;te tous les sous-syst&egrave;mes TCP/IP et sous-serveurs inetd, sans
exception. Cette commande s’appelle &eacute;galement stop normal. La
commande stop force arr&ecirc;te imm&eacute;diatement tous les
sous–syst&egrave;mes. Pour les sous-serveurs inetd, toutes les
connexions en cours ou en attente sont imm&eacute;diatement termin&eacute;es.
refresh
Rafra&icirc;chit les sous–syst&egrave;mes et sous–serveurs suivants :
sous–syst&egrave;mes inetd, syslogd, named, dhcpsd et gated.
lssrc
Fournit un bref compte rendu de l’&eacute;tat du sous–syst&egrave;me sp&eacute;cifi&eacute;
(actif ou non) et des sous–serveurs inetd. Fournit un bref compte
rendu d’&eacute;tat de inetd accompagn&eacute; du nom, de l’&eacute;tat et de la
description du sous–serveur, du nom de la commande et des
arguments qui ont permis de le lancer.
lssrc –l
Fournit un bref compte rendu d’&eacute;tat accompagn&eacute; d’informations
suppl&eacute;mentaires (&eacute;tat d&eacute;taill&eacute;) sur les sous syst&egrave;mes.
gated
Etat de la mise au point ou du suivi,
protocoles de routage activ&eacute;s,
tables de routage, signaux
accept&eacute;s avec leur fonctions.
inetd
Etat de la mise au point, liste des
sous-serveurs actifs avec &eacute;tat
succinct, signaux accept&eacute;s avec
leurs fonctions.
named
Etat de la mise au point,
informations sur le fichier
named.conf.
dhcpsd
Etat de la mise au point, toutes les
adresses IP contr&ocirc;l&eacute;es et leur &eacute;tat
actuel.
routed
Etat de la mise au point et du suivi,
&eacute;tat des informations de routage
source, tables de routage.
syslogd
Donn&eacute;es de configuration de
syslogd.
La commande lssrc –l indique &eacute;galement l’&eacute;tat
d&eacute;taill&eacute; des sous–serveurs inetd. L’&eacute;tat d&eacute;taill&eacute;
comprend un compte rendu et des informations sur
la connexion active. Certains sous–serveurs
fournissent des informations suppl&eacute;mentaires. Il
s’agit de :
ftpd
Etat de la mise au point et de la
journalisation.
telnetd
Type d’&eacute;mulation de terminal.
rlogind
Etat de la mise au point.
fingerd
Etat de la mise au point et de la
journalisation.
Les sous-serveurs rwhod et timed ne fournissent
pas d’&eacute;tat d&eacute;taill&eacute;.
Protocole TCP/IP
4-163
traceson
Active la mise au point au niveau socket. Utilisez la commande trpt
pour mettre la sortie en forme. Cette commande n’est pas prise en
charge par les sous-syst&egrave;mes timed et iptraced.
tracesoff
D&eacute;sactive la mise au point au niveau socket. Utilisez la commande
trpt pour mettre la sortie en forme. Cette commande n’est pas prise
en charge par les sous-syst&egrave;mes timed et iptraced.
Pour des exemples d’utilisation, reportez-vous &agrave; la description de la commande qui vous
int&eacute;resse. Pour en savoir plus sur SRC, reportez-vous &agrave; la section Contr&ocirc;leur SRC dans
AIX 5L Version 5.2 System Management Concepts: Operating System and Devices .
Configuration du d&eacute;mon inetd
Pour configurer le d&eacute;mon inetd :
1. D&eacute;finissez les sous-serveurs que le d&eacute;mon doit appeler en ajoutant un sous-serveur
inetd.
2. D&eacute;finissez ses caract&eacute;ristiques de relance, en modifiant les caract&eacute;ristiques de relance
du d&eacute;mon inetd.
Configuration des t&acirc;ches du d&eacute;mon inetd
T&acirc;che
Raccourci SMIT
Commande ou fichier
Web-based System
Manager Management
Environment
D&eacute;marrage du
d&eacute;mon inetd
smit mkinetd
startsrc –s inetd
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
Cliquez avec le bouton
droit de la souris sur un
sous–syst&egrave;me inactif,
puis s&eacute;lectionnez
Activate.
Modification des
smit chinetd ou
caract&eacute;ristiques de smit lsinetd
relance du d&eacute;mon
inetd
4-164
Arr&ecirc;t du d&eacute;mon
inetd
smit rminetd
Liste des
sous–serveurs
inetd
smit inetdconf
Ajout d’un
sous-serveur
inetd1
smit
mkinetdconf
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Properties.
stopsrc –s inetd
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
Cliquez avec le bouton
droit de la souris sur un
sous–syst&egrave;me actif,
puis s&eacute;lectionnez ––&gt;
Deactivate.
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems.
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Subsystems
(menu d&eacute;roulant) ––&gt;
New inetd Subserver.
Modification/Affich
age des
caract&eacute;ristiques
d’un sous–serveur
inetd
smit inetdconf
Suppression d’un
smit rminetd
sous-serveur inetd
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Properties.
modifiez /etc/inetd.conf
puis ex&eacute;cutez refresh
–s inetd
ou tuez –1 inetdPID2
Software ––&gt; Network
––&gt; TCPIP (IPv4 and
IPv6) ––&gt; Subsystems
––&gt; Selected ––&gt;
Deactivate.
Remarques :
1. Ajouter un sous-serveur inetd revient &agrave; configurer le d&eacute;mon inetd pour qu’il puisse
appeler le sous-serveur lorsque n&eacute;cessaire.
2. La commande refresh ou kill signale au d&eacute;mon inetd les modifications apport&eacute;es &agrave; son
fichier de configuration.
Services r&eacute;seau client
Les services r&eacute;seau client (accessibles via le raccourci Web-based System Manager wsm
ou via le raccourci smit clientnet) sont les protocoles TCP/IP applicables sous ce syst&egrave;me
d’exploitation. Chaque protocole ou service est identifi&eacute; par le num&eacute;ro de port qu’il utilise
sur le r&eacute;seau, d’o&ugrave; l’expression port connu. Par commodit&eacute;, ces num&eacute;ros de port peuvent
&ecirc;tre associ&eacute;s &agrave; des noms ou num&eacute;ros. Par exemple, le protocole de messagerie TCP/IP qui
utilise le port 25 est connu sous le nom smtp. Si un protocole est d&eacute;clar&eacute; (pas de marque
de commentaire) dans le fichier /etc/services, il peut &ecirc;tre utilis&eacute; par un h&ocirc;te.
Par d&eacute;faut, tous les protocoles TCP/IP sont d&eacute;finis dans ce fichier /etc/services. Vous
n’avez donc pas besoin de configurer ce fichier. Cependant, si vous avez &eacute;crit vos propres
programmes client/serveur, vous pouvez &ecirc;tre amen&eacute; &agrave; les d&eacute;clarer dans le fichier
/etc/services et &agrave; leur r&eacute;server un nom et un num&eacute;ro de port. Si vous d&eacute;cidez d’ajouter un
service &agrave; /etc/services, notez que les ports 0 &agrave; 1024 sont r&eacute;serv&eacute;s au syst&egrave;me.
T&acirc;ches des services r&eacute;seau client
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web-based System
Manager
Management
Environment
Liste des services
disponibles
smit lsservices
Affichez
/etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
Ajout d’un service
smit mkservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services ––&gt; New
Service.
Protocole TCP/IP
4-165
Modification/
affichage des
caract&eacute;ristiques d’un
service
smit chservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
S&eacute;lectionnez un
service, puis cliquez
sur Selected ––&gt;
Properties.
Suppression d’un
service
smit rmservices
Editez /etc/services
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Services.
S&eacute;lectionnez un
service, puis cliquez
sur Selected ––&gt;
Delete.
Services r&eacute;seau serveur
Les services r&eacute;seau serveur se composent du contr&ocirc;le de l’acc&egrave;s distant, du d&eacute;marrage ou
de l’arr&ecirc;t de TCP/IP, et de la gestion du pilote d’unit&eacute; pty, comme indiqu&eacute; dans le tableau
suivant.
Le pilote d’unit&eacute; pty est install&eacute; automatiquement avec le syst&egrave;me. Par d&eacute;faut, ce pilote,
configur&eacute; pour des liaisons symboliques 16 BSD, est disponible d&egrave;s l’amor&ccedil;age.
T&acirc;ches des services r&eacute;seau serveur
4-166
T&acirc;che
Raccourci SMIT
Contr&ocirc;le d’acc&egrave;s &agrave;
distance
Reportez–vous &agrave; ”Ex&eacute;cution de
commandes &agrave; distance et
”Restrictions d’acc&egrave;s FTP”.
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Access Control.
Cliquez avec le
bouton droit de la
souris sur Remote
Access, puis
s&eacute;lectionnez
Properties.
D&eacute;marrage,
red&eacute;marrage ou
arr&ecirc;t des
sous-syst&egrave;mes
TCP/IP
smit otherserv
Reportez–vous &agrave;
System Resource
Control (SRC)
page 4-162.
Software ––&gt;
Network ––&gt; TCPIP
(IPv4 and IPv6) ––&gt;
Subsystems.
Cliquez avec le
bouton droit de la
souris sur un
sous–syst&egrave;me, puis
s&eacute;lectionnez
Properties.
Modification/affichag
e des
caract&eacute;ristiques du
pilote d’unit&eacute; pty
smit chgpty
chdev –l pty0 –P –a
num= X
X &eacute;tant une valeur
comprise entre 0
et 64
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Commande ou
fichier
Web-based System
Manager
Management
Environment
D&eacute;sactivation du
pilote d’unit&eacute; pty
smit pty puis
s&eacute;lectionnez
Retrait du PTY ;
conserver
d&eacute;finition
Activation du pilote
d’unit&eacute; pty
smit pty puis
s&eacute;lectionnez
Configuration du
PTY d&eacute;fini
G&eacute;n&eacute;ration d’un
compte rendu
d’erreur
smit errpt
Suivi de pty
smit trace
Protocole TCP/IP
4-167
Routage TCP/IP
Cette section traite des points suivants :
• Routage statique ou dynamique page 4-168
• Passerelles page 4-169
• Planification des passerelles page 4-171
• Configuration d’une passerelle page 4-172
• Restriction de l’utilisation de route page 4-174
• D&eacute;tection des passerelles non op&eacute;rationnelles page 4-174
• Clonage de route page 4-175
• Suppression manuelle de routes dynamiques page 4-175
• Configuration du d&eacute;mon routed page 4-175
• Obtention d’un num&eacute;ro de syst&egrave;me autonome page 4-179
Une route indique l’itin&eacute;raire des paquets &agrave; travers le r&eacute;seau Internet. Elle ne d&eacute;finit pas le
parcours complet, mais seulement le segment entre un h&ocirc;te et une passerelle vers la
destination (ou une autre passerelle). Il existe trois types de route :
route h&ocirc;te
Passerelle capable d’envoyer les paquets vers un h&ocirc;te ou une
passerelle d’un autre r&eacute;seau.
route r&eacute;seau
Passerelle capable d’envoyer les paquets vers n’importe quel
h&ocirc;te d’un r&eacute;seau sp&eacute;cifique.
route par d&eacute;faut
Passerelle utilisable lorsqu’aucune route h&ocirc;te ou r&eacute;seau n’est
d&eacute;finie.
Les routes sont d&eacute;finies dans la table de routage du noyau. Chaque d&eacute;finition donne des
informations sur les r&eacute;seaux accessibles &agrave; partir de l’h&ocirc;te local et sur les passerelles
disponibles pour atteindre les r&eacute;seaux distants. A r&eacute;ception d’un datagramme, la passerelle
recherche dans la table de routage l’&eacute;tape suivante du parcours.
A partir de Aix 5.1, vous pouvez ajouter plusieurs routes dans la table de routage du noyau
pour indiquer la m&ecirc;me destination. La recherche d’un routage &eacute;value toutes les routes qui
correspondent &agrave; la demande, puis choisit la route ayant la distance m&eacute;trique la plus courte.
Si la recherche trouve plusieurs routes de m&ecirc;me distance, elle choisit la route plus
ad&eacute;quate. Si les deux crit&egrave;res sont &eacute;quivalents pour plusieurs routes, la recherche se
concentre sur les crit&egrave;res alternatifs des routes correspondantes.
Routage statique ou dynamique
TCP/IP propose deux types de routage : statique ou dynamique. Avec le routage statique, la
table de routage est g&eacute;r&eacute;e manuellement &agrave; l’aide d’une commande de routage. Le routage
statique est conseill&eacute; lorsqu’un r&eacute;seau communique avec un ou plusieurs r&eacute;seaux.
Toutefois, si ce type de routage est pratique lorsque la communication se limite &agrave; deux ou
trois r&eacute;seaux, il devient fastidieux sur une plus grande &eacute;chelle, avec la multiplication du
nombre de passerelles.
Avec le routage dynamique, ce sont les d&eacute;mons qui mettent &agrave; jour la table de routage
automatiquement. Les d&eacute;mons de routage re&ccedil;oivent en permanence les informations
&eacute;mises par d’autres d&eacute;mons de routage, et mettent syst&eacute;matiquement &agrave; jour la table de
routage en cons&eacute;quence.
TCP/IP propose deux d&eacute;mons de routage dynamique : routed et gated. Le d&eacute;mon gated
g&egrave;re les protocoles RIP (Routing Information Protocol), RIPng (Routing Information Protocol
Next Generation), EGP (Exterior Gateway Protocol), BGP (Border Gateway Protocol) et
BGP4+, HELLO (Defense Communications Network Local–Network Protocol), OSPF
4-168
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
(Open Shortest Path First), IS–IS (Intermediate System to Intermediate System), ainsi que
ICMP et ICMPv6 (Internet Control Message Protocol) / Router Discovery simultan&eacute;ment. Le
d&eacute;mon gated prend &eacute;galement le protocole SNMP (Simple Network Monitoring Protocol) en
charge. Le d&eacute;mon routed n’admet que le protocole RIP.
Les d&eacute;mons de routage peuvent fonctionner en mode passif ou actif (selon l’option d&eacute;finie &agrave;
leur lancement). En mode actif, ils diffusent p&eacute;riodiquement des informations de routage sur
leur r&eacute;seau local aux passerelles et aux h&ocirc;tes, et en re&ccedil;oivent d’eux. En mode passif, ils se
limitent &agrave; recevoir les informations et ne tiennent pas &agrave; jour les passerelles distantes.
Ces deux types de routage sont applicables aux passerelles mais aussi &agrave; d’autres h&ocirc;tes
d’un r&eacute;seau. Les travaux de routage statique fonctionnent de la m&ecirc;me fa&ccedil;on pour les
passerelles que pour les autres h&ocirc;tes. Les d&eacute;mons de routage dynamique, toutefois,
doivent &ecirc;tre ex&eacute;cut&eacute;s en mode passif (quiet) sur les h&ocirc;tes qui ne sont pas des passerelles.
Passerelles
Les passerelles sont des types de routeur. Les routeurs interconnectent des r&eacute;seaux et
assurent la fonction de routage. Certains routeurs op&egrave;rent le routage au niveau de
l’interface de r&eacute;seau ou de la couche physique.
Les passerelles, quant &agrave; elles, assurent le routage au niveau de la couche r&eacute;seau. Elles
re&ccedil;oivent les datagrammes IP des autres passerelles ou h&ocirc;tes, les transmettent aux h&ocirc;tes
du r&eacute;seau local et acheminent les datagrammes IP d’un r&eacute;seau &agrave; l’autre. Par exemple, une
passerelle reliant deux r&eacute;seaux en anneau &agrave; jeton est &eacute;quip&eacute;e de deux cartes de r&eacute;seau en
anneau &agrave; jeton dot&eacute;e chacune de sa propre interface de r&eacute;seau en anneau &agrave; jeton. Pour la
transmission des informations, la passerelle re&ccedil;oit les datagrammes via une interface de
r&eacute;seau et les envoie par l’autre. Les passerelles contr&ocirc;lent p&eacute;riodiquement leurs
connexions r&eacute;seau &agrave; partir de messages d’&eacute;tat sur les interfaces.
Pour l’aiguillage des paquets, les passerelles se fondent sur le r&eacute;seau de destination et non
sur l’h&ocirc;te de destination. Ainsi, elles n’ont pas &agrave; garder trace des diverses destinations h&ocirc;te
possibles d’un paquet. Au lieu de cela, elles acheminent les paquets en fonction du r&eacute;seau
de l’h&ocirc;te de destination. C’est le r&eacute;seau de destination qui se charge ensuite d’envoyer les
paquets &agrave; l’h&ocirc;te de destination. G&eacute;n&eacute;ralement, une passerelle ne requiert qu’une capacit&eacute;
limit&eacute;e de stockage disque (&eacute;ventuellement) et de m&eacute;moire centrale.
La distance &agrave; parcourir entre l’h&ocirc;te &eacute;metteur et l’h&ocirc;te destinataire d&eacute;pend du n &agrave; traverser
(sauts de passerelles &agrave; traverser). 0 si la passerelle est rattach&eacute;e directement au r&eacute;seau, 1
si le r&eacute;seau est accessible via une passerelle, etc. La distance d’un message s’exprime
g&eacute;n&eacute;ralement en nombre de passerelles, ou nombre de bonds (ou distance m&eacute;trique).
Passerelles int&eacute;rieures et ext&eacute;rieures
Les passerelles int&eacute;rieures font partie du m&ecirc;me syst&egrave;me autonome. Elles communiquent
entre elles &agrave; l’aide des protocoles RIP (Routing Information Protocol), RIPng (Routing
Information Protocol Next Generation), Intermediate System to Intermediate System, OSPF
(Open Shortest Path First protocol) ou du protocole HELLO. Les passerelles ext&eacute;rieures
appartiennent &agrave; des syst&egrave;mes autonomes distincts. Elles utilisent les protocoles EGP
(Exterior Gateway Protocol), BGP (Border Gateway Protocol) ou BGP4+.
Prenons l’exemple de deux syst&egrave;mes autonomes. Le premier correspond &agrave; tous les
r&eacute;seaux administr&eacute;s par la soci&eacute;t&eacute; Widget. Le second correspond &agrave; tous les r&eacute;seaux
administr&eacute;s par la soci&eacute;t&eacute; Gadget. La soci&eacute;t&eacute; Widget poss&egrave;de une machine pomme, qui est
la passerelle de Widget pour Internet. La soci&eacute;t&eacute; Gadget poss&egrave;de une machine orange, qui
est la passerelle de Gadget pour Internet. Les deux soci&eacute;t&eacute;s poss&egrave;dent plusieurs r&eacute;seaux
distincts en interne. Les passerelles reliant les r&eacute;seaux internes sont des passerelles
int&eacute;rieures. Mais les passerelles pomme et orange sont ext&eacute;rieures.
Chaque passerelle ext&eacute;rieure ne communique pas avec toutes les autres passerelles
ext&eacute;rieures. En fait, la passerelle ext&eacute;rieure acquiert un ensemble de passerelles
limitrophes (les autres passerelles ext&eacute;rieures) avec lesquelles elle communique. Ces
passerelles limitrophes ne sont pas d&eacute;finies par une proximit&eacute; g&eacute;ographique, mais plut&ocirc;t
par les communications qui s’&eacute;tablissent entre elles. Les passerelles limitrophes, &agrave; leur tour,
Protocole TCP/IP
4-169
poss&egrave;dent d’autres passerelles limitrophes ext&eacute;rieures. Ainsi, les tables de routage des
passerelles ext&eacute;rieures sont mises &agrave; jour et les informations de routage sont diffus&eacute;es vers
l’ensemble des passerelles ext&eacute;rieures.
Les informations de routage sont exp&eacute;di&eacute;es avec les coordonn&eacute;es (R,D), R &eacute;tant le r&eacute;seau
cible et D la distance &agrave; parcourir (et donc le co&ucirc;t correspondant) pour l’atteindre. Chaque
passerelle indique les r&eacute;seaux qui lui sont accessibles et le co&ucirc;t de leur acc&egrave;s. La
passerelle r&eacute;ceptrice d&eacute;termine les chemins les plus courts et les indique aux passerelles
limitrophes. Ainsi, chaque passerelle ext&eacute;rieure re&ccedil;oit en continu des informations (et met
alors &agrave; jour ses tables de routage) qu’elle retransmet aux passerelles limitrophes.
Protocoles de passerelle
Toute passerelle, interne ou externe, communique avec les autres via des protocoles. Voici
une pr&eacute;sentation succincte des protocoles de passerelle TCP/IP courants :
Protocole HELLO
Le protocole HELLO est utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. HELLO est charg&eacute; de calculer le chemin d’acc&egrave;s
le plus court (en dur&eacute;e) aux autres r&eacute;seaux.
RIP (Routing Information Protocol )
Le protocole RIP est &eacute;galement utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. Comme le protocole HELLO, RIP calcule le
chemin d’acc&egrave;s le plus court aux autres r&eacute;seaux. A la diff&eacute;rence de HELLO
cependant, RIP calcule la distance en nombre de sauts, et non en dur&eacute;e.
Comme le d&eacute;mon gated enregistre toutes les distances m&eacute;triques en
interne en tant que dur&eacute;e, il convertit les nombres de sauts calcul&eacute;s par
RIP en dur&eacute;e.
Routing Information Protocol Next Generation
RIPng est le protocole RIP &eacute;tendu qui permet de g&eacute;rer IPv6.
OSPF (Open Shortest Path First)
Le protocole OPSF est utilis&eacute; par les passerelles int&eacute;rieures pour
communiquer entre elles. Ce protocole de communication est plus
appropri&eacute; que RIP pour les r&eacute;seaux complexes comprenant plusieurs
routeurs. Il fournit un routage multi–itin&eacute;raire au m&ecirc;me co&ucirc;t.
EGP (Exterior Gateway Protocol)
Les passerelles ext&eacute;rieures utilisent ce protocole pour communiquer entre
elles. Le protocole EGP ne calcule par le plus court chemin vers les autres
r&eacute;seaux. Il indique simplement si un r&eacute;seau particulier est accessible ou
non.
Border Gateway Protocol (BGP)
Les passerelles ext&eacute;rieures utilisent ce protocole pour communiquer entre
elles. Ce protocole permet l’&eacute;change d’informations d’accessibilit&eacute; entre
des syst&egrave;mes autonomes, mais il fournit davantage de fonctions que le
protocole EGP. BGP utilise les attributs de chemin pour fournir des
informations suppl&eacute;mentaires sur chaque route afin de s&eacute;lectionner la plus
appropri&eacute;e.
Border Gateway Protocol 4+
BGP4+ est le protocole BGP version 4, qui g&egrave;re IPv6 et propose d’autres
fonctions &eacute;tendues par rapport aux versions pr&eacute;c&eacute;dentes.
IS–IS (Intermediate System to Intermediate System)
Les passerelles int&eacute;rieures utilisent le protocole IS–IS pour communiquer
entre elles. Ce protocole de communication permet de router des paquets
IP et ISO/CLNP et, comme OSPF, il utilise un algorithme de d&eacute;tection du
chemin le plus court pour d&eacute;terminer les routes les plus rapides.
4-170
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Planification des passerelles
Avant de configurer les passerelles de votre r&eacute;seau, vous devez :
1. Evaluez le nombre de passerelles &agrave; utiliser
(reportez–vous &agrave; Evaluation du nombre de passerelles &agrave; utiliser).
2. D&eacute;terminez le type de routage &agrave; utiliser
(reportez–vous &agrave; D&eacute;termination du type de routage &agrave; utiliser).
Nombre de passerelles
Le nombre de passerelles n&eacute;cessaires d&eacute;pend :
• du nombre de r&eacute;seaux &agrave; connecter,
• du type de connexion des r&eacute;seaux,
• du niveau d’activit&eacute; des r&eacute;seaux connect&eacute;s.
Par exemple, si les utilisateurs des r&eacute;seau 1, r&eacute;seau 2 et r&eacute;seau 3 doivent tous
communiquer ensembles (comme le montre la figure Exemple de configuration de
passerelle).
Figure 25. Configuration de passerelle simple Cette illustration contient trois nuages
r&eacute;seau un, deux et trois. Les r&eacute;seaux un et deux sont connect&eacute;s avec la passerelle A.
Les r&eacute;seaux deux et trois sont connect&eacute;s avec la passerelle B.
passerelle A
r&eacute;seau 1
passerelle B
r&eacute;seau 2
r&eacute;seau 3
Pour relier le r&eacute;seau 1 directement au r&eacute;seau 2, vous devez utiliser une premi&egrave;re passerelle
(passerelle A). Pour relier le r&eacute;seau 2 directement au r&eacute;seau 3, vous devez utiliser une
autre passerelle (passerelle B). Supposons maintenant que les routes appropri&eacute;es sont
d&eacute;termin&eacute;es et que tous les utilisateurs des trois r&eacute;seaux parviennent &agrave; communiquer.
Cependant, si le r&eacute;seau 2 est tr&egrave;s occup&eacute;, les communications entre le r&eacute;seau 1 et le
r&eacute;seau 3 peuvent s’en trouver ralenties. De plus, si la communication entre ces deux
r&eacute;seaux est la plus importante, il peut &ecirc;tre utile de les connecter directement. Pour ce faire,
vous devez ajouter deux passerelles suppl&eacute;mentaires, une sur le r&eacute;seau 1 (passerelle C),
l’autre sur le r&eacute;seau 3 (passerelle D), reli&eacute;es par une connexion directe. Cette solution n’est
peut–&ecirc;tre pas suffisante, une passerelle pouvant raccorder plus de deux r&eacute;seaux.
Un moyen plus efficace peut consister &agrave; connecter directement la passerelle A &agrave; la
passerelle B et au r&eacute;seau 2, ce qui suppose d’&eacute;quiper A et B d’une seconde carte r&eacute;seau.
En r&egrave;gle g&eacute;n&eacute;rale, le nombre de connexions r&eacute;seau assur&eacute; par une passerelle est limit&eacute; au
nombre de cartes r&eacute;seau qu’elle peut prendre en charge.
Type de routage
Si votre r&eacute;seau est limit&eacute; et sa configuration relativement fixe, le routage statique est une
solution satisfaisante. En revanche, si votre r&eacute;seau est &eacute;tendu et sa configuration tr&egrave;s
variable, il est pr&eacute;f&eacute;rable d’opter pour un routage dynamique. Une solution interm&eacute;diaire
peut &eacute;galement &ecirc;tre envisag&eacute;e en panachant les routages statique et dynamique. Par
exemple, il est possible de d&eacute;finir statiquement certaines routes et d’autoriser la mise &agrave; jour
d’autres routes par les d&eacute;mons. Les routes statiques cr&eacute;&eacute;es ne sont ni notifi&eacute;es aux autres
passerelles ni mises &agrave; jour par les d&eacute;mons de routage.
Protocole TCP/IP
4-171
Routage dynamique
D&eacute;terminez le d&eacute;mon de routage &agrave; utiliser en fonction du type de passerelle n&eacute;cessaire et
des protocoles qu’elle peut prendre en charge. S’il s’agit d’une passerelle int&eacute;rieure et
qu’elle ne requiert que le protocole RIP, optez pour le d&eacute;mon routed. Sinon, utilisez gated.
Remarque :
Vous risquez d’obtenir des r&eacute;sultats impr&eacute;visibles si les d&eacute;mons gated et
routed sont ex&eacute;cut&eacute;s sur le m&ecirc;me h&ocirc;te simultan&eacute;ment.
Configuration d’une passerelle
Pour d&eacute;finir une machine comme passerelle, proc&eacute;dez comme suit. Dans un souci de
clart&eacute;, on suppose que la passerelle doit &ecirc;tre connect&eacute;e &agrave; deux r&eacute;seaux et qu’elle a d&eacute;j&agrave;
fait l’objet d’une configuration minimale sur un des deux r&eacute;seaux.
1. Installez et configurez la deuxi&egrave;me carte de r&eacute;seau, si ce n’est d&eacute;j&agrave; fait. (Reportez–vous
&agrave; Installation d’une carte r&eacute;seau, page 4-36 et &agrave; Configuration et gestion des cartes,
page 4-37.)
2. Choisissez une adresse IP pour la seconde interface de r&eacute;seau et configurez l’interface
comme indiqu&eacute; &agrave; Configuration d’une interface de r&eacute;seau, page 4-53.
3. Ajoutez une route d’acc&egrave;s au second r&eacute;seau.
4. Pour utiliser une machine comme routeur interr&eacute;seau sur les r&eacute;seaux TCP/IP, entrez :
no –o ipforwarding=1
5. La passerelle peut d&eacute;sormais acc&eacute;der aux deux r&eacute;seaux directement raccord&eacute;s.
a. Pour que le routage statique serve &agrave; communiquer avec des h&ocirc;tes et r&eacute;seaux en
dehors de ces deux r&eacute;seaux, ajoutez les routes n&eacute;cessaires.
b. Pour le routage dynamique, proc&eacute;dez comme indiqu&eacute; dans Configuration du d&eacute;mon
routed, page 4-175 ou dans 1Configuration du d&eacute;mon gated, page 4-175. Si votre
interr&eacute;seau doit rejoindre le r&eacute;seau Internet, suivez les instructions de la section
Obtention d’un num&eacute;ro de syst&egrave;me autonome, page 4-179.
Configuration d’une passerelle
T&acirc;che
Raccourci SMIT
Affichage du
smit lsroute
tableau de routage
4-172
Commande ou
fichier
Web-based System Manager
Management Environment
netstat –rn1
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Static Routes
––&gt; Statistics.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Ajout d’une route
statique
smit mkroute
route ajout&eacute;e
destination
passerelle2
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Static Routes.
Compl&eacute;tez les informations dans
Add/Change a static route
(ajout/modification d’une route
statique) : Destination Type
(type de destination), Gateway
address (adresse de la
passerelle), Network interface
name (menu d&eacute;roulant de
l’interface de r&eacute;seau), Subnet
mask (masque de
sous–r&eacute;seau), Metric (co&ucirc;t de
la distance m&eacute;trique) et
Enable active dead gateway
detection (activer la d&eacute;tection
des passerelles non
op&eacute;rationnelles). Cliquez sur
Add/Change Route
(ajout/modification d’une route).
Suppression d’une smit rmroute
route statique
route supprim&eacute;e
destination
passerelle2
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Static Routes.
S&eacute;lectionnez une route, puis
cliquez sur Delete Route
(supprimer la route).
Vidage de la table
de routage
vidage de la
route
Software ––&gt; Network ––&gt;
TCPIP (IPv4 and IPv6) ––&gt;
TCPIP Protocol Configuration
––&gt; TCP/IP ––&gt; Configure
TCP/IP ––&gt; Advanced
Methods ––&gt; Static Routes
––&gt; Delete All.
smit fshrttbl
Remarques :
1. La table est divis&eacute;e en colonnes, o&ugrave; sont r&eacute;pertori&eacute;s l’adresse de destination, l’adresse
de passerelle, les indicateurs, le nombre de sauts et l’interface de r&eacute;seau. Pour la
description de ces colonnes, reportez-vous &agrave; la commande netstat dans le manuel AIX
5L Version 5.2 Commands Reference. En cas d’&eacute;chec de livraison de trames, si les
tables de routage sont correctes, un ou plusieurs des &eacute;v&eacute;nements ci-dessous sont
probablement en cause :
– r&eacute;seau d&eacute;faillant,
– passerelle ou h&ocirc;te distant d&eacute;faillant,
– passerelle ou h&ocirc;te distant en panne, ou non disponible pour r&eacute;ceptionner des trames,
– h&ocirc;te distant ne disposant pas de route retour au r&eacute;seau source.
2. destination repr&eacute;sente l’adresse ou le nom symbolique de l’h&ocirc;te ou r&eacute;seau de
destination et passerelle, l’adresse ou le nom symbolique de la passerelle.
(Une route implicite a 0 comme valeur de destination.)
Protocole TCP/IP
4-173
S&eacute;curit&eacute; des routes
Les routes peuvent &ecirc;tre s&eacute;curis&eacute;es en limitant leur acc&egrave;s &agrave; certains utilisateurs. Les
restrictions d’acc&egrave;s sont bas&eacute;es sur les ID de groupe primaire des utilisateurs. Avec la
commande route, vous pouvez &eacute;tablir une liste de 32 ID groupe maximum et les autoriser
ou non &agrave; utiliser une route. Si la liste contient des groupes autoris&eacute;s, n’importe quel
utilisateur de n’importe quel groupe a acc&egrave;s &agrave; la route. Si au contraire, la liste est form&eacute;e de
groupes non autoris&eacute;s, seuls les utilisateurs n’appartenant pas aux groupes de la liste ont
acc&egrave;s &agrave; la route. L’utilisateur racine a acc&egrave;s &agrave; toutes les routes.
En outre, les groupes peuvent &ecirc;tre associ&eacute;s &agrave; une interface via la commande ifconfig.
Dans ce cas, tout paquet &agrave; exp&eacute;dier peut utiliser n’importe quelle route dont l’acc&egrave;s est
autoris&eacute; aux groupes associ&eacute;s &agrave; son interface en entr&eacute;e.
Si plusieurs routes ont la m&ecirc;me destination, les r&eacute;ceptions de r&eacute;acheminement ICMP pour
cette destination sont ignor&eacute;s et la recherche de MTU d’acc&egrave;s n’est pas effectu&eacute;e sur ces
routes.
D&eacute;tection des passerelles non op&eacute;rationnelles
A partir d’AIX 5.1 et des versions ult&eacute;rieures, vous pouvez configurer un h&ocirc;te pour qu’il
d&eacute;tecte si une passerelle est d&eacute;sactiv&eacute;e et pour qu’il modifie la table de routage en fonction
des situations. Lorsque l’option de r&eacute;seau –passive_dgd est d&eacute;finie sur 1, la d&eacute;tection
passive des passerelles non op&eacute;rationnelles est activ&eacute;e pour l’ensemble du syst&egrave;me. Si les
demandes ARP cons&eacute;cutives pour dgd_packets_lost n’obtiennent pas de r&eacute;ponse, cette
passerelle est consid&eacute;r&eacute;e non op&eacute;rationnelle et le syst&egrave;me attribue aux distances m&eacute;triques
(&eacute;galement nomm&eacute;es nombre de bonds ou co&ucirc;t) de toutes les routes empruntant cette
passerelle les valeurs les plus &eacute;lev&eacute;es possibles. Apr&egrave;s un d&eacute;passement de temps
(minutes) associ&eacute; &agrave; dgd_retry_time, les co&ucirc;ts des routes sont restaur&eacute;s sur la base des
valeurs d&eacute;finies par l’utilisateur. L’h&ocirc;te est &eacute;galement impliqu&eacute; dans l’&eacute;chec des connexions
TCP. Si les paquets TCP cons&eacute;cutifs dgd_packets_lost sont perdus, l’entr&eacute;e ARP de la
passerelle est supprim&eacute;e et la connexion TCP tente la route suivante la plus appropri&eacute;e. Si
la passerelle est effectivement non op&eacute;rationnelle, &agrave; l’utilisation suivante de la passerelle,
les actions cit&eacute;es ci–dessus se reproduisent. Les param&egrave;tres passive_dgd,
dgd_packets_lost, and dgd_retry_time peuvent tous &ecirc;tre configur&eacute;s &agrave; l’aide de la
commande no.
Vous pouvez &eacute;galement configurer les h&ocirc;tes pour qu’ils appliquent la d&eacute;tection des
passerelles non op&eacute;rationnelles selon la route &agrave; l’aide de l’indicateur –active_dgd de la
commande route. La d&eacute;tection des passerelles non op&eacute;rationnelles ex&eacute;cute un ping sur
toutes les passerelles utilis&eacute;es par les routes associ&eacute;es &agrave; la d&eacute;tection selon l’intervalle en
seconde li&eacute; au param&egrave;tre dgd_ping_time. Si la passerelle ne donne pas de r&eacute;ponse,
l’ex&eacute;cution du ping est r&eacute;p&eacute;t&eacute;e plus rapidement en fonction de la valeur associ&eacute;e &agrave;
dgd_packets_lost. Si la passerelle ne donne toujours pas de r&eacute;ponse, le syst&egrave;me
augmente tous les co&ucirc;ts des routes qui utilisent cette passerelle. La passerelle poursuit
l’ex&eacute;cution du ping et lorsque la r&eacute;ponse arrive, les co&ucirc;ts des routes sont restaur&eacute;s sur la
base des valeurs d&eacute;finies par l’utilisateur. Le param&egrave;tre dgd_ping_time peut &ecirc;tre configur&eacute;
&agrave; l’aide de la commande no.
Normalement, la d&eacute;tection des passerelles non op&eacute;rationnelles est plus utile pour les h&ocirc;tes
avec un routage statique qu’avec un routage dynamique. La d&eacute;tection des passerelles non
op&eacute;rationnelles comporte une charge r&eacute;duite et elle est conseill&eacute;e pour les r&eacute;seaux ayant
des passerelles redondantes. Toutefois, la d&eacute;tection des passerelles non op&eacute;rationnelles
est appliqu&eacute;e uniquement dans l’optique d’offrir le meilleur service possible. Certains
protocoles, tels que UDP, ne fournissent aucun retour d’informations &agrave; l’h&ocirc;te en cas d’&eacute;chec
de la transmission des donn&eacute;es ; dans de telles circonstances, la d&eacute;tection des passerelles
non op&eacute;rationnelles ne peut prendre aucune mesure.
4-174
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
La d&eacute;tection des passerelles non op&eacute;rationnelles est plus utile lorsqu’un h&ocirc;te doit d&eacute;couvrir
imm&eacute;diatement l’arr&ecirc;t d’une passerelle. Toutefois, du fait des requ&ecirc;tes r&eacute;p&eacute;t&eacute;es vers les
passerelles d&eacute;finies, elle implique une certaine charge sur le r&eacute;seau. La d&eacute;tection des
passerelles non op&eacute;rationnelles est recommand&eacute;e uniquement pour les h&ocirc;tes qui
fournissent des services vitaux et les r&eacute;seaux ayant un nombre limit&eacute; d’h&ocirc;tes.
Remarque :
La d&eacute;tection des passerelles non op&eacute;rationnelles et les protocoles de
routage utilis&eacute;s par les d&eacute;mons gated et routed ex&eacute;cutent une fonction
similaire en d&eacute;tectant des modifications de la configuration du r&eacute;seau et en
ajustant la table de routage. Toutefois, ils utilisent des m&eacute;canismes
diff&eacute;rents et s’ils sont ex&eacute;cut&eacute;s en m&ecirc;me temps, ils peuvent entrer en conflit
l’un avec l’autre. Pour cette raison, la d&eacute;tection des passerelles non
op&eacute;rationnelles ne doit pas &ecirc;tre utilis&eacute;e sur les syst&egrave;mes ex&eacute;cutant les
d&eacute;mons gated ou routed.
Clonage de route
Le clonage de route permet de cr&eacute;er une route h&ocirc;te pour tous les h&ocirc;tes avec lesquels un
syst&egrave;me communique. Lorsque vous &ecirc;tes sur le point d’envoyer du trafic sur le r&eacute;seau, une
recherche est effectu&eacute;e dans la table de routage pour trouver une route jusqu’&agrave; l’h&ocirc;te. Si
une route sp&eacute;cifique est trouv&eacute;e jusqu’&agrave; l’h&ocirc;te, elle est utilis&eacute;e. Dans le cas contraire, une
route r&eacute;seau ou la route par d&eacute;faut peut &ecirc;tre trouv&eacute;e. Si l’indicateur de clonage ’c’ est d&eacute;fini
pour la route, une route h&ocirc;te pour la destination est cr&eacute;&eacute;e &agrave; l’aide de la passerelle de la
route clon&eacute;e. Les recherches suivantes effectu&eacute;es sur la table de routage trouvent la route
h&ocirc;te clon&eacute;e. Les routes clon&eacute;es sont associ&eacute;es &agrave; l’indicateur ’W’. Ces routes expirent et
sont supprim&eacute;es de la table de routage si elles restent inutilis&eacute;es pendant route_expire
minutes. Vous pouvez modifier route_expire &agrave; l’aide de la commande no .
La fonction de clonage de route est utilis&eacute;e principalement par le protocole de d&eacute;tection
MTU de chemin dans AIX afin de lui permettre de suivre les informations MTU de chemin
pour chaque destination avec laquelle il communique. Si les options de r&eacute;seau
tcp_pmtu_discover ou udp_pmtu_discover (qui peuvent &ecirc;tre d&eacute;finies avec la commande
no ) sont &eacute;gales &agrave; 1, l’indicateur de clonage est activ&eacute; pour toutes les routes r&eacute;seau du
syst&egrave;me. Dans AIX 4.3.3 et les versions ult&eacute;rieures, la d&eacute;tection MTU de chemin est activ&eacute;e
par d&eacute;faut.
Suppression manuelle de routes dynamiques
Si le d&eacute;mon routed est actif, aucune route supprim&eacute;e manuellement n’est remplac&eacute;e par
les informations RIP entrantes (du fait des contr&ocirc;les d’E/S). Si vous utilisez le d&eacute;mon gated
sans l’indicateur –n, la route supprim&eacute;e manuellement est remplac&eacute;e par celle fournie par
les informations RIP entrantes.
Configuration du d&eacute;mon routed
Pour configurer le d&eacute;mon routed :
1. Supprimez le symbole de commentaire (#) et modifiez la clause associ&eacute;e au d&eacute;mon
routed dans le script du shell /etc/rc.tcpip. Cette commande initialise automatiquement
le d&eacute;mon routed &agrave; chaque lancement du syst&egrave;me.
– Indiquez le mode d’ex&eacute;cution souhait&eacute; : actif (indicateur –s) ou passif (indicateur–q).
– Activez &eacute;ventuellement le suivi des paquets (indicateur –t). Vous pouvez &eacute;galement le
faire pendant l’ex&eacute;cution du d&eacute;mon routed, via la commande kill. Cette commande
communique au d&eacute;mon un signal SIGUSR1. Ce signal peut &eacute;galement servir &agrave;
incr&eacute;menter le niveau de suivi sur quatre niveaux. Vous pouvez &eacute;galement d&eacute;sactiver
le suivi de paquet pendant l’ex&eacute;cution du d&eacute;mon routed, via la commande kill : cette
commande communique au d&eacute;mon un signal SIGUSR2. Pour en savoir plus,
reportez-vous au d&eacute;mon routed et &agrave; la commande kill.
Protocole TCP/IP
4-175
– Activez &eacute;ventuellement la mise au point (indicateur –d). Pr&eacute;cisez alors &eacute;galement le
fichier journal dans lequel consigner les informations de mise au point (ou indiquez
que vous souhaitez les diriger vers l’&eacute;cran de la console).
– Indiquez si vous ex&eacute;cutez le d&eacute;mon routed sur une passerelle (indicateur –g).
Remarque :
Un h&ocirc;te non passerelle peut ex&eacute;cuter le d&eacute;mon routed, mais en
mode passif uniquement.
2. Identifiez tous les r&eacute;seaux connus en les r&eacute;pertoriant dans le fichier /etc/network. Pour
en savoir plus, reportez-vous &agrave; la section Networks File Format for TCP/IP dans le
manuel AIX 5L Version 5.2 Files Reference. Un exemple du fichier networks est
propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
3. D&eacute;finissez dans le fichier /etc/gateways les routes d’acc&egrave;s &agrave; toutes les passerelles
connues qui ne sont pas directement connect&eacute;es &agrave; votre r&eacute;seau. Pour des exemples
d&eacute;taill&eacute;s d’entr&eacute;es de fichier /etc/gateways., reportez-vous &agrave; la section Gateways File
Format for TCP/IP dans le manuel AIX 5L Version 5.2 Files Reference. Un exemple du
fichier gateways est propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
Attention :
N’ex&eacute;cutez pas le d&eacute;mon routed et le d&eacute;mon gated sur la m&ecirc;me
machine. Des r&eacute;sultats impr&eacute;visibles pourraient survenir.
Configuration du d&eacute;mon gated
Pour configurer le d&eacute;mon gated, proc&eacute;dez comme suit :
1. D&eacute;terminez les protocoles de passerelle appropri&eacute;s pour votre syst&egrave;me. Vous pouvez
utiliser les protocoles de routage EGP, BGP, RIP, RIPng, HELLO, OSPF, ICMP/Router
Discovery ou IS–IS. Vous pouvez &eacute;galement pr&eacute;voir le protocole SNMP, qui permet
d’afficher et de modifier &agrave; partir d’un h&ocirc;te distant les informations de gestion d’un
&eacute;l&eacute;ment de r&eacute;seau.
Remarque :
Utilisez les protocoles EGP, BGP ou BGP4+ pour notifier les adresses
des r&eacute;seaux d’un syst&egrave;me autonome aupr&egrave;s des passerelles des autres
syst&egrave;mes autonomes. Si vous faites partie du r&eacute;seau Internet, EGP,
BGP, or BGP4+ doivent &ecirc;tre appliqu&eacute;s pour notifier le syst&egrave;me de
passerelles noyau de l’accessibilit&eacute; du r&eacute;seau. Utilisez les protocoles de
routage interne pour communiquer les informations d’accessibilit&eacute; &agrave;
l’int&eacute;rieur d’un syst&egrave;me autonome.
2. Identifiez tous les r&eacute;seaux connus en les r&eacute;pertoriant dans le fichier /etc/network.
Pour en savoir plus, reportez-vous &agrave; la section Networks File Format for TCP/IP dans
le manuel AIX 5L Version 5.2 Files Reference. Un exemple du fichier networks est
propos&eacute; dans le r&eacute;pertoire /usr/samples/tcpip.
3. Modifiez le fichier /etc/gated.conf pour int&eacute;grer la configuration souhait&eacute;e pour le
d&eacute;mon gated.
Remarque :
Le d&eacute;mon gated fourni avec
AIX Version 4.3.2 et versions ult&eacute;rieures correspond &agrave; la version 3.5.9.
La syntaxe du fichier /etc/gated.conf a &eacute;t&eacute; modifi&eacute;e. Les exemples
ci–dessous concernent la version 3.5.9 du d&eacute;mon gated. Le fichier
/etc/gated.conf fournit &eacute;galement la syntaxe pour sa configuration si
vous devez l’utiliser avec les versions ant&eacute;rieures &agrave;
AIX Version 4.3.2.
a. Indiquez le niveau de suivi souhait&eacute;. S’il doit d&eacute;buter avant l’analyse du fichier
gated.conf, sp&eacute;cifiez l’indicateur –t pour activer le suivi au lancement du d&eacute;mon.
Pour en savoir plus, reportez-vous &agrave; la section gated Daemon dans le manuel AIX 5L
Version 5.2 Commands Reference.
4-176
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
b. Indiquez les protocoles de routage souhait&eacute;s. Vous devez sp&eacute;cifier une instruction
par protocole. Supprimez la marque de commentaire (#) et modifiez les instructions
correspondant aux protocoles &agrave; utiliser.
. Avec EGP :
– Ins&eacute;rez la clause autonomoussystem. Demandez un num&eacute;ro de syst&egrave;me
autonome &agrave; Internet si vous &ecirc;tes sur Internet, sinon, attribuez vous-m&ecirc;me
ce num&eacute;ro en fonction des num&eacute;ros sur votre r&eacute;seau.
– Positionnez la clause EGP sur yes.
– Ins&eacute;rez une clause group pour chaque syst&egrave;me autonome.
– Ins&eacute;rez une clause neighbor pour chaque passerelle limitrophe dans ce
syst&egrave;me autonome. Par exemple :
autonomoussystem 283 ;
egp yes {
group maxup 1 {
neighbor nogendefault
neighbor nogendefault
} ;
group {
neighbor 192.10.201.1
neighbor 192.10.201.2
} ;
} ;
192.9.201.1 ;
192.9.201.2 ;
;
;
. Avec RIP ou HELLO :
– Positionnez l’instruction RIP ou HELLO sur yes.
– Dans l’instruction RIP ou HELLO, sp&eacute;cifiez nobroadcast pour que la
passerelle se contente de recevoir des informations de routage, mais n’en
diffuse pas. Sinon, sp&eacute;cifiez broadcast pour qu’elle puisse recevoir et
diffuser ces informations.
– Pour que la passerelle envoie les informations directement aux passerelles
source, utilisez l’instruction sourcegateways. Sp&eacute;cifiez le nom ou
l’adresse Internet d’une passerelle en notation d&eacute;cimale &agrave; points dans la
clause sourcegateways. Par exemple :
# Notification &agrave; des
passerelles sp&eacute;cifiques
rip/hello yes {
sourcegateways
101.25.32.1
101.25.32.2 ;
} ;
L’exemple suivant illustre la syntaxe de RIP/HELLO du fichier gated.conf d’une machine
qui n’envoie aucun paquet RIP, ni n’en re&ccedil;oit sur son interface tr0.
rip/hello nobroadcast {
interface tr0 noripin ;
} ;
. Avec BGP :
– Ins&eacute;rez la clause autonomoussystem. Demandez un num&eacute;ro de syst&egrave;me
autonome &agrave; Internet si vous &ecirc;tes sur Internet, sinon, attribuez vous-m&ecirc;me
ce num&eacute;ro en fonction des num&eacute;ros sur votre r&eacute;seau.
– Positionnez la clause BGP sur yes.
Protocole TCP/IP
4-177
– Ins&eacute;rez une clause peer pour chaque passerelle limitrophe dans ce
syst&egrave;me autonome. Par exemple :
# Ex&eacute;cuter toutes les op&eacute;rations BGP
bgp yes {
peer 192.9.201.1 ;
} ;
. Avec SNMP :
– Positionnez la clause SNMP sur yes.
snmp yes ;
Configuration du d&eacute;mon gated pour l’ex&eacute;cution de IPv6
Pour configurer le d&eacute;mon gated pour l’ex&eacute;cution avec IPv6 (Internet Protocol version 6),
v&eacute;rifiez d’abord que votre syst&egrave;me est configur&eacute; pour IPv6 et le routage IPv6 :
1. Ex&eacute;cutez autoconf6 pour configurer automatiquement vos interfaces pour IPv6.
2. Configurez les adresses locales de chaque interface IPv6 sur laquelle vous voulez
utiliser le routage IPv6, via la commande :
ifconfig interface inet6 fec0:n::address/64 alias
o&ugrave;
interface
est le nom de l’interface, comme tr0 ou en0.
n
est un nombre d&eacute;cimal quelconque, par exemple 11
address
est la portion de l’interface IPv6 qui suit les deux colonnes, par exemple,
avec l’adresse IPv6 fe80::204:acff:fe86:298d, l’entr&eacute;e address
serait 204:acff:fe86:298d .
Remarque :
La commande netstat –i permet d’afficher votre adresse IPv6 pour
chaque interface configur&eacute;e.
Ainsi, si l’anneau &agrave; jeton tr0 est associ&eacute; &agrave; l’adresse IPv6
fe80::204:acff:fe86:298d , entrez la commande :
ifconfig tr0 inet6 fec0:13::204:acff:fe86:298d/64 alias
3. Pour activer le r&eacute;acheminement IPv6, utilisez la commande :
no –o ip6forwarding=1
4. Pour lancer ndpd–router, utilisez la commande :
ndpd–router –g
Affichez ndpd–router pour d&eacute;terminer les indicateurs &agrave; utiliser dans votre configuration
r&eacute;seau.
Si vous lancez ndpd–router, votre syst&egrave;me pourra &ecirc;tre utilis&eacute; comme routeur pour le
protocole Neighbor Discovery Protocol. Les routeurs Neighbor Discovery Protocol
communiquent les informations de routage aux h&ocirc;tes Neighbor Discovery afin qu’ils
acheminent les paquets IPv6.
4-178
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Tout h&ocirc;te du r&eacute;seau devant appartenir au r&eacute;seau IPv6 doit ex&eacute;cuter ndpd–host. Les
h&ocirc;tes du r&eacute;seau qui ex&eacute;cutent ndpd–host se reconna&icirc;tront comme appartenant &agrave; un
r&eacute;seau IPv6 et utiliseront par cons&eacute;quent le protocole Neighbor Discovery Protocol. Ce
protocole leur permet de d&eacute;terminer et de contr&ocirc;ler les adresses de communication, non
seulement pour autoriser le routage limitrophe, mais aussi pour rechercher les routeurs
limitrophes afin de r&eacute;acheminer les paquets.
Pour plus d’informations, reportez–vous aux sections ndpd–router, ndpd–host, ou
consultez RFC 1970, Neighbor Discovery.
Ensuite, configurez le d&eacute;mon gated :
1. D&eacute;terminez les protocoles de passerelle IPv6 appropri&eacute;s pour votre syst&egrave;me. Vous
pouvez utiliser les protocoles de routage IPv6 BGP4+ (Border Gateway Protocol &eacute;tendu
pour IPv6) et RIPng (Routing Information Protocol Next Generation).
2. Modifiez le fichier /etc/gated.conf pour int&eacute;grer la configuration souhait&eacute;e pour le
d&eacute;mon gated.
Remarque :
AIX Version 4.3.2 et ult&eacute;rieures ex&eacute;cutent gated version 3.5.9. La
syntaxe du fichier gated.conf est l&eacute;g&egrave;rement modifi&eacute;e par rapport aux
versions pr&eacute;c&eacute;dentes. Pour conna&icirc;tre la syntaxe appropri&eacute;e,
reportez–vous &agrave; la documentation gated.conf ou utilisez le fichier
exemple disponible dans le r&eacute;pertoire /usr/sample/tcpip.
Pour configurer BGP4+ ou RIPng, utilisez les adresses IPv6 dont la syntaxe sp&eacute;cifie une
adresse IP.
Remarque :
Par d&eacute;faut, le protocole RIPng envoie des paquets &agrave; plusieurs
destinataires.
D&egrave;s que le fichier /etc/gated.conf a &eacute;t&eacute; modifi&eacute;, le d&eacute;mon gated peut &ecirc;tre lanc&eacute;.
Obtention d’un num&eacute;ro de syst&egrave;me autonome
Si vous utilisez EGP ou BGP, il est recommand&eacute; de solliciter aupr&egrave;s du NIC un num&eacute;ro de
syst&egrave;me autonome officiel pour votre passerelle. Pour ce faire, contactez NIC &agrave; l’adresse
[email protected].
Protocole TCP/IP
4-179
IPv6 Mobile
Mobile IPv6 apporte la mobilit&eacute; &agrave; IPv6. Il vous permet de conserver la m&ecirc;me adresse
Internet dans le monde entier et aux applications utilisant cette adresse de mettre &agrave; jour les
connexions de transport et de couche sup&eacute;rieure lorsque vous changez de lieu. Il permet
aussi la mobilit&eacute; dans des milieux homog&egrave;nes et h&eacute;t&eacute;rog&egrave;nes. Par exemple, Mobile IPv6
facilite le d&eacute;placement de nœud d’un segment Ethernet vers une cellule LAN sans fil, tandis
que l’adresse IP du nœud mobile reste inchang&eacute;e.
Dans Mobile IPv6, chaque nœud mobile est identifi&eacute; par deux adresses IP : l’adresse
d’origine et l’adresse provisoire. L’adresse d’origine est une adresse IP permanente qui
identifie le nœud mobile quel que soit son emplacement. L’adresse provisoire change &agrave;
chaque nouveau point de connexion et fournit des informations sur la situation actuelle du
nœud mobile. Lorsqu’un nœud mobile arrive sur un r&eacute;seau visit&eacute;, il doit se procurer une
adresse provisoire qu’il utilise pendant tout le temps qu’il occupera cet emplacement dans
le r&eacute;seau visit&eacute;. Il peut utiliser les m&eacute;thodes d’IPv6 Neighborhood Discovery pour obtenir
l’adresse provisoire (reportez–vous &agrave; Neighbor Discovery/autoconfiguration d’une adresse
sans &eacute;tat page 4-11). Une autoconfiguration sans &eacute;tat ou avec &eacute;tat est possible. L’adresse
provisoire peut aussi &ecirc;tre configur&eacute;e manuellement. Le mode d’acquisition de l’adresse
provisoire n’a pas d’importance pour Mobile IPv6.
Un agent d’origine au moins doit &ecirc;tre configur&eacute; sur le r&eacute;seau d’origine et le nœud mobile
doit &ecirc;tre configur&eacute; pour conna&icirc;tre l’adresse IP de cet agent. Le nœud mobile envoie un
paquet contenant une option de destination de mise &agrave; jour de lien &agrave; l’agent d’origine.
L’agent d’origine obtient le paquet et &eacute;tablit une association entre l’adresse d’origine et le
nœud mobile et l’adresse provisoire qu’il a re&ccedil;ue. L’agent d’origine r&eacute;pond en envoyant un
paquet contenant une option de destination d’accus&eacute; de r&eacute;ception de lien.
L’agent d’origine dispose d’une cache de lien contenant les associations entre les adresses
d’origine et les adresses provisoires des nœuds mobiles qu’il dessert. L’agent d’origine
intercepte les paquets destin&eacute;s &agrave; l’adresse d’origine et les transmet aux nœuds mobiles. Un
nœud mobile envoie alors une mise &agrave; jour de lien au nœud correspondant, en l’informant de
son adresse provisoire. Le nœud correspondant cr&eacute;e une entr&eacute;e de cache de lien afin de
pouvoir envoyer du trafic futur directement au nœud mobile de son adresse provisoire.
La prise en charge de la mobilit&eacute; par AIX offre les fonctions suivantes :
En tant qu’agent Agent d’origine :
• Tenue &agrave; jour d’une entr&eacute;e dans sa cache de liens pour chaque nœud mobile servi.
• Interception des paquets adress&eacute;s &agrave; un nœud mobile qu’il dessert en tant qu’agent
d’origine, sur le lien d’origine de ce nœud mobile, lorsque le nœud mobile est en
d&eacute;placement.
• Encapsulation des paquets intercept&eacute;s afin de les tunn&eacute;liser vers l’adresse provisoire
principale du nœud mobile indiqu&eacute; dans son lien, dans la cache de liens de l’agent
d’origine.
• Renvoi d’une option d’accus&eacute; de r&eacute;ception de liens en r&eacute;ponse &agrave; une option de mise &agrave;
jour de liens re&ccedil;ue avec le groupe de bits de l’accus&eacute; de r&eacute;ception.
En tant que nœud Correspondant stationnaire :
• Traitement d’une option d’adresse d’origine re&ccedil;ue dans un paquet IPv6.
• Traitement d’une option de mise &agrave; jour de liens re&ccedil;ue dans un paquet et renvoi d’une
option d’accus&eacute; de r&eacute;ception de liens si le bit d’accus&eacute; de r&eacute;ception (A) est d&eacute;fini dans la
mise &agrave; jour de liens re&ccedil;ue.
• Tenue &agrave; jour d’une cache de liens contenant les lien re&ccedil;us dans les mises &agrave; jour de liens
accept&eacute;es.
4-180
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
• Envoi de paquets utilisant un en–t&ecirc;te de routage lorsqu’il existe une entr&eacute;e de cache de
liens pour un nœud mobile contenant l’adresse provisoire en cours du nœud mobile.
En tant que nœud Routeur dans un r&eacute;seau visit&eacute; par le nœud mobile.
• Envoi d’une option d’intervalle d’annonce dans ses annonces de routeur afin de faciliter
la d&eacute;tection de mouvements par les nœuds mobiles. Il est configurable par le param&egrave;tre
–m dans le routeur ndpd–router.
• Prise en charge de l’envoi d’annonces de routeur multidiffusion non sollicit&eacute;es &agrave; la
vitesse plus &eacute;lev&eacute;e d&eacute;crite dans RFC 2461. Configurable avec le param&egrave;tre –m dans le
d&eacute;mon ndpd–router
s&eacute;curit&eacute; IP
• Les tunnels doivent &ecirc;tre d&eacute;finis de fa&ccedil;on statique &agrave; l’aide de l’adresse d’origine entre
l’agent d’origine et le nœud mobile ou entre le correspondant et le nœud mobile.
• Seul AH–ESP en mode de transport est pris en charge.
• En cas de filtrage sur le protocole 60, seuls les paquets ayant les options de destination
BU, BA et BR sont s&eacute;curis&eacute;s.
• En cas de filtrage sur la totalit&eacute; du trafic, tous les paquets de mobilit&eacute; (BU, BA
signalisation et autres paquets contenant des donn&eacute;es) sont s&eacute;curis&eacute;s.
• Le filtrage de s&eacute;curit&eacute; IP sur le protocole 60 doit toujours &ecirc;tre employ&eacute; lorsque la
mobilit&eacute; est utilis&eacute;e. Certains nœuds mobiles peuvent ne pas accepter de paquets BA et
BU sauf si la s&eacute;curit&eacute; IP est utilis&eacute;e. L’acceptation de ces paquets en cas non–utilisation
de la s&eacute;curit&eacute; IP peut poser un grave probl&egrave;me de s&eacute;curit&eacute;.
S&eacute;curit&eacute; IP avec IKE
• IKE envoie une r&eacute;ponse &agrave; l’agent d’origine ou au correspondant.
• Seul le mode agressif est pris en charge.
Configuration de Mobile IPv6
Lancement de Mobile IPv6 avec la s&eacute;curit&eacute; IP
Agent d’origine
1. D&eacute;finition de tunnels IKE (phases 1 et 2) et de r&eacute;ponse et d’un protocole AH dans la
base de donn&eacute;es entre l’adresse IP de l’agent d’origine et de l’adresse d’origine de
chaque nœud mobile avec lequel l’agent d’origine est susceptible de communiquer.
Pour plus de d&eacute;tails, reportez–vous &agrave; IP Security dans le manuel AIX Security Guide.
2. D&eacute;finition de l’association de s&eacute;curit&eacute; AH IP entre l’adresse IP de l’agent d’origine et
chaque adresse d’origine mobile avec laquelle le correspondant est susceptible de
communiquer.
3. Ex&eacute;cutez la commande suivante :
/etc/rc.mobip6 start –H –S
Correspondant
1. D&eacute;finition de tunnels IKE (phases 1 et 2) et de r&eacute;ponse et d’un protocole AH dans la
base de donn&eacute;es entre l’adresse IP de l’agent d’origine et de l’adresse d’origine de
chaque nœud mobile avec lequel l’agent d’origine est susceptible de communiquer. Pour
plus de d&eacute;tails, reportez–vous &agrave; IP Security dans le manuel AIX Security Guide.
2. D&eacute;finition de l’association de s&eacute;curit&eacute; AH IP entre l’adresse IP de l’agent d’origine et
chaque adresse d’origine mobile avec laquelle le correspondant est susceptible de
communiquer.
3. Ex&eacute;cutez la commande suivante :
/etc/rc.mobip6 start –S
Protocole TCP/IP
4-181
Routeur
Pour faciliter la d&eacute;tection de mouvement, ex&eacute;cutez ce qui suit :
ndpd–router –m
Lancement de Mobile IPv6 sans la s&eacute;curit&eacute; IP
Mobile IPv6 peut &ecirc;tre d&eacute;marr&eacute; sans la s&eacute;curit&eacute; IP, mais ceci est d&eacute;conseill&eacute;. La s&eacute;curit&eacute; IP
prot&egrave;ge les paquets de liens (le filtrage sur le protocole 60). L’utilisation de Mobile IPv6 sans
la s&eacute;curit&eacute; IP cr&eacute;e une lacune dans la s&eacute;curit&eacute;.
Agent d’origine
Ex&eacute;cutez la commande suivante :
/etc/rc.mobip6 start –H
Correspondant
Ex&eacute;cutez la commande suivante :
/etc/rc.mobip6 start
Routeur
Pour faciliter la d&eacute;tection de mouvement, ex&eacute;cutez ce qui suit :
ndpd–router –m
Arr&ecirc;t de Mobile IPv6
Pour arr&ecirc;ter Mobile IPv6 et faire fonctionner le syst&egrave;me comme une passerelle IPv6,
ex&eacute;cutez la commande suivante :
/etc/rc.mobip6 stop
Pour arr&ecirc;ter Mobile IPv6 et d&eacute;sactiver la fonctionnalit&eacute; de passerelle IPv6, ex&eacute;cutez la
commande suivante :
/etc/rc.mobip6 stop –N –F
Identification des incidents Mobile IPv6
• Obtenez les &eacute;tat des liens en ex&eacute;cutant la commande suivante :
mobip6ctrl –b
• Reportez–vous &agrave; la D&eacute;termination des probl&egrave;mes TCP/IP pour savoir comment
employer les utilitaires de d&eacute;pannage TCP/IP.
4-182
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Adresse IP virtuelle (VIPA)
Une adresse IP virtuelle &eacute;vite &agrave; l’h&ocirc;te de d&eacute;pendre d’interface r&eacute;seau pr&eacute;cises. Les paquets
entrants sont envoy&eacute;s &agrave; l’adresse VIPA du syst&egrave;me mais tous les paquets passent par le
r&eacute;seau r&eacute;el.
Auparavant, en cas de d&eacute;faillance d’une interface, les connexions &agrave; cette interface &eacute;taient
perdues. Avec l’activation de VIPA sur le syst&egrave;me et le r&eacute;acheminement automatique
assur&eacute; par les protocoles de routage dans le r&eacute;seau, la reprise apr&egrave;s incident se d&eacute;roule
sans interruption des connexions utilisateur existantes passant par l’interface virtuelle, &agrave;
condition que les paquets puissent arriver via une autre interface physique. Les syst&egrave;mes
ex&eacute;cutant VIPA sont plus disponibles car les pannes de carte n’affectent plus les
connexions actives. Comme de multiples cartes physiques transmettent le trafic IP du
syst&egrave;me, la charge globale n’est pas concentr&eacute;e sur une seule carte et son sous–r&eacute;seau
associ&eacute;.
La fonction AIX VIPA est transparente pour l’&eacute;quipement r&eacute;seau. Aucun &eacute;quipement r&eacute;seau
sp&eacute;cial ou d’autre mat&eacute;riel n’est requis. Pour impl&eacute;menter VIPA, vous devez disposer de la
configuration suivante :
• deux interfaces IP existantes de type physique indiff&eacute;rent sur des sous–r&eacute;seaux
diff&eacute;rents qui se connectent au r&eacute;seau d’entreprise
• des protocoles de routage IP s’ex&eacute;cutant dans le r&eacute;seau de l’entreprise
Configuration de VIPA
VIPA doit &ecirc;tre configur&eacute; dans SMIT, comme toutes les interfaces r&eacute;seau IP. Vous pouvez
aussi d&eacute;finir un groupe d’interfaces tout en configurant VIPA. Lorsqu’elle est configur&eacute;e de
cette fa&ccedil;on, pour toutes les connexions initialis&eacute;es par l’h&ocirc;te VIPA via ces interfaces, qui
sont con&ccedil;ues pour utiliser un VIPA, l’adresse virtuelle devient l’adresse source plac&eacute;e dans
l’en–t&ecirc;te du paquet TCP/IP des paquets en sortie.
1. Pour VIPA IPv4, tapez smit mkinetvi sur la ligne de commande.
Pour VIPA IPv6, tapez smit mkinetvi6 sur la ligne de commande.
2. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Gestion de VIPA
Cette section traite des points suivants :
• Ajout d’une carte &agrave; un VIPA page 4-183
• Retrait d’une carte d’un VIPA page 4-184
• Exemple d’environnement VIPA dans AIX 5.2 page 4-184
• Autres informations techniques page 4-185
Ajout d’une carte &agrave; un VIPA
Pour ajouter une carte &agrave; votre interface VIPA, proc&eacute;dez comme suit :
1. Tapez smit chvi sur la ligne de commande.
2. S&eacute;lectionnez le VIPA auquel ajouter une carte et appuyez sur Entr&eacute;e.
3. Indiquez la carte &agrave; ajouter dans le champ Interface Name(s).
4. Entrez ADD dans le champ ADD/REMOVE interface(s) et appuyez sur Entr&eacute;e.
Protocole TCP/IP
4-183
Retrait d’une carte d’un VIPA
Pour supprimer une carte d’un VIPA, proc&eacute;dez comme suit :
1. Tapez smit chvi sur la ligne de commande.
2. S&eacute;lectionnez le VIPA duquel retirer une carte et appuyez sur Entr&eacute;e.
3. Indiquez la carte &agrave; retirer dans le champ Interface Name(s).
4. Entrez REMOVE dans le champ ADD/REMOVE interface(s) et appuyez sur Entr&eacute;e.
Exemple d’environnement VIPA dans AIX 5.2
Un syst&egrave;me a une adresse IP virtuelle, vi0, de 10.68.6.1 et deux connexions
physiques, en1 avec l’adresse IP 10.68.1.1 et en5,
avec l’adresse IP 10.68.5.1. Dans cet exemple, les deux connexions physiques sont
Ethernet, mais toute combinaison d’interfaces IP, par exemple en anneau &agrave; jeton ou FDDI,
sera prise en charge &agrave; partir du moment o&ugrave; les sous–r&eacute;seaux ont &eacute;t&eacute; rattach&eacute;s au r&eacute;seau
principal d’entreprise et sont connus des routeurs d’entreprise.
L’ex&eacute;cution de la commande lsattr –El vi0 g&eacute;n&egrave;re les r&eacute;sultats suivants :
netaddr
10.68.6.1
N/A
True
state
up
Standard Ethernet Network Interface
True
netmask
255.255.255.0 Maximum IP Packet Size for This Device
True
netaddr6
Maximum IP Packet Size for REMOTE Networks
True
alias6
Internet Address
True
prefixlen
Current Interface Status
True
alias4
TRAILER Link–Level Encapsulation
True
interface_names en1,en5
Interfaces using the Virtual Address
True
L’ex&eacute;cution de la commande ifconfig vi0 g&eacute;n&egrave;re les r&eacute;sultats suivants :
vi0: flags=84000041&lt;UP,RUNNING,64BIT&gt;
inet 10.68.6.1 netmask 0xffffff00
iflist : en1 en5
L’ex&eacute;cution de la commande netstat –rn g&eacute;n&egrave;re les r&eacute;sultats suivants :
Tables de routage
Destination
Groups
Gateway
Flags
Refs
Route Tree for Protocol Family 2 (Internet):
default
10.68.1.2
UG
3
10.68.1/24
10.68.1.1
U
0
10.68.5/24
10.68.5.1
U
0
127/8
127.0.0.1
U
4
10.68.6.1
127.0.0.1
UH
0
Use
If
1055
665
1216
236
0
en1
en1
en5
lo0
lo0
PMTU Exp
–
–
–
–
–
–
–
–
–
–
L’adresse source des paquets en sortie pour lesquels une adresse source n’est pas d&eacute;finie
et qui sont rout&eacute;s via les interfaces en1 et en5 est d&eacute;finie comme l’adresse virtuelle
(10.68.6.1). Les paquets entrants sont rout&eacute;s vers l’adresse VIPA ( 10.68.6.1)
annonc&eacute;e sur le r&eacute;seau. Comme vi0 est virtuel, c’est–&agrave;–dire qu’il n’est associ&eacute; &agrave; aucune
unit&eacute;, il ne doit pas exister d’entr&eacute;es lui correspondant dans la table de routage &agrave; l’&eacute;chelle
de tout le syst&egrave;me affich&eacute;e par la commande netstat –rn. Ceci signifie qu’aucune route
d’interface n’est ajout&eacute;e lorsque l’interface est configur&eacute;e dans SMIT.
Si l’une des interfaces physiques, une connexion r&eacute;seau ou un chemin r&eacute;seau &eacute;choue, les
protocoles r&eacute;seau effectuent l’acheminement vers l’autre interface physique du m&ecirc;me
syst&egrave;me. Si un syst&egrave;me &eacute;loign&eacute; envoie une commande telnet &agrave; l’adresse vi0, les paquets
destin&eacute;s &agrave; vi0 peuvent arriver via en1 ou en5. Si en1 est en panne, par exemple, les
4-184
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
paquets peuvent toujours arriver sur en5. Les protocoles de routage peuvent prendre un
certain temps pour propager les routes.
Lorsque vous utilisez le VIPA, les syst&egrave;mes finals et les routeurs interm&eacute;diaires doivent
pouvoir acheminer les paquets destin&eacute;s &agrave; VIPA ( vi0) vers l’une des interfaces physiques
(en1 ou en5).
Autres informations techniques
Comparaison VIPA/alias
Le concept VIPA est semblable aux alias IP, sauf que les adresses ne sont pas associ&eacute;es &agrave;
une interface mat&eacute;rielle. VIPA offre plusieurs avantages que les alias IP ne poss&egrave;dent pas :
• VIPA propose une unit&eacute; virtuelle qui peut &ecirc;tre activ&eacute;e et arr&ecirc;t&eacute;e de fa&ccedil;on ind&eacute;pendante,
sans impact sur les interfaces physiques.
• Les adresses VIPA peuvent &ecirc;tre modifi&eacute;es, tandis que les alias peuvent seulement &ecirc;tre
ajout&eacute;s ou supprim&eacute;s.
Acc&egrave;s via l’adresse IP des cartes r&eacute;elles
Les interfaces individuelles sont toujours accessibles aux autres syst&egrave;mes une fois VIPA
impl&eacute;ment&eacute;. Toutefois, l’utilisation des adresses IP r&eacute;elles pour les sessions ping et telnet
renforce l’avantage VIPA qui communique ind&eacute;pendamment des cartes physiques. VIPA
cache les d&eacute;faillances de carte physique aux clients externes. L’utilisation des adresses
r&eacute;elles r&eacute;introduit la d&eacute;pendance par rapport aux cartes physiques.
Si le syst&egrave;me &eacute;loign&eacute; contacte le syst&egrave;me VIPA &agrave; l’aide de l’adresse VIPA ou si une
application sur le syst&egrave;me VIPA initialise la communication avec un autre syst&egrave;me, l’adresse
VIPA est utilis&eacute;e comme adresse IP source dans le paquet. Toutefois, si le syst&egrave;me &eacute;loign&eacute;
initialise la session &agrave; l’aide de l’adresse IP de l’interface r&eacute;elle, cette adresse IP r&eacute;elle est
l’adresse IP source dans les paquets de r&eacute;ponse. Il y a cependant une exception. Pour les
applications &eacute;tablissant une liaison &agrave; une interface IP particuli&egrave;re, les paquets sortants
transf&egrave;rent l’adresse source de l’interface &agrave; laquelle ils sont li&eacute;s.
VIPA et les protocoles de routage
Le d&eacute;mon gated a &eacute;t&eacute; modifi&eacute; pour VIPA afin de ne pas ajouter de route d’interface ou
d’envoyer d’annonces via des interfaces virtuelles. Le protocole OSPF, pris en charge par
gated, annonce l’interface virtuelle aux routeurs de voisinage. Les autres h&ocirc;tes du r&eacute;seau
peuvent parler &agrave; l’h&ocirc;te VIPA via le routeur du premier tron&ccedil;on.
Adresses VIPA multiples
Il est possible de configurer plusieurs interfaces virtuelles.
Il est utile d’avoir plusieurs interfaces VIPA, par exemple si des routeurs r&eacute;seau peuvent
offrir un traitement pr&eacute;f&eacute;rentiel aux paquets envoy&eacute;s de ou vers certaines adresses VIPA.
Vous pouvez aussi utiliser plusieurs interfaces VIPA si elles liaient des applications &agrave; une
interface VIPA sp&eacute;cifique. Par exemple, pour ex&eacute;cuter plusieurs serveurs Web pour
plusieurs entreprises sur une seule machine, vous pouvez configurer ce qui suit :
• vi0 200.1.1.1 www.companyA.com
• vi1 200.1.1.2 www.companyB.com
• vi2 200.1.1.3 www.companyC.com
VIPA sous AIX 5.1
Il n’&eacute;tait pas possible de d&eacute;finir un groupe d’interfaces utilisant un VIPA particulier dans
AIX 5.1. Le premier VIPA de la liste d’adresses sera choisi comme adresse source par
d&eacute;faut lorsque l’application n’&eacute;tablit pas de lien explicite &agrave; une adresse.
Protocole TCP/IP
4-185
EtherChannel et IEEE 802.3ad Link Aggregation
EtherChannel et IEEE 802.3ad Link Aggregation d&eacute;signent des technologies d’agr&eacute;gation
de port r&eacute;seau permettant &agrave; plusieurs cartes Ethernet d’&ecirc;tre rassembl&eacute;es pour former une
seule pseudo–unit&eacute; Ethernet. Par exemple, ent0 et ent1 peuvent &ecirc;tre r&eacute;unies dans
l’interface ent3. L’interface en3 serait alors configur&eacute;e avec une adresse IP. Le syst&egrave;me
consid&egrave;re cet agr&eacute;gat de cartes comme une carte unique. Par cons&eacute;quent, IP est configur&eacute;
via ces cartes comme s’il s’agissait d’une carte Ethernet normale. En outre, toutes les
cartes d’EtherChannel ou de Link Aggregation re&ccedil;oivent la m&ecirc;me adresse mat&eacute;rielle (MAC)
et sont donc trait&eacute;es par les syst&egrave;mes distants comme s’il s’agissait d’une seule carte.
L’avantage principal d’EtherChannel et de IEEE 802.3ad Link Aggregation est qu’ils
disposent de toute la bande passante de toutes leurs cartes tout en &eacute;tant uniques dans le
r&eacute;seau. En cas de panne d’une carte, les paquets sont automatiquement envoy&eacute;s &agrave; la carte
disponible suivante sans interruption des connexions utilisateur existantes. La carte est
remise automatiquement en service sur EtherChannel ou Link Aggregation lorsque son
fonctionnement est r&eacute;tabli.
Il existe des diff&eacute;rences entre EtherChannel et IEEE 802.3ad Link Aggregation. Consultez
les diff&eacute;rences indiqu&eacute;es dans le tableau suivant pour d&eacute;terminer la solution vous
convenant le mieux.
EtherChannel
IEEE 802.3ad
N&eacute;cessite la configuration d’un
commutateur
Peu ou pas de configuration de
commutateur pour former l’agr&eacute;gat. Une
configuration initiale du commutateur peut
&ecirc;tre n&eacute;cessaire.
Fonctionnement possible dans de
nombreux modes
Fonctionne uniquement en mode standard
Pour plus d’informations sur la configuration et l’utilisation d’EtherChannel, reportez–vous &agrave;
EtherChannel page 4-186. Pour plus d’informations sur la configuration et l’utilisation de
IEEE 802.3ad Link Aggregation, reportez–vous &agrave; IEEE 802.3ad Link Aggregation page
4-194. Pour plus d’informations sur les diff&eacute;rentes combinaisons de configuration d’AIX et
de commutateur, et sur les r&eacute;sultats obtenus, reportez–vous &agrave; Sc&eacute;narios d’interop&eacute;rabilit&eacute;
page 4-197.
EtherChannel
Les cartes appartenant &agrave; un EtherChannel sont c&acirc;bl&eacute;s sur le m&ecirc;me commutateur r&eacute;seau
EtherChannel, qui doit &ecirc;tre configur&eacute; manuellement pour identifier les ports appartenant &agrave;
l’EtherChannel.
Le trafic est distribu&eacute; entre les cartes soit de fa&ccedil;on standard (la carte via laquelle les
paquets sont envoy&eacute;s est choisie en fonction de l’adresse de destination), soit de fa&ccedil;on
circulaire (les paquets sont r&eacute;partis &eacute;quitablement entre toutes les cartes). Le trafic entrant
est distribu&eacute; en fonction de la configuration du commutateur et n’est pas contr&ocirc;l&eacute; par le
mode d’exploitation d’EtherChannel.
Dans AIX, les utilisateurs peuvent configurer plusieurs EtherChannels par syst&egrave;me, mais la
norme exige que toutes les liaisons d’un EtherChannel soient rattach&eacute;es &agrave; un seul
commutateur. Comme EtherChannel ne peut pas &ecirc;tre r&eacute;parti entre plusieurs commutateurs,
la totalit&eacute; d’EtherChannel est perdue en cas de coupure du courant ou de panne du
commutateur. Pour r&eacute;soudre ce probl&egrave;me, une nouvelle option disponible dans AIX 5.2 et
les versions sup&eacute;rieures maintient le service actif en cas de d&eacute;faillance de l’EtherChannel
principal. Les cartes de secours et EtherChannel doivent &ecirc;tre rattach&eacute;es &agrave; diff&eacute;rents
commutateurs r&eacute;seau. En cas de panne de toutes les cartes de l’EtherChannel, les
adresses IP et MAC sont automatiquement transf&eacute;r&eacute;es vers la carte de secours. Lors de la
restauration d’une liaison d’EtherChannel, le service est retransf&eacute;r&eacute; vers l’EtherChannel.
4-186
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Network Interface Backup, un mode d’exploitation disponible pour EtherChannel dans AIX
4.3.3 et AIX 5.1, offre une protection contre un point de d&eacute;faillance Ethernet unique. Aucun
mat&eacute;riel sp&eacute;cial n’est requis pour utiliser Network Interface Backup, mais la carte de
secours doit &ecirc;tre connect&eacute;e &agrave; un commutateur distinct. Dans le mode Network Interface
Backup, une seule carte &agrave; la fois est utilis&eacute;e activement pour le trafic r&eacute;seau.
L’EtherChannel teste la carte active et facultativement, le chemin r&eacute;seau vers un nœud
sp&eacute;cifi&eacute; par l’utilisateur. Lorsqu’une panne est d&eacute;tect&eacute;e, les adresses MAC et IP sont
transf&eacute;r&eacute;es vers la carte suivante, qui sera utilis&eacute;e jusqu’&agrave; sa d&eacute;faillance. Network Interface
Backup fournit des fonctions de d&eacute;tection et de prise de relais sans interruption des
connexions utilisateur. Network Interface Backup a &agrave; l’origine &eacute;t&eacute; mis en œuvre en tant que
mode dans le menu EtherChannel SMIT. Dans AIX 5.2 et les versions sup&eacute;rieures, la carte
de secours fournit une fonction &eacute;quivalente et ce mode a donc &eacute;t&eacute; supprim&eacute; du menu SMIT.
Pour utiliser Network Interface Backup dans AIX 5.2 et les versions sup&eacute;rieures,
reportez–vous &agrave; Configuration de Network Interface Backup.
Configuration d’EtherChannel
Proc&eacute;dez comme suit pour configurer un EtherChannel.
Remarques
• Vous pouvez utiliser jusqu’&agrave; huit cartes Ethernet par EtherChannel.
• Vous pouvez configurer plusieurs EtherChannels sur un seul syst&egrave;me, mais chaque
EtherChannel constitue une interface Ethernet suppl&eacute;mentaire. Par cons&eacute;quent, vous
devez augmenter la valeur de l’option ifsize de la commande no pour inclure les
interfaces Ethernet pour chaque carte, mais &eacute;galement toutes les unit&eacute;s logiques VLAN
configur&eacute;es. La valeur par d&eacute;faut de ifsize est huit.
• Vous pouvez utiliser toutes les cartes Ethernet prises en charge dans EtherChannel.
Toutefois, les cartes Ethernet doivent &ecirc;tre connect&eacute;es &agrave; un commutateur prenant en
charge EtherChannel. Reportez–vous &agrave; la documentation fournie avec le commutateur
pour d&eacute;terminer s’il prend en charge EtherChannel.
• Toutes les cartes d’EtherChannel doivent &ecirc;tre configur&eacute;es pour la m&ecirc;me vitesse (100
Mbps, par exemple) et doivent utiliser le mode duplex int&eacute;gral.
• Les cartes que vous pr&eacute;voyez d’utiliser pour votre EtherChannel ne doivent pas avoir
d’adresse IP configur&eacute;e avant de commencer cette proc&eacute;dure. Utilisez la commande
ifconfig pour d&eacute;configurer les cartes. Par exemple, ifconfig en5 detach
d&eacute;configure la carte en5.
• Les cartes utilis&eacute;es dans l’EtherChannel ne sont pas accessibles par le syst&egrave;me une fois
l’EtherChannel configur&eacute;. Leurs attributs doivent &ecirc;tre configur&eacute;s avant de cr&eacute;er
l’EtherChannel.
• Les cartes &agrave; ajouter &agrave; l’EtherChannel ne peuvent pas avoir d’interfaces configur&eacute;es dans
l’&eacute;tat up dans ODM (comme ce serait le cas si leurs adresses IP ont &eacute;t&eacute; configur&eacute;es
avec SMIT). Ceci peut causer des probl&egrave;mes pour activer EtherChannel lors du
red&eacute;marrage de la machine, car l’interface sous–jacente est configur&eacute;e avant
l’EtherChannel avec les informations trouv&eacute;es dans ODM. Par cons&eacute;quent, lorsque
l’EtherChannel est configur&eacute;, il d&eacute;tecte que l’une de ses cartes est d&eacute;j&agrave; utilis&eacute;e. Pour
modifier ceci, avant de cr&eacute;er l’EtherChannel, tapez smit chinet, s&eacute;lectionnez
chacune des interfaces des cartes &agrave; inclure dans l’EtherChannel, et remplacez sa valeur
state par detach. Lors du red&eacute;marrage de la machine, l’EtherChannel peut &ecirc;tre
configur&eacute; sans erreurs.
• Si vous utilisez des cartes 10/100 Ethernet dans l’EtherChannel, vous devez activer le
sondage de liaison sur ces cartes avant de les ajouter &agrave; l’EtherChannel. Tapez smitty
chgenet sur la ligne de commande. Remplacez la valeur de Enable Link Polling par
yes, puis appuyez sur Entr&eacute;e. Proc&eacute;dez de cette fa&ccedil;on pour chaque carte 10/100
Ethernet que vous ajoutez &agrave; votre EtherChannel. Si vous ne le faites pas, l’EtherChannel
fonctionnera mais la d&eacute;tection de d&eacute;faillance de liaison et la prise de relais ne
fonctionneront pas.
Protocole TCP/IP
4-187
• Si vous avez l’intention d’utiliser des trames jumbo, vous devez activer cette
fonctionnalit&eacute; sur chaque carte avant de cr&eacute;er l’EtherChannel et l’activer aussi dans
l’EtherChannel lui–m&ecirc;me. Tapez smitty chgenet sur la ligne de commande.
Remplacez la valeur de Enable Jumbo Frames par yes, puis appuyez sur Entr&eacute;e.
Proc&eacute;dez de cette fa&ccedil;on pour toutes les cartes pour lesquelles vous voulez activer les
trames jumbo. Vous activerez ult&eacute;rieurement les trames jumbo dans l’EtherChannel
lui–m&ecirc;me.
Configuration d’un EtherChannel
1. Tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez sur
Entr&eacute;e.
3. S&eacute;lectionnez les cartes Ethernet principales de l’EtherChannel et appuyez sur Entr&eacute;e.
Si vous pr&eacute;voyez d’utiliser la sauvegarde de secours EtherChannel, ne s&eacute;lectionnez pas
la carte de secours &agrave; ce stade. L’option de secours EtherChannel est disponible dans
AIX 5.2 et les versions sup&eacute;rieures.
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet. Si vous
s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e (dont l’interface est
d&eacute;finie), vous obtenez un message d’erreur. Vous devez d’abord
d&eacute;tacher cette interface si vous souhaitez l’utiliser.
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– Cartes EtherChannel / Link Aggregation : Vous devez voir s’afficher toutes les
cartes principales utilis&eacute;es dans votre EtherChannel. Vous avez s&eacute;lectionn&eacute; ces
cartes &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address: Ce champ est facultatif. Le choix de la valeur yes vous
permet de pr&eacute;ciser une adresse MAC que l’EtherChannel doit utiliser. Si vous
d&eacute;finissez la valeur no pour cette option, l’EtherChannel utilisera l’adresse MAC de la
premi&egrave;re carte indiqu&eacute;e.
– Alternate Address: Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x et
&ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres.
– Enable Gigabit Ethernet Jumbo Frames: Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
– Mode: Vous pouvez choisir entre les modes suivants :
. standard: Dans ce mode, l’EtherChannel utilise l’adresse IP de destination pour
choisir la carte &agrave; laquelle il va envoyer les paquets sortants. L’EtherChannel divise
le dernier octet de l’adresse IP de destination du paquet par le nombre de cartes
dans l’EtherChannel et utilise le reste (&agrave; l’aide de l’op&eacute;rateur modulus) pour
identifier la liaison sortante. Par exemple, si l’adresse IP de destination est
10.10.10.1, et qu’il y a 2 cartes dans l’EtherChannel, (1 / 2) = 0 avec comme
reste 1, la deuxi&egrave;me carte est utilis&eacute;e (les cartes sont num&eacute;rot&eacute;es &agrave; partir de 0).
Les cartes sont num&eacute;rot&eacute;es dans l’ordre indiqu&eacute; dans le menu SMIT. Pour le trafic
non–IP (par exemple ARP), le dernier octet de l’adresse MAC de destination est
utilis&eacute; pour effectuer le calcul. Ce mode garantit que les paquets sont envoy&eacute;s via
l’EtherChannel dans l’ordre dans lequel ils ont &eacute;t&eacute; re&ccedil;us, mais il peut ne pas
utiliser toute la bande passante. C’est le mode de fonctionnement par d&eacute;faut.
. round_robin: Dans ce mode, l’EtherChannel utilise tour &agrave; tour les cartes, en
envoyant un seul paquet &agrave; chaque carte avant de recommencer. les paquets
peuvent &ecirc;tre envoy&eacute;s dans un ordre l&eacute;g&egrave;rement diff&eacute;rent que celui de leur envoi
&agrave; l’EtherChannel, mais l’utilisation de la bande passante est optimis&eacute;e.
4-188
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
. netif_backup: Cette option est disponible dans AIX 5.1 et AIX 4.3.3. Dans ce
mode, l’EtherChannel active une seule carte &agrave; la fois. Le but est de connecter les
cartes &agrave; diff&eacute;rents commutateurs Ethernet, chacun pouvant acc&eacute;der &agrave; n’importe
quelle autre machine du sous–r&eacute;seau ou du r&eacute;seau. Lorsqu’un probl&egrave;me li&eacute; &agrave; la
connexion directe est d&eacute;tect&eacute; (ou facultativement parce qu’il est impossible
d’envoyer une commande ping &agrave; une machine), l’EtherChannel d&eacute;sactive la carte
en cours et active une carte de secours. Ce mode est le seul qui utilise les champs
Internet Address to Ping, Number of Retries, et Retry Timeout.
Le mode Network Interface Backup Mode n’existe pas en tant que mode explicite
dans AIX 5.2 et les versions sup&eacute;rieures. Pour activer le mode Network Interface
Backup dans AIX 5.2 et les versions sup&eacute;rieures, vous devez configurer une seule
carte dans l’EtherChannel principale et une carte de secours. Pour plus
d’informations, consultez la section Configuration de Network Interface Backup
page 4-189.
– Backup Adapter: Ce champ est facultatif. Indiquez la carte &agrave; utiliser comme carte de
secours EtherChannel. L’option de secours EtherChannel est disponible dans AIX 5.2
et les versions sup&eacute;rieures.
– Internet Address to Ping: Ce champ est facultatif et disponible uniquement si vous
ex&eacute;cutez le mode Network Interface Backup. L’EtherChannel lance une commande
ping sur l’adresse IP indiqu&eacute;e ici. Si l’EtherChannel ne parvient pas &agrave; lancer une
commande ping au terme du nombre de tentatives pr&eacute;cis&eacute; dans Number of Retries
dans les intervalles Retry Timeout, l’EtherChannel effectue un basculement des
cartes.
– Number of Retries: Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que l’EtherChannel ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous d&eacute;finissez Internet Address to Ping.
– Retry Timeout: Entrez le nombre de secondes entre les envois de commande ping
de l’EtherChannel &agrave; Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous d&eacute;finissez Internet
Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er l’EtherChannel.
6. Configurez IP via la nouvelle unit&eacute; EtherChannel en tapant smit chinet sur la ligne
de commande.
7. S&eacute;lectionnez votre nouvelle interface EtherChannel dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Configuration de Network Interface Backup
Network Interface Backup offre une protection contre un point de d&eacute;faillance r&eacute;seau unique
en permettant la d&eacute;tection des d&eacute;faillances et la prise de relais, sans interruption des
connexions utilisateur. Dans ce mode, une seule carte est active &agrave; un moment donn&eacute;. En
cas de d&eacute;faillance de la carte active, la carte suivante de l’EtherChannel est utilis&eacute;e pour
tout le trafic. En mode Network Interface Backup, il n’est pas n&eacute;cessaire d’&eacute;tablir de
connexion aux commutateurs EtherChannel.
La configuration de Network Interface Backup est plus efficace lorsque les cartes sont
connect&eacute;es &agrave; diff&eacute;rents commutateurs r&eacute;seau, car ceci permet de b&eacute;n&eacute;ficier d’une meilleure
redondance que la connexion de toutes les cartes &agrave; un seul commutateur. Lors de la
connexion &agrave; diff&eacute;rents commutateurs, assurez–vous qu’il existe une connexion entre les
commutateurs. Ceci fournit des fonctions de prise de relais d’une carte &agrave; l’autre en veillant &agrave;
ce qu’il existe toujours un acc&egrave;s &agrave; la carte active.
Dans les &eacute;ditions ant&eacute;rieures &agrave; AIX 5.2, le mode Network Interface Backup a &eacute;t&eacute;
impl&eacute;ment&eacute; en tant que mode explicite de fonctionnement dans le menu EtherChannel
SMIT. Dans AIX 5.2 et les versions sup&eacute;rieures, la carte de secours fournit une fonction
&eacute;quivalente et ce mode a donc &eacute;t&eacute; supprim&eacute; du menu SMIT.
Protocole TCP/IP
4-189
En outre, AIX 5.2 et les versions sup&eacute;rieures fournissent la priorit&eacute;, c’est–&agrave;–dire que la
carte configur&eacute;e dans l’EtherChannel principal sera utilis&eacute; en priorit&eacute; par rapport &agrave; la carte
de secours. Tant que la carte principale est fonctionnelle, elle sera utilis&eacute;e. Ceci s’oppose
au comportement du mode Network Interface Backup, dans lequel la carte de secours &eacute;tait
utilis&eacute;e jusqu’&agrave; sa d&eacute;faillance, que la carte principale soit ou non d&eacute;j&agrave; r&eacute;tablie.
Tout en fonction en mode Network Interface Backup, il est aussi possible de configurer
l’EtherChannel pour d&eacute;tecter la d&eacute;faillance de la liaison et l’inaccessibilit&eacute; du r&eacute;seau. Pour
ce faire, indiquez l’adresse IP d’un h&ocirc;te &eacute;loign&eacute; auquel la connexion doit toujours &ecirc;tre
&eacute;tablie. L’EtherChannel lance r&eacute;guli&egrave;rement une commande ping sur cet h&ocirc;te pour
d&eacute;terminer s’il existe toujours un chemin r&eacute;seau permettant d’y acc&eacute;der. Si un certain
nombre de tentatives de commande ping restent sans r&eacute;ponse, l’EtherChannel bascule vers
la carte de secours suivante dans l’espoir qu’il existe un chemin d’acc&egrave;s r&eacute;seau &agrave; l’h&ocirc;te
&eacute;loign&eacute; via la carte suivante. Dans cette configuration, non seulement chaque carte doit &ecirc;tre
connect&eacute;e &agrave; un commutateur diff&eacute;rent, mais chaque commutateur doit avoir un chemin
d’acc&egrave;s diff&eacute;rent &agrave; l’h&ocirc;te recevant la commande ping.
La commande ping est disponible uniquement en mode Network Interface Backup.
Cependant, dans AIX 5.2 et les versions sup&eacute;rieures, si la commande ping est activ&eacute;e et
qu’une prise de relais a eu lieu, l’EtherChannel ne rebascule pas vers la carte principale. La
carte de secours restera le canal actif tant qu’elle sera op&eacute;rationnelle, car il n’existe aucun
moyen de savoir &agrave; quel moment le chemin d’acc&egrave;s &agrave; l’h&ocirc;te recevant la commande ping sera
accessible &agrave; partir de la carte principale. Si une d&eacute;faillance est d&eacute;tect&eacute;e lorsque la carte de
secours est active (c’est–&agrave;–dire si les tentatives de commande ping &eacute;chouent &agrave; partir de la
carte de secours ou si la carte de secours elle–m&ecirc;me a une d&eacute;faillance), l’EtherChannel
bascule alors vers la carte principale. Si la prise de relais s’est produite parce que la carte
principale a &eacute;chou&eacute;, l’EtherChannel revient alors &agrave; la carte principale d&egrave;s qu’elle est
r&eacute;tablie.
Pour configurer Network Interface Backup dans AIX 5.2, reportez–vous &agrave; Configuration de
Network Interface Backup dans AIX 5.2 et dans les versions sup&eacute;rieures. Pour configurer
Network Interface Backup dans les versions pr&eacute;c&eacute;dentes d’AIX, reportez–vous &agrave; l’Annexe
B. Configuration de Network Interface Backup dans les versions pr&eacute;c&eacute;dentes d’AIX.
Configuration de Network Interface Backup dans AIX 5.2 et versions sup&eacute;rieures
1. Avec les droits root, tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez sur
Entr&eacute;e.
3. S&eacute;lectionnez la carte Ethernet principale et appuyez sur Entr&eacute;e. C’est la carte qui est
utilis&eacute;e tant qu’elle n’a pas de d&eacute;faillance.
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet. Si vous
s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e, vous obtenez un message
d’erreur et devrez d&eacute;tacher l’interface avant de l’utiliser. Reportez–vous
&agrave; la commande ifconfig pour savoir comment d&eacute;tacher une interface.
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– EtherChannel / Link Aggregation Adapters: Vous devez voir s’afficher la carte
principale s&eacute;lectionn&eacute;e &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address: Ce champ est facultatif. Le choix de la valeur yes vous
permet de pr&eacute;ciser une adresse MAC que l’EtherChannel doit utiliser. Si vous
d&eacute;finissez la valeur no pour cette option, l’EtherChannel utilisera l’adresse MAC de la
carte principale.
– Alternate Address: Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x et
&ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres.
– Enable Gigabit Ethernet Jumbo Frames: Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
4-190
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
– Mode: Le mode de fonctionnement que vous s&eacute;lectionnez n’a pas d’importance car il
n’existe qu’une seule carte dans l’EtherChannel principal. Tous les paquets sont
envoy&eacute;s via cette carte jusqu’&agrave; ce qu’elle ait une d&eacute;faillance. Il n’existe pas de mode
netif_backup car ce mode peut &ecirc;tre &eacute;mul&eacute; via une carte de secours.
– Backup Adapter: Indiquez la carte &agrave; utiliser comme carte de secours. A la suite
d’une prise de relais, cette carte est utilis&eacute;e jusqu’&agrave; ce que la carte principale soit
r&eacute;tablie. Il est conseill&eacute; d’utiliser la carte de pr&eacute;dilection comme carte principale.
– Internet Address to Ping: Ce champ est facultatif. L’EtherChannel lance une
commande ping sur l’adresse IP indiqu&eacute;e ici. Si l’EtherChannel ne parvient pas &agrave;
lancer une commande ping au terme du nombre de tentatives pr&eacute;cis&eacute; dans Number
of Retries dasn les intervalles Retry Timeout, l’EtherChannel effectue un
basculement des cartes.
– Number of Retries: Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que l’EtherChannel ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous d&eacute;finissez Internet Address to Ping.
– Retry Timeout: Entrez le nombre de secondes entre les envois de commande ping
de l’EtherChannel &agrave; Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous d&eacute;finissez Internet
Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er l’EtherChannel.
6. Configurez IP via la nouvelle interface en tapant smit chinet sur la ligne de
commande.
7. S&eacute;lectionnez votre nouvelle interface EtherChannel dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Pour savoir quelles sont les autres t&acirc;ches &agrave; ex&eacute;cuter une fois l’EtherChannel configur&eacute;,
reportez–vous &agrave; Gestion d’EtherChannel et de IEEE 802.3ad Link Aggregation.
Gestion d’EtherChannel et de IEEE 802.3ad Link Aggregation
Cette section vous indique comment ex&eacute;cuter les t&acirc;ches suivantes :
• Affichage de la liste des EtherChannels ou des Link Aggregations page 4-191
• Modification de l’adresse de remplacement page 4-192
• Ajout, suppression ou changement des cartes dans un EtherChannel ou Link
Aggregation page 4-192
• Suppression d’un EtherChannel ou d’un Link Aggregation page 4-193
• Configuration ou suppression d’une carte de secours sur un EtherChannel ou un Link
Aggregation existant page 4-193
Affichage de la liste des EtherChannels ou des Link Aggregations
1. Sur la ligne de commande, tapez smit etherchannel.
2. S&eacute;lectionnez List All EtherChannels / Link Aggregations et appuyez sur Entr&eacute;e.
Protocole TCP/IP
4-191
Modification de l’adresse de remplacement
Ceci vous permet d’indiquer une adresse MAC pour votre EtherChannel ou Link
Aggregation.
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel ou Link Aggregation.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel et appuyez sur
Entr&eacute;e.
4. Si vous avez plusieurs EtherChannels, s&eacute;lectionnez celui pour lequel vous voulez cr&eacute;er
une adresse de remplacement.
5. Remplacez la valeur de Enable Alternate EtherChannel Address par yes.
6. Entrez l’adresse de remplacement dans le champ Alternate EtherChannel Address.
L’adresse doit commencer par 0x et &ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres.
7. Appuyez sur Entr&eacute;e pour ex&eacute;cuter la proc&eacute;dure.
Ajout, suppression ou changement de cartes dans un EtherChannel ou Link
Aggregation
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel / Link Aggregation
et appuyez sur Entr&eacute;e.
4. S&eacute;lectionnez l’EtherChannel ou le Link Aggregation &agrave; modifier.
5. S&eacute;lectionnez les cartes Ethernet principales de l’EtherChannel ou du Link Aggregation et
appuyez sur Entr&eacute;e. Si vous utilisez une carte de secours, ne s&eacute;lectionnez pas cette
carte ici.
6. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
4-192
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Suppression d’un EtherChannel ou d’un Link Aggregation
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Remove an Etherchannel et appuyez sur Entr&eacute;e.
4. S&eacute;lectionnez l’ EtherChannel que vous souhaitez supprimer et appuyez sur Entr&eacute;e.
Configuration ou suppression d’une carte de secours sur un EtherChannel ou un
Link Aggregation existant
La proc&eacute;dure suivante configure ou supprime une carte de secours sur un EtherChannel ou
Link Aggregation. L’option est disponible uniquement dans AIX 5.2 et les versions
sup&eacute;rieures.
1. Tapez ifconfig interface detach, o&ugrave; interface d&eacute;signe votre interface
EtherChannel ou Link Aggregation.
2. Sur la ligne de commande, tapez smit etherchannel.
3. S&eacute;lectionnez Change / Show Characteristics of an EtherChannel / Link
Aggregation.
4. S&eacute;lectionnez l’EtherChannel ou Link Aggregation sur lequel vous ajoutez ou modifiez la
carte de secours.
5. Entrez la carte &agrave; utiliser comme carte de secours dans le champ Backup Adapter ou
s&eacute;lectionnez NONE si vous voulez cesser d’utiliser la carte de secours.
Identification des incidents d’EtherChannel
En cas de probl&egrave;me avec l’EtherChannel, envisagez les points suivants :
Suivi d’EtherChannel
Utilisez tcpdump et iptrace pour identifier et r&eacute;soudre les incidents li&eacute;s &agrave; l’EtherChannel.
L’ID d’ancrage de trace pour les paquets de transmission est 2FA et 2FB pour les autres
&eacute;v&eacute;nements. Vous ne pouvez pas effectuer le suivi de paquets sur l’EtherChannel tout
entier, mais pouvez suivre les points d’ancrage de suivi de r&eacute;ception de chaque carte.
Affichage des statistiques d’ EtherChannel
Utilisez la commande entstat pour obtenir l’agr&eacute;gat des statistiques de toutes les cartes de
l’EtherChannel. Par exemple, entstat ent7 affichera l’agr&eacute;gat de statistique de ent7.
L’ajout de l’indicateur –d affiche &eacute;galement les statistiques de chaque carte. Par exemple,
la commande entstat –d ent7 affiche l’agr&eacute;gat des statistiques de l’EtherChannel ainsi
que les statistiques de chaque carte de l’EtherChannel.
Remarque :
Dans la section Statistiques g&eacute;n&eacute;rales , le chiffre indiqu&eacute; dans
Adapter Reset Count est celui des prises de relais. Dans l’option de
secours d’EtherChannel, le retour &agrave; l’EtherChannel principal &agrave; partir de la
carte de secours n’est pas comptabilis&eacute; comme une prise de relais. Seule
une prise de relais &agrave; partir du canal principal au secours est comptabilis&eacute;.
Dans le champ Number of Adapters , la carte de secours est comptabilis&eacute;e dans
le chiffre affich&eacute;.
Am&eacute;lioration de la prise de relais lente
Si la prise de relais lorsque vous utilisez le mode Network Interface Backup ou l’option de
secours EtherChannel est lente, v&eacute;rifiez que le commutateur n’ex&eacute;cute pas le protocole
STP (Spanning Tree Protocol). Lorsque le commutateur d&eacute;tecte une modification de son
&eacute;quivalence port de commutateur/adresse MAC, il ex&eacute;cute l’algorithme STP pour voir s’il y a
des boucles dans le r&eacute;seau. Network Interface Backup et l’option de secours EtherChannel
peuvent provoquer une modification de l’&eacute;quivalence port/adresse MAC.
Protocole TCP/IP
4-193
Les ports de commutation ont un compteur de retard de transmission qui d&eacute;termine au bout
de combien de temps apr&egrave;s l’initialisation chaque port doit commencer &agrave; retransmettre ou
envoyer des paquets. Pour cette raison, lorsque le canal principal est r&eacute;activ&eacute;, il se produit
un retard avant le r&eacute;tablissement de la connexion, tandis que la prise de relais par la carte
de secours est plus rapide. V&eacute;rifiez le compteur de retard de retransmission du
commutateur et indiquez une valeur aussi basse que possible afin de pouvoir revenir aussi
vite que possible au canal principal.
Pour que l’option de secours EtherChannel fonctionne correctement, le compteur de retard
de retransmission ne doit pas exc&eacute;der 10 secondes ou le retour &agrave; l’EtherChannel principal
risque de ne pas se d&eacute;rouler normalement. Il est conseill&eacute; d’affecter la valeur la plus basse
possible autoris&eacute;e par le commutateur au compteur de retard de retransmission.
Les cartes ne prennent pas le relais
Si les d&eacute;faillances des cartes ne d&eacute;clenchent pas des prises de relais, regardez si vos
cartes ont besoin d’activer le sondage de liaison pour d&eacute;tecter la d&eacute;faillance de liaison.
Certaines cartes ne peuvent pas d&eacute;tecter automatiquement l’&eacute;tat de leur liaison. Pour
d&eacute;tecter cet &eacute;tat, ces cartes doivent activer un m&eacute;canisme de sondage de liaison qui
d&eacute;marre un compteur qui v&eacute;rifie r&eacute;guli&egrave;rement l’&eacute;tat de la liaison. Le sondage de liaison est
d&eacute;sactiv&eacute; par d&eacute;faut. Toutefois, pour qu’EtherChannel fonctionne correctement avec ces
cartes, le m&eacute;canisme de sondage de liaison doit &ecirc;tre activ&eacute; sur chaque carte avant que
l’EtherChannel soit cr&eacute;&eacute;.
Les cartes poss&eacute;dant un m&eacute;canisme de sondage de liaison ont un attribut ODM appel&eacute;
poll_link, qui doit avoir la valeur yes pour que le sondage de liaison soit activ&eacute;. Avant de
cr&eacute;er l’EtherChannel, lancez la commande suivante sur chaque carte &agrave; inclure :
smit chgenet
Remplacez la valeur de Enable Link Polling par yes puis appuyez sur Entr&eacute;e.
Utilisation de trames jumbo
Pour que les trames jumbo fonctionnent correctement, vous devez activer l’attribut
use_jumbo_frame sur l’EtherChannel, mais aussi les trames jumbo sur chaque carte avant
de cr&eacute;er l’EtherChannel &agrave; l’aide de la commande suivante :
smitty chgenet
Remplacez la valeur de Enable Jumbo Frames par yes, puis appuyez sur Entr&eacute;e.
Vidage &agrave; distance
Le vidage &agrave; distance n’est pas pris en charge via un EtherChannel.
IEEE 802.3ad Link Aggregation
IEEE 802.3ad est une m&eacute;thode standard permettant de cr&eacute;er un agr&eacute;gat de liaisons. Sur le
plan conceptuel, il fonctionne de la m&ecirc;me fa&ccedil;on qu’EtherChannel : plusieurs cartes Ethernet
sont regroup&eacute;es en une seule carte virtuelle, fournissant une bande passante plus &eacute;lev&eacute;e et
la protection contre les &eacute;checs. Comme EtherChannel, IEEE 802.3ad n&eacute;cessite d’&ecirc;tre pris
en charge par le commutateur.
Dans IEEE 802.3ad, le protocole indique automatiquement au commutateur les ports qui
doivent &ecirc;tre regroup&eacute;s en agr&eacute;gat. Lorsqu’un agr&eacute;gat IEEE 802.3ad est configur&eacute;, des
unit&eacute;s Link Aggregation Control Protocol Data Units (LACPDU) sont &eacute;chang&eacute;es entre le
serveur et le commutateur. Ce protocole LACP (Link Aggregation Control Protocol) pr&eacute;vient
le commutateur que les cartes configur&eacute;es dans l’agr&eacute;gat doivent &ecirc;tre consid&eacute;r&eacute;es comme
une seule carte sur le commutateur sans autre intervention de l’utilisateur.
Bien que le sp&eacute;cification IEEE 802.3ad ne permette pas &agrave; l’utilisateur de choisir les cartes
qui doivent &ecirc;tre regroup&eacute;es en un agr&eacute;gat, AIX permet &agrave; l’utilisateur de choisir les cartes.
Pour pouvoir &ecirc;tre regroup&eacute;es en un agr&eacute;gat (c’est–&agrave;–dire que le commutateur leur
permettra d’appartenir au m&ecirc;me agr&eacute;gat), les cartes doivent avoir la m&ecirc;me vitesse de ligne
(par exemple 100 Mbps ou 1 Gbps) et utiliser toutes le mode de duplex int&eacute;gral. Si vous
4-194
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
tentez de placer des cartes de vitesses diff&eacute;rentes ou utilisant des modes duplex diff&eacute;rents,
vous parviendrez &agrave; cr&eacute;er un agr&eacute;gat sur le syst&egrave;me, mais le commutateur risque de ne pas
cr&eacute;er l’agr&eacute;gat des cartes. Si c’est le cas, vous remarquerez une baisse des performances
du r&eacute;seau. Pour savoir si la cr&eacute;ation d’un agr&eacute;gat a r&eacute;ussi, reportez–vous &agrave; Identification
des incidents IEEE 802.3ad page 4-197.
Selon la sp&eacute;cification IEEE 802.3ad, les paquets envoy&eacute;s &agrave; la m&ecirc;me adresse IP sont tous
envoy&eacute;s via la m&ecirc;me carte. Ainsi, en mode 8023ad , les paquets seront toujours distribu&eacute;s
de fa&ccedil;on standard, jamais circulaire (round–robin).
La carte de secours est disponible pour IEEE 802.3ad Link Aggregations. La carte de
secours n’a pas besoin d’&ecirc;tre connect&eacute;e &agrave; un commutateur IEEE 802.3ad, mais si elle l’est,
la carte de secours continuera d’utiliser IEEE 802.3ad LACP.
Vous pouvez aussi configurer un IEEE 802.3ad Link Aggregation si le commutateur prend
en charge EtherChannel mais pas IEEE 802.3ad. Dans ce cas, vous devrez configurer
manuellement les ports en tant qu’un EtherChannel sur le commutateur (tout comme si un
EtherChannel normal avait &eacute;t&eacute; cr&eacute;&eacute;). En d&eacute;finissant le mode &agrave; 8023ad, l’agr&eacute;gat fonctionne
avec EtherChannel ainsi qu’avec les commutateurs IEEE 802.3ad–enabled. Pour plus
d’informations sur l’interop&eacute;rabilit&eacute;, reportez–vous &agrave; la section Sc&eacute;narios d’interop&eacute;rabilit&eacute;
page 4-197 .
Remarque :
Les &eacute;tapes d’activation de l’utilisation de IEEE 802.3ad varient d’un
commutateur &agrave; l’autre. Consultez la documentation du commutateur pour
d&eacute;terminer les &eacute;tapes initiales, le cas &eacute;ch&eacute;ant, qui doivent &ecirc;tre effectu&eacute;es
pour activer LACP sur le commutateur.
Pour plus d’informations sur la configuration et l’utilisation de IEEE 802.3ad Link
Aggregation, reportez–vous &agrave; Configuration de IEEE 802.3ad Link Aggregation page 4-195.
Remarques
Prenez en compte les &eacute;l&eacute;ments suivants avant de configurer IEEE 802.3ad Link
Aggregation :
• Bien que la mise en œuvre de IEEE 802.3ad sous AIX permette &agrave; Link Aggregation de
contenir des cartes de diff&eacute;rentes vitesses de ligne, vous devez uniquement cr&eacute;er des
agr&eacute;gats de cartes ayant la m&ecirc;me vitesse et utilisant le mode duplex int&eacute;gral. Ceci &eacute;vite
les probl&egrave;mes potentiels de configuration de Link Aggregation sur le commutateur.
Reportez–vous &agrave; la documentation du commutateur pour plus d’informations sur les
types d’agr&eacute;gats autoris&eacute;s par le commutateur.
• Si vous utilisez des cartes 10/100 Ethernet dans le Link Aggregation, vous devez activer
le sondage de liaison sur ces cartes avant de les ajouter &agrave; l’agr&eacute;gat. Tapez smitty
chgenet sur la ligne de commande. Remplacez la valeur de Enable Link Polling par
yes, puis appuyez sur Entr&eacute;e. Proc&eacute;dez de cette fa&ccedil;on pour chaque carte 10/100
Ethernet que vous ajoutez au Link Aggregation.
Configuration de IEEE 802.3ad Link Aggregation
Proc&eacute;dez comme suit pour configurer un IEEE 802.3ad Link Aggregation :
1. Tapez smit etherchannel sur la ligne de commande.
2. S&eacute;lectionnez Add an EtherChannel / Link Aggregation dans la liste et appuyez sur
Entr&eacute;e.
3. S&eacute;lectionnez les cartes Ethernet principales de Link Aggregation et appuyez sur Entr&eacute;e.
Si vous pr&eacute;voyez d’utiliser une carte de secours, ne s&eacute;lectionnez pas la carte de secours
&agrave; ce stade. L’option de la carte de secours est disponible dans AIX 5.2 et les versions
sup&eacute;rieures.
Protocole TCP/IP
4-195
Remarque :
Cartes r&eacute;seau disponibles affiche toutes les cartes Ethernet. Si vous
s&eacute;lectionnez une carte Ethernet d&eacute;j&agrave; utilis&eacute;e (dont l’interface est
d&eacute;finie), vous obtenez un message d’erreur. Vous devez d’abord
d&eacute;tacher ces interfaces si vous souhaitez les utiliser.
4. Entrez les informations dans les champs en respectant les consignes suivantes :
– Cartes EtherChannel / Link Aggregation : Vous devez voir s’afficher toutes les
cartes principales utilis&eacute;es dans le Link Aggregation. Vous avez s&eacute;lectionn&eacute; ces
cartes &agrave; l’&eacute;tape pr&eacute;c&eacute;dente.
– Enable Alternate Address: Ce champ est facultatif. Le choix de la valeur yes vous
permet de pr&eacute;ciser une adresse MAC que le Link Aggregation doit utiliser. Si vous
d&eacute;finissez la valeur no pour cette option, le Link Aggregation utilisera l’adresse MAC
de la premi&egrave;re carte indiqu&eacute;e.
– Alternate Address: Si vous attribuez &agrave; Enable Alternate Address la valeur yes,
indiquez l’adresse MAC &agrave; utiliser ici. L’adresse indiqu&eacute;e doit commencer par 0x et
&ecirc;tre une valeur hexad&eacute;cimale &agrave; 12 chiffres.
– Enable Gigabit Ethernet Jumbo Frames: Ce champ est facultatif. Pour l’utiliser, le
commutateur doit prendre en charge les trames jumbo. Ceci fonctionne uniquement
avec une interface Ethernet Standard (en) mais pas avec une interface IEEE 802.3.
Affectez la valeur yes si vous voulez l’activer.
– Mode: Entrez 8023ad.
– Backup Adapter: Ce champ est facultatif. Indiquez la carte &agrave; utiliser comme carte de
secours. L’option de la carte de secours est disponible dans AIX 5.2 et les versions
sup&eacute;rieures.
– Internet Address to Ping: Ce champ est facultatif et n’est disponible que si vous
avez une seule carte dans l’agr&eacute;gat et une carte de secours. Link Aggregation lance
une commande ping sur l’adresse IP indiqu&eacute;e ici. Si Link Aggregation ne parvient pas
&agrave; lancer une commande ping au terme du nombre de tentatives pr&eacute;cis&eacute; dans
Number of Retries dans les intervalles Retry Timeout, Link Aggregation effectue
un basculement des cartes.
– Number of Retries: Entrez le nombre d’&eacute;checs de r&eacute;ponses ping autoris&eacute;s avant
que Link Aggregation ne change de cartes. La valeur par d&eacute;faut est 3. Ce champ est
facultatif et valide uniquement si vous d&eacute;finissez Internet Address to Ping.
– Retry Timeout: Entrez le nombre de secondes entre les envois de commande ping
de Link Aggregation &agrave; Internet Address to Ping. La valeur par d&eacute;faut est une
seconde. Ce champ est facultatif et valide uniquement si vous d&eacute;finissez Internet
Address to Ping.
5. Appuyez sur Entr&eacute;e apr&egrave;s avoir modifi&eacute; les champs voulus pour cr&eacute;er le Link
Aggregation.
6. Configurez IP via la nouvelle unit&eacute; Link Aggregation en tapant smit chinet sur la
ligne de commande.
7. S&eacute;lectionnez votre nouvelle interface Link Aggregation dans la liste.
8. Remplissez tous les champs requis et appuyez sur Entr&eacute;e.
Gestion de IEEE 802.3ad
Pour les t&acirc;ches de gestion pouvant &ecirc;tre ex&eacute;cut&eacute;es sur un IEEE 802.3ad Link Aggregation
apr&egrave;s la configuration, reportez–vous &agrave; Gestion d’EtherChannel et de IEEE 802.3ad Link
Aggregation.
4-196
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification des incidents de IEEE 802.3ad
Si des probl&egrave;mes li&eacute;s au IEEE 802.3ad Link Aggregation se produisent, lancez la
commande suivante pour v&eacute;rifier le mode de fonctionnement de Link Aggregation :
entstat –d
device
o&ugrave; device est l’unit&eacute; Link Aggregation.
Ceci permet &eacute;galement de d&eacute;terminer le meilleur effort de l’&eacute;tat de la progression du LACP
bas&eacute; sur les unit&eacute;s LACPDU re&ccedil;ues du commutateur. Les valeurs d’&eacute;tat possibles sont les
suivantes :
• Inactive: LACP n’a pas &eacute;t&eacute; initialis&eacute;. Dans cet &eacute;tat, un Link Aggregation n’a pas
encore &eacute;t&eacute; configur&eacute;, soit parce qu’il n’a pas encore re&ccedil;u d’adresse IP soit parce que
son interface a &eacute;t&eacute; d&eacute;tach&eacute;e.
• Negotiating: LACP est en cours, mais le commutateur n’a pas encore regroup&eacute; les
cartes en agr&eacute;gat. Si le Link Aggregation conserve cet &eacute;tat plus d’une minute, v&eacute;rifiez
que le commutateur est correctement configur&eacute;. V&eacute;rifiez par exemple que LACP est
activ&eacute; sur les ports.
• Aggregated: LACP a r&eacute;ussi et le commutateur a regroup&eacute; les cartes dans un agr&eacute;gat.
• Failed: LACP a &eacute;chou&eacute;. Certaines des causes possibles sont que les cartes de
l’agr&eacute;gat ont des vitesses de ligne ou des modes duplex diff&eacute;rents ou qu’elles sont
connect&eacute;es &agrave; des commutateurs diff&eacute;rents. V&eacute;rifiez les configurations des cartes.
En outre, certains commutateurs permettent uniquement aux ports contigus d’&ecirc;tre
regroup&eacute;s et imposent parfois une limite au nombre de cartes pouvant &ecirc;tre regroup&eacute;es.
Consultez la documentation du commutateur pour conna&icirc;tre les limites &eacute;ventuelles du
commutateur, puis v&eacute;rifiez sa configuration.
Remarque :
L’&eacute;tat du Link Aggregation est une valeur de diagnostic et n’a pas
d’incidence sur le c&ocirc;t&eacute; AIX de la configuration. Cette valeur d’&eacute;tat a &eacute;t&eacute;
calcul&eacute;e via une tentative de meilleur effort. Pour r&eacute;soudre les autres
probl&egrave;mes d’agr&eacute;gat, il est conseill&eacute; de v&eacute;rifier la configuration du
commutateur.
Sc&eacute;narios d’interop&eacute;rabilit&eacute;
Le tableau suivant repr&eacute;sente plusieurs sc&eacute;narios d’interop&eacute;rabilit&eacute;. Prenez en compte ces
sc&eacute;narios lorsque vous configurez un EtherChannel ou IEEE 802.3ad Link Aggregation.
Vous trouverez une explication suppl&eacute;mentaire de chaque sc&eacute;nario &agrave; la suite du tableau.
Mode de configuration AIX Configuration de
commutateur
R&eacute;sultat
8023ad
IEEE 802.3ad LACP
OK – AIX lance des unit&eacute;s
LACPDU qui d&eacute;clenchent un
IEEE 802.3ad Link
Aggregation sur le
commutateur.
standard ou
round_robin
EtherChannel
OK – R&eacute;sultats dans le
comportement
EtherChannel traditionnel.
Protocole TCP/IP
4-197
8023ad
EtherChannel
OK – R&eacute;sultats dans le
comportement
EtherChannel traditionnel.
AIX initialise des unit&eacute;s
LACPDU mais le
commutateur n’en tient pas
compte.
standard ou
round_robin
IEEE 802.3ad LACP
Non souhaitable – Le
commutateur ne peut pas
former d’agr&eacute;gat. Il en
r&eacute;sulte des performances
m&eacute;diocres car AIX transf&egrave;re
l’adresse MAC entre les
ports du commutateur.
• 8023ad avec IEEE 802.3ad LACP :
Il s’agit de la configuration IEEE 802.3ad la plus courante. Ce commutateur peut &ecirc;tre un
LACP passif ou actif.
• standard ou round_robin avec EtherChannel :
Il s’agit de la configuration EtherChannel la plus courante.
• 8023ad avec EtherChannel :
Dans ce cas, AIX enverra les unit&eacute;s LACPDU mais elles n’obtiendront pas de r&eacute;ponse
car le commutateur op&egrave;re comme un EtherChannel. Le fonctionnement sera cependant
correct car le commutateur continuera de traiter ces ports comme une liaison unique.
Remarque :
Dans ce cas, la commande entstat –d signalera toujours que
l’agr&eacute;gat a l’&eacute;tat Negotiating.
• standard ou round_robin avec IEEE 802.3ad LACP :
Cette configuration est incorrecte. Si le commutateur utilise LACP pour cr&eacute;er un agr&eacute;gat,
celui n’est jamais form&eacute; car AIX ne r&eacute;pond jamais aux unit&eacute;s LACPDU. Pour obtenir un
fonctionnement correct, d&eacute;finissez le mode 8023ad dans AIX.
4-198
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Recherche de MTU d’acc&egrave;s
Pour deux h&ocirc;tes communiquant via un chemin d’acc&egrave;s &agrave; des r&eacute;seaux multiples, les paquets
transmis sont fragment&eacute;s si leur taille d&eacute;passe celle de la plus petite MTU d’un r&eacute;seau
quelconque du chemin d’acc&egrave;s. La fragmentation &eacute;tant susceptible de r&eacute;duire les
performances du r&eacute;seau, il suffit, pour l’&eacute;viter, de transmettre des paquets de taille inf&eacute;rieure
ou &eacute;gale &agrave; celle de la plus petite MTU du chemin d’acc&egrave;s du r&eacute;seau : vous faites alors
appel &agrave; la MTU d’acc&egrave;s.
Un algorithme de recherche de MTU d’acc&egrave;s est pris en charge par ce syst&egrave;me tel que
d&eacute;fini dans le RFC 1191. Pour l’activer pour les applications TCP et UDP, modifiez les
options tcp_pmtu_discover et udp_pmtu_discover de la commande no. Quand elle est
activ&eacute;e pour TCP, la recherche de MTU d’acc&egrave;s impose automatiquement aux paquets
transmis par les applications TCP une taille ne d&eacute;passant pas la MTU d’acc&egrave;s. Les
applications UDP d&eacute;terminent elles-m&ecirc;mes la taille de leurs paquets transmis : aussi
doivent-elles &ecirc;tre configur&eacute;es pour utiliser l’information de MTU d’acc&egrave;s via l’option socket
IP_FINDPMTU, m&ecirc;me si l’option udp_pmtu_discover no est activ&eacute;e. Les options
tcp_pmtu_discover et udp_pmtu_discover sont d&eacute;sactiv&eacute;es par d&eacute;faut de la version AIX
Version 4.2.1 &agrave; AIX Version 4.3.1, et activ&eacute;es sur la version AIX Version 4.3.2 et les
versions ult&eacute;rieures.
Une fois la MTU d’acc&egrave;s trouv&eacute;e pour une route de r&eacute;seau, une route h&ocirc;te distincte est
”clon&eacute;e” pour le chemin d’acc&egrave;s. Vous pouvez afficher les routes h&ocirc;te ”clon&eacute;es” et la valeur
MTU d’acc&egrave;s pour la route avec la commande netstat –r. L’accumulation des routes
”clon&eacute;es” peut &ecirc;tre &eacute;vit&eacute;e en permettant l’expiration et la suppression des routes inutilis&eacute;es.
L’option route_expire de la commande no contr&ocirc;le l’expiration des routes ; elle est
d&eacute;sactiv&eacute;e par d&eacute;faut. L’option de contr&ocirc;le de l’expiration des routes est d&eacute;sactiv&eacute;e par
d&eacute;faut de la version AIX Version 4.2.1 &agrave; AIX Version 4.3.1, et d&eacute;finie sur 1 minute dans les
versions AIX Version 4.3.2 et ult&eacute;rieures.
Les routes pouvant &ecirc;tre modifi&eacute;es dynamiquement, les valeurs MTU d’acc&egrave;s peuvent
&eacute;galement changer dans le temps. La diminution de ces valeurs &eacute;tant susceptible de
provoquer la fragmentation de paquets, ces valeurs sont analys&eacute;es r&eacute;guli&egrave;rement (toutes
les 10 minutes par d&eacute;faut). Vous pouvez modifier la fr&eacute;quence d’analyse avec l’option
pmtu_default_age de la commande no.
L’augmentation des valeurs MTU d’acc&egrave;s peut accro&icirc;tre les performances du r&eacute;seau. Les
valeurs trouv&eacute;es sont donc analys&eacute;es r&eacute;guli&egrave;rement pour y rechercher une augmentation
(toutes les 30 minutes par d&eacute;faut). Vous pouvez modifier la fr&eacute;quence d’analyse avec
l’option pmtu_rediscover_interval de la commande no.
Si tous les routeurs du chemin d’acc&egrave;s au r&eacute;seau n’admettent pas le RFC 1191, d&eacute;terminer
la valeur MTU d’acc&egrave;s exacte peut s’av&eacute;rer impossible. Dans ce cas, la commande mmtu
permet d’ent&eacute;riner ou non les valeurs test&eacute;es.
Remarques :
1. Sur les routes en double et sur celles d&eacute;finies avec group routing, la recherche de MTU
d’acc&egrave;s n’est pas possible.
2. Avec la recherche de MTU d’acc&egrave;s activ&eacute;e, l’option arpqsize de la commande no a sa
valeur minimale d&eacute;finie &agrave; 5. Si, par la suite, la recherche de MTU d’acc&egrave;s est d&eacute;sactiv&eacute;e,
cette valeur n’est pas diminu&eacute;e.
Protocole TCP/IP
4-199
protocole SLIP
Configuration de SLIP pour modem
Pour configurer un protocole SLIP entre deux syst&egrave;mes communiquant via un modem, vous
pouvez utiliser le raccourci Web-based System Manager wsm ou la proc&eacute;dure suivante, qui
fait appel &agrave; SMIT et &agrave; la ligne de commande. Les deux h&ocirc;tes sont appel&eacute;s bronze et gold.
1. Connectez physiquement les modems &agrave; bronze et gold.
2. Pour cr&eacute;er un tty sur bronze via SMIT :
a. Entrez :
smit maktty
b. S&eacute;lectionnez rs232 comme type de tty.
c. S&eacute;lectionnez un port s&eacute;rie disponible, par exemple sa0 (port s&eacute;rie syst&egrave;me 1).
d. S&eacute;lectionnez dans la liste un num&eacute;ro de port pour le tty.
e. D&eacute;finissez le d&eacute;bit (en bauds) de votre modem.
f. D&eacute;sactivez l’option Activation de la connexion.
g. Quittez SMIT.
3. Cr&eacute;ez un tty sur gold.
Suivez la m&ecirc;me proc&eacute;dure que pour bronze (&eacute;tape 2), except&eacute; pour l’option Activation
de la connexion, qui doit &ecirc;tre activ&eacute;e (enable).
Dans la suite de la proc&eacute;dure, le num&eacute;ro tty de bronze et de gold est suppos&eacute; &ecirc;tre tty1.
4. Testez la connexion physique avec ATE.
a. C&ocirc;t&eacute; bronze, entrez :
ate
b. Dans le MENU PRINCIPAL (ETAT NON CONNECTE), s&eacute;lectionnez Alter. Indiquez,
en bauds, le d&eacute;bit de votre modem (Rate), et tty1 comme unit&eacute; (Device).
c. Dans le MENU PRINCIPAL (ETAT NON CONNECTE), s&eacute;lectionnez Connect.
Lorsque vous y &ecirc;tes invit&eacute; par ATE, composez le num&eacute;ro d’appel de gold et appuyez
sur Entr&eacute;e.
d. A ce stade, vous devez recevoir une invite de connexion pour gold. Login.
e. Enfin, &agrave; partir de l’&eacute;cran connect&eacute;, d&eacute;connectez-vous de gold, appuyez sur Ctrl–v
(pour appeler le MENU PRINCIPAL (ETAT CONNECTE), entrez t pour mettre fin &agrave; la
connexion, puis q pour quitter ATE.
Remarque :
Si vous ne recevez pas d’invite de connexion, revenez &agrave; l’&eacute;tape 1 et
v&eacute;rifiez la configuration. Ne poursuivez qu’une fois la connexion &eacute;tablie
avec gold. La configuration de tty pour ATE est l&eacute;g&egrave;rement diff&eacute;rente de
celle pour SLIP. Pour cette raison, vous devez apporter les modifications
suivantes :
a. C&ocirc;t&eacute; bronze, entrez :
smit chgtty
b. C&ocirc;t&eacute; gold, entrez :
smit chgtty–pdisable tty1
S&eacute;lectionnez tty1, puis Modification/affichage d’un programme TTY. D&eacute;sactivez
l’option Activation de la connexion puis quittez SMIT.
4-200
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
5. Ins&eacute;rez la ligne suivante dans le fichier /usr/lib/uucp/Devices de bronze et de gold :
Direct tty1 – 9600 direct
ou remplacez 9600 par tout autre d&eacute;bit de modem.
6. Cr&eacute;ez une interface de r&eacute;seau SLIP sur bronze.
a. Entrez :
smit mkinet1sl
b. Pour le port TTY de l’interface de r&eacute;seau SLIP, s&eacute;lectionnez tty1.
c. Sp&eacute;cifiez une adresse Internet, par exemple 130.130.130.1.
d. Sp&eacute;cifiez une adresse de destination (de gold), par exemple 130.130.130.2.
e. Sp&eacute;cifiez le d&eacute;bit (en bauds) de votre modem.
f. Sp&eacute;cifiez la cha&icirc;ne de num&eacute;rotation, par exemple :
. ”” AT OK ATDT555-1234 CONNECT ””
. Cette commande signifie : Utilisez tty1 &agrave; 9600 bauds. Envoyez AT au modem.
Le modem doit r&eacute;pondre OK. Composez le num&eacute;ro d’appel 555–1234. Le
modem doit r&eacute;pondre CONNECTE. Les espaces avant et apr&egrave;s les doubles
guillemets sont obligatoires.
g. Quittez SMIT.
7. Cr&eacute;ez une interface de r&eacute;seau SLIP sur gold.
Suivez la m&ecirc;me proc&eacute;dure que pour bronze (&eacute;tape 5), mais en inversant les adresses
Internet et de destination.
8. Ajoutez les deux lignes ci-dessous dans le fichier /etc/hosts de bronze et de gold :
130.130.130.1
bronze
130.130.130.2
gold
Le nom attribu&eacute; doit &ecirc;tre unique. Autrement dit, si le nom bronze est d&eacute;j&agrave; attribu&eacute; &agrave;
l’interface de r&eacute;seau en anneau &agrave; jeton de l’h&ocirc;te bronze, choisissez-en un autre pour
l’interface SLIP, tel que bronze_slip.
Remarque :
Le script /usr/sbin/slipcall. fournit une interface simplifi&eacute;e pour
la commande slattach.
9. Testez la connexion SLIP.
a. C&ocirc;t&eacute; bronze, entrez :
ping gold
b. C&ocirc;t&eacute; gold, entrez :
ping bronze
Si les deux tests aboutissent, la connexion SLIP peut &ecirc;tre utilis&eacute;e. Sinon, revenez &agrave;
l’&eacute;tape 5 et v&eacute;rifiez la configuration sur bronze et sur gold.
Configuration de SLIP pour c&acirc;ble de modem nul
Pour configurer un protocole SLIP entre deux syst&egrave;mes communiquant via un c&acirc;ble de
modem nul, vous pouvez utiliser le raccourci Web-based System Manager wsm ou la
proc&eacute;dure suivante, qui fait appel &agrave; SMIT et &agrave; la ligne de commande. Les deux h&ocirc;tes sont
appel&eacute;s bronze et gold.
1. Reliez physiquement bronze et gold par un c&acirc;ble de modem nul. Les c&acirc;bles suivants
vous sont n&eacute;cessaires. (Ils sont r&eacute;pertori&eacute;s dans l’ordre de leur connexion, du bronze
au gold.)
a. C&acirc;ble B (r&eacute;f&eacute;rence 00G0943). C&acirc;ble de raccordement port s&eacute;rie : livr&eacute;s avec chaque
syst&egrave;me (sauf pour les mod&egrave;les 220, 340 et 350 qui ne le requi&egrave;rent pas).
Protocole TCP/IP
4-201
b. C&acirc;ble D (r&eacute;f&eacute;rence 6323741, code 2936). C&acirc;ble asynchrone EIA-232/V.24.
c. C&acirc;ble E (r&eacute;f&eacute;rence 59F2861, code 2937). Interposeur imprimante/terminal EIA-232
(c&acirc;ble de modem nul).
d. Carte &eacute;changeur (prises des deux c&ocirc;t&eacute;s).
2. Cr&eacute;ez un tty sur bronze.
a. Entrez :
smit maktty
b. S&eacute;lectionnez rs232 comme type de tty.
c. S&eacute;lectionnez un port s&eacute;rie disponible, par exemple sa0 (port s&eacute;rie syst&egrave;me 1).
d. S&eacute;lectionnez dans la liste un num&eacute;ro de port pour le tty.
e. Fixez le d&eacute;bit, en bauds, &agrave;19200 (vous le passerez ult&eacute;rieurement &agrave; 38400).
f. D&eacute;sactivez l’option Activation de la connexion puis quittez SMIT.
3. Cr&eacute;ez un tty sur gold.
Suivez la m&ecirc;me proc&eacute;dure que pour bronze (&eacute;tape 2), except&eacute; pour l’option Activation
de la connexion, qui doit &ecirc;tre activ&eacute;e (enable).
Remarque :
Dans la suite de la proc&eacute;dure, le num&eacute;ro tty de bronze et de gold est
suppos&eacute; &ecirc;tre tty1.
4. Testez la connexion physique avec ATE.
a. C&ocirc;t&eacute; bronze, entrez :
ate
b. Dans le MENU PRINCIPAL (ETAT NON CONNECTE), s&eacute;lectionnez Alter. Indiquez
19200 comme d&eacute;bit (Rate) et tty1 comme unit&eacute; (Device).
c. Dans le MENU PRINCIPAL (ETAT NON CONNECTE), s&eacute;lectionnez Connect.
Lorsque vous y &ecirc;tes invit&eacute; par ATE, &agrave; composer un num&eacute;ro de t&eacute;l&eacute;phone, appuyez
sur Entr&eacute;e. Le message suivant doit s’afficher :
ate: 0828–010 La Commande Connect a &eacute;tabli une connexion via
le port tty1
d. Appuyez sur Entr&eacute;e. Vous devez recevoir une invite de connexion pour gold.
Connectez-vous.
e. Enfin, &agrave; partir de l’&eacute;cran connect&eacute;, d&eacute;connectez-vous de gold, appuyez sur Ctrl–v
(pour appeler le MENU PRINCIPAL (ETAT CONNECTE), entrez t pour mettre fin &agrave; la
connexion, puis q pour quitter ATE.
Remarque :
Si vous ne recevez pas d’invite de connexion, revenez &agrave; l’&eacute;tape 1 et
v&eacute;rifiez la configuration. Ne poursuivez qu’une fois la connexion &eacute;tablie
avec gold. La configuration de tty pour ATE est l&eacute;g&egrave;rement diff&eacute;rente de
celle pour SLIP. Pour cette raison, vous devez apporter les modifications
suivantes :
a. C&ocirc;t&eacute; bronze, entrez :
smit chgtty
S&eacute;lectionnez tty1. Fixez le d&eacute;bit en bauds &agrave; 38400 puis quittez SMIT.
b. C&ocirc;t&eacute; gold, entrez :
pdisable tty1
c. C&ocirc;t&eacute; gold, entrez :
smit chgtty
4-202
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
S&eacute;lectionnez tty1. D&eacute;sactivez l’option Activation de la connexion, fixez le d&eacute;bit (en
bauds) &agrave; 38400, puis quittez SMIT.
5. Ins&eacute;rez la ligne suivante dans le fichier /usr/lib/uucp/Devices de bronze et de gold :
Direct tty1 – 38400 direct
6. Cr&eacute;ez une interface de r&eacute;seau SLIP sur bronze.
a. Entrez :
smit mkinet1sl
b. Pour le port TTY de l’interface de r&eacute;seau SLIP, s&eacute;lectionnez tty1.
c. Sp&eacute;cifiez l’adresse Internet, par exemple 130.130.130.1.
d. Sp&eacute;cifiez l’adresse de destination (de gold), par exemple 130.130.130.2, puis
appuyez sur Entr&eacute;e.
7. Cr&eacute;ez une interface de r&eacute;seau SLIP sur gold.
Suivez la m&ecirc;me proc&eacute;dure que pour bronze (&eacute;tape 5), mais en inversant les adresses
Internet et de destination.
8. Ajoutez les deux lignes ci-dessous dans le fichier /etc/hosts de bronze et de gold :
130.130.130.1
130.130.130.2
bronze
gold
Le nom attribu&eacute; doit &ecirc;tre unique. Autrement dit, si le nom bronze est d&eacute;j&agrave; attribu&eacute; &agrave;
l’interface de r&eacute;seau en anneau &agrave; jeton de l’h&ocirc;te bronze, choisissez-en un autre pour
l’interface SLIP, tel que bronze_slip.
9. Lancez SLIP sur bronze et gold.
Entrez :
slattach tty1
10.Testez la connexion SLIP.
a. C&ocirc;t&eacute; bronze, entrez :
ping gold
b. C&ocirc;t&eacute; gold, entrez :
ping bronze
Si les deux tests aboutissent, la connexion SLIP peut &ecirc;tre utilis&eacute;e. Sinon, revenez &agrave;
l’&eacute;tape 5 et v&eacute;rifiez la configuration sur bronze et sur gold.
D&eacute;sactivation d’une connexion SLIP
Pour d&eacute;sactiver une connexion SLIP :
1. Entrez :
ps –ef | grep slatt
Relevez le num&eacute;ro des process associ&eacute;s &agrave; la commande slattach.
2. Pour chaque num&eacute;ro de process, entrez :
kill process_number
N’utilisez pas l’indicateur –9 de la commande kill.
Si l’indicateur –9 est malencontreusement associ&eacute; &agrave; la commande slattach, un verrou
slip est susceptible d’&ecirc;tre rest&eacute; dans /etc/locks. Supprimez-le pour le nettoyage
post-slattach.
Protocole TCP/IP
4-203
Suppression d’un TTY
Pour retirer un tty, vous disposez du raccourci Web-based System Manager wsm ou du
raccourci SMIT smit rminet.
4-204
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Protocole asynchrone point-&agrave;-point (PPP)
Le sous–syst&egrave;me asynchrone PPP (Point–to–Point Protocol) offre une alternative &agrave; SLIP.
en proposant une m&eacute;thode standard pour le transport des datagrammes multiprotocoles au
travers de supports point–&agrave;–point. PPP se compose de trois couches principales :
1. Une m&eacute;thode d’encapsulage des datagrammes multiprotocoles. PPP prend en charge
les protocoles de couche r&eacute;seau TCP/IP.
2. Un protocole LCP (Link Control Protocol) qui &eacute;tablit, configure et teste la connexion de
liaison de donn&eacute;es. PPP l’impl&eacute;mente via des extensions de noyau.
3. Une famille de protocoles NCP (Network Control Protocols) pour &eacute;tablir et configurer
diff&eacute;rents protocoles de couche r&eacute;seau. PPP prend en charge le protocole IPCP
(Internet Protocol Control Protocol) pour n&eacute;gocier une connexion TCP/IP.
PPP prend en charge les RFC (Request for Comments) suivants :
• RFC 1661, ”The Point-to-Point Protocol, LCP.”
• RFC 1332, ”The PPP Internet Protocol Control Protocol (IPCP).”
• RFC 1662, ”PPP in HDLC-like Framing.”
• RFC 1334, ”PPP Authentication Protocols.”
• RFC 1990, PPP Multilink
PPP diff&eacute;rencie client et serveur. Ce syst&egrave;me peut &ecirc;tre &agrave; la fois client et serveur : la
distinction n’a pour but que de simplifier la configuration. Les serveurs PPP tentent
d’affecter un pool d’adresses IP parmi les connexions en cours d’&eacute;tablissement. Il existe
une corr&eacute;lation entre les unit&eacute;s de support : PPP la rompt. Toutes les connexions PPP
serveur sont affect&eacute;es sur la base du “ premier disponible ”, ceci pour faciliter la s&eacute;paration
entre PPP et le support. Le processus de raccordement doit demander &agrave; &ecirc;tre li&eacute; au type de
liaison ad&eacute;quat.
Processus utilisateur
Le protocole asynchrone PPP sur ce syst&egrave;me d’exploitation utilise trois niveaux de
processus utilisateur :
1. Un d&eacute;mon de contr&ocirc;le (pppcontrold) ex&eacute;cut&eacute; par la racine sous le contr&ocirc;leur SRC
(System Resource Controller) (startsrc -s pppcontrold). Ce d&eacute;mon assure le
chargement et la configuration de toutes les extensions de noyau associ&eacute;es au
sous-syst&egrave;me. Il reste actif aussi longtemps que PPP est requis par le syst&egrave;me
d’exploitation.
2. Un processus de liaison (pppattachd) qui associe un flot TTY &agrave; une instance du
protocole de contr&ocirc;le de liaison NPC (Network Control Protocol), et un protocole
datagramme. Il existe une instance de pppattachd pour chaque connexion PPP active
dans le syst&egrave;me. Tout utilisateur du processus de liaison doit appartenir au groupe uucp
et comporter /usr/sbin dans sa variable d’environnement PATH.
3. Un processus de num&eacute;rotation (pppdial) qui &eacute;tablit une connexion sortante. Le
num&eacute;roteur est con&ccedil;u pour &ecirc;tre ex&eacute;cut&eacute; avec pppattachd comme programme
connecteur. Son objet est d’interagir au travers de l’unit&eacute; asynchrone avant la
n&eacute;gociation PPP. Cette interaction est d&eacute;finie de la m&ecirc;me fa&ccedil;on que le format du
dialogue chat UUCP. Le num&eacute;roteur aide &agrave; &eacute;tablir une connexion avec un syst&egrave;me
distant. L’&eacute;tablissement effectif de la session est hors de la port&eacute;e de PPP.
Protocole TCP/IP
4-205
Configuration du protocole asynchrone PPP
Vous pouvez configurer le protocole asynchrone PPP &agrave; l’aide de Web-based System
Manager ou de SMIT. Toutes les op&eacute;rations de configuration sont indiqu&eacute;es dans le tableau
ci-apr&egrave;s. Ces op&eacute;rations sont accessibles &agrave; l’utilisateur racine.
Pour la configuration initiale de votre syst&egrave;me, vous aurez &agrave; :
• ajouter une configuration de liaison
• ajouter une interface de serveur (si vous d&eacute;finissez la machine en tant que serveur PPP),
• ajouter une interface de demande
(si vous souhaitez que la machine accepte les connexions &agrave; la demande),
• manipuler les utilisateurs/mots de passe PAP ou CHAP(si vous d&eacute;sirez que la machine
g&egrave;re l’authentification PPP),
• lancer PPP pour prendre les modifications en compte
(ou arr&ecirc;ter puis relancer PPP si ce protocole est actif).
Configuration du protocole PPP asynchrone
4-206
T&acirc;che
Raccourci SMIT
Web-based System Manager
Management Environment
Cr&eacute;ation d’une configuration
de contr&ocirc;le de liaison
smit ppplcp
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link.
Ajouter une configuration de
liaison
smit addlcp
Modifier/afficher une
configuration
de liaison
smit chglcp
Supprimer une configuration
de liaison1
smit rmlcp
Cr&eacute;er des interfaces IP PPP
smit pppip
Ajouter une interface serveur
smit addpppserver
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Server Interfaces ––&gt;
Add/Change Interface.
Modifier/afficher une interface
serveur
smit listserver
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Server Interfaces ––&gt;
Add/Change Interface.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Link Configuration ––&gt;
Remove Link Configuration.
Supprimer une interface
serveur1
smit rmlistserver
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Server Interfaces ––&gt; Delete
Interface.
Ajouter une interface de
demande
smit addpppdemand
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Demand Interfaces ––&gt;
Add/Change Interface.
Modifier/afficher une interface
de demande
smit listdemand
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Demand Interfaces ––&gt;
Add/Change Interface.
Supprimer une interface de
demande1
smit rmlistdemand
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Configure the
Point–to–Point Link ––&gt;
Demand Interfaces ––&gt;
Delete Interface.
Manipuler les utilisateurs/mots smit ppppap
de passe PAP
Ajouter un utilisateur PAP
smit addpapuser
Modifier/afficher un utilisateur
PAP
smit listpapuser
Supprimer un utilisateur PAP
smit rmpapuser
Manipuler les utilisateurs/mots smit pppchap
de passe CHAP
Ajouter un utilisateur CHAP
smit addchapuser
Modifier/afficher un utilisateur
CHAP
smit listchapuser
Supprimer un utilisateur
CHAP
smit rmchapuser
Lancer PPP2
smit startppp
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Start the PPP Subsystem.
Arr&ecirc;ter PPP3
smit stopppp
Software ––&gt; Network ––&gt;
TCPIP (IPv4 et IPv6) ––&gt;
Point–to Point (PPP) ––&gt;
Stop the PPP Subsystem.
Remarques :
1. S&eacute;lectionner cette op&eacute;ration fait dispara&icirc;tre les informations existantes.
Protocole TCP/IP
4-207
2. Lancer le protocole PPP est &eacute;galement possible avec la commande
startsrc –s pppcontrold. En outre, via l’interface SMIT, vous pouvez demander que ce
protocole soit lanc&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me.
3. Arr&ecirc;ter le protocole PPP est aussi possible avec la commande stopsrc –s pppcontrold.
Par ailleurs, via SMIT, vous pouvez demander que ce protocole ne soit pas d&eacute;marr&eacute; &agrave;
l’amor&ccedil;age du syst&egrave;me.
Protocoles PPP et SNMP
L’interaction de PPP avec le d&eacute;mon TCP/IP SNMP permet d’obtenir les informations
relatives &agrave; la configuration de la couche de liaison PPP, et celles concernant les interfaces
LCP (Link Control Protocol). Dans la mesure o&ugrave; la configuration de TCP/IP SNMP et du
logiciel de gestion de SNMP est correcte, PPP SNMP peut :
• rechercher les informations sur la configuration de la liaison PPP (Maximum Receive Unit
size, Asynchronous Character Mapping, etc.)
• d&eacute;finir les informations de configuration de la liaison PPP ;
• rechercher les informations relatives &agrave; l’interface LCP pour les liaisons LCP actives ;
• passer l’&eacute;tat des liaisons LCP actives &agrave; ”down” en d&eacute;finissant l’objet ifAdminStatus
appropri&eacute; dans la base MIB (Management Information Base).
Tous les objets d&eacute;finis dans le RFC 1471 pour la MIB PPP ne sont pas pris en charge. Seul
le tableau pppLink s’applique au sous-syst&egrave;me PPP : les parties pppLqr et pppTests ne
sont donc pas prises en charge. La partie pppLink est prise en charge, except&eacute; les objets
suivants :
• L’objet pppLinkConfigMagicNumber est accessible seulement en lecture. Dans PPP, la
n&eacute;gociation de num&eacute;ros magiques est toujours ex&eacute;cut&eacute;e et ne peut &ecirc;tre d&eacute;sactiv&eacute;e.
• L’objet pppLinkConfigFcsSize est accessible seulement en lecture. PPP n’accepte que
la taille 16 pour FCS sous ce syst&egrave;me.
4-208
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Activation de PPP SNMP
SNMP pour PPP est d&eacute;sactiv&eacute; par d&eacute;faut. Vous pouvez activer PPP SNMP via le raccourci
Web-based System Manager wsm ou via la proc&eacute;dure suivante. Cette proc&eacute;dure est
accessible &agrave; l’utilisateur racine.
Remarque :
La configuration de liaison PPP est suppos&eacute;e d&eacute;finie avant d’entamer cette
proc&eacute;dure. Sinon, ex&eacute;cutez la proc&eacute;dure d&eacute;crite &agrave; la section Configuration
du protocole asynchrone PPP page 4-206 avant d’activer PPP SNMP.
1. Lancez l’interface SMIT et affichez l’&eacute;cran Change/Show a Link Configuration avec la
commande :
smit chglcp
2. Basculez sur yes le champ Enable PPP SNMP subagent.
3. Validez vos modifications et quittez SMIT.
PPP SNMP sera activ&eacute; au prochain red&eacute;marrage du protocole PPP.
• Si PPP est en cours d’utilisation :
1. Arr&ecirc;tez-le avec le raccourci smit stopppp (voir le tableau &agrave; la section Configuration du
protocole asynchrone PPP, page 4-206).
2. V&eacute;rifiez r&eacute;guli&egrave;rement o&ugrave; en est l’arr&ecirc;t complet du sous-syst&egrave;me, via la commande :
lssrc –s pppcontrold
Le temps que prend l’arr&ecirc;t complet d&eacute;pend du nombre de liaisons d&eacute;fini dans la
configuration PPP. L’&eacute;tat inoperative renvoy&eacute; par la commande ci-dessus signifie
que le sous-syst&egrave;me est compl&egrave;tement arr&ecirc;t&eacute;.
3. D&eacute;marrez-le avec le raccourci smit startppp (voir le tableau &agrave; la section Configuration
du protocole asynchrone PPP, page 4-206).
• Si PPP n’est pas en cours d’utilisation, lancez-le via le raccourci smit startppp
(voir le tableau &agrave; la section Configuration du protocole asynchrone PPP, page 4-206).
Protocole TCP/IP
4-209
Normes QoS (Qualit&eacute; du service) TCP/IP
Les normes QoS (Quality of Service) sont une famille de normes Internet qui offrent un
mode de traitement pr&eacute;f&eacute;rentiel de certains types de trafic IP. Ces normes peuvent r&eacute;duire
les d&eacute;lais d’attente variables et la congestion ayant pour effet de limiter les performances du
r&eacute;seau. Le syst&egrave;me d’exploitation offre une prise en charge des normes QoS au niveau de
l’h&ocirc;te afin de r&eacute;partir le trafic vers l’ext&eacute;rieur en classes de service distinctes. Ces normes
permettent &eacute;galement d’indiquer et de faire des r&eacute;servations de ressources telles que
l’exigent les applications clients.
Les normes QoS peuvent &ecirc;tre utilis&eacute;es par un organisme pour d&eacute;ployer et mettre en place
des politiques de gestion du r&eacute;seau r&eacute;gissant l’utilisation de la largeur de bande du r&eacute;seau.
Avec les normes QoS, un h&ocirc;te peut proc&eacute;der aux op&eacute;rations suivantes :
• R&eacute;guler le volume d’un certain type de trafic au sein du r&eacute;seau ;
• Marquer des paquets s&eacute;lectionn&eacute;s en fonction d’un certain type de politique afin que les
routeurs puissent par la suite fournir le service demand&eacute; ;
• Prendre en charge des services, tels que le service virtuel de lignes sp&eacute;cialis&eacute;es avec
une prise en charge appropri&eacute;e des normes QoS le long de la route ;
• Participer aux requ&ecirc;tes de r&eacute;servation de ressources des destinataires et annoncer les
sessions exp&eacute;ditrices disponibles pour ces requ&ecirc;tes.
La prise en charge des normes QoS offre les fonctions suivantes :
• Services diff&eacute;renci&eacute;s tels que d&eacute;finis dans la norme RFC 2474
• Politique de gestion du trafic
• Marquage des paquets &agrave; l’int&eacute;rieur et hors du profil
• Conception du trafic
• Mesure
• Services int&eacute;gr&eacute;s pour applications client et serveur tels que d&eacute;finis dans la norme
RFC 1633
• Signalisation RSVP (RFC 2205)
• Service garanti (RFC 2212)
• Service de contr&ocirc;le de charge (RFC 2211)
• Mise en r&eacute;seau conform&eacute;ment &agrave; la politique en vigueur
• Biblioth&egrave;que RAPI partag&eacute;e destin&eacute;e aux applications
Le sous–syst&egrave;me de normes QoS se compose de quatre &eacute;l&eacute;ments :
Extension du noyau QoS (/usr/lib/drivers/qos)
L’extension du noyau QoS r&eacute;side dans le r&eacute;pertoire /usr/lib/drivers/qos ;
elle est charg&eacute;e et d&eacute;charg&eacute;e &agrave; l’aide des m&eacute;thodes de configuration
cfgqos et ucfgqos. Cette extension de noyau permet la prise en charge
QoS.
Agent de politique (/usr/sbin/policyd)
L’agent de politique est un d&eacute;mon de niveau utilisateur qui r&eacute;side dans
/usr/sbin/policyd. Il prend en charge la gestion de la politique et sert
d’interface avec l’extension du noyau QoS afin d’installer, de modifier et de
supprimer les r&egrave;gles de politique. Les r&egrave;gles de politique peuvent &ecirc;tre
d&eacute;finies dans le fichier de configuration local (/etc/policyd.conf),
r&eacute;cup&eacute;r&eacute;es dans le serveur de r&eacute;seau central &agrave; l’aide de LDAP, ou les
deux.
4-210
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Agent RSVP (/usr/sbin/rsvpd)
L’agent RSVP est un d&eacute;mon de niveau utilisateur qui r&eacute;side dans
/usr/sbin/rsvpd. Il met en œuvre la s&eacute;mantique de protocole de
signalisation RSVP.
Biblioth&egrave;que partag&eacute;e RAPI (/usr/lib/librapi.a)
Les applications peuvent utiliser la RSVP API (RAPI) pour une meilleure
qualit&eacute; de service telle que d&eacute;finie par le mod&egrave;le QoS Internet de services
int&eacute;gr&eacute;s (Integrated Services Internet QoS model). Cette biblioth&egrave;que
dialogue avec l’agent RSVP local afin de diffuser la requ&ecirc;te QoS le long du
chemin emprunt&eacute; par le flux de donn&eacute;es &agrave; l’aide du protocole RSVP. Cette
API est une norme ouverte.
Remarque:
Cette mise en œuvre de QoS est bas&eacute;e sur un ensemble de normes
Internet en constante &eacute;volution et des &eacute;bauches de normes en cours
d’&eacute;laboration par l’Internet Engineering Task Force (IETF) ainsi que ses
divers groupes de travail. Les efforts de normalisation au sein de l’IETF
permettront d’am&eacute;liorer la coh&eacute;rence et la d&eacute;finition de cette technologie.
Il est &eacute;galement &agrave; noter que la QoS est une nouvelle technologie Internet
r&eacute;cemment d&eacute;ploy&eacute;e au sein de ce r&eacute;seau. Elle pr&eacute;sente de nombreux
avantages &agrave; tous les stades de son d&eacute;ploiement. Toutefois, les services
bout en bout ne peuvent &ecirc;tre offerts qu’avec une prise en charge totale de
la technologie QoS.
Mod&egrave;les QoS
Les mod&egrave;les QoS pour Internet sont des normes ouvertes d&eacute;finies par l’IETF. Deux de ces
mod&egrave;les sont en cours de normalisation au sein de l’IETF : Services int&eacute;gr&eacute;s et Services
diff&eacute;renci&eacute;s. Ceux–ci renforcent le mod&egrave;le traditionnel de service optimis&eacute; d&eacute;crit dans la
norme RFC 1812.
Services int&eacute;gr&eacute;s
Le service IS (Services int&eacute;gr&eacute;s) est un mod&egrave;le dynamique de r&eacute;servation des ressources
pour Internet, tel que d&eacute;crit dans la norme RFC 1633. Les h&ocirc;tes utilisent un protocole de
signalisation appel&eacute; Resource ReSerVation Protocol (RSVP) pour demander au r&eacute;seau, de
mani&egrave;re dynamique, une qualit&eacute; de service sp&eacute;cifique. Les param&egrave;tres QoS sont
achemin&eacute;s dans ces messages RSVP et chaque nœud de r&eacute;seau le long du chemin installe
ces param&egrave;tres afin de disposer de la qualit&eacute; de service requise. Ces param&egrave;tres QoS
d&eacute;crivent l’un des deux services actuellement d&eacute;finis, &agrave; savoir le service garanti et le service
de contr&ocirc;le de charge. L’IS se caract&eacute;rise par le fait que cette signalisation porte sur chaque
flux de trafic et que les r&eacute;servations s’appliquent &agrave; chaque bond sur le chemin. Bien que ce
mod&egrave;le soit tout &agrave; fait &agrave; m&ecirc;me de r&eacute;pondre &agrave; l’&eacute;volution constante des applications, il
persiste encore certains probl&egrave;mes en termes d’&eacute;volutivit&eacute; qui emp&ecirc;chent son d&eacute;ploiement
sur des r&eacute;seaux au sein desquels des routeurs uniques g&egrave;rent plusieurs flux simultan&eacute;s.
Services diff&eacute;renci&eacute;s
Le service DS (Services diff&eacute;renci&eacute;s) r&eacute;sout les probl&egrave;mes d’&eacute;volutivit&eacute; par flux et par bond
par le biais d’un m&eacute;canisme simple de classification des paquets. Plut&ocirc;t qu’une approche
de signalisation dynamique, le service DS privil&eacute;gie l’utilisation de bits dans l’octet TOS
(type de service) IP afin de r&eacute;partir les paquets en classes. Ce mod&egrave;le de bit particulier
dans l’octet TOS IP est appel&eacute; point de code DS. Il est utilis&eacute; par les routeurs pour d&eacute;finir la
qualit&eacute; de service fournie au niveau de ce bond en particulier, se rapprochant par l&agrave;–m&ecirc;me
de leur mode d’acheminement IP par le biais de la consultation des tables de routage. Le
traitement d’un paquet avec un point de code DS particulier s’appelle le PHB (per–hop
behavior). Il est g&eacute;r&eacute; ind&eacute;pendamment &agrave; chaque nœud de r&eacute;seau. La concat&eacute;nation de ces
diff&eacute;rents PHB ind&eacute;pendants offre un service bout en bout.
Les services diff&eacute;renci&eacute;s sont en cours de normalisation par un groupe de travail IETF, qui a
d&eacute;fini trois PHB : le PHB avec acheminement exp&eacute;ditif (EF : abr&eacute;viation de Expedited
Forwarding), le groupe PHB avec acheminement assur&eacute; (AF : abr&eacute;viation de Assured
Protocole TCP/IP
4-211
Forwarding) et le PHB par d&eacute;faut (DE : abr&eacute;viation de par d&eacute;faut). Le EF PHB peut &ecirc;tre
utilis&eacute; pour la mise en œuvre d’un service bout en bout, telle qu’une ligne sp&eacute;cialis&eacute;e (VLL)
offrant un d&eacute;lai d’attente et un taux d’instabilit&eacute; faibles ainsi que des pertes r&eacute;duites. L’AF
est une famille de PHB, appel&eacute; groupe de PHB. Il est utilis&eacute; pour classer des paquets en
fonction des diff&eacute;rents niveaux de priorit&eacute;. Le niveau de priorit&eacute; attribu&eacute; &agrave; un paquet
d&eacute;termine son importance relative au sein de la classe AF. Par ce biais, il est possible de
b&eacute;n&eacute;ficier du service dit Olympique, &agrave; savoir bronze, argent et or. Le DE PHB est le mod&egrave;le
traditionnel de service optimis&eacute; tel que normalis&eacute; par la RFC 1812.
Normes prises en charge et &eacute;bauches de normes
Les &eacute;bauches de normes Internet et les RFC suivants traitent des normes sur lesquelles
s’appuie cette mise en œuvre des mod&egrave;les QoS.
RFC 2474
D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS) dans
les en–t&ecirc;tes IP versions 4 et 6
RFC 2475
Architecture des services diff&eacute;renci&eacute;s
RFC 1633
Pr&eacute;sentation des services int&eacute;gr&eacute;s au sein de l’architecture
Internet
RFC 2205
Protocole de r&eacute;servation des ressources (RSVP)
RFC 2210
Utilisation du RSVP avec les services int&eacute;gr&eacute;s IETF
RFC 2211
Sp&eacute;cification du service d’&eacute;l&eacute;ments r&eacute;seau avec contr&ocirc;le
de charge
RFC 2212
Sp&eacute;cification de la qualit&eacute; de service garantie
RFC 2215
Param&egrave;tres de d&eacute;finition g&eacute;n&eacute;raux des &eacute;l&eacute;ments r&eacute;seau
des services int&eacute;gr&eacute;s
draft–ietf–diffserv–framewor
k–01.txt, octobre 1998
Cadre des services diff&eacute;renci&eacute;s
draft–ietf–diffserv–rsvp–01.t
xt, novembre 1998
Cadre d’utilisation du RSVP avec des r&eacute;seaux DIFF–serv
draft–ietf–diffserv–phb–ef–0
1.txt
Groupe PHB d’acheminement exp&eacute;ditif
draft–ietf–diffserv–af–04.txt
Groupe PHB d’acheminement assur&eacute;
draft–rajan–policy–qossche
ma–00.txt, octobre 1998
Sch&eacute;ma des services diff&eacute;renci&eacute;s et int&eacute;gr&eacute;s au sein des
r&eacute;seaux
draft–ietf–rap–framework–0
1.txt, novembre 1998
draft–ietf–rap–rsvp–ext–01.t
xt, novembre 1998
Remarque :
Cadre pour contr&ocirc;le d’admission [25] bas&eacute; sur des r&egrave;gles
de politique
Extensions RSVP pour contr&ocirc;le de politique
QoS est une technologie Internet &eacute;mergente. Elle pr&eacute;sente de nombreux
avantages &agrave; tous les stades de son d&eacute;ploiement. Toutefois, les services
bout en bout ne peuvent &ecirc;tre offerts qu’avec une prise en charge totale de
la technologie QoS.
Installation de QoS
QoS est livr&eacute; avec bos.net.tcp.server. L’installation de ces fichiers est indispensable pour
utiliser QoS. Pour utiliser la biblioth&egrave;que RAPI partag&eacute;e, installez aussi bos.adt.include.
4-212
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration de QoS
Arr&ecirc;t et d&eacute;marrage du sous–syst&egrave;me QoS
QoS peut &ecirc;tre lanc&eacute; ou arr&ecirc;t&eacute; avec le raccourci SMIT (smit qos) ou les commandes
mkqos et rmqos.
Pour d&eacute;sactiver d&egrave;s &agrave; pr&eacute;sent le sous–syst&egrave;me QoS et lors du prochain red&eacute;marrage du
syst&egrave;me, proc&eacute;dez comme suit :
/usr/sbin/rmqos –B
Pour activer le sous–syst&egrave;me QoS pour la p&eacute;riode en cours seulement, proc&eacute;dez comme
suit :
/usr/sbin/mkqos –N
Reportez–vous &agrave; la description des commandes mkqos et rmqos pour le lancement et le
retrait des indicateurs de commande.
Les d&eacute;mons policyd et rsvpd sont configur&eacute;s par les fichiers de configuration
/etc/policyd.conf et /etc/rsvpd.conf. Ces fichiers doivent &ecirc;tre &eacute;dit&eacute;s afin de personnaliser
le sous–syst&egrave;me QoS en fonction de l’environnement local. QoS ne fonctionne pas
correctement avec les configurations type fournies.
Configuration de l’agent RSVP
L’agent RSVP est n&eacute;cessaire si l’h&ocirc;te doit prendre en charge le protocole du m&ecirc;me nom.
Utilisez le fichier de configuration /etc/rsvpd.conf pour configurer l’agent RSVP. La syntaxe
de ce fichier est pr&eacute;cis&eacute;e dans le fichier de configuration type install&eacute; dans /etc/rsvpd.conf.
Configuration type
interface 1.2.30.1
interface 1.20.2.3 disabled
interface 1.2.3.3 disabled
interface 1.2.3.4
{
trafficControl
}
rsvp 1.2.30.1
{
maxFlows 64
}
rsvp 1.2.3.4
{
maxFlows 100
}
L’exemple ci–dessus illustre une possibilit&eacute; de configuration RSVP au sein de laquelle l’h&ocirc;te
a 4 interfaces (virtuelles ou physiques) repr&eacute;sent&eacute;es par les 4 adresses IP :
1.2.3.1, 1.2.3.2, 1.2.3.3 et 1.2.3.4.
L’interface 1.2.3.1 a &eacute;t&eacute; activ&eacute;e pour le RSVP. Toutefois, la fonction de contr&ocirc;le du trafic
n’a pas &eacute;t&eacute; sp&eacute;cifi&eacute;e et les messages RESV RSVP entrants n’entra&icirc;nent pas la r&eacute;servation
des ressources au sein du sous–syst&egrave;me TCP. Cette interface peut prendre en charge un
maximum de 64 sessions RSVP simultan&eacute;es.
Les interfaces 1.2.3.2 et 1.2.3.3 ont &eacute;t&eacute; d&eacute;sactiv&eacute;es. L’agent RSVP ne peut pas utiliser
cette interface pour transmettre ni recevoir des messages RSVP.
Protocole TCP/IP
4-213
L’interface 1.2.3.4 a &eacute;t&eacute; activ&eacute;e pour le RSVP. En outre, elle peut proc&eacute;der &agrave; des
r&eacute;servations de ressources au sein du sous–syst&egrave;me TCP en r&eacute;ponse &agrave; un message RESV
RSVP. Cette interface peut prendre en charge jusqu’&agrave; 100 sessions RSVP.
Toutes les autres interfaces existantes sur l’h&ocirc;te mais non reprises de mani&egrave;re explicite
dans /etc/rsvpd.conf sont d&eacute;sactiv&eacute;es.
Configuration de l’agent de politique
L’agent de politique est un composant indispensable du sous–syst&egrave;me QoS. Utilisez le
fichier /etc/policyd.conf pour configurer l’agent de politique. La syntaxe de ce fichier est
pr&eacute;cis&eacute;e dans le fichier de configuration type install&eacute; dans /etc/policyd.conf.
Vous pouvez configurer l’agent de politique en &eacute;ditant /etc/policyd.conf. En outre, les
commandes suivantes sont fournies pour faciliter la configuration des politiques :
• qosadd
• qosmod
• qoslist
• qosremove
Configurations type
Dans l’exemple suivant, une cat&eacute;gorie de service de qualit&eacute; est cr&eacute;&eacute;e et utilis&eacute;e dans la
r&egrave;gle de politique tcptraffic. Cette cat&eacute;gorie de service a une vitesse de transmission
maximum de 110 000 Kbps, une profondeur de compartiment &agrave; jeton de 10 000 bits et une
valeur TOS IP sortante de 11100000 en syst&egrave;me binaire. La r&egrave;gle de politique tcptraffic offre
ce service de qualit&eacute; &agrave; l’ensemble du trafic pour lequel l’adresse IP source est fournie par
1.2.3.6, avec l’adresse de destination 1.2.3.3 et le port de destination compris entre 0
et 1024.
ServiceCategories premium
{
PolicyScope
DataTraffic
MaxRate
110000
MaxTokenBucket 10000
OutgoingTOS
11100000
}
ServicePolicyRules
tcptraffic
{
PolicyScope
DataTraffic
ProtocolNumber 6 # tcp
SourceAddressRange
1.2.3.6–1.2.3.6
DestinationAddressRange 1.2.3.3–1.2.3.3
DestinationPortRange
0–1024
ServiceReference
premium
}
4-214
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les instructions suivantes d&eacute;finissent une cat&eacute;gorie de service par d&eacute;faut et l’utilisent pour
r&eacute;duire le trafic UDP entre les interfaces 1.2.3.1 &agrave; 1.2.3.4 et les adresses IP 1.2.3.6
&agrave; 1.2.3.10, port 8000.
ServiceCategories default
{
MaxRate
110000
MaxTokenBucket 10000
OutgoingTOS
00000000
}
ServicePolicyRules
udptraffic
{
ProtocolNumber 17 # udp
SourceAddressRange
1.2.30.1–1.2.30.4
DestinationAddressRange 1.20.60.10–1.2.3.3
DestinationPortRange
8000–8000
ServiceReference
default
}
La configuration type ci–apr&egrave;s peut &ecirc;tre utilis&eacute;e pour t&eacute;l&eacute;charger des r&egrave;gles &agrave; partir d’un
serveur LDAP &agrave; l’aide du nom de sous–arborescence sp&eacute;cifique,
ReadFromDirectory
{
LDAP_Server
1.2.3.27
Base
ou=NetworkPolicies,o=myhost.mydomain.com,c=fr
}
Protocole TCP/IP
4-215
Identification des probl&egrave;mes au niveau du QoS
La commande qosstat peut &ecirc;tre utilis&eacute;e pour afficher des informations d’&eacute;tat relatives aux
politiques actives install&eacute;es dans le sous–syst&egrave;me QoS. Ces informations peuvent vous &ecirc;tre
utiles afin de d&eacute;tecter la pr&eacute;sence d’un probl&egrave;me lors du d&eacute;bogage de la configuration QoS.
Utilisez qosstat pour produire le rapport suivant.
Action:
Token bucket rate (B/sec): 10240
Token bucket depth (B): 1024
Peak rate (B/sec): 10240
Min policied unit (B): 20
Max packet size (B): 1452
Type: IS–CL
Flags: 0x00001001 (POLICE,SHAPE)
Statistics:
Compliant packets: 1423 (440538 bytes)
Conditions:
Source address
192.168.127.39:8000
connection)
Dest address
Protocol
192.168.256.29:35049 tcp
(1
Action:
Token bucket rate (B/sec): 10240
Token bucket depth (B): 1024
Peak rate (B/sec): 10240
Outgoing TOS (compliant): 0xc0
Outgoing TOS (non–compliant): 0x00
Flags: 0x00001011 (POLICE,MARK)
Type: DS
Statistics:
Compliant packets: 335172 (20721355 bytes)
Non–compliant packets: 5629 (187719 bytes)
Conditions:
Source address
192.168.127.39:80
192.168.127.40:80
Dest address
*:*
*:*
Protocol
tcp (1 connection)
tcp (5 connections)
Sp&eacute;cification de politiques
Cette section d&eacute;crit les classes et attributs d’objets utilis&eacute;s par l’agent de politique pour
sp&eacute;cifier les politiques de qualit&eacute; du service (QoS) sur le trafic sortant. Elle d&eacute;finit les
classes et attributs d’objets puis donne des instructions relatives au marquage, &agrave; la gestion
du trafic et &agrave; la conception.
Les conventions suivantes sont utilis&eacute;es dans les explications ci–dessous :
p
B
b
: Choisissez l’un des param&egrave;tres autoris&eacute;s
: Valeur d’entier d’un octet (0 =&lt; B =&lt; 255)
: Cha&icirc;ne de bit commen&ccedil;ant par le bit le plus &agrave; gauche
(101 &eacute;quivaut &agrave; 10100000 dans un champ d’octet)
i : Valeur d’entier
s : Une cha&icirc;ne de caract&egrave;res
a : Format d’adresse IP B.B.B.B
(R) : Param&egrave;tre requis
(O) : Param&egrave;tre facultatif
4-216
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
ReadFromDirectory
Cette instruction sp&eacute;cifie les param&egrave;tres permettant d’&eacute;tablir une session LDAP. Elle est
utilis&eacute;e dans le fichier /etc/policyd.conf pour &eacute;tablir la session LDAP.
ReadFromDirectory
{
LDAP_Server
a
# Adresse IP du serveur de r&eacute;pertoires
ex&eacute;cutant LDAP
LDAP_Port
i
# Num&eacute;ro du port &eacute;cout&eacute; par le serveur LDAP
Base
s
# Nom sp&eacute;cifique pour l’utilisation LDAP
LDAP_SelectedTag s # Balise correspondant &agrave; SelectorTag dans
les classes d’objets
}
o&ugrave;
LDAP_Server (R) : Adresse IP du serveur LDAP
LDAP_Port
(0) : Num&eacute;ro de port unique, le port
par d&eacute;faut est 389
Base
(R) : Exemple : o=ibm, c=fr o&ugrave; o est votre
organisation et c le pays
LDAP_SelectedTag (R) : Cha&icirc;ne unique correspondant &agrave; l’attribut
SelectorTag dans la classe d’objets
ServiceCategories
Cette instruction sp&eacute;cifie le type de service qu’un flux de paquets IP (d’une connexion TCP
ou de donn&eacute;es UDP par exemple) doit recevoir de bout en bout lors de son passage sur le
r&eacute;seau. Les instructions ServiceCategories peuvent &ecirc;tre r&eacute;p&eacute;t&eacute;es, chacune ayant un
nom diff&eacute;rent pour qu’il soit possible d’y faire r&eacute;f&eacute;rence &agrave; un stade ult&eacute;rieur. Un objet
ServiceCategories exige une instruction ServicePolicyRules pour que la d&eacute;finition
de politique soit compl&egrave;te.
ServiceCategories
{
SelectorTag
s
MaxRate
i
s
MaxTokenBucket i
OutgoingTOS
b
FlowServiceType
p
# Balise requise pour la recherche LDAP
# Vitesse cible du trafic dans cette classe
de service
# La profondeur du compartiment
# Valeur TOS du trafic sortant pour cette
classe de service
# Type de trafic
}
o&ugrave;
s
(R)
SelectorTag (R)
: est le nom de cette cat&eacute;gorie de service
: Requis uniquement pour la recherche LDAP
dans les classes d’objets
MaxRate
(O)
: En Kbps (K bits par seconde), la valeur par
d&eacute;faut est 0
MaxTokenBucket(O)
: En Kb, la valeur par d&eacute;faut est d&eacute;finie par
le syst&egrave;me au maximum
OutgoingTOS (O)
: La valeur par d&eacute;faut est 0
FlowServiceType (O) : ControlledLoad | Guaranteed, la valeur
par d&eacute;faut est ControlledLoad
Protocole TCP/IP
4-217
ServicePolicyRules
Cette instruction sp&eacute;cifie les caract&eacute;ristiques des paquets IP pour la correspondance avec
une cat&eacute;gorie de service donn&eacute;e. En d’autres termes, elle d&eacute;finit un jeu de datagrammes IP
qui doivent recevoir un service. Les instructions ServicePolicyRules sont associ&eacute;es &agrave;
des instructions ServiceCategories via l’attribut ServiceReference. Si deux r&egrave;gles
font r&eacute;f&eacute;rence &agrave; la m&ecirc;me ServiceCategory, chacune d’entre elles est associ&eacute;e &agrave; une
instance unique de celle–ci.
ServicePolicyRules
s
{
SelectorTag
s
# Balise requise pour la recherche LDAP
ProtocolNumber
i
# Id du protocole de transport de la r&egrave;gle
de politique
SourceAddressRange
a1–a2
DestinationAddressRange a1–a2
SourcePortRange
i1–i2
DestinationPortRange
i1–i2
PolicyRulePriority i
# La valeur la plus &eacute;lev&eacute;e est
utilis&eacute;e en premier
ServiceReference
s # Nom de la cat&eacute;gorie de service de
cette r&egrave;gle de politique
}
o&ugrave;
s
(R) : est le nom de cette r&egrave;gle de politique
SelectorTag (R) : Requis uniquement pour la recherche LDAP dans
la classe d’objet
ProtocolNumber
(R) : La valeur par d&eacute;faut est 0
(aucune correspondance n’est trouv&eacute;e). Sp&eacute;cification explicite requise
SourceAddressRange (O): de a1 &agrave; a2 o&ugrave; a2 &gt;= a1, la valeur par
d&eacute;faut est 0, n’importe quelle adresse source
SourcePortRange
(O) : de i1 &agrave; i2 o&ugrave; i2 &gt;= i1, la valeur par
d&eacute;faut est 0, n’importe quel port source
DestinationAddressRange (O) : Voir SourceAddressRange
DestinationPortRange
(O) : Voir SourcePortRange
PolicyRulePriority
(O) : Sp&eacute;cification importante en pr&eacute;sence
de politiques superpos&eacute;es
ServiceReference
(R) : cat&eacute;gorie de service utilis&eacute;e
par cette r&egrave;gle
4-218
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Instructions relatives aux environnements DiffServ
Les instructions ci–dessous se rapportent &agrave; la sp&eacute;cification de politiques pour le marquage,
la conception et/ou la gestion du trafic dans un environnement DiffServ.
1. Marquage uniquement
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : ControlledLoad
MaxRate
: Utilisez la valeur par d&eacute;faut 0
2. Conception uniquement
OutgoingTOS
: Utilisez la valeur par d&eacute;faut 0
FlowServiceType : Guaranteed
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
3. Marquage et gestion (Voir remarque)
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : ControlledLoad
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
4. Marquage et conception
OutgoingTOS
: Type de service souhait&eacute;
FlowServiceType : Guaranteed
MaxRate
: Vitesse cible souhait&eacute;e pour le trafic sous
la forme d’un entier positif
Remarque:
Le type de service des paquets ne correspondant pas au profil est d&eacute;fini sur
z&eacute;ro pour la gestion.
Fichier de configuration policyd exemple
L’exemple ci–dessous reprend un fichier de configuration /etc/policyd.conf complet.
Fichier de configuration policyd
#loglevel
511
# Verbose logging
#####################################################################
#
#
# Mark rsh traffic on TCP source ports 513 and 514.
ServiceCategories
tcp_513_514_svc
{
MaxRate
0
# Mark only
OutgoingTOS
00011100
# binary
FlowServiceType
ControlledLoad
}
ServicePolicyRules
tcp_513_514_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
513–514
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_513_514_svc
}
#
#####################################################################
Protocole TCP/IP
4-219
#
#
# Shape connected UDP traffic on source port 9000.
ServiceCategories
udp_9000_svc
{
MaxRate
8192
# kilobits
MaxTokenBucket
64
# kilobits
FlowServiceType
Guaranteed
}
ServicePolicyRules
udp_9000_flt
{
ProtocolNumber
17 # UDP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
9000–9000
DestinationPortRange
0–0
# Any dst port
ServiceReference
udp_9000_svc
}
#
#####################################################################
#
#
# Mark and police finger traffic on TCP source port 79.
ServiceCategories
tcp_79_svc
{
MaxRate
8
# kilobits
MaxTokenBucket
32
# kilobits
OutgoingTOS
00011100 # binary
FlowServiceType
ControlledLoad
}
ServicePolicyRules
tcp_79_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
79–79
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_79_svc
}
#
#####################################################################
#
#
# Mark and shape ftp–data traffic on TCP source port 20.
ServiceCategories
tcp_20_svc
{
MaxRate
81920
# kilobits
MaxTokenBucket
128
# kilobits
OutgoingTOS
00011101
# binary
FlowServiceType
Guaranteed
}
ServicePolicyRules
tcp_20_flt
{
ProtocolNumber
6 # TCP
SourceAddressRange
0.0.0.0–0.0.0.0 # Any IP src addr
DestinationAddressRange 0.0.0.0–0.0.0.0 # Any IP dst addr
SourcePortRange
20–20
DestinationPortRange
0–0
# Any dst port
ServiceReference
tcp_20_svc
}
#
4-220
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
#####################################################################
#
#
# LDAP server entry.
#ReadFromDirectory
#{
#
LDAP_Server
9.3.33.138 # IP address of LDAP server
#
Base
o=ibm,c=us # Base distinguished name
#
LDAP_SelectedTag
myhost
# Typically client hostname
#}
#
#####################################################################
#
Chargement de politiques dans le serveur de r&eacute;pertoires SecureWay
Directory
Si le d&eacute;mon de politique est utilis&eacute; avec le serveur de r&eacute;pertoires LDAP SecureWay
Directory, utilisez le sch&eacute;ma ci–dessous comme guide pour mettre &agrave; jour
/etc/ldapschema/V3.modifiedschema avant de d&eacute;marrer le serveur LDAP. Pour plus
d’informations, reportez–vous &agrave; Planification et configuration pour la r&eacute;solution de noms
LDAP (Sch&eacute;ma de r&eacute;pertoire SecureWay) page 4-89
Protocole TCP/IP
4-221
Sch&eacute;ma LDAP
objectClasses {
( ServiceCategories–OID NAME ’ServiceCategories’ SUP top MUST
( objectClass $ SelectorTag $ serviceName ) MAY
( description $ FlowServiceType $ MaxRate $ MaxTokenBucket $ OutgoingTos
) )
( ServicePolicyRules–OID NAME ’ServicePolicyRules’ SUP top MUST
( objectClass $ PolicyName $ SelectorTag ) MAY
( description $ DestinationAddressRange $ DestinationPortRange $
ProtocolNumber $ ServiceReference $ SourceAddressRange $ SourcePortRange
) )
}
attributeTypes {
( DestinationAddressRange–OID NAME ’DestinationAddressRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( DestinationPortRange–OID NAME ’DestinationPortRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( FlowServiceType–OID NAME ’FlowServiceType’
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( MaxRate–OID NAME ’MaxRate’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( MaxTokenBucket–OID NAME ’MaxTokenBucket’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( OutgoingTos–OID NAME ’OutgoingTos’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( PolicyName–OID NAME ’PolicyName’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( ProtocolNumber–OID NAME ’ProtocolNumber’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SelectorTag–OID NAME ’SelectorTag’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE–VALUE )
( ServiceReference–OID NAME ’ServiceReference’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SourceAddressRange–OID NAME ’SourceAddressRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
( SourcePortRange–OID NAME ’SourcePortRange’ SYNTAX
1.3.6.1.4.1.1466.115.121.1.15 SINGLE–VALUE )
}
IBMattributeTypes {
( DestinationAddressRange–OID DBNAME ( ’DestinationAddressRange’
’DestinationAddressRange’ ) )
( DestinationPortRange–OID DBNAME ( ’DestinationPortRange’
’DestinationPortRange’ ) )
( FlowServiceType–OID DBNAME ( ’FlowServiceType’ ’FlowServiceType’ ) )
( MaxRate–OID DBNAME ( ’MaxRate’ ’MaxRate’ ) )
( MaxTokenBucket–OID DBNAME ( ’MaxTokenBucket’ ’MaxTokenBucket’ ) )
( OutgoingTos–OID DBNAME ( ’OutgoingTos’ ’OutgoingTos’ ) )
( PolicyName–OID DBNAME ( ’PolicyName’ ’PolicyName’ ) )
( ProtocolNumber–OID DBNAME ( ’ProtocolNumber’ ’ProtocolNumber’ ) )
( SelectorTag–OID DBNAME ( ’SelectorTag’ ’SelectorTag’ ) )
( ServiceReference–OID DBNAME ( ’ServiceReference’ ’ServiceReference’ ) )
( SourceAddressRange–OID DBNAME ( ’SourceAddressRange’
’SourceAddressRange’ ) )
( SourcePortRange–OID DBNAME ( ’SourcePortRange’ ’SourcePortRange’ ) )
}
ldapSyntaxes {
}
matchingRules {
}
4-222
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration du syst&egrave;me
Politiques superpos&eacute;es
Les politiques qui se superposent sont install&eacute;es dans QoS Manager dans un ordre non
d&eacute;terminant. En pr&eacute;sence de politiques superpos&eacute;es, l’attribut PolicyRulePriority de
l’instruction ServicePolicyRules doit &ecirc;tre sp&eacute;cifi&eacute; pour d&eacute;terminer l’ordre d’application
des politiques. Cet attribut prend un entier comme param&egrave;tre. En pr&eacute;sence de politiques
superpos&eacute;es, la r&egrave;gle dont la valeur d’entier est la plus &eacute;lev&eacute;e est mise en application.
Utilisation de sockets UDP
Seules les sockets UDP connect&eacute;es sont prises en charge pour QoS.
Conflits de politiques avec des r&eacute;servations RSVP
Les agents de politiques et les agents RSVP sont ind&eacute;pendants. Il convient donc de prendre
garde de ne pas sp&eacute;cifier une politique en conflit avec une r&eacute;servation RSVP existante ou
couverte par celle–ci. En pr&eacute;sence de conflits, le syst&egrave;me accepte la premi&egrave;re politique ou
r&eacute;servation et enregistre une violation pour les autres.
Sp&eacute;cification de la profondeur du compartiment &agrave; jeton
Pour un fonctionnement correct, l’attribut MaxTokenBucket doit &ecirc;tre d&eacute;fini au moins sur le
MTU maximum de toutes les interfaces configur&eacute;es dans le syst&egrave;me.
Modification de politiques
Les modifications de politiques sont g&eacute;r&eacute;es par l’agent de politique via la suppression
automatique des politiques existantes et l’installation de nouvelles politiques. Elles peuvent
entra&icirc;ner une courte p&eacute;riode durant laquelle le trafic correspondant re&ccedil;oit le service par
d&eacute;faut (en g&eacute;n&eacute;ral l’effort maximal).
Conformit&eacute; aux normes
Cette version est compatible avec les normes IETF actuelles pour les services diff&eacute;renci&eacute;s
(DiffServ) et les services int&eacute;gr&eacute;s (IntServ) sur Internet.
Mod&egrave;le IntServ
Les normes RFC suivantes d&eacute;crivent les divers composants du mod&egrave;le IntServ :
• Utilisation du RSVP avec les services int&eacute;gr&eacute;s IETF (RFC 2210)
• Sp&eacute;cification du service d’&eacute;l&eacute;ments r&eacute;seau avec contr&ocirc;le de charge (RFC 2211)
• Sp&eacute;cification de la qualit&eacute; de service garantie (RFC 2212)
Mod&egrave;le DiffServ
Les normes RFC suivantes d&eacute;crivent les divers composants du mod&egrave;le DiffServ :
• D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS) dans les en–t&ecirc;tes IP versions 4 et
6 (RFC 2474)
• Architecture des services diff&eacute;renci&eacute;s (RFC 2475)
La norme RFC suivante expose l’utilisation actuelle de l’octet TOS IP :
• Type de service dans la suite Internet Protocol (RFC 1349)
Les normes RFC suivantes exposent les pratiques futures relatives &agrave; l’utilisation de l’octet
TOS IP :
• D&eacute;finition du champ Services diff&eacute;renci&eacute;s (champ DS) dans les en–t&ecirc;tes IP versions 4 et
6 (RFC 2474)
• Groupe PHB d’acheminement assur&eacute; (RFC 2597)
• Groupe PHB d’acheminement exp&eacute;ditif (RFC 2598)
Protocole TCP/IP
4-223
Prise en charge de IPv6
QoS for AIX 5.2 prend en charge uniquement IPv4. IPv6 n’est pas pris en charge.
Contr&ocirc;le du d&eacute;mon de politique
Le d&eacute;mon de politique peut &ecirc;tre contr&ocirc;l&eacute; &agrave; l’aide de SRC (contr&ocirc;leur des ressources
syst&egrave;me). Par exemple, la commande :
startsrc –s policyd –a ”–i 60”
lance l’agent de politique avec un intervalle d’actualisation de 60 secondes.
La commande
stopsrc –s policyd
arr&ecirc;te le d&eacute;mon de politique.
Remarque :
L’arr&ecirc;t du d&eacute;mon de politique be supprime pas les politiques install&eacute;es dans
le noyau. Lorsque vous red&eacute;marrez le d&eacute;mon de politique, les anciennes
politiques (d&eacute;j&agrave; install&eacute;es dans le noyau) sont supprim&eacute;es et les politiques
d&eacute;finies dans le fichier /etc/policyd.conf sont r&eacute;install&eacute;es.
R&eacute;f&eacute;rence QoS
Pour des mises &agrave; jour importantes de cette documentation, consultez le fichier README
dans /usr/samples/tcpip/qos.
Commandes
• qosadd
• qoslist
• qosmod
• qosremove
• qosstat
• mkqos
• rmqos
M&eacute;thodes
• cfgqos
• ucfgqos
4-224
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification des incidents TCP/IP
Cette section traite du diagnostic des incidents courants en environnement TCP/IP
(Transmission Control Protocol/Internet Protocol).
La commande netstat est tr&egrave;s utile pour localiser un incident. Une fois la zone en cause
isol&eacute;e, vous disposez d’outils plus pr&eacute;cis : commandes netstat –i et netstat –v pour
d&eacute;terminer la pr&eacute;sence d’un probl&egrave;me au niveau d’une interface mat&eacute;rielle, puis
programmes de diagnostic pour mieux cerner les causes de l’incident. Ou bien, si la
commande netstat -s a d&eacute;tect&eacute; des erreurs de protocole, vous pouvez utiliser la
commande trpt ou iptrace.
Cette section traite des points suivants :
• Incidents de communication, page 4-225
• Incidents de r&eacute;solution de noms, page 4-225
• Incidents de routage, page 4-227
• Incidents relatifs &agrave; la prise en charge SRC, page 4-228
• Incidents li&eacute;s &agrave; telnet ou rlogin, page 4-229
• Incidents de configuration, page 4-231
• Incidents courants sur les interfaces de r&eacute;seau, page 4-231
• Incidents de livraison de paquets, page 4-234
• Incidents au niveau du protocole DHCP, page 4-235
Incidents de communication
Si vous ne parvenez pas &agrave; communiquer avec un h&ocirc;te de votre r&eacute;seau :
• Essayez de contacter l’h&ocirc;te &agrave; l’aide de la commande ping. Lancez la commande ping
sur l’h&ocirc;te local pour v&eacute;rifier que l’interface locale reli&eacute;e au r&eacute;seau est op&eacute;rationnelle et
active.
• Tentez de r&eacute;soudre le nom de l’h&ocirc;te avec la commande host. Si vous n’y parvenez pas,
vous avez un probl&egrave;me de r&eacute;solution de noms. Pour en savoir plus, reportez–vous &agrave;
Probl&egrave;mes de r&eacute;solution de noms.
Si le nom est r&eacute;solu et que l’h&ocirc;te &agrave; contacter se trouve sur un autre r&eacute;seau, il s’agit
peut–&ecirc;tre de difficult&eacute;s de routage. Pour en savoir plus, reportez–vous &agrave; Probl&egrave;mes de
routage.
• Sur un r&eacute;seau en anneau &agrave; jeton, v&eacute;rifiez si l’h&ocirc;te cible r&eacute;side sur un autre anneau. Dans
l’affirmative, il est probable que le champ allcast soit mal renseign&eacute;. Pour acc&eacute;der au
menu des interfaces de r&eacute;seau, vous pouvez utiliser wsm, Web-based System Manager
ou le raccourci SMIT smit chinet. Sp&eacute;cifiez ensuite no dans le champ Confine
Broadcast to Local Ring to, de la bo&icirc;te de dialogue pour la d&eacute;finition de l’anneau &agrave; jeton.
• Si un grand nombre de paquets ARP transitent sur le r&eacute;seau, v&eacute;rifiez que votre masque
du sous–r&eacute;seau est correctement d&eacute;fini. Faute de quoi, vous vous trouvez en pr&eacute;sence
d’un conflit de diffusion pouvant affecter les performances de votre syst&egrave;me.
Incidents de r&eacute;solution de noms
Les routines de r&eacute;solution ex&eacute;cut&eacute;es sur des h&ocirc;tes TCP/IP tentent de r&eacute;soudre les noms en
faisant appel aux sources suivantes et dans l’ordre suivant :
1. au serveur de noms DOMAIN (named),
2. NIS (Network Information Services),
3. au fichier /etc/hosts local.
Protocole TCP/IP
4-225
Lors de l’installation de NIS+, les pr&eacute;f&eacute;rences de recherche sont d&eacute;finies dans le fichier
irs.conf. Pour plus d’informations, reportez–vous au AIX 5L Version 5.2 NIS/NIS+ (Network
Information Services) Guide.
H&ocirc;te client
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te avec le fichier /etc/hosts (r&eacute;seau plat),
v&eacute;rifiez que ce fichier contient le nom d’h&ocirc;te et l’adresse IP correcte.
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te avec un serveur de noms :
1. V&eacute;rifiez que le fichier resolv.conf contient le nom du domaine et l’adresse Internet d’un
serveur de noms.
2. V&eacute;rifiez que le serveur de noms local est op&eacute;rationnel en &eacute;mettant la commande ping
avec l’adresse IP du serveur (relev&eacute;e dans le fichier resolv.conf local).
3. Si le serveur de noms est op&eacute;rationnel, v&eacute;rifiez que le d&eacute;mon named sur votre serveur
de noms local est actif en &eacute;mettant la commande lssrc –s named sur le serveur de
noms.
4. Si vous ex&eacute;cutez syslogd, recherchez les &eacute;ventuels messages d’erreur journalis&eacute;s.
(la sortie des messages est d&eacute;finie dans le fichier /etc/syslog.conf).
Si ces op&eacute;rations ne permettent pas d’identifier l’incident, examinez l’h&ocirc;te serveur de noms.
H&ocirc;te serveur de noms
En cas d’&eacute;chec de r&eacute;solution d’un nom d’h&ocirc;te :
1. V&eacute;rifiez que le d&eacute;mon named est actif :
lssrc –s named
2. V&eacute;rifiez que l’adresse de l’h&ocirc;te cible existe dans la base de donn&eacute;es du serveur de
noms et qu’elle est correcte. Envoyez un signal SIGINT au d&eacute;mon named pour placer
un clich&eacute; de la base de donn&eacute;es et de la m&eacute;moire cache dans le fichier
/var/tmp/named_dump.db. V&eacute;rifiez que l’adresse que vous tentez de r&eacute;soudre s’y
trouve et est correcte.
Ajoutez ou corrigez les informations de r&eacute;solution nom-adresse dans le fichier de
donn&eacute;es h&ocirc;te named du serveur de noms ma&icirc;tre du domaine. Puis, ex&eacute;cutez la
commande SRC ci-dessous pour relire les fichiers de donn&eacute;es :
refresh –s named
3. V&eacute;rifiez que les demandes de r&eacute;solution de noms ont &eacute;t&eacute; trait&eacute;es. Pour ce faire, lancez
le d&eacute;mon named &agrave; partir de la ligne de commande et sp&eacute;cifiez le niveau de mise au
point (de 1 &agrave; 9) sachant que plus le niveau est &eacute;lev&eacute;, plus le m&eacute;canisme de mise au
point consigne d’informations.
startsrc –s named –a ”–d DebugLevel”
4. Recherchez d’&eacute;ventuelles erreurs de configuration dans les fichiers de donn&eacute;es named.
Pour en savoir plus, reportez–vous &agrave; Serveur de noms – G&eacute;n&eacute;ralit&eacute;s on page 4-73.
Vous pouvez aussi consulter ”DOMAIN Data File Format,”, ”DOMAIN Reverse Data File
Format,” ”DOMAIN Cache File Format,” et ”DOMAIN Local Data File Format” dans le
manuel AIX 5L Version 5.2 Files Reference.
Remarque :
le plus souvent, les erreurs proviennent d’une mauvaise utilisation du
point (.) et de l’arrobas (@) dans les fichiers de donn&eacute;es DOMAIN.
Si des utilisateurs externes ne peuvent acc&eacute;der &agrave; vos domaines :
• V&eacute;rifiez que tous vos serveurs de noms non ma&icirc;tres (esclave, cache) sont d&eacute;finis avec
les m&ecirc;mes d&eacute;lais TTL dans les fichiers de donn&eacute;es DOMAIN.
4-226
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Si vos serveurs sont continuellement sollicit&eacute;s par des routines de r&eacute;solution externes :
• Assurez–vous que vos serveurs diffusent des fichiers de donn&eacute;es DOMAIN avec des
d&eacute;lais TTL suffisants. Si la valeur TTL est nulle ou n&eacute;gligeable, le d&eacute;lai accord&eacute; aux
donn&eacute;es transf&eacute;r&eacute;es s’&eacute;coule tr&egrave;s rapidement. Pour y rem&eacute;dier, pr&eacute;voyez au moins une
semaine comme valeur minimum dans vos enregistrements SOA.
Incidents de routage
Si vous ne parvenez pas &agrave; acc&eacute;der &agrave; un h&ocirc;te de destination, contr&ocirc;lez les points suivants :
• Si vous recevez le message Network Unreachable, v&eacute;rifiez la route vers l’h&ocirc;te
passerelle. Lancez la commande netstat -r pour afficher la liste des tables de routage
noyau.
• Si vous recevez le message No route to host (h&ocirc;te sans route), v&eacute;rifiez que
l’interface de r&eacute;seau local est op&eacute;rationnelle en lan&ccedil;ant la commande ifconfig
nom_interface. Le r&eacute;sultat doit indiquer ”up”. Lancez la commande ping pour tenter
d’atteindre un autre h&ocirc;te du r&eacute;seau.
• Si vous recevez le message Connection timed out :
– V&eacute;rifiez que la passerelle locale est op&eacute;rationnelle &agrave; l’aide de la commande ping
assortie du nom ou de l’adresse Internet de la passerelle.
– V&eacute;rifiez qu’une route vers l’h&ocirc;te passerelle a &eacute;t&eacute; correctement d&eacute;finie. Lancez la
commande netstat -r pour afficher la liste des tables de routage noyau.
– V&eacute;rifiez que l’h&ocirc;te qui vous int&eacute;resse dispose d’une entr&eacute;e de table de routage
renvoyant &agrave; votre machine.
• Si vous utilisez le routage statique, assurez–vous qu’une route vers l’h&ocirc;te cible et l’h&ocirc;te
passerelle a &eacute;t&eacute; d&eacute;finie. Lancez la commande netstat -r pour afficher la liste des tables
de routage noyau.
Remarque :
L’h&ocirc;te qui vous int&eacute;resse doit disposer d’une entr&eacute;e de table de routage
renvoyant &agrave; votre machine.
• En routage dynamique, v&eacute;rifiez, &agrave; l’aide de la commande netstat –r, que la passerelle
est r&eacute;pertori&eacute;e dans les tables de routage noyau et qu’elle est correcte.
• Si l’h&ocirc;te passerelle utilise le protocole RIP avec le d&eacute;mon routed, v&eacute;rifiez qu’une route
statique d’acc&egrave;s &agrave; l’h&ocirc;te cible est d&eacute;finie dans le fichier /etc/gateways.
Remarque :
Cette op&eacute;ration n’est requise que si le d&eacute;mon de routage ne parvient pas &agrave;
identifier la route vers l’h&ocirc;te distant en interrogeant les autres passerelles.
• Si l’h&ocirc;te passerelle utilise RIP avec le d&eacute;mon gated, v&eacute;rifiez qu’une route statique
d’acc&egrave;s &agrave; l’h&ocirc;te cible est d&eacute;finie dans le fichier gated.conf.
• En routage dynamique avec le d&eacute;mon routed :
– Si routed ne parvient pas &agrave; identifier la route par le biais de demandes (par exemple,
si l’h&ocirc;te cible n’ex&eacute;cute pas le protocole RIP), v&eacute;rifiez qu’une route d’acc&egrave;s &agrave; l’h&ocirc;te
cible est d&eacute;finie dans le fichier /etc/gateways.
– V&eacute;rifiez que les passerelles charg&eacute;es d’exp&eacute;dier les paquets &agrave; l’h&ocirc;te sont
op&eacute;rationnelles et ex&eacute;cutent RIP. Sinon, vous devez d&eacute;finir une route statique.
– Ex&eacute;cutez le d&eacute;mon routed avec l’option de mise au point pour journaliser les
anomalies (r&eacute;ception de paquets erron&eacute;s par exemple). Appelez le d&eacute;mon &agrave; partir de
la ligne de commande, comme suit :
startsrc –s routed –a ”–d”
– Ex&eacute;cutez le d&eacute;mon routed avec l’indicateur –t pour envoyer tous les paquets entrants
et sortants vers la sortie standard. Ex&eacute;cut&eacute; dans ce mode, routed reste sous le
contr&ocirc;le du terminal qui l’a lanc&eacute;. Et il peut &ecirc;tre arr&ecirc;t&eacute; depuis ce terminal.
Protocole TCP/IP
4-227
• En routage dynamique avec le d&eacute;mon gated :
– V&eacute;rifiez que le fichier /etc/gated.conf est correctement configur&eacute; et que vous
ex&eacute;cutez les protocoles ad&eacute;quats.
– V&eacute;rifiez que les passerelles sur les r&eacute;seaux source et cible utilisent le m&ecirc;me
protocole.
– V&eacute;rifiez que la machine que vous tentez de contacter dispose d’une route retour vers
votre machine h&ocirc;te.
– V&eacute;rifiez que les noms de passerelle des fichiers gated.conf et /etc/networks
correspondent.
• Si vous utilisez le protocole RIP ou HELLO et que les routes d’acc&egrave;s ne peuvent pas &ecirc;tre
identifi&eacute;es par des demandes de routage, v&eacute;rifiez qu’une route d’acc&egrave;s &agrave; l’h&ocirc;te cible est
d&eacute;finie dans le fichier gated.conf. Il est conseill&eacute; de d&eacute;finir des routes statiques si :
– L’h&ocirc;te de destination n’ex&eacute;cute pas le m&ecirc;me protocole que l’h&ocirc;te source et ne peut
donc pas &eacute;changer d’informations de routage.
– L’acc&egrave;s &agrave; l’h&ocirc;te doit se faire par une passerelle distante (c’est-&agrave;-dire sur un autre
syst&egrave;me autonome que l’h&ocirc;te source). Le protocole RIP peut &ecirc;tre utilis&eacute; uniquement
entre des h&ocirc;tes d’un m&ecirc;me syst&egrave;me autonome.
Autres possibilit&eacute;s
Si aucune des solutions propos&eacute;es n’aboutit, vous pouvez activer le suivi du d&eacute;mon de
routage (routed ou gated). Ex&eacute;cutez la commande SRC traceson &agrave; partir de la ligne de
commande ou envoyez un signal au d&eacute;mon pour sp&eacute;cifier diff&eacute;rents niveaux de suivi. Pour
en savoir plus, reportez-vous au d&eacute;mon gated ou routed.
Incidents SRC
• Si les modifications apport&eacute;es au fichier /etc/inetd.conf ne sont pas prises en compte :
Mettez &agrave; jour le d&eacute;mon inetd via la commande refresh –s inetd ou kill –1 InetdPID.
• Si startsrc –s [sous_syst&egrave;me] renvoie le message :
0513–00 The System Resource Controller is not active.
Le sous-syst&egrave;me SRC (System Resource Controller) n’a pas &eacute;t&eacute; activ&eacute;. Lancez la
commande srcmstr &amp; pour lancer SRC, puis &agrave; nouveau la commande startsrc.
Vous pouvez tenter de lancer le d&eacute;mon &agrave; partir de la ligne de commande sans SCR.
• Si refresh –s [sous_syst&egrave;me] ou lssrc –ls [sous_syst&egrave;me] renvoie le message :
[nom sous syst&egrave;me] does not support this option.
Le sous-syst&egrave;me ne prend pas en charge l’option SRC &eacute;mise. Consultez la
documentation relative au sous-syst&egrave;me.
• Si le message ci-dessous s’affiche :
SRC was not found, continuing without SRC support.
Un d&eacute;mon a &eacute;t&eacute; appel&eacute; directement &agrave; partir de la ligne de commande et non via la
commande startsrc. Ceci ne constitue pas un incident. Toutefois les commandes SRC
(telles que stopsrc et refresh) ne peuvent pas &ecirc;tre utilis&eacute;es pour manipuler un
sous-syst&egrave;me appel&eacute; directement.
Le d&eacute;mon inetd est install&eacute;, s’ex&eacute;cute correctement et le service appropri&eacute; ne pr&eacute;sente pas
de probl&egrave;me, mais la connexion est impossible ; analysez le d&eacute;mon inetd &agrave; l’aide d’un
programme de mise au point.
1. Arr&ecirc;tez temporairement le d&eacute;mon inetd en tapant :
stopsrc –s inetd
La commande stopsrc arr&ecirc;te les sous–syst&egrave;mes tel que le d&eacute;mon inetd.
4-228
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
2. Modifiez le fichier syslog.conf pour ajouter une ligne relative &agrave; la mise au point &agrave; la fin.
Par exemple :
vi /etc/syslog.conf
a. Ajoutez la ligne ”*.debug /tmp/monfichier” &agrave; la fin du fichier, puis quittez.
b. Le fichier sp&eacute;cifi&eacute; doit &ecirc;tre un fichier existant (/tmp/monfichier dans cet
exemple). Pour valider l’existence du fichier, vous pouvez utiliser la commande
touch.
3. Rafra&icirc;chissez le fichier :
– Si vous utilisez SRC, entrez :
refresh –s syslogd
– Si vous n’utilisez pas SRC, arr&ecirc;tez le d&eacute;mon syslogd :
kill –1 ‘ps –e | grep /etc/syslogd | cut –c1–7‘
4. Lancez la sauvegarde du d&eacute;mon inetd en y associant l’activation de la mise au point :
startsrc –s inetd –a ”–d”
L’indicateur –d active la mise au point.
5. Ex&eacute;cutez une connexion pour d&eacute;tecter les erreurs dans le fichier de mise au point
/tmp/monfichier. Par exemple :
tn bastet
Trying...
connected to bastet
login:&gt;
Connection closed
6. Examinez le fichier de mise au point &agrave; la recherche d’&eacute;ventuels probl&egrave;mes.
Par exemple :
tail –f /tmp/monfichier
Incidents li&eacute;s &agrave; telnet ou rlogin
Voici quelques indications sur les incidents li&eacute;s aux commandes telnet et rlogin.
Distorsion de l’&eacute;cran
Si vous rencontrez des probl&egrave;mes de distorsion d’&eacute;cran dans des applications plein &eacute;cran :
1. V&eacute;rifiez la variable d’environnement TERM, via la commande :
env
OU
echo $TERM
2. V&eacute;rifiez que la valeur de TERM concorde avec le type d’&eacute;cran de terminal utilis&eacute;.
Mise au point par telnet
Les sous-commandes telnet qui peuvent vous aider &agrave; r&eacute;soudre des incidents sont :
display
Affiche les valeurs d&eacute;finies et les valeurs de commutation.
toggle
Affiche toutes les donn&eacute;es r&eacute;seau en hexad&eacute;cimal.
toggle options Change l’affichage des options internes du process telnet.
Protocole TCP/IP
4-229
Mise au point du d&eacute;mon telnetd
Si le d&eacute;mon inetd ex&eacute;cute le service telnet, alors que vous n’&ecirc;tes toujours pas en mesure
de vous connecter &agrave; l’aide de la commande telnet, cela signifie qu’il y a un probl&egrave;me au
niveau de l’interface telnet.
1. V&eacute;rifiez que telnet utilise le type de terminal correct.
a. V&eacute;rifiez la variable $TERM sur votre machine :
echo $TERM
b. Connectez–vous &agrave; la machine que vous souhaitez relier et v&eacute;rifiez la variable
$TERM :
echo $TERM
2. Utilisez les fonctions de mise au point de l’interface telnet en utilisant la commande
telnet sans indicateur.
telnet
tn&gt;
a. Entrez open h&ocirc;te (h&ocirc;te est le nom de la machine).
b. Appuyez sur Ctrl–T pour rappeler l’invite tn%gt;.
c. A l’invite tn&gt;, entrez debug pour acc&eacute;der au mode mise au point.
3. Essayez de vous connecter &agrave; une autre machine en utilisant l’interface telnet :
telnet bastet
Trying...
Connected to bastet
Escape character is ’^T’.
Observez le d&eacute;filement des diff&eacute;rentes commandes &agrave; l’&eacute;cran. Par exemple :
SENT
SENT
SENT
SENT
SENT
RCVD
RCVD
RCVD
RCVD
SENT
RCVD
SENT
RCVD
RCVD
...
do ECHO
do SUPPRESS GO AHEAD
will TERMINAL TYPE (reply)
do SUPPORT SAK
will SUPPORT SAK (reply)
do TERMINAL TYPE (don’t reply)
will ECHO (don’t reply)
will SUPPRESS GO AHEAD (don’t reply)
wont SUPPORT SAK (reply)
dont SUPPORT SAK (reply)
do SUPPORT SAK (don’t reply)
suboption TELOPT_NAWS Width 80, Height 25
suboption TELOPT_TTYPE SEND
suboption TELOPT_TTYPE aixterm
4. V&eacute;rifiez la d&eacute;finition de aixterm dans les r&eacute;pertoires /etc/termcap ou /usr/lib/terminfo.
Par exemple :
ls –a /usr/lib/terminfo
5. Si la d&eacute;finition de aixterm est manquante, ajoutez–la en cr&eacute;ant le fichier ibm.ti.
Par exemple :
tic ibm.ti
La commande tic est un compilateur d’informations de terminal.
4-230
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Programmes utilisant la biblioth&egrave;que curses &eacute;tendue
Certains probl&egrave;mes peuvent appara&icirc;tre au niveau des touches de fonction et des touches
fl&eacute;ch&eacute;es si vous utilisez les commandes rlogin et telnet avec des programmes faisant
appel &agrave; la biblioth&egrave;que curses &eacute;tendue. En effet, ces touches g&eacute;n&egrave;rent des s&eacute;quences
d’&eacute;chappement, qui peuvent &ecirc;tre dissoci&eacute;es si le temps imparti ne suffit pas &agrave; la s&eacute;quence
compl&egrave;te. Apr&egrave;s un certain d&eacute;lai, la biblioth&egrave;que curses d&eacute;cide si Echap doit &ecirc;tre interpr&eacute;t&eacute;
seul ou comme le d&eacute;but d’une s&eacute;quence d’&eacute;chappement multi-octets g&eacute;n&eacute;r&eacute;e par d’autres
touches (touches fl&eacute;ch&eacute;es, touches de fonction ou touche Action).
Si, dans le temps imparti, la touche Echap n’est suivie d’aucune donn&eacute;e valide, curses
l’interpr&egrave;te comme la touche Echap seule et fractionne la s&eacute;quence de touches. Le d&eacute;lai
associ&eacute; aux commandes rlogin ou telnet d&eacute;pend du r&eacute;seau. C’est en fonction de sa
vitesse que les touches de fonction et les touches fl&eacute;ch&eacute;es fonctionnent normalement ou
non. Pour r&eacute;soudre efficacement le probl&egrave;me, attribuez une valeur &eacute;lev&eacute;e (entre 1000 et
1500) &agrave; la variable d’environnement ESCDELAY.
Incidents de configuration
Une fois la carte install&eacute;e, les interfaces de r&eacute;seau sont automatiquement configur&eacute;es au
premier lancement du syst&egrave;me. Il reste toutefois certaines valeurs initiales &agrave; d&eacute;finir pour
TCP/IP, telles que le nom de l’h&ocirc;te, l’adresse Internet et le masque de sous–r&eacute;seau. Pour
cela, vous pouvez utiliser wsm, Web-based System Manager ou l’interface SMIT comme
suit :
• Servez-vous du raccourci smit mktcpip pour d&eacute;finir les valeurs initiales pour le nom
d’h&ocirc;te, l’adresse Internet et le masque de sous–r&eacute;seau.
• Cette commande smit mktcpip permet &eacute;galement de sp&eacute;cifier un serveur pour la
r&eacute;solution de noms. Cependant, smit mktcpip ne configure qu’une seule interface de
r&eacute;seau.
• Pour d&eacute;finir d’autres attributs de r&eacute;seau, utilisez le raccourci smit chinet.
Si vous souhaitez mettre en place des routes statiques pour que l’h&ocirc;te puisse acheminer
des informations de transmission, par exemple une route d’acc&egrave;s &agrave; la passerelle locale,
d&eacute;finissez–les de fa&ccedil;on permanente dans la base de configuration, avec Web-based
System Manager, wsm, ou le raccourci SMIT smit mkroute.
Si vous rencontrez d’autres difficult&eacute;s, reportez–vous &agrave; Configuration d’une liste de contr&ocirc;le
du r&eacute;seau TCP/IP.
Incidents courants sur les interfaces de r&eacute;seau
Une fois la carte install&eacute;e, les interfaces de r&eacute;seau sont automatiquement configur&eacute;es au
premier lancement du syst&egrave;me. Il reste toutefois certaines valeurs initiales &agrave; d&eacute;finir pour
TCP/IP. Par exemple, il est possible de d&eacute;finir le nom d’h&ocirc;te et l’adresse Internet &agrave; l’aide de
wsm de Web-based System Manager ou du raccourci smit mktcpip de SMIT.
Si vous passez par SMIT, ayez recours au raccourci smit mktcpip pour d&eacute;finir ces valeurs
de fa&ccedil;on permanente dans la base de configuration. Pour les modifier dans le syst&egrave;me actif,
utilisez les raccourcis smit chinet et smit hostname. Le raccourci smit mktcpip permet
une configuration minimale de TCP/IP. Pour ajouter des cartes, passez par le menu Further
Configuration, accessible via le raccourci smit tcpip.
Si, malgr&eacute; la validit&eacute; des valeurs d&eacute;finies, vous avez toujours des difficult&eacute;s &agrave; recevoir et
envoyer des donn&eacute;es :
• V&eacute;rifiez que votre carte r&eacute;seau dispose d’une interface de r&eacute;seau en ex&eacute;cutant la
commande netstat –i. La sortie doit mentionner une interface, par exemple tr0, dans la
colonne Name. Dans le cas contraire, cr&eacute;ez une interface de r&eacute;seau via Web-based
System Manager ou via le raccourci smit mkinet de SMIT.
• V&eacute;rifiez que l’adresse IP de l’interface est correcte, en ex&eacute;cutant netstat –i. La sortie doit
afficher l’adresse IP dans la colonne Network. Si l’adresse est incorrecte, modifiez-la via
Web-based System Manager ou via le raccourci SMIT smit chinet.
Protocole TCP/IP
4-231
• Utilisez la commande arp pour v&eacute;rifier que l’adresse IP de la machine cible est compl&egrave;te.
Par exemple :
arp –a
La commande arp recherche l’adresse physique de la carte. Cette commande risque de
renvoyer une adresse incompl&egrave;te. Par exemple :
? (192.100.61.210) &agrave; (incompl&egrave;te)
Les raisons peuvent &ecirc;tre les suivantes : une machine d&eacute;branch&eacute;e, une adresse isol&eacute;e
sans machine &agrave; l’adresse sp&eacute;cifique ou un probl&egrave;me mat&eacute;riel (par ex. une machine en
mesure de se connecter et de recevoir des paquets mais qui ne peut pas les renvoyer).
• Recherchez les erreurs au niveau de la carte. Par exemple :
netstat –v
La commande netstat –v affiche les donn&eacute;es statistiques au niveau des pilotes des
p&eacute;riph&eacute;riques Ethernet, Token Ring, X.25 et 802.3. Elle r&eacute;v&egrave;le &eacute;galement les donn&eacute;es
relatives aux connexions au r&eacute;seau et aux erreurs de connexion pour tous les pilotes de
p&eacute;riph&eacute;riques actifs sur une interface, y compris :
No Mbufs Errors,No Mbuf Extension Errors,
Packets Transmitted et Adapter
Errors Detected.
• Consultez le journal des erreurs, en lan&ccedil;ant la commande errpt, pour v&eacute;rifier qu’aucun
incident de carte n’a &eacute;t&eacute; d&eacute;tect&eacute;.
• V&eacute;rifiez que la carte est fiable en ex&eacute;cutant les programmes de diagnostics. Pour cela,
utilisez l’application Devices de Web-based System Manager, le raccourci smit diag ou
la commande diag.
Si ces &eacute;tapes ne permettent pas d’identifier le probl&egrave;me, reportez–vous &agrave; Probl&egrave;mes
d’interface r&eacute;seau SLIP page 4-232,
Probl&egrave;mes d’interface r&eacute;seau Ethernet page 4-233, ou Probl&egrave;me d’interface r&eacute;seau en
anneau jeton.
Incidents sur une interface de r&eacute;seau SLIP
En g&eacute;n&eacute;ral, la m&eacute;thode la plus efficace pour r&eacute;soudre ce type d’incident consiste &agrave; v&eacute;rifier
pas &agrave; pas la configuration de votre syst&egrave;me. Vous pouvez &eacute;galement :
• V&eacute;rifiez que le process slattach s’ex&eacute;cute sur le port tty appropri&eacute;, via la commande
ps –ef. Si ce n’est pas le cas, lancez la commande slattach. Pour la syntaxe &agrave; utiliser,
reportez–vous &agrave; Configuration de SLIP pour modem, ou &agrave; Configuration de SLIP pour
c&acirc;ble null– modem.
• V&eacute;rifiez les adresses point-&agrave;-point sp&eacute;cifi&eacute;es via la commande smit chinet.
S&eacute;lectionnez l’interface SLIP. V&eacute;rifiez l’adresse Internet et l’adresse de destination.
Si le modem ne fonctionne pas correctement :
• V&eacute;rifiez son installation. Reportez-vous au manuel op&eacute;rateur du modem.
• V&eacute;rifiez que les contr&ocirc;les de flux que le modem peut effectuer sont d&eacute;sactiv&eacute;s.
Si le tty ne fonctionne pas correctement, v&eacute;rifiez le d&eacute;bit (en bauds) correspondant ainsi
que les caract&eacute;ristiques du modem, dans la base de donn&eacute;es de configuration, via la
commande smit tty.
4-232
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Incidents sur l’interface de r&eacute;seau Ethernet
Si une interface r&eacute;seau est initialis&eacute;e, les adresses d&eacute;finies et la carte install&eacute;e correcte :
• V&eacute;rifiez qu’un connecteur en T est directement branch&eacute; sur l’&eacute;metteur-r&eacute;cepteur (int&eacute;gr&eacute;
ou non).
• Assurez–vous que vous utilisez un c&acirc;ble Ethernet. Le c&acirc;ble Ethernet est de 50 OHM.
• Assurez–vous que vous utilisez des terminaisons Ethernet. Les terminaisons Ethernet
sont de 50 OHM.
• Les cartes Ethernet peuvent fonctionner avec un &eacute;metteur-r&eacute;cepteur interne ou externe.
Un cavalier, install&eacute; sur la carte, d&eacute;finit le type d’&eacute;metteur-r&eacute;cepteur utilis&eacute;. V&eacute;rifiez la
position de ce cavalier (reportez-vous &agrave; la documentation de la carte).
• V&eacute;rifiez le type de connecteur utilis&eacute; (BNC pour c&acirc;ble fin et DIX pour c&acirc;ble &eacute;pais). Si
vous changez ce type de connecteur, vous devez d&eacute;finir le champ Apply Change to
Database Only (appliquer les modifications uniquement &agrave; la base de donn&eacute;es) ; pour ce
faire, utilisez wsm de Web-based System Manager ou le raccourci smit chgenet de
SMIT. Ce champ doit &ecirc;tre coch&eacute; dans Web-based System Manager ou d&eacute;fini &agrave; yes dans
SMIT. R&eacute;amorcez ensuite la machine pour appliquer la nouvelle configuration.
(Reportez-vous &agrave; ”Configuration et gestion des cartes”, page 4-37.)
Incidents li&eacute;s &agrave; une interface de r&eacute;seau en anneau &agrave; jeton
Si vous ne parvenez pas communiquer avec certaines machines, alors que l’interface de
r&eacute;seau est initialis&eacute;e, les adresses convenablement d&eacute;finies et la carte install&eacute;e correcte :
• V&eacute;rifiez si les machines en cause se trouvent sur un autre anneau. Si tel est le cas,
utilisez wsm de Web-based System Manager ou le raccourci smit chinet de SMIT pour
cocher le champ Confine BROADCAST to Local Token–Ring (limiter la diffusion &agrave;
l’anneau &agrave; jeton local). Ce champ ne doit pas &ecirc;tre coch&eacute; dans Web-based System
Manager ou d&eacute;fini &agrave; no dans SMIT.
• V&eacute;rifiez que la carte de r&eacute;seau en anneau &agrave; jeton est configur&eacute;e pour fonctionner &agrave; la
bonne vitesse d’anneau. S’il est configur&eacute; incorrectement, utilisez l’application r&eacute;seau
Web-based System Manager ou SMIT pour modifier l’attribut de la vitesse de l’anneau &agrave;
jeton (reportez–vous &agrave; Configuration et gestion des cartes). Une fois TCP/IP red&eacute;marr&eacute;,
la vitesse d’anneau de la carte de r&eacute;seau en anneau &agrave; jeton sera identique &agrave; celle du
r&eacute;seau.
Incidents avec un pont anneau &agrave; jeton/Ethernet
Si la communication entre un r&eacute;seau en anneau &agrave; jeton et un r&eacute;seau Ethernet reli&eacute;s par un
pont est d&eacute;faillante alors que le pont fonctionne normalement, il est probable que la carte
Ethernet rejette des paquets. Ce rejet a lieu lorsque le nombre de paquets entrants
(en-t&ecirc;tes compris) est sup&eacute;rieur &agrave; la valeur MTU (Maximum Transmission Unit) de la carte.
Par exemple, un paquet de 1500 octets envoy&eacute; par une carte en anneau &agrave; jeton via un
pont, totalise 1508 octets, avec un en-t&ecirc;te LLC de 8 octets. Si la valeur MTU de la carte
Ethernet est fix&eacute;e &agrave; 1500, le paquet est rejet&eacute;.
V&eacute;rifiez les valeurs MTU (Maximum Transmission Unit) des deux cartes de r&eacute;seau. Pour
autoriser l’adjonction, par la carte en anneau &agrave; jeton, d’en-t&ecirc;tes LLC de 8 octets aux
paquets sortants, la valeur MTU de cette carte doit &ecirc;tre inf&eacute;rieure d’au moins 8 octets &agrave;
celle de la carte Ethernet. Par exemple, pour qu’une carte en anneau &agrave; jeton puisse
communiquer avec une carte Ethernet avec une MTU de 1500 octets, sa MTU doit &ecirc;tre
fix&eacute;e &agrave; 1492.
Protocole TCP/IP
4-233
Incidents sur un pont reliant deux r&eacute;seaux en anneau &agrave; jeton
Lorsque la communication transite par un pont, la valeur MTU par d&eacute;faut (de 1500 octets)
doit &ecirc;tre ramen&eacute;e &agrave; 8 octets en-dessous de la valeur maximum I-frame d&eacute;clar&eacute;e par le pont
dans le champ de contr&ocirc;le de routage.
Pour retrouver la valeur du contr&ocirc;le de routage, ex&eacute;cutez le d&eacute;mon iptrace qui permet
d’examiner les paquets entrants. Les bits 1, 2 et 3 de l’octet 1 constituent les bits de trames
maximales (Largest Frame Bit). Ils d&eacute;terminent le maximum d’informations transmissibles
entre deux stations de communication sur une route sp&eacute;cifique. Pour le format du champ de
contr&ocirc;le de routage, consultez la figure ci-dessous :
Figure 26. Champ de contr&ocirc;le de routage Cette illustration repr&eacute;sente l’octet 0 et l’octet 1
d’un champ de contr&ocirc;le de routage. Les 8 bits de l’octet z&eacute;ro sont B, B, B, B, L, L, L, L.
Les 8 bits de l’octet 1 sont T D, F, F, F, r, r, r, r.
Les valeurs possibles des bits de trames maximales sont :
000
516 octets maximum dans le champ d’information.
001
1500 octets maximum dans le champ d’information.
010
2052 octets maximum dans le champ d’information.
011
4472 octets maximum dans le champ d’information.
100
8144 octets maximum dans le champ d’information.
101
R&eacute;serv&eacute;.
110
R&eacute;serv&eacute;.
111
Utilis&eacute; dans les trames de diffusion g&eacute;n&eacute;rale (toute route).
Par exemple, si la valeur de ”maximum I-frame” est 5 212.08 cm dans le champ de contr&ocirc;le
de routage, celle de MTU doit &ecirc;tre fix&eacute;e &agrave; 2044 (pour les interfaces anneau &agrave; jeton
seulement).
Remarque :
Lorsque vous utilisez iptrace, le fichier de sortie ne doit pas r&eacute;sider sur un
syst&egrave;me de fichiers NFS.
Incidents de livraison de paquets
Communication avec un h&ocirc;te distant
Si vous ne parvenez pas &agrave; &eacute;tablir la communication avec un h&ocirc;te distant :
• Lancez la commande ping sur l’h&ocirc;te local pour v&eacute;rifier que l’interface locale reli&eacute;e au
r&eacute;seau est op&eacute;rationnelle et active.
• Appliquez la commande ping successivement aux h&ocirc;tes et passerelles par lesquelles
l’information transite, pour localiser la d&eacute;faillance.
Si vous constatez des pertes de paquet ou des retards de livraison :
• Lancez la commande trpt pour effectuer un suivi des paquets au niveau socket.
• Lancez la commande iptrace pour effectuer le suivi de toutes les couches de protocole.
4-234
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Si vous ne parvenez pas &agrave; &eacute;tablir la communication entre un r&eacute;seau en anneau &agrave; jeton et
un r&eacute;seau Ethernet reli&eacute;s par un pont qui fonctionne normalement :
• V&eacute;rifiez les valeurs MTU (Maximum Transmission Unit) des deux cartes de r&eacute;seau. Elles
doivent &ecirc;tre compatibles pour autoriser la communication. En effet, si la taille du paquet
entrant (en-t&ecirc;tes compris) est sup&eacute;rieure &agrave; la valeur MTU (Maximum Transmission Unit)
de la carte, la machine rejette le paquet. Par exemple, un paquet de 1500 octets envoy&eacute;
via un pont r&eacute;cup&egrave;re un en-t&ecirc;te LLC de 8 octets pour atteindre une taille de 1508 octets.
Si la valeur MTU de la machine r&eacute;ceptrice est fix&eacute;e &agrave; 1500, le paquet est rejet&eacute;.
R&eacute;ponses snmpd
Si snmpd ne r&eacute;pond pas et qu’aucun message d’erreur n’est transmis, il est probable que
la taille du paquet est trop grande pour le gestionnaire de paquets UDP noyau. Dans ce
cas, augmentez la valeur des variables du noyau udp_sendspace et udp_recvspace :
no –o udp_sendspace=64000
no –o udp_recvspace=64000
La taille maximum d’un paquet UPD est de 64 Ko. La requ&ecirc;te est rejet&eacute;e si elle d&eacute;passe
64 Ko. Pour &eacute;viter ce type d’incident, le paquet doit &ecirc;tre fractionn&eacute;.
Incidents au niveau du protocole DHCP
Si vous ne pouvez pas obtenir une adresse IP ou d’autres param&egrave;tres de configuration :
• Assurez–vous qu’une interface &agrave; configurer a &eacute;t&eacute; sp&eacute;cifi&eacute;e. Pour cela, &eacute;ditez le fichier
/etc/dhcpcd.ini &agrave; l’aide de l’application Network de Web-based System Manager ou &agrave;
l’aide du raccourci smit dhcp de SMIT.
• V&eacute;rifiez qu’il existe un serveur sur le r&eacute;seau local ou un agent relais configur&eacute; pour
acheminer vos requ&ecirc;tes hors du r&eacute;seau local.
• V&eacute;rifiez que le programme dhcpcd est actif. Dans la n&eacute;gative, lancez-le via la
commande startsrc –s dhcpcd.
Protocole TCP/IP
4-235
Informations de r&eacute;f&eacute;rence TCP/IP
Les th&egrave;mes relatifs au protocole TCP/IP abord&eacute;s dans cette section sont les suivants :
• Liste des commandes TCP/IP
• Liste des d&eacute;mons TCP/IP, page 4-237
• Liste des m&eacute;thodes, page 4-237
• Liste des fichiers TCP/IP, page 4-238
• Liste des RFC, page 4-238
Liste des commandes TCP/IP
4-236
chnamsv
Modification sur un h&ocirc;te de la configuration du service de noms
TCP/IP.
chprtsv
Modification de la configuration d’un service d’impression sur
une machine client ou serveur.
hostent
Manipulation directe des entr&eacute;es d’&eacute;quivalence d’adresse dans
la base de donn&eacute;es de configuration du syst&egrave;me.
ifconfig
Configuration/affichage des param&egrave;tres d’interface d’un r&eacute;seau
TCP/IP.
mknamsv
Configuration sur un h&ocirc;te du service de noms TCP/IP pour un
client.
mkprtsv
Configuration sur un h&ocirc;te d’un service d’impression TCP/IP.
mktcpip
D&eacute;finition des valeurs requises pour le lancement de TCP/IP
sur un h&ocirc;te.
no
Configuration des options de r&eacute;seau.
rmnamsv
D&eacute;configuration sur un h&ocirc;te du service de noms TCP/IP.
rmprtsv
D&eacute;configuration de la configuration d’un service d’impression
sur une machine client ou serveur.
slattach
Raccordement des lignes s&eacute;rie comme interfaces de r&eacute;seau.
arp
Affichage/modification des tables de traduction d’adresse
Internet en adresse mat&eacute;rielle, utilis&eacute;es par ARP (Address
Resolution Protocol).
gettable
R&eacute;cup&eacute;ration &agrave; partir d’un h&ocirc;te des tables d’h&ocirc;te au format
NIC.
hostid
D&eacute;finition ou affichage de l’identificateur de l’h&ocirc;te local courant.
hostname
D&eacute;finition ou affichage du nom du syst&egrave;me h&ocirc;te courant.
htable
Conversion des fichiers h&ocirc;tes au format utilis&eacute; par les routines
de biblioth&egrave;que de r&eacute;seau.
ipreport
G&eacute;n&eacute;ration d’un rapport de suivi de paquet &agrave; partir du fichier
sp&eacute;cifi&eacute;.
iptrace
Suivi des paquets au niveau interface pour les protocoles
Internet.
lsnamsv
Affichage des informations du service de noms stock&eacute;es dans
la base de donn&eacute;es.
lsprtsv
Affichage des informations du service d’impression stock&eacute;es
dans la base de donn&eacute;es.
mkhosts
G&eacute;n&eacute;ration du fichier de tables h&ocirc;te.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
namerslv
Manipulation directe des entr&eacute;es de serveur de noms de
domaine pour les routines de r&eacute;solution dans la base de
donn&eacute;es de configuration.
netstat
Affichage de l’&eacute;tat du r&eacute;seau.
route
Manipulation directe des tables de routage.
ruser
Manipulation directe des entr&eacute;es de trois bases de donn&eacute;es
syst&egrave;me distinctes contr&ocirc;lant l’acc&egrave;s des h&ocirc;tes &eacute;trangers aux
programmes locaux.
ruptime
Affichage de l’&eacute;tat de chaque h&ocirc;te d’un r&eacute;seau.
securetcpip
Activation de la fonction de s&eacute;curit&eacute; r&eacute;seau.
setclock
D&eacute;finition de la date et de l’heure d’un h&ocirc;te sur un r&eacute;seau.
timedc
Informations sur le d&eacute;mon timed.
trpt
Suivi des prises TCP (Transmission Control Protocol).
Liste des d&eacute;mons TCP/IP
fingerd
Affichage des informations sur un utilisateur distant.
ftpd
Fonction serveur pour le protocole FTP (File Transfer Protocol)
d’Internet.
gated
Apport des fonctions de routage de passerelles aux protocoles RIP
(Routing Information Protocol), HELLO, EGP (Exterior Gateway
Protocol), BGP (Border Gateway Protocol) et SNMP (Simple Network
Management Protocol).
inetd
Gestion du service Internet pour un r&eacute;seau.
named
Apport de la fonction serveur au protocole DOMAIN.
rexecd
Apport de la fonction serveur &agrave; la commande rexec.
rlogind
Apport de la fonction serveur &agrave; la commande rlogin.
routed
Gestion des tables de routage de r&eacute;seau.
rshd
Apport de la fonction serveur pour l’ex&eacute;cution de commandes &agrave;
distance.
rwhod
Apport de la fonction serveur aux commandes rwho et ruptime.
syslogd
Lecture et consignation des messages syst&egrave;me.
talkd
Apport de la fonction serveur &agrave; la commande talk.
telnetd
Apport de la fonction serveur au protocole TELNET.
tftpd
Assure la fonction serveur pour le protocole TFTP
(Trivial File Transfer Protocol).
timed
Appel au d&eacute;mon timeserver au lancement du syst&egrave;me.
Liste des m&eacute;thodes
Les m&eacute;thodes d’unit&eacute; sont des programmes associ&eacute;s &agrave; une unit&eacute; qui ex&eacute;cutent des
op&eacute;rations de base de configuration d’unit&eacute;. Pour en savoir plus sur les m&eacute;thodes TCP/IP,
reportez-vous &agrave; la section ”List of TCP/IP Programming References” AIX 5L
Version 5.2 Communications Programming Concepts.
Protocole TCP/IP
4-237
Liste des fichiers TCP/IP
/etc/rc.bsdnet
Pour des informations sur les fichiers TCP/IP et les formats de fichier, reportez-vous &agrave; la
section ”List of TCP/IP Programming References” AIX 5L Version 5.2 Communications
Programming Concepts.
Liste des RFC
Pour conna&icirc;tre la liste des RFC (Request for Comments) pris en charge par ce
syst&egrave;me, reportez-vous &agrave; la section ”List of TCP/IP Programming References”
AIX 5L Version 5.2 Communications Programming Concepts.
• RFC 1359 Connecting to the Internet: What connecting institutions should anticipate
• RFC 1325 FYI on questions and answers: Answers to commonly asked ’new Internet
user’ questions
• RFC 1244 Site Security Handbook
• RFC 1178 ”Choosing a Name for Your Computer”
• RFC 1173 Responsibilities of host and network managers: A summary of the ‘oral
tradition’ of the Internet
4-238
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 5. Administration du r&eacute;seau
Administrer un r&eacute;seau consiste &agrave; g&eacute;rer globalement des r&eacute;seaux syst&egrave;mes, via le protocole
SNMP, permettant aux h&ocirc;tes d’&eacute;changer des informations de gestion. SNMP (Simple
Network Management Protocol) est un protocole con&ccedil;u pour les interr&eacute;seaux bas&eacute;s sur
TCP/IP. Ce chapitre traite des points suivants :
• Administration de r&eacute;seau avec SNMP page 5-2
• SNMPv3 page 5-3
• SNMPv1 page 5-13
Lorsque AIX 5.2 est install&eacute;, la version non chiffr&eacute;e de SNMPv3 est install&eacute;e par d&eacute;faut et
d&eacute;marr&eacute;e lors de l’amor&ccedil;age du syst&egrave;me. Si vous avez configur&eacute; vos propres
communaut&eacute;s, vos interruptions et vos entr&eacute;es smux dans le fichier /etc/snmpd.conf, vous
devez les faire migrer manuellement vers le fichier /etc/snmpdv3.conf. Pour plus
d’informations sur la migration des communaut&eacute;s, reportez–vous &agrave; Migration de SNMPv1
vers SNMPv3 page 1-9.
Vous pouvez &eacute;galement consulter ces informations dans SNMP Overview for Programmers
dans le manuel AIX 5L Version 5.2 Communications Programming Concepts.
Administration du r&eacute;seau
5-1
Administration de r&eacute;seau avec SNMP
L’administration de r&eacute;seau SNMP repose sur le mod&egrave;le client/serveur, largement exploit&eacute;
dans les applications bas&eacute;es sur TCP/IP. Chaque h&ocirc;te &agrave; g&eacute;rer ex&eacute;cute un processus
appel&eacute; un agent. L’agent est un processus serveur qui maintient la base de donn&eacute;es MIB
(Management Information Base) pour l’h&ocirc;te. Les h&ocirc;tes impliqu&eacute;s dans les d&eacute;cisions
d’administration du r&eacute;seau peuvent ex&eacute;cuter un processus appel&eacute; un gestionnaire.
Un gestionnaire est une application client qui g&eacute;n&egrave;re les requ&ecirc;tes d’informations &agrave; la MIB et
traite les r&eacute;ponses. Un gestionnaire peut en outre envoyer des requ&ecirc;tes aux serveurs de
l’agent pour modifier les informations MIB.
SNMP sous AIX prend en charge les RFC suivants :
5-2
RFC 1155
Structure et identification des donn&eacute;es de gestion (SMI) pour les
interr&eacute;seaux TCP/IP
RFC 1157
SNMP (Simple Network Management Protocol)
RFC 1213
Base MIB pour l’administration des interr&eacute;seaux bas&eacute;s sur TCP/IP :
MIB–II
RFC 1227
Protocole SNMP (Simple Network Management Protocol), protocole
SMUX (single multiplexer) et base MIB (Management Information
Base).
RFC 1229
Extensions &agrave; l’interface g&eacute;n&eacute;rique MIB
(Management Information Base)
RFC 1231
MIB (Management Information Base) anneau &agrave; jeton IEEE 802.5
RFC 1398
D&eacute;finitions des objets g&eacute;r&eacute;s pour les types d’interface Ethernet
RFC 1512
Base MIB FDDI
RFC 1514
Base MIB des ressources h&ocirc;te
RFC 1592
SNMP–DPI (Simple Network Management Protocol–Distributed
Program Interface) Version 2
RFC 1905
Op&eacute;rations de protocole pour la Version 2 de Simple Network
Management Protocol (SNMPv2)
RFC 1907
Base MIB pour la Version 2 de Simple Network Management
Protocol (SNMPv2)
RFC 2572
Traitement et envoi des messages pour Simple Network
Management Protocol (SNMP)
RFC 2573
Applications SNMP
RFC 2574
Mod&egrave;le de s&eacute;curit&eacute; utilisateur USM (User–based Security Model)
pour la version 3 de Simple Network Management Protocol
(SNMPv3)
RFC 2575
Mod&egrave;le VACM (View–based Access Control Model) pour Simple
Network Management Protocol (SNMP)
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
SNMPv3
Les informations de cette section concernent uniquement SNMPv3. Cette section traite des
points suivants :
• Pr&eacute;sentation de SNMPv3 page 5-4
• Architecture de SNMPv3 page 5-5
• Cl&eacute;s d’utilisateur SNMPv3 page 5-7
• Envoi de requ&ecirc;tes SNMPv3 page 5-10
• Identification des incidents SNMPv3 page 5-11
En outre, les t&acirc;ches SNMPv3 suivantes sont aussi trait&eacute;es :
• Migration de SNMPv1 vers SNMPv3 page 1-9
• Cr&eacute;ation d’utilisateurs dans SNMPv3 page 1-13
• Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3
page 1-18
Administration du r&eacute;seau
5-3
Pr&eacute;sentation de SNMPv3
Avant la version AIX 5.2, SNMPv1 &eacute;tait la seule version disponible de SNMP pour AIX.
SNMPv3 est fourni avec AIX 5.2. SNMPv3 fournit une structure puissante et souple &agrave; la
s&eacute;curit&eacute; des messages et au contr&ocirc;le de s&eacute;curit&eacute;. La s&eacute;curit&eacute; des message fournit les
fonctionnalit&eacute;s suivantes :
• Le contr&ocirc;le d’int&eacute;grit&eacute; des donn&eacute;es qui &eacute;vite la corruption des donn&eacute;es en transit
• La v&eacute;rification de l’origine des donn&eacute;es qui garantit que la requ&ecirc;te ou la r&eacute;ponse est bien
envoy&eacute;e par la source revendiqu&eacute;e
• La v&eacute;rification des dates des messages et facultativement, la confidentialit&eacute; des donn&eacute;es
contre les acc&egrave;s non autoris&eacute;es
L’architecture SNMPv3 met en œuvre le mod&egrave;le USM (User–based Security Model) pour la
s&eacute;curit&eacute; des messages et le mod&egrave;le VACM (View–based Access Control Model) pour le
contr&ocirc;le des acc&egrave;s. L’architecture prend en charge l’utilisation simultan&eacute;e de diff&eacute;rents
mod&egrave;les de s&eacute;curit&eacute;, de contr&ocirc;le des acc&egrave;s et de traitement des messages. Par exemple, la
s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute; peut &ecirc;tre utilis&eacute;e simultan&eacute;ment avec USM.
USM fait appel au concept d’un utilisateur pour lequel les param&egrave;tres de s&eacute;curit&eacute; (niveaux
de s&eacute;curit&eacute;, authentification et protocoles de confidentialit&eacute;, et cl&eacute;s) sont configur&eacute;s sur
l’agent et le gestionnaire. Les messages envoy&eacute;s via USM sont mieux prot&eacute;g&eacute;s que ceux
utilisant une s&eacute;curit&eacute; bas&eacute;e sur la communaut&eacute;, dans lesquels les mots de passe sont
envoy&eacute;s en clair et affich&eacute;s dans les fichiers de traces. Avec USM, les messages &eacute;chang&eacute;s
entre le gestionnaire et l’agent b&eacute;n&eacute;ficient de l’int&eacute;grit&eacute; des donn&eacute;es et de l’authentification
de l’origine des donn&eacute;es. Les retards et les renvois r&eacute;p&eacute;t&eacute;s de messages (hormis leurs
occurrences normales en cas de protocole de transmission sans connexion) sont &eacute;vit&eacute;s
gr&acirc;ce &agrave; des indicateurs d’horodatage et des ID de requ&ecirc;te. La confidentialit&eacute; des donn&eacute;es,
ou le chiffrement, est &eacute;galement disponible, si cela est autoris&eacute;, sous la forme d’un produit
installable s&eacute;par&eacute;ment. La version SNMP chiffr&eacute;e est fournie avec AIX Expansion Pack.
L’utilisation de VACM consiste &agrave; d&eacute;finir des collections de donn&eacute;es (appel&eacute;es des vues),
des groupes d’utilisateurs des donn&eacute;es et des instructions d’acc&egrave;s qui d&eacute;finissent les vues
qu’un groupe d’utilisateurs particulier peut employer pour une op&eacute;ration de lecture,
d’&eacute;criture ou de r&eacute;ception dans une interruption.
SNMPv3 permet &eacute;galement de configurer dynamiquement l’agent SNMP en lan&ccedil;ant les
commandes SNMP SET sur les objets MIB repr&eacute;sentant la configuration de l’agent. Cette
configuration dynamique prend en charge l’ajout, la suppression et la modification des
entr&eacute;es de configuration, localement ou &agrave; distance.
Les politiques d’acc&egrave;s SNMPv3 et les param&egrave;tres de s&eacute;curit&eacute; sont sp&eacute;cifi&eacute;s dans le fichier
/etc/snmpdv3.conf sur l’agent SNMP et le fichier /etc/clsnmp.conf dans le gestionnaire
SNMP. Vous trouverez un sc&eacute;nario sur la configuration des fichiers dans Cr&eacute;ation des
utilisateurs dans SNMPv3 page 1-13. Vous pouvez aussi consulter les formats des fichiers
/etc/snmpdv3.conf et /etc/clsnmp.conf dans AIX 5L Version 5.2 Files Reference.
5-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Architecture SNMPv3
L’architecture SNMPv3 comporte quatre parties comme le montre le graphique suivant.
Cette section d&eacute;crit la fa&ccedil;on dont ces syst&egrave;mes interagissent l’un avec l’autre pour fournir
les donn&eacute;es requises.
Figure 27. Les principaux &eacute;l&eacute;ments de l’architecture SNMPv3
Cette illustration repr&eacute;sente un exemple de l’architecture SNMPv3. Le sous–agent DPI2,
l’homologue smux, le gestionnaire SNMP et l’agent SNMP sont repr&eacute;sent&eacute;s. La
communication entre eux est &eacute;galement repr&eacute;sent&eacute;e.
Agent SNMP
L’agent SNMP re&ccedil;oit des requ&ecirc;tes du gestionnaire SNMP et lui r&eacute;pond. En outre, l’agent
SNMP communique avec tous les agents DPI2 et les homologues smux sur le syst&egrave;me.
L’agent SNMP g&egrave;re certaines variables MIB et tous les sous–agents DPI2 et homologues
smux enregistrent leurs variables MIB avec l’agent SNMP.
Lorsque clsnmp (le gestionnaire SNMP) &eacute;met une requ&ecirc;te, elle est envoy&eacute;e &agrave; UDP 161 sur
l’agent SNMP. Si la requ&ecirc;te est une requ&ecirc;te SNMPv1 ou SNMPv2c, l’agent SNMP v&eacute;rifie le
nom de communaut&eacute; et traite la requ&ecirc;te. Si la requ&ecirc;te est une requ&ecirc;te SNMPv3, l’agent
SNMP tente d’authentifier l’utilisateur demandant les donn&eacute;es et v&eacute;rifie qu’il poss&egrave;de les
droits d’acc&egrave;s requis pour ex&eacute;cuter la requ&ecirc;te en utilisant les cl&eacute;s d’authentification, et, si la
version chiffr&eacute;s s’ex&eacute;cute, les cl&eacute;s de confidentialit&eacute;. Si l’agent SNMP ne peut pas
authentifier l’utilisateur, ou si l’utilisateur n’a pas les droits d’acc&egrave;s ad&eacute;quats pour ex&eacute;cuter
la requ&ecirc;te, l’agent SNMP n’honore pas la requ&ecirc;te. Pour savoir comment cr&eacute;er des
utilisateurs dans SNMPv3, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3.
Si l’utilisateur est authentifi&eacute; et poss&egrave;de les droits d’acc&egrave;s ad&eacute;quats, l’agent SNMP ex&eacute;cute
la requ&ecirc;te. L’agent SNMP recherche les variables MIB demand&eacute;es. Si l’agent SNMP
lui–m&ecirc;me g&egrave;re les variables MIB demand&eacute;es, il traite la requ&ecirc;te et envoie une r&eacute;ponse au
gestionnaire SNMP. Si un sous–agent DPI2 ou un homologue smux g&egrave;re les variables MIB
demand&eacute;es, l’agent SNMP retransmet la requ&ecirc;te au sous–agent DPI2 ou &agrave; l’homologue
smux sur lequel les variables MB sont g&eacute;r&eacute;es, lui permet de traiter la requ&ecirc;te et r&eacute;pond
alors au gestionnaire SNMP.
Sous–agents DPI2
Un sous–agent tel que hostmibd communique avec l’agent DPI2 qui, dans SNMPv3, fait
partie de l’agent SNMP. Le sous–agent DPI2 envoie des r&eacute;ponses et des interruptions &agrave;
l’agent DPI2 via dpiPortForTCP.0. Comme il ne s’agit pas d’un port bien connu, le
sous–agent DPI2 doit d’abord lancer une requ&ecirc;te pour conna&icirc;tre le num&eacute;ro de port de
dpiPortForTCP.0. La requ&ecirc;te est envoy&eacute;e &agrave; UDP 161 sur l’agent SNMP, qui r&eacute;pond au
sous–agent DPI2 en indiquant le num&eacute;ro de port de dpiPortForTCP.0. Une fois le num&eacute;ro
de port re&ccedil;u, le sous–agent DPI2 &eacute;tablit une connexion &agrave; l’agent DPI2 en utilisant le num&eacute;ro
Administration du r&eacute;seau
5-5
de port indiqu&eacute;. Le sous–agent DPI2 enregistre alors ses sous–arborescences MIB avec
l’agent DPI2.
Une fois la connexion &eacute;tablie et les sous–arborescences MIB enregistr&eacute;es, le sous–agent
DPI2 est pr&ecirc;t &agrave; r&eacute;pondre aux requ&ecirc;tes re&ccedil;ues de l’agent DPI2. Lorsqu’une requ&ecirc;te est
re&ccedil;ue, le sous–agent DPI2 traite la requ&ecirc;te et renvoie les informations requises.
Le sous–agent DPI2 est &eacute;galement pr&ecirc;t &agrave; envoyer des interruptions si n&eacute;cessaire.
Lorsqu’une interruption est envoy&eacute;e, l’agent SNMP v&eacute;rifie son fichier /etc/snmpdv3.conf
pour d&eacute;terminer la ou les adresses IP &agrave; laquelle l’interruption doit &ecirc;tre envoy&eacute;e, et leur
envoie l’interruption.
Homologues smux
Un homologue smux tel que gated, une fois d&eacute;marr&eacute;, &eacute;tablit la connexion &agrave; TCP 199 et
initialise l’association smux. Suite &agrave; l’initialisation, l’homologue smux enregistre les
sous–arborescences MIB qu’il va g&eacute;rer.
Apr&egrave;s l’enregistrement, l’homologue smux est pr&ecirc;t &agrave; accepter toute requ&ecirc;te entrante du
serveur smux et &agrave; renvoyer des r&eacute;ponses. Lorsque l’homologue smux re&ccedil;oit une requ&ecirc;te,
il la traite et renvoie une r&eacute;ponse au serveur smux.
L’homologue smux peut aussi envoyer une interruption au serveur smux. Lorsqu’une
interruption est envoy&eacute;e, l’agent SNMP v&eacute;rifie son fichier /etc/snmpdv3.conf pour
d&eacute;terminer la ou les adresses IP &agrave; laquelle l’interruption doit &ecirc;tre envoy&eacute;e, et leur envoie
l’interruption.
Gestionnaire SNMP
Le gestionnaire SNMP ex&eacute;cute clsnmp, qui est compatible avec SNMPv1, SNMPv2c, et
SNMPv3. Avec la commande clsnmp, un utilisateur peut envoyer une requ&ecirc;te, par exemple
get, get–next, get–bulk, ou set . La requ&ecirc;te est envoy&eacute;e &agrave; UDP 161 sur l’agent
SNMP, puis attend la r&eacute;ponse de l’agent SNMP.
Il peut aussi &eacute;couter les interruptions SNMP sur UDP 162. Le gestionnaire SNMP re&ccedil;oit les
interruptions si l’adresse IP si cela est pr&eacute;cis&eacute; dans le fichier /etc/snmpdv3.conf de l’agent
SNMP.
Variables MIB
Pour plus d’informations sur les variables MIB, reportez–vous &agrave; Management Information
Base, Terminology Related to Management Information Base Variables, Working with
Management Information Base Variables, et Management Information Base Database dans
le manuel AIX 5L Version 5.2 Communications Programming Concepts.
Si vous souhaitez configurer vote propre sous–agent DPI2 ou un homologue smux,
reportez–vous aux r&eacute;pertoires /usr/samples/snmpd/smux et /usr/samples/snmpd/dpi2.
5-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Cl&eacute;s utilisateur SNMPv3
Cl&eacute;s d’authentification
L’authentification est en g&eacute;n&eacute;ral requise pour permettre le traitement des requ&ecirc;tes SNMPv3
(sauf si le niveau de s&eacute;curit&eacute; demand&eacute; est noAuth). Lors de l’authentification d’une
requ&ecirc;te, l’agent SNMP v&eacute;rifie que la cl&eacute; d’authentification envoy&eacute;e dans une requ&ecirc;te
SNMPv3 peut &ecirc;tre utilis&eacute;e pour cr&eacute;er un r&eacute;sum&eacute; de message correspondant &agrave; celui cr&eacute;&eacute;
par la cl&eacute; d’authentification d&eacute;finie par l’utilisateur.
Lorsque le gestionnaire SNMP envoie une requ&ecirc;te, la commande clsnmp utilise la cl&eacute;
d’authentification trouv&eacute;e dans une entr&eacute;e dans le fichier /etc/clsnmp.conf du gestionnaire
SNMP. Il doit &eacute;tablir une corr&eacute;lation avec la cl&eacute; d’authentification indiqu&eacute;e dans une entr&eacute;e
USM_USER de cet utilisateur dans le fichier /etc/snmpdv3.conf de l’agent SNMP. Les cl&eacute;s
d’authentification sont g&eacute;n&eacute;r&eacute;es &agrave; l’aide de la commande pwtokey.
La cl&eacute; d’authentification est g&eacute;n&eacute;r&eacute;e &agrave; partir de deux &eacute;l&eacute;ments :
• Le mot de passe indiqu&eacute;
• L’identification de l’agent SNMP sur lequel la cl&eacute; sera utilis&eacute;e. Si l’agent est un agent
IBM, et que son engineID (ID moteur) a &eacute;t&eacute; g&eacute;n&eacute;r&eacute; avec une formule engineID
sp&eacute;cifique au fournisseur, l’agent peut &ecirc;tre identifi&eacute; par une adresse IP ou un nom
d’h&ocirc;te. Sinon, l’engineID doit &ecirc;tre fourni en tant qu’identification de l’agent.
Une cl&eacute; incorporant l’identification de l’agent sur lequel il sera utilis&eacute; est appel&eacute;e une cl&eacute;
localis&eacute;e. Elle peut uniquement &ecirc;tre utilis&eacute;e sur cet agent. Une cl&eacute; n’incorporant pas
l’engineID de l’agent sur lequel il sera utilis&eacute; est appel&eacute;e une cl&eacute; non localis&eacute;e.
Les cl&eacute;s stock&eacute;es dans le fichier de configuration de la commande clsnmp,
/etc/clsnmp.conf, sont normalement des cl&eacute;s non localis&eacute;es. Les cl&eacute;s stock&eacute;es dans le
fichier configuration de l’agent SNMP, /etc/snmpdv3.conf, peuvent &ecirc;tre localis&eacute;es ou non
localis&eacute;es, mais il est consid&eacute;r&eacute; comme plus s&ucirc;r d’utiliser des cl&eacute;s localis&eacute;es.
Au lieu de stocker les cl&eacute;s d’authentification dans le fichier de configuration client, la
commande clsnmp permet de stocker les mots de passe utilisateur. Sil a commande
clsnmp est configur&eacute;e avec un mot de passe, le code g&eacute;n&egrave;re une cl&eacute; d’authentification
(et une cl&eacute; de confidentialit&eacute; si n&eacute;cessaire, et si la version chiffr&eacute;e est install&eacute;e) pour
l’utilisateur. Ces cl&eacute;s doivent produire les m&ecirc;mes valeurs d’authentification que les cl&eacute;s
configur&eacute;es pour USM_USER dans le fichier /etc/snmpdv3.conf de l’agent ou &ecirc;tre configur&eacute;
dynamiquement avec les commandes SNMP SET. Toutefois, l’utilisation de mots de passe
dans le fichier de configuration client est consid&eacute;r&eacute;e comme moins s&ucirc;re que celles de cl&eacute;s
dans le fichier de configuration.
Cl&eacute;s de confidentialit&eacute;
Le chiffrement est propos&eacute; en tant que produit distinct dans AIX Expansion Pack lorsque la
l&eacute;gislation sur l’exportation l’autorise. Les cl&eacute;s utilis&eacute;es pour le chiffrement sont g&eacute;n&eacute;r&eacute;es
avec les m&ecirc;mes algorithmes que ceux utilis&eacute;s pour l’authentification. Toutefois, les
longueurs de cl&eacute;s diff&egrave;rent. Par exemple, une cl&eacute; d’authentification HMAC–SHA a une
longueur de 20 octets, mais une cl&eacute; de chiffrement localis&eacute;e utilis&eacute;e avec HMAC–SHA n’a
que 16 octets.
La version chiffr&eacute;e est activ&eacute;e automatiquement apr&egrave;s l’installation. Pour revenir &agrave; la
version non chiffr&eacute;e, lancez la commande snmpv3_ssw.
G&eacute;n&eacute;ration de cl&eacute;s
AIX utilise la commande pwtokey pour g&eacute;n&eacute;rer des cl&eacute;s d’authentification et, le cas
&eacute;ch&eacute;ant, des cl&eacute;s de confidentialit&eacute;. La commande pwtokey permet de convertir les mots
de passe en cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es et non localis&eacute;es. La
proc&eacute;dure pwtokey choisit un mot de passe et un ID pour l’agent et g&eacute;n&egrave;re des cl&eacute;s
d’authentification et de confidentialit&eacute;. Comme la proc&eacute;dure utilis&eacute;e par la commande
pwtokey est le m&ecirc;me algorithme utilis&eacute; par la commande clsnmp, la personne configurant
l’agent SNMP peut g&eacute;n&eacute;rer des cl&eacute;s appropri&eacute;es d’authentification (et de confidentialit&eacute;) &agrave;
Administration du r&eacute;seau
5-7
placer dans le fichier /etc/clsnmp.conf sur le gestionnaire SNMP pour un utilisateur, avec
un mot de passe et l’adresse IP sur laquelle la cible va s’ex&eacute;cuter.
Lorsque vous avez g&eacute;n&eacute;r&eacute; les cl&eacute;s d’authentification (et de confidentialit&eacute; si vous ex&eacute;cutez
la version chiffr&eacute;e), vous devez entrer ces cl&eacute;s dans le fichier /etc/snmpdv3.conf sur
l’agent SNMP et dans le fichier /etc/clsnmp.conf sur le gestionnaire SNMP.
Dans SNMPv3, il existe neuf configurations d’utilisateur possibles. Chaque configuration
possible, ainsi qu’un exemple, est indiqu&eacute;e ci–apr&egrave;s. Ces cl&eacute;s particuli&egrave;res ont &eacute;t&eacute;
g&eacute;n&eacute;r&eacute;es avec le mot de passe defaultpassword et l’adresse IP 9.3.149.49 .
La commande suivante a &eacute;t&eacute; utilis&eacute;e :
pwtokey –u all –p all defaultpassword 9.3.149.49
Les cl&eacute;s d’authentification et de confidentialit&eacute; suivantes ont &eacute;t&eacute; g&eacute;n&eacute;r&eacute;es :
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 authKey :
18a2c7b78f3df552367383eef9db2e9f
Affichage de la cl&eacute; d’authentification 16 octets HMAC–MD5 localized
authKey :
a59fa9783c04bcbe00359fb1e181a4b4
Affichage de la cl&eacute; de confidentialit&eacute; 16 octets HMAC–MD5 privKey :
18a2c7b78f3df552367383eef9db2e9f
Affichage de la cl&eacute; de confidentialit&eacute; localis&eacute;e 16 octets HMAC–MD5
privKey :
a59fa9783c04bcbe00359fb1e181a4b4
Affichage de la cl&eacute; d’authentification 20 octets HMAC–SHA authKey :
754ebf6ab740556be9f0930b2a2256ca40e76ef9
Affichage de la cl&eacute; d’authentification localis&eacute;e 20 octets HMAC–SHA
localized authKey :
cd988a098b4b627a0e8adc24b8f8cd02550463e3
Affichage de la cl&eacute; de confidentialit&eacute; 20 octets HMAC–SHA privKey :
754ebf6ab740556be9f0930b2a2256ca40e76ef9
Affichage de la cl&eacute; de confidentialit&eacute; localis&eacute;e 16 octets HMAC–SHA :
cd988a098b4b627a0e8adc24b8f8cd02
Ces entr&eacute;es appara&icirc;tront dans le fichier /etc/snmpdv3.conf. Les neuf configurations
possibles sont les suivantes :
• Cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es utilisant le protocole HMAC–MD5 :
USM_USER user1 – HMAC–MD5 a59fa9783c04bcbe00359fb1e181a4b4 DES
a59fa9783c04bcbe00359fb1e181a4b4 L – –
• Cl&eacute;s d’authentification et de confidentialit&eacute; non localis&eacute;es utilisant le protocole
HMAC–MD5 :
USM_USER user2 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f DES
18a2c7b78f3df552367383eef9db2e9f N – –
• Cl&eacute; d’authentification localis&eacute;e utilisant le protocole HMAC–MD5 :
USM_USER user3 – HMAC–MD5 a59fa9783c04bcbe00359fb1e181a4b4 – – L –
• Cl&eacute; d’authentification non localis&eacute;e utilisant le protocole HMAC–MD5 :
USM_USER user4 – HMAC–MD5 18a2c7b78f3df552367383eef9db2e9f – – N –
• Cl&eacute;s d’authentification et de confidentialit&eacute; localis&eacute;es utilisant le protocole HMAC–SHA :
USM_USER user5 – HMAC–SHA cd988a098b4b627a0e8adc24b8f8cd02550463e3 DES
cd988a098b4b627a0e8adc24b8f8cd02 L –
5-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
• Cl&eacute;s d’authentification et de confidentialit&eacute; non localis&eacute;es utilisant le protocole
HMAC–SHA :
USM_USER user6 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 DES
754ebf6ab740556be9f0930b2a2256ca40e76ef9 N –
• Cl&eacute; d’authentification localis&eacute;e utilisant le protocole HMAC–SHA :
USM_USER user7 – HMAC–SHA cd988a098b4b627a0e8adc24b8f8cd02550463e3 – – L
–
• Cl&eacute; d’authentification non localis&eacute;e utilisant le protocole HMAC–SHA :
USM_USER user8 – HMAC–SHA 754ebf6ab740556be9f0930b2a2256ca40e76ef9 – – N
–
• Aucune cl&eacute; d’authentification ou de confidentialit&eacute; utilis&eacute;e (SNMPv1)
USM_USER user9 – none – none – – –
La configuration des utilisateurs dans SNMPv3 n&eacute;cessite la configuration des deux fichiers
/etc/snmpdv3.conf et /etc/clsnmp.conf. Pour consulter un sc&eacute;nario sur la g&eacute;n&eacute;ration des
cl&eacute;s utilisateur et l’&eacute;dition des fichiers de configuration requis, reportez–vous &agrave; Cr&eacute;ation
d’utilisateurs dans SNMPv3. En outre, reportez–vous aux descriptions des commandes
pwtokey et clsnmp dans AIX 5L Version 5.2 Commands Reference, et aux formats de
fichier des fichiers /etc/clsnmp.conf et /etc/snmpdv3.conf dans AIX 5L Version 5.2 Files
Reference. Vous pouvez aussi vous reporter aux exemples de fichiers de configuration
snmpdv3.conf et clsnmp.conf situ&eacute;s dans le r&eacute;pertoire /usr/samples/snmpdv3.
Mise &agrave; jour des cl&eacute;s
SNMPv3 offre la possibilit&eacute; de mettre &agrave; jour dynamiquement des cl&eacute;s utilisateur en fonction
des nouveaux mots de passe. Pour ce faire, vous devez lancer la commande pwchange
pour g&eacute;n&eacute;rer de nouvelles cl&eacute;s utilisateur bas&eacute;es sur un mot de passe mis &agrave; jour, puis
lancer la commande clsnmp pour mettre &agrave; jour dynamiquement la cl&eacute; utilisateur dans le
fichier /etc/snmpdv3.conf et &eacute;diter le fichier /etc/clsnmp.conf en indiquant les nouvelles
cl&eacute;s. Pendant ce processus, le nouveau mot de passe n’est jamais communiqu&eacute; entre les
machines.
Pour obtenir des instructions pas &agrave; pas sur la mise &agrave; jour des cl&eacute;s utilisateur, reportez–vous
&agrave; Mise &agrave; jour dynamique des cl&eacute;s d’authentification et de confidentialit&eacute; dans SNMPv3
page 1-18. En outre, reportez–vous aux descriptions des commandes pwchange et
clsnmp dans AIX 5L Version 5.2 Commands Reference et aux formats de fichiers
/etc/clsnmp.conf et /etc/snmpdv3.conf dans AIX 5L Version 5.2 Files Reference
Administration du r&eacute;seau
5-9
Emission de requ&ecirc;tes SNMPv3
La commande clsnmp permet d’envoyer des requ&ecirc;tes SNMP aux agents SNMP sur les
h&ocirc;tes locaux ou distants. Il peut s’agir de requ&ecirc;tes SNMPv1, SNMPv2c ou SNMPv3.
Pour que les requ&ecirc;tes puissent &ecirc;tre trait&eacute;es, le fichier /etc/clsnmp.conf doit &ecirc;tre configur&eacute;.
La commande clsnmp peut lancer des requ&ecirc;tes get, getnext, getbulk, set, walk, et
findname. Chacune de ces requ&ecirc;tes est d&eacute;crite bri&egrave;vement ci–dessous :
get
permet &agrave; l’utilisateur de collecter les donn&eacute;es d’une variable MIB
getnext
indique la variable MIB suivante dans la sous–arborescence MIB
getbulk
indique toutes les variables MIB de plusieurs sous–arborescences MIB
set
permet &agrave; l’utilisateur de d&eacute;finir une variable MIB
walk
indique toutes les variables MIB d’une seule sous–arborescence
findname
&eacute;tablit une &eacute;quivalence entre l’OID et le nom de la variable
trap
permet &agrave; clsnmp d’&eacute;couter les interruptions sur le port 162
Pour plus de d&eacute;tails sur l’&eacute;mission de requ&ecirc;tes clsnmp, reportez–vous &agrave; la description de
commande clsnmp dans AIX 5L Version 5.2 Commands Reference.
5-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification des incidents SNMPv3
Les probl&egrave;mes suivants peuvent se pr&eacute;senter.
• Apr&egrave;s une mise &agrave; niveau pour passer d’une ancienne version d’AIX &agrave; AIX 5.2, SNMP ne
fonctionne plus de la m&ecirc;me fa&ccedil;on qu’avant la migration.
Vous devez faire migrer les entr&eacute;es de communaut&eacute; et smux d&eacute;finies dans le fichier
/etc/snmpd.conf vers le fichier /etc/snmpdv3.conf. Pour plus d’informations sur la
migration de ces informations, reportez–vous &agrave; Migration de SNMPv1 vers SNMPv3
page 1-9.
• Mes requ&ecirc;tes ne re&ccedil;oivent aucune r&eacute;ponse.
La cause la plus probable de ce probl&egrave;me est une erreur de configuration dans les
fichiers /etc/snmpdv3.conf ou /etc/clsnmp.conf ou les deux. Examinez soigneusement
ces fichiers pour v&eacute;rifier que toutes les informations sont entr&eacute;es correctement. Pour
plus d’informations sur l’&eacute;dition de ces fichiers lors de la cr&eacute;ation de nouveaux
utilisateurs, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3 page 1-13.
• J’ai configur&eacute; un nouvel utilisateur &agrave; l’aide de cl&eacute;s d’authentification et de confidentialit&eacute;,
mais j’obtiens un message d’erreur lorsque je l’utilise.
La cause la plus probable est que vous n’ex&eacute;cutez pas la version chiffr&eacute;e de SNMPv3.
Proc&eacute;dez comme suit pour d&eacute;terminer la version que vous ex&eacute;cutez :
1. Ex&eacute;cutez ps –e|grep snmpd.
. Si vous n’avez pas re&ccedil;u de r&eacute;sultat, d&eacute;marrez le d&eacute;mon snmpd. Ex&eacute;cutez
startsrc –s snmpd.
. Si votre r&eacute;sultat comprend snmpdv1, vous ex&eacute;cutez SNMPv1. Vous pourrez
lancer des requ&ecirc;tes SNMPv1 lors de l’ex&eacute;cution de cette version.
. Si votre r&eacute;sultat comprend snmpdv3ne, vous ex&eacute;cutez la version non chiffr&eacute;e de
SNMPv3. Une fois install&eacute; AIX 5.2, cette version fonctionnera correctement. Elle
ne vous permet pas d’utiliser les cl&eacute;s de confidentialit&eacute;.
. Si votre r&eacute;sultat inclut snmpdv3e, vous ex&eacute;cutez la version chiffr&eacute;e de SNMPv3,
qui est un produit installable s&eacute;par&eacute;ment. La version chiffr&eacute;e de SNMPv3 est
disponible dans AIX Expansion Pack si cela est autoris&eacute;. La version chiffr&eacute;e de
SNMPv3 permet d’utiliser des cl&eacute;s de confidentialit&eacute;.
2. D&eacute;terminez si la version que vous ex&eacute;cutez est la version voulue. Si ce n’est pas le
cas, la commande snmpv3_ssw pour modifier la version comme suit :
. snmpv3_ssw –1 bascule vers SNMPv1
. snmpv3_ssw –n bascule vers la version non chiffr&eacute;e de SNMPv3
. snmpv3_ssw –e bascule vers la version chiffr&eacute;e de SNMPv3 si elle est install&eacute;e
• J’ai modifi&eacute; le fichier /etc/snmpdv3.conf et r&eacute;g&eacute;n&eacute;r&eacute; le d&eacute;mon, mais mes modifications
ne sont pas appliqu&eacute;es.
Apr&egrave;s avoir modifi&eacute; le fichier /etc/snmpdv3.conf, arr&ecirc;tez et d&eacute;marrez le d&eacute;mon SNMP.
La r&eacute;g&eacute;n&eacute;ration du d&eacute;mon ne donne pas de r&eacute;sultat. Utilisez la proc&eacute;dure suivante :
1. Arr&ecirc;tez le d&eacute;mon SNMP en ex&eacute;cutant stopsrc –s snmpd.
2. D&eacute;marrez le d&eacute;mon SNMP en ex&eacute;cutant startsrc –s snmpd.
• Le sous–agent DPI2 est d&eacute;marr&eacute; mais je ne peux pas interroger les variables MIB &agrave;
partir de celui–ci.
La cause la plus probable est que la communaut&eacute; public n’est pas configur&eacute; dans le
fichier /etc/snmpdv3.conf. Par d&eacute;faut, le sous–agent DPI2 livr&eacute; avec AIX utilise le nom
de communaut&eacute; public pour se connecter &agrave; l’agent SNMP. La communaut&eacute; public
est configur&eacute;e dans le fichier /etc/snmpdv3.conf par d&eacute;faut. Si vous avez supprim&eacute; la
Administration du r&eacute;seau
5-11
communaut&eacute; public du fichier /etc/snmpd.conf, ajoutez les lignes suivantes au
fichier :
VACM_GROUP group1 SNMPv1 public –
VACM_VIEW defaultView 1.3.6.1.4.1.2.2.1.1.1.0 – included –
VACM_ACCESS group1 – – noAuthNoPriv SNMPv1 defaultView – defaultView –
COMMUNITY public
public
noAuthNoPriv 0.0.0.0
0.0.0.0
–
1.3.6.1.4.1.2.2.1.1.1.0 est l’OID de dpiPortForTCP.0.
• Je ne peux pas interroger des variables MB g&eacute;r&eacute;es par l’homologue smux alors que cela
&eacute;tait possible avant la migration.
V&eacute;rifiez que votre entr&eacute;e smux est pr&eacute;sente dans les fichiers /etc/snmpdv3.conf et
/etc/snmpd.peers. Si vous configurez de nouveaux homologues smux, v&eacute;rifiez qu’ils
sont entr&eacute;s aussi dans ces deux fichiers.
• J’ai impl&eacute;ment&eacute; mon propre groupe de variables MIB, mais je ne peux pas les inclure ou
les exclure des vues des utilisateurs.
Dans l’entr&eacute;e VACM_VIEW du fichier /etc/snmpdv3.conf, vous devez sp&eacute;cifier l’OID de
la variable MIB &agrave; la place du nom de variable MIB.
• Je ne re&ccedil;ois pas d’interruptions.
V&eacute;rifiez que vous avez correctement configur&eacute; les entr&eacute;es d’interruption dans le fichier
/etc/snmpdv3.conf. En outre, si l’interruption est une interruption SNMPv3, le fichier
/etc/clsnmp.conf doit aussi &ecirc;tre configur&eacute;. Pour plus d’instructions sur la configuration
des interruptions, reportez–vous &agrave; Cr&eacute;ation d’utilisateurs dans SNMPv3 page 1-13.
En outre, v&eacute;rifiez que la machine devant recevoir les interruptions (dans le fichier
/etc/snmpdv3.conf) est &agrave; leur &eacute;coute. Vous pouvez d&eacute;marrer ce processus en
ex&eacute;cutant clsnmp trap sur la ligne de commande.
• Pourquoi le serveur DPI2 ne s’ex&eacute;cute–t–il pas dans l’environnement SNMPv3 ?
Dans l’architecture SNMPv3, l’agent SNMPv3 ex&eacute;cute lui–m&ecirc;me le serveur DPI2.
Pour plus d’informations, reportez–vous &agrave; Architecture SNMPv3 page 5-5.
5-12
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
SNMPv1
Les informations de cette section sont sp&eacute;cifiques &agrave; SNMPv1.
• Politiques d’acc&egrave;s SNMPv1 page 5-14
• D&eacute;mon SNMP page 5-15
• Configuration du d&eacute;mon SNMP page 5-16
• Fonctionnement du d&eacute;mon SNMP page 5-17
• Support du d&eacute;mon SNMP pour la famille EGP de variables MIB page 5-21
• Identification des incidents du d&eacute;mon SNMP page 5-35
Administration du r&eacute;seau
5-13
Politiques d’acc&egrave;s SNMPv1
Lorsque SNMPv1 est utilis&eacute;, l’agent snmpd utilise un sch&eacute;ma d’authentification simple pour
conna&icirc;tre les stations du gestionnaire SNMP (Simple Network Management Protocol)
peuvent acc&eacute;der &agrave; ses variables MIB (Management Information Base). Le sch&eacute;ma
d’authentification suppose de sp&eacute;cifier les politiques d’acc&egrave;s SNMP pour SNMPv1. Une
politique d’acc&egrave;s SNMP est un ensemble de relations administratives impliquant une
association au sein d’une communaut&eacute; SNMP, un mode d’acc&egrave;s et une vue MIB.
On appelle communaut&eacute; SNMP un groupe d’h&ocirc;tes dot&eacute; d’un nom. Un nom de communaut&eacute;
est une cha&icirc;ne d’octets qu’un gestionnaire SNMP doit imbriquer dans un paquet de
requ&ecirc;tes SNMP &agrave; des fins d’authentification.
Le mode d’acc&egrave;s sp&eacute;cifie l’acc&egrave;s accord&eacute; aux h&ocirc;tes de la communaut&eacute;, en ce qui concerne
la r&eacute;cup&eacute;ration et la modification des variables MIB &agrave; partir d’un agent SNMP sp&eacute;cifique. Le
mode d’acc&egrave;s peut &ecirc;tre : none, read–only, read–write ou write–only.
Une vue MIB d&eacute;finit une ou plusieurs sous–arborescences MIB accessibles par une
communaut&eacute; SNMP donn&eacute;e. Il peut s’agir de toute l’arborescence MIB ou d’un
sous–ensemble de cette arborescence.
Lorsque l’agent SNMP re&ccedil;oit une requ&ecirc;te, il compare le nom de la communaut&eacute; &agrave; l’adresse
IP de l’h&ocirc;te demandeur pour savoir si ce dernier est un membre de la communaut&eacute; SNMP.
Si oui, il d&eacute;termine ensuite si l’h&ocirc;te demandeur a le droit d’acc&egrave;s sp&eacute;cifi&eacute; aux variables MIB
voulues, tel que d&eacute;fini dans la politique d’acc&egrave;s associ&eacute;e &agrave; cette communaut&eacute;. Si tous les
crit&egrave;res sont v&eacute;rifi&eacute;s, l’agent SNMP tente de r&eacute;pondre &agrave; la demande. Sinon, il g&eacute;n&egrave;re une
interruption d’&eacute;chec d’authentification (authenticationFailure) ou envoie un message
d’erreur &agrave; l’h&ocirc;te demandeur.
Les politiques d’acc&egrave;s de SNMPv1 pour l’agent snmpd sont configurables par l’utilisateur et
sont sp&eacute;cifi&eacute;es dans le fichier /etc/snmpd.conf. Pour configurer les politiques d’acc&egrave;s
SNMP pour l’agent snmpd, reportez–vous au fichier /etc/snmpd.conf.
5-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
D&eacute;mon SNMP
Le d&eacute;mon SNMP (Simple Network Management Protocol) est un processus serveur
d’arri&egrave;re-plan ex&eacute;cutable sur n’importe quel h&ocirc;te station de travail TCP/IP (Transmission
Control Protocol/Internet Protocol). Ce d&eacute;mon, qui sert d’agent SNMP, re&ccedil;oit, authentifie et
traite les requ&ecirc;tes SNMP issues des applications du gestionnaire. Pour en savoir plus,
reportez-vous aux sections ”Simple Network Management Protocol,” ”How a Manager
Functions” et ”How an Agent Functions” AIX 5L Version 5.2 Communications Programming
Concepts.
Remarque :
Les termes d&eacute;mon SNMP, agent SNMP et agent sont synonymes.
Pour une configuration minimale, il faut que l’interface TCP/IP de boucle soit active pour le
d&eacute;mon snmpd. Avant de lancer TCP/IP, entrez la commande :
ifconfig lo0 loopback up
Administration du r&eacute;seau
5-15
Configuration du d&eacute;mon SNMP
Le d&eacute;mon SNMP (Simple Network Management Protocol) tente de lier les sockets &agrave; certain
ports UDP (User Datagram Protocol) et TCP (Transmission Control Protocol) identifi&eacute;s, qui
doivent &ecirc;tre d&eacute;finis dans le fichier /etc/services, comme suit :
snmp
snmp–trap
smux
161/udp
162/udp
199/tcp
Le service snmp doit &ecirc;tre affect&eacute; du port 161, conform&eacute;ment &agrave; RFC 1157. Le fichier
/etc/services assigne les ports 161, 162 et 199 &agrave; ces services. Si le fichier /etc/services
est mis &agrave; disposition &agrave; partir d’une autre machine, ces ports assign&eacute;s doivent &ecirc;tre rendus
disponibles dans le fichier /etc/services servi pour que le d&eacute;mon SNMP puisse s’ex&eacute;cuter.
Le d&eacute;mon SNMP lit le fichier de configuration sur la version SNMP en cours d’ex&eacute;cution au
lancement et lors de l’&eacute;mission d’une commande refresh (si le d&eacute;mon snmpd est appel&eacute;
sous le contr&ocirc;le SRC) ou d’un signal kill–1.
fichier /etc/snmpd.conf
Le fichier de configuration /etc/snmpd.conf sp&eacute;cifie les noms de communaut&eacute; et les vues
et droits d’acc&egrave;s associ&eacute;s, les h&ocirc;tes pour la notification d’interruption, les attributs de
connexion, les param&egrave;tres sp&eacute;cifiques de snmpd et les configurations SMUX (single
multiplexer) pour le d&eacute;mon SNMP. Pour en savoir plus, consultez le fichier
/etc/snmpd.conf.
5-16
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Fonctionnement du d&eacute;mon SNMP
Le d&eacute;mo, SNMP (Simple Network Management Protocol) traite les requ&ecirc;tes SNMP issues
des applications du gestionnaire. Pour en savoir plus, consultez les sections ”Simple
Network Management Protocol (SNMP),” ”How a Manager Functions” et ”How an Agent
Functions” AIX Communications Programming Concepts.
Traitement d’un message et authentification
Toutes les requ&ecirc;tes, interruptions et r&eacute;ponses sont transmises sous la forme de messages
cod&eacute;s en ASN.1. Un message, tel que d&eacute;fini par RFC 1157, a la structure suivante :
Version Communaut&eacute; PDU
Version &eacute;tant la version de SNMP (actuellement la version 1), Communaut&eacute;, le nom de la
communaut&eacute; et PDU, l’unit&eacute; des donn&eacute;es de protocole contenant les donn&eacute;es de requ&ecirc;te,
de r&eacute;ponse ou d’interruption SNMP. Un PDU est &eacute;galement cod&eacute; selon les r&egrave;gles ASN.1.
Figure 28. Les principaux &eacute;l&eacute;ments de l’architecture SNMPv1
Cette illustration repr&eacute;sente un exemple de l’architecture SNMPv1. Le sous–agent DPI2,
le pair smux, le gestionnaire SNMP et l’agent SNMP sont repr&eacute;sent&eacute;s. La communication
entre eux est &eacute;galement repr&eacute;sent&eacute;e.
Le d&eacute;mon SNMP re&ccedil;oit et transmet tous les messages du protocole SNMP via UDP
(User Datagram Protocol) TCP/IP (Transmission Control Protocol/Internet Protocol).
Les requ&ecirc;tes sont accept&eacute;es sur le port identifi&eacute; 161. Les interruptions sont transmises aux
h&ocirc;tes r&eacute;pertori&eacute;s dans les entr&eacute;es d’interruption du fichier /etc/snmpd.conf qui &eacute;coutent le
port identifi&eacute; 162.
A r&eacute;ception d’une requ&ecirc;te, l’adresse IP source et le nom de la communaut&eacute; sont compar&eacute;s
&agrave; la liste des adresses IP, des noms de communaut&eacute;, des droits et des vues, sp&eacute;cifi&eacute;s dans
le fichier /etc/snmpd.conf. L’agent snmpd lit ce fichier au lancement et &agrave; l’&eacute;mission d’une
commande refresh ou d’un signal kill –1. En l’absence d’entr&eacute;e correspondante, la requ&ecirc;te
est ignor&eacute;e. Dans le cas contraire, l’acc&egrave;s est accord&eacute;, en fonction des droits sp&eacute;cifi&eacute;s pour
cette association (adresse IP, communaut&eacute; et nom de vue) dans le fichier /etc/snmpd.conf.
Le message et le PDU doivent &ecirc;tre cod&eacute;s conform&eacute;ment aux r&egrave;gles ASN.1.
Ce sch&eacute;ma d’authentification n’est pas cens&eacute; garantir une s&eacute;curit&eacute; totale. Si le d&eacute;mon
SNMP n’est utilis&eacute; que pour les requ&ecirc;tes ”get” et ”get-next”, la s&eacute;curit&eacute; n’est pas forc&eacute;ment
tr&egrave;s importante. En revanche, si des requ&ecirc;tes ”set” sont autoris&eacute;es, il est possible de
restreindre le privil&egrave;ge ”set”.
Pour en savoir plus, consultez le fichier /etc/snmpd.conf. Pour en savoir plus,
reportez-vous &agrave; ”Management Information Base (MIB)” AIX Communications Programming
Concepts.
Administration du r&eacute;seau
5-17
Traitement d’une requ&ecirc;te
Le d&eacute;mon SNMP peut recevoir trois types de requ&ecirc;tes PDU. Les types de requ&ecirc;tes,
d&eacute;finies dans RFC 1157, et les PDU ont tous le format suivant :
Format de PDU de requ&ecirc;te
ID requ&ecirc;te
&eacute;tat-erreur
index-erreur
liaisons-variable
GET
0
0
VarBindList
GET–NEXT
0
0
VarBindList
SET
0
0
VarBindList
Le champ ID-requ&ecirc;te indique la nature de la requ&ecirc;te ; les champs &eacute;tat-erreur et
index-erreur sont inutilis&eacute;s et doivent &ecirc;tre d&eacute;finis &agrave; 0 (z&eacute;ro) ; le champ liaisons-variable
contient une liste de longueur variable des ID d’instance, au format num&eacute;rique, dont les
valeurs sont demand&eacute;es. Si la valeur du champ ID requ&ecirc;te est SET, le champ
liaisons-variable est une liste de paires ID d’instance/valeur.
Pour en savoir plus, consultez la section ”Using the Management Information Base (MIB)
Database” AIX Communications Programming Concepts.
Traitement d’une r&eacute;ponse
Les PDU de r&eacute;ponse ont presque le m&ecirc;me format que les PDU de requ&ecirc;te :
Format de PDU de r&eacute;ponse
ID requ&ecirc;te
&eacute;tat-erreur
index-erreur
liaisons-variable
GET–RESPONSE
ErrorStatus
ErrorIndex
VarBindList
Si la requ&ecirc;te a abouti, la valeur des champs &eacute;tat-erreur et index-erreur est 0 (z&eacute;ro), et le
champ liaisons-variable contient la liste compl&egrave;te des paires ID d’instance/valeur.
Si un ID d’instance du champ liaisons-variable du PDU de requ&ecirc;te n’a pas abouti, l’agent
SNMP interrompt le traitement, entre l’index de l’ID d’instance d&eacute;faillant dans le champ
index-erreur, enregistre un code d’erreur dans le champ &eacute;tat-erreur et copie la liste de
r&eacute;sultats partiellement compl&eacute;t&eacute;e dans le champ liaisons-variable.
RFC 1157 d&eacute;finit les valeurs suivantes pour le champ &eacute;tat-erreur :
Valeurs du champ &eacute;tat-erreur
5-18
Valeur
Valeur
Explication
noError
0
Traitement r&eacute;ussi (index d’erreur = 0).
tooBig
1
La taille du PDU de r&eacute;ponse d&eacute;passe une limite d&eacute;finie
par l’impl&eacute;mentation (index d’erreur = 0).
noSuchName
2
Un ID d’instance n’existe pas dans la vue MIB
appropri&eacute;e pour les types de requ&ecirc;te GET et SET ou
n’a pas de successeur dans l’arborescence MIB dans
la vue MIB appropri&eacute;e pour les requ&ecirc;tes GET-NEXT
(index d’erreur diff&eacute;rent de z&eacute;ro).
badValue
3
Pour les requ&ecirc;tes SET uniquement, une valeur
sp&eacute;cifi&eacute;e est syntaxiquement incompatible avec
l’attribut de type de l’ID d’instance correspondant
(index d’erreur diff&eacute;rent de z&eacute;ro).
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
readOnly
4
Non d&eacute;fini.
genErr
5
Une erreur d&eacute;finie par l’impl&eacute;mentation s’est produite
(index d’erreur diff&eacute;rent de z&eacute;ro) ; par exemple, une
tentative d’assignation d’une valeur d&eacute;passant les
limites d’impl&eacute;mentation.
Traitement d’une interruption
Les PDU d’interruption sont d&eacute;finis par RFC 1157 de fa&ccedil;on &agrave; avoir le format suivant :
Format de PDU d’interruption
entreprise
ID Objet
agent
g&eacute;n&eacute;rique
sp&eacute;cifique
adresse
interruption
interruption
Entier
Entier
Entier
horodate
variable
liaisons
Tics
d’horloge
VarBindList
Les champs sont utilis&eacute;s comme suit :
entreprise
Identificateur d’objet assign&eacute; au fournisseur impl&eacute;mentant
l’agent. Valeur de la variable sysObjectID, unique pour
chaque metteur en oeuvre d’un agent SNMP. La valeur
assign&eacute;e &agrave; cette impl&eacute;mentation de l’agent est
1.3.6.1.4.1.2.3.1.2.1.1.3 ou risc6000snmpd.3.
adresse-agent
Adresse IP de l’objet g&eacute;n&eacute;rateur de l’interruption.
interruption g&eacute;n&eacute;rique
Entier, comme suit :
0
coldStart
1
warmStart
2
linkDown
3
linkUp
4
authenticationFailure
5
egpNeighborLoss
6
enterpriseSpecific
interruption sp&eacute;cifique
Inutilis&eacute;, r&eacute;serv&eacute; &agrave; un usage ult&eacute;rieur.
horodate
Temps &eacute;coul&eacute;, en centi&egrave;mes de seconde, depuis la
derni&egrave;re r&eacute;initialisation de l’agent jusqu’&agrave; l’&eacute;v&eacute;nement
g&eacute;n&eacute;rant l’interruption.
liaisons-variable
Informations suppl&eacute;mentaires, fonction du type
d’interruption-g&eacute;n&eacute;rique.
Les valeurs d’interruption g&eacute;n&eacute;rique suivantes indiquent que certains &eacute;v&eacute;nements syst&egrave;me
ont &eacute;t&eacute; d&eacute;tect&eacute;s :
Administration du r&eacute;seau
5-19
coldStart
L’agent est en cours de r&eacute;initialisation. Les donn&eacute;es de
configuration et/ou la valeur des variables MIB peuvent
avoir chang&eacute;. Les epochs de mesure doivent &ecirc;tre relanc&eacute;s.
warmStart
L’agent est en cours de r&eacute;initialisation, mais les donn&eacute;es de
configuration ou la valeur des variables MIB n’ont pas
chang&eacute;. Dans cette mise en oeuvre de l’agent SNMP, une
interruption warmStart est g&eacute;n&eacute;r&eacute;e &agrave; la relecture du fichier
/etc/snmpd.conf. Les informations de configuration dans le
fichier /etc/snmpd.conf concernent la configuration de
l’agent sans effets sur les bases de donn&eacute;es du
gestionnaire SNMP. Les epochs de mesure ne doivent pas
&ecirc;tre relanc&eacute;s.
linkDown
L’agent a d&eacute;tect&eacute; qu’une interface de communication
identifi&eacute;e a &eacute;t&eacute; d&eacute;sactiv&eacute;e.
linkUp
L’agent a d&eacute;tect&eacute; qu’une interface de communication
identifi&eacute;e a &eacute;t&eacute; activ&eacute;e.
authenticationFailure
Un message re&ccedil;u n’a pu &ecirc;tre authentifi&eacute;.
egpNeighborLoss
Un neighbor EGP (Exterior Gateway Protocol) est perdu.
Cette valeur n’est g&eacute;n&eacute;r&eacute;e que lorsque l’agent s’ex&eacute;cute
sur un h&ocirc;te ex&eacute;cutant le d&eacute;mon gated, avec le protocole
EGP (Exterior Gateway Protocol).
enterpriseSpecific
Non impl&eacute;ment&eacute;, r&eacute;serv&eacute; &agrave; un usage ult&eacute;rieur.
Les interruptions linkDown et linkUp contiennent une paire ID d’instance/valeur unique dans
la liste des liaisons de variable. L’ID d’instance identifie l’ifIndex de la carte d&eacute;sactiv&eacute;e ou
activ&eacute;e, et la valeur est celle de ifIndex. L’interruption pour egpNeighborLoss contient
&eacute;galement une liaison consistant en l’ID d’instance et la valeur de egpNeighAddr pour le
voisin perdu.
5-20
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Support du d&eacute;mon SNMP pour la famille EGP de variables MIB
Si l’h&ocirc;te de l’agent ex&eacute;cute le d&eacute;mon gated alors que le protocole EGP (Exterior Gateway
Protocol) est activ&eacute;, plusieurs variables MIB (Management Information Base) du groupe
EGP sont accept&eacute;es par le d&eacute;mon gated et accessibles par l’agent snmpd.
Les variables MIB EGP suivantes ont une instance unique :
egpInMsgs
Nombre de messages EGP re&ccedil;us sans erreur.
egpInErrors
Nombre de messages EGP re&ccedil;us avec erreur.
egpOutMsgs
Nombre total de messages EGP transmis par le d&eacute;mon gated actif sur
l’h&ocirc;te de l’agent.
egpOutErrors Nombre de messages EGP qui n’ont pas pu &ecirc;tre envoy&eacute;s au d&eacute;mon
gated de l’h&ocirc;te de l’agent, par suite de limitations des ressources.
egpAs
Num&eacute;ro syst&egrave;me autonome du d&eacute;mon gated de l’h&ocirc;te de l’agent.
Les variables MIB EGP suivantes ont une instance pour chaque homologue ou voisin EGP
acquis par le d&eacute;mon gated de l’h&ocirc;te de l’agent :
egpNeighState
&Eacute;tat de cet homologue EGP :
1
idle
2
acquisition
3
down
4
up
5
cease
egpNeighAddr
Adresse IP de cet homologue EGP.
egpNeighAs
Num&eacute;ro syst&egrave;me autonome de cet homologue EGP.
Z&eacute;ro (0) indique que ce num&eacute;ro n’est pas encore connu.
egpInNeighMsgs
Nombre de messages EGP re&ccedil;us sans erreur de cet
homologue EGP.
egpNeighInErrs
Nombre de messages EGP re&ccedil;us avec erreur de cet
homologue EGP.
egpNeighOutMsgs
Nombre de messages EGP g&eacute;n&eacute;r&eacute;s localement pour cet
homologue EGP.
egpNeighOutErrs
Nombre de messages EGP g&eacute;n&eacute;r&eacute;s en local, non envoy&eacute;s &agrave;
cet homologue EGP par suite de limitations des ressources.
egpNeighInErrMsgs
Nombre de messages d’erreur d&eacute;finis par EGP re&ccedil;us de cet
homologue EGP.
egpNeighOutErrMsgs
Nombre de messages d’erreur d&eacute;finis par EGP envoy&eacute;s &agrave; cet
homologue EGP.
egpNeighStateUp
Nombre de transitions de l’&eacute;tat EGP jusqu’&agrave; l’&eacute;tat UP avec cet
homologue EGP.
egpNeighStateDowns
Nombre de transitions de l’&eacute;tat EGP &agrave; partir de l’&eacute;tat UP jusqu’&agrave;
n’importe quel &eacute;tat avec cet homologue EGP.
egpNeighIntervalHello Intervalle entre les retransmissions de la commande Hello
d’EGP, en centi&egrave;mes de seconde.
Administration du r&eacute;seau
5-21
egpNeighIntervalPoll
Intervalle entre les retransmissions de la commande
d’interrogation d’EGP, en centi&egrave;mes de seconde.
egpNeighMode
Mode d’interrogation de cet homologue EGP. Il peut &ecirc;tre actif
(1) ou passif (2).
egpNeighEventTrigger Une variable de contr&ocirc;le d&eacute;clenche des &eacute;v&eacute;nements de
lancement et d’arr&ecirc;t initi&eacute;s par l’op&eacute;rateur sur cet homologue
EGP. Cette variable MIB peut alors &ecirc;tre d&eacute;finie pour le
lancement (1) ou l’arr&ecirc;t (2).
Si le d&eacute;mon gated n’est pas actif, que le d&eacute;mon gated n’est pas configur&eacute; pour
communiquer avec l’agent snmpd ou que le d&eacute;mon gated n’est pas configur&eacute; pour EGP,
les requ&ecirc;tes get et set pour les valeurs de ces variables renvoient le code d’erreur
noSuchName.
Le fichier de configuration du d&eacute;mon gated, /etc/gated.conf, doit contenir l’instruction :
snmp
yes;
Le d&eacute;mon gated est configur&eacute; en interne pour &ecirc;tre un homologue du protocole SMUX
(SNMP multiplexing), ou un agent mandataire (proxy) du d&eacute;mon snmpd. A son lancement,
le d&eacute;mon gated enregistre l’arborescence de la variable MIB ipRouteTable avec l’agent
snmpd. Si le d&eacute;mon gated est configur&eacute; pour EGP, le d&eacute;mon gated enregistre &eacute;galement
l’arborescence de la variable MIB EGP. Une fois l’enregistrement termin&eacute;, un gestionnaire
SNMP peut envoyer des requ&ecirc;tes &agrave; l’agent snmpd concernant les variables MIB
ipRouteTable d’un EGP, prises en charge par le d&eacute;mon gated de l’h&ocirc;te de cet agent. Ainsi,
lorsque le d&eacute;mon gated s’ex&eacute;cute, toutes les informations de routage MIB sont obtenues
via le d&eacute;mon gated. Dans ce cas, les requ&ecirc;tes set pour ipRouteTable ne sont pas
autoris&eacute;es.
La communication SMUX entre les d&eacute;mons gated et snmpd s’effectue via le port TCP
(Transmission Control Protocol) identifi&eacute; 199. Si le d&eacute;mon gated doit s’arr&ecirc;ter, snmpd
d&eacute;senregistre imm&eacute;diatement les arborescences pr&eacute;c&eacute;demment enregistr&eacute;es par gated.
Si gated d&eacute;marre avant snmpd, gated contr&ocirc;le r&eacute;guli&egrave;rement le d&eacute;mon snmpd jusqu’&agrave;
&eacute;tablissement de l’association SMUX.
Pour configurer l’agent snmpd pour qu’il reconnaisse et autorise l’association SMUX avec
le client du d&eacute;mon gated, il faut ajouter une entr&eacute;e SMUX dans le fichier /etc/snmpd.conf.
L’identificateur et le mot de passe de l’objet client sp&eacute;cifi&eacute;s dans cette entr&eacute;e SMUX pour le
d&eacute;mon gated doivent correspondre &agrave; ceux du fichier /etc/snmpd.peers.
L’agent snmpd prend en charge les requ&ecirc;tes set pour les variables en lecture-&eacute;criture MIB I
et MIB II suivantes :
sysContact
Identification textuelle de la personne &agrave; contacter pour l’h&ocirc;te de cet agent.
Cette information contient le nom de la personne et comment la contacter :
par exemple, ”Bob Smith, 555–5555, ext 5.” La valeur est limit&eacute;e &agrave; 256
caract&egrave;res. Si, pour une requ&ecirc;te set, cette cha&icirc;ne d&eacute;passe 256 caract&egrave;res,
l’agent snmpd renvoie l’erreur badValue, et l’op&eacute;ration set n’est pas
ex&eacute;cut&eacute;e. La valeur initiale de sysContact est d&eacute;finie dans /etc.snmp.conf.
Valeur par d&eacute;faut : cha&icirc;ne nulle.
Instance
Valeur
Action
0
”cha&icirc;ne”
La variable MIB est d&eacute;finie
comme ”cha&icirc;ne”.
atN0etAddress Adresse IP correspondant &agrave; l’adresse mat&eacute;rielle ou physique sp&eacute;cifi&eacute;e
dans atPhysAddress. Il s’agit de la m&ecirc;me variable MIB que
ipNetToMediaNetAddress.
5-22
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Instance
Valeur
Action
f.1.n.n.n.n
m.m.m.m
Pour l’interface avec ifIndex
f, une entr&eacute;e de table ARP
existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par
l’adresse IP m.m.m.m.
ipForwarding Indique si l’h&ocirc;te de l’agent achemine les datagrammes.
Instance
Valeur
Action
0
1
Si l’h&ocirc;te de l’agent poss&egrave;de
plusieurs interfaces actives,
le noyau TCP/IP est
configur&eacute; pour
l’acheminement des
paquets. S’il ne poss&egrave;de
qu’une seule interface
active, la requ&ecirc;te set
&eacute;choue.
2
Le noyau TCP/IP sur l’h&ocirc;te
de l’agent est configur&eacute; de
sorte qu’il n’achemine pas
les paquets.
ipDefaultTTL
Dur&eacute;e de vie (TTL) par d&eacute;faut, ins&eacute;r&eacute;e dans l’en-t&ecirc;te IP des datagrammes
g&eacute;n&eacute;r&eacute;s par l’h&ocirc;te de l’agent.
Instance
Valeur
Action
0
n
La valeur de dur&eacute;e de vie
par d&eacute;faut, utilis&eacute;e par le
support de protocole IP, est
d&eacute;finie comme l’entier n.
ipRouteDest
Adresse IP de destination d’une route dans la table des routes.
Instance
Valeur
Action
n.n.n.n
m.m.m.m
La route de destination pour
la route n.n.n.n est d&eacute;finie &agrave;
l’adresse IP m.m.m.m.
ipRouteNextHop
Passerelle par laquelle une adresse IP de destination peut &ecirc;tre atteinte par
l’h&ocirc;te de l’agent (entr&eacute;e de la table des routes).
Instance
Valeur
Action
n.n.n.n
m.m.m.m
Une entr&eacute;e de la table des
routes pour atteindre le
r&eacute;seau n.n.n.n via la
passerelle m.m.m.m est
ajout&eacute;e &agrave; la table des
routes. La portion h&ocirc;te de
l’adresse IP n.n.n.n doit &ecirc;tre
&eacute;gale &agrave; 0 pour indiquer une
adresse de r&eacute;seau.
Administration du r&eacute;seau
5-23
sysName
Nom de l’h&ocirc;te de cet agent. Il s’agit g&eacute;n&eacute;ralement du nom qualifi&eacute; complet
du domaine. La valeur est limit&eacute;e &agrave; 256 caract&egrave;res. Si, pour une requ&ecirc;te
set, cette cha&icirc;ne d&eacute;passe 256 caract&egrave;res, l’agent snmpd renvoie l’erreur
badValue, et l’op&eacute;ration set n’est pas ex&eacute;cut&eacute;e.
Instance
Valeur
Action
0
”cha&icirc;ne”
La variable MIB est d&eacute;finie
comme ”cha&icirc;ne”.
sysLocation
Cha&icirc;ne textuelle indiquant l’emplacement physique de la machine sur
laquelle se trouve l’agent snmpd : par exemple, ”Site Austin, building 802,
lab 3C–23.” La valeur est limit&eacute;e &agrave; 256 caract&egrave;res. Si, pour une requ&ecirc;te
set, cette cha&icirc;ne d&eacute;passe 256 caract&egrave;res, l’agent snmpd renvoie l’erreur
badValue, et l’op&eacute;ration set n’est pas ex&eacute;cut&eacute;e. La valeur initiale de
sysLocation est d&eacute;finie dans /etc/snmp.conf. Valeur par d&eacute;faut : cha&icirc;ne
nulle.
Instance
Valeur
Action
0
”cha&icirc;ne”
La variable MIB est d&eacute;finie
comme ”cha&icirc;ne”.
ifAdminStatus &Eacute;tat souhait&eacute; d’une carte d’interface sur l’h&ocirc;te de l’agent. Les &eacute;tats
possibles sont actif/inactif. Un &eacute;tat ”test” peut &eacute;galement &ecirc;tre d&eacute;fini, mais
cette valeur est sans effet sur l’&eacute;tat effectif de l’interface.
Instance
Valeur
Action
f
1
La carte d’interface avec
ifIndex f est activ&eacute;e.
Remarque :
Il est possible que, m&ecirc;me si l’&eacute;tat ifAdminStatus est d&eacute;fini comme actif ou
inactif, le changement effectif d’&eacute;tat n’ait pas eu lieu. Dans ce cas, une
requ&ecirc;te get de ifAdminStatus peut indiquer un &eacute;tat up (actif), et un
ifOperStatus un &eacute;tat down (inactif) pour cette interface. Il faut alors que
l’administrateur de r&eacute;seau r&eacute;&eacute;mette une requ&ecirc;te set de passage de
ifAdminStatus &agrave; l’&eacute;tat actif pour retenter l’op&eacute;ration.
atPhysAddress
Partie mat&eacute;rielle de l’adresse d’une liaison de table d’adresses sur l’h&ocirc;te de
l’agent (entr&eacute;e de la table ARP (Address Resolution Protocol)). M&ecirc;me
variable MIB que ipNetToMediaPhysAddress.
5-24
Instance
Valeur
Action
f.1.n.n.n.n
hh:hh:hh:hh:hh:hh
Pour l’interface avec ifIndex
f, toute liaison de table ARP
existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par la
liaison (n.n.n.n,
hh:hh:hh:hh:hh:hh). S’il n’y
en a pas, la nouvelle liaison
est ajout&eacute;e.
hh:hh:hh:hh:hh:hh est une
adresse mat&eacute;rielle
hexad&eacute;cimale &agrave; douze
chiffres.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
ipRouteType
Etat d’une entr&eacute;e de la table des routes sur l’h&ocirc;te de l’agent (utilis&eacute; pour
supprimer des entr&eacute;es).
Instance
Valeur
Action
h.h.h.h
1
Toute route &agrave; destination de
l’adresse IP de l’h&ocirc;te h.h.h.h
est supprim&eacute;e.
n.n.n.n
2
Toute route &agrave; destination de
l’adresse IP de l’h&ocirc;te n.n.n.n
est supprim&eacute;e.
ipNetToMediaPhysAddress
Partie mat&eacute;rielle de l’adresse d’une liaison de table d’adresses sur l’h&ocirc;te de
l’agent (entr&eacute;e de la table ARP). M&ecirc;me variable MIB que atPhysAddress.
Instance
Valeur
Action
f.1.n.n.n.n
hh:hh:hh:hh:hh:hh
Pour l’interface avec ifIndex
f, toute liaison de table ARP
existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par la
liaison (n.n.n.n,
hh:hh:hh:hh:hh:hh). S’il n’y
en a pas, la nouvelle liaison
est ajout&eacute;e.
hh:hh:hh:hh:hh:hh est une
adresse mat&eacute;rielle
hexad&eacute;cimale &agrave; douze
chiffres.
ipNetToMediaNetAddress
Adresse IP correspondant &agrave; l’adresse mat&eacute;rielle ou physique sp&eacute;cifi&eacute;e
dans ipNetToMediaPhysAddress. M&ecirc;me variable MIB que atNetAddress.
Instance
Valeur
Action
f.1.n.n.n.n
m.m.m.m
Pour l’interface avec ifIndex
f, une entr&eacute;e de table ARP
existante pour l’adresse IP
n.n.n.n est remplac&eacute;e par
l’adresse IP m.m.m.m.
Administration du r&eacute;seau
5-25
ipNetToMediaType
Type de mappage de l’adresse IP vers l’adresse physique.
Instance
Valeur
Action
f.1.n.n.n.n
1
Pour l’interface avec ifIndex
f, pour une liaison ARP
existante de l’adresse IP
vers l’adresse physique, le
type de mappage a la
valeur 1, ou autre.
2
Pour l’interface avec ifIndex
f, pour une liaison ARP
existante de l’adresse IP
vers l’adresse physique, le
type de mappage a la
valeur 2, ou n’est pas valide.
Un effet secondaire est que
l’entr&eacute;e correspondante de
ipNetMediaTable est
invalid&eacute;e, c’est-&agrave;-dire que
l’interface est dissoci&eacute;e de
cette entr&eacute;e
ipNetToMediaTable.
3
Pour l’interface avec ifIndex
f, pour une liaison ARP
existante de l’adresse IP
vers l’adresse physique, le
type de mappage a la
valeur 3, ou dynamique.
4
Pour l’interface avec ifIndex
f, pour une liaison ARP
existante de l’adresse IP
vers l’adresse physique, le
type de mappage a la
valeur 4, ou statique.
snmpEnableAuthenTraps
Indique si l’agent snmpd est configur&eacute; de fa&ccedil;on &agrave; g&eacute;n&eacute;rer des interruptions
authenticationFailure.
Instance
Valeur
Action
0
1
L’agent snmpd g&eacute;n&eacute;rera
des interruptions
”authentication failure”.
2
L’agent snmpd ne g&eacute;n&eacute;rera
pas d’interruptions
”authentication failure”.
smuxPstatus Etat d’un homologue de protocole SMUX (utilis&eacute; pour supprimer des
homologues SMUX).
5-26
Instance
Valeur
Action
n
1
L’agent snmpd ne fait rien.
2
L’agent snmpd arr&ecirc;te de
communiquer avec
l’homologue SMUX n.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
smuxTstatus
Etat d’une arborescence SMUX (utilis&eacute; pour supprimer des montages
d’arborescence MIB).
Instance
Valeur
Action
l.m.m.m._ _ _ .p
1
L’agent snmpd ne fait rien.
2
D&eacute;monte le montage SMUX
de l’arborescence MIB
m.m.m... avec / comme
longueur d’une instance
d’arborescence MIB et p la
valeur de smuxTpriority.
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon snmpd, conform&eacute;ment &agrave; RFC 1229.
L’unit&eacute; sous–jacente peut ne pas autoriser leur d&eacute;finition. V&eacute;rifiez ce qui est admis dans
chaque cas.
ifExtnsPromiscuous
Etat du mode promiscuous sur une unit&eacute;. Cette op&eacute;ration permet d’activer
ou de d&eacute;sactiver le mode promiscuous sur une unit&eacute; donn&eacute;e. L’action
snmpd est finalis&eacute;e et termin&eacute;e. Lorsque snmpd est instruit de s’arr&ecirc;ter, le
mode promiscuous est compl&egrave;tement d&eacute;sactiv&eacute;, quelles que soient les
autres applications sur la machine.
Instance
Valeur
Action
n
1
Active le mode promiscuous
pour l’unit&eacute; n.
2
D&eacute;sactive le mode
promiscuous pour l’unit&eacute; n.
ifExtnsTestType
Variable d’initiation de test. Lorsqu’elle est d&eacute;finie, le test appropri&eacute; est
lanc&eacute; pour cette unit&eacute;. La valeur de cette variable est un identificateur
d’objet. La valeur sp&eacute;cifique d&eacute;pend du type d’unit&eacute; et du test &agrave; ex&eacute;cuter.
Actuellement, FullDiplexLoopBack est le seul test d&eacute;fini que snmpd sait
ex&eacute;cuter.
Instance
Valeur
Action
n
oid
Lance le test sp&eacute;cifi&eacute; par
oid.
ifExtnsRcvAddrStatus
Variable d’&eacute;tat d’adresse. Lorsqu’elle est d&eacute;finie, l’adresse sp&eacute;cifi&eacute;e est
cr&eacute;&eacute;e avec un niveau de dur&eacute;e appropri&eacute;. snmpd permet la d&eacute;finition d’une
adresse temporaire uniquement, car il est incapable de d&eacute;finir des
enregistrements ODM d’unit&eacute; et qu’il n’est autoris&eacute; qu’&agrave; d&eacute;finir des
adresses multidestinataires/multidiffusion.
Instance
Valeur
Action
n.m.m.m.m.m.m
1
Ajoute l’adresse &agrave; titre ni
temporaire ni permanent.
2
Emp&ecirc;che l’utilisation de
l’adresse.
3
Ajoute l’adresse &agrave; titre
temporaire.
4
Ajoute l’adresse &agrave; titre
permanent.
Administration du r&eacute;seau
5-27
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon snmpd, conform&eacute;ment &agrave; RFC 1231.
L’unit&eacute; sous–jacente peut ne pas autoriser leur d&eacute;finition. V&eacute;rifiez ce qui est admis dans
chaque cas.
dot5Commands
Commande que l’unit&eacute; token-ring doit ex&eacute;cuter.
Instance
Valeur
Action
n
1
Ne fait rien. Renvoy&eacute;.
2
Demande &agrave; l’unit&eacute;
token-ring de s’ouvrir.
3
Demande au token-ring de
se r&eacute;initialiser.
4
Demande &agrave; l’unit&eacute;
token-ring de se fermer.
dot5RindSpeed
Vitesse ou largeur de bande de l’anneau actuel.
Instance
Valeur
Action
n
1
Vitesse inconnue.
2
Vitesse d’anneau de
1 m&eacute;gabits.
3
Vitesse d’anneau de
4 m&eacute;gabits.
4
Vitesse d’anneau de
16 m&eacute;gabits.
dot5ActMonParticipate
L’objet indique si l’unit&eacute; doit participer ou non au processus de s&eacute;lection
active du moniteur.
Instance
Valeur
Action
n
1
Doit participer.
2
Ne doit pas participer.
dot5Functional
Masque fonctionnel permettant &agrave; l’unit&eacute; token-ring de sp&eacute;cifier les adresses
&agrave; partir desquelles elle recevra des trames.
Instance
Valeur
Action
n
m.m.m.m.m.m
Masque fonctionnel &agrave; d&eacute;finir.
Les variables suivantes sont d&eacute;finies dans la consigne RFC comme &eacute;tant en lecture seule,
mais nous vous conseillons de leur affecter des droits en lecture-&eacute;criture. Elles concernent
des manipulations d’horloge complexes. Etudiez-les attentivement dans RFC pour bien
comprendre leurs interactions. snmpd permet au demandeur de les d&eacute;finir, mais l’unit&eacute; ne
le pourra peut-&ecirc;tre pas. Pour plus d’informations, consultez la documentation relative au
pilote de l’unit&eacute;. Les variables sont :
• dot5TimerReturnRepeat
• dot5TimerHolding
• dot5TimerQueuePDU
• dot5TimerValidTransmit
5-28
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
• dot5TimerNoToken
• dot5TimerActiveMon
• dot5TimerStandbyMon
• dot5TimerErrorReport
• dot5TimerBeaconTransmit
• dot5TimerBeaconReceive
Les variables ci–apr&egrave;s sont d&eacute;finissables via le d&eacute;mon SNMP conform&eacute;ment &agrave; RFC 1512.
Le d&eacute;mon se sert de la norme de protocole FDDI Station Management (SMT) 7.2 pour
obtenir des informations. Ceci est d&eacute;termin&eacute; au niveau du microcode. Contr&ocirc;lez le
microcode dans la documentation FDDI pour v&eacute;rifier que le microcode SMT 7.2 est utilis&eacute;.
fddimibSMTUserData
Variable contenant 32 octets d’informations utilisateur.
Instance
Valeur
Action
n
cha&icirc;ne
Stocke 32 octets
d’informations utilisateur.
fddimibSMTConfigPolicy
Etat des politiques de configuration, notamment l’utilisation de la politique
”hold” de maintien en l’&eacute;tat.
Instance
Valeur
Action
n
0
Ne pas utiliser la politique
”hold”.
1
Utiliser la politique ”hold”.
fddimibSMTConnectionPolicy
Etat des politiques de connexion dans le noeud FDDI. Voir RFC 1512 pour
plus d’informations sur les valeurs d&eacute;finissables sp&eacute;cifiques.
Instance
Valeur
Action
n
k
D&eacute;finit les politiques de
connexion.
fddimibSMTTNotify
Horloge, exprim&eacute;e en secondes, utilis&eacute;e dans le protocole Neighbor
Notification. Sa valeur est comprise entre 2 et 30 secondes (30 secondes
par d&eacute;faut).
Instance
Valeur
Action
n
k
D&eacute;finit la valeur de l’horloge.
fddimibSMTStatRptPolicy
Etat de la g&eacute;n&eacute;ration de trames de compte rendu d’&eacute;tat.
Instance
Valeur
Action
n
1
Le noeud g&eacute;n&egrave;re des
trames de compte rendu
d’&eacute;tat pour les &eacute;v&eacute;nements
impl&eacute;ment&eacute;s.
2
Le noeud ne cr&eacute;e pas de
trames de compte rendu
d’&eacute;tat.
Administration du r&eacute;seau
5-29
fddimibSMTTraceMaxExpiration
Cette variable d&eacute;finit la valeur maximale d’expiration de l’horloge pour le suivi.
Instance
Valeur
Action
n
k
D&eacute;finit l’expiration maximale
de l’horloge (en
millisecondes).
fddimibSMTStationAction
Cette variable provoque l’ex&eacute;cution par l’entit&eacute; SMT d’une action
sp&eacute;cifique. Pour en savoir plus, voir la RFC.
Instance
Valeur
Action
n
k
D&eacute;finit une action sur l’entit&eacute;
SMIT. Valeurs comprises
entre 1 et 8.
fddimibMACRequestedPaths
D&eacute;finit les chemins dans lesquels le MAC (medium access control) doit &ecirc;tre
ins&eacute;r&eacute;.
Instance
Valeur
Action
n.n
k
D&eacute;finit le chemin demand&eacute;
pour le MAC.
fddimibMACFrameErrorThreshold
Seuil au-del&agrave; duquel un compte rendu d’&eacute;tat du MAC doit &ecirc;tre g&eacute;n&eacute;r&eacute;.
D&eacute;finit le nombre d’erreurs &agrave; partir duquel g&eacute;n&eacute;rer un compte rendu.
Instance
Valeur
Action
n.n
k
D&eacute;finit le nombre d’erreurs &agrave;
partir duquel g&eacute;n&eacute;rer un
compte rendu d’&eacute;tat MAC.
fddimibMACMAUnitdataEnable
Cette variable d&eacute;termine la valeur de l’indicateur MA_UNITDATA_Enable
dans RMT. La valeur initiale et par d&eacute;faut de cet indicateur est ”vrai” (1).
Instance
Valeur
Action
n.n
1
Marque l’indicateur
MA_UNITDATA_Enable
comme vrai (true).
2
Marque l’indicateur
MA_UNITDATA_Enable
comme faux (false).
fddimibMACNotCopiedThreshold
Seuil d&eacute;terminant &agrave; quel moment est g&eacute;n&eacute;r&eacute; un compte rendu de condition
de MAC.
5-30
Instance
Valeur
Action
n.n
k
D&eacute;finit le nombre d’erreurs &agrave;
partir duquel g&eacute;n&eacute;rer un
compte rendu de condition
de MAC.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Les trois variables suivantes, interd&eacute;pendantes, concernent l’horloge. Avant de les modifier,
assurez-vous que vous avez bien assimil&eacute; leur fonction, telle que d&eacute;finie dans RFC 1512.
• fddimibPATHTVXLowerBound
• fddimibPATHTMaxLowerBound
• fddimibPATHMaxTReq
fddimibPORTConnectionPolicies
Sp&eacute;cifie les politiques de connexion pour le port sp&eacute;cifi&eacute;.
Instance
Valeur
Action
n.n
k
D&eacute;finit les politiques de con–
nexion pour le port sp&eacute;cifi&eacute;.
fddimibPORTRequestedPaths
Cette variable est la liste des chemins permis du port. Le premier octet
correspond &agrave; ”aucun”, le deuxi&egrave;me, &agrave; ”arborescence”, et le troisi&egrave;me, &agrave;
”homologue”.
Instance
Valeur
Action
n.n
ccc
D&eacute;finit les chemins du port.
fddimibPORTLerCutoff
Estimation du taux d’erreur de liaison au-del&agrave; duquel une connexion de liaison
sera rompue. La valeur est comprise entre 10**-4 et 10**-15, et est rapport&eacute;e
comme la valeur absolue du logarithme &agrave; base 10 (valeur par d&eacute;faut : 7).
Instance
Valeur
Action
n.n
k
D&eacute;finit le LerCutoff du port.
fddimibPORTLerAlarm
Estimation du taux d’erreur de liaison au-del&agrave; duquel une connexion de
liaison g&eacute;n&egrave;re une alarme. La valeur est comprise entre 10**-4 et 10**-15
et est rapport&eacute;e comme la valeur absolue du logarithme &agrave; base 10 de
l’estimation (valeur par d&eacute;faut : 8).
Instance
Valeur
Action
n.n
k
D&eacute;finit le LerAlarm du port.
fddimibPORTAction
Cette variable entra&icirc;ne l’ex&eacute;cution d’une action sp&eacute;cifique par le PORT.
Pour en savoir plus, voir la RFC.
Instance
Valeur
Action
n
k
D&eacute;finit une action sur le port
d&eacute;fini. Valeurs comprises
entre 1 et 6.
Remarque :
RFC 1213 d&eacute;crit toutes les variables des tables atEntry et
ipNetToMediaEntry comme &eacute;tant en lecture-&eacute;criture. Le support de set n’est
assur&eacute; que pour les variables atEntry aux adresses atPhysAddress et
atNetAddress, et pour les variables ipNetToMediaEntry aux adresses
ipNetToMediaPhysAddress, ipNetToMediaNetAddress, et de type
ipNetToMediaType. Les requ&ecirc;tes set accept&eacute;es qui sp&eacute;cifient les autres
attributs non accept&eacute;s dans ces deux tables sont : atIfIndex et
ipNetToMediaIfIndex. Aucune r&eacute;ponse d’erreur n’est renvoy&eacute;e &agrave; l’&eacute;metteur
de la requ&ecirc;te set, mais la requ&ecirc;te get suivante montrera que les valeurs
originales sont retenues.
Administration du r&eacute;seau
5-31
RFC 1213 d&eacute;crit toutes les variables de la table ipRouteEntry comme &eacute;tant en
lecture-&eacute;criture, sauf ipRouteProto. Comme mentionn&eacute; ci-dessus, le support de set n’est
assur&eacute; que pour les variables ipRouteDest, ipRouteNextHop et ipRouteType. Pour
accepter des requ&ecirc;tes set pouvant sp&eacute;cifier plusieurs attributs de route non pris en
charge, les requ&ecirc;tes set pour les autres variables de la table ipRouteEntry sont
accept&eacute;es : ipRouteIfIndex, ipRouteMetric1, ipRouteMetric2, ipRouteMetric3,
ipRouteMetric4, ipRouteMetric5, ipRouteAge et ipRouteMask. Aucune r&eacute;ponse d’erreur
n’est renvoy&eacute;e &agrave; l’&eacute;metteur de la requ&ecirc;te set, mais la requ&ecirc;te get suivante montrera que
les valeurs originales sont retenues. Le d&eacute;mon snmpd ne coordonne pas le routage
avec le d&eacute;mon routed. Si le d&eacute;mon gated s’ex&eacute;cute et a enregistr&eacute; la variable
ipRouteTable avec le d&eacute;mon snmpd, les requ&ecirc;tes set sur ipRouteTable ne sont pas
autoris&eacute;es.
RFC 1229 d&eacute;crit les variables d&eacute;finissables ; snmpd permet leur d&eacute;finition. Pour les
exceptions, reportez-vous aux entr&eacute;es pr&eacute;c&eacute;dentes.
Exemples
Les exemples suivants utilisent la commande snmpinfo. Le nom de communaut&eacute; par d&eacute;faut
de snmpinfo, public, est suppos&eacute; avoir acc&egrave;s en lecture-&eacute;criture &agrave; la sous-arborescence
MIB correspondante :
snmpinfo –m set sysContact.0=”Primary contact: Bob Smith, office phon
e: 555–5555,
beeper: 9–123–4567. Secondary contact: John Harris, phone: 555–1234.”
Cette commande affecte &agrave; sysContact.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e. S’il existe d&eacute;j&agrave;
une entr&eacute;e pour sysContact.0, elle est remplac&eacute;e.
snmpinfo –m set sysName.0=”bears.austin.ibm.com”
Cette commande affecte &agrave; sysName.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e. S’il existe d&eacute;j&agrave;
une entr&eacute;e pour sysName.0, elle est remplac&eacute;e.
snmpinfo –m set sysLocation.0=”Austin site, building 802, lab 3C–23
, southeast
corner of the room.”
Cette commande affecte &agrave; sysLocation.0 la valeur de la cha&icirc;ne sp&eacute;cifi&eacute;e. S’il existe d&eacute;j&agrave;
une entr&eacute;e pour sysLocation.0, elle est remplac&eacute;e.
snmpinfo –m set ifAdminStatus.2=2
D&eacute;sactive la carte d’interface r&eacute;seau dont l’ifIndex a la valeur 2. Si la valeur affect&eacute;e est
&eacute;gale &agrave; 1, la carte d’interface est activ&eacute;e.
snmpinfo –m set atPhysAddress.2.1.192.100.154.2=02:60:8c:2e:c2:00
snmpinfo –m set ipNetToMediaPhysAddress.2.1.192.100.154.2=02:60:8c:
2e:c2:00
Changent l’adresse mat&eacute;rielle dans l’entr&eacute;e de la table ARP de 192.100.154.2 en
02:60:8c:2e:c2:00. Elles affectent la m&ecirc;me entr&eacute;e de table ARP. La variable
MIB atPhysAddress est une variable d&eacute;pr&eacute;ci&eacute;e, remplac&eacute;e par la variable
MIB ipNetToMediaPhysAddress. Donc, atPhysAddress et ipNetToMediaPhysAddress ont
acc&egrave;s &agrave; la m&ecirc;me structure dans la table ARP du noyau TCP/IP.
snmpinfo –m set atNetAddress.2.1.192.100.154.2=192.100.154.3
snmpinfo –m set ipNetToMediaNetAddress.2.1.192.100.154.2=192.100.154.3
Changent l’adresse IP dans l’entr&eacute;e de la table ARP de 192.100.154.2 en
192.100.154.3. Elles affectent la m&ecirc;me entr&eacute;e de table ARP. La variable MIB
atNetAddress est une variable d&eacute;pr&eacute;ci&eacute;e, remplac&eacute;e par la variable MIB
ipNetToMediaNetAddress. Ainsi, atNetAddress et ipNetToMediaNetAddress ont acc&egrave;s &agrave; la
m&ecirc;me structure dans la table ARP du noyau TCP/IP.
5-32
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
snmpinfo –m set ipForwarding.0=1
D&eacute;finit le noyau TCP/IP de sorte qu’il puisse acheminer les paquets si l’h&ocirc;te de l’agent a
plusieurs interfaces actives. S’il n’en a qu’une, la requ&ecirc;te set &eacute;choue et l’agent snmpd
renvoie l’erreur badValue.
snmpinfo –m set ipDefaultTTL=50
Permet &agrave; un datagramme IP utilisant la dur&eacute;e de vie (TTL) par d&eacute;faut de passer par des
passerelles (50 maximum) avant d’&ecirc;tre rejet&eacute;. A chaque traitement du datagramme par une
passerelle, cette derni&egrave;re d&eacute;cr&eacute;mente de 1 le champ de dur&eacute;e de vie. En outre, chaque
passerelle d&eacute;cr&eacute;mente ce champ du nombre de secondes qu’a attendu le datagramme pour
&ecirc;tre trait&eacute; avant d’&ecirc;tre transmis &agrave; la destination suivante.
snmpinfo –m set ipRouteDest.192.100.154.0=192.100.154.5
D&eacute;finit l’adresse IP de destination de la route associ&eacute;e &agrave; 192.100.154.0 comme &eacute;tant
192.100.154.5 (en supposant que la route 192.100.154 existait d&eacute;j&agrave;).
snmpinfo –m set ipRouteNextHop.192.100.154.1=129.35.38.47
D&eacute;finit une route vers l’h&ocirc;te 192.100.154.1 via la passerelle h&ocirc;te 129.35.38.47
(en supposant que la route 192.100.154.1 existait d&eacute;j&agrave;).
snmpinfo –m set ipRouteNextHop.192.100.154.0=192.100.154.7
D&eacute;finit une route vers le serveur de classe C 192.100.154 via la passerelle h&ocirc;te
192.100.154.7 (en supposant que la route 192.100.154.0 existait d&eacute;j&agrave;). Remarquez
que la partie h&ocirc;te de l’adresse doit &ecirc;tre 0 pour indiquer une adresse de r&eacute;seau.
snmpinfo –m set ipRouteType.192.100.154.5=2
Supprime toute route pour l’h&ocirc;te
192.100.154.5.
snmpinfo –m set ipRouteDest.129.35.128.1=129.35.128.1
ipRouteType.129.35.128.1=3
ipRouteNextHop.129.35.128.1=129.35.128.90
Cr&eacute;e une nouvelle route depuis l’h&ocirc;te 129.35.128.90 jusqu’&agrave;
passerelle.
129.35.128.1 comme
snmpinfo –m set ipNetToMediaType.2.1.192.100.154.11=4
D&eacute;finit l’entr&eacute;e de la table ARP en 192.100.154.11 comme statique.
snmpinfo –m set snmpEnableAuthenTraps=2
Indique &agrave; l’agent snmpd sur l’h&ocirc;te sp&eacute;cifi&eacute; de ne pas g&eacute;n&eacute;rer d’interruptions de type
authenticationFailure.
snmpinfo –m set smuxPstatus.1=2
Annule la validit&eacute; de l’homologue SMUX 1. L’effet secondaire est que la connexion entre
l’agent snmpd et cet homologue SMUX prend fin.
snmpinfo –m set smuxTstatus.8.1.3.6.1.2.1.4.21.0=2
Annule la validit&eacute; ou supprime le montage de l’arborescence SMUX 1.3.6.1.2.1.4.21,
la table ipRoute. Le premier nombre de l’instance indique le nombre de niveaux dans
l’identificateur d’arborescence SMUX. Le dernier nombre indique la priorit&eacute; smuxTpriority.
Dans cet exemple, il y a 8 niveaux dans l’identificateur d’arborescence SMUX :
1.3.6.1.2.1.4.21. La priorit&eacute;, 0, est la plus haute.
snmpinfo –m set ifExtnsPromiscuous.1=1 ifExtnsPromiscuous.2=2
Active le mode ”promiscuous” pour la premi&egrave;re unit&eacute; de la table d’interfaces et le d&eacute;sactive
pour la deuxi&egrave;me unit&eacute;.
snmpinfo –m set ifExtnsTestType.1=testFullDuplexLoopBack
Administration du r&eacute;seau
5-33
Lance le test testFullDuplexLoopBack sur l’interface 1.
snmpinfo –m set ifExtnsRcvAddrStatus.1.129.35.128.1.3.2=2
Indique &agrave; l’interface 1 de supprimer l’adresse physique 129.35.128.1.3.2 de la liste des
adresses acceptables.
snmpinfo –m set dot5Commands.1=2
Demande &agrave; la premi&egrave;re interface d’ex&eacute;cuter une ouverture.
snmpinfo –m set dot5RingSpeed.1=2
Indique &agrave; la premi&egrave;re interface de d&eacute;finir sa vitesse d’anneau &agrave; 1 m&eacute;gabit.
snmpinfo –m set dot5ActMonParticipate.1=1
Indique &agrave; la premi&egrave;re interface de participer au processus de s&eacute;lection du moniteur actif.
snmpinfo –m set dot5Functional.1=255.255.255.255.255.255
D&eacute;finit le masque d’adresse fonctionnel de sorte que tout soit autoris&eacute;.
snmpinfo –m set fddimibSMTUserData.1=”Greg’s Data”
D&eacute;finit les donn&eacute;es utilisateur sur la premi&egrave;re entit&eacute; SMT comme ”Greg’s Data”.
snmpinfo –m set fddimibMACFrameErrorThreshold.1.1=345
D&eacute;finit le seuil des erreurs de trame &agrave; 345 sur le premier MAC de la premi&egrave;re entit&eacute; SMT.
Remarque :
Toutes les variables d&eacute;crites sont d&eacute;finissables par l’une ou l’autre des
m&eacute;thodes indiqu&eacute;es pr&eacute;c&eacute;demment.
Reportez–vous &agrave; Protocole de r&eacute;solution d’adresses et &agrave; adresses Internet pour plus
d’informations sur les protocoles et les adresses Internet.
5-34
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification et r&eacute;solution des incidents li&eacute;s au d&eacute;mon SNMP
Si l’agent snmpd ne se comporte pas comme il le devrait, voici quelques indices pour vous
aider &agrave; diagnostiquer et corriger le probl&egrave;me. Il est fortement recommand&eacute; de d&eacute;marrer
l’agent snmpd en sp&eacute;cifiant une journalisation. En cas d’incidents suite &agrave; l’appel du d&eacute;mon
snmpd, il est vivement recommand&eacute; de configurer le d&eacute;mon syslogd pour une
journalisation au niveau de l’utilitaire du d&eacute;mon et de la gravit&eacute; DEBUG. Reportez–vous &agrave; la
commande snmpd et au fichier snmpd.conf pour plus d’informations sur la journalisation
snmpd.
Interruption pr&eacute;matur&eacute;e
Si le d&eacute;mon snmpd s’arr&ecirc;te d&egrave;s son appel :
• La cause de l’arr&ecirc;t est enregistr&eacute;e dans le fichier journal snmpd ou syslogd configur&eacute;.
Consultez ce fichier pour prendre connaissance du message d’erreur FATAL.
Solution : Corrigez le probl&egrave;me et relancez le d&eacute;mon snmpd.
• La syntaxe de la ligne de commande snmpd est incorrecte. Si vous avez appel&eacute; la
commande snmpd sans SRC (System Resource Controller), la syntaxe requise s’affiche
&agrave; l’&eacute;cran. Si vous avez appel&eacute; le d&eacute;mon snmpd sous SRC (System Resource
Controller), la syntaxe requise ne s’affiche pas &agrave; l’&eacute;cran. Consultez le fichier journal pour
conna&icirc;tre la syntaxe appropri&eacute;e.
Solution : Corrigez la syntaxe de la commande snmpd .
• Seul l’utilisateur racine doit appeler le d&eacute;mon snmpd. L’agent snmpd n’est pas ex&eacute;cut&eacute;
s’il n’est pas appel&eacute; par l’utilisateur racine.
Solution : Ouvrez une session utilisateur racine et relancez le d&eacute;mon snmpd.
• Le fichier snmpd.conf doit appartenir &agrave; l’utilisateur racine. L’agent snmpd v&eacute;rifie la
propri&eacute;t&eacute; du fichier de configuration. Si le fichier n’appartient pas &agrave; l’utilisateur racine,
l’agent snmpd s’arr&ecirc;te, ceci &eacute;tant consid&eacute;r&eacute; comme une erreur fatale.
Solution : V&eacute;rifiez que vous &ecirc;tes connect&eacute; en tant qu’utilisateur racine, changez le
propri&eacute;taire du fichier de configuration et relancez le d&eacute;mon snmpd.
• Le fichier snmpd.conf doit exister. Si vous n’avez pas sp&eacute;cifi&eacute; le fichier de journalisation
sur la ligne de commande snmpd via l’indicateur –c, c’est le fichier /etc/snmpd.conf qui
doit exister. Si vous avez accidentellement supprim&eacute; le fichier /etc/snmpd.conf,
r&eacute;installez l’image bos.net.tcp.client ou reconstituez le fichier avec les entr&eacute;es de
configuration ad&eacute;quates, telles que d&eacute;finies dans la page man du fichier snmpd.conf.
Si vous aviez vraiment sp&eacute;cifi&eacute; le fichier de configuration sur la ligne de commande
snmpd via l’indicateur –c, v&eacute;rifiez que ce fichier existe et qu’il appartient &agrave; l’utilisateur
racine. Vous devez sp&eacute;cifier le chemin d’acc&egrave;s complet et le nom du fichier de
configuration si vous ne voulez pas utiliser le fichier /etc/snmpd.conf par d&eacute;faut.
Solution : Assurez-vous de l’existence du fichier de configuration sp&eacute;cifi&eacute; et de son
appartenance &agrave; l’utilisateur racine. Relancez le d&eacute;mon snmpd.
• Il y a d&eacute;j&agrave; une liaison avec le port udp 161. V&eacute;rifiez que le d&eacute;mon snmpd n’est pas d&eacute;j&agrave;
en cours d’ex&eacute;cution. Lancez la commande ps –eaf | grep snmpd pour d&eacute;terminer si un
processus du d&eacute;mon snmpd est d&eacute;j&agrave; en cours. Un seul agent snmpd peut effectuer la
liaison au port udp 161.
Solution : Tuez l’agent snmpd existant ou n’essayez pas de d&eacute;marrer un autre
processus du d&eacute;mon snmpd.
Administration du r&eacute;seau
5-35
D&eacute;faillance du d&eacute;mon
Si le d&eacute;mon snmpd &eacute;choue lorsque vous &eacute;mettez un signal refresh ou kill -1 :
• La cause de l’arr&ecirc;t est enregistr&eacute;e dans le fichier journal snmpd ou syslogd configur&eacute;.
Recherchez dans l’un ou l’autre le message d’erreur FATAL.
Solution : Corrigez le probl&egrave;me et relancez le d&eacute;mon snmpd.
• V&eacute;rifiez que vous avez sp&eacute;cifi&eacute; le chemin d’acc&egrave;s complet et le nom du fichier de
configuration &agrave; l’appel du d&eacute;mon snmpd. Le d&eacute;mon snmpd ”bifurque”, passant au
r&eacute;pertoire racine lorsqu’il est appel&eacute;. Si vous n’avez pas sp&eacute;cifi&eacute; le nom complet du
fichier, l’agent snmpd ne peut pas le trouver lors d’un rafra&icirc;chissement. Il s’agit d’une
erreur fatale qui entra&icirc;ne l’arr&ecirc;t pr&eacute;matur&eacute; de l’agent snmpd.
Solution : Sp&eacute;cifiez le chemin d’acc&egrave;s complet et le nom du fichier de configuration
snmpd. V&eacute;rifiez qu’il appartient &agrave; l’utilisateur racine. Relancez le d&eacute;mon snmpd.
• V&eacute;rifiez que le fichier de configuration du snmpd existe encore. Il peut avoir &eacute;t&eacute;
malencontreusement supprim&eacute; apr&egrave;s l’appel de l’agent snmpd. Si l’agent snmpd ne
peut pas l’ouvrir, l’agent snmpd s’arr&ecirc;te pr&eacute;matur&eacute;ment.
Solution : Recr&eacute;ez le fichier de configuration snmpd, assurez-vous qu’il appartient &agrave;
l’utilisateur racine et relancez le d&eacute;mon snmpd.
Acc&egrave;s impossible aux variables MIB
Si l’agent snmpd ne peut acc&eacute;der aux variables MIB, ou s’il s’ex&eacute;cute mais que l’application
du gestionnaire SNMP (Simple Network Management Protocol) d&eacute;passe le d&eacute;lai d’attente
d’une r&eacute;ponse de l’ agent snmpd :
• V&eacute;rifiez la configuration r&eacute;seau de l’h&ocirc;te sur lequel s’ex&eacute;cute l’agent snmpd &agrave; l’aide de la
commande netstat –in. V&eacute;rifiez que l’unit&eacute; lo0, en boucle, est active. Si l’unit&eacute; n’est pas
active, un * (ast&eacute;risque) est affich&eacute; en regard de lo0. Pour que l’agent snmpd serve les
requ&ecirc;tes, lo0 doit &ecirc;tre active.
Solution : Emettez la commande suivante pour d&eacute;marrer l’interface de boucle :
ifconfig lo0 inet up
• V&eacute;rifiez que le d&eacute;mon snmpd a une route conduisant &agrave; l’h&ocirc;te sur lequel vous avez &eacute;mis
les requ&ecirc;tes.
Solution : Sur l’h&ocirc;te sur lequel s’ex&eacute;cute le d&eacute;mon snmpd, ajoutez une route conduisant
&agrave; l’h&ocirc;te sur lequel la requ&ecirc;te SNMP a &eacute;mis la commande route add. Reportez-vous &agrave; la
commande route.
• V&eacute;rifiez que le nom de l’h&ocirc;te et son adresse IP sont les m&ecirc;mes.
Solution : Red&eacute;finissez le nom de l’h&ocirc;te pour le faire correspondre &agrave; son adresse IP.
• V&eacute;rifiez si localhost (h&ocirc;te local) est d&eacute;fini comme adresse IP de lo0.
Solution : D&eacute;finissez que localhost est &agrave; la m&ecirc;me adresse que celle utilis&eacute;e par l’adresse
IP de lo0 (g&eacute;n&eacute;ralement 127.0.0.1).
5-36
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Acc&egrave;s impossible aux variables MIB dans une entr&eacute;e de communaut&eacute;
Si une entr&eacute;e de communaut&eacute; est sp&eacute;cifi&eacute;e dans le fichier de configuration avec un nom de
vue MIB, mais qu’il est impossible d’acc&eacute;der aux variables MIB :
• V&eacute;rifiez l’entr&eacute;e de communaut&eacute;. Si vous y avez indiqu&eacute; un nom de vue, tous les champs
de cette entr&eacute;e sont obligatoires.
Solution : Sp&eacute;cifiez tous les champs de l’entr&eacute;e de la communaut&eacute; dans le fichier de
configuration. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que le mode d’acc&egrave;s d&eacute;fini dans l’entr&eacute;e de la communaut&eacute; correspond &agrave;
votre type de requ&ecirc;te. Si vous &eacute;mettez une requ&ecirc;te get ou get–next, v&eacute;rifiez que la
communaut&eacute; est dot&eacute;e de droits en lecture seule ou en lecture-&eacute;criture. Si vous &eacute;mettez
une requ&ecirc;te set, v&eacute;rifiez qu’elle est dot&eacute;e de droits en lecture-&eacute;criture.
Solution : Corrigez le mode d’acc&egrave;s dans l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez
l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que vous avez sp&eacute;cifi&eacute; une entr&eacute;e de vue correspondant au nom de vue
indiqu&eacute; dans l’entr&eacute;e de communaut&eacute;. Faute de quoi, l’agent snmpd interdit l’acc&egrave;s &agrave;
cette communaut&eacute;. Il est imp&eacute;ratif de sp&eacute;cifier une entr&eacute;e de vue pour une entr&eacute;e de
communaut&eacute;e dans le fichier de configuration.
Solution : Sp&eacute;cifiez une entr&eacute;e de vue correspondant au nom de vue indiqu&eacute; dans
l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Si vous avez sp&eacute;cifi&eacute; iso comme sous-arborescence MIB pour votre entr&eacute;e de vue,
assurez-vous d’avoir indiqu&eacute; iso.3. L’instance de 3 est requise pour que l’agent snmpd
ait acc&egrave;s &agrave; la portion org de l’arborescence iso.
Solution : Sp&eacute;cifiez iso.3 comme sous-arborescence MIB dans l’entr&eacute;e de vue.
Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• V&eacute;rifiez l’adresse IP et le masque de r&eacute;seau dans l’entr&eacute;e de la communaut&eacute;. V&eacute;rifiez
que l’h&ocirc;te &agrave; partir duquel vous &eacute;mettez la requ&ecirc;te SNMP est inclus dans la communaut&eacute;
sp&eacute;cifi&eacute;e.
Solution : Modifiez les champs IP address (adresse IP) et network mask (masque de
r&eacute;seau) dans l’entr&eacute;e de communaut&eacute; du fichier de configuration pour y inclure l’h&ocirc;te &agrave;
partir duquel vous &eacute;mettez la requ&ecirc;te SNMP.
Absence de r&eacute;ponse de l’agent
Si l’adresse IP de la communaut&eacute; est 0.0.0.0, mais que l’agent snmpd ne r&eacute;pond pas :
• V&eacute;rifiez le champ network mask (masque de r&eacute;seau) dans l’entr&eacute;e de la communaut&eacute;.
Pour donner un acc&egrave;s g&eacute;n&eacute;ral &agrave; ce nom de communaut&eacute;, le champ network mask doit
avoir la valeur 0.0.0.0. Si vous avez affect&eacute; au champ network mask la valeur
255.255.255.255, vous avez configur&eacute; l’agent snmpd de fa&ccedil;on &agrave; interdire toute requ&ecirc;te
avec le nom de communaut&eacute; sp&eacute;cifi&eacute;.
Solution : Donnez la valeur 0.0.0.0 au champ network mask (masque de r&eacute;seau) de
l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez l’agent snmpd et relancez la requ&ecirc;te.
• Assurez-vous que le mode d’acc&egrave;s d&eacute;fini dans l’entr&eacute;e de la communaut&eacute; correspond &agrave;
votre type de requ&ecirc;te. Si vous &eacute;mettez une requ&ecirc;te get ou get–next, v&eacute;rifiez que la
communaut&eacute; est dot&eacute;e de droits en lecture seule ou en lecture-&eacute;criture. Si vous &eacute;mettez
une requ&ecirc;te set, v&eacute;rifiez qu’elle est dot&eacute;e de droits en lecture-&eacute;criture.
Solution : Corrigez le mode d’acc&egrave;s dans l’entr&eacute;e de la communaut&eacute;. Rafra&icirc;chissez
l’agent snmpd et relancez la requ&ecirc;te.
Administration du r&eacute;seau
5-37
Message noSuchName
Si, lors d’une tentative de d&eacute;finition d’une variable MIB que l’agent snmpd est cens&eacute;
prendre en charge, le message d’erreur noSuchName est renvoy&eacute; :
La requ&ecirc;te set &eacute;mise n’incluait peut-&ecirc;tre pas de nom de communaut&eacute; correspondant &agrave; une
communaut&eacute; autoris&eacute;e avec un acc&egrave;s en &eacute;criture. Le protocole SNMP sp&eacute;cifie qu’une
requ&ecirc;te set mentionnant une communaut&eacute; avec des droits d’acc&egrave;s inad&eacute;quats doit recevoir
en r&eacute;ponse le message d’erreur noSuchName.
Solution : Emettez la requ&ecirc;te set avec le nom d’une communaut&eacute; dot&eacute;e de droits d’acc&egrave;s
en &eacute;criture et comprenant l’h&ocirc;te &agrave; partir duquel est &eacute;mise la requ&ecirc;te set.
5-38
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 6. Syst&egrave;me de fichiers r&eacute;seau et SMBFS
Ce chapitre fournit des informations sur NFS (Network File System), m&eacute;canisme de
stockage des fichiers sur le r&eacute;seau. Il traite des points suivants :
• Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s page 6-2
• Installation et configuration de NFS page 6-11
• PC–NFS page 6-20
• WebNFS page 6-23
• Gestionnaire NLM (Network Lock Manager) page 6-24
• Identification des incidents NFS page 6-27
• Informations de r&eacute;f&eacute;rence NFS page 6-36
• SMBFS page 6-39
Pour plus d’informations sur la s&eacute;curit&eacute; NFS, reportez–vous &agrave; Network File System (NFS)
Security dans le manuel AIX 5L Version 5.2 Security Guide.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-1
Syst&egrave;me de fichiers NFS : g&eacute;n&eacute;ralit&eacute;s
Le syst&egrave;me NFS (Network File System) est un syst&egrave;me de fichiers distribu&eacute;s, donnant aux
utilisateurs acc&egrave;s aux fichiers et r&eacute;pertoires sur des ordinateurs distants - ils ont ainsi la
possibilit&eacute; de les traiter comme s’il s’agissait de fichiers et r&eacute;pertoires locaux. L’utilisateur
dispose des commandes du syst&egrave;me d’exploitation pour cr&eacute;er, supprimer, lire, &eacute;crire ou
d&eacute;finir les attributs de ces r&eacute;pertoires et de ces fichiers.
Le module NFS contient les commandes et d&eacute;mons de NFS, NIS (Network Information
Service) et autres services. Mais, bien qu’ils soient install&eacute;s simultan&eacute;ment, NFS et NIS
constituent deux modules distincts, configur&eacute;s et administr&eacute;s ind&eacute;pendamment.
Reportez–vous au AIX 5L Version 5.2 NIS/NIS+ (Network Information Services) Guide pour
plus de d&eacute;tails sur NIS et NIS+.
Ce syst&egrave;me d’exploitation prend en charge les derni&egrave;res mises &agrave; jours du protocole NFS,
NFS Version 3 et fournit &eacute;galement une version 2 de NFS client et serveur. Il garantit de la
compatibilit&eacute; ascendante avec les bases d’installation clients et serveurs NFS existantes.
Cette section traite des points suivants :
• Services NFS, page 6-2
• Liste de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS, page 6-3
• Syst&egrave;me de fichiers cache (cacheFS), page 6-3
• Mappage de fichiers sous NFS, page 6-5
• Types de montage, page 6-5
• Processus de montage NFS, page 6-6
• Fichier /etc/exports, page 6-7
• Fichier /etc/xtab, page 6-7
• Impl&eacute;mentation de NFS, page 6-7
• Contr&ocirc;le de NFS, page 6-8
Services NFS
Les services NFS sont fournis via une relation client-serveur. Les ordinateurs qui rendent
leurs syst&egrave;mes de fichiers, leurs r&eacute;pertoires et d’autres ressources accessibles &agrave; distance
sont appel&eacute;s des serveurs. Le fait de rendre ces ressources disponibles est appel&eacute;
exportation. Les ordinateurs, ou les processus qu’ils ex&eacute;cutent, qui utilisent les ressources
d’un serveur sont dits clients. Lorsqu’un client monte un syst&egrave;me de fichiers export&eacute; par un
serveur, il a acc&egrave;s aux fichiers du serveur (l’acc&egrave;s aux r&eacute;pertoires peut &ecirc;tre limit&eacute; &agrave; certains
clients).
Les principaux services NFS sont les suivants :
6-2
Service Mount
Via le d&eacute;mon /usr/sbin/rpc.mountd sur le serveur
et la commande /usr/sbin/mount sur le client.
Remote File access
Via le d&eacute;mon /usr/sbin/nfsd sur le serveur et la
commande /usr/sbin/biod sur le client.
Service Remote execution
Via le d&eacute;mon /usr/sbin/rpc.rexd sur le serveur et la
commande /usr/sbin/on sur le client.
Service Remote System
Statistics
A partir du d&eacute;mon /usr/sbin/rpc.rstatd sur le
serveur et la commande /usr/bin/rup sur le client.
Service Remote User Listing
A partir du d&eacute;mon
/usr/lib/netsvc/rusers/rpc.rusersd sur le serveur
et la commande /usr/bin/rusers sur le client.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Service Boot Parameters
Fournit des param&egrave;tres d’amor&ccedil;age aux clients
sans disque SunOS via le d&eacute;mon
/usr/sbin/rpc.bootparamd sur le serveur.
Service Remote Wall
&Agrave; partir du d&eacute;mon /usr/lib/netsvc/rwall/rpc.rwalld
sur le serveur et de la commande /usr/sbin/rwall
sur le client.
Service Spray
Envoie un flot unilat&eacute;ral de paquets RPC via le
d&eacute;mon /usr/lib/netsvc/spray/rpc.sprayd sur le
serveur et la commande /usr/sbin/spray sur le
client.
Service PC authentication
Fournit un service d’authentification utilisateur pour
PCNFS via le d&eacute;mon /usr/sbin/rpc.pcnfsd sur le
serveur.
Remarque :
Un ordinateur peut &ecirc;tre simultan&eacute;ment serveur NFS et client NFS.
Un serveur NFS est sans &eacute;tat. C’est-&agrave;-dire qu’il n’a &agrave; m&eacute;moriser aucune information
concernant les transactions de ses clients. En d’autres termes, les transactions NFS sont
atomiques : une transaction NFS correspond &agrave; une et une seule op&eacute;ration compl&egrave;te sur un
fichier. C’est le client qui doit m&eacute;moriser les informations requises pour les usages ult&eacute;rieurs
de NFS.
Listes de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS
NFS prend en charge les listes de contr&ocirc;le d’acc&egrave;s (ACL), mais ceci n’est plus d&eacute;fini par
d&eacute;faut. Pour utiliser les listes de contr&ocirc;le d’acc&egrave;s avec NFS, sp&eacute;cifiez l’option acl avec
l’indicateur NFS –o, comme illustr&eacute; dans l’exemple suivant :
mount –o acl
La prise en charge des ACL est g&eacute;r&eacute;e par un programme RPC qui assure l’&eacute;change des
informations sur ces listes entre clients et serveurs. Le support ACL n’a pas d’incidence sur
les sp&eacute;cifications du protocole NFS : il s’agit d’une fonction distincte.
Le syst&egrave;me d’exploitation ajoute les ACL au syst&egrave;me de fichiers standard. Le protocole NFS
standard ne les prenant pas en charge, les ACL ne sont pas visibles des clients NFS
standard. Des surprises sont ainsi possibles. Un utilisateur d’un client NFS peut, par
exemple, pr&eacute;sumer qu’il a acc&egrave;s &agrave; un fichier, au vu des bits d’octroi de droits, et se
retrouver interdit d’acc&egrave;s car les ACL associ&eacute;es au fichier ont modifi&eacute; les droits. Les droits
sur un serveur &eacute;tant octroy&eacute;s selon l’ACL associ&eacute;e au serveur, un utilisateur sur une
machine cliente peut donc se voir notifier une erreur relative aux droits d’acc&egrave;s.
Lorsqu’un client tente un premier acc&egrave;s &agrave; un syst&egrave;me de fichiers mont&eacute; distant, il
commence par essayer de contacter le programme RPC ACL sur le serveur.
S’il s’agit d’un serveur version 3.2, le client consulte l’ACL associ&eacute;e au fichier avant
d’accorder le droit d’acc&egrave;s au programme sur le client. Le client r&eacute;agit alors comme il se doit
lorsque la demande est envoy&eacute;e vers le serveur. En outre, les commandes aclget, aclput
et alcedit sont disponibles sur le client pour manipuler les ACL.
Syst&egrave;me de fichiers cache (CacheFS)
Le syst&egrave;me de fichiers cache (CacheFS) est un m&eacute;canisme de cache qui am&eacute;liore les
performances et l’&eacute;volutivit&eacute; du serveur NFS en r&eacute;duisant la charge du r&eacute;seau et du
serveur. Con&ccedil;u comme un syst&egrave;me de fichiers en couches, CacheFS permet de cacher un
syst&egrave;me sur un autre. Dans un environnement NFS, CacheFS augmente le taux
client-par-serveur, r&eacute;duit la charge du serveur et du r&eacute;seau et am&eacute;liore les performances
des liaisons client lentes, telles que le protocole PPP (Point-to-Point Protocol).
Vous cr&eacute;ez un cache sur le client de sorte que l’acc&egrave;s aux syst&egrave;mes de fichiers d&eacute;finis pour
&ecirc;tre mont&eacute;s dans le cache s’effectue localement et non par le r&eacute;seau. Lorsqu’un utilisateur
demande pour la premi&egrave;re fois acc&egrave;s &agrave; ces fichiers, ils sont plac&eacute;s dans le cache. Le cache
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-3
reste vide tant qu’un utilisateur ne demande pas l’acc&egrave;s &agrave; un (ou plusieurs) fichier(s).
Les premi&egrave;res requ&ecirc;tes d’acc&egrave;s peuvent sembler lentes, mais les acc&egrave;s suivants au(x)
m&ecirc;me(s) fichier(s) sont plus rapides.
Remarques :
1. Vous ne pouvez pas cacher les syst&egrave;mes de fichier / (racine) et /usr.
2. Vous ne pouvez monter que des syst&egrave;mes de fichiers partag&eacute;s. (Reportez-vous &agrave; la
commande exportfs.)
3. Cacher un syst&egrave;me de fichiers disque JFS local (Journaled File System) n’apporte aucun
gain de performances.
4. Les t&acirc;ches du tableau suivant sont r&eacute;serv&eacute;es aux utilisateurs d&eacute;tenant les droits racine
ou syst&egrave;me.
T&acirc;ches CacheFS
6-4
T&acirc;che
Raccourci SMIT
Commande ou fichier
Web-based System
Manager Management
Environment
D&eacute;finir un
cache
cachefs_admin_create
cfsadmin –c
MountDirectoryName1
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
Nouveau syst&egrave;me de
fichiers cache.
Sp&eacute;cificatio
n des
fichiers &agrave;
monter
cachefs_mount
mount –F cachefs –o
backfstype=FileSysType,c
achedir=CacheDirectory[,o
ptions]
BackFileSystem
MountDirectoryName2
ou
edit /etc/filesystems
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Aper&ccedil;u et
t&acirc;ches ––&gt; Monter un
syst&egrave;me de fichiers.
Modification cachefs_admin_chang
du cache
e
supprime le cache, puis le
recr&eacute;e avec les options
ad&eacute;quates de la
commande mount
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Supprimer. Configure un
cache comme &agrave; la
premi&egrave;re rang&eacute;e de ce
tableau.
Affichage
cachefs_admin_chang
des
e
informations
du cache
cfsadmin –l
MountDirectoryName
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Propri&eacute;t&eacute;s.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Suppres–
sion d’un
cache
cachefs_admin_
remove
1.D&eacute;montage du syst&egrave;me de
fichiers
umount
MountDirectoryName
2.D&eacute;termination de l’ID du
cache :
cfsadmin –l
MountDirectoryName
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt;
Supprimer.
3.Suppression du syst&egrave;me
de fichiers
cfsadmin –d CacheID
CacheDirectory
V&eacute;rification cachefs_admin_check
de l’int&eacute;grit&eacute;
du syst&egrave;me
de fichiers
fsck_cachefsCache
Directory3
Logiciel ––&gt; Syst&egrave;mes de
fichiers ––&gt; Syst&egrave;mes de
fichiers cache ––&gt;
S&eacute;lectionn&eacute; ––&gt; V&eacute;rifier
l’int&eacute;grit&eacute; du cache.
Remarques :
1. Une fois le cache cr&eacute;&eacute;, n’ex&eacute;cutez aucune op&eacute;ration &agrave; l’int&eacute;rieur du r&eacute;pertoire cache
lui-m&ecirc;me (cachedir). Vous provoqueriez un conflit &agrave; l’int&eacute;rieur du logiciel CacheFS.
2. Si vous utilisez la commande mount pour sp&eacute;cifier les fichiers &agrave; monter, vous devez
relancer la commande chaque fois que le syst&egrave;me est r&eacute;amorc&eacute;.
3. Associez l’option –m ou –o &agrave; la commande fsck_cachefs pour v&eacute;rifier les syst&egrave;mes de
fichiers sans effectuer aucune r&eacute;paration.
Mappage de fichiers sous NFS
Le mappage de fichiers NFS donne aux programmes d’un client acc&egrave;s &agrave; un fichier comme
s’il se trouvait en m&eacute;moire. Via la sous–routine shmat, les utilisateurs peuvent mapper des
zones d’un fichier dans leur espace d’adressage : lorsqu’un programme lit ou &eacute;crit dans cet
espace m&eacute;moire, le fichier est copi&eacute; en m&eacute;moire &agrave; partir du serveur ou mis &agrave; jour sur le
serveur.
Le mappage de fichiers sous NFS est limit&eacute; :
• Le partage des informations entre clients est mal assur&eacute;.
• Les modifications apport&eacute;es &agrave; un fichier sur un client via un fichier mapp&eacute; ne sont pas
visibles sur un autre client.
• Verrouiller et d&eacute;verrouiller des r&eacute;gions d’un fichier est inefficace quant &agrave; la coordination
des donn&eacute;es entre clients.
Si un fichier NFS doit servir au partage de programmes de diff&eacute;rents clients, il convient de
verrouiller les enregistrements et d’ex&eacute;cuter les sous-routines standard read et write.
Plusieurs programmes sur un client peuvent partager des donn&eacute;es via un fichier mapp&eacute;.
Un verrouillage astucieux d’enregistrement peut coordonner les mises &agrave; jour sur le fichier
sur le client, sous r&eacute;serve que l’int&eacute;gralit&eacute; du fichier soit verrouill&eacute;. Plusieurs clients ne
peuvent partager des donn&eacute;es via des fichiers mapp&eacute;s que s’il s’agit de donn&eacute;es
immuables (base de donn&eacute;es statique, par exemple).
Types de montage
Il existe trois types de montage :
1. Pr&eacute;d&eacute;fini,
2. Explicite
3. Automatique.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-5
Les montages pr&eacute;d&eacute;finis sont sp&eacute;cifi&eacute;s dans le fichier /etc/filesystems. Chaque strophe
(entr&eacute;e) de ce fichier d&eacute;finit les caract&eacute;ristiques d’un montage : elle comprend des donn&eacute;es
telles que le nom de l’h&ocirc;te, le chemin d’acc&egrave;s &agrave; distance, le chemin d’acc&egrave;s local, etc.
Adoptez des montages pr&eacute;d&eacute;finis si l’exploitation d’un client requiert toujours le m&ecirc;me type
de montage.
Les montages explicites sont l’apanage de l’utilisateur racine. G&eacute;n&eacute;ralement limit&eacute;s &agrave; de
courtes p&eacute;riodes, ils permettent de r&eacute;pondre &agrave; un besoin occasionnel, non planifi&eacute;. Ils
permettent &eacute;galement d’effectuer un montage pour une t&acirc;che sp&eacute;ciale, lequel est
g&eacute;n&eacute;ralement inaccessible au client NFS. Ces montages sont g&eacute;n&eacute;ralement enti&egrave;rement
qualifi&eacute;s sur la ligne de commande via l’instruction mount assortie de toutes les
informations requises. Les montages explicites ne requi&egrave;rent pas la mise &agrave; jour du fichier
/etc/filesystems. Les syst&egrave;mes de fichiers explicitement mont&eacute;s le restent tant qu’ils ne
sont pas explicitement d&eacute;mont&eacute;s via la commande umount ou que le syst&egrave;me n’est pas
r&eacute;initialis&eacute;.
Les montages automatiques sont contr&ocirc;l&eacute;s par le d&eacute;mon automount ; l’extension de noyau
AutoFS surveille alors l’activit&eacute; des r&eacute;pertoires sp&eacute;cifi&eacute;s. Si un programme ou un utilisateur
tente d’acc&eacute;der &agrave; un r&eacute;pertoire non mont&eacute;, le d&eacute;mon AutoFS intercepte la demande, monte
le syst&egrave;me de fichiers, puis r&eacute;pond &agrave; la demande.
Processus de montage NFS
Pour acc&eacute;der aux fichiers du serveur, les clients commencent par monter les r&eacute;pertoires
export&eacute;s du serveur, sans effectuer une copie de ces r&eacute;pertoires. Le processus de montage
utilise en revanche une s&eacute;rie d’appels de proc&eacute;dure &agrave; distance pour donner &agrave; un client
acc&egrave;s aux r&eacute;pertoires du serveur de fa&ccedil;on transparente. Le processus de montage est le
suivant :
1. Lorsque le serveur d&eacute;marre, le script /etc/rc.nfs ex&eacute;cute la commande exportfs,
laquelle lit le fichier /etc/exports du serveur et informe le noyau des r&eacute;pertoires &agrave;
exporter et des restrictions d’acc&egrave;s qu’ils requi&egrave;rent.
2. Le d&eacute;mon rpc.mountd et plusieurs d&eacute;mons nfsd (8, par d&eacute;faut) sont ensuite lanc&eacute;s par
le script /etc/rc.nfs.
3. Lorsque le client d&eacute;marre, le script /etc/rc.nfs lance plusieurs d&eacute;mons biod (8, par
d&eacute;faut), qui acheminent les demandes de montage client vers le serveur concern&eacute;.
4. Le script /etc/rc.nfs ex&eacute;cute ensuite la commande mount, qui lit les syst&egrave;mes de
fichiers r&eacute;pertori&eacute;s dans le fichier /etc/filesystems.
5. mount rep&egrave;re le(s) serveur(s) exportant les informations demand&eacute;es par le client et
&eacute;tablit la communication avec ce(s) serveur(s). Ce processus est appel&eacute; liaison.
6. La commande mount demande ensuite qu’un ou plusieurs serveurs autorisent le client &agrave;
acc&eacute;der aux r&eacute;pertoires inscrits dans le fichier /etc/filesystems.
7. Le d&eacute;mon rpc.mountd du serveur re&ccedil;oit les demandes de montage client, et les
accorde ou les refuse. Si le r&eacute;pertoire demand&eacute; est accessible, rpc.mountd envoie au
noyau du client un identificateur appel&eacute; descripteur de fichier.
8. Le noyau client attache ce descripteur au point de montage (r&eacute;pertoire) en enregistrant
des informations dans un enregistrement de montage.
Une fois le syst&egrave;me de fichiers mont&eacute;, le client peut travailler sur les fichiers. Lorsque le
client ex&eacute;cute une op&eacute;ration sur un fichier, le d&eacute;mon biod envoie le descripteur du fichier au
serveur, o&ugrave; le fichier est lu par l’un des d&eacute;mons nfsd pour traiter la demande. Si le client est
autoris&eacute; &agrave; ex&eacute;cuter l’op&eacute;ration demand&eacute;e, le d&eacute;mon nfsd renvoie ensuite les informations
requises au d&eacute;mon biod du client.
6-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Fichier /etc/exports
Le fichier /etc/exports recense tous les r&eacute;pertoires export&eacute;s par un serveur &agrave; ses clients.
Chaque ligne sp&eacute;cifie un seul r&eacute;pertoire. Le serveur exporte automatiquement les
r&eacute;pertoires de la liste &agrave; chaque lancement du serveur NFS. Ces r&eacute;pertoires export&eacute;s
peuvent ensuite &ecirc;tre mont&eacute;s par les clients. La syntaxe d’une ligne du fichier /etc/exports
est la suivante :
directory
–options[,option]
directory est le chemin d’acc&egrave;s complet au r&eacute;pertoire. Options d&eacute;signe soit un indicateur
simple, tel que ro, soit une liste de noms h&ocirc;te. Reportez-vous &agrave; la documentation du fichier
/etc/exports et de la commande exportfs pour la liste compl&egrave;te des options et leur
description. Le script /etc/rc.nfs ne lance pas les d&eacute;mons nfsd ou le d&eacute;mon rpc.mountd si
le fichier /etc/exports n’existe pas.
Exemple d’entr&eacute;es d’un fichier /etc/exports :
/usr/games
/home
/var/tmp
/usr/lib
–ro,access=ballet:jazz:tap
–root=ballet,access=ballet
–access=clients
La premi&egrave;re entr&eacute;e indique que le r&eacute;pertoire /usr/games peut &ecirc;tre mont&eacute; par les
syst&egrave;mes ballet, jazz et tap. Ces syst&egrave;mes sont habilit&eacute;s &agrave; lire des donn&eacute;es et &agrave;
ex&eacute;cuter des programmes du r&eacute;pertoire, mais ne peuvent y &eacute;crire.
La deuxi&egrave;me entr&eacute;e sp&eacute;cifie que le r&eacute;pertoire /home peut &ecirc;tre mont&eacute; par le syst&egrave;me
ballet et que l’acc&egrave;s racine y est autoris&eacute;.
La troisi&egrave;me entr&eacute;e sp&eacute;cifie que n’importe quel client peut monter le r&eacute;pertoire /var/tmp.
(Notez l’absence de liste d’acc&egrave;s.)
La quatri&egrave;me entr&eacute;e sp&eacute;cifie une liste d’acc&egrave;s d&eacute;sign&eacute;e par le groupe r&eacute;seau clients. En
d’autres termes, ces machines d&eacute;sign&eacute;es comme appartenant au groupe r&eacute;seau clients
peuvent monter le r&eacute;pertoire /usr/lib &agrave; partir de ce serveur. (Un groupe r&eacute;seau est
groupe &agrave; l’&eacute;chelle du r&eacute;seau, ayant acc&egrave;s &agrave; certains ressources du r&eacute;seau &agrave; des fins de
s&eacute;curit&eacute; ou d’organisation. Les Netgroups sont contr&ocirc;l&eacute;s &agrave; l’aide du NIS ou du NIS+. Pour
plus d’informations, reportez–vous au AIX 5L Version 5.2 NIS/NIS+ (Network Information
Services) Guide.
Fichier /etc/xtab
Le format du fichier /etc/xtab est identique &agrave; celui du fichier /etc/exports. Ce fichier donne
la liste des r&eacute;pertoires export&eacute;s. A chaque ex&eacute;cution de la commande exportfs, le fichier
/etc/xtab est modifi&eacute; : vous pouvez ainsi exportez temporairement un r&eacute;pertoire sans avoir
&agrave; modifier le fichier /etc/exports. Si vous annulez l’exportation du r&eacute;pertoire, il est retir&eacute; du
fichier /etc/xtab.
Remarque :
Le fichier /etc/xtab, dont la mise &agrave; jour est automatique, ne doit pas &ecirc;tre
&eacute;dit&eacute;.
Impl&eacute;mentation de NFS
NFS peut &ecirc;tre impl&eacute;ment&eacute; sur nombre de types de machines, de syst&egrave;mes d’exploitation et
d’architectures r&eacute;seau. Cette autonomie lui est conf&eacute;r&eacute;e par le protocole RPC
(Remote Procedure Call).
Protocole RPC (Remote Procedure Call)
RPC est une biblioth&egrave;que de proc&eacute;dures. Ces proc&eacute;dures permettent &agrave; un processus
(client) de commander &agrave; un autre (processus serveur) l’ex&eacute;cution d’appels de proc&eacute;dures,
comme s’il les ex&eacute;cutait dans son propre espace d’adressage. Les processus client et
serveur &eacute;tant distincts, ils n’ont pas besoin de r&eacute;sider sur le m&ecirc;me syst&egrave;me (bien qu’ils le
puissent).
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-7
NFS est impl&eacute;ment&eacute; comme un ensemble d’appels RPC, le serveur prenant en charge
certains types d’appels client. Le client lance ces appels sur la base des op&eacute;rations sur
syst&egrave;mes de fichiers effectu&eacute;es par le processus client. En ce sens, NFS est une
application RPC.
Les processus serveur et client pouvant r&eacute;sider sur des syst&egrave;mes d’architectures
compl&egrave;tement diff&eacute;rentes, RPC doit prendre en compte le fait que les donn&eacute;es ne sont
peut-&ecirc;tre pas repr&eacute;sent&eacute;es de la m&ecirc;me mani&egrave;re des deux c&ocirc;t&eacute;s. D’o&ugrave; son adoption du
protocole de repr&eacute;sentation XDR (eXternal Data Representation).
Protocole XDR (eXternal Data Representation)
XDR est une sp&eacute;cification assurant une repr&eacute;sentation standard de diff&eacute;rents types de
donn&eacute;es. Un programme utilisant cette norme ne risque pas de mal interpr&eacute;ter des
donn&eacute;es, m&ecirc;me provenant d’un syst&egrave;me dot&eacute; d’une architecture totalement diff&eacute;rente.
Dans la pratique, la plupart des programmes n’utilisent pas XDR en interne. Ils adoptent
plut&ocirc;t la repr&eacute;sentation propre &agrave; l’architecture du syst&egrave;me concern&eacute;. Lorsque le programme
doit communiquer avec un autre, il convertit ses donn&eacute;es au format XDR avant de les
envoyer. De m&ecirc;me, lorsqu’il re&ccedil;oit des donn&eacute;es, il les convertit du format XDR dans sa
propre repr&eacute;sentation de donn&eacute;es.
D&eacute;mon portmap
Chaque application RPC est associ&eacute;e avec un num&eacute;ro de programme et un num&eacute;ro de
version. Ces num&eacute;ros servent &agrave; communiquer avec une application serveur sur un
syst&egrave;me. Le client, effectuant une demande &agrave; partir d’un serveur, doit conna&icirc;tre le num&eacute;ro
du port sur lequel le serveur re&ccedil;oit les demandes. Ce num&eacute;ro de port est associ&eacute; au
protocole UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) utilis&eacute; par
le service. Le client conna&icirc;t le num&eacute;ro du programme, le num&eacute;ro de version et le nom du
syst&egrave;me (ou celui de l’h&ocirc;te sur lequel r&eacute;side le service). Le client doit pouvoir faire
correspondre la paire num&eacute;ro de programme/num&eacute;ro de version au num&eacute;ro de port de
l’application serveur. Cette op&eacute;ration est effectu&eacute;e &agrave; l’aide du d&eacute;mon portmap.
Le d&eacute;mon portmap est ex&eacute;cut&eacute; sur le m&ecirc;me syst&egrave;me que l’application NFS. Lorsque le
serveur la lance, il l’enregistre avec portmap. Par le biais de cet enregistrement, il fournit
son num&eacute;ro de programme, son num&eacute;ro de version et son num&eacute;ro de port UDP ou TCP.
Le d&eacute;mon portmap maintient une table des applications serveur. Lorsque le client &eacute;met une
demande vis-&agrave;-vis du serveur, il contacte d’abord le d&eacute;mon portmap (sur un port identifi&eacute;)
pour conna&icirc;tre le port utilis&eacute; par le serveur. Le d&eacute;mon portmap r&eacute;pond au client en lui
indiquant le port en question. Le client est alors &agrave; m&ecirc;me d’&eacute;mettre ses demandes
directement &agrave; l’application serveur.
Contr&ocirc;le de NFS
Les d&eacute;mons NFS, NIS et NIS+ sont surveill&eacute;s par le contr&ocirc;leur SRC (System Resource
Controller). Cela signifie que vous devez utiliser les commandes telles que startsrc,
stopsrc et lssrc pour lancer, arr&ecirc;ter et v&eacute;rifier l’&eacute;tat des d&eacute;mons NFS, NIS et NIS+.
Certains d&eacute;mons NFS ne sont pas contr&ocirc;l&eacute;s par SRC, &agrave; savoir : rpc.rexd, rpc.rusersd,
rpc.rwalld et rpc.rsprayd. Ils sont lanc&eacute;s et arr&ecirc;t&eacute;s par le d&eacute;mon inetd.
Le tableau suivant r&eacute;pertorie les d&eacute;mons et sous-syst&egrave;mes contr&ocirc;l&eacute;s par SRC.
D&eacute;mons et sous-syst&egrave;mes associ&eacute;s
6-8
Chemin d’acc&egrave;s au fichier
Sous-syst&egrave;me
Groupe
/usr/sbin/nfsd
nfsd
nfs
/usr/sbin/biod
biod
nfs
/usr/sbin/rpc.lockd
rpc.lockd
nfs
/usr/sbin/rpc.statd
rpc.statd
nfs
/usr/sbin/rpc.mountd
rpc.mountd
nfs
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
/usr/lib/netsvc/yp/ypserv
ypserv
yp
/usr/lib/netsvc/yp/ypbind
ypbind
yp
/usr/lib/netsvc/rpc.yppasswdd
yppasswdd
yp
/usr/lib/netsvc/rpc.ypupdated
ypupdated
yp
/usr/sbin/keyserv
keyserv
keyserv
/usr/sbin/portmap
portmap
portmap
Les d&eacute;mons NIS+ sont trait&eacute;s dans AIX 5L Version 5.2 NIS/NIS+ (Network Information
Services) Guide. Chacun de ces d&eacute;mons peut &ecirc;tre d&eacute;fini dans les commandes SRC &agrave; l’aide
de leur nom de sous–syst&egrave;me ou de leur nom de groupe appropri&eacute;. Aucun de ces d&eacute;mons
ne prend en charge la liste des fonctions, ni les commandes de suivi SRC.
Pour en savoir plus, reportez-vous &agrave; ”Contr&ocirc;leur SRC” dans AIX 5L Version 5.2 System
Management Concepts: Operating System and Devices .
Modification du nombre de d&eacute;mons biod et nfsd
Pour modifier le nombre de d&eacute;mons biod ou nfsd actifs, lancez la commande chnfs. Ainsi,
pour limiter &agrave; 10 le nombre de d&eacute;mons nfsd, et &agrave; 4 le nombre de d&eacute;mons biod, entrez :
chnfs –n 10 –b 4
Cette commande arr&ecirc;te temporairement les d&eacute;mons actifs, modifie le code de la base de
donn&eacute;es SRC et relance les d&eacute;mons.
Remarque :
Dans l’impl&eacute;mentation NFS, le nombre de d&eacute;mons biod n’est contr&ocirc;lable
que par point de montage via l’option biod –o. La sp&eacute;cification qui utilise
chnfs n’est maintenue que pour des raisons de compatibilit&eacute; et n’a pas
d’effet sur le nombre r&eacute;el de routine ex&eacute;cutant les E/S.
Modification des arguments des d&eacute;mons contr&ocirc;l&eacute;s par SRC
Nombre de d&eacute;mons NFS, NIS et NIS+ peuvent &ecirc;tre assortis d’arguments, sur la ligne de
commande, sp&eacute;cifi&eacute;s une fois le d&eacute;mon activ&eacute;. Ces d&eacute;mons n’&eacute;tant pas eux-m&ecirc;mes activ&eacute;s
directement via la ligne de commande, vous devez mettre &agrave; jour la base de donn&eacute;es SRC
pour que les d&eacute;mons puissent &ecirc;tre correctement activ&eacute;s. Pour ce faire, lancez la
commande chssys. La commande chssys a le format :
chssys –s Daemon –a ’NewParameter’
Par exemple :
chssys –s nfsd –a ’10’
modifie le sous-syst&egrave;me nfsd de sorte que, &agrave; l’activation du d&eacute;mon, la ligne de commande
soit semblable &agrave; nfsd 10. La modification induite par la commande chssys ne prend effet
qu’une fois le sous-syst&egrave;me arr&ecirc;t&eacute; puis relanc&eacute;.
Lancement des d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me
Par d&eacute;faut, les d&eacute;mons NFS ne sont pas activ&eacute;s au cours de l’installation. Celle-ci achev&eacute;e,
tous les fichiers sont plac&eacute;s sur le syst&egrave;me, mais les &eacute;tapes d’activation de NFS ne sont
pas effectu&eacute;es. Vous pouvez lancer les d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me via :
• The Web-based System Manager, wsm
• Le raccourci SMIT, smit mknfs
• La commande mknfs.
Quelle que soit la m&eacute;thode choisie, une entr&eacute;e est int&eacute;gr&eacute;e au fichier inittab de fa&ccedil;on que
le script /etc/rc.nfs soit ex&eacute;cut&eacute; &agrave; chaque red&eacute;marrage du syst&egrave;me. A son tour, ce script
lance tous les d&eacute;mons requis par un syst&egrave;me donn&eacute;.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-9
Lancement des d&eacute;mons NFS
La taille maximale des fichiers situ&eacute;s sur un serveur NFS est d&eacute;finie par l’environnement du
processus au d&eacute;marrage de nfsd. Pour modifier cette valeur, &eacute;ditez le fichier /etc/rc.nfs et
ins&eacute;rez-y une commande ulimit, indiquant la nouvelle limite, avant la commande startsrc
relative &agrave; nfsd.
Les d&eacute;mons NFS peuvent &ecirc;tre lanc&eacute;s individuellement ou tous &agrave; la fois. Pour les lancer
individuellement :
startsrc –s Daemon
Daemon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour lancer les d&eacute;mons nfsd :
startsrc –s nfsd
Pour les lancer tous simultan&eacute;ment :
startsrc –g nfs
Remarque :
Si le fichier /etc/exports n’existe pas, les d&eacute;mons nfsd et rpc.mountd ne
sont pas lanc&eacute;s. Vous pouvez cr&eacute;er un fichier /etc/exports vide via la
commande touch /etc/exports : les d&eacute;mons nfsd et rpc.mountd seront
lanc&eacute;s, mais aucun syst&egrave;me de fichiers ne sera export&eacute;.
Arr&ecirc;t des d&eacute;mons NFS
Les d&eacute;mons NFS peuvent &ecirc;tre arr&ecirc;t&eacute;s individuellement ou tous &agrave; la fois. Pour les arr&ecirc;ter
individuellement :
stopsrc –s Daemon
Daemon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour arr&ecirc;ter rpc.lockd :
stopsrc –s rpc.lockd
Pour les arr&ecirc;ter tous simultan&eacute;ment :
stopsrc –g nfs
Etat des d&eacute;mons NFS
Vous pouvez afficher l’&eacute;tat de d&eacute;mons NFS sp&eacute;cifiques ou de tous les d&eacute;mons &agrave; la fois.
Pour afficher l’&eacute;tat d’un d&eacute;mon, entrez :
lssrc –s Daemon
Daemon &eacute;tant l’un des d&eacute;mons contr&ocirc;l&eacute;s par SRC. Ainsi, pour obtenir l’&eacute;tat de rpc.lockd :
lssrc –s rpc.lockd
Pour afficher simultan&eacute;ment l’&eacute;tat des tous les d&eacute;mons :
lssrc –a
6-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Installation et configuration de NFS
Pour en savoir plus sur l’installation de NFS (Network File System), reportez-vous &agrave; AIX 5L
Version 5.2 Installation Guide.
Etapes de configuration de NFS
Une fois le logiciel NFS install&eacute; sur vos syst&egrave;mes, il faut le configurer.
1. D&eacute;terminez les syst&egrave;mes du r&eacute;seau qui seront serveurs, et ceux qui seront clients
(un syst&egrave;me peut &ecirc;tre &agrave; la fois serveur et client).
2. Pour chaque syst&egrave;me (client ou serveur), suivez les instructions indiqu&eacute;es &agrave; ”Lancement
des d&eacute;mons NFS au d&eacute;marrage du syst&egrave;me”.
3. Pour chaque serveur NFS, suivez les instructions indiqu&eacute;es &agrave; ”Configuration d’un
serveur NFS”.
4. Pour chaque client NFS, suivez les instructions indiqu&eacute;es &agrave; ”Configuration d’un
client NFS”.
5. Si vous souhaitez donner aux PC du r&eacute;seau acc&egrave;s aux serveurs NFS (outre leur
capacit&eacute; &agrave; monter des syst&egrave;mes de fichiers), configurez PC-NFS comme indiqu&eacute; &agrave;
”PC-NFS”.
Configuration d’un serveur NFS
Proc&eacute;dez comme suit :
1. Lancez NFS comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons NFS &agrave; l’aide de SRC”,
page 6-10.
2. Cr&eacute;ez le fichier /etc/exports.
Configuration d’un client NFS
1. V&eacute;rifiez que NFS est le syst&egrave;me de fichiers distant par d&eacute;faut. (Sinon, il vous faudra
assortir la commande mount de l’indicateur –v nfs.) A l’aide d’un &eacute;diteur de votre choix,
ouvrez le fichier /etc/vfs et recherchez les entr&eacute;es suivantes :
#%defaultvfs jfs nfs
#nfs 2 /sbin/helpers/nfsmnthelp none remote
Si des signes di&egrave;se (#) apparaissent en t&ecirc;te de ligne, effacez-les.
2. Lancez NFS comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons NFS”.
3. D&eacute;finissez le point de montage local via la commande mkdir. La r&eacute;ussite d’un montage
NFS suppose la pr&eacute;sence d’un r&eacute;pertoire servant de point de montage. Ce r&eacute;pertoire
doit &ecirc;tre vide. La cr&eacute;ation de ce point de montage ne diff&egrave;re en rien de celle de n’importe
quel r&eacute;pertoire, et aucun attribut particulier ne doit &ecirc;tre sp&eacute;cifi&eacute;.
Remarque :
Les points de montage doivent exister pr&eacute;alablement &agrave; tout montage &agrave; une
exception pr&egrave;s : si vous utilisez le d&eacute;mon automount, il n’est parfois pas
n&eacute;cessaire de cr&eacute;er des points de montage. Reportez-vous &agrave; la
documentation automount.
4. Etablissez les montages pr&eacute;d&eacute;finis comme indiqu&eacute; &agrave; ”Etablissement de montages NFS
pr&eacute;d&eacute;finis”.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-11
Exportation d’un syst&egrave;me de fichiers NFS
Vous pouvez exporter un syst&egrave;me de fichiers NFS via l’application Web-based System
Manager Network, ou en utilisant l’une des proc&eacute;dures suivantes.
• Via SMIT :
1. V&eacute;rifiez que NFS est actif en lan&ccedil;ant la commande lssrc –g nfs. La sortie doit
indiquer que les d&eacute;mons nfsd et rpc.mountd sont actifs. Dans la n&eacute;gative, lancez NFS
comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons NFS”, page 6-10.
2. Utilisez
smit mknfsexp
3. Renseignez les zones Chemin d’acc&egrave;s du r&eacute;pertoire &agrave; exporter, Mode d’acc&egrave;s au
r&eacute;pertoire export&eacute; et Export r&eacute;pert maintenant, init-syst. ou les deux.
4. Modifiez les autres caract&eacute;ristiques ou acceptez les valeurs par d&eacute;faut.
5. Vos changements termin&eacute;s, SMIT met &agrave; jour le fichier /etc/exports. Si le fichier
/etc/exports n’existe pas, il est cr&eacute;&eacute;.
6. R&eacute;p&eacute;tez les &eacute;tapes 3 &agrave; 5 pour chaque r&eacute;pertoire &agrave; exporter.
• Pour exporter un syst&egrave;me de fichiers NFS via un &eacute;diteur :
1. Ouvrez le fichier /etc/exports sous votre &eacute;diteur favori.
2. Cr&eacute;ez une entr&eacute;e pour chaque r&eacute;pertoire &agrave; exporter, en indiquant le chemin d’acc&egrave;s
complet du r&eacute;pertoire. R&eacute;pertoriez tous les r&eacute;pertoires &agrave; exporter en commen&ccedil;ant &agrave; la
marge gauche. Ne sp&eacute;cifiez pas de r&eacute;pertoire qui en contient un autre d&eacute;j&agrave; export&eacute;.
Pour en savoir plus sur la syntaxe des entr&eacute;es dans le fichier /etc/exports,
reportez-vous &agrave; la documentation du fichier /etc/exports.
3. Sauvegardez et fermez le fichier /etc/exports.
4. Si NFS est actif, entrez :
/usr/sbin/exportfs –a
L’indicateur –a indique &agrave; la commande exportfs d’envoyer au noyau toutes les
informations du fichier /etc/exports. Si NFS n’est pas actif, lancez-le comme indiqu&eacute; &agrave;
”Lancement des d&eacute;mons NFS”, page 6-10.
• Pour exporter temporairement un syst&egrave;me de fichiers NFS (c’est-&agrave;-dire sans modifier le
fichier /etc/exports), entrez :
exportfs –i /dirname
dirname &eacute;tant le nom du syst&egrave;me de fichiers &agrave; exporter. La commande exportfs –i
sp&eacute;cifie de ne pas rechercher le r&eacute;pertoire dans le fichier /etc/exports, et que toutes les
options sont directement issues de la ligne de commande.
Annulation de l’exportation d’un syst&egrave;me de fichiers NFS
Vous pouvez annuler l’exportation d’un syst&egrave;me de fichiers NFS via l’application Web-based
System Manager Network, ou en utilisant l’une des proc&eacute;dures suivantes.
• Via SMIT :
1. Entrez :
smit rmnfsexp
2. Entrez le chemin d’acc&egrave;s dans la zone Chemin d’acc&egrave;s du r&eacute;pertoire export&eacute; devant
&ecirc;tre retir&eacute;.
Le r&eacute;pertoire est supprim&eacute; du fichier /etc/exports et son exportation annul&eacute;e.
• Pour annuler l’exportation d’un fichier via un &eacute;diteur :
6-12
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
1. Ouvrez le fichier /etc/exports sous votre &eacute;diteur favori.
2. Rep&eacute;rez l’entr&eacute;e correspondant au r&eacute;pertoire concern&eacute; et effacez la ligne.
3. Sauvegardez et fermez le fichier /etc/exports.
4. Si NFS est actif, entrez :
exportfs –u dirname
dirname &eacute;tant le chemin d’acc&egrave;s complet au r&eacute;pertoire que vous venez de supprimer
du fichier /etc/exports.
Modification d’un syst&egrave;me de fichiers export&eacute;
Vous pouvez exporter un syst&egrave;me de fichiers NFS via l’application Web-based System
Manager Network, ou en utilisant l’une des proc&eacute;dures suivantes.
• Via SMIT :
1. Annulez l’exportation du syst&egrave;me de fichiers, Entrez :
exportfs –u /dirname
dirname &eacute;tant le nom du syst&egrave;me de fichiers &agrave; modifier.
2. Entrez :
smit chnfsexp
3. Entrez le chemin d’acc&egrave;s appropri&eacute; dans la zone Chemin d’acc&egrave;s r&eacute;pert export&eacute;.
4. Effectuez les modifications souhait&eacute;es.
5. Quittez SMIT.
6. R&eacute;exportez le syst&egrave;me de fichiers :
exportfs /dirname
dirname &eacute;tant le nom du syst&egrave;me de fichiers que vous venez de modifier.
• Pour modifier un syst&egrave;me de fichiers via un &eacute;diteur, Entrez :
1. Annulez l’exportation du syst&egrave;me de fichiers :
exportfs –u /dirname
dirname &eacute;tant le nom du syst&egrave;me de fichiers &agrave; modifier.
2. Ouvrez le fichier /etc/exports sous votre &eacute;diteur favori.
3. Effectuez les modifications souhait&eacute;es.
4. Sauvegardez et fermez le fichier /etc/exports.
5. R&eacute;exportez le syst&egrave;me de fichiers :
exportfs /dirname
dirname &eacute;tant le nom du syst&egrave;me de fichiers que vous venez de modifier.
Activation de l’acc&egrave;s racine &agrave; un syst&egrave;me de fichiers export&eacute;
Lorsque vous exportez un syst&egrave;me de fichiers, vous pouvez accorder &agrave; l’utilisateur racine
les droits d’acc&egrave;s racine &agrave; ce syst&egrave;me, sur une machine donn&eacute;e. Par d&eacute;faut, ces droits ne
sont pas accord&eacute;s. Lorsqu’une personne, connect&eacute;e en tant qu’utilisateur racine sur un
h&ocirc;te, demande l’acc&egrave;s &agrave; un fichier NFS, son ID utilisateur est compar&eacute; (par NFS) &agrave; l’ID de
l’utilisateur nobody (nobody &eacute;tant l’un des noms d’utilisateur inscrits dans le fichier
/etc/password). Les droits d’acc&egrave;s de l’utilisateur nobody sont les m&ecirc;mes que les droits
publics (autres) affect&eacute;s &agrave; un fichier donn&eacute;. Par exemple, si autres n’a que le droit
d’ex&eacute;cution sur un fichier, nobody ne peut qu’ex&eacute;cuter ce fichier.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-13
Pour activer les droits racine sur un syst&egrave;me de fichiers export&eacute;, suivez les instructions
indiqu&eacute;es dans Modification d’un syst&egrave;me de fichiers export&eacute;. Si vous passez par SMIT ou
par Web-based System Manager, indiquez dans la zone H&ocirc;tes ayant un acc&egrave;s racine, le
nom de l’h&ocirc;te pour lequel vous souhaitez accorder les droits racine. Si vous faites appel &agrave;
un &eacute;diteur, ajoutez le qualificateur –root=hostname &agrave; l’entr&eacute;e correspondant au syst&egrave;me
de fichiers. Par exemple :
/usr/tps –root=hermes
sp&eacute;cifie que l’utilisateur racine sur l’h&ocirc;te hermes d&eacute;tient des droits d’acc&egrave;s racine au
r&eacute;pertoire /usr/tps.
Montage explicite d’un syst&egrave;me de fichiers NFS
Pour monter explicitement un r&eacute;pertoire NFS, utilisez le raccourci Web-based System
Manager wsm ou la proc&eacute;dure suivante.
1. V&eacute;rifiez que le serveur NFS a export&eacute; le r&eacute;pertoire :
showmount –e ServerName
ServerName &eacute;tant le nom du serveur NFS. Cette commande affiche le nom des
r&eacute;pertoires export&eacute;s du serveur NFS. Si le r&eacute;pertoire &agrave; monter ne s’y trouve pas,
exportez-le.
2. D&eacute;finissez le point de montage local via la commande mkdir. La r&eacute;ussite d’un montage
NFS suppose la pr&eacute;sence d’un r&eacute;pertoire servant de point de montage. Ce r&eacute;pertoire
doit &ecirc;tre vide. La cr&eacute;ation de ce point de montage ne diff&egrave;re en rien de celle de n’importe
quel r&eacute;pertoire, et aucun attribut particulier ne doit &ecirc;tre sp&eacute;cifi&eacute;.
3. Entrez :
mount ServerName:/remote/directory /local/directory
ServerName &eacute;tant le nom du serveur NFS, /remote/directory, le r&eacute;pertoire du
serveur NFS que vous souhaitez monter et /local/directory le point de montage
sur le client NFS.
4. Sur la machine cliente, entrez :
smit mknfsmnt
5. Modifiez les champs suivants en fonction de la configuration de votre r&eacute;seau. Vous
n’aurez peut-&ecirc;tre pas &agrave; renseigner tous les champs de cet &eacute;cran.
Remarque :
Si vous utilisez l’interface SMIT, appuyez sur la touche de tabulation
pour modifier la valeur d’un champ, mais n’appuyez pas sur Entr&eacute;e
avant d’avoir termin&eacute; l’&eacute;tape 7.
– Chemin d’acc&egrave;s point de montage.
– Chemin d’acc&egrave;s du r&eacute;pertoire distant.
– H&ocirc;te sur lequel r&eacute;side le r&eacute;pertoire distant.
– MONTAGE imm&eacute;diat, ajout /etc/filesystems ou les 2 ?
– L’entr&eacute;e /etc/filesystems entra&icirc;ne le montage du r&eacute;pertoire lors de l’init-syst&egrave;me.
– Mode d’acc&egrave;s &agrave; ce syst&egrave;me de fichiers NFS.
6. Conservez les valeurs par d&eacute;faut ou modifiez-les en fonction de votre configuration NFS.
7. Une fois modifi&eacute;s les champs requis, SMIT monte le syst&egrave;me de fichiers NFS.
8. Lorsque le champ Commande : affiche l’&eacute;tat OK, quittez SMIT.
Le syst&egrave;me de fichiers NFS est pr&ecirc;t.
6-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Montage automatique d’un syst&egrave;me de fichiers &agrave; l’aide de AutoFS
AutoFS fait appel &agrave; la commande automount pour communiquer les informations de
configuration pour le montage automatique &agrave; l’extension de noyau AutoFS et lance le
d&eacute;mon automountd. L’extension est alors en mesure de monter automatiquement et de
mani&egrave;re transparente le syst&egrave;me de fichiers d&egrave;s qu’un fichier ou un r&eacute;pertoire de ce
syst&egrave;me de fichiers est ouvert. L’extension informe le d&eacute;mon autmountd des requ&ecirc;tes de
montage et de d&eacute;montage, et c’est le autmountd qui ex&eacute;cute v&eacute;ritablement le service
demand&eacute;.
La liaison nom-emplacement &eacute;tant dynamique dans le d&eacute;mon automount, les mises &agrave; jour
d’une mappe utilis&eacute;e par le d&eacute;mon automount sont transparentes pour l’utilisateur. De ce
fait, il est inutile de pr&eacute;monter les syst&egrave;mes de fichiers partag&eacute;s pour les applications
dot&eacute;es de r&eacute;f&eacute;rences aux fichiers et aux r&eacute;pertoires cod&eacute;es mat&eacute;riellement. Il est &eacute;galement
inutile de maintenir des enregistrements indiquant quels h&ocirc;tes doivent &ecirc;tre mont&eacute;s pour
quelles applications.
AutoFS permet de monter les syst&egrave;mes de fichiers &agrave; la demande. Ainsi, ceux mont&eacute;s avec
NFS n’ont pas besoin de l’&ecirc;tre en permanence.
Pour monter automatiquement un r&eacute;pertoire NFS :
1. V&eacute;rifiez que le serveur NFS a export&eacute; le r&eacute;pertoire :
showmount –e ServerName
ServerName &eacute;tant le nom du serveur NFS. Cette commande affiche le nom des
r&eacute;pertoires export&eacute;s du serveur NFS.
2. Cr&eacute;ation d’un fichier de mappe AutoFS. AutoFS monte et d&eacute;monte les r&eacute;pertoires
indiqu&eacute;s dans ce fichier de mappe. Supposons par exemple, que vous souhaitez utiliser
AutoFS pour monter les r&eacute;pertoires /usr/local/dir1 et /usr/local/dir2,
comme demand&eacute; par le serveur serve1, sur les r&eacute;pertoires /usr/remote/dir1 et
/usr/remote/dir2 respectivement. Le nom du fichier de mappe est ici
/tmp/mount.map.
dir1
dir2
–rw
–rw
serve1:/usr/local/dir1
serve1:/usr/local/dir2
3. V&eacute;rifiez que l’extension de noyau AutoFS est charg&eacute;e et que le d&eacute;mon automountd est
en cours d’ex&eacute;cution. Vous disposez pour ce faire de deux m&eacute;thodes :
a. Via SRC : Lancez lssrc –s automountd. Si le sous–syst&egrave;me automountd ne
fonctionne pas, lancez startsrc –s automountd.
b. Via la commande automount : Lancez /usr/bin/automount –v.
D&eacute;finissez le fichier de mappe &agrave; l’aide de l’interface de ligne de commande, en tapant :
/usr/sbin.automount
/usr/remote
/tmp/mount.map
/usr/remote &eacute;tant le point de montage AutoFS sur le client. D&egrave;s lors, si un utilisateur
ex&eacute;cute la commande cd /usr/remote/dir1, l’extension de noyau AutoFS va intercepter
l’acc&egrave;s &agrave; ce r&eacute;pertoire et lancer un appel de proc&eacute;dure distante vers le d&eacute;mon
automountd, qui montera le r&eacute;pertoire/usr/remote/dir1 et permettra l’ex&eacute;cution de
la commande cd.
/usr/sbin/automount /usr/remote /tmp/mount.map
/usr/remote &eacute;tant le point de montage sur le client NFS. Si un utilisateur lance alors la
commande cd /usr/remote/dir1, le d&eacute;mon automount monte le r&eacute;pertoire
/usr/remote/dir1, permettant l’aboutissement de la commande cd.
4. Pour arr&ecirc;ter le d&eacute;mon automount, ex&eacute;cutez la commande stopsrc -s automountd.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-15
Si, pour une raison quelconque, le d&eacute;mon automountd a &eacute;t&eacute; lanc&eacute; sans passer par
SRC :
kill automountd_PID
automountd_PID &eacute;tant l’ID de processus du d&eacute;mon automountd. (Entrez ps –e pour
afficher l’ID de processus du d&eacute;mon automountd.) La commande kill envoie un signal
SIGTERM au d&eacute;mon automountd.
Etablissement de montages NFS pr&eacute;d&eacute;finis
Vous pouvez d&eacute;finir des montages NFS pr&eacute;d&eacute;finis via l’application Web-based System
Manager Network, ou en utilisant l’une des proc&eacute;dures suivantes.
Attention :
Sp&eacute;cifiez les options bg (background) et intr (interruptible) dans le fichier
/etc/filesystems lorsque vous &eacute;tablissez un montage pr&eacute;d&eacute;fini &agrave; effectuer
lors du d&eacute;marrage du syst&egrave;me. Les montages non interruptibles ex&eacute;cut&eacute;s &agrave;
l’avant-plan peuvent d&eacute;connecter le client pour peu que le r&eacute;seau ou le
serveur soit hors fonction au d&eacute;marrage du syst&egrave;me client. Si un client ne
peut acc&eacute;der au r&eacute;seau ou &agrave; un serveur, l’utilisateur doit relancer la
machine en mode maintenance et modifier en cons&eacute;quence les demandes
de montage.
• Pour &eacute;tablir des montages NFS pr&eacute;d&eacute;finis via SMIT :
1. Entrez :
smit mknfsmnt
2. Renseignez les champs de cet &eacute;cran pour chaque montage que vous souhaitez
pr&eacute;d&eacute;finir. Vous devez renseigner les champs obligatoires (signal&eacute;s par un ast&eacute;risque
(*) dans la marge gauche). Pour les autres champs, sp&eacute;cifiez des valeurs ou
conservez les valeurs par d&eacute;faut. Une entr&eacute;e correspondante est cr&eacute;&eacute;e dans le
fichier /etc/filesystems, puis le montage est tent&eacute;.
• Pour &eacute;tablir des montages NFS pr&eacute;d&eacute;finis en &eacute;ditant le fichier /etc/filesystems :
1. Ouvrez le fichier /etc/filesystems sous votre &eacute;diteur favori.
2. Ins&eacute;rez-y une entr&eacute;e pour chaque syst&egrave;me de fichiers distant que vous souhaitez
monter au d&eacute;marrage du syst&egrave;me. Par exemple :
/home/jdoe :
dev = /home/jdoe
mount = false
vfs = nfs
nodename = mach2
options = ro,soft
type = nfs_mount
Cette strophe commande au syst&egrave;me de monter le r&eacute;pertoire distant /home/jdoe sur le
point de montage local de m&ecirc;me nom. Le syst&egrave;me de fichiers est mont&eacute; en mode
lecture seule (ro). Etant &eacute;galement mont&eacute; comme soft, une erreur est &eacute;mise si le
serveur ne r&eacute;pond pas. Si vous sp&eacute;cifiez nfs_mount pour le param&egrave;tre type, le
syst&egrave;me tente de monter le fichier /home/jdoe (avec les autres syst&egrave;mes de fichiers
sp&eacute;cifi&eacute;s dans le groupe type = nfs_mount) au moment de l’&eacute;mission de la commande
mount -t nfs_mount.
L’exemple ci-apr&egrave;s commande au syst&egrave;me de monter le syst&egrave;me de
fichiers/usr/games au d&eacute;marrage. Si le montage &eacute;choue, le syst&egrave;me tente l’op&eacute;ration
en arri&egrave;re-plan.
/usr/games :
dev = /usr/games
mount = true
6-16
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
vfs = nfs
nodename = gameserver
options = ro,soft,bg
type = nfs_mount
Voici les param&egrave;tres requis dans les strophes relatives aux montages NFS :
dev=filesystem_name Chemin d’acc&egrave;s au syst&egrave;me de fichiers distant &agrave; monter.
mount=[true|false]
Si true, sp&eacute;cifie que le syst&egrave;me de fichiers NFS sera mont&eacute; &agrave;
l’amor&ccedil;age du syst&egrave;me. Si false, sp&eacute;cifie que le syst&egrave;me de
fichiers NFS ne sera pas mont&eacute; &agrave; l’amor&ccedil;age du syst&egrave;me.
nodename=hostname
H&ocirc;te sur lequel r&eacute;side le syst&egrave;me de fichiers distant.
vfs=nfs
Le syst&egrave;me de fichiers virtuel en cours de montage est de type
NFS.
Voici les param&egrave;tres facultatifs dans les strophes relatives aux montages NFS :
type= type_name
D&eacute;finit le syst&egrave;me de fichiers en cours de montage et qui
appartient au groupe de montage type_name. Ce param&egrave;tre est
associ&eacute; &agrave; la commande mount –t, qui monte simultan&eacute;ment des
groupes de syst&egrave;mes de fichiers.
options= options
D&eacute;finit un ou plusieurs des param&egrave;tres d’option suivants :
biods= N
Indique le nombre de d&eacute;mons biod &agrave; d&eacute;marrer. La valeur
par d&eacute;faut, 6. N, est un entier.
bg
Indique que le montage doit &ecirc;tre relanc&eacute; en arri&egrave;re–plan si
la premi&egrave;re tentative &eacute;choue.
fg
Indique que le montage doit &ecirc;tre relanc&eacute; en avant–plan si la
premi&egrave;re tentative &eacute;choue.
noacl
D&eacute;sactive, pour le seul montage en cours, la prise en
charge des listes ACL, assur&eacute;e par le syst&egrave;me de fichiers
journalis&eacute; de NFS.
Utilis&eacute; entre deux syst&egrave;mes, NFS prend en charge les
listes de contr&ocirc;le des acc&egrave;s (ACL). Si l’option noacl est
sp&eacute;cifi&eacute;e au montage d’un syst&egrave;me de fichiers, NFS ne se
sert pas des ACL. Les cons&eacute;quences de l’option noacl
sont &eacute;quivalentes &agrave; celles d’un client NFS d’un syst&egrave;me
qui tente un montage &agrave; partir d’un serveur NFS qui ne
prend pas les ACL en charge.
Pour en savoir plus sur les ACL, reportez–vous &agrave; Listes
de contr&ocirc;le d’acc&egrave;s (ACL) sous NFS page 6-3.
retry= n
Nombre de tentatives de montage.
rsize= n
D&eacute;finit &agrave; n octets la taille du tampon de lecture.
wsize= n
D&eacute;finit &agrave; n octets la taille du tampon d’&eacute;criture.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-17
timeo= n
D&eacute;finit la dur&eacute;e NFS &agrave; partir des dixi&egrave;mes de secondes
sp&eacute;cifi&eacute;es par n. Utilisez cette variable pour &eacute;viter les
situations pouvant se produire dans les r&eacute;seaux o&ugrave; la
charge du serveur peut causer des temps de r&eacute;ponse
inadapt&eacute;s.
retrans= n
D&eacute;finit &agrave; n le nombre de retransmissions NFS.
port= n
D&eacute;finit &agrave; n le num&eacute;ro du port du serveur.
soft
Renvoie une erreur si le serveur ne r&eacute;pond pas.
hard
Relance la requ&ecirc;te jusqu’&agrave; ce que le serveur r&eacute;ponde.
Remarque :
Si vous sp&eacute;cifiez un montage hard, il se peut que le
processus se bloque pendant l’attente d’une r&eacute;ponse.
Pour pouvoir interrompre le processus et le terminer &agrave;
partir du clavier, sp&eacute;cifiez intr dans les param&egrave;tres de
montage.
intr
Permet les interruptions &agrave; partir du clavier.
ro
D&eacute;finit la variable lecture seule.
rw
D&eacute;finit la variable en lecture–&eacute;criture. Associ&eacute;e &agrave; la variable
hard, elle &eacute;vite des erreurs de conflit avec des applications
si un montage soft est tent&eacute; en lecture/&eacute;criture. Pour en
savoir plus sur les incidents li&eacute;s aux montages hard et soft,
reportez–vous &agrave; D&eacute;termination des probl&egrave;mes NFS
page 6-27.
secure
Indique qu’un protocole plus s&ucirc;r doit &ecirc;tre utilis&eacute; pour les
transactions NFS.
actimeo= n
Augmente de n secondes le d&eacute;lai avant nettoyage du
cache, pour les fichiers et les r&eacute;pertoires standard.
Remarque :
Le param&egrave;tre du cache maintient les attributs de fichier
sur le client. Ces attributs sont dot&eacute;s d’un d&eacute;lai, au bout
duquel ils sont effac&eacute;s. Si un fichier est modifi&eacute; avant
expiration, le d&eacute;lai est augment&eacute; du temps &eacute;coul&eacute;
depuis la derni&egrave;re modification (les fichiers r&eacute;cemment
modifi&eacute;s sont suppos&eacute;s pouvoir l’&ecirc;tre &agrave; nouveau
rapidement). Un minimum et un maximum sont d&eacute;finis
pour l’extension de ce d&eacute;lai (pour les fichiers et les
r&eacute;pertoires standard).
6-18
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
acregmin= n
Maintient les attributs en m&eacute;moire cache au moins n
secondes apr&egrave;s la modification du fichier.
acregmax= n
Maintient les attributs en m&eacute;moire cache au maximum n
secondes apr&egrave;s la modification du fichier.
acdirmin= n
Maintient les attributs en m&eacute;moire cache au moins n
secondes apr&egrave;s la modification du r&eacute;pertoire.
acdirmax= n
Maintient les attributs en m&eacute;moire cache au maximum n
secondes apr&egrave;s la modification du r&eacute;pertoire.
Remarque :
Si vous ne sp&eacute;cifiez pas les options suivantes, le noyau leur
affecte une valeur par d&eacute;faut :
biods=6
fg
retry=10000
rsize=8192
wsize=8192
timeo=7
retrans=5
port=NFS_PORT
hard
secure=off
acregmin=3
acregmax=60
acdirmin=30
acdirmax=60
1. Supprimez les entr&eacute;es correspondant aux r&eacute;pertoires que vous ne souhaitez pas
monter au d&eacute;marrage du syst&egrave;me.
2. Sauvegardez et fermez le fichier.
3. Lancez la commande mount –a pour monter tous les r&eacute;pertoires du fichier
/etc/filesystems.
D&eacute;montage d’un syst&egrave;me de fichiers mont&eacute; explicitement ou
automatiquement
Entrez :
umount /directory/to/unmount
Suppression de montages NFS pr&eacute;d&eacute;finis
Vous pouvez supprimer un montage NFS pr&eacute;d&eacute;fini via l’application Web-based System
Manager Network, ou en utilisant l’une des proc&eacute;dures suivantes.
• Via SMIT :
1. Entrez :
smit rmnfsmnt
• Pour supprimer un montage NFS pr&eacute;d&eacute;fini en &eacute;ditant le fichier /etc/filesystems :
2. Entrez la commande : umount /directory/to/unmount.
3. Ouvrez le fichier /etc/filesystems sous votre &eacute;diteur favori.
4. Rep&eacute;rez l’entr&eacute;e correspond au r&eacute;pertoire d&eacute;mont&eacute; et effacez-la.
– Sauvegardez et fermez le fichier.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-19
PC–NFS
PC–NFS est un programme destin&eacute; aux ordinateurs personnels, qui leur permet de monter
des syst&egrave;mes de fichiers export&eacute;s par un serveur NFS (Network File System). L’ordinateur
personnel a &eacute;galement la possibilit&eacute; de demander &agrave; ce serveur NFS des adresses r&eacute;seau
et des noms d’h&ocirc;te. Par ailleurs, si le serveur NFS ex&eacute;cute le d&eacute;mon rpc.pcnfsd,
l’ordinateur personnel peut b&eacute;n&eacute;ficier des services d’authentification et d’impression
diff&eacute;r&eacute;e.
Vous pouvez configurer le d&eacute;mon rpc.pcnfsd sur les mat&eacute;riels suivants :
• syst&egrave;mes ex&eacute;cutant des services d’authentification d’utilisateur ;
• syst&egrave;mes offrant des fonctions d’impression en diff&eacute;r&eacute; ;
• tous les serveurs NIS ma&icirc;tre et esclaves.
Remarque :
Comme la configuration des r&eacute;seaux NIS pr&eacute;voit g&eacute;n&eacute;ralement que
PC–NFS puisse s&eacute;lectionner n’importe quel serveur NIS comme serveur
par d&eacute;faut, il est important que tous les serveurs soient dot&eacute;s du
programme rpc.pcnfsd. Si l’ex&eacute;cution de ce programme sur tous les
serveurs NIS n’est pas envisageable, ou si vous souhaitez confiner les
requ&ecirc;tes vers un serveur sp&eacute;cifique, ajoutez une commande net pcnfsd
dans le fichier autoexec.bat de chaque ordinateur personnel, afin de
l’obliger &agrave; faire appel &agrave; un serveur NIS sp&eacute;cifique. Pour plus d’informations,
reportez–vous &agrave; AIX 5L Version 5.2 NIS/NIS+ (Network Information
Services) Guide.
Service d’authentification PC–NFS
Par d&eacute;faut, PC–NFS se pr&eacute;sente aux serveurs NFS comme &eacute;tant l’utilisateur nobody.
Avec les privil&egrave;ges nobody, tous les fichiers des utilisateurs de l’ordinateur personnel sont
d&eacute;tenus par nobody, et il est impossible de faire la distinction entre les diff&eacute;rents
utilisateurs. Les fonctions d’authentification du d&eacute;mon rpc.pcnfsd permettent de surveiller
les ressources syst&egrave;me et la s&eacute;curit&eacute;, en autorisant la reconnaissance des diff&eacute;rents
utilisateurs et l’affectation de diff&eacute;rents privil&egrave;ges.
Lorsque le d&eacute;mon rpc.pcnfsd est en cours d’ex&eacute;cution, un utilisateur PC–NFS peut lancer
la commande net name &agrave; partir d’un ordinateur personnel pour ouvrir une session
PC–NFS de la m&ecirc;me mani&egrave;re qu’un utilisateur se connecte sur ce syst&egrave;me d’exploitation.
Le nom de l’utilisateur et le mot de passe sont v&eacute;rifi&eacute;s par le d&eacute;mon rpc.pcnfsd. Cette
proc&eacute;dure d’authentification ne rend pas le serveur plus s&ucirc;r mais elle autorise un meilleur
contr&ocirc;le des acc&egrave;s aux fichiers disponibles via NFS.
Service d’impression en diff&eacute;r&eacute; PC–NFS
Le service d’impression en diff&eacute;r&eacute; du d&eacute;mon rpc.pcnfsd permet aux ordinateurs personnels
ex&eacute;cutant PC–NFS d’imprimer sur des imprimantes qui ne leur sont pas directement
raccord&eacute;es. Plus pr&eacute;cis&eacute;ment, PC–NFS redirige les fichiers destin&eacute;s aux imprimantes de
l’ordinateur personnel vers un fichier plac&eacute; sur un serveur NFS. Ces fichier est plac&eacute; dans
un r&eacute;pertoire de spoulage sur le serveur NFS. Le d&eacute;mon rpc.pcnfsd appelle alors la
fonction d’impression du serveur. (Le r&eacute;pertoire de spoulage doit se trouver dans un
syst&egrave;me de fichiers export&eacute; afin que les clients PC–NFS puissent le monter.) Lorsque
PC–NFS demande au d&eacute;mon rpc.pcnfsd d’imprimer le fichier, il fournit les informations
suivantes :
• Nom du fichier &agrave; imprimer
• ID d’ouverture de session de l’utilisateur sur le client
• Nom de l’imprimante &agrave; utiliser
6-20
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration du d&eacute;mon rpc.pcnfsd
Pour configurer le d&eacute;mon rpc.pcnfsd :
1. Installez le programme PC–NFS sur votre ordinateur personnel.
2. S&eacute;lectionnez un emplacement pour le r&eacute;pertoire de spoulage sur le serveur NFS. Le
r&eacute;pertoire de spoulage par d&eacute;faut est /var/tmp. Ce r&eacute;pertoire doit disposer d’au moins
100 Ko de m&eacute;moire disponible.
3. Exportez le r&eacute;pertoire de spoulage. Ne d&eacute;finissez pas de restrictions d’acc&egrave;s sur le
r&eacute;pertoire export&eacute; afin de ne pas engendrer de probl&egrave;mes d’acc&egrave;s &agrave; partir du r&eacute;seau.
Pour plus d’informations sur la proc&eacute;dure, reportez–vous &agrave; ”Exportation d’un syst&egrave;me de
fichiers NFS”.
4. Lancez le d&eacute;mon rpc.pcnfsd en suivant les instructions de ”Lancement du d&eacute;mon
rpc.pcnfsd”.
5. V&eacute;rifiez que le d&eacute;mon rpc.pcnfsd est accessible en suivant les instructions de
”V&eacute;rification de la disponibilit&eacute; du d&eacute;mon rpc.pcnfsd”.
Remarque :
Les demandes de redirection d’impression laissent parfois dans les
r&eacute;pertoires de spoulage PC–NFS des listings de fichiers de longueur nulle ;
&eacute;liminez donc r&eacute;guli&egrave;rement ces entr&eacute;es du r&eacute;pertoire de spoulage.
Lancement du d&eacute;mon rpc.pcnfsd
Pour lancer le d&eacute;mon rpc.pcnfsd &agrave; partir du r&eacute;pertoire de spoulage par d&eacute;faut :
1. A l’aide de votre &eacute;diteur de texte favori, annulez la mise en commentaire de l’entr&eacute;e
suivante dans le fichier /etc/inetd.conf :
pcnfsd sunrpc_udp udp wait root /usr/sbin/rpc.pcnfsd pcnfsd 150001 1
2. Sauvegardez le fichier et quittez l’&eacute;diteur de texte.
Pour lancer le d&eacute;mon rpc.pcnfsd &agrave; partir d’un r&eacute;pertoire autre que le r&eacute;pertoire par d&eacute;faut :
1. A l’aide de votre &eacute;diteur de texte favori, ajoutez l’entr&eacute;e suivante dans le fichier
/etc/rc.nfs :
if [ –f /usr/sbin/rpc.pcnfsd ] ; then
/usr/sbin/rpc.pcnfsd –s spooldir ; echo ’ rpc.pcnfsd\c’fi
spooldir correspond au chemin d’acc&egrave;s complet du r&eacute;pertoire de spoulage.
2. Sauvegardez le fichier et quittez l’&eacute;diteur de texte.
3. A l’aide de votre &eacute;diteur de texte favori, mettez en commentaire l’entr&eacute;e suivante dans le
fichier /etc/inetd.conf :
pcnfsd sunrpc_udp udp wait root /usr/sbin/rpc.pcnfsd pcnfsd 150001 1
en ins&eacute;rant un signe di&egrave;se (#) au d&eacute;but de la ligne. Ceci &eacute;vite que le d&eacute;mon inetd ne
d&eacute;marre le d&eacute;mon rpc.pcnfsd &agrave; partir du r&eacute;pertoire de spoulage par d&eacute;faut.
4. Lancez le programme d’impression en diff&eacute;r&eacute; du d&eacute;mon rpc.pcnfsd en entrant la
commande suivante sur la ligne de commande :
/usr/sbin/rpc.pcnfsd –s spooldir
spooldir correspond au chemin d’acc&egrave;s complet du r&eacute;pertoire de spoulage.
Pour plus d’informations sur la mise &agrave; jour de la base de donn&eacute;es de configuration inetd,
reportez–vous &agrave; ”Configuration du d&eacute;mon inetd”, page 4-164.
Remarque :
le r&eacute;pertoire par d&eacute;faut utilis&eacute; par le d&eacute;mon rpc.pcnfsd ne peut &ecirc;tre modifi&eacute;
&agrave; partir du fichier inetd.conf.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-21
V&eacute;rification de la disponibilit&eacute; du d&eacute;mon rpc.pcnfsd
Pour v&eacute;rifier que le d&eacute;mon rpc.pcnfsd est accessible, entrez :
rpcinfo –u host 150001
host correspond au nom de l’h&ocirc;te du syst&egrave;me sur lequel vous configurez rpc.pcnfsd, et
15001 est le num&eacute;ro de programme RPC du d&eacute;mon rpc.pcnfsd. Apr&egrave;s avoir entr&eacute; la
commande, vous devez recevoir un message signalant que le programme est pr&ecirc;t et en
attente.
6-22
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
WebNFS
Le syst&egrave;me d’exploitation fournit des fonctions de serveur NFS pour WebNFS. D&eacute;fini par
Sun Microsystems, WebNFS est un simple prolongement du protocole NFS permettant de
faciliter l’acc&egrave;s aux serveurs et clients par l’interm&eacute;diaire de pare–feu Internet.
Un navigateur Web WebNFS peut utiliser les adresses URL universelles NFS pour acc&eacute;der
directement aux donn&eacute;es &agrave; partir du serveur. Voici un exemple d’URL NFS :
nfs://www.
VotreSoci&eacute;t&eacute;.com/
WebNFS fonctionne en conjonction avec les protocoles Web existants afin de mettre les
donn&eacute;es &agrave; la disposition des clients.
WebNFS b&eacute;n&eacute;ficie &eacute;galement de l’&eacute;volutivit&eacute; des serveurs NFS.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-23
Gestionnaire NLM (Network Lock Manager)
Le gestionnaire NLM (network lock manager) est un utilitaire qui, associ&eacute; &agrave; NFS, fournit un
fichier de consultation et un verrouillage des enregistrements sur le r&eacute;seau &agrave; la mani&egrave;re de
System V. Les d&eacute;mons du gestionnaire NLM (rpc.lockd) et du contr&ocirc;leur d’&eacute;tat du r&eacute;seau
(rpc.statd) sont les d&eacute;mons de service r&eacute;seau. Le d&eacute;mon rpc.statd est un processus de
niveau utilisateur alors que le d&eacute;mon rpc.lockd est impl&eacute;ment&eacute; comme un ensemble de
routines de noyau (semblable au serveur NFS). Les deux d&eacute;mons sont indispensables pour
assurer la capacit&eacute; du noyau &agrave; fournir les services r&eacute;seau fondamentaux.
Remarque :
Les verrous obligatoires ou forc&eacute;s ne sont pas admis sur NFS.
Architecture du gestionnaire NLM
Le gestionnaire NLM comporte des fonctions serveur et des fonctions client. Les fonctions
client traitent les demandes &eacute;mises par les applications et envoient les demandes au
gestionnaire NLM sur le serveur. Les fonctions serveur sont charg&eacute;es d’accepter les
requ&ecirc;tes de verrouillage &eacute;mises par les clients et de g&eacute;n&eacute;rer les appels de verrouillage
correspondants sur le serveur. Le serveur r&eacute;pond ensuite &agrave; la requ&ecirc;te de verrouillage du
client.
Contrairement &agrave; NFS, qui est ”sans &eacute;tat”, le gestionnaire NLM est dot&eacute; d’un &eacute;tat implicite.
Autrement dit, il doit m&eacute;moriser certaines informations sur le client, &agrave; savoir si le client est
actuellement verrouill&eacute;. Le contr&ocirc;leur d’&eacute;tat du r&eacute;seau, rpc.statd, impl&eacute;mente un protocole
simple qui permet au gestionnaire de verrous de contr&ocirc;ler l’&eacute;tat des autres machines du
r&eacute;seau. Gr&acirc;ce &agrave; la pr&eacute;cision des informations d’&eacute;tat, le gestionnaire NLM parvient &agrave;
maintenir un &eacute;tat coh&eacute;rent dans l’environnement ”sans &eacute;tat” de NFS.
Verrouillage des fichiers du r&eacute;seau
Lorsqu’une application souhaite obtenir un verrou sur un fichier local, elle en adresse la
demande au noyau via la sous-routine lockf, fcntl ou flock. Le noyau traite alors la
demande. Toutefois, si une application sur un client NFS demande un verrou sur un fichier
distant, Le client NFS g&eacute;n&egrave;re un RPC (Remote Procedure Call) &agrave; destination du serveur
pour qu’il prenne la requ&ecirc;te en charge.
Lorsque le client re&ccedil;oit la requ&ecirc;te de verrou distant pour la premi&egrave;re fois, il l’enregistre dans
le serveur via le d&eacute;mon rpc.statd du client. Il est de m&ecirc;me pour le contr&ocirc;leur de
verrouillage du r&eacute;seau sur le serveur. Il enregistre la premi&egrave;re requ&ecirc;te d’un client sur le
client avec le contr&ocirc;leur d’&eacute;tat du r&eacute;seau.
Processus de reprise
Chaque d&eacute;mon rpc.statd d’une machine notifie de ses activit&eacute;s les d&eacute;mons rpc.statd des
autres machines. Lorsque le d&eacute;mon rpc.statd d’une machine apprend qu’une machine est
en panne ou qu’elle a repris ses activit&eacute;s, il en avertit son d&eacute;mon rpc.lockd.
Si un serveur tombe en panne, les clients avec des fichiers verrouill&eacute;s doivent pouvoir
recouvrer leurs verrous. Si un client tombe en panne, son serveur doit conserver ses
verrous jusqu’&agrave; reprise du client. En outre, pour pr&eacute;server la transparence globale de NFS,
le recouvrement doit s’effectuer sans intervention des applications elles-m&ecirc;mes.
La proc&eacute;dure de reprise est simple. Si une anomalie est relev&eacute;e sur un client, le serveur
lib&egrave;re les verrous du client en question, en pr&eacute;sumant que l’application client les
redemandera au besoin. Si une anomalie est relev&eacute;e sur un serveur, le gestionnaire des
verrous client retransmet toutes les demandes de verrous pr&eacute;c&eacute;demment accord&eacute;es par le
serveur. Ces informations retransmises sont exploit&eacute;es par le serveur pour reconstituer son
&eacute;tat de verrouillage pendant une p&eacute;riode dite de gr&acirc;ce. (La p&eacute;riode de gr&acirc;ce, de
45 secondes par d&eacute;faut, est le d&eacute;lai pendant lequel un serveur autorise les clients &agrave;
r&eacute;clamer leurs verrous.)
6-24
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Le d&eacute;mon rpc.statd se sert des noms h&ocirc;te conserv&eacute;s dans /etc/sm et dans /etc/sm.bak
pour garder trace des h&ocirc;tes &agrave; informer lorsque la machine doit recouvrer ses op&eacute;rations.
Lancement du gestionnaire NLM
Par d&eacute;faut, le script /etc/rc.nfs lance les d&eacute;mons rpc.lockd et rpc.statd avec les autres
d&eacute;mons NFS. Si NFS est d&eacute;j&agrave; actif, v&eacute;rifiez si rpc.lockd et rpc.statd sont actifs, comme
indiqu&eacute; &agrave; ”&Eacute;tat des d&eacute;mons NFS”, page6-10. Ces deux d&eacute;mons doivent &ecirc;tre &agrave; l’&eacute;tat actif. Si
les d&eacute;mons rpc.lockd et rpc.statd ne sont pas actifs, proc&eacute;dez comme suit :
1. A l’aide de votre &eacute;diteur favori, ouvrez le fichier /etc/rc.nfs.
2. Rep&eacute;rez les lignes suivantes :
if [ –x /usr/sbin/rpc.statd ]; then
startsrc –s rpc.statd
fi
if [ –x /usr/sbin/rpc.lockd ]; then
startsrc –s rpc.lockd
fi
3. Si certaines lignes commencent par le signe di&egrave;se (#), effacez-le, puis sauvegardez le
fichier et quittez l’&eacute;diteur. Lancez ensuite successivement les d&eacute;mons rpc.statd et
rpc.lockd, comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons NFS”, page 6-10.
Remarque :
L’ordre de lancement est important. Commencez toujours par statd.
4. Si NFS est actif et que les entr&eacute;es du fichier /etc/rc.nfs sont correctes, arr&ecirc;tez puis
relancez rpc.statd et rpc.lockd, comme indiqu&eacute; &agrave; ”Arr&ecirc;t des d&eacute;mons NFS”, page 6-10
et &agrave; ”Lancement des d&eacute;mons NFS”, page 6-10.
Remarque :
L’ordre de lancement est important. Commencez toujours par statd.
Si les d&eacute;mons rpc.statd et rpc.lockd ne sont toujours pas actifs, reportez-vous &agrave;
”D&eacute;pannage du gestionnaire NLM”.
D&eacute;pannage du gestionnaire NLM
Si vous recevez sur un client un message du style :
clnttcp_create: RPC: Remote System error – Connection refused
rpc.statd:cannot talk to statd at {server}
c’est que la machine suppose qu’il y a une autre machine qui doit &ecirc;tre inform&eacute;e qu’elle doit
prendre des mesures de recouvrement. Lorsqu’une machine est r&eacute;amorc&eacute;e, ou que
rpc.lockd et rpc.statd sont arr&ecirc;t&eacute;s puis relanc&eacute;s, les noms de machine sont d&eacute;plac&eacute;s de
/etc/sm vers /etc/sm.bak et rpc.statd tente d’informer chaque machine correspondant &agrave;
chaque entr&eacute;e de /etc/sm.bak que des proc&eacute;dures de reprise s’imposent.
Si rpc.statd parvient &agrave; atteindre la machine, son entr&eacute;e dans /etc/sm.bak est supprim&eacute;e.
Si rpc.statd ne parvient pas &agrave; atteindre la machine, il poursuit sa tentative &agrave; intervalles
r&eacute;guliers. Chaque fois que la machine &eacute;choue &agrave; r&eacute;pondre, le message ci-dessus est g&eacute;n&eacute;r&eacute;
&agrave; l’issue du d&eacute;lai de d&eacute;passement. Dans l’int&eacute;r&ecirc;t de l’int&eacute;grit&eacute; du verrouillage, le d&eacute;mon
poursuit ses tentatives, mais ceci peut avoir l’effet inverse sur les performances du
verrouillage. La gestion est diff&eacute;rente, selon que la machine cible ne r&eacute;pond simplement pas
ou se trouve de fa&ccedil;on semi-permanente hors &eacute;tat productif. Pour &eacute;liminer le message :
1. V&eacute;rifiez que les d&eacute;mons statd et lockd sur le serveur sont lanc&eacute;s, comme indiqu&eacute; dans
la section &Eacute;tat des d&eacute;mons NFS. (Ces deux d&eacute;mons doivent &ecirc;tre &agrave; l’&eacute;tat actif.)
2. Si ce n’est pas le cas contraire, lancez les d&eacute;mons rpc.statd et rpc.lockd sur le serveur,
comme indiqu&eacute; dans la section Lancement des d&eacute;mons NFS.
Remarque :
L’ordre de lancement est important. Commencez toujours par statd.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-25
Une fois tous les d&eacute;mons relanc&eacute;s, n’oubliez pas le d&eacute;lai de gr&acirc;ce. Une fois tous les
d&eacute;mons relanc&eacute;s, n’oubliez pas le d&eacute;lai de gr&acirc;ce : pendant ce d&eacute;lai, les d&eacute;mons lockd
autorisent les autres clients &agrave; r&eacute;clamer les verrous conserv&eacute;s pr&eacute;c&eacute;demment par le
serveur. L’obtention d’un nouveau verrou n’est donc pas instantan&eacute;e.
Pour &eacute;liminer le message, vous pouvez &eacute;galement proc&eacute;der comme suit :
1. Arr&ecirc;tez rpc.statd et rpc.lockd sur le client, comme indiqu&eacute; &agrave; ”Arr&ecirc;t des d&eacute;mons NFS”.
2. Sur le client, supprimez l’entr&eacute;e de la machine cible de /etc/sm.bak. Entrez :
rm /etc/sm.bak/TargetMachineName
Ceci action emp&ecirc;che la machine cible d’&ecirc;tre inform&eacute;e qu’elle doit peut-&ecirc;tre participer au
recouvrement du verrouillage : ne l’effectuez que si vous &ecirc;tes s&ucirc;r que les applications
actives sur cette machine ne participent pas au verrouillage r&eacute;seau avec la machine
affect&eacute;e.
3. Lancez rpc.statd et rpc.lockd sur le client, comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons
NFS”.
Si vous ne parvenez pas &agrave; obtenir un verrou d’un client :
1. Lancez la commande ping pour v&eacute;rifier si client et serveur peuvent s’atteindre et se
reconna&icirc;tre. Si les deux machines fonctionnent et que le r&eacute;seau est intact, v&eacute;rifiez, dans
le fichier /etc/hosts, le nom d’h&ocirc;te de chaque machine. Pour que les machines puissent
se reconna&icirc;tre, ces noms doivent &ecirc;tre exactement les m&ecirc;mes pour le serveur et pour le
client. Si un serveur de noms est utilis&eacute; pour la conversion des noms d’h&ocirc;te, v&eacute;rifiez que
les informations h&ocirc;te sont identiques &agrave; celles du fichier /etc/hosts.
2. V&eacute;rifiez que les d&eacute;mons rpc.lockd et rpc.statd sont lanc&eacute;s sur le client et sur le serveur,
comme indiqu&eacute; dans la section &Eacute;tat des d&eacute;mons NFS. Ces deux d&eacute;mons doivent &ecirc;tre &agrave;
l’&eacute;tat actif.
3. S’ils ne le sont pas, lancez les d&eacute;mons rpc.statd et rpc.lockd, comme indiqu&eacute; dans la
section Lancement des d&eacute;mons NFS.
4. S’ils sont actifs, vous devrez peut-&ecirc;tre les r&eacute;initialiser sur les clients et les serveurs.
Pour ce faire, arr&ecirc;tez les applications qui demandent un verrou.
5. Ensuite, arr&ecirc;tez rpc.statd et rpc.lockd sur le client et sur le serveur, comme indiqu&eacute; &agrave;
”Arr&ecirc;t des d&eacute;mons NFS”, page 6-10.
6. Relancez ensuite rpc.statd et rpc.lockd, d’abord sur le serveur, puis sur le client,
comme indiqu&eacute; &agrave; ”Lancement des d&eacute;mons NFS”.
Remarque :
L’ordre de lancement est important. Commencez toujours par statd.
Si le probl&egrave;me de verrou persiste, ex&eacute;cutez le d&eacute;mon lockd en mode d&eacute;bogage :
1. Arr&ecirc;tez rpc.statd et rpc.lockd sur le client et sur le serveur, comme indiqu&eacute; &agrave; ”Arr&ecirc;t
des d&eacute;mons NFS”.
2. Lancez le d&eacute;mon rpc.statd sur le client et sur le serveur, comme indiqu&eacute; &agrave; ”Lancement
des d&eacute;mons NFS”, page 6-10.
3. Lancez rpc.lockd sur le client et sur le serveur :
/usr/sbin/rpc.lockd –d1
Appel&eacute; avec l’indicateur –d1, le d&eacute;mon lockd g&eacute;n&egrave;re des messages de diagnostic vers
syslog. Les premiers messages concernent le d&eacute;lai de gr&acirc;ce : attendez qu’ils s’effacent.
Ex&eacute;cutez ensuite l’application probl&eacute;matique et v&eacute;rifiez qu’une demande de verrou est
bien transmise du client au serveur et du serveur au client.
6-26
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification des incidents NFS
Les machines utilisant NFS, comme tout service de r&eacute;seau, ne sont pas &agrave; l’abri d’incidents.
Pour r&eacute;soudre ces d&eacute;faillances, il faut &ecirc;tre en mesure de les identifier, d’interpr&eacute;ter les
messages d’erreur et de d&eacute;terminer la m&eacute;thode de r&eacute;solution appropri&eacute;e. Il s’agit dans un
premier temps de localiser le dysfonctionnement sur l’un des trois principaux &eacute;l&eacute;ments :
serveur, client ou r&eacute;seau.
Remarque :
Reportez-vous &agrave; ”D&eacute;pannage du gestionnaire NLM”, page 6-25.
Inaccessibilit&eacute; des fichiers en montage fixe ou logiciel
En cas de d&eacute;faillance du r&eacute;seau ou serveur, les programmes ne parviennent plus &agrave; acc&eacute;der
aux fichiers distants, mais ce m&eacute;canisme diff&egrave;re selon que le fichier fait l’objet d’un montage
fixe ou logiciel.
Dans le cas d’un montage fixe, NFS signale l’&eacute;chec du serveur par le message :
NFS
server
hostname
not
responding,
still
trying
Les syst&egrave;mes de fichiers distants en montage fixe mettent les programmes en attente
jusqu’&agrave; la r&eacute;ponse du serveur de sorte que le client peut relancer la demande de montage
jusqu’&agrave; obtenir satisfaction. Pour un montage fixe, associez l’indicateur –bg &agrave; la commande
mount pour que le client puisse tenter le montage en arri&egrave;re-plan si le serveur ne
r&eacute;pond pas.
Dans le cas d’un montage logiciel, NFS signale l’&eacute;chec du serveur par le message :
Connection timed out
Pass&eacute; un certain d&eacute;lai, en cas de tentatives infructueuses, les syst&egrave;mes de fichiers distants
en montage logiciel renvoient un message d’erreur. Mais un grand nombre de programmes
ne v&eacute;rifient pas le r&eacute;sultat des op&eacute;rations sur syst&egrave;mes de fichiers. Ce message d’erreur ne
vous est alors pas communiqu&eacute; au moment d’acc&eacute;der aux fichiers en montage logiciel.
Il est toutefois affich&eacute; &agrave; la console.
Liste de contr&ocirc;le pour l’identification des incidents NFS
En cas d’incident sur un client NFS :
1. V&eacute;rifiez les connexions au r&eacute;seau.
2. V&eacute;rifiez que les d&eacute;mons inetd, portmap et biod sont ex&eacute;cut&eacute;s sur le client comme
indiqu&eacute; dans la section ”&Eacute;tat des d&eacute;mons NFS”, page 6-10.
3. V&eacute;rifiez qu’un point de montage valide est disponible pour le syst&egrave;me de fichiers en
cours de montage. Pour plus d’informations, reportez-vous &agrave; ”Configuration d’un
client NFS”, page 6-11.
4. V&eacute;rifiez que le serveur fonctionne en ex&eacute;cutant, &agrave; partir de l’invite du shell, c&ocirc;t&eacute; client, la
commande suivante :
/usr/bin/rpcinfo –p server_name
Si le serveur fonctionne, la liste des programmes, versions, protocoles et ports s’affiche
comme suit :
program
100000
100000
100005
100001
100001
100001
100002
100002
vers
2
2
1
1
2
3
1
2
proto
tcp
udp
udp
udp
udp
udp
udp
udp
port
111
111
1025
1030
1030
1030
1036
1036
portmapper
portmapper
mountd
rstatd
rstatd
rstatd
rusersd
rusersd
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-27
100008
1
udp
1040
walld
100012
1
udp
1043
sprayd
100005
1
tcp
694
mountd
100003
2
udp
2049
nfs
100024
1
udp
713
status
100024
1
tcp
715
status
100021
1
tcp
716
nlockmgr
100021
1
udp
718
nlockmgr
100021
3
tcp
721
nlockmgr
100021
3
udp
723
nlockmgr
100020
1
udp
726
llockmgr
100020
1
tcp
728
llockmgr
100021
2
tcp
731
nlockmgr
Sinon, connectez-vous au serveur &agrave; partir de la console du serveur et v&eacute;rifiez l’&eacute;tat du
d&eacute;mon inetd comme indiqu&eacute; &agrave; ”&Eacute;tat des d&eacute;mons NFS”, page 6-10.
5. V&eacute;rifiez que les d&eacute;mons mountd, portmap et nfsd sont actifs sur le serveur NFS en
sp&eacute;cifiant &agrave; partir de l’invite du shell les commandes :
/usr/bin/rpcinfo –u server_name mount
/usr/bin/rpcinfo –u server_name portmap
/usr/bin/rpcinfo –u server_name nfs
Si le d&eacute;mon est ex&eacute;cut&eacute; au niveau du serveur, les r&eacute;ponses renvoy&eacute;es sont les
suivantes :
program 100005 version 1 ready and waiting
program 100000 version 2 ready and waiting
program 100003 version 2 ready and waiting
Les num&eacute;ros de programme correspondent aux commandes, comme indiqu&eacute; dans
l’exemple ci-dessus. Sinon, connectez-vous au serveur &agrave; partir de la console du serveur
et v&eacute;rifiez l’&eacute;tat des d&eacute;mons comme indiqu&eacute; &agrave; ”&Eacute;tat des d&eacute;mons NFS”, page 6-10.
6. V&eacute;rifiez que le fichier /etc/exports sur le serveur comporte le nom du syst&egrave;me de
fichiers que le client souhaite monter et que ce syst&egrave;me de fichiers est export&eacute;. Pour ce
faire, entrez :
showmount –e server_name
Cette commande affiche la liste de tous les syst&egrave;mes de fichiers export&eacute;s par
server_name.
Erreurs d’&eacute;criture asynchrone
Lorsqu’un programme d’application inscrit des donn&eacute;es dans un fichier appartenant &agrave; un
syst&egrave;me de fichiers mont&eacute; NFS, l’&eacute;criture est planifi&eacute;e pour &ecirc;tre trait&eacute;e en mode
asynchrone par le d&eacute;mon biod. Si une erreur se produit au niveau du serveur NFS pendant
l’&eacute;criture sur le disque, elle est signal&eacute;e au client NFS et le d&eacute;mon biod la sauvegarde en
interne dans les structures de donn&eacute;es NFS. L’erreur enregistr&eacute;e est ensuite renvoy&eacute;e au
programme d’application d&egrave;s qu’il fait appel aux fonctions fsync ou close. Autrement dit,
l’application n’est avertie de l’erreur que lorsque le programme ferme le fichier.
Cet &eacute;v&eacute;nement survient g&eacute;n&eacute;ralement lors de la saturation d’un syst&egrave;me de fichiers sur le
serveur, toute tentative d’&eacute;criture entreprise par le client sur ce syst&egrave;me &eacute;tant vou&eacute;e &agrave;
l’&eacute;chec.
Messages d’erreur NFS
Voici les messages d’erreur qui peuvent &ecirc;tre g&eacute;n&eacute;r&eacute;s lors de l’utilisation de NFS.
6-28
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Message d’erreur nfs_server
Un nombre insuffisant de tampons de transmission peut entra&icirc;ner le message d’erreur :
nfs_server:
bad
sendreply
Pour augmenter le nombre de tampons, vous disposez du raccourci Web-based System
Manager wsm ou du raccourci SMIT smit commodev. S&eacute;lectionnez ensuite votre type de
carte et augmentez le nombre de tampons de transmission.
Messages d’erreur mount
Plusieurs causes peuvent provoquer l’&eacute;chec d’un montage &agrave; distance. Les messages
d’erreur associ&eacute;s aux &eacute;checs de montage sont les suivants :
mount: ... already mounted
Le syst&egrave;me de fichiers que vous tentez de monter l’est d&eacute;j&agrave;.
mount: ... not found in /etc/filesystems
Le syst&egrave;me de fichiers ou le r&eacute;pertoire sp&eacute;cifi&eacute; est introuvable.
Si vous ex&eacute;cutez la commande mount en sp&eacute;cifiant soit un r&eacute;pertoire soit un
syst&egrave;me de fichiers, et non les deux, la commande recherche dans le fichier
/etc/filesystems l’entr&eacute;e qui comporte le syst&egrave;me de fichiers ou le r&eacute;pertoire
correspondant. Si la commande mount trouve une entr&eacute;e de la forme :
/dancer.src:
dev=/usr/src
nodename = d61server
type = nfs
mount = false
elle ex&eacute;cute le montage comme si vous aviez sp&eacute;cifi&eacute; sur la ligne de commande :
/usr/sbin/mount –n dancer –o rw,hard /usr/src /dancer.src
...
not
in
hosts
database
Emis sur un r&eacute;seau sans NIS, ce message indique que l’h&ocirc;te sp&eacute;cifi&eacute; &agrave; la
commande mount ne figure pas dans le fichier /etc/hosts. En revanche,
sur un r&eacute;seau ex&eacute;cutant NIS, ce message indique que NIS n’a pas pu
trouver le nom d’h&ocirc;te dans la base de donn&eacute;es /etc/hosts ou que le d&eacute;mon
NIS ypbind de votre machine n’est plus actif. Si le fichier /etc/resolv.conf
existe, la r&eacute;solution des noms d’h&ocirc;te se fait via le serveur de noms. Le
probl&egrave;me peut alors provenir de la base de donn&eacute;es named.
Reportez-vous &agrave; ”R&eacute;solution de noms sur un serveur NFS”, page6-34.
V&eacute;rifiez le libell&eacute; et la syntaxe de la commande mount. Si la commande est
correctement sp&eacute;cifi&eacute;e, vous pouvez en d&eacute;duire que votre r&eacute;seau n’ex&eacute;cute pas NIS et
que ce message ne concerne que ce nom d’h&ocirc;te. V&eacute;rifiez l’entr&eacute;e correspondante dans
le fichier /etc/hosts.
Si votre r&eacute;seau ex&eacute;cute NIS, assurez–vous que le d&eacute;mon ypbind s’ex&eacute;cute en
sp&eacute;cifiant &agrave; partir de la ligne de commande :
ps
–ef
Le d&eacute;mon ypbind doit appara&icirc;tre dans la liste. Lancez la commande rlogin pour
tenter de vous connecter &agrave; une autre machine distante ou la commande rcp pour
effectuer une copie &agrave; distance sur une autre machine. Si ces op&eacute;rations &eacute;chouent, il
est probable que votre d&eacute;mon ypbind est arr&ecirc;t&eacute; ou bloqu&eacute;.
Si le message ne concerne que ce nom d’h&ocirc;te, v&eacute;rifiez l’entr&eacute;e /etc/hosts sur le
serveur NIS.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-29
mount: ... server not responding: port mapper failure – RPC timed
out
Soit le serveur &agrave; partir duquel le montage est effectu&eacute; est hors service, soit
le programme de mappage de ports est arr&ecirc;t&eacute; ou bloqu&eacute;. Tentez de
red&eacute;marrer le serveur pour activer les d&eacute;mons inetd, portmap et ypbind.
Si la connexion au serveur &agrave; distance avec la commande rlogin &eacute;choue, mais que le
serveur fonctionne, testez la connexion r&eacute;seau en vous connectant &agrave; une autre
machine distante. V&eacute;rifiez &eacute;galement la connexion r&eacute;seau du serveur.
mount: ... server not responding: program not registered
La commande mount a contact&eacute; le programme de mappage de port, mais
le d&eacute;mon de montage NFS rpc.mountd NFS n’&eacute;tait pas r&eacute;pertori&eacute;.
mount: acc&egrave;s refus&eacute; ...
Le nom de votre machine ne figure pas dans la liste d’exportation du
syst&egrave;me de fichiers que vous tentez de monter &agrave; partir du serveur.
Pour obtenir la liste des syst&egrave;mes de fichiers export&eacute;s du serveur, ex&eacute;cutez &agrave; partir
de la ligne de commande:
showmount
–e
hostname
Si le syst&egrave;me de fichiers recherch&eacute; n’est pas r&eacute;pertori&eacute; ou que le nom de votre
machine ou groupe de r&eacute;seau ne figure pas dans la liste des utilisateurs du syst&egrave;me
de fichiers, connectez–vous au serveur et recherchez dans le fichier /etc/exports
l’entr&eacute;e correcte pour le syst&egrave;me de fichiers. Un nom de syst&egrave;me de fichiers
apparaissant dans /etc/exports mais absent de la sortie de la commande
showmount, r&eacute;v&egrave;le une d&eacute;faillance du d&eacute;mon mountd. Soit le d&eacute;mon n’a pas pu
analyser cette ligne dans le fichier, soit il n’a pas trouv&eacute; le r&eacute;pertoire, soit le r&eacute;pertoire
sp&eacute;cifi&eacute; n’a pas &eacute;t&eacute; mont&eacute; localement. Si le fichier /etc/exports semble correct et
que le r&eacute;seau ex&eacute;cute NIS, v&eacute;rifiez le d&eacute;mon ypbind sur le serveur. Il est peut–&ecirc;tre
arr&ecirc;t&eacute; ou bloqu&eacute;. Pour plus d’informations, consultez le manuel AIX 5L Version 5.2
Network Information Service (NIS and NIS+) Guide.
mount: ...: Permission denied
Ce message signale tout &eacute;chec d’authentification sur le serveur. Il peut
s’afficher, dans l’exemple pr&eacute;c&eacute;dent, si vous ne figurez pas dans la liste
d’exportation, si le serveur n’a pas reconnu le d&eacute;mon ypbind sur votre
machine ou si le serveur refuse l’identit&eacute; que vous lui avez soumise.
V&eacute;rifiez le fichier /etc/exports du serveur et, le cas &eacute;ch&eacute;ant, le d&eacute;mon ypbind. Dans
ce cas, changez simplement votre nom d’h&ocirc;te &agrave; l’aide de la commande hostname et
relancez la commande mount.
mount: ...: Not a directory
Le chemin d’acc&egrave;s &agrave; distance ou local n’est pas un r&eacute;pertoire. V&eacute;rifiez le
libell&eacute; de la commande et lancez l’ex&eacute;cution sur chaque r&eacute;pertoire.
mount: ...: You are not allowed
Vous devez disposer des droits d’utilisateur racine ou &ecirc;tre membre du
groupe syst&egrave;me pour ex&eacute;cuter la commande mount sur votre machine, car
cette commande affecte le syst&egrave;me de fichiers pour tous les utilisateurs sur
cette machine. Seuls les utilisateurs racine et les membres du groupe
syst&egrave;me sont habilit&eacute;s &agrave; effectuer des montages et des d&eacute;montages NFS.
6-30
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Probl&egrave;mes de temps d’acc&egrave;s &agrave; NFS
Si l’acc&egrave;s aux fichiers distants semble anormalement lent, recherchez les causes possibles.
Il peut s’agir par exemple d’un d&eacute;mon incontr&ocirc;lable ou d’une ligne tty erron&eacute;e.
V&eacute;rification des processus
Sur le serveur, entrez :
ps
–ef
Si le serveur fonctionne normalement et que d’autres utilisateurs obtiennent les r&eacute;ponses
dans des d&eacute;lais satisfaisants, v&eacute;rifiez que votre d&eacute;mon biod est actif. Proc&eacute;dez comme
suit :
1. Ex&eacute;cutez la commande ps –ef et recherchez les d&eacute;mons biod dans la sortie.
Si ces d&eacute;mons sont arr&ecirc;t&eacute;s ou bloqu&eacute;s, passez aux &eacute;tapes 2 et 3.
2. Arr&ecirc;tez les d&eacute;mons biod actifs :
stopsrc –x biod –c
3. Lancez les d&eacute;mons biod :
startsrc –s biod
Pour d&eacute;terminer si les d&eacute;mons biod sont bloqu&eacute;s, ex&eacute;cutez plusieurs fois la commande
nfsstat –c pendant la p&eacute;riode qui correspond selon vous &agrave; un blocage des d&eacute;mons biod.
If there is no noticeable change in the number of Remote Procedure Call (RPC) client reads
or writes, one or more of the biod daemons are not performing their task. Vous pouvez
constater qu’un ou plusieurs d&eacute;mon(s) biod est/sont bloqu&eacute;(s), mais pas d&eacute;terminer
pr&eacute;cis&eacute;ment lequel est inactif.
V&eacute;rification des connexions r&eacute;seau
Si les d&eacute;mons biod fonctionnent, contr&ocirc;lez les connexions au r&eacute;seau. La commande
nfsstat v&eacute;rifie si des paquets sont perdus. Utilisez les commandes nfsstat –c et nfsstat –s
pour savoir si un client ou un serveur retransmet des blocs de grande taille. En effet, des
retransmissions sont toujours possibles lorsque des paquets ont &eacute;t&eacute; perdus ou que les
serveurs sont occup&eacute;s. Un taux de retransmission de 5 % est consid&eacute;r&eacute; comme &eacute;lev&eacute;.
La probabilit&eacute; de retransmissions peut &ecirc;tre r&eacute;duite en modifiant les param&egrave;tres des files
d’attente de transmission des cartes de communication. Pour cette op&eacute;ration, vous pouvez
utiliser SMIT (System Management Interface Tool).
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-31
Les valeurs recommand&eacute;es pour les serveurs NFS sont :
UTM
File d’attente de transmission
4 Mo
1500
50
16 Mo
3900
40 (Augmentez la valeur si la commande
nfsstat d&eacute;passe le d&eacute;lai imparti.)
Carte
anneau &agrave; jeton
1500
40 (Augmentez la valeur si la commande
nfsstat d&eacute;passe le d&eacute;lai imparti.)
40 (Augmentez la valeur si la commande
nfsstat d&eacute;passe le d&eacute;lai imparti.)
8500
Ethernet
1500
40 (Augmentez la valeur si la commande
nfsstat d&eacute;passe le d&eacute;lai imparti.)
Les tailles UTM maximales pour chaque vitesse d’anneau &agrave; jeton r&eacute;duisent l’utilisation du
processeur et favorisent consid&eacute;rablement les op&eacute;rations de lecture/&eacute;criture.
Remarques :
1. Appliquez ces valeurs aux clients NFS si les retransmissions se poursuivent.
2. Tous les nœuds d’un r&eacute;seau doivent utiliser la m&ecirc;me taille UTM.
Taille UTM
Pour d&eacute;finir la taille MTU, utilisez le raccourci Web-based System Manager, wsm, ou le
raccourci SMIT, smit chif. S&eacute;lectionnez la carte qui convient et indiquez une valeur UTM
dans le champ Maximum IP Packet Size.
Vous pouvez &eacute;galement utiliser la commande ifconfig (qui est obligatoire pour fixer la
taille UTM &agrave; 8500). Le format de la commande ifconfig est le suivant :
ifconfig tr n NodeName up mtu MTUSize
tr n &eacute;tant le nom de votre carte, tr0, par exemple.
Enfin, vous pouvez combiner les deux m&eacute;thodes : SMIT et la commande ifconfig.
1. Ajoutez la commande ifconfig pour les anneaux &agrave; jeton, comme indiqu&eacute; dans l’exemple
pr&eacute;c&eacute;dent, au fichier /etc/rc.bsdnet.
2. Entrez le raccourci smit setbootup_option. Faites basculer le champ Utilisation d’une
configuration rc de style BSD sur oui.
Tailles de files d’attente de transmission
La taille des files d’attente de transmission des cartes de communication se d&eacute;finit &agrave; l’aide
de SMIT. Entrez le raccourci smit chgtok, s&eacute;lectionnez la carte concern&eacute;e et indiquez une
taille de file d’attente dans le champ Transmit.
Intervention sur programmes bloqu&eacute;s
Si des programmes bloquent au cours d’un travail sur un fichier, le serveur NFS est peut
&ecirc;tre arr&ecirc;t&eacute;. Dans ce cas, le message d’erreur suivant s’affiche :
NFS
6-32
server
hostname not
responding,
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
still
trying
Le serveur NFS (hostname) est en panne. Ceci r&eacute;v&egrave;le un probl&egrave;me avec le serveur NFS,
la connexion r&eacute;seau ou le serveur NIS.
V&eacute;rifiez les serveurs &agrave; partir desquels vous avez mont&eacute; les syst&egrave;mes de fichiers si votre
machine est compl&egrave;tement bloqu&eacute;e. Si un ou plusieurs d’entre eux sont hors service, il n’y a
pas lieu de s’inqui&eacute;ter. Les programmes se poursuivront automatiquement d&egrave;s la remise en
service des serveurs. Aucun fichier n’est d&eacute;truit.
Si un serveur en montage logiciel expire, les autres travaux ne sont pas concern&eacute;s. Les
programmes qui d&eacute;passent le d&eacute;lai en tentant d’acc&eacute;der aux fichiers distants en montage
logiciel n’aboutissent pas et le message errno s’affiche. Mais vous pouvez toujours
acc&eacute;der aux autres syst&egrave;mes de fichiers.
Si tous les serveur fonctionnent, d&eacute;terminez si les autres personnes utilisant les m&ecirc;mes
serveurs rencontrent &eacute;galement des difficult&eacute;s. Si plusieurs machines sont dans ce cas,
l’anomalie provient des d&eacute;mons nfsd du serveur. Dans ce cas, connectez-vous au serveur
et ex&eacute;cutez la commande ps pour voir si le d&eacute;mon nfsd s’ex&eacute;cute et accumule du
temps CPU. Sinon, tentez d’arr&ecirc;ter et de relancer le d&eacute;mon nfsd. Si le probl&egrave;me persiste,
r&eacute;amorcez le serveur.
Si les autres syst&egrave;mes semblent en service et fonctionner normalement, v&eacute;rifiez votre
connexion r&eacute;seau et la connexion du serveur.
Droits d’acc&egrave;s et authentification
Une fois les montages correctement effectu&eacute;s, vous pouvez rencontrer des difficult&eacute;s de
lecture, &eacute;criture ou cr&eacute;ation de fichiers ou r&eacute;pertoires distants. Ce type de difficult&eacute;s est
g&eacute;n&eacute;ralement d&ucirc; &agrave; des probl&egrave;mes de droits ou d’authentification. La cause de ces
probl&egrave;mes de droit ou d’authentification d&eacute;pendent du NIS utilis&eacute; ou de la protection
appliqu&eacute;e aux montages.
Dans le cas de figure le plus simple, les montages ne sont pas s&eacute;curis&eacute;s et NIS n’est pas
utilis&eacute;. Dans ce cas, les ID utilisateur (UID) et les ID groupe (GID) sont alors mapp&eacute;s par le
seul biais des fichiers serveur et clients /etc/passwd et /etc/group, respectivement. Dans
ce cas, pour qu’un utilisateur appel&eacute; john soit identifi&eacute; comme john sur le client et sur le
serveur, l’utilisateur john doit disposer dans le fichier /etc/passwd du m&ecirc;me ID utilisateur.
En voici un contre-exemple :
User
User
User
john
john
jane
is
is
is
uid
uid
uid
200
250
200
on
on
on
client
server
server
foo.
bar.
bar.
Le r&eacute;pertoire /home/bar est mont&eacute; &agrave; partir du serveur bar sur le client foo. Si l’utilisateur
john &eacute;dite des fichiers sur le syst&egrave;me de fichiers distant /home/bar du client foo, la
sauvegarde des fichiers g&eacute;n&eacute;rera des confusions.
Pour le serveur bar, les fichiers appartiennent &agrave; user jane, car l’ID de jane est 200 sur
bar. Si john se connecte directement &agrave; bar par la commande rlogin, il est probable qu’il
ne pourra pas acc&eacute;der aux fichiers qu’il vient de cr&eacute;er en travaillant sur le syst&egrave;me de
fichiers mont&eacute; &agrave; distance. En revanche, jane peut y acc&eacute;der car les machines g&egrave;rent les
droits d’acc&egrave;s par UID et non par nom.
La seule solution pour r&eacute;soudre ce probl&egrave;me durablement est de r&eacute;affecter des UID
coh&eacute;rents sur les deux machines. Par exemple, attribuez &agrave; john l’UID 200 sur le serveur
bar ou 250 sur le client foo. Il faut alors appliquer aux fichiers appartenant &agrave; john la
commande chown pour que les nouveaux ID leur soient attribu&eacute;s sur les machines
correspondantes.
En raison des probl&egrave;mes de maintien de mappages UID et GID coh&eacute;rents sur toutes les
machines d’un r&eacute;seau, NIS ou NIS+ est souvent utilis&eacute; pour pallier ce type de probl&egrave;me.
Reportez–vous &agrave; AIX 5L Version 5.2 NIS/NIS+ (Network Information Services) Guide pour
plus d’informations.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-33
R&eacute;solution des noms sur un serveur NFS
Lorsqu’un serveur NFS prend en compte une requ&ecirc;te de montage, il recherche le nom du
client demandeur. Le serveur recherche, sur la base de l’adresse IP (Internet Protocol) du
client, le nom h&ocirc;te correspondant &agrave; cette adresse. Muni de ce nom, le serveur consulte la
liste d’exportation du r&eacute;pertoire demand&eacute; et v&eacute;rifie que le client est cit&eacute; dans la liste d’acc&egrave;s
au r&eacute;pertoire. S’il trouve une entr&eacute;e relative au client qui corresponde exactement au
r&eacute;sultat de la r&eacute;solution de noms, l’authentification est accord&eacute;e &agrave; ce niveau.
Si le serveur ne parvient pas &agrave; r&eacute;soudre l’adresse IP en nom d’h&ocirc;te, il rejette la demande
de montage. Le serveur doit &ecirc;tre en mesure de trouver une correspondance pour l’adresse
IP du client demandeur. Si le r&eacute;pertoire est export&eacute; avec une autorisation d’acc&egrave;s accord&eacute;e
&agrave; tous les clients, le serveur peut effectuer la r&eacute;solution inverse pour accepter la demande
de montage.
Le serveur doit &eacute;galement retrouver le nom exact du client. Consid&eacute;rons par exemple une
entr&eacute;e du fichier /etc/exports telle que :
/tmp
–access=silly:funny
A cette entr&eacute;e correspondent, dans le fichier /etc/hosts, les entr&eacute;es suivantes :
150.102.23.21
150.102.23.52
silly.domain.name.com
funny.domain.name.com
Remarquons que les noms ne correspondent pas exactement. Lorsque le serveur
recherche les &eacute;quivalences adresse IP– nom d’h&ocirc;te pour les h&ocirc;tes silly et funny, il ne
retrouve pas exactement les m&ecirc;mes cha&icirc;nes de nom dans la liste d’acc&egrave;s d’exportation.
Ce ph&eacute;nom&egrave;ne se produit g&eacute;n&eacute;ralement lorsque la r&eacute;solution de noms est effectu&eacute;e par le
d&eacute;mon named. En effet, la plupart des bases de donn&eacute;es du d&eacute;mon named contiennent
des alias des noms complets des h&ocirc;tes pour simplifier la t&acirc;che de l’utilisateur lors de la
sp&eacute;cification des h&ocirc;tes. Bien que des entr&eacute;es noms h&ocirc;te-adresses IP existent pour les
alias, la recherche invers&eacute;e peut ne pas &ecirc;tre d&eacute;finie. La base de donn&eacute;es pour la recherche
invers&eacute;e (adresse IP – nom h&ocirc;te) contient g&eacute;n&eacute;ralement des entr&eacute;es indiquant l’adresse IP
et le nom complet de domaine (et non l’alias) de cet h&ocirc;te. Parfois, les entr&eacute;es d’exportation
sont cr&eacute;&eacute;es avec l’alias et le client rencontre des difficult&eacute;s lorsqu’il tente d’effectuer un
montage.
Limitation du nombre de groupes dans la structure NFS
Sur les syst&egrave;mes qui utilisent NFS version 3.2, les utilisateurs ne peuvent pas, sans
complications, &ecirc;tre membres de plus de 16 groupes. (Les groupes sont d&eacute;finis via la
commande groups.) Si un utilisateur d&eacute;pend de 17 groupes, il ne sera pas autoris&eacute; &agrave; lire
ou copier les fichiers du 17&egrave;me. Il faut alors modifier l’ordre de ces groupes pour lui
permettre d’acc&eacute;der &agrave; ces fichiers.
Montage &agrave; partir de serveurs &eacute;quip&eacute;s d’une version NFS ant&eacute;rieure
Lors du montage d’un syst&egrave;me de fichiers &agrave; partir d’un serveur NFS de version ant&eacute;rieure &agrave;
la 3 vers un client NFS version 3, l’utilisateur r&eacute;sidant sur le client rencontrera des difficult&eacute;s
de montage s’il est membre de plus de 8 groupes. En effet, certains serveurs, incapables de
traiter correctement ce cas, refusent la demande de montage. La seule solution consiste &agrave;
r&eacute;duire le nombre de groupes auxquels appartient l’utilisateur concern&eacute; et de soumettre de
nouveau la demande de montage. Le message d’erreur suivant est caract&eacute;ristique de ce
type de probl&egrave;me :
RPC:
6-34
Authentication
error;
why=Invalid
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
client
credential
Cons&eacute;quences d’une extension de noyau NFS non charg&eacute;e
Certaines commandes NFS ne s’ex&eacute;cutent pas correctement si l’extension de noyau NFS
n’est pas charg&eacute;e. Parmi ces commandes : nfsstat, exportfs, mountd, nfsd et biod.
Lorsque NFS est install&eacute; sur le syst&egrave;me, l’extension du noyau est plac&eacute;e dans le fichier
/usr/lib/drivers/nfs.ext. Ce fichier est ensuite charg&eacute; comme extension de noyau lors de la
configuration du syst&egrave;me. Le script qui constitue cette extension charge le fichier
/etc/rc.net. Ce script pr&eacute;voit &eacute;galement, entre autres choses, le chargement de l’extension
NFS. Remarquons &agrave; ce sujet, que l’extension de noyau TCP/IP (Transmission Control
Protocol/Internet Protocol) doit &ecirc;tre charg&eacute;e avant l’extension de noyau NFS.
Remarque :
La commande gfsinstall est utilis&eacute;e pour charger l’extension NFS dans le
noyau au d&eacute;marrage initial du syst&egrave;me. Cette commande peut &ecirc;tre lanc&eacute;e
plusieurs fois par amor&ccedil;age sans g&eacute;n&eacute;rer de complications. Le syst&egrave;me est
actuellement livr&eacute; avec la commande gfsinstall, pr&eacute;sente &agrave; la fois dans le
fichier /etc/rc.net et le fichier /etc/rc.nfs. Ce doublon est correct. Il est
inutile de supprimer l’une ou l’autre de ces occurrences.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-35
Informations de r&eacute;f&eacute;rence NFS
Liste des fichiers NFS (Network File System)
bootparams
Recense les clients qui peuvent &ecirc;tre utilis&eacute;s pour le d&eacute;marrage des
clients sans disque.
exports
Recense les r&eacute;pertoires qui peuvent &ecirc;tre export&eacute;s vers des clients
NFS.
r&eacute;seau
Contient des informations sur les r&eacute;seaux du r&eacute;seau Internet.
Fichier de
configuration
pcnfsd.conf
Fournit les options de configuration du d&eacute;mon rpc.pcnfsd.
rpc
Contient les informations de base de donn&eacute;es pour les programmes
RPC (Remote Procedure Call).
xtab
Recense les r&eacute;pertoires actuellement export&eacute;s.
/etc/filesystems
R&eacute;pertorie tous les syst&egrave;mes de fichiers qui sont mont&eacute;s au
d&eacute;marrage du syst&egrave;me.
Liste des commandes NFS
chnfs
Lance un nombre donn&eacute; de d&eacute;mons biod et nfsd.
mknfs
Configure le syst&egrave;me pour qu’il ex&eacute;cute NFS et lance les d&eacute;mons NFS.
nfso
Configure les options de r&eacute;seau NFS.
automount
Monte automatiquement un syst&egrave;me de fichiers NFS.
chnfsexp
Modifie les attributs d’un r&eacute;pertoire export&eacute; vers NFS.
chnfsmnt
Modifie les attributs d’un r&eacute;pertoire mont&eacute; sur NFS.
exportfs
Exporte et annule l’exportation de r&eacute;pertoires vers des clients NFS.
lsnfsexp
Affiche les caract&eacute;ristiques des r&eacute;pertoires export&eacute;s avec NFS.
lsnfsmnt
Affiche les caract&eacute;ristiques des syst&egrave;mes NFS mont&eacute;s.
mknfsexp
Exporte un r&eacute;pertoire en utilisant NFS.
mknfsmnt
Monte un r&eacute;pertoire en utilisant NFS.
rmnfs
Arr&ecirc;te les d&eacute;mons NFS.
rmnfsexp
Supprime les r&eacute;pertoires NFS export&eacute;s de la liste des exportations d’un
serveur.
rmnfsmnt
Supprime les syst&egrave;mes de fichiers NFS mont&eacute;s de la liste des
montages d’un client.
Liste des d&eacute;mons NFS
Verrouillage des d&eacute;mons
6-36
lockd
Traite les requ&ecirc;tes de verrouillage par le biais du module RPC.
statd
Fournit des fonctions de reprise pour les services de verrouillage sur
NFS.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Utilitaires et d&eacute;mons de service r&eacute;seau
biod
Envoie les requ&ecirc;tes de lecture et d’&eacute;criture du client au serveur.
mountd
R&eacute;pond aux requ&ecirc;tes des clients pour le montage de syst&egrave;mes de
fichiers.
nfsd
Lance le d&eacute;mon qui traite une requ&ecirc;te de client concernant les
op&eacute;rations sur les syst&egrave;mes de fichiers.
pcnfsd
Traite les requ&ecirc;tes de service des clients PC–NFS.
nfsstat
Affiche les informations concernant les possibilit&eacute;s pour une machine
de recevoir les appels.
on
Ex&eacute;cute des commandes sur des machines distantes.
portmap
Mappe les num&eacute;ros de programme RPC et les num&eacute;ros de port
Internet.
rexd
Accepte les requ&ecirc;tes d’ex&eacute;cution de programmes &agrave; partir de machines
distantes.
rpcgen
G&eacute;n&egrave;re le code C afin d’impl&eacute;menter le protocole RPC.
rpcinfo
Rend compte de l’&eacute;tat des serveurs RPC.
rstatd
Renvoie les statistiques de performance obtenues du noyau.
rup
Affiche l’&eacute;tat d’un h&ocirc;te distant sur le r&eacute;seau local.
rusers
Recense les utilisateurs connect&eacute;s sur des machines distantes.
rusersd
R&eacute;pond aux requ&ecirc;tes de la commande rusers.
rwall
Envoie des messages &agrave; tous les utilisateurs du r&eacute;seau.
rwalld
G&egrave;re les requ&ecirc;tes de la commande rwall.
showmount
Affiche la liste de tous les clients ayant mont&eacute; des syst&egrave;mes de fichiers
distants.
spray
Envoie un nombre sp&eacute;cifique de paquets &agrave; un h&ocirc;te.
sprayd
Re&ccedil;oit les paquets envoy&eacute;s par la commande spray.
Utilitaires et d&eacute;mons de s&eacute;curit&eacute; du r&eacute;seau
chkey
Modifie la cl&eacute; de chiffrement de l’utilisateur.
keyenvoy
Fournit un interm&eacute;diaire entre les processus utilisateur et le serveur de
cl&eacute;.
keylogin
D&eacute;crypte et enregistre la cl&eacute; priv&eacute;e de l’utilisateur.
keyserv
Enregistre les cl&eacute;s publiques et les cl&eacute;s priv&eacute;es.
mkkeyserv
Lance le d&eacute;mon keyserv et annule la mise en commentaire des
entr&eacute;es appropri&eacute;es dans le fichier /etc/rc.nfs.
newkey
Cr&eacute;e une nouvelle cl&eacute; dans le fichier publickey.
rmkeyserv
Arr&ecirc;te le d&eacute;mon keyserv et met en commentaire l’entr&eacute;e correspondant
au d&eacute;mon keyserv dans le fichier /etc/rc.nfs.
ypupdated
Met &agrave; jour les informations des mappes NIS (Network Information
Service).
Pour plus d’informations sur la s&eacute;curit&eacute; NFS, reportez–vous &agrave; Network File System (NFS)
Security dans le manuel AIX 5L Version 5.2 Security Guide.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-37
Support des clients sans disque Sun
bootparamd
Fournit les informations n&eacute;cessaires au d&eacute;marrage des clients sans
disque.
Sous–routines NFS
cbc_crypt, des_setparity ou ecb_crypt Impl&eacute;mente les routines DES (Data Encryption
Standard).
6-38
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
SMBFS
Server Message Block Filesystem (SMBFS) permet d’acc&eacute;der aux partages sur les
serveurs SMB en tant que syst&egrave;mes de fichiers sous AIX. Dans ce syst&egrave;me de fichiers,
l’utilisateur peut cr&eacute;er, supprimer, lire, &eacute;crire et modifier les dur&eacute;es d’acc&egrave;s aux fichiers et
aux r&eacute;pertoires. Le propri&eacute;taire ou le mode d’acc&egrave;s des fichiers et des r&eacute;pertoires ne peut
pas &ecirc;tre modifi&eacute;.
SMBFS peut &ecirc;tre utilis&eacute; pour acc&eacute;der &agrave; des fichiers sur un serveur SMB. Le serveur SMB
est un serveur ex&eacute;cutant Samba, un serveur AIX ex&eacute;cutant AIX Fast Connect ou un serveur
ou une station de travail Windows XP, Windows NT ou Windows 2000. Chacun de ces types
de serveur permet d’exporter un r&eacute;pertoire en tant que partage. Ce partage peut ensuite
&ecirc;tre mont&eacute; sur un syst&egrave;me AIX ex&eacute;cutant SMBFS.
Installation de SMBFS
Pour installer SMBFS sur un syst&egrave;me AIX, installez bos.cifs_fs.
Lorsque bos.cifs_fs est install&eacute;, le p&eacute;riph&eacute;rique nsmb0 est cr&eacute;&eacute;. Le p&eacute;riph&eacute;rique permet &agrave;
la commande mount d’&eacute;tablir une connexion entre le serveur SMB et le client.
Montage du syst&egrave;me de fichiers
Le r&eacute;pertoire peut &ecirc;tre mont&eacute; de l’une des deux fa&ccedil;on suivantes. Vous pouvez utiliser la
commande AIX mount. Par exemple :
mount –v cifs –n pezman/user1/pass1 –o uid=201,fmode=750 /home /mnt
Pour plus d’informations sur la commande mount et pour obtenir des explications sur les
indicateurs utilis&eacute;s, reportez–vous &agrave; la commande mount dans le manuel AIX 5L Version
5.2 Commands Reference.
Vous pouvez aussi monter le syst&egrave;me de fichiers avec l’utilitaire SMIT, smit cifs_fs, qui
ex&eacute;cute la commande mount apr&egrave;s avoir collect&eacute; toutes les informations n&eacute;cessaires.
Pour monter un syst&egrave;me de fichiers SMBFS, il es n&eacute;cessaire de fournir un nom utilisateur et
un mot de passe pour vous authentifier au serveur. Ce nom utilisateur et ce mot de passe
sont utilis&eacute;s pour ex&eacute;cuter toute les op&eacute;rations sur les fichiers requises sur le serveur. Le
champ Password dans le panneau smit n’est pas consid&eacute;r&eacute; comme requis. Cependant, si
ce champ n’est pas compl&eacute;t&eacute;, le syst&egrave;me demande &agrave; l’utilisateur de fournir un mot de passe
via l’invite de mot de passe standard d’AIX. De cette fa&ccedil;on, l’utilisateur peut fournir un mot
de passe sans qu’il soit visible.
Lorsqu’une commande de syst&egrave;me de fichiers, par exemple une op&eacute;ration de lecture, est
appel&eacute; pour un fichier dans le point de montage SMBFS, une requ&ecirc;te de lecture du fichier
est envoy&eacute;e au serveur. Le nom utilisateur et le mot de passe sont envoy&eacute;s avec cette
requ&ecirc;te afin que le serveur puisse d&eacute;terminer si l’utilisateur poss&egrave;de des droits sur le
serveur pour lire le fichier. Par cons&eacute;quent, c’est le serveur qui d&eacute;cide en derni&egrave;re instance
si une op&eacute;ration sur un fichier est autoris&eacute;e.
En revanche, l’option fmode permet &agrave; l’utilisateur root du syst&egrave;me client de contr&ocirc;ler
l’acc&egrave;s aux fichiers sur le serveur avant que ce dernier soit interrog&eacute;. Si l’option fmode
n’est pas fournie par l’utilisateur, la valeur par d&eacute;faut est 755. Le tableau suivant montre
comment l’option fmode utilise une requ&ecirc;te en &eacute;criture :
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-39
Num&eacute;ro de
cas
utilisateur
authentifi&eacute;
pour le
serveur
utilisateur
c&ocirc;t&eacute; client
souhaitant
un acc&egrave;s en
&eacute;criture
propri&eacute;taire
du montage,
groupe et
mode
propri&eacute;taire, acc&egrave;s
groupe et
autoris&eacute;
mode sur le
serveur
Cas 1
utilisateur1
utilisateur2
utilisateur1,
personnel
rwxr–xr–x
utilisateur1,
personnel
rwxrwxr–x
non
Cas 2
utilisateur1
root
utilisateur1,
personnel
rwxr–xr–x
utilisateur2,
personnel
rwxr–xr–x
non
Cas 3
utilisateur1
utilisateur1
utilisateur1,
personnel
rwxr–xr–x
utilisateur2,
personnel
rwxrwxr–x
oui
Cas 4
utilisateur1
utilisateur1
utilisateur,
personnel
rwxr–xr–x
root,
syst&egrave;me
rwx––––––
non
Cas 5
utilisateur1
utilisateur1
utilisateur1,
personnel
rwxr–xr–x
root,
syst&egrave;me
rwxrwxrwx
oui
Dans le Cas 1, l’acc&egrave;s a &eacute;t&eacute; refus&eacute; car le propri&eacute;taire, le groupe et le mode du montage sur
le client n’ont pas accord&eacute; un acc&egrave;s en &eacute;criture &agrave; utilisateur2.
Dans le Cas 2, l’acc&egrave;s a &eacute;t&eacute; refus&eacute; bien que root ait acc&egrave;s &agrave; tout les &eacute;l&eacute;ments c&ocirc;t&eacute; client,
mais l’utilisateur authentifi&eacute; par le serveur, utilisateur1, n’a pas acc&egrave;s au fichier sur le
serveur.
Dans le Cas 3, l’acc&egrave;s a &eacute;t&eacute; accord&eacute; car utilisateur1 &eacute;tait le propri&eacute;taire au montage,
et utilisateur1, &eacute;tant membre d’un groupe personnel sur le serveur, avait acc&egrave;s au
fichier sur le serveur.
Dans le Cas 4, l’acc&egrave;s a &eacute;t&eacute; refus&eacute; car, bien que utilisateur1 soit le propri&eacute;taire au
montage, le fichier appartient &agrave; root sur le serveur sans acc&egrave;s par un groupe ou un autre
membre.
Dans le Cas 5, l’acc&egrave;s a &eacute;t&eacute; accord&eacute; car utilisateur1 &eacute;tait le propri&eacute;taire au montage,
et utilisateur1 avait acc&egrave;s au fichier sur le serveur via d’autres droits.
6-40
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Identification des incidents SMBFS
Si la commande mount ou le raccourci smit cifs_fs renvoie une erreur, prenez en compte
les points suivants :
• V&eacute;rifiez que le nom d’utilisateur et le mot de passe sont corrects. Le nom d’utilisateur et
le mot de passe doivent acc&eacute;der au partage sur le serveur.
• V&eacute;rifiez que le nom du serveur est correct. Si le nom du serveur est correct, utilisez le
nom h&ocirc;te enti&egrave;rement qualifi&eacute; au cas o&ugrave; le serveur ne fasse pas partie du m&ecirc;me
sous–r&eacute;seau que le client. Vous pouvez aussi essayer d’utiliser l’adresse IP du serveur.
• V&eacute;rifiez que la commande lsdev –L|grep nsmb renvoie un nom d’unit&eacute;. Si une unit&eacute;
nsmb n’est pas disponible, le client AIX ne pourra pas &eacute;tablir une connexion au serveur
SMB.
• V&eacute;rifiez que le nom du partage est correct. Si le partage n’existe pas sur le serveur ou
n’est pas accessible avec le nom d’utilisateur et le mot de passe indiqu&eacute;s, le serveur
SMB rejette la demande de connexion.
• Utilisez l’ID d’&eacute;v&eacute;nement 525 pour collecter les donn&eacute;es de trace syst&egrave;me pour SMBFS.
Syst&egrave;me de fichiers r&eacute;seau et SMBFS
6-41
6-42
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 7. Unit&eacute;s TTY et communications s&eacute;rie
Ce chapitre est consacr&eacute; &agrave; la gestion des unit&eacute;s de terminal TTY. Les sujets abord&eacute;s sont
les suivants :
• G&eacute;n&eacute;ralit&eacute;s TTY page 7-2
• Gestion des unit&eacute;s TTY page 7-4
• Utilitaire d’&eacute;cran dynamique page 7-6
• Modems page 7-12
• D&eacute;finition des options de terminal avec stty–cxma page 7-24
• G&eacute;n&eacute;ralit&eacute;s ATE page 7-27
• Configuration de ATE page 7-29
• R&eacute;solution des incidents TTY page 7-30
Unit&eacute;s TTY et communications s&eacute;rie
7-1
G&eacute;n&eacute;ralit&eacute;s TTY
Une unit&eacute; de terminal tty est une unit&eacute; en mode caract&egrave;re qui effectue des entr&eacute;es-sorties
caract&egrave;re par caract&egrave;re. La communication entre ces unit&eacute;s et les programmes qui y
acc&egrave;dent en lecture ou en &eacute;criture est contr&ocirc;l&eacute;e par l’interface tty. On trouve parmi les
unit&eacute;s tty :
• Modems
• Terminaux ASCII
• Console Syst&egrave;me (LFT)
• aixterm sous AIXwindows.
Il est possible d’ajouter, de supprimer, d’afficher ou de modifier des unit&eacute;s tty comme
n’importe quelle autre unit&eacute; du syst&egrave;me, &agrave; l’aide de l’application Web-based System
Manager Devices, via SMIT ou des commandes propres aux unit&eacute;s.
Variable TERM pour diff&eacute;rents &eacute;crans et terminaux
Les informations relatives aux fonctions des terminaux sont stock&eacute;es dans la base de
donn&eacute;es terminfo. Chaque terminal est d&eacute;crit par la variable d’environnement TERM dans
la base de donn&eacute;es terminfo. Les programmes y trouvent toutes les donn&eacute;es n&eacute;cessaires
&agrave; l’&eacute;tablissement de la communication avec une unit&eacute; tty courante.
Valeurs TERM pour divers terminaux
Ecran/Terminal
Valeur
Terminal ASCII 3161
ibm3161
Terminal ASCII 3163
ibm3161
DEC VT100 (terminal)
vt100
DECVT220
vt220
Station &eacute;cran ASCII 3151 ou 3161 avec cartouche
ibm3161-C
Station &eacute;cran ASCII 3162
ibm3161
Station &eacute;cran ASCII 3162 avec cartouche
ibm3162
Ecran 6091
lft
AIXwindows
aixterm
Pour des informations sur les entr&eacute;es de la base de donn&eacute;es terminfo, reportez-vous au
format de fichier terminfo. Pour convertir les entr&eacute;es termcap en entr&eacute;es terminfo,
reportez-vous &agrave; la commande captoinfo. (Le fichier termcap contient la description des
terminaux des anciens syst&egrave;mes Berkeley.)
D&eacute;finition des caract&eacute;ristiques de terminal TTY
Le protocole de liaison fournit une interface utilisateur ind&eacute;pendante du mat&eacute;riel entre
l’ordinateur et une unit&eacute; asynchrone. Ainsi, un utilisateur peut supprimer une simple ligne ou
interrompre un processus en cours en entrant une s&eacute;quence de caract&egrave;res. Vous avez la
possibilit&eacute; de d&eacute;finir vous m&ecirc;me ces s&eacute;quences, ainsi que les caract&eacute;ristiques des
terminaux (vitesse de communication, par exemple), &agrave; l’aide de l’application Web-based
System Manager Devices, la commande chdev, l’outil SMIT ou la commande stty.
7-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
D&eacute;finition des attributs de l’unit&eacute; TTY raccord&eacute;e
L’&eacute;tablissement d’une communication entre l’h&ocirc;te et l’unit&eacute; tty raccord&eacute;e exige :
• un c&acirc;ble de communication,
• Mise en concordance des attributs de communication (vitesse de liaison, longueur de
mot, parit&eacute;, bit d’arr&ecirc;t et interface) identiques sur l’h&ocirc;te et l’unit&eacute; tty raccord&eacute;e.
Unit&eacute;s TTY et communications s&eacute;rie
7-3
Gestion des unit&eacute;s TTY
Pour effectuer une t&acirc;che d&eacute;crite dans le tableau suivant, une unit&eacute; tty doit &ecirc;tre install&eacute;e.
Gestion des t&acirc;ches li&eacute;es aux unit&eacute;s TTY
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Web-based System
Manager Management
Environment
Liste des unit&eacute;s TTY smit lsdtty
d&eacute;finies
lsdev –C –c tty –H
Software ––&gt; Devices
––&gt; All Devices.
Ajout d’un terminal
TTY
mkdev –t tty1,2
Software ––&gt; Devices
––&gt; Overview and
Tasks.
smit mktty
Associer un terminal smit movtty
TTY &agrave; un autre port3
chdev –l Nom –p
Nom Parent –w
Emplacement
Connexion2,4
Modifier/afficher les
caract&eacute;ristiques
d’un terminal TTY
smit chtty
lsattr –l Nom –E
(afficher); chdev –l
Nom (modifier)4,5
Software ––&gt; Devices
––&gt; All Devices ––&gt;
Selected ––&gt;
Properties.
Suppression d’un
terminal TTY3
smit rmtty
rmdev –l Nom
Software ––&gt; Devices
––&gt; All Devices ––&gt;
Selected ––&gt; Delete.
Configuration d’un
terminal TTY d&eacute;fini
(rendre disponible)
smit mktty
mkdev –l Nom
Software ––&gt; Devices
––&gt; Overview and
Tasks.
Remarques :
1. D’autres indicateurs peuvent &ecirc;tre utilis&eacute;s pour d&eacute;finir plus pr&eacute;cis&eacute;ment la nouvelle unit&eacute;
tty. Dans l’exemple ci dessous, il s’agit de d&eacute;finir et de configurer l’unit&eacute; tty RS–232
connect&eacute;e au port 0 sur la carte asynchrone 8 ports sa3 avec un d&eacute;bit de 19200
(attribut speed), la valeur des autres attributs &eacute;tant extraite du fichier foo :
mkdev –t tty –s rs232 –p sa3 –w 0 –a speed=19200 –f foo
2. Les commandes mkdev et chdev prennent en charge les options incompatibles avec
Web-based System Manager ou SMIT.
3. D&eacute;sactivez l’unit&eacute; tty avant d’effectuer cette t&acirc;che. Reportez-vous &agrave; la commande
pdisable.
4. Utilisez des indicateurs pour modifier les caract&eacute;ristiques sp&eacute;cifiques d’une unit&eacute; tty &agrave;
partir de la ligne de commande.
5. Vous pouvez s&eacute;lectionner un d&eacute;bit en bauds Posix dans la liste ou saisir directement le
d&eacute;bit en bauds non–Posix dans la zone de saisie. Si le d&eacute;bit en bauds s&eacute;lectionn&eacute; ne
peut pas &ecirc;tre pris en charge par le modem, le syst&egrave;me affiche un message d’erreur.
Si vous ajoutez ou modifiez une unit&eacute; tty &agrave; partir de la ligne de commande, reportez-vous &agrave;
la liste ci-dessous pour rechercher le nom d’attribut que vous devez sp&eacute;cifier avec
l’indicateur –a Attribute=valeur pour la caract&eacute;ristique &agrave; d&eacute;finir. Par exemple, sp&eacute;cifiez
a speed=valeur pour d&eacute;finir le d&eacute;bit en bauds de l’unit&eacute; tty.
7-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Caract&eacute;ristique
Attribut
Activation de la CONNEXION
login
Vitesse de transmission (BAUDS)
rapidit&eacute;
PARITE
parity
BITS par caract&egrave;re
bpc
Nombre de BITS D’ARRET
stops
DELAI avant passage &agrave; d&eacute;f. de port
suivante
timeout
Etablissement de liaison XON-XOFF
xon
Type de TERMINAL
term
CONTROLE DE FLUX &agrave; utiliser
flow_disp
PROTOCOLE OUVERT &agrave; utiliser
open_disp
Attributs STTY pour le temps
d’EXECUTION
runmodes
Attributs STTY pour la CONNEXION
logmodes
EXECUTION gestionnaire activit&eacute; du shell
shell
Nom de CONNEXION
logger
ETAT de l’unit&eacute; au moment de
l’AMORCAGE
autoconfig
Nombre de m&eacute;moires tampons
D’EMISSION
tbc
Niveau de d&eacute;clenchement de la
RECEPTION
rtrig
Modules STREAMS &agrave; ajouter &agrave; l’ouverture
modules
Fichier mappe d’ENTREE
imap
Fichier mappe de SORTIE
omap
Fichier mappe de JEU DE CODES
csmap
Caract&egrave;re INTERRUPT
intr
Caract&egrave;re QUIT
quit
Caract&egrave;re ERASE
erase
Caract&egrave;re KILL
kill
Caract&egrave;re END OF FILE
eof
Caract&egrave;re END OF LINE
eol
Deuxi&egrave;me caract&egrave;re EOL
eol2
Caract&egrave;re DELAY SUSPEND PROCESS
dsusp
Caract&egrave;re SUSPEND PROCESS
susp
Caract&egrave;re LITERAL NEXT
lnext
Caract&egrave;re START
start
Caract&egrave;re STOP
stop
Caract&egrave;re WORD ERASE
werase
Caract&egrave;re REPRINT LINE
reprint
Caract&egrave;re DISCARD
discard
Unit&eacute;s TTY et communications s&eacute;rie
7-5
Utilitaire d’&eacute;cran dynamique
L’utilitaire d’&eacute;cran dynamique, ou commande dscreen, permet de connecter un terminal
physique &agrave; plusieurs sessions de terminal virtuel (&eacute;crans) simultan&eacute;ment. Il a &eacute;t&eacute; con&ccedil;u
principalement pour les terminaux &agrave; pages de m&eacute;moire &eacute;cran multiples (&eacute;crans 3151
mod&egrave;le 310 ou 410 avec cartouche d’extension, par exemple). En effet, sur ce type de
terminal, passer d’un &eacute;cran virtuel &agrave; l’autre revient &agrave; changer de page &eacute;cran de terminal
physique, ce qui permet de sauvegarder et de restaurer chaque image d’&eacute;cran virtuel. La
commande dscreen peut &eacute;galement &ecirc;tre appliqu&eacute;e &agrave; des terminaux sans pages de
m&eacute;moire &eacute;cran multiples pour passer d’une session &eacute;cran virtuel &agrave; l’autre, mais dans ce
cas, l’apparence de l’&eacute;cran sera modifi&eacute;e.
Remarque :
Pour une prise en charge compl&egrave;te de dscreen, le terminal doit pouvoir sur
commande passer d’une page &eacute;cran interne &agrave; l’autre et m&eacute;moriser la
position du curseur sur chaque page. dscreen peut &ecirc;tre exploit&eacute; sur des
terminaux intelligents ou non, mais les images &eacute;cran ne sont pas
sauvegard&eacute;es lors des changements d’&eacute;cran sur les terminaux non
intelligents.
Fichier de configuration de terminal dscreen
Le fichier dsinfo, fichier de configuration de terminal pour dscreen, sert &agrave; d&eacute;finir diff&eacute;rents
jeux de touches &agrave; utiliser avec cette commande, notamment lorsque les touches dscreen
initialement d&eacute;finies ne sont pas compatibles avec une application exploit&eacute;e sur le syst&egrave;me.
Le type de terminal d&eacute;fini dans le fichier dsinfo admet par d&eacute;faut une seule page de
m&eacute;moire &eacute;cran. Si le terminal utilis&eacute; en accepte davantage, ce fichier doit &ecirc;tre modifi&eacute; pour
int&eacute;grer la s&eacute;quence n&eacute;cessaire au contr&ocirc;le de la m&eacute;moire de page. Reportez-vous au
manuel de r&eacute;f&eacute;rence du terminal pour conna&icirc;tre la s&eacute;quence de contr&ocirc;le sp&eacute;cifique.
Le fichier dsinfo par d&eacute;faut est /usr/lbin/tty/dsinfo. Utilisez l’indicateur –i pour en sp&eacute;cifier
un autre. Les informations d&eacute;velopp&eacute;es dans cette section se rapportent au fichier par
d&eacute;faut mais elles sont valables pour n’importe quel autre fichier dsinfo cr&eacute;&eacute;.
Pour plus d’informations, reportez-vous &agrave; la section ”Affectation d’&eacute;cran dynamique”
page 7-8.
Affectation de touches
L’ex&eacute;cution de dscreen ouvre un &eacute;cran virtuel. Certaines touches du clavier ne sont pas
transmises &agrave; cet &eacute;cran : dscreen les intercepte et ex&eacute;cute, &agrave; leur activation, les actions
suivantes :
Select (voir Select Keys page 7-7)
S&eacute;lectionne un &eacute;cran.
Block (voir Block Keys page 7-7)
Bloque toute entr&eacute;e et sortie.
New (voir New Keys page 7-7)
Ouvre une nouvelle session &eacute;cran.
End (voir End and Quit Keys page 7-7)
Arr&ecirc;te l’utilitaire dscreen.
Quit (voir End and Quit Keys page 7-7)
Quitte l’utilitaire dscreen.
Previous (voir Previous Key page 7-7)
Revient &agrave; l’&eacute;cran pr&eacute;c&eacute;dent.
List (voir List Key page 7-7)
Affiche les touches affect&eacute;es &agrave; dscreen et
leur fonction respective.
La fonction de chaque touche d&eacute;pend du terminal et de sa d&eacute;finition dans le fichier
/usr/lbin/tty/dsinfo.
7-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Touche de s&eacute;lection (Select)
A chaque &eacute;cran virtuel cr&eacute;&eacute; est affect&eacute;e une touche de s&eacute;lection.
Lorsqu’elle est activ&eacute;e, elle :
• assure le basculement du terminal physique &agrave; la page vid&eacute;o associ&eacute;e &agrave; l’&eacute;cran virtuel,
• r&eacute;achemine les entr&eacute;es-sorties entre le terminal physique et l’&eacute;cran virtuel.
Une fois que toutes les touches de s&eacute;lection d&eacute;finies dans le fichier dsinfo ont &eacute;t&eacute;
associ&eacute;es &agrave; un &eacute;cran virtuel, il n’est plus possible de cr&eacute;er d’&eacute;cran. Les sessions &eacute;cran
individuelles sont ferm&eacute;es lorsque le processus shell initial s’arr&ecirc;te. La touche associ&eacute;e est
alors lib&eacute;r&eacute;e, &agrave; disposition d’un autre &eacute;cran virtuel. dscreen s’arr&ecirc;te &agrave; la fermeture du
dernier &eacute;cran actif.
Touche de blocage (Block)
Les touches de blocage servent &agrave; arr&ecirc;ter les sorties (comme le fait la s&eacute;quence de touche
Ctrl–S en contr&ocirc;le de flux IXON), permettant ainsi d’&eacute;tablir de fa&ccedil;on transparente des
sessions de terminal sur deux ordinateurs utilisant un terminal &agrave; deux ports s&eacute;rie.
Touche de cr&eacute;ation d’&eacute;cran (New)
Appuyer sur une touche de cr&eacute;ation d’&eacute;cran d&eacute;finit un nouvel &eacute;cran logique et lui affecte
une touche de s&eacute;lection. Chaque &eacute;cran cr&eacute;&eacute; requiert :
• une des touches de s&eacute;lection d&eacute;finies dans le fichier dsinfo,
• une pseudo unit&eacute; de terminal dscreen,
• suffisamment de m&eacute;moire pour les diverses structures de suivi d’&eacute;cran,
• un processus pour l’ex&eacute;cution du shell.
A d&eacute;faut d’un de ces &eacute;l&eacute;ments, l’&eacute;cran ne peut &ecirc;tre cr&eacute;&eacute;. Un message s’affiche.
Touches d’arr&ecirc;t et de sortie (End et Quit)
Un touche d’arr&ecirc;t (end) provoque :
• la diffusion d’un signal SIGHUP &agrave; toutes les sessions &eacute;cran,
• l’&eacute;limination des erreurs,
• la sortie &agrave; l’&eacute;tat 0.
Une touche de sortie (quit) entra&icirc;ne les m&ecirc;mes op&eacute;rations, avec l’&eacute;tat de sortie 1.
Touche d’&eacute;cran pr&eacute;c&eacute;dent (Previous)
Une touche d’&eacute;cran pr&eacute;c&eacute;dent (Previous) bascule sur l’&eacute;cran pr&eacute;c&eacute;demment affich&eacute;.
Remarques :
1. Restez sur le m&ecirc;me &eacute;cran tant qu’une &eacute;criture est en cours. En effet, si une s&eacute;quence
d’&eacute;chappement est tronqu&eacute;e, le terminal est plac&eacute; dans un &eacute;tat inconnu.
2. Certains &eacute;crans de terminal peuvent m&eacute;moriser la position du curseur sur un &eacute;cran sans
enregistrer les modes (insertion, vid&eacute;o inverse, etc.). Dans ce cas, &eacute;vitez d’utiliser ces
modes en passant d’un &eacute;cran &agrave; l’autre.
Touche de listage (List)
La touche de listage (List) affiche la liste des touches (reconnues par dscreen, avec leur
fonction, sur l’&eacute;cran du terminal). Lorsqu’un &eacute;cran est cr&eacute;&eacute; via dscreen, le message
Press KEY for help s’affiche ( KEY est le nom de la touche de listage affich&eacute;e sur le
terminal). Ce message n’est &eacute;mis que si une touche de listage a &eacute;t&eacute; d&eacute;finie.
Unit&eacute;s TTY et communications s&eacute;rie
7-7
Affectation d’&eacute;cran dynamique
Dans le fichier /usr/lbin/tty/dsinfo, l’entr&eacute;e de description du terminal comporte autant de
touches de s&eacute;lection d’&eacute;cran que de pages &eacute;cran physiques d&eacute;finies pour le terminal. Si le
nombre de touches de s&eacute;lection d&eacute;passe celui des pages &eacute;cran physiques, dscreen affecte
dynamiquement des pages &eacute;cran physiques aux &eacute;crans virtuels.
Si un &eacute;cran virtuel d&eacute;pourvu de page de m&eacute;moire &eacute;cran est s&eacute;lectionn&eacute;, dscreen lui affecte
l’&eacute;cran physique le moins r&eacute;cemment utilis&eacute;. Selon les sp&eacute;cifications mises &agrave; jour dans le
fichier /usr/lbin/tty/dsinfo, il peut &ecirc;tre indiqu&eacute; que l’&eacute;cran physique est connect&eacute; &agrave; un &eacute;cran
virtuel diff&eacute;rent, par exemple, l’&eacute;cran est effac&eacute;.vb
Description du fichier dsinfo
Le fichier dsinfo est une base de donn&eacute;es de descriptions de terminal &agrave; l’usage de
l’utilitaire d’&eacute;crans multiples dscreen. Ce fichier rassemble les informations suivantes :
• les touches dscreen avec leur fonction,
• le nombre de pages m&eacute;moire &eacute;cran du terminal,
• les s&eacute;quences de codes envoy&eacute;es ou re&ccedil;ues pour l’utilisation des fonctions ci-dessus.
Dans le fichier dsinfo par d&eacute;faut, les entr&eacute;es sur le type de terminal se pr&eacute;sentent sous la
forme de donn&eacute;es de terminal 3151 ASCII du type :
# The Cartridge for Expansion (pn:
ibm3151|3151|IBM 3151,
dsks=\E!a^M|Shift–F1|,
dsks=\E!b^M|Shift–F2|,
dsks=\E!c^M|Shift–F3|,
dsks=\E!d^M|Shift–F4|,
dskc=\E!e^M|Shift–F5|,
dske=\E!f^M|Shift–F6|\E pA\EH\EJ,
dskl=\E!g^M|Shift–F7|,
dskp=\E!h^M|Shift–F8|,
dskq=\E!i^M|Shift–F9|\E pA\EH\EJ,
dsp=\E pA|\EH\EJ,
#
dsp=\E pB|\EH\EJ,
#
dsp=\E pC|\EH\EJ,
#
dsp=\E pD|\EH\EJ,
#
dst=10,
#
64F9314) needed for this entry
# Selects first screen
# Selects second screen
# Selects third screen
# Selects fourth screen
# Creates a new screen
# Go to screen 1 and end
# Lists function keys (help)
# Go to previous screen
# Go to screen 1 and quit
Terminal sequence for screen 1
Terminal sequence for screen 2
Terminal sequence for screen 3
Terminal sequence for screen 4
Allow 1 second timeout buffer
Format d’entr&eacute;e
Les entr&eacute;es du fichier dsinfo sont des champs s&eacute;par&eacute;s par une virgule. Le premier champ
est constitu&eacute; de la liste des noms possibles du terminal, s&eacute;par&eacute;s par une barre verticale
( | ). Tout texte pr&eacute;c&eacute;d&eacute; d’un ast&eacute;risque (#) est un commentaire, ignor&eacute; par dscreen. Les
autres champs sont des cha&icirc;nes d&eacute;crivant les fonctions du terminal &agrave; l’utilitaire dscreen.
Les s&eacute;quences d’&eacute;chappement reconnues dans ces cha&icirc;nes sont les suivantes :
7-8
S&eacute;quence Escape
Description
\E,\e
Echappement
\n,\l
Ligne suivante
\r
Retour chariot
\t
Tabulation
\b
Retour arri&egrave;re
\f
Page suivante
\s
Espace
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
\ nnn
Valeur octale nnn
^x
Ctrl– x pour toute valeur x appropri&eacute;e
Tout autre caract&egrave;re pr&eacute;c&eacute;d&eacute; d’une barre oblique inverse ( \ ) g&eacute;n&egrave;re le caract&egrave;re lui-m&ecirc;me.
Les cha&icirc;nes sont entr&eacute;es sous la forme type=cha&icirc;ne, type &eacute;tant le type de cha&icirc;ne et cha&icirc;ne,
sa valeur.
Dans le fichier dsinfo, veillez &agrave; s&eacute;parer les champs par une virgule. Si la virgule est omise
ou tronqu&eacute;e en fin d’entr&eacute;e, le fichier est inexploitable par l’utilitaire dscreen et une erreur
est envoy&eacute;e &agrave; l’&eacute;cran.
Types de cha&icirc;ne
Voici les diff&eacute;rents types de cha&icirc;ne :
dskx
Les cha&icirc;nes commen&ccedil;ant par dsk d&eacute;crivent une touche. La cha&icirc;ne
comporte 4 caract&egrave;res. Le quatri&egrave;me caract&egrave;re, x, indique l’action de
la touche. Les types de touches sont les suivants :
Type
Action
dsks
Bascule d’un &eacute;cran &agrave; l’autre
dskb
Bloque les E/S
dske
Arr&ecirc;te dscreen
dskq
Quitte dscreen (avec l’&eacute;tat 1)
dskc
Cr&eacute;e un nouvel &eacute;cran
dskp
Revient &agrave; l’&eacute;cran pr&eacute;c&eacute;dent
dskl
Affiche la liste des touches et les actions correspondantes
Tout autre type de touche (c’est–&agrave;–dire un type de cha&icirc;ne
commen&ccedil;ant par dskx et suffix&eacute;e par une autre lettre que s, b, e, q,
c, p ou l ne g&eacute;n&egrave;re aucune action dscreen interne, mais est
r&eacute;pertori&eacute;e, reconnue et ex&eacute;cut&eacute;e. Un type de dskn (n pour No
operation) est pr&eacute;conis&eacute; pour signifier qu’aucune action interne de
dscreen n’est souhait&eacute;e.
La cha&icirc;ne des valeurs de chaque touche se compose de trois
sous–cha&icirc;nes s&eacute;par&eacute;es par une barre verticale (|).
Remarque :
Indiquez \| pour inclure | dans une des sous–cha&icirc;nes.
La premi&egrave;re sous–cha&icirc;ne repr&eacute;sente la s&eacute;quence de caract&egrave;res
envoy&eacute;e par le terminal lors de l’activation de la touche. La
deuxi&egrave;me sous–cha&icirc;ne est une &eacute;tiquette destin&eacute;e &agrave; la touche qui
s’imprime lors de l’affichage d’une liste de touches. La troisi&egrave;me
sous–cha&icirc;ne est une s&eacute;quence de caract&egrave;res transmise par
dscreen au terminal lorsque cette touche est activ&eacute;e avant
l’ex&eacute;cution de l’action demand&eacute;e par cette m&ecirc;me touche.
Unit&eacute;s TTY et communications s&eacute;rie
7-9
dsp
Cha&icirc;ne d&eacute;crivant un &eacute;cran physique sur le terminal. Une cha&icirc;ne dsp doit &ecirc;tre
sp&eacute;cifi&eacute;e pour chaque &eacute;cran physique du terminal. Cette cha&icirc;ne se compose de
deux sous-cha&icirc;nes s&eacute;par&eacute;es par une barre verticale ( | ).
La premi&egrave;re sous-cha&icirc;ne est la s&eacute;quence de caract&egrave;res &agrave; envoyer au terminal
pour l’affichage et la sortie sur la page physique du terminal.
La seconde sous-cha&icirc;ne est envoy&eacute;e au terminal lorsque la page est utilis&eacute;e pour
un nouvel &eacute;l&eacute;ment. Elle correspond g&eacute;n&eacute;ralement &agrave; la s&eacute;quence de vidage
d’&eacute;cran et est envoy&eacute;e dans deux cas :
1. lors de la cr&eacute;ation d’une session de terminal virtuel,
2. lorsque le nombre de terminaux virtuels est sup&eacute;rieur au nombre d’&eacute;crans
physiques. Si un terminal virtuel requiert de dscreen plusieurs utilisations d’un
m&ecirc;me &eacute;cran physique, il envoie cette s&eacute;quence &agrave; l’&eacute;cran pour lui indiquer que
son contenu ne concorde pas avec la sortie du terminal virtuel connect&eacute;.
Remarque :
Pour &eacute;viter toute confusion, il est d&eacute;conseill&eacute; de travailler avec plus de
terminaux virtuels que d’&eacute;crans physiques : ne d&eacute;finissez pas plus de touches
de s&eacute;lection d’&eacute;cran (dsks= ) que d’&eacute;crans physiques (dsp= ) dans l’entr&eacute;e
dsinfo.
dst A
Cha&icirc;ne de type dst qui d&eacute;finit le d&eacute;lai d’attente (en dixi&egrave;mes de secondes) en
entr&eacute;e de dscreen. La valeur de la cha&icirc;ne est un nombre d&eacute;cimal
(maximum 255 ; par d&eacute;faut 1 [ou 0,1 seconde]).
Lorsque dscreen reconna&icirc;t un pr&eacute;fixe de s&eacute;quence de touches d’entr&eacute;e mais qu’il
ne dispose pas de tous les caract&egrave;res de la s&eacute;quence, il attend les caract&egrave;res
manquants pour l’identifier. Pass&eacute; le d&eacute;lai imparti, les caract&egrave;res sont envoy&eacute;s &agrave;
l’&eacute;cran virtuel et ne sont pas interpr&eacute;t&eacute;s par dscreen comme partie int&eacute;grante
d’une s&eacute;quence de touches d’entr&eacute;e.
Il peut &ecirc;tre n&eacute;cessaire d’augmenter le d&eacute;lai si une ou plusieurs des touches
dscreen correspondent en fait &agrave; une s&eacute;rie de touches (par exemple Ctrl–Z 1,
Ctrl–Z 2, Ctrl–Z 3 ... pour la s&eacute;lection d’&eacute;cran, Ctrl–Z N pour un nouvel &eacute;cran,
etc.).
Exemple 1
L’entr&eacute;e /usr/lbin/tty/dsinfo se rapporte &agrave; un Wyse–60 avec trois sessions d’&eacute;cran :
wy60|wyse60|wyse model 60,
dsks=^A‘^M|Shift–F1|,
dsks=^Aa^M|Shift–F2|,
dsks=^Ab^M|Shift–F3|,
dskc=\200|Ctrl–F1|,
dske=\201|Ctrl–F2|\Ew0\E+,
dskl=\202|Ctrl–F3|,
dsp=\Ew0|\E+,
dsp=\Ew1|\E+,
dsp=\Ew2|\E+,
Cette entr&eacute;e attribue :
• les s&eacute;quences Maj–F1 &agrave; Maj–F3 &agrave; la s&eacute;lection des &eacute;crans 1 &agrave; 3,
• la s&eacute;quence Ctrl–F1 &agrave; la cr&eacute;ation d’un &eacute;cran,
• Ctrl–F2 envoie : vers l’&eacute;cran, de Esc w 0 Esc + (passage &agrave; la fen&ecirc;tre 0 et vidage de
l’&eacute;cran) et &agrave; l’arr&ecirc;t de dscreen,
• la s&eacute;quence Ctrl–F3 &agrave; l’affichage des touches et de leur fonction.
Chaque fois qu’un &eacute;cran physique est utilis&eacute; pour un nouvel &eacute;cran, la s&eacute;quence Esc + est
envoy&eacute;e au terminal, ce qui vide l’&eacute;cran.
7-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Exemple 2
Cet exemple concerne un Wyse–60 avec trois sessions d’&eacute;cran, un des &eacute;crans se trouvant
sur un second ordinateur communiquant via le second port s&eacute;rie du terminal :
wy60–1|wyse60–1|wyse model 60 – first serial port
dsks=^A‘^M|Shift–F1|,
dsks=^Aa^M|Shift–F2|,
dsks=^Ab^M|Shift–F3|\Ed#^Ab\r^T\Ee9,
dskc=\200|Ctrl–F1|,
dske=\201|Ctrl–F2|\Ed#\201^T\Ew0\E+,
dskl=\202|Ctrl–F3|,
dsp=\Ew0|\E+,dsp=\Ew1|\E+,
wy60–2|wyse60–2|wyse model 60 – second serial port
dsks=^A‘^M|Shift–F1|\Ed#^A‘\r^T\Ee8,
dsks=^Aa^M|Shift–F2|\Ed#^Aa\r^T\Ee8,
dsks=^Ab^M|Shift–F3|,
dskc=\200|Ctrl–F1|,
dske=\201|Ctrl–F2|\Ed#\201^T\Ew0\E+,
dskl=\202|Ctrl–F3|,
dsp=\Ew2|\E+,
dscreen doit &ecirc;tre ex&eacute;cut&eacute; (avec l’option t) sur les deux ordinateurs, le premier &eacute;quip&eacute; d’un
terminal wy60–1 et le second d’un terminal wy60–2. L’entr&eacute;e wy60–1 est examin&eacute; en
premier.
Les deux premi&egrave;res entr&eacute;es de touches ne sont pas modifi&eacute;es par rapport &agrave; l’entr&eacute;e wy60-2
initiale. La troisi&egrave;me, de type dskb, demande le blocage des entr&eacute;es et des sorties. Lorsque
cette touche est activ&eacute;e, la s&eacute;quence :
Esc d # Ctrl–A b CR Ctrl–T Esc e 9
est envoy&eacute;e au terminal. D&egrave;s lors, la sortie est bloqu&eacute;e et dscreen poursuit l’analyse des
entr&eacute;es de s&eacute;quences de touches mais ignore les autres entr&eacute;es.
La s&eacute;quence Esc d# place le terminal en mode d’impression transparente (mode TPM) qui
renvoie, jusqu’&agrave; r&eacute;ception d’un Ctrl–T, tous les caract&egrave;res vers l’autre port s&eacute;rie.
Les caract&egrave;res Ctrl-A b CR sont envoy&eacute;s vers l’autre port s&eacute;rie, indiquant au process
dscreen de l’autre ordinateur qu’il doit activer la fen&ecirc;tre associ&eacute;e &agrave; la s&eacute;quence Maj–F3.
La s&eacute;quence Ctrl–T sort du mode TPM. Esc e 9 fait basculer le terminal sur l’autre port
s&eacute;rie AUX pour la communication des donn&eacute;es.
D&egrave;s lors, l’autre ordinateur prend le relais et envoie une s&eacute;quence Esc w 2 pour basculer
sur le troisi&egrave;me &eacute;cran physique et reprendre la communication normale.
L’entr&eacute;e wy60–2 observe le m&ecirc;me format que pour les touches Maj–F1 et Maj–F2 :
• bascule en mode TPM,
• envoie la cha&icirc;ne de touches de fonction &agrave; l’autre ordinateur,
• d&eacute;sactive le mode TPM,
• bascule sur l’autre port s&eacute;rie.
La touche de fin Ctrl–F2 fonctionne de fa&ccedil;on identique sur les deux ordinateurs : elle envoie
la s&eacute;quence de touches de fin &agrave; l’autre ordinateur par le biais du m&eacute;canisme d’impression
transparente, fait passer le terminal dans la fen&ecirc;tre 0, vide l’&eacute;cran et quitte.
Unit&eacute;s TTY et communications s&eacute;rie
7-11
Modems
Les modems assurent les communications s&eacute;rie via des lignes t&eacute;l&eacute;phoniques ordinaires.
Cette section pr&eacute;sente les normes relatives aux modems et explique comment installer et
configurer les modems courants.
G&eacute;n&eacute;ralit&eacute;s
Un modem est un dispositif qui permet de connecter deux ordinateurs via des lignes
t&eacute;l&eacute;phoniques ordinaires. Le syst&egrave;me t&eacute;l&eacute;phonique actuel est incapable de prendre en
charge les variations de tension requises pour une connexion num&eacute;rique directe. Le modem
supprime cette contrainte en convertissant les informations num&eacute;riques en fr&eacute;quences
transmissibles via une ligne t&eacute;l&eacute;phonique (modulation) et en r&eacute;tablissant ces signaux en
donn&eacute;es num&eacute;riques &agrave; r&eacute;ception (d&eacute;modulation). Les modems sont couramment utilis&eacute;s
avec les protocoles BNU (Basic Network Utilities) et autres versions d’UUCP
(UNIX–to–UNIX Copy Program). Un modem &agrave; haut d&eacute;bit (sup&eacute;rieur &agrave; 14 400 bps) peut &ecirc;tre
utilis&eacute; avec le protocole SLIP (Serial Line Internet Protocol) pour fournir en sus la
connectivit&eacute; TCP/IP.
On exprime souvent la vitesse des modems en bauds au lieu de bps (bits par seconde). Le
baud est en fait l’unit&eacute; de mesure du d&eacute;bit de modulation. Sur les mod&egrave;les plus anciens, o&ugrave;
un seul bit &eacute;tait cod&eacute; &agrave; chaque changement de signal, le d&eacute;bit en bauds &eacute;quivalait &agrave; la
vitesse du modem. A des vitesses sup&eacute;rieures, les modems fonctionnent g&eacute;n&eacute;ralement &agrave;
un d&eacute;bit de 2 400 (voire 1 200) bauds et codent deux ou plusieurs bits par changement de
signal. La vitesse d’un modem en bps est le produit du nombre de bits de donn&eacute;es par
signal par le nombre de bauds (par exemple, 2 400 bauds x 6 bits par changement de
signal = 14 400 bps). La plupart des mod&egrave;les actuels peuvent communiquer &agrave; diverses
vitesses (par exemple 14 400, 9 600, 7 800, 4 800 et 2 400 bps).
Normes de t&eacute;l&eacute;communication
Sur les anciens mod&egrave;les, les vitesses (300, 1 200 et 2 400 bps) &eacute;taient pr&eacute;cis&eacute;ment
d&eacute;finies. Mais pour atteindre des vitesses plus &eacute;lev&eacute;es, les constructeurs de modems ont
commenc&eacute; &agrave; d&eacute;velopper diverses technologies, chacune selon des m&eacute;thodes propri&eacute;taires
incompatibles entre elles. De nos jours, ces communications &agrave; haut d&eacute;bit sont normalis&eacute;es
par le comit&eacute; UIT–TSS (ex–CCITT : Consultative Committee for International Telephony and
Telegraphy).
M&ecirc;me les modems &agrave; haut d&eacute;bit se r&eacute;v&egrave;lent bien plus lents que les autres syst&egrave;mes de
communication informatiques. Ainsi, un modem &agrave; haut d&eacute;bit peut fonctionner &agrave; 28 800 bps
alors qu’une connexion Ethernet atteint 10 000 000 bps. Les modems &agrave; haut d&eacute;bit offrent
g&eacute;n&eacute;ralement un ou plusieurs algorithmes de compression des donn&eacute;es permettant
d’acc&eacute;l&eacute;rer le d&eacute;bit des donn&eacute;es. Ces algorithmes permettent au modem d’atteindre des
vitesses de 57 600 bps (si le d&eacute;bit est de 14 400 bps) ou de 115 200 bps (si le d&eacute;bit est de
28 800 bps). Notez que ces algorithmes de compression s’adaptent aux donn&eacute;es
transmises. Si les donn&eacute;es ont d&eacute;j&agrave; &eacute;t&eacute; compress&eacute;es (par la commande compress, par
exemple), les m&eacute;thodes de compression des modems &agrave; haut d&eacute;bit offrent des avantages
n&eacute;gligeables et peuvent m&ecirc;me ralentir leur d&eacute;bit Pour l’exploitation d’un modem avec
compression des donn&eacute;es, la vitesse de la connexion ETTD/ETCD entre le terminal et le
modem est &eacute;gale ou sup&eacute;rieure au d&eacute;bit de donn&eacute;es nominal de la connexion entre
modems. Par exemple, le d&eacute;bit des donn&eacute;es (la vitesse de communication par lignes
t&eacute;l&eacute;phoniques) d’un modem V.32bis avec compression de donn&eacute;es V.42bis est de
14400 bps. Si la compression V.42bis est active, le d&eacute;bit de donn&eacute;es r&eacute;el peut atteindre
57600 bps. Pour s’adapter au d&eacute;bit sup&eacute;rieur offert par la compression de donn&eacute;es, la
vitesse de la connexion DTE/DCE entre l’ordinateur et le modem doit &ecirc;tre d&eacute;finie &agrave;
57600 bps.
Les termes ITU–TSS d&eacute;finissent une norme pour les communications &agrave; haut d&eacute;bit, y
compris les algorithmes de compression des donn&eacute;es. Les normes &eacute;dict&eacute;es sont
g&eacute;n&eacute;ralement appel&eacute;es V.nn, nn repr&eacute;sentant un num&eacute;ro. Il existe aussi une autre norme,
7-12
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
moins connue : le protocole MNP (Microcom Networking Protocol). Disponible dans les
versions (ou classes) 1-9, il s’agit d’un protocole haut d&eacute;bit et haute performance qui a &eacute;t&eacute;
mis en place tr&egrave;s t&ocirc;t et s’est impos&eacute; de facto comme norme avant l’av&egrave;nement des normes
CCITT.
Normes de communications UIT-TSS
Voici une liste non exhaustive des normes de communication courantes d&eacute;finies par
l’UIT–TSS. Il en existe bien d’autres. Pour obtenir une liste compl&egrave;te, reportez–vous au site
Web de International Telecommunication Union.
V.29
Norme ITU–TSS pour communication en semi-duplex 9600 bps.
V.32
Norme ITU–TSS pour communication en duplex int&eacute;gral &agrave; 9600 bps.
V.32 bis Norme ITU–TSS pour communication &agrave; 14 400 bps. V.32 bis est une r&eacute;vision de
la norme V.32.
V.34
Norme ITU–TSS pour communication &agrave; 33 600 bps. Cette norme vise un d&eacute;bit
de donn&eacute;es de 33 600 bps via un codage de bits multiple au lieu du sch&eacute;ma de
compression de donn&eacute;es utilis&eacute; par MNP Classe. Ex–norme V. fast.
V.42
Proc&eacute;dures ITU–TSS de correction des erreurs pour les DCE qui utilisent la
conversion d’asynchrone &agrave; synchrone.
V.42 bis Norme r&eacute;vis&eacute;e de compression de donn&eacute;es ITU–TSS.
Normes de communication MNP
MNP classe 1 M&eacute;thode asynchrone, en semi-duplex, orient&eacute;e octets pour le transfert
des donn&eacute;es avec 70 % d’efficacit&eacute;. Peu courante sur les modems
modernes.
MNP classe 2 Equivalent de la norme MNP classe 1 en duplex int&eacute;gral. Peu courante
sur les modems modernes.
MNP classe 3 M&eacute;thode synchrone, en duplex int&eacute;gral, orient&eacute;e bits pour le transfert des
donn&eacute;es avec 108 % d’efficacit&eacute;. L’efficacit&eacute; est sup&eacute;rieure &agrave; 100% du
fait de l’&eacute;limination des bits de d&eacute;part et d’arr&ecirc;t requis pour une
connexion asynchrone. La connexion DTE/DCE entre le modem et le
syst&egrave;me est cependant asynchrone.
MNP classe 4 Am&eacute;lioration de la norme MNP classe 3 incluant un m&eacute;canisme de
variation de la taille des paquets (assemblage adaptatif de paquets) et
d’&eacute;limination des charges administratives redondantes (optimisation de la
phase de donn&eacute;es). Un modem conforme &agrave; MNP classe 4 offre environ
120 % d’efficacit&eacute;.
MNP classe 5 Fonctions de la classe 4 compl&eacute;t&eacute;es par la compression des donn&eacute;es.
Un modem conforme &agrave; MNP classe 5 offre 200 % d’efficacit&eacute;.
MNP classe 6 Norme permettant l’incorporation dans un modem de plusieurs
techniques de modulation incompatibles (n&eacute;gociation de liaison
universelle). Les modems conformes &agrave; MNP classe 6 peuvent entamer la
communication &agrave; basse vitesse et n&eacute;gocier une transition vers une
vitesse sup&eacute;rieure. Inclut un sch&eacute;ma de duplexage statistique qui alloue
dynamiquement l’utilisation de la modulation en semi-duplex pour simuler
un service en duplex int&eacute;gral. Englobe la totalit&eacute; des fonctions de MNP
classe 5.
MNP classe 7 Norme incorporant une m&eacute;thode am&eacute;lior&eacute;e de compression de donn&eacute;es.
Combin&eacute;e avec la classe 4, elle r&eacute;alise une efficacit&eacute; de 300 %.
MNP classe 8 Non applicable
MNP classe 9 Norme alliant &agrave; la technologie V.32 la compression de donn&eacute;es
am&eacute;lior&eacute;e pour atteindre un d&eacute;bit de 28 800 bps.
Unit&eacute;s TTY et communications s&eacute;rie
7-13
Configuration des modems g&eacute;n&eacute;riques
Pour installer un modem :
1. Cr&eacute;ez une unit&eacute; TTY sur le serveur
2. Raccordez du modem avec les c&acirc;bles appropri&eacute;s
3. Ajoutez un TTY pour le modem
4. Configurez le modem.
Configuration d’une unit&eacute; TTY sur le syst&egrave;me d’exploitation
D&eacute;finissez le port TTY pour la connexion de l’unit&eacute; via SMIT. La plupart des param&egrave;tres
correspondent aux unit&eacute;s courantes. Activation de la CONNEXION, seule zone concernant
le modem, propose les valeurs suivantes :
DISABLE
Aucun processus getty n’est lanc&eacute; sur le port. Param&egrave;tre
r&eacute;serv&eacute; au port modem pour les appels sortants.
ENABLE
Aucun processus getty n’est lanc&eacute; sur le port. Param&egrave;tre
r&eacute;serv&eacute; au port modem pour les appels entrants.
SHARE
Le processus getty en cours sur le port autorise les
programmes &agrave; effectuer des appels entrants et sortants sur
le port. Il est inutile de modifier les param&egrave;tres en
d&eacute;sactivation ou activation. Param&egrave;tre r&eacute;serv&eacute; au port
bidirectionnel.
DELAY
Un processus getty est en cours sur le port en mode
bidirectionnel ; aucun signal n’est envoy&eacute; jusqu’&agrave; &eacute;mission
d’une commande utilisateur.
Zones sp&eacute;cifiques de la carte asynchrone 128 ports :
Force Carrier or Ignore Carrier Detect
(forcer la porteuse ou ignorer la d&eacute;tection
de porteuse)
disable*
Perform Cooked Processing in Adapter
(traitement pr&eacute;par&eacute; sur la carte)
disable
Remarque :
Ce param&egrave;tre est signal&eacute; par un ast&eacute;risque (*)et est d&eacute;sactiv&eacute; si vous
utilisez le connecteur 10 broches RJ–45. Ce param&egrave;tre doit &ecirc;tre activ&eacute; si
vous utilisez le connecteur 8 broches RJ–45.
Raccordement du modem avec les c&acirc;bles appropri&eacute;s
Utilisez les c&acirc;bles qui conviennent, dont voici les r&eacute;f&eacute;rences et les descriptions :
6323741
Async Cable, EIA–232 ; permet de raccorder toutes les unit&eacute;s asynchrones.
Parfois utilis&eacute; avec d’autres jeux de c&acirc;bles.
59F3740
Connecteur D–shell de 10 &agrave; 25 broches utilis&eacute; pour raccorder le c&acirc;ble
asynchrone 6323741 aux ports s&eacute;rie natifs S1 et S2 comme le montre la figure
suivante.
Figure 29. 10 &agrave; 25–Broches Cette illustration repr&eacute;sente un connecteur de 10 &agrave;
25–broches.
7-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
59F3432
C&acirc;ble P utilis&eacute; pour connecter le concentrateur &agrave; 16 ports. Le num&eacute;ro de s&eacute;rie
inclut quatre c&acirc;bles convertisseurs de RJ–45 &agrave; DB–25.
Voici des exemples de connexions de c&acirc;ble :
1. Pour raccorder un modem au port s&eacute;rie natif S1, utilisez les c&acirc;bles suivants :
Figure 30. Connexion entre un modem et un c&acirc;ble de port s&eacute;rie natif Cette
illustration repr&eacute;sente un c&acirc;ble 59F3740 sur le port s&eacute;rie et un 6323741 sur le modem.
modem
2. Pour raccorder un modem &agrave; un jeu de c&acirc;bles d’interface d’une carte asynchrone &agrave; 8
ports (EIA–232), utilisez les c&acirc;bles suivants :
Figure 31. Connexion de l’interface &agrave; 8 ports aux c&acirc;bles du modem Cette
illustration repr&eacute;sente une interface &agrave; 8 ports connect&eacute;e &agrave; un modem avec un c&acirc;ble
6323741.
3. Pour raccorder un modem &agrave; un concentrateur &agrave; 16 ports sur une carte &agrave; 64 ports,
utilisez les c&acirc;bles suivants :
Figure 32. Connexion de l’interface &agrave; 16 ports aux c&acirc;bles du modem Cette
illustration repr&eacute;sente un c&acirc;ble 59F3432 sur le port s&eacute;rie et un 6323741 sur le modem.
Ajout d’un TTY pour le modem
Assurez–vous que le syst&egrave;me est sous tension et le modem hors tension. Utilisez
Web–based System Manager, wsm, ou le raccourci SMIT smit mktty.
Configuration du modem
Utilisez l’une des deux m&eacute;thodes de configuration pr&eacute;sent&eacute;es dans cette section. Si les
utilitaires BNU (Basic Networking Utilities) sont install&eacute;s, reportez–vous &agrave; Envoi de
commandes AT avec la commande cu. Si les utilitaires BNU ne sont pas install&eacute;s, installed,
reportez–vous &agrave; Envoi de commandes AT avec un programme C. Pour plus d’informations
sur l’installation des utilitaires BNU, reportez–vous &agrave; Utilitaires BNU (Basic Networking
Utilities).
Envoi de commandes AT via la commande cu
Si BNU (Basic Network Utilities) est install&eacute; sur votre syst&egrave;me, vous pouvez utiliser la
commande cu comme suit pour configurer un modem : Les commandes et les param&egrave;tres
d&eacute;taill&eacute;s dans cette section permettent la configuration d’un modem compatible Hayes pour
une utilisation sur les ports s&eacute;rie du serveur.
1. Ajoutez au fichier /usr/lib/uucp/Devices la ligne suivante &agrave; moins qu’elle n’y figure d&eacute;j&agrave;.
Remplacez le signe # par le num&eacute;ro de votre port.
Direct tty# – Any direct
2. V&eacute;rifiez que le TTY est d&eacute;sactiv&eacute; en tapant ce qui suit :
pdisable tty#
3. Entrez la commande suivante :
Unit&eacute;s TTY et communications s&eacute;rie
7-15
cu –ml tty#
Un message indiquant Connected s’affiche.
4. V&eacute;rifiez que le modem est connect&eacute;. Pour ce faire, tapez :
AT
Le modem r&eacute;pond par OK. Si ce n’est pas le cas, reportez–vous &agrave; Identification et
r&eacute;solution des probl&egrave;mes de modem.
Pour consulter les autres commandes AT et leurs descriptions, reportez–vous au
R&eacute;sum&eacute; des commandes AT.
5. Selon l’option getty s&eacute;lectionn&eacute;e, entrez l’une des commandes suivantes. Substituez le
p&eacute;riph&eacute;rique tty pour n.
– penable tty n
– pshare tty n
– pdelay tty n
– pdisplay tty n
Le modem est configur&eacute; et int&egrave;gre les commandes n&eacute;cessaires &agrave; la plupart des
communications s&eacute;rie du syst&egrave;me d’exploitation. En cas de probl&egrave;me, appelez cu –dl
pour lancer un suivi de diagnostics sur la connexion.
Envoi de commandes AT via un programme C
Si la m&eacute;thode pr&eacute;c&eacute;dente n’aboutit pas ou que BNU n’est pas install&eacute;, ex&eacute;cutez le
programme C ci-apr&egrave;s. Cr&eacute;ez un fichier appel&eacute; motalk.c contenant le code ci-apr&egrave;s.
Sauvegardez le fichier. Compilez-le puis ex&eacute;cutez-le en suivant les indications donn&eacute;es
en commentaire dans le programme.
/*************************************************************/
/* MoTalk – A ”C” program for modem setup.
*/
/*
This program is meant as an aid only and is
*/
/*
not supported by IBM.
*/
/*
compile: cc –o motalk motalk.c
*/
/*
Usage: motalk /dev/tty? [speed]
*/
/*************************************************************/
#include &lt;errno.h&gt;
#include &lt;stdio.h&gt;
#include &lt;signal.h&gt;
#include &lt;fcntl.h&gt;
#include &lt;termio.h&gt;
FILE *fdr, *fdw;
int fd;
struct termio term_save, stdin_save;
void Exit(int sig)
{
if (fdr) fclose(fdr);
if (fdw) fclose(fdw);
ioctl(fd, TCSETA, &amp;term_save);
close(fd);
ioctl(fileno(stdin), TCSETA, &amp;stdin_save);
exit(sig);
}
main(int argc, char *argv[])
{
char *b, buffer[80];
int baud=0, num;
struct termio term, tstdin;
if (argc &lt; 2 || !strcmp(argv[1], ”–?”))
7-16
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
{
fprintf(stderr, ”Usage: motalk /dev/tty? [vitesse]\n”);
exit(1);
}
if ((fd = open(argv[1], O_RDWR | O_NDELAY)) &lt; 0)
{
perror(argv[1]);
exit(errno);
}
if (argc &gt; 2)
{
switch(atoi(argv[2]))
{
case
300: baud = B300;
break;
case 1200: baud = B1200;
break;
case 2400: baud = B2400;
break;
case 4800: baud = B4800;
break;
case 9600: baud = B9600;
break;
case 19200: baud = B19200;
break;
case 38400: baud = B38400;
break;
default:
baud = 0;
fprintf(stderr, ”%s: %s is an unsupported baud\n”, argv[0],
argv[2]);
exit(1);
}
}
/* Save stdin and tty state and trap some signals */
ioctl(fd, TCGETA, &amp;term_save);
ioctl(fileno(stdin), TCGETA, &amp;stdin_save);
signal(SIGHUP, Exit);
signal(SIGINT, Exit);
signal(SIGQUIT, Exit);
signal(SIGTERM, Exit);
/* Set stdin to raw mode, no echo */
ioctl(fileno(stdin), TCGETA, &amp;stdin_save);
tstdin.c_iflag = 0;
tstdin.c_lflag &amp;= ~(ICANON | ECHO);
tstdin.c_cc[VMIN] = 0;
tstdin.c_cc[VTIME] = 0;
ioctl(fileno(stdin), TCSETA, &amp;tstdin);
/* Set tty state */
ioctl(fd, TCGETA, &amp;term);
term.c_cflag |= CLOCAL|HUPCL;
if (baud &gt; 0)
{
term.c_cflag &amp;= ~CBAUD;
term.c_cflag |= baud;
}
term.c_lflag &amp;= ~(ICANON | ECHO); /* to force raw mode */
term.c_iflag &amp;= ~ICRNL; /* to avoid non–needed blank lines */
Unit&eacute;s TTY et communications s&eacute;rie
7-17
term.c_cc[VMIN] = 0;
term.c_cc[VTIME] = 10;
ioctl(fd, TCSETA, &amp;term);
fcntl(fd, F_SETFL, fcntl(fd, F_GETFL, 0) &amp; ~O_NDELAY);
/* Open tty for read and write */
if ((fdr = fopen(argv[1], ”r”)) == NULL )
{
perror(argv[1]);
exit(errno);
}
if ((fdw = fopen(argv[1], ”w”)) == NULL )
{
perror(argv[1]);
exit(errno);
}
/* Talk to the modem */
puts(”Ready... ^C to exit”);
while (1)
{
if ((num = read(fileno(stdin), buffer, 80)) &gt; 0)
write(fileno(fdw), buffer, num);
if ((num = read(fileno(fdr), buffer, 80)) &gt; 0)
write(fileno(stdout), buffer, num);
Exit (0);
}
}
Modems Hayes et compatibles
1. Modifiez la configuration de tty &agrave; l’aide de wsm, de Web-based System Manager ou du
raccourci SMIT smit chtty. A titre d’exemple, vous pouvez modifier la champ LOGIN et
lui associer Share ou Enable.
2. Ajoutez au fichier /usr/lib/uucp/Systems la ligne suivante :
hayes Nvr HAYESPROG 2400
3. Ajoutez dans le fichier /usr/lib/uucp/Devices :
# For programming the hayes modem only:
HAYESPROG tty0 – 2400 HayesProgrm2400
#regular ACU entry:
ACU tty0 – Any hayes
4. Ajoutez dans le fichier /usr/lib/uucp/Dialers :
# This Entry is used to PROGRAM the modem ONLY:
# the next 3 lines should be made into one:
HayesProgrm2400
=,–,
”” \d\dAT\r\c OK AT&amp;F\r\c OK ATM1\r\
c OK
AT&amp;D3\r\c OK AT&amp;K3&amp;C1\r\c OK ATL0E0Q2\r\c OK ATS0=1\r\c OK AT&amp;W\r
\c
OK
hayes
=,–,
”” \dAT\r\c OK ATDT\T\d\r\c CONNECT
5. Pour programmer le modem, entrez la commande cu –d hayes. Cette commande
utilise cu pour programmer le modem. Aucune connexion n’&eacute;tant &eacute;tablie avec un autre
syst&egrave;me, la commande &eacute;choue. Le modem est programm&eacute; si sendthem AT&amp;W et OK
got it s’affichent en sortie.
7-18
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Si vous n’effectuez pas de transfert de fichier binaire ou que vous n’utilisez pas BNU,
sortez de &amp;K3, et d&eacute;finissez XON pour le contr&ocirc;le du flux. Toutefois, l’utilisation du
contr&ocirc;le du flux mat&eacute;riel est plus efficace (par rapport &agrave; l’&eacute;tablissement de liaison
XON–XOFF). Pour ce faire, utilisez les param&egrave;tres et les entr&eacute;es Dialers &agrave; partir de
l’&eacute;tape suivante.
6. Une fois le modem programm&eacute;, vous pouvez configurer le pilote pour l’utilisation du
contr&ocirc;le du flux mat&eacute;riel. Pour modifier le contr&ocirc;le du flux sur RTS, utilisez wsm de
Web-based System Manager ou SMIT (raccourci smit chtty). Consultez le manuel du
modem pour v&eacute;rifier si le contr&ocirc;le du flux mat&eacute;riel est pris en charge.
Identification et r&eacute;solution des probl&egrave;mes de modem
Cette section identifie les incidents li&eacute;s &agrave; l’utilisation d’un modem : Gardez &agrave; l’esprit les
points suivants :
• Certains modems diff&eacute;rencient les majuscules des minuscules. Saisissez la commande
AT en majuscules.
• Lors d’op&eacute;rations normales; il est pr&eacute;f&eacute;rable de relancer le modem au signal DTR
(param&egrave;tre &amp;D3). Cependant, &agrave; la premi&egrave;re configuration du modem, il est recommand&eacute;
de ne pas relancer le modem au signal DTR (param&egrave;tre &amp;D2). Si le modem est relanc&eacute;
automatiquement, les param&egrave;tres qui n’ont pas &eacute;t&eacute; sauvegard&eacute;s dans la m&eacute;moire
syst&egrave;me sont perdus.
Le fait de ne pas r&eacute;initialiser le modem prot&egrave;ge &eacute;galement les modifications lorsque &amp;C1
est d&eacute;fini. La modification de l’&eacute;tat de d&eacute;tection de porteuse peut entra&icirc;ner un
basculement de la ligne de d&eacute;tection de porteuse sur certains modems, la commande
cu perdant alors la ligne. Il est possible d’entrer le param&egrave;tre &amp;D3 une fois la
configuration termin&eacute;e.
• Ces commandes sont standard sur la plupart des modems compatibles Hayes, mais
peuvent ne pas fonctionner sur le modem que vous utilisez : consultez le manuel du
modem.
Sympt&ocirc;me
Cause
Solution
Le modem (ou un autre
dispositif raccord&eacute; au port
s&eacute;rie) ralentit
progressivement le
syst&egrave;me ou le bloque. Sa
mise hors tension permet
g&eacute;n&eacute;ralement de revenir &agrave;
la normale.
Sur un modem intelligent,
CD est toujours positionn&eacute;
sur ON. Le syst&egrave;me le
d&eacute;tecte et envoie une
annonce de connexion, que
le modem tente
d’interpr&eacute;ter comme une
commande. N’y parvenant
pas, le modem renvoie un
&eacute;cho au port tty du
syst&egrave;me. Ce cycle boucle &agrave;
l’infini.
Appliquez au port tty un report
de connexion (delay) sur le
syst&egrave;me pour qu’il n’y ait pas
d’annonce de connexion
&eacute;mise. Ainsi, seul un retour
chariot valide issu d’une
connexion h&ocirc;te g&eacute;n&eacute;rera une
annonce de connexion. Vous
pouvez &eacute;galement modifier le
profil AT du modem pour que
CD ne soit positionn&eacute; sur ON
qu’&agrave; d&eacute;tection d’un signal de
porteuse valide sur la ligne
t&eacute;l&eacute;phonique.
Questionnaire
Avant de faire appel &agrave; l’assistance technique, rassemblez les informations suivantes :
• Version du syst&egrave;me d’exploitation ? Depuis quant l’utilisez–vous ?
• Le modem a-t-il d&eacute;j&agrave; fonctionn&eacute; ?
• Type de modem utilis&eacute; ? Type du modem &agrave; l’autre extr&eacute;mit&eacute; de la connexion
t&eacute;l&eacute;phonique ?
• Type de carte (64 ports, 128 ports, S1...) raccord&eacute;e au modem ?
Unit&eacute;s TTY et communications s&eacute;rie
7-19
• Num&eacute;ro du port auquel le modem est connect&eacute; ?
• Num&eacute;ro de tty auquel le modem est connect&eacute; ?
• Type de c&acirc;blage utilis&eacute; ?
• Quelle configuration de connexion (share, delay, enable) ?
• Est-il possible de connecter votre modem &agrave; d’autres modems ?
• Est-il possible de connecter d’autres modems au v&ocirc;tre ?
• Quelle sont les valeurs d&eacute;finies au niveau de Web-based System Manager, de SMIT,
du modem ou du port, pour :
– XON/XOFF ?
– RTS/CTS ?
– d&eacute;bit BPS ?
• Effectuez les v&eacute;rifications suivantes :
– Le port se verrouille-t-il par intermittence ?
– Pouvez–vous composer un num&eacute;ro d’appel ? Pouvez–vous recevoir des appels ?
– Relevez-vous d’autres sympt&ocirc;mes ?
• Constatez–vous des erreurs sur la console ? Lesquelles ?
• Ces erreurs figurent–elles dans le compte–rendu d’erreurs ? (errpt ou errpt –a)
• Quelle commande utilisez-vous pour composer un num&eacute;ro d’appel ?
• Quels logiciels sont impliqu&eacute;s dans le syst&egrave;me ?
R&eacute;capitulatif des commandes AT
Voici un r&eacute;capitulatif du jeu de commandes Hayes Smartmodem. Ces commandes
comprennent le jeu de commandes AT utilis&eacute; par un grand nombre de modems. Ces
informations sont extraites de l’ouvrage Hayes Smartmodem 2400 Quick Reference Card,
publi&eacute; par Hayes Microcomputer Products, Inc. Pour en savoir plus sur les commandes AT
principales, reportez–vous &agrave; la documentation du modem.
7-20
AT
Pr&eacute;fixe de commande, plac&eacute; en t&ecirc;te de la ligne de commande.
&lt;CR&gt;
Retour chariot (ligne suivante), plac&eacute; en fin de la ligne de commande.
A
D&eacute;croche, reste en mode commande.
A/
R&eacute;p&egrave;te la ligne de commande pr&eacute;c&eacute;dente. Commande ni pr&eacute;c&eacute;d&eacute;e de AT ni
suivie de &lt;CR&gt;/.
B0
Applique la norme CCITT V.22 pour les communications 1 200 bps.
B1
Applique la norme Bell 212A pour les communications 1 200 bps.
D
Entre en mode &eacute;mission, compose le num&eacute;ro qui suit et tente de passer en
ligne. D est g&eacute;n&eacute;ralement suivi de T (tonalit&eacute;) ou parfois de P (impulsion).
DS = n
Compose le num&eacute;ro stock&eacute; &agrave; l’emplacement n.
E0
D&eacute;sactive l’&eacute;cho de caract&egrave;re dans l’&eacute;tat ”commande”.
E1
Active l’&eacute;cho de caract&egrave;re dans l’&eacute;tat ”commande”.
H0
D&eacute;croche le t&eacute;l&eacute;phone.
H1
Fait fonctionner le support commutateur et le relais auxiliaire.
I0
Renvoie le code d’identification du produit.
I1
Calcule le total de contr&ocirc;le sur le micrologiciel ROM et renvoie le r&eacute;sultat.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
I2
Calcule le total de contr&ocirc;le sur le micrologiciel ROM et renvoie en r&eacute;sultat OK
ou ERROR.
L0
Haut-parleur d&eacute;sactiv&eacute;.
L1
R&egrave;gle le haut-parleur &agrave; un niveau sonore faible.
L2
R&egrave;gle le haut-parleur &agrave; un niveau sonore moyen.
L3
R&egrave;gle le haut-parleur &agrave; un niveau sonore &eacute;lev&eacute;.
M0
Haut-parleur d&eacute;sactiv&eacute;.
M1
Active le haut parleur jusqu’&agrave; d&eacute;tection d’un signal de porteuse.
M2
Haut-parleur toujours en service.
M3
Haut-parleur actif jusqu’&agrave; d&eacute;tection d’un signal de porteuse, sauf pendant la
num&eacute;rotation.
O0
Passe &agrave; l’&eacute;tat en ligne.
O1
Passe &agrave; l’&eacute;tat en ligne et lance une resynchronisation d’&eacute;galisation.
Q0
Le modem renvoie les codes de r&eacute;sultat.
Q1
Le modem ne renvoie pas les codes de r&eacute;sultat.
Sr
Positionne le pointeur sur le registre r.
Sr = n
Positionne le registre r &agrave; n.
V0
Affiche les codes de r&eacute;sultat sous forme num&eacute;rique.
V1
Affiche les codes de r&eacute;sultat sous forme litt&eacute;rale (verbose).
X0
Active les fonctions repr&eacute;sent&eacute;es par les codes de r&eacute;sultat 0–4.
X1
Active les fonctions repr&eacute;sent&eacute;es par les codes de r&eacute;sultat 0–5, 10.
X2
Active les fonctions repr&eacute;sent&eacute;es par les codes de r&eacute;sultat 0–6, 10.
X3
Active les fonctions repr&eacute;sent&eacute;es par les codes de r&eacute;sultat 0–5, 7, 10.
X4
Active les fonctions repr&eacute;sent&eacute;es par les codes de r&eacute;sultat 0–7, 10.
Y0
D&eacute;sactive la d&eacute;connexion long space.
Y1
Active la d&eacute;connexion long space.
Z
R&eacute;initialise le modem.
&amp;C0
Suppose la porteuse de donn&eacute;es toujours pr&eacute;sente.
&amp;C1
Contr&ocirc;le la pr&eacute;sence de la porteuse de donn&eacute;es.
&amp;D0
Ignore le signal DTR.
&amp;D1
Passe &agrave; l’&eacute;tat ”commande” lors d’une d&eacute;sactivation de DTR.
&amp;D2
Raccroche et passe &agrave; l’&eacute;tat ”commande” lors d’une d&eacute;sactivation de DTR.
&amp;D3
R&eacute;initialise lors d’une d&eacute;sactivation de DTR.
&amp;F
R&eacute;active la configuration par d&eacute;faut (d’usine).
&amp;G0
Pas de tonalit&eacute; de garde.
&amp;G1
Tonalit&eacute; de garde de 500 Hz.
&amp;G2
Tonalit&eacute; de garde de 1800 Hz.
&amp;J0
Prise t&eacute;l&eacute;com RJ–11/RJ41/RJ45S.
&amp;J1
Prise t&eacute;l&eacute;com RJ–11/RJ–13.
&amp;P0
Num&eacute;rote avec un rapport de conjonction/disjonction 39/61.
&amp;P1
Num&eacute;rote avec un rapport de conjonction/disjonction 33/67.
&amp;Q0
Fonctionne en mode asynchrone.
&amp;Q n
Fonctionne en mode synchrone n.
Unit&eacute;s TTY et communications s&eacute;rie
7-21
&amp;R0
Contr&ocirc;le la pr&eacute;sence du signal CTS (pr&ecirc;t &agrave; &eacute;mettre) en fonction du signal RTS
(demande pour &eacute;mettre).
&amp;R1
Ignore le signal RTS et suppose la pr&eacute;sence syst&eacute;matique d’un signal CTS.
&amp;S0
Suppose la pr&eacute;sence du signal DSR (modem pr&ecirc;t).
&amp;S1
Contr&ocirc;le la pr&eacute;sence du signal DSR.
&amp;T0
Met fin au test en cours.
&amp;T1
Lance une boucle analogique locale.
&amp;T3
Lance une boucle num&eacute;rique.
&amp;T4
Accepte une requ&ecirc;te &eacute;mise par un modem distant pour RDL.
&amp;T5
Refuse une requ&ecirc;te &eacute;mise par un modem distant pour RDL.
&amp;T6
Lance une boucle num&eacute;rique distante.
&amp;T7
Lance une boucle num&eacute;rique distante avec autotest.
&amp;T8
Lance une boucle analogique locale avec autotest.
&amp;V
Affiche la configuration active, les profils utilisateur et les num&eacute;ros m&eacute;moris&eacute;s.
&amp;W n
Sauvegarde les param&egrave;tres m&eacute;morisables de la configuration active
comme profil utilisateur n.
&amp;X0
Signal d’horloge de transmission &eacute;mis par le modem.
&amp;X1
Signal d’horloge de transmission &eacute;mis par le terminal de donn&eacute;es.
&amp;X2
Signal d’horloge de transmission &eacute;mis par la porteuse r&eacute;ceptrice.
&amp;Y n
Rappelle le profil utilisateur n.
&amp;Z n= x
Stocke le num&eacute;ro de t&eacute;l&eacute;phone x &agrave; l’emplacement n.
R&eacute;capitulatif des registres S
7-22
Registre
Intervalle
Description
S0
0–255
Nombre de sonneries avant d&eacute;crochage.
S1
0–255
Compteur de sonnerie (incr&eacute;ment&eacute; &agrave; chaque sonnerie).
S2
0–127
Code ASCII du caract&egrave;re d’&eacute;chappement.
S3
0–127
Code ASCII du caract&egrave;re de retour chariot.
S4
0–127
Code ASCII du caract&egrave;re de ligne suivante.
S5
0–32, 127
Code ASCII du caract&egrave;re de retour arri&egrave;re.
S6
2–255
D&eacute;lai, en secondes, entre le d&eacute;croch&eacute; et la num&eacute;rotation.
S7
1–55
D&eacute;lai, en secondes, entre la tonalit&eacute; de porteuse et de
num&eacute;rotation.
S8
0–255
Dur&eacute;e, en secondes, de la pause marqu&eacute;e par une virgule.
S9
1–255
D&eacute;lai minimum de r&eacute;ponse de d&eacute;tection de porteuse (en
dixi&egrave;mes de seconde).
S10
1–255
Temps entre la perte de porteuse et le raccrochage (en
dixi&egrave;mes de seconde).
S11
50–255
Dur&eacute;e/intervalle des tonalit&eacute;s (en millisecondes).
S12
50–255
Temps de garde avant et apr&egrave;s la s&eacute;quence d’&eacute;chappement (en
deux–centi&egrave;mes de seconde).
S13
––
R&eacute;serv&eacute;.
S14
––
R&eacute;serv&eacute;.
S15
––
R&eacute;serv&eacute;.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
S16
––
R&eacute;serv&eacute; – les fonctions de ce registre sont contr&ocirc;l&eacute;es par les
commandes &amp;T.
S17
––
R&eacute;serv&eacute;.
S18
0–255
Dur&eacute;e du test du compteur (en secondes).
S19
––
R&eacute;serv&eacute;.
S20
––
R&eacute;serv&eacute;.
S21
––
R&eacute;serv&eacute;.
S22
––
R&eacute;serv&eacute;.
S23
––
R&eacute;serv&eacute;.
S24
––
R&eacute;serv&eacute;.
S25
0–255
Temps de d&eacute;tection de changement DTR
(en centi&egrave;mes de seconde).
S26
0–255
D&eacute;lai entre une demande RTS et la r&eacute;ponse CTS
(en centi&egrave;mes de seconde).
S27
––
R&eacute;serv&eacute;.
R&eacute;capitulatif des codes de r&eacute;sultat
Message
num&eacute;rique
Message litt&eacute;ral
Description
0
OK
Commande ex&eacute;cut&eacute;e correctement.
1
CONNECT
Connexion &eacute;tablie &agrave; 0-300 bps.
2
RING
D&eacute;tection d’une sonnerie.
3
NO CARRIER
Signal de porteuse perdu ou non d&eacute;tect&eacute;.
4
ERROR
Erreur de syntaxe dans la ligne de commande, ou
commande, total de contr&ocirc;le ou longueur invalide.
5
CONNECT 1200
Connexion &eacute;tablie &agrave; 1200 bps.
6
NO DIALTONE
Absence de tonalit&eacute; d’invitation &agrave; num&eacute;roter.
7
BUSY
D&eacute;tection d’une tonalit&eacute; d’occupation.
8
NO ANSWER
Pas de r&eacute;ponse du syst&egrave;me appel&eacute;.
9
CONNECT 2400
Connexion &eacute;tablie &agrave; 2400 bps.
Modificateurs de num&eacute;rotation
Liste et description des modificateurs de num&eacute;rotation :
0–9 # * A–D Chiffres et caract&egrave;res de num&eacute;rotation
P
R&eacute;glage de l’impulsion
T
R&eacute;glage de la tonalit&eacute;
,
Pause pour traitement du caract&egrave;re suivant
!
Signal d’accroche
@
Attente d’un silence
W
Attente de tonalit&eacute;
;
Retour &agrave; l’&eacute;tat ”commande” apr&egrave;s num&eacute;rotation
R
Mode invers&eacute;
S= n
Compose le num&eacute;ro stock&eacute; &agrave; l’emplacement n.
Unit&eacute;s TTY et communications s&eacute;rie
7-23
D&eacute;finition des options de terminal avec stty–cxma
stty-cxma est un utilitaire qui d&eacute;finit et affiche les options du terminal pour les cartes PCI 8
et 128 ports. Il est situ&eacute; dans le r&eacute;pertoire /usr/lbin/tty. Le format est le suivant :
stty–cxma [–a] [option(s)] [nomtty]
En l’absence d’options, stty–cxma affiche l’ensemble des d&eacute;finitions sp&eacute;ciales du pilote, les
signaux du modem et tous les param&egrave;tres standard r&eacute;pertori&eacute;s par stty(1) pour l’unit&eacute; tty
d&eacute;sign&eacute;e par l’entr&eacute;e standard. Des options de commande sont fournies pour modifier les
d&eacute;finitions du contr&ocirc;le de flux, d&eacute;finir les options d’impression transparente, forcer les lignes
de contr&ocirc;le du modem et afficher les d&eacute;finitions du tty. Toute option non identifi&eacute;e passe &agrave;
stty(1) pour &ecirc;tre interpr&eacute;t&eacute;e. Voici les diff&eacute;rentes options :
–a
affiche l’ensemble des d&eacute;finitions de l’option de carte et toutes les
d&eacute;finitions du tty standard fournies par la commande stty –a.
ttyname
d&eacute;finit et affiche les options d’une unit&eacute; tty donn&eacute;e, et non de l’entr&eacute;e
standard. S’utilise avec le chemin d’acc&egrave;s &agrave; un tty pr&eacute;c&eacute;d&eacute; de /dev/ ou
avec un simple nom de tty pr&eacute;c&eacute;d&eacute; de tty. En l’absence de porteuse, peut
aussi &ecirc;tre utilis&eacute;e sur une ligne de contr&ocirc;le de modem.
Les options suivantes d&eacute;finissent des actions transitoires &agrave; ex&eacute;cuter imm&eacute;diatement :
break
&eacute;met un signal d’interruption de 250 ms sur la ligne tty.
flush
indique un vidage imm&eacute;diat des E/S tty.
flushin
vide les entr&eacute;es tty.
flushout
vide les sorties tty.
Les options suivantes d&eacute;finissent des actions r&eacute;initialis&eacute;es &agrave; la fermeture de l’unit&eacute;. A
l’ouverture suivante, l’unit&eacute; prend en compte les valeurs par d&eacute;faut.
stopout
arr&ecirc;te les sorties comme &agrave; r&eacute;ception d’un caract&egrave;re XOFF.
startout
relance les sorties interrompues comme &agrave; r&eacute;ception d’un caract&egrave;re XON.
stopin
active le contr&ocirc;le de flux pour arr&ecirc;ter les entr&eacute;es.
startin
d&eacute;sactive le contr&ocirc;le de flux pour reprendre les entr&eacute;es interrompues.
[–]dtr [drop]
active la ligne de contr&ocirc;le modem du DTR, except&eacute; si le contr&ocirc;le de flux
mat&eacute;riel du DTR est s&eacute;lectionn&eacute;.
[–]rts [drop]
active la ligne de contr&ocirc;le modem RTS, except&eacute; si le contr&ocirc;le de flux
mat&eacute;riel du RTS est s&eacute;lectionn&eacute;.
Les options suivantes restent effectives tant qu’elles ne sont pas modifi&eacute;es ou jusqu’au
r&eacute;amor&ccedil;age du syst&egrave;me.
7-24
[–]fastcook
traite les sorties en mode ”pr&eacute;par&eacute;” sur la carte intelligente pour r&eacute;duire
l’utilisation du CPU h&ocirc;te et am&eacute;liorer les performances des entr&eacute;es en
mode brut.
[–]fastbaud
modifie les tables des d&eacute;bits comme suit : 50 bauds deviennent 57 600
bauds ; 75, 76 800, 110, 115 200 et 200, 230 000 pour les unit&eacute;s prises en
charge.
[–]rtspace
active/d&eacute;sactive le contr&ocirc;le de flux mat&eacute;riel en entr&eacute;e du RTS, de sorte que
la transmission &agrave; distance soit interrompue quand RTS est d&eacute;sactiv&eacute;.
[–]ctspace
active/d&eacute;sactive le contr&ocirc;le de flux mat&eacute;riel en sortie du CTS, de sorte que
la transmission locale soit interrompue quand CTS est d&eacute;sactiv&eacute;.
[–]dsrpace
active/d&eacute;sactive le contr&ocirc;le de flux mat&eacute;riel en sortie du DSR, de sorte que
la transmission locale soit interrompue quand DSR est d&eacute;sactiv&eacute;.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
[–]dcdpace
active/d&eacute;sactive le contr&ocirc;le de flux mat&eacute;riel en sortie du DCD, de sorte que
la transmission locale soit interrompue quand DCD est d&eacute;sactiv&eacute;.
[–]dtrpace
active/d&eacute;sactive le contr&ocirc;le de flux mat&eacute;riel en entr&eacute;e du DTR, de sorte que
la transmission &agrave; distance soit interrompue quand DTR d&eacute;sactiv&eacute;.
[–]forcedcd
d&eacute;sactive [r&eacute;active] la d&eacute;tection de porteuse pour permettre l’ouverture et
l’exploitation du tty, m&ecirc;me en l’absence de porteuse.
[–]altpin
mappe le brochage du connecteur RJ–45 avec les valeurs du connecteur
8 broches ou celles par d&eacute;faut du connecteur 10 broches. Quand altpin est
activ&eacute; (enabled), la position de DSR et DCD est activ&eacute;e pour que le signal
DCD soit disponible avec un connecteur RJ–45 8 broches &agrave; la place du
10 broches. La valeur par d&eacute;faut est disable.
Valeurs possibles :
enable (sp&eacute;cifie les valeurs du connecteur 8 broches)
disable (sp&eacute;cifie les valeurs du connecteur 10 broches)
startc c
d&eacute;finit le caract&egrave;re de contr&ocirc;le du flux XON. Le caract&egrave;re peut se voir
associer un nombre hexad&eacute;cimal, octal ou d&eacute;cimal. L’octal est identifi&eacute; par
le z&eacute;ro de gauche et l’hexad&eacute;cimal par 0x &agrave; gauche. Par exemple, le
caract&egrave;re standard XON, CTRL–Q, est 17 (d&eacute;cimal), 021 (octal) ou 0x11
(hexad&eacute;cimal).
stopc c
d&eacute;finit le caract&egrave;re de contr&ocirc;le de flux XOFF. Ce caract&egrave;re peut se voir
attribuer une valeur d&eacute;cimale, octale ou hexad&eacute;cimale (pour le format octal
ou d&eacute;cimal, se reporter &agrave; startc).
astartc c
d&eacute;finit le caract&egrave;re de contr&ocirc;le de flux XON. Ce caract&egrave;re peut se voir
attribuer une valeur d&eacute;cimale, octale ou hexad&eacute;cimale (pour le format octal
ou d&eacute;cimal, se reporter &agrave; startc).
astopc c
d&eacute;finit le caract&egrave;re de contr&ocirc;le de flux XON. Ce caract&egrave;re peut se voir
attribuer une valeur d&eacute;cimale, octale ou hexad&eacute;cimale (pour le format octal
ou d&eacute;cimal, se reporter &agrave; startc).
[–]aixon
active le contr&ocirc;le de flux auxiliaire, pour l’utilisation de deux caract&egrave;res
uniques XON et XOFF. Apr&egrave;s r&eacute;ception des deux caract&egrave;res XOFF, la
transmission ne reprend qu’&agrave; r&eacute;ception des deux caract&egrave;res XON.
[–]2200flow
d&eacute;finit le mode de contr&ocirc;le de flux 2200 sur le port. Les terminaux 2200
g&egrave;rent une imprimante connect&eacute;e et utilisent quatre caract&egrave;res de contr&ocirc;le
de flux : XON terminal (0xF8), XON imprimante (0xF9), XOFF terminal
(0xFA) et XOFF imprimante (0xFB).
[–]2200print
d&eacute;termine le mode d’interpr&eacute;tation de ces caract&egrave;res de contr&ocirc;le de flux.
Si 2200print est d&eacute;fini, ex&eacute;cutez un contr&ocirc;le de flux ind&eacute;pendant pour les
unit&eacute;s de terminal et d’impression transparente. Sinon, il est indissociable
au niveau logique. A r&eacute;ception d’un caract&egrave;re XOFF, toute sortie est
interrompue jusqu’&agrave; r&eacute;ception du caract&egrave;re XON correspondant.
maxcps n
d&eacute;finit le d&eacute;bit maximal de transmission &agrave; l’unit&eacute; d’impression transparente,
exprim&eacute; en caract&egrave;res par seconde (CPS). Un d&eacute;bit l&eacute;g&egrave;rement inf&eacute;rieur &agrave;
la vitesse moyenne d’impression est pr&eacute;conis&eacute;. Un d&eacute;bit sous–estim&eacute;
provoque un ralentissement de la vitesse d’impression. Avec un d&eacute;bit
surestim&eacute;, l’imprimante effectue le contr&ocirc;le de flux, ce qui peut ralentir
l’entr&eacute;e des donn&eacute;es. La valeur par d&eacute;faut est 100 caract&egrave;res par seconde.
maxchar n
d&eacute;finit le nombre maximal de caract&egrave;res d’impression transparente plac&eacute;s
par le pilote en file d’attente de sortie. R&eacute;duire la valeur accro&icirc;t le temps
syst&egrave;me et l’augmenter accro&icirc;t le temps de traitement des frappes de
touches quand l’impression transparente est en cours d’exploitation. La
valeur par d&eacute;faut est 50 caract&egrave;res.
Unit&eacute;s TTY et communications s&eacute;rie
7-25
7-26
bufsize n
d&eacute;finit l’estimation par le pilote de la taille du tampon d’entr&eacute;e d’impression
transparente. Apr&egrave;s une p&eacute;riode d’inactivit&eacute;, le pilote sature l’imprimante
jusqu’&agrave; atteindre la taille impartie pour remplir le tampon puis ralentit
jusqu’au d&eacute;bit maxcps. La valeur par d&eacute;faut est 100 caract&egrave;res.
onstr s
d&eacute;finit la s&eacute;quence d’&eacute;chappement du terminal pour activer l’impression
transparente. Les cha&icirc;nes peuvent comporter des caract&egrave;res ASCII
d’impression et non imprimables. Les caract&egrave;res de contr&ocirc;le (non
imprimables) doivent avoir une valeur octale de 3 chiffres pr&eacute;c&eacute;d&eacute;s du
symbole \. Par exemple, la valeur du caract&egrave;re Echap, 33 en octal, doit &ecirc;tre
\033. Ainsi, avec la cha&icirc;ne &lt;Esc&gt;[5i (norme ANSI) pour activer l’impression
transparente, le param&egrave;tre doit avoir la valeur suivante : \033[5i
offstr s
d&eacute;finit la s&eacute;quence d’&eacute;chappement du terminal pour d&eacute;sactiver l’impression
transparente. Pour le format de la cha&icirc;ne, reportez–vous &agrave; onstr s.
term t
d&eacute;finit les cha&icirc;nes d’activation/d&eacute;sactivation d’impression transparente aux
valeurs donn&eacute;es dans la table interne par d&eacute;faut. Ces valeurs par d&eacute;faut
sont utilis&eacute;es pour les terminaux suivants : adm31, ansi, dg200, dg210,
hz1500, mc5, microterm, multiterm, pcterm, tvi, vp–a2, vp–60, vt52, vt100,
vt220, wyse30, wyse50, wyse60 et wyse75. Pour tout autre type de
terminal, ditty recherche dans terminfo l’entr&eacute;e du type de terminal et d&eacute;finit
les cha&icirc;nes aux valeurs donn&eacute;es par les attributs mc5/mc4 trouv&eacute;s parmi
les entr&eacute;es terminfo.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Emulation ATE
L’&eacute;mulation de terminal asynchrone ATE est un logiciel en option qui permet &agrave; un syst&egrave;me
d’&eacute;muler un terminal sur un syst&egrave;me distant. ATE donne acc&egrave;s &agrave; la plupart des syst&egrave;mes
compatibles avec des terminaux asynchrones, y compris avec les connexions RS-232C ou
RS-422A. Il est possible de configurer ATE de fa&ccedil;on que le syst&egrave;me distant per&ccedil;oive votre
terminal comme station de travail raccord&eacute;e ou terminal DEC VT100.
G&eacute;n&eacute;ralit&eacute;s sur la configuration d’ATE
Avant d’ex&eacute;cuter ATE, vous devez installer le logiciel et configurer les ports et connexions.
ATE admet les connexions par c&acirc;bles (directes) ou par modem. Les connexions RS-232C
locales permettent de relier des machines distantes d’au maximum 15 m&egrave;tres l’une de
l’autre, les connexions RS-422A permettant d’aller jusqu’&agrave; 1 200 m&egrave;tres.
Assurez–vous au pr&eacute;alable que l’unit&eacute; tty &agrave; appeler (la v&ocirc;tre ou celle du syst&egrave;me distant)
via ATE est pr&ecirc;te &agrave; accepter l’appel. Assurez-vous au pr&eacute;alable que l’unit&eacute; tty &agrave; appeler
(la v&ocirc;tre ou celle du syst&egrave;me distant) via ATE est pr&ecirc;te &agrave; accepter l’appel.
Pour en savoir plus sur l’installation et la configuration d’ATE, reportez–vous &agrave; la section
”Configuration d’ATE”.
Remarque :
Vous ne pouvez utiliser ATE que si vous &ecirc;tes membre d’un groupe UUCP
(UNIX-to-UNIX Copy Program). Un superutilisateur (b&eacute;n&eacute;ficiant des droits
d’acc&egrave;s root) peut utiliser Web-based System Manager ou d&eacute;finir ce type de
groupe via SMIT.
Personnalisation d’ATE
Lors de la premi&egrave;re ex&eacute;cution d’ATE, le programme cr&eacute;e un fichier ate.def par d&eacute;faut dans
le r&eacute;pertoire courant. Ce fichier regroupe les param&egrave;tres utilis&eacute;s par ATE qui d&eacute;finissent :
• les caract&eacute;ristiques de transmission de donn&eacute;es,
• les fonctionnalit&eacute;s du syst&egrave;me local,
• le fichier r&eacute;pertoire des num&eacute;ros d’appel,
• Touches de contr&ocirc;le
Pour modifier ces param&egrave;tres, &eacute;ditez le fichier ate.def.
Si vous souhaitez disposer de plusieurs configurations d’ATE, conservez les versions
correspondantes du fichier ate.def dans des r&eacute;pertoires distincts. Il suffit alors d’ex&eacute;cuter
ATE &agrave; partir du r&eacute;pertoire ad hoc. Bien entendu, cette solution, qui n&eacute;cessite plusieurs
exemplaires du fichier ate.def, mobilise davantage d’espace de stockage syst&egrave;me.
Pour plus d’informations sur l’&eacute;dition du fichier ate.def, reportez-vous &agrave; la section ”Edition
du fichier par d&eacute;faut d’ATE” dans le manuel AIX 5L Version 5.2 System User’s Guide:
Communications and Networks .
Pour changer temporairement la configuration sans modifier le fichier par d&eacute;faut, vous
disposez des sous–commandes alter et modify. Les modifications apport&eacute;es par ce biais
sont annul&eacute;es d&egrave;s que vous quittez le programme avec quit, et les valeurs du fichier
ate.def sont de nouveau appliqu&eacute;es.
Une fois install&eacute;, ATE sollicite le fichier r&eacute;pertoire de num&eacute;ros d’appel /usr/lib/dir du
syst&egrave;me. Vous pouvez le modifier temporairement – pour la dur&eacute;e de la connexion par
modem : vous retrouvez alors les valeurs initiales d&egrave;s la fin de la connexion et non &agrave; la
sortie d’ATE. Un utilisateur racine peut ajouter dans le fichier /usr/lib/dir les num&eacute;ros
d’appel des modems utilis&eacute;s par tous les utilisateurs. Chaque utilisateur a &eacute;galement la
possibilit&eacute; de cr&eacute;er ses propres fichiers r&eacute;pertoires et de modifier ses exemplaires du fichier
ate.def pour permettre &agrave; ATE d’acc&eacute;der &agrave; ces r&eacute;pertoires.
Unit&eacute;s TTY et communications s&eacute;rie
7-27
Pour en savoir plus sur l’utilisation d’ATE avec un r&eacute;pertoire de num&eacute;ros d’appel
personnalis&eacute;, reportez-vous &agrave; ”Cr&eacute;ation d’un r&eacute;pertoire de num&eacute;ros d’appel ATE” dans le
manuel AIX 5L Version 5.2 System User’s Guide: Communications and Networks.
Vous pouvez inclure dans le fichier r&eacute;pertoire les num&eacute;ros d’appel fr&eacute;quemment utilis&eacute;s et
modifier le d&eacute;bit, la longueur des donn&eacute;es, les bits d’arr&ecirc;t, la parit&eacute;, l’&eacute;cho et le retour de
ligne d’un num&eacute;ro d’appel. Pour &eacute;tablir la connexion avec un num&eacute;ro non r&eacute;pertori&eacute;, lancez
la sous-commande connect.
Remarque :
Un fichier r&eacute;pertoire peut contenir jusqu’&agrave; 20 lignes
(chacune correspondant &agrave; une entr&eacute;e). Au-del&agrave;, les lignes sont ignor&eacute;es
par ATE.
Modification des caract&eacute;ristiques ATE
Les caract&eacute;ristiques d’ATE r&eacute;pertori&eacute;es ci-dessous peuvent &ecirc;tre modifi&eacute;es par l’utilisateur
via la m&eacute;thode indiqu&eacute;e.
Remarque : Toutes les caract&eacute;ristiques d’ATE sont modifiables dans le fichier ate.def.
Modification des caract&eacute;ristiques ATE
7-28
Caract&eacute;ristique
Via
Touches de contr&ocirc;le
Fichier ate.def
Longueur des donn&eacute;es
alter ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Nom du r&eacute;pertoire de num&eacute;ros d’appel
directory
Echo (activ&eacute; ou non)
modify ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Nom du fichier de capture
modify
Suffixe de num&eacute;rotation pour modem
alter
Pr&eacute;fixe de num&eacute;rotation pour modem
alter
Retours de ligne
modify ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Nombre de tentatives de num&eacute;rotation
alter
Nombre de bits d’arr&ecirc;t
alter ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Parit&eacute; (paire ou impaire)
alter ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Num&eacute;ro de port (unit&eacute;)
alter
D&eacute;bit (bits/s)
alter ou entr&eacute;e r&eacute;pertoire des num&eacute;ros
Num&eacute;ro de t&eacute;l&eacute;phone
entr&eacute;e r&eacute;pertoire des num&eacute;ros
Protocole de transfert ( pacing ou xmodem)
alter
Espacement (caract&egrave;re ou intervalle)
alter
Emulation VT100 (activ&eacute;e ou non)
modify
D&eacute;lai entre deux tentatives de num&eacute;rotation
alter
Capture des donn&eacute;es entrantes
modify
Protocole Xon/Xoff (activ&eacute; ou non)
modify
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Configuration d’ATE
Cette section traite de la configuration d’ATE (Asynchronous Terminal Emulation)
Pr&eacute;alables
• Le programme ATE (Asynchronous Terminal Emulation) doit &ecirc;tre install&eacute; sur votre
syst&egrave;me. ATE est un logiciel en option.
• Vous devez &ecirc;tre utilisateur racine pour configurer le port de l’unit&eacute; de communications.
Proc&eacute;dure
Effectuez les op&eacute;rations suivantes pour pr&eacute;parer ATE &agrave; s’ex&eacute;cuter sur le syst&egrave;me :
1. Installez une carte asynchrone dans l’unit&eacute; centrale si le syst&egrave;me n’est pas &eacute;quip&eacute; d’un
port s&eacute;rie int&eacute;gr&eacute;.
2. Branchez le c&acirc;ble RS–232C ou RS–422A sur la carte ou le port s&eacute;rie int&eacute;gr&eacute;.
3. D&eacute;clarez une unit&eacute; tty pour le port de communication. Pour ce faire, utilisez le
Gestionnaire syst&egrave;me Web, wsm, ou entrez :
smit mktty
4. S&eacute;lectionnez Ajout d’un TTY.
5. S&eacute;lectionnez le type tty.
6. S&eacute;lectionnez l’unit&eacute; de carte parent.
7. S&eacute;lectionnez un port.
8. S&eacute;lectionnez l’option de d&eacute;sactivation disabledu champ Enable LOGIN.
9. D&eacute;finissez Type de terminal en tant que HFT ou dumb.
10.Modifiez l’environnement en cons&eacute;quence, Les modifications les plus fr&eacute;quentes portent
sur la vitesse de la ligne, la parit&eacute;, le nombre de bits par caract&egrave;res et le mode de
pilotage de la ligne (local ou distant). Indiquez BPC 8 et no parity si le support de
langue NLS est requis.
11. Configurez le port de l’unit&eacute;.
– Pour permettre des appels sortants via ATE, utilisez la commande pdisable.
Par exemple, si le port est tty1, entrez :
pdisable tty1
– Pour permettre des appels entrants via ATE, utilisez la commande penable.
Par exemple, si le port &agrave; appeler est tty2, entrez :
penable tty2
12.V&eacute;rifiez que l’unit&eacute; a &eacute;t&eacute; pr&eacute;alablement d&eacute;clar&eacute;e au syst&egrave;me distant. Une fois l’unit&eacute;
d&eacute;finie, modifiez ATE en fonction de la configuration de l’unit&eacute; du syst&egrave;me distant. Pour
personnaliser les param&egrave;tres par d&eacute;faut, utilisez les sous–commandes alter et modify,
ou &eacute;dite le fichier ate.def par d&eacute;faut. Pour une modification li&eacute;e &agrave; une connexion
t&eacute;l&eacute;phonique, utilisez une entr&eacute;e du fichier r&eacute;pertoire des num&eacute;ros d’appel.
Unit&eacute;s TTY et communications s&eacute;rie
7-29
Identification des incidents TTY
Cette section traite de l’identification des incidents du sous–syst&egrave;me tty :
• R&eacute;g&eacute;n&eacute;ration trop rapide page 7-30
• Informations journalis&eacute;es et identificateurs de journal TTY on page 7-31
• D&eacute;blocage d’un port tty bloqu&eacute; page 7-35
R&eacute;g&eacute;n&eacute;ration trop rapide
Le syst&egrave;me enregistre le nombre de process getty g&eacute;n&eacute;r&eacute;s pour un tty particulier dans un
court laps de temps. Si ce nombre est sup&eacute;rieur &agrave; 5, l’erreur Red&eacute;marrage trop rapide
de la commande s’affiche sur la console et le port est d&eacute;sactiv&eacute; par le syst&egrave;me.
Le tty reste d&eacute;sactiv&eacute; environ 19 minutes ou jusqu’&agrave; ce que l’administrateur syst&egrave;me le
r&eacute;active. Au bout de ces 19 minutes, le syst&egrave;me r&eacute;active automatiquement le port, g&eacute;n&eacute;rant
un nouveau processus getty.
Causes possibles
• La configuration du modem est incorrecte
• Un port est d&eacute;fini et activ&eacute;, mais aucune unit&eacute; ou aucun c&acirc;ble ne lui est raccord&eacute;
• Le c&acirc;blage est mauvais ou la connexion desserr&eacute;e
• Il y a des bruits parasites sur la ligne de communication
• Les fichiers /etc/environment ou /etc/inittab sont alt&eacute;r&eacute;s.
• La configuration de tty est erron&eacute;e
• Le mat&eacute;riel est d&eacute;fectueux
Chacune de ces causes possible est expliqu&eacute;e dans Proc&eacute;dures de reprise page 7-30.
Proc&eacute;dures de reprise
• La configuration du modem est incorrecte :
V&eacute;rifiez que le signal de d&eacute;tection de porteuse d&eacute;fini pour le modem n’est pas forc&eacute; &agrave; un
niveau &eacute;lev&eacute;.
Remarque :
Les instructions ci–dessous concernent les modems compatibles Hayes.
1. Connectez le modem et examinez le profil actif.
2. Le signal de d&eacute;tection de porteuse doit &ecirc;tre positionn&eacute; &agrave; &amp;C1 et non &amp;C0 (forc&eacute; &agrave; un
niveau &eacute;lev&eacute;). Utilisez les commandes AT ci–apr&egrave;s pour d&eacute;finir ou modifier cet
attribut :
AT&amp;C1
AT&amp;W
Remarques :
a. Envoi de commandes AT via la commande cu
b. Pour plus d’informations &agrave; ce propos, reportez–vous au manuel du modem.
• D&eacute;sactivez le tty, supprimez sa d&eacute;finition ou raccordez une unit&eacute; au port :
– Pour d&eacute;sactiver la d&eacute;finition tty, entrez la commande chdev comme suit :
chdev –l
Nomtty
–a Login=disable
Le tty ne sera pas r&eacute;activ&eacute; au prochain d&eacute;marrage du syst&egrave;me.
– Pour supprimer la d&eacute;finition tty :
7-30
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
1. D&eacute;sactivez le port tty via la commande pdisable comme suit :
pdisable
Nomtty
2. Supprimez la d&eacute;finition tty du syst&egrave;me. Pour plus d’informations, reportez–vous &agrave;
Gestion des unit&eacute;s TTY.
• V&eacute;rifiez les c&acirc;bles et les connexions :
1. V&eacute;rifiez les c&acirc;bles. Resserrez les connexions et remplacez les connecteurs
endommag&eacute;s ou inad&eacute;quats.
2. V&eacute;rifiez si le c&acirc;blage vraisemblablement &agrave; l’origine de la d&eacute;faillance est du type c&acirc;ble
s&eacute;rie r&eacute;f&eacute;rence 6323741 ou si les c&acirc;bles r&eacute;pondent &agrave; la m&ecirc;me norme. Remplacez les
c&acirc;bles endommag&eacute;s ou inappropri&eacute;s.
• Eliminez les bruits parasites sur la ligne :
1. V&eacute;rifiez la longueur et l’imp&eacute;dance des c&acirc;bles.
2. V&eacute;rifiez que les bagues de serrage requises sur les c&acirc;bles longs sont en place.
3. Contr&ocirc;lez le parcours des c&acirc;bles, ils doivent &ecirc;tre &eacute;loign&eacute;s des lumi&egrave;res fluorescentes
et des g&eacute;n&eacute;rateurs.
• Assurez–vous que les fichiers /etc/environment ou /etc/inittab ne sont pas
endommag&eacute;s ou n’ont pas &eacute;t&eacute; alt&eacute;r&eacute;s :
1. Si possible, comparez ces fichiers &agrave; des copies fiables.
2. Faites une sauvegarde de ces fichiers et modifiez–les.
3. Dans le fichier /etc/environment, supprimez les lignes autres que :
. les lignes vierges,
. les lignes de commentaire
. variable=valeur.
4. V&eacute;rifiez, dans le fichier /etc/inittab, les lignes relatives aux unit&eacute;s tty. Si tty est
positionn&eacute; sur off, le port tty n’est sans doute pas utilis&eacute;. S’il n’est pas utilis&eacute;,
supprimez la d&eacute;finition tty ou attachez une unit&eacute; au port.
• Supprimez les &eacute;l&eacute;ments de configuration de tty erron&eacute;s :
1. Supprimez la d&eacute;finition tty. Utilisez l’application Web-based System Manager Devices
ou reportez–vous &agrave; Gestion des unit&eacute;s TTY pour plus d’informations.
2. Pour effectuer une copie papier de cette d&eacute;finition avant de la supprimer, appuyez sur
F8 ou Echap+8 (Image). une capture d’&eacute;cran courant est r&eacute;alis&eacute;e et copi&eacute;e dans le
fichier smit.log de votre r&eacute;pertoire $HOME.
3. Examinez la d&eacute;finition de tty. Consultez les instructions sur l’ajout d’un TTY &agrave; la
section Gestion des unit&eacute;s TTY.
• Localisez le mat&eacute;riel d&eacute;fectueux :
1. Ex&eacute;cutez les programmes de diagnostic &agrave; l’aide de la commande diag.
2. Si vous d&eacute;celez la moindre anomalie mat&eacute;rielle, suivez les proc&eacute;dures de r&eacute;solution
des incidents locaux.
Informations journalis&eacute;es et identificateurs de journal TTY
Cette section pr&eacute;sente les principaux fichiers et commandes de journalisation des erreurs
ainsi que les messages d’erreur courants concernant les unit&eacute;s tty.
Unit&eacute;s TTY et communications s&eacute;rie
7-31
Fichiers et commandes de journalisation des erreurs
Commande : errclear
Cette commande supprime les entr&eacute;es du journal d’erreur. Vous pouvez supprimer soit la
totalit&eacute; du journal avec la commande errclear 0, soit certaines entr&eacute;es seulement en
sp&eacute;cifiant des ID, une classe ou un type de messages.
Commande : errpt
Cette commande g&eacute;n&egrave;re un compte rendu d’erreurs &agrave; partir des entr&eacute;es du journal d’erreur
du syst&egrave;me. Le format le plus utilis&eacute; pour cette commande, errpt –a | pg, demande la
g&eacute;n&eacute;ration d’un compte rendu d&eacute;taill&eacute; avec, en t&ecirc;te, les erreurs les plus courantes.
Fichier : /var/adm/ras/errlog
Ce fichier stocke les occurrences d’erreurs et de d&eacute;faillances d&eacute;tect&eacute;es par le syst&egrave;me. Le
fichier errlog a tendance &agrave; s’allonger. S’il n’est pas r&eacute;guli&egrave;rement purg&eacute;, ce fichier peut
mobiliser un espace disque important. Utilisez la commande errclear cit&eacute;e plus haut pour le
purger.
Fichier : /usr/include/sys/errids.h
Le fichier d’en–t&ecirc;te errids.h fait la corr&eacute;lation entre les ID d’erreur et leurs &eacute;tiquettes.
Messages d’erreurs
7-32
Message
Description
Remarques
Core Dump
Arr&ecirc;t anormal du
programme
Cette erreur est consign&eacute;e lors
d’un arr&ecirc;t anormal d’un
programme entra&icirc;nant un vidage
de la m&eacute;moire. L’utilisateur n’a pas
quitt&eacute; proprement les applications,
le syst&egrave;me s’est arr&ecirc;t&eacute; en cours
d’application, ou le terminal de
l’utilisateur s’est bloqu&eacute; et a
interrompu l’application.
Errlog On
Activation du d&eacute;mon Err
Message consign&eacute; par le d&eacute;mon
error d&egrave;s le lancement de la
journalisation. Le syst&egrave;me
d&eacute;sactive automatiquement la
journalisation lors de l’arr&ecirc;t du
syst&egrave;me (shutdown).
Lion Box Died
Perte de communication
avec concentrateur 64 ports
Message consign&eacute; par le pilote du
concentrateur 64 ports. V&eacute;rifiez
l’horodateur pour d&eacute;terminer si un
utilisateur est &agrave; l’origine de ce
message. Une s&eacute;rie de messages
de ce type peut r&eacute;v&eacute;ler une
d&eacute;faillance de la carte 64 ports ou
du mat&eacute;riel associ&eacute;.
Lion Buffero
Saturation du tampon :
concentrateur 64 ports
Le tampon mat&eacute;riel du
concentrateur 64 ports est satur&eacute;.
Si l’unit&eacute; et le c&acirc;blage le
permettent, ajoutez une demande
RTS au port et &agrave; l’unit&eacute; et si
possible, r&eacute;duisez le d&eacute;bit en
bauds.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Lion Chunknumc
D&eacute;compte erron&eacute; dans une
tranche de m&eacute;moire :
Contr&ocirc;leur 64 ports
Le nombre de caract&egrave;res compris
dans une tranche de m&eacute;moire ne
concorde pas avec les valeurs
effectivement en m&eacute;moire tampon.
Cette erreur peut signaler un
incident mat&eacute;riel ; ex&eacute;cutez les
diagnostics sur les unit&eacute;s.
Lion Hrdwre
M&eacute;moire du contr&ocirc;leur 64
ports inaccessible
Message consign&eacute; par le pilote du
concentrateur 64 ports lorsqu’il ne
parvient pas &agrave; acc&eacute;der &agrave; la
m&eacute;moire du contr&ocirc;leur.
Lion Mem ADAP
Allocation de m&eacute;moire
impossible : structure ADAP
Message consign&eacute; par le pilote du
concentrateur 64 ports si la routine
malloc pour la structure adap
&eacute;choue.
Lion Mem List
Allocation de m&eacute;moire
impossible : liste TTYP_T
Message consign&eacute; par le pilote du
concentrateur 64 ports si la routine
malloc pour la structure de liste
ttyp_t &eacute;choue.
Lion Pin ADAP
Echec de la routine pin :
structure ADAP
Message consign&eacute; par le pilote du
concentrateur 64 ports si la routine
pin pour la structure adap &eacute;choue.
SRC
Erreur du programme
Message consign&eacute; par le d&eacute;mon
SRC (System Resource
Controller) en cas de d&eacute;faillance
Les conditions anormales sont
divis&eacute;es en trois zones : des
sous–syst&egrave;mes, des
communications et d’autres
&eacute;l&eacute;ments.
Lion Unkchunk
Code d’erreur inconnu issu
du concentrateur 64 ports
Code d’erreur : nombre de
caract&egrave;res re&ccedil;us dans la tranche
de m&eacute;moire.
TTY Badinput
C&acirc;ble ou connexion
d&eacute;fectueux
Le port g&eacute;n&egrave;re une entr&eacute;e plus
rapidement que le syst&egrave;me ne
peut l’accepter et une partie de
cette entr&eacute;e est abandonn&eacute;e. En
g&eacute;n&eacute;ral, l’entr&eacute;e incorrecte est
caus&eacute;e par un ou plusieurs
signaux RS–232 qui changent
d’&eacute;tat rapidement et &agrave; plusieurs
reprises sur un court intervalle de
temps, le syst&egrave;me passant alors
beaucoup de temps dans le
gestionnaire d’interruptions. Les
erreurs de signal sont en g&eacute;n&eacute;ral
caus&eacute;es par un connecteur l&acirc;che
ou bris&eacute;, par un c&acirc;ble d&eacute;fectueux,
non mis &agrave; la terre ou non blind&eacute;,
ou par une liaison de
communications parasit&eacute;e.
Unit&eacute;s TTY et communications s&eacute;rie
7-33
TTY Overrun
Surcharge en entr&eacute;e c&ocirc;t&eacute;
r&eacute;cepteur
La plupart des ports TTY ont un
FIFO en entr&eacute;e de 16 caract&egrave;res
et le param&egrave;tre par d&eacute;faut indique
qu’une interruption est publi&eacute;e
apr&egrave;s la r&eacute;ception de
14 caract&egrave;res. Cette erreur est
signal&eacute;e lorsque le gestionnaire
d’interruption du pilote a effac&eacute; le
FIFO en entr&eacute;e et que des
donn&eacute;es ont &eacute;t&eacute; perdues. Les
solutions possibles d&eacute;pendent du
mat&eacute;riel utilis&eacute; :
• cartes 8 et 128 ports
V&eacute;rifiez que le contr&ocirc;le de flux
est configur&eacute; correctement. Si
c’est le cas, ex&eacute;cutez les
diagnostics, et remplacez le
mat&eacute;riel si n&eacute;cessaire.
• Ports natifs
Si le probl&egrave;me se produit sur un
syst&egrave;me inactif, transf&eacute;rez la
charge de travail sur un autre
port. Si cela corrige le probl&egrave;me,
mettez &agrave; niveau le microcode
syst&egrave;me.
• Solutions g&eacute;n&eacute;rales
– R&eacute;duisez la valeur du
param&egrave;tre ”RECEIVE trigger
level” de ce port de 3 &agrave; 2 ou 1.
– R&eacute;duisez la vitesse de ligne
de ce port.
– Examinez d’autres unit&eacute;s et
processus afin d’essayer de
r&eacute;duire la dur&eacute;e consacr&eacute;e par
le syst&egrave;me aux interruptions
d&eacute;sactiv&eacute;es.
TTY TTYHOG
7-34
Saturation de TTYHOG
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Cette erreur est en g&eacute;n&eacute;ral caus&eacute;e
par une absence de
correspondance dans la m&eacute;thode
de contr&ocirc;le de flux utilis&eacute;e entre le
transmetteur et le r&eacute;cepteur. Le
pilote TTY a essay&eacute; &agrave; plusieurs
reprises de demander au
transmetteur de marquer une
pause, mais l’entr&eacute;e ne s’est pas
arr&ecirc;t&eacute;e, et les donn&eacute;es ont &eacute;t&eacute;
abandonn&eacute;es. V&eacute;rifiez les
m&eacute;thodes de contr&ocirc;le de flux
configur&eacute;es &agrave; chaque extr&eacute;mit&eacute;
pour vous assurer que la m&ecirc;me
m&eacute;thode est utilis&eacute;e sur chacune.
TTY Parerr
Erreur de
parit&eacute;/encadrement en
entr&eacute;e
Erreurs de parit&eacute; sur les donn&eacute;es
entrantes au niveau des ports
asynchrones, en mode caract&egrave;re
par caract&egrave;re. Ceci est en g&eacute;n&eacute;ral
du &agrave; une absence de
correspondance dans les
param&egrave;tre de contr&ocirc;le de ligne
(parit&eacute;, vitesse de ligne, taille de
caract&egrave;re, ou nombre de bits
d’arr&ecirc;t) entre le transmetteur et le
r&eacute;cepteur. Les param&egrave;tres de
contr&ocirc;le de ligne doit &ecirc;tre d&eacute;finis
de fa&ccedil;on identique des deux c&ocirc;t&eacute;s
pour pouvoir communiquer.
TTY Prog PTR
Erreur interne du pilote
Message consign&eacute; par le pilote tty
si le pointeur t_hptr est nul.
D&eacute;blocage d’un port tty bloqu&eacute;
Dans cet exemple, supposez que le port tty bloqu&eacute; est tty0. Vous devez &ecirc;tre utilisateur
root.
1. Tapez ce qui suit pour d&eacute;terminer si le tty g&egrave;re actuellement des processus :
ps –lt tty0
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
F S UID
PID PPID
240001 S 202 22566 3608
C PRI NI ADDR
0 60 20 781a
SZ
WCHAN
444 70201e44
TTY TIME CMD
tty0 0:00 ksh
L’ID de processus (PID) est ici 22566. Pour mettre fin &agrave; ce processus, tapez :
kill 22566
V&eacute;rifiez que le processus a &eacute;t&eacute; annul&eacute; en tapant la commande ps –lt tty0. Si le
processus existe encore, ajoutez l’indicateur –9 flag &agrave; la commande kill comme le
montre l’exemple suivant.
Remarque :
N’utilisez pas l’option –9 pour mettre fin &agrave; un processus slattach. Si vous
mettez fin &agrave; un processus slattach avec l’indicateur –9, un verrouillage
slip risque de rester dans le fichier /etc/locks. Supprimez ce fichier de
verrouillage pour le nettoyage apr&egrave;s slattach.
kill –9 22566
2. Pour savoir si un processus tente d’utiliser le tty, tapez :
ps –ef | grep tty0
Remarque :
Si ps –ef | grep tty renvoie un r&eacute;sultat du type suivant :
root 19050
/dev/tty
1
0
Mar 06
–
0:00 /usr/sbin/getty
o&ugrave; le ”–” s’affiche entre la date ( Mar 06 ) et l’heure ( 0:00 ), ce tty n’a pas le c&acirc;ble
ad&eacute;quat. Ce statut indique que le processus de connexion du syst&egrave;me (getty) tente
d’ouvrir ce tty, et que le processus d’ouverture est bloqu&eacute; parce que le signal RS–232 de
d&eacute;tection de la porteuse de donn&eacute;es (DCD) n’est pas d&eacute;termin&eacute;. Pour r&eacute;soudre ce
probl&egrave;me, utilisez l’adaptateur null modem du c&acirc;blage. Lorsque getty peut ouvrir le port
tty, le ”–” est remplac&eacute; par le nombre tty. Pour plus d’informations sur les c&acirc;bles,
reportez–vous &agrave; Connexion du modem avec les c&acirc;bles ad&eacute;quats.
Unit&eacute;s TTY et communications s&eacute;rie
7-35
Remarque :
La commande suivante permet de d&eacute;sactiver le processus de connexion
sur tty0.
pdisable tty0
Si le processus a &eacute;t&eacute; annul&eacute; mais que le tty ne r&eacute;pond toujours pas, passez &agrave;
l’&eacute;tape suivante.
3. Entrez la commande suivante :
fuser –k /dev/tty0
Ceci annule tous les processus qui s’ex&eacute;cutent sur le port et affiche le PID. Si le tty est
toujours inutilisable, passez &agrave; l’&eacute;tape suivante.
4. Utilisez la commande strreset pour vider les donn&eacute;es en sortie du port bloqu&eacute; par des
donn&eacute;es ne pouvant &ecirc;tre transmises parce que la connexion &agrave; l’extr&eacute;mit&eacute; &eacute;loign&eacute;e a &eacute;t&eacute;
perdue.
Remarque :
Si la commande strreset r&eacute;pare le port bloqu&eacute;, cela signifie que le port
a un probl&egrave;me de c&acirc;ble de ou de configuration, car la perte de la
connexion &agrave; l’extr&eacute;mit&eacute; &eacute;loign&eacute;e a entra&icirc;n&eacute; le vidage automatique des
donn&eacute;es en tampon.
Vous devez d’abord d&eacute;terminer les num&eacute;ros d’unit&eacute; principales et mineure du tty en
tapant :
ls –al /dev/tty0
La commande affiche un r&eacute;sultat semblable &agrave; ce qui suit :
crw–rw–rw–
1 root
system
18,
0 Nov
7
06:19 /dev/tty0
Ceci indique que tty0 a un num&eacute;ro d’unit&eacute; principale de 18 et un num&eacute;ro d’unit&eacute;
mineure de 0. Indiquez ces chiffres lorsque vous utilisez la commande strreset comme
suit :
/usr/sbin/strreset –M 18 –m 0
Si le tty est toujours inutilisable, passez &agrave; l’&eacute;tape suivante.
5. D&eacute;tachez et rattachez le c&acirc;ble du port tty bloqu&eacute;. AIX utilise le signal Data Carrier Detect
(DCD) pour d&eacute;termine la pr&eacute;sence d’un unit&eacute; attach&eacute;e au port. En abandonnant DCD, le
fait de d&eacute;tacher et rattacher le c&acirc;ble, dans beaucoup de cas, annule les processus
bloqu&eacute;es.
Pour d&eacute;terminer l’emplacement du port sur lequel le tty est configur&eacute;, tapez :
lsdev –Cl tty0
Le r&eacute;sultat est pr&eacute;sent&eacute; de la mani&egrave;re suivante :
tty0
Available
00–00–S1–00
Asynchronous Terminal
La troisi&egrave;me colonne du r&eacute;sultat pr&eacute;c&eacute;dent indique le code d’emplacement du tty. dans
cet exemple, S1 indique que le port s&eacute;rie est configur&eacute; pour le port s&eacute;rie natif 1. Pour
plus d’informations sur l’interpr&eacute;taion des codes d’emplacement, reportez–vous au
document Location Codes dans AIX 5L Version 5.2 System Management Concepts:
Operating System and Devices.
Si le tty est toujours inutilisable, passez &agrave; l’&eacute;tape suivante.
6. Videz le port avec stty–cxma. Entrez la commande suivante :
/usr/lbin/tty/stty–cxma flush tty0
Cette commande est destin&eacute;e aux ttys configur&eacute;s sur les ports de cartes &agrave; 8 et 128
ports. Dan certains cas, cependant, elle permet de vider d’autres ports tty.
Si le tty est toujours inutilisable, passez &agrave; l’&eacute;tape suivante.
7. Sur le clavier du terminal bloqu&eacute;, maintenez enfonc&eacute;e la touche Ctrl et appuyez sur Q.
Les r&eacute;sultats mis en suspens sont relanc&eacute;s par l’envoi d’un caract&egrave;re Xon.
7-36
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Si le tty est toujours inutilisable, passez &agrave; l’&eacute;tape suivante.
8. Un programme ouvre parfois un port tty, modifie certains attributs et ferme le port sans
r&eacute;initialiser l’&eacute;tat original des attributs. Pour corriger ce probl&egrave;me, attribuez l’&eacute;tat
DEFINED au tty puis rendez–le disponible en tapant :
rmdev –l tty0
Cette commande conserve les informations sur le tty dans la base de donn&eacute;es, mais
rend le tty indisponible dans le syst&egrave;me.
La commande suivante r&eacute;active le tty :
mkdev –l tty0
Si le tty est toujours inutilisable, vous devez envisager de d&eacute;placer l’unit&eacute; vers un autre
port et de configurer un tty &agrave; cet emplacement jusqu’&agrave; ce que le syst&egrave;me puisse &ecirc;tre
red&eacute;marr&eacute;. Si le red&eacute;marrage n’efface pas le port, vous avez sans doute un probl&egrave;me
mat&eacute;riel. V&eacute;rifiez le rapport d’erreur des probl&egrave;mes mat&eacute;riels de port en entrant ce qui
suit :
errpt –a | pg
Remarque :
Certaines des commandes pr&eacute;c&eacute;dentes ne fonctionnent pas et donnent
une erreur de m&eacute;thode indiquant que l’unit&eacute; est occup&eacute;e. Ceci est du au
processus s’ex&eacute;cutant sur le tty. Si aucune des &eacute;tapes indiqu&eacute;es
ci–dessus ne lib&egrave;rent le tty bloqu&eacute;, en dernier ressort, red&eacute;marrez le
syst&egrave;me AIX et videz le noyau afin d’&eacute;liminer le processus.
Unit&eacute;s TTY et communications s&eacute;rie
7-37
7-38
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 8. Protocole DLC
GDLC (Generic Data Link Control) est la d&eacute;finition d’une interface g&eacute;n&eacute;rique qui fournit aux
utilisateurs niveau noyau et application, un jeu de commandes pour contr&ocirc;ler les
gestionnaires d’unit&eacute; DLC (Data Link Control) au sein du syst&egrave;me d’exploitation. Pour la
d&eacute;termination des incidents, reportez–vous &agrave; GDLC Problem Determination dans le
manuel AIX 5L Version 5.2 Communications Programming Concepts. Cette section traite
des points suivants :
• Environnement GDLC : G&eacute;n&eacute;ralit&eacute;s page 8-2
• Installation de l’interface GDLC page 8-5
• Installation de GDLC page 8-6
• Op&eacute;rations ioctl sur l’interface GDLC page 8-7
• Services sp&eacute;ciaux du noyau GDLC page 8-10
• Gestion des pilotes d’unit&eacute; DLC page 8-12
Protocole DLC
8-1
Environnement GDLC – g&eacute;n&eacute;ralit&eacute;s
GDLC (Generic Data Link Control) est la d&eacute;finition d’une interface g&eacute;n&eacute;rique qui fournit aux
utilisateurs niveau noyau et application, un jeu de commandes pour contr&ocirc;ler les
gestionnaires d’unit&eacute; DLC (Data Link Control) au sein du syst&egrave;me d’exploitation.
Pour en savoir plus sur l’environnement GDLC, reportez-vous &agrave; :
• Installation de l’interface GDLC page 8-5
• Installation de DLC, page 8-6
• Op&eacute;rations ioctl sur l’interface GDLC, page 8-7
• Services sp&eacute;ciaux du noyau, page 8-10
L’interface GDLC indique les contraintes de d&eacute;finition des points d’entr&eacute;e, les fonctions
fournies et les structures de donn&eacute;es pour tous les gestionnaires d’unit&eacute; DLC. On trouve
parmi les normes DLC conformes &agrave; l’interface GDLC :
• 8023 (IEEE 802.3 pour Ethernet)
• ETHER (Ethernet standard)
• SDLC (Synchronous Data Link Control)
• TOKEN (anneau &agrave; jeton)
• FDDI (Fiber Distributed Data Interface)
Pour des performances optimales, les gestionnaires d’unit&eacute; DLC sont implant&eacute;s dans le
noyau, mais ils appliquent des protocoles de la couche haute et des fonctions de port&eacute;e
plus &eacute;tendue que celle d’un gestionnaire d’unit&eacute; du noyau. Pour leurs requ&ecirc;tes d’E/S vers la
carte, ils utilisent un gestionnaire d’unit&eacute; du noyau. Quant aux utilisateurs DLC, ils se
trouvent au sein ou au-dessus du noyau.
SDLC (Synchronous data link control) et IEEE 802.2 DLC sont des exemples de
gestionnaires d’unit&eacute; DLC. Chaque gestionnaire d’unit&eacute; DLC fonctionne avec un pilote
d’unit&eacute; ou un groupe de pilotes d’unit&eacute; sp&eacute;cifiques. Par exemple, SDLC fait fonctionner le
pilote d’unit&eacute; multiprotocole pour le produit du syst&egrave;me et la carte associ&eacute;e.
La structure de base d’un environnement DLC est illustr&eacute;e &agrave; la figure ci- dessous.
Les utilisateurs du noyau ont acc&egrave;s aux tampons de communications et appellent les points
d’entr&eacute;e add par les services du noyau fp. Les utilisateurs au dessus du noyau (niveau
application) acc&egrave;dent aux pilotes standard interface/noyau : le syst&egrave;me de fichiers appelle
les points d’entr&eacute;e dd. Les donn&eacute;es sont transf&eacute;r&eacute;es de l’utilisateur &agrave; l’espace noyau.
8-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Figure 33. Environnement du gestionnaire de p&eacute;riph&eacute;rique DLC Cette illustration
repr&eacute;sente la liaison entre l’utilisateur de l’application et l’adaptateur (niveau mat&eacute;riel).
Les zones interm&eacute;diaires sont Utilisateur du noyau, Sous–syst&egrave;me d’E/S de fichiers,
Gestionnaire de p&eacute;riph&eacute;rique DLC, Piote d’unit&eacute; d’E/S de communication, et Tampon.
Ces entit&eacute;s interm&eacute;diaires se situent au niveau du noyau.
utilisateur application
noyau
utilisateur noyau
Sous-syst&egrave;me d’E/S de fichier
gestionnaire d’unit&eacute; DLC
Pool de
tampons
Pilote d’unit&eacute; d’E/S
Mat&eacute;riel
Carte
Composants de l’environnement du gestionnaire d’unit&eacute; DLC :
utilisateur application
R&eacute;side au-dessus du noyau comme application ou m&eacute;thode
d’acc&egrave;s.
utilisateur noyau
R&eacute;side dans le noyau comme process noyau ou gestionnaire
d’unit&eacute;.
Sous-syst&egrave;me d’E/S de
fichier
Dirige les routines de descripteur et de pointeur de fichiers
vers les acc&egrave;s de pointeur de fichier de la table de localisation.
Pool de tampons
Fournit les services des tampons de donn&eacute;es aux
sous-syst&egrave;mes de communication.
Pilote d’unit&eacute; d’E/S
Contr&ocirc;le les registres DMA et d’E/S de carte et achemine les
paquets vers les diff&eacute;rents DLC.
Carte
Se raccorde au support de communication.
Un gestionnaire d’unit&eacute; conforme aux sp&eacute;cifications GDLC est compatible avec toute
configuration mat&eacute;rielle du syst&egrave;me d’exploitation comportant un pilote d’unit&eacute; de
communication et sa carte cible. Chaque gestionnaire d’unit&eacute; peut prendre en charge
plusieurs utilisateurs au-dessus, et plusieurs cartes et pilotes d’unit&eacute; au-dessous.
En g&eacute;n&eacute;ral, les utilisateurs travaillent simultan&eacute;ment sur une seule carte, ou
Protocole DLC
8-3
individuellement sur plusieurs cartes. Les gestionnaires d’unit&eacute; DLC varient en fonction de
leurs contraintes de protocoles.
La figure ci-dessous illustre une configuration multi-utilisateur :
Figure 34. Configuration &agrave; utilisateurs et cartes multiples Le graphique ci–dessous est
une autre vue du niveau noyau entre l’utilisateur de l’application et la carte. Les diff&eacute;rentes
entit&eacute;s repr&eacute;sentent les diff&eacute;rents utilisateurs.
utilisateur
application
DLC application
noyau
utilisateur
noyau
gestionnaire d’unit&eacute; DLC
autre DLC
pilotes d’unit&eacute; d’E/S
Mat&eacute;riel
Carte
Crit&egrave;res GDLC
Une interface GDLC doit pr&eacute;senter les caract&eacute;ristiques suivantes :
• souplesse et accessibilit&eacute; aux utilisateurs niveau noyau et application,
• fonctions multi–utilisateurs et multicartes pour permettre aux protocoles d’exploiter les
ports et sessions multiples,
• Support des services orient&eacute;s connexion et sans connexion lorsque c’est possible.
• transfert des donn&eacute;es transparent, dans le cas de contraintes sp&eacute;ciales d&eacute;passant la
port&eacute;e du gestionnaire d’unit&eacute; DLC utilis&eacute;.
8-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Mise en oeuvre de l’interface GDLC
Chaque gestionnaire d’unit&eacute; DLC correspond &agrave; une entr&eacute;e /dev standard qui fonctionne au
niveau du noyau comme un gestionnaire de multiplexeur pour un protocole sp&eacute;cifique.
Chaque sous-routine open soumise &agrave; un gestionnaire d’unit&eacute; DLC pour une carte non
utilis&eacute;e par DLC cr&eacute;&eacute; un process noyau. Une sous-routine open est &eacute;galement transmise
au gestionnaire d’unit&eacute; de la carte cible. Au besoin, &eacute;mettez des sous-routines open
suppl&eacute;mentaires pour les divers ports de carte DLC du m&ecirc;me protocole. Celles dirig&eacute;es
vers le m&ecirc;me port ne cr&eacute;ent pas de process noyau suppl&eacute;mentaires mais relient la
sous–routine au process existant. On compte toujours un process noyau par port utilis&eacute;.
La structure interne d’un gestionnaire d’unit&eacute; DLC est identique &agrave; la structure de base d’un
gestionnaire d’unit&eacute; du noyau, &agrave; la diff&eacute;rence qu’un process noyau remplace le gestionnaire
des interruptions pour les &eacute;v&eacute;nements asynchrones. Le m&eacute;canisme de contr&ocirc;le des E/S,
l’&eacute;criture et la lecture, et les blocs de s&eacute;lection sont illustr&eacute;s &agrave; la figure ci-dessous :
Figure 35. Gestionnaire de p&eacute;riph&eacute;rique de noyau standard Cette illustration repr&eacute;sente
la structure interne d’un gestionnaire de p&eacute;riph&eacute;rique DLC. Cette structure se compose
d’une &eacute;criture, d’un contr&ocirc;le d’E/S, d’une lecture, d’une s&eacute;lection et d’un gestionnaire
d’interruption. Le gestionnaire de p&eacute;riph&eacute;rique re&ccedil;oit des informations de l’utilisateur
lorsqu’elles sont transmises aux diff&eacute;rentes zones au Gestionnaire de p&eacute;riph&eacute;rique.
A partir de l’utilisateur
Dlcwrite
Dlcioctl
&eacute;criture
Dlcread
E/SContr&ocirc;le
Vers le gestionnaire d’unit&eacute;
lecture
Dlcselect
s&eacute;lection
interruptions
gestionnaire
A partir du gestionnaire d’unit&eacute;
Protocole DLC
8-5
Installation de DLC
Vous pouvez installer les DLC s&eacute;par&eacute;ment ou par groupe. Un gestionnaire d’unit&eacute; DLC est
automatiquement ajout&eacute; au noyau et rendu disponible pour chaque type de DLC install&eacute;.
Pour v&eacute;rifier l’installation, lancez la commande lslpp :
lslpp –h dlctype
en sp&eacute;cifiant pour typedlc l’un des DLC suivants :
bos.dlc.8023
DLC IEEE Ethernet (802.3)
bos.dlc.ether
DLC Standard Ethernet
bos.dlc.fddi
DLC FDDI
bos.dlc.sdlc
DLC SDLC
bos.dlc.token
DLC anneau &agrave; jeton
Vous pouvez afficher les informations relatives &agrave; un DLC install&eacute; via SMIT (System
Management Interface Tool) ou &agrave; partir de la ligne de commande. Sur les ports de
communication et syst&egrave;mes tr&egrave;s sollicit&eacute;s, il peut &ecirc;tre n&eacute;cessaire de modifier les attributs
DLC pour optimiser les performances DLC. Si la r&eacute;ception est longue et que le journal des
erreurs syst&egrave;me signale une surcharge sur la file d’attente d’appels entre le DLC et son
gestionnaire, augmentez sa capacit&eacute; pour les donn&eacute;es entrantes. Enfin, retirez un DLC
install&eacute; &agrave; partir du noyau s’il est inutilis&eacute; pendant un certain temps. Il n’est pas supprim&eacute; du
syst&egrave;me, mais des ressources noyau sont lib&eacute;r&eacute;es. Les instructions associ&eacute;es figurent &agrave; la
section Gestion des pilotes d’unit&eacute;s DLC, page 8-12.
8-6
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Op&eacute;rations ioctl sur l’interface GDLC
L’interface GDLC prend en charge les op&eacute;rations de sous-routines ioctl :
DLC_ENABLE_SAP
Active un point d’acc&egrave;s au service (SAP).
DLC_DISABLE_SAP
D&eacute;sactive un SAP.
DLC_START_LS
Lance une station de liaison sur un SAP particulier
comme appelant ou appel&eacute;.
DLC_HALT_LS
Interrompt une station de liaison.
DLC_TRACE
Suit l’activit&eacute; d’une station de liaison (activit&eacute;s
longues ou courtes).
DLC_CONTACT
Contacte une station distante pour une station de
liaison locale particuli&egrave;re.
DLC_TEST
Teste la liaison vers une station distante pour une
station de liaison locale particuli&egrave;re.
DLC_ALTER
Modifie les param&egrave;tres de configuration d’une station
de liaison.
DLC_QUERY_SAP
Recherche les donn&eacute;es statistiques d’un SAP.
DLC_QUERY_LS
Recherche les donn&eacute;es statistiques d’une station de
liaison.
DLC_ENTER_LBUSY
Passe en mode local-busy sur une station de liaison.
DLC_EXIT_LBUSY
Sort du mode local-busy sur une station de liaison.
DLC_ENTER_SHOLD
Passe en mode short- hold sur une station de liaison.
DLC_EXIT_SHOLD
Sort du mode short- hold sur une station de liaison.
DLC_GET_EXCEP
Renvoie des notifications d’exceptions asynchrones
&agrave; l’utilisateur niveau application.
Remarque: Cette op&eacute;ration de sous-routine ioctl
n’est pas utilis&eacute;e par l’utilisateur niveau
noyau puisque toutes les conditions
d’exception ont pr&eacute;alablement &eacute;t&eacute;
filtr&eacute;es par le gestionnaire d’exception.
DLC_ADD_GRP
Ajoute &agrave; un port un groupe ou une adresse de
r&eacute;ception multi-destinataire.
DLC_DEL_GRP
Supprime d’un port un groupe ou une adresse de
r&eacute;ception multi-destinataire.
DLC_ADD_FUNC_ADDR
Ajoute &agrave; un port un groupe ou une adresse de
r&eacute;ception multi-destinataire.
DLC_DEL_FUNC_ADDR
Supprime d’un port un groupe ou une adresse de
r&eacute;ception multi-destinataire.
IOCINFO
Renvoie une structure d&eacute;crivant le gestionnaire
d’unit&eacute; GDLC. Pour en savoir plus, reportez-vous au
format de fichier /usr/include/sys/devinfo.h.
Protocole DLC
8-7
Point d’acc&egrave;s au service
Un point d’acc&egrave;s au service (SAP) identifie un service utilisateur charg&eacute; d’envoyer et de
recevoir une certaine classe de donn&eacute;es. Ainsi, diff&eacute;rentes classes de donn&eacute;es peuvent
&ecirc;tre achemin&eacute;es s&eacute;par&eacute;ment vers leurs gestionnaires de service respectifs. Les DLC qui
prennent en charge plusieurs SAP simultan&eacute;ment portent dans leur en-t&ecirc;te de paquet des
adresses SAP source et destination. Ceux qui n’acceptent qu’un seul SAP n’ont pas besoin
d’adressage SAP, mais l’activation du SAP est toujours requise. On compte g&eacute;n&eacute;ralement
sur chaque port un SAP activ&eacute; par utilisateur DLC.
La plupart des adresses SAP sont d&eacute;finies par les organismes de gestion de r&eacute;seaux
normalis&eacute;s IEEE ou par les utilisateurs comme indiqu&eacute; dans le manuel Token–Ring Network
Architecture Reference. Voici quelques adresses SAP courantes :
Null SAP (0x00)
Permet de r&eacute;pondre &agrave; des noeuds distants m&ecirc;me si
aucun SAP n’est activ&eacute;. Le SAP nul ne prend en charge
que le service sans connexion et ne r&eacute;pond qu’aux LPDU
(Link Protocol Data Unit) XID et TEST.
SNA Path Control (0x04)
Adresse SAP individuelle par d&eacute;faut utilis&eacute;e par les
noeuds SNA.
PC Network NETBIOS (0xF0) Utilis&eacute; pour toute communication DLC pilot&eacute;e par
&eacute;mulation NETBIOS.
Discovery SAP (0xFC)
Utilis&eacute;s par les services de noms LAN.
Global SAP (0xFF)
Identifie tous les SAP actifs.
Station de liaison
Une station de liaison (LS) identifie un raccordement entre deux noeuds pour une paire
SAP. Cette liaison peut fonctionner comme service sans connexion (datagramme) ou
orient&eacute; connexion (transfert int&eacute;gralement suivi des donn&eacute;es avec recouvrement des
erreurs). G&eacute;n&eacute;ralement, une station de liaison est lanc&eacute;e pour chaque t&eacute;l&eacute;raccordement.
Mode Local-Busy
En exploitation orient&eacute;e connexion, une station de liaison doit arr&ecirc;ter l’&eacute;mission des paquets
en provenance de la station distante, en cas d’indisponibilit&eacute; des ressources, par exemple.
Il est alors possible d’avertir la station distante de faire passer la station locale en mode
local–busy. D&egrave;s que les ressources sont de nouveau disponibles, la station locale en avertit
la station distante qui peut reprendre l’&eacute;mission des paquets. En mode local-busy, seuls les
paquets d’informations s&eacute;quenc&eacute;s sont arr&ecirc;t&eacute;s. Les autres types de donn&eacute;es ne sont pas
concern&eacute;s.
Mode Short-Hold
Ce mode est particuli&egrave;rement adapt&eacute; aux r&eacute;seaux de donn&eacute;es pour lesquels :
• le d&eacute;lai d’&eacute;tablissement d’une connexion est court,
• le co&ucirc;t d’&eacute;tablissement de la connexion est faible par rapport &agrave; son co&ucirc;t d’utilisation.
En mode short-hold, la liaison entre deux stations est maintenue tant qu’il y a des donn&eacute;es
&agrave; transf&eacute;rer. D&egrave;s lors qu’il n’y a plus de donn&eacute;es &agrave; envoyer, la liaison est interrompue
(&agrave; l’expiration d’un d&eacute;lai d&eacute;fini) et n’est r&eacute;tablie que lorsque des donn&eacute;es sont de nouveau
disponibles pour le transfert.
8-8
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Test et suivi d’une liaison
Pour tester le raccordement de deux stations, demandez &agrave; une station de liaison d’&eacute;mettre
un paquet test &agrave; partir de la station locale. Ce paquet est renvoy&eacute; par la station distante si la
liaison fonctionne correctement.
Certaines liaisons de donn&eacute;es sont limit&eacute;es par des contraintes de protocoles dans
l’application de cette fonction. SDLC, par exemple, ne peut g&eacute;n&eacute;rer le paquet test qu’&agrave; partir
de la station h&ocirc;te ou principale. N&eacute;anmoins, la plupart des protocoles laissent toute latitude
pour le choix de la station d’origine.
Pour suivre une liaison, les donn&eacute;es de la ligne et les &eacute;v&eacute;nements sp&eacute;ciaux (activation et
fermeture d’une station, &eacute;coulement des d&eacute;lais, etc.) demandez &agrave; une station de liaison de
consigner les canaux de suivi g&eacute;n&eacute;rique dans le dispositif de suivi g&eacute;n&eacute;rique de chaque
station de liaison. Cette fonction permet de d&eacute;terminer l’origine de certains incidents de
raccordement. Les entr&eacute;es de suivi longues et courtes sont toutes les deux prises en
charge.
Statistiques
L’utilisateur GDLC dispose de deux services statistiques : les statistiques SAP, qui
fournissent les informations et l’&eacute;tat SAP courants du gestionnaire d’unit&eacute; ; et les
statistiques LS, qui indiquent l’&eacute;tat courant de la station et des compteurs de
fiabilit&eacute;/disponibilit&eacute;/maintenabilit&eacute; (contr&ocirc;lant l’activit&eacute; de la station d&egrave;s son lancement).
Protocole DLC
8-9
Services sp&eacute;ciaux du noyau
GDLC (Generic Data Link Control) met &agrave; la disposition de l’utilisateur noyau des services
sp&eacute;ciaux. Le noyau doit cependant &ecirc;tre dot&eacute; d’un environnement s&eacute;curis&eacute;. A la diff&eacute;rence
du gestionnaire d’unit&eacute; DLC qui copie les donn&eacute;es des &eacute;v&eacute;nements asynchrones dans un
espace utilisateur, l’utilisateur noyau doit sp&eacute;cifier des pointeurs de fonction vers des
routines sp&eacute;ciales appel&eacute;es gestionnaires de fonction. Ces derniers sont appel&eacute;s par le
DLC lors de l’ex&eacute;cution, ce qui assure des performances maximales entre l’utilisateur noyau
et les couches DLC. Il est demand&eacute; &agrave; chaque utilisateur noyau de limiter le nombre de
gestionnaires de fonction &agrave; une longueur de chemin minimale et de suivre le sch&eacute;ma des
tampons de m&eacute;moire de communication (mbuf).
Un gestionnaire de fonction ne doit jamais appeler une autre entr&eacute;e DLC directement. En
effet, les appels directs sont verrouill&eacute;s, entra&icirc;nant une mise en veille bloquante. Une seule
exception &agrave; cette r&egrave;gle : l’utilisateur noyau peut appeler le point d’entr&eacute;e dlcwritex pendant
que ce dernier assure le service d’une des quatre fonctions de donn&eacute;es de r&eacute;ception. Cet
appel permet de g&eacute;n&eacute;rer imm&eacute;diatement les r&eacute;ponses sans passer par un commutateur de
t&acirc;che. Une logique sp&eacute;ciale est n&eacute;cessaire dans le gestionnaire d’unit&eacute; DLC pour contr&ocirc;ler
l’identification de l’utilisateur sollicitant une op&eacute;ration en &eacute;criture. S’il s’agit d’un process
DLC et que la capacit&eacute; interne d’accueil en file d’attente DLC a &eacute;t&eacute; d&eacute;pass&eacute;e, l’&eacute;criture est
renvoy&eacute;e avec un code d’erreur (valeur retour EAGAIN) au lieu de mettre en veille le
process appelant. La sous-routine du demandeur doit alors renvoyer une notification au
DLC pour pr&eacute;voir une nouvelle tentative du tampon r&eacute;cepteur.
Les gestionnaires de fonction disponibles sont les suivants :
Datagram Data Received
Routine
Appel&eacute;e chaque fois qu’un paquet datagramme arrive
pour l’utilisateur noyau.
Exception Condition Routine
Appel&eacute;e chaque fois qu’un &eacute;v&eacute;nement asynchrone &agrave;
signaler &agrave; l’utilisateur noyau se produit (SAP Closed ou
Station Contacted, par exemple).
I–Frame Data Received
Routine
Appel&eacute;e chaque fois qu’un paquet normal de donn&eacute;es
s&eacute;quenc&eacute;es arrive pour l’utilisateur noyau.
Network Data Received
Routine
Appel&eacute;e chaque fois qu’un paquet r&eacute;seau sp&eacute;cifique
arrive pour l’utilisateur noyau.
XID Data Received Routine
Appel&eacute;e chaque fois qu’un paquet XID (exchange
identification) arrive pour l’utilisateur noyau.
Les points d’entr&eacute;e dlcread et dlcselect de DLC ne sont pas appel&eacute;s par l’utilisateur
noyau : les entr&eacute;es asynchrones fonctionnelles sont appel&eacute;es directement par le
gestionnaire d’unit&eacute; DLC. Normalement, la mise en file d’attente de ces &eacute;v&eacute;nements doit
intervenir dans le gestionnaire de fonction de l’utilisateur. Toutefois, si l’utilisateur noyau ne
peut pas traiter un paquet, le gestionnaire d’unit&eacute; DLC peut bloquer le dernier tampon re&ccedil;u
et passer dans l’un des deux modes user-busy :
User–Terminated Busy Mode (I–frame exclusivement)
Si l’utilisateur noyau ne peut pas traiter une trame–I re&ccedil;ue (suite &agrave; un incident tel un
blocage au niveau de la file d’attente), un code DLC_FUNC_BUSY est renvoy&eacute;, et
DLC bloque le pointeur de tampon et passe en mode local–busy pour interrompre
l’&eacute;mission des trames–I par la station distante. L’utilisateur du noyau doit appeler la
fonction Exit Local Busy pour r&eacute;initialiser le mode local–busy et red&eacute;marrer la
r&eacute;ception des trames–I. Seules les trames–I s&eacute;quenc&eacute;es normales peuvent &ecirc;tre
arr&ecirc;t&eacute;es. Les donn&eacute;es XID, de datagramme et de r&eacute;seau ne sont pas concern&eacute;es par
le mode local–busy.
8-10
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Timer–Terminated Busy Mode (tous types de trames)
Si l’utilisateur noyau ne peut pas traiter un paquet re&ccedil;u et souhaite que DLC bloque
un court instant le tampon de r&eacute;ception, puis rappelle la fonction de r&eacute;ception
utilisateur, un code DLC_FUNC_RETRY est renvoy&eacute; au DLC. Si le paquet est une
trame–I s&eacute;quenc&eacute;e, la station passe en mode local–busy pendant ce d&eacute;lai. Dans tous
les cas, un compte &agrave; rebours est lanc&eacute; : &agrave; expiration, l’entr&eacute;e fonctionnelle de
donn&eacute;es de r&eacute;ception est rappel&eacute;e.
Protocole DLC
8-11
Gestion des pilotes d’unit&eacute;s DLC
Un DLC doit &ecirc;tre install&eacute; pour pouvoir &ecirc;tre ajout&eacute; au syst&egrave;me. Chaque DLC install&eacute; est
ajout&eacute; automatiquement apr&egrave;s l’installation et &agrave; chaque red&eacute;marrage du syst&egrave;me
(voir Installation de GDLC page 8-6). Si un DLC a &eacute;t&eacute; supprim&eacute; sans &ecirc;tre suivi d’un
red&eacute;marrage, il peut &ecirc;tre ajout&eacute; de nouveau.
T&acirc;ches de gestion des pilotes d’unit&eacute; DLC
8-12
T&acirc;che
Raccourci SMIT
Commande ou
fichier
Ajout d’un DLC
install&eacute;
Choix possibles
(par nom de pilote
d’unit&eacute;) :
smit cmddlc_sdlc
smit cmddlc_token
smit cmddlc_qllc
smit cmddlc_ether 1
smit cmddlc_fddi
puis s&eacute;lectionnez
l’option Add
mkdev 2
Modification des
attributs DLC3,4
Choix possibles
(par nom de pilote
d’unit&eacute;) :
smit cmddlc_sdlc_ls
smit
cmddlc_token_ls
smit cmddlc_qllc_ls
smit
cmddlc_ether_ls 1
smit cmddlc_fddi_ls
chdev 2
D&eacute;marrage du suivi
du moniteur LAN
DLC5
smit trace
trace –j nnn, la
valeur nnn &eacute;tant l’ID
du point d’ancrage
pour lequel un suivi
est demand&eacute;.
Arr&ecirc;t du suivi du
moniteur LAN DLC
smit trcstop
trcstop 2
G&eacute;n&eacute;ration d’&eacute;tats
sur le suivi du
moniteur LAN DLC
smit trcrpt
trcrpt –d nnn, la
valeur nnn &eacute;tant l’ID
du point d’ancrage
pour lequel un &eacute;tat
est demand&eacute;.
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Web-based System
Manager
Management
Environment 7
Affichage
Choix possibles
d’informations sur le (par nom de pilote
DLC courant3
d’unit&eacute;) :
smit cmddlc_sdlc_ls
smit
cmddlc_token_ls
smit cmddlc_qllc_ls
smit
cmddlc_ether_ls 1
smit cmddlc_fddi_ls
Suppression d’un
DLC3,6
lsdev 2 ou lsattr
@T&gt;2
Choix possibles
rmdev 2
(par nom de pilote
d’unit&eacute;) :
smit
cmddlc_sdlc_rm
smit
cmddlc_token_rm
smit cmddlc_qllc_rm
smit
cmddlc_ether_rm 1
smit cmddlc_fddi_rm
Remarques :
1. La commande SMIT d’ajout d’un gestionnaire d’unit&eacute; Ethernet concerne aussi bien le
gestionnaire standard que le gestionnaire IEEE 802.3.
2. Pour plus d’informations sur les options de ligne de commande, consultez les
descriptions des commandes mkdev, chdev, trace, trcstop, trcrpt, lsdev, lsattr,
ou rmdev dans le manuel AIX 5L Version 5.2 Commands Reference.
3. Un DLC doit &ecirc;tre install&eacute; et ajout&eacute; avant que vous ne puissiez r&eacute;pertorier, afficher,
modifier ou supprimer ses attributs (voir Installation de GDLC page 8-6). Modifier un
attribut n’aboutit que si le DLC cible ne fait l’objet d’aucune ouverture active. Avant toute
modification, il convient d’interdire &agrave; tous les services, tels que SNA, OSI ou NetBIOS,
l’acc&egrave;s au DLC.
4. Modifier la taille de la file d’attente de r&eacute;ception a une incidence directe sur les
ressources syst&egrave;me. N’effectuez ce changement que si le DLC pr&eacute;sente des failles au
niveau de cette file d’attente (d&eacute;gradation des performances ou surcharge entre le DLC
et son gestionnaire, par exemple).
5. Soyez prudent si vous activez le suivi moniteur : cette fonction affecte directement les
performances des DLC et unit&eacute;s associ&eacute;es.
6. Supprimer un DLC n’aboutit que si le DLC cible ne fait l’objet d’aucune ouverture active.
Avant toute suppression, il convient d’interdire &agrave; tous les services, tels que SNA, OSI
ou NetBIOS, l’acc&egrave;s au DLC.
7. Ces t&acirc;ches ne sont pas disponibles dans l’environnement de gestion Web-based
System Manager.
Protocole DLC
8-13
8-14
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Chapitre 9. Utilitaires r&eacute;seau (BNU)
Ce chapitre traite de l’installation, la configuration et la maintenance des utilitaires r&eacute;seau
(BNU). Il traite des points suivants :
• G&eacute;n&eacute;ralit&eacute;s BNU page 9-2
• Configuration de BNU page 9-11
• Maintenance de BNU page 9-19
• Fichiers de configuration BNU page 9-32
• R&eacute;f&eacute;rence des fichiers, commandes et r&eacute;pertoires BNU page 9-40.
Utilitaires r&eacute;seau (BNU)
9-1
Pr&eacute;sentation de BNU
Les utilitaires BNU (Basic Networking Utilities) sont constitu&eacute;s d’un groupe de programmes,
r&eacute;pertoires et fichiers, exploitables pour &eacute;tablir une communication avec un syst&egrave;me UNIX
sur lequel une version du programme UUCP (UNIXtoUNIX Copy Program) est active. Il
s’agit de l’un des programmes de services &eacute;tendus pouvant &ecirc;tre install&eacute;s avec le syst&egrave;me
d’exploitation de base.
BNU contient un groupe de commandes li&eacute;es &agrave; UUCP, programme de communication UNIX
vers UNIX d&eacute;velopp&eacute; par AT&amp;T et modifi&eacute; dans le cadre de la distribution Berkeley Software
(BSD). BNU fournit des commandes, des processus et une base de donn&eacute;es de support
pour les connexions aux syst&egrave;mes locaux et distants. Les r&eacute;seaux de communication
(tels TokenRing et Ethernet) servent &agrave; connecter des syst&egrave;mes sur des r&eacute;seaux locaux.
Un r&eacute;seau local peut &ecirc;tre connect&eacute; &agrave; un syst&egrave;me distant par un modem t&eacute;l&eacute;phonique ou un
c&acirc;ble. Commandes et fichiers peuvent alors &ecirc;tre &eacute;chang&eacute;s entre le r&eacute;seau local et le
syst&egrave;me distant.
Cette section traite des points suivants :
• Fonctionnement de BNU
• Structure de r&eacute;pertoires et de fichiers BNU
• S&eacute;curit&eacute; de BNU
• D&eacute;mons BNU
Les programmes BNU ne peuvent &ecirc;tre exploit&eacute;s qu’une fois BNU install&eacute; et configur&eacute;.
BNU est contr&ocirc;l&eacute; par un jeu de fichiers de configuration qui d&eacute;termine si les syst&egrave;mes
distants peuvent se connecter au syst&egrave;me local et ce qu’ils sont habilit&eacute;s &agrave; ex&eacute;cuter une
fois la connexion &eacute;tablie. Ces fichiers de configuration doivent &ecirc;tre configur&eacute;s en fonction
des imp&eacute;ratifs et des ressources de votre syst&egrave;me.
Pour la maintenance de BNU, vous devez lire et supprimer r&eacute;guli&egrave;rement les fichiers
journaux, et v&eacute;rifier les files d’attente BNU pour vous assurer que le transfert des travaux
aux syst&egrave;mes distants s’effectue correctement. Vous devez &eacute;galement mettre r&eacute;guli&egrave;rement
&agrave; jour les fichiers de configuration pour y r&eacute;percuter les modifications de votre syst&egrave;me ou
des syst&egrave;mes distants.
Pour en savoir plus, reportez–vous &agrave; :
• Configuration de BNU
– Configuration de BNU Informations pr&eacute;alables
• Maintenance de BNU
– Fichiers journaux BNU
– Commandes de maintenance BNU page 9-20.
9-2
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
Fonctionnement de BNU
BNU assure la communication entre syst&egrave;mes via un ensemble de connexions mat&eacute;rielles
et de logiciels. Une structure de r&eacute;pertoires et de fichiers suit &agrave; la trace les activit&eacute;s BNU.
Cette structure int&egrave;gre un jeu de r&eacute;pertoires publics, un groupe de r&eacute;pertoires et de fichiers
administratifs, des fichiers de configuration et des fichiers de verrouillage. La plupart des
r&eacute;pertoires BNU sont cr&eacute;&eacute;s au cours de l’installation. Certains r&eacute;pertoires et fichiers
administratifs sont cr&eacute;&eacute;s par les diff&eacute;rents programmes BNU.
A l’exception des commandes de connexion &agrave; distance, BNU fonctionne comme un
syst&egrave;me de traitement par lots. Lorsqu’un utilisateur demande qu’un travail soit envoy&eacute; &agrave; un
syst&egrave;me distant, BNU stocke les informations n&eacute;cessaires. Cette op&eacute;ration s’appelle mise
en file d’attente du travail. A des moments planifi&eacute;s, ou &agrave; la demande d’un utilisateur, BNU
contacte diff&eacute;rents syst&egrave;mes distants, transf&egrave;re le travail en file d’attente et accepte d’autres
travaux. Ces transferts sont contr&ocirc;l&eacute;s par les fichiers de configuration de votre syst&egrave;me et
par ceux du syst&egrave;me distant.
Support NLS (National Language Support) pour les commandes BNU
Toutes les commandes BNU, sauf uucpadm, sont prises en charge par NLS
(langue nationale). Les noms utilisateur ne doivent pas &ecirc;tre forc&eacute;ment en caract&egrave;res ASCII.
Mais tous les noms de syst&egrave;me doivent &ecirc;tre en caract&egrave;res ASCII. Si un utilisateur tente de
planifier un transfert ou une ex&eacute;cution de commande &agrave; distance impliquant des noms
syst&egrave;me non ASCII, BNU renvoie un message d’erreur.
Structure des fichiers et r&eacute;pertoires BNU
Pour garder trace de ses activit&eacute;s, BNU a recours &agrave; une structure de r&eacute;pertoires et de
fichiers. Cette structure inclut les &eacute;l&eacute;ments suivants :
• R&eacute;pertoires BNU publics
• Fichiers de configuration BNU
• R&eacute;pertoires et fichiers administratifs BNU
• Fichiers de verrouillage BNU
La plupart des r&eacute;pertoires BNU sont cr&eacute;&eacute;s au cours de l’installation. Certains r&eacute;pertoires et
fichiers administratifs sont cr&eacute;&eacute;s au cours de l’ex&eacute;cution des diff&eacute;rents programmes BNU.
R&eacute;pertoires publics BNU
Apr&egrave;s sp&eacute;cification, le r&eacute;pertoire public BNU (/var/spool/uucppublic) stocke les fichiers
transf&eacute;r&eacute;s sur le syst&egrave;me local par d’autres syst&egrave;mes. Les fichier restent en attente dans le
r&eacute;pertoire public jusqu’&agrave; ce qu’un utilisateur vienne les chercher. Le r&eacute;pertoire public est
cr&eacute;&eacute; au cours de l’installation de BNU. Dans le r&eacute;pertoire public, BNU cr&eacute;e autant de
sous–r&eacute;pertoires que de syst&egrave;mes distants envoyant des fichiers au syst&egrave;me local.
Fichiers de configuration BNU
Les fichiers de configuration BNU, ou base de donn&eacute;es de support BNU, se trouvent dans
le r&eacute;pertoire /etc/uucp. Les fichiers doivent &ecirc;tre configur&eacute;s sp&eacute;cifiquement pour votre
syst&egrave;me. Ils sont propri&eacute;t&eacute; de l’ID de connexion uucp et ne peuvent &ecirc;tre &eacute;dit&eacute;s que par
l’utilisateur racine. Les fichiers de configuration contiennent des informations sur :
• les syst&egrave;mes distants accessibles,
• les unit&eacute;s permettant le contact avec les syst&egrave;mes distants,
• les horaires d’acc&egrave;s aux syst&egrave;mes distants,
• les actions autoris&eacute;es aux syst&egrave;mes distants sur votre syst&egrave;me.
Certains fichiers de configuration sp&eacute;cifient &eacute;galement des limites aux activit&eacute;s de BNU
pour &eacute;viter une surcharge de votre syst&egrave;me.
Utilitaires r&eacute;seau (BNU)
9-3
Liste des fichiers de configuration :
Devices
Contient des informations sur les unit&eacute;s disponibles, notamment
les modems et les connexions directes.
Dialcodes
Contient des codes de num&eacute;rotation abr&eacute;g&eacute;s, permettant de
raccourcir les num&eacute;ros de t&eacute;l&eacute;phone dans le fichier Systems.
Dialers
Sp&eacute;cifie la syntaxe de commande d’appels pour un type de
modem sp&eacute;cifique (”dialer”).
Maxuuscheds
Limite les travaux programm&eacute;s simultan&eacute;ment.
Maxuuxqts
Limite les ex&eacute;cutions simultan&eacute;es de commandes &agrave; distance.
Droits d’acc&egrave;s
Contient les codes d’autorisation d’acc&egrave;s. Il s’agit du fichier de
s&eacute;curit&eacute; principal de BNU.
Poll
D&eacute;finit les moments o&ugrave; le programme BNU doit demander aux
syst&egrave;mes distants de lancer les t&acirc;ches.
Sysfiles
R&eacute;pertorie les fichiers qui servent de fichiers Systems, Devices
et Dialers pour la configuration BNU. Les fichiers par d&eacute;faut
sont /etc/uucp/Systems, /etc/uucp/Devices et
/etc/uucp/Dialers.
Systems
Donne la liste des syst&egrave;mes accessibles et des informations
requises pour les contacter : unit&eacute; &agrave; utiliser, combinaisons nom
et mot de passe utilisateur requises pour la connexion, etc.
Sp&eacute;cifie &eacute;galement les cr&eacute;neaux horaires pendant lesquels les
syst&egrave;mes peuvent &ecirc;tre contact&eacute;s.
Les fichiers de configuration se font mutuellement r&eacute;f&eacute;rence. Par exemple :
• Le fichier Devices contient un champ Token se rapportant aux entr&eacute;es du fichier Dialers.
• Le fichier Systems contient une entr&eacute;e par classe (Class) d’unit&eacute;. Une unit&eacute; de chaque
Class mentionn&eacute;e dans le fichier Systems doit &ecirc;tre d&eacute;finie dans le fichier Devices.
• Le fichier Poll contient des entr&eacute;es pour les syst&egrave;mes appel&eacute;s par le v&ocirc;tre. Chaque
syst&egrave;me mentionn&eacute; doit &ecirc;tre d&eacute;fini dans le fichier Systems.
Les entr&eacute;es des fichiers de configuration BNU d&eacute;pendent du type des connexions entre
votre syst&egrave;me et chaque syst&egrave;me distant. Par exemple, des entr&eacute;es sp&eacute;ciales doivent &ecirc;tre
&eacute;tablies pour des connexions directes ou TCP/IP (Transmission Control Protocol/Internet
Protocol). Si la connexion passe par des modems, ils doivent &ecirc;tre d&eacute;finis dans le fichier
Dialers.
Les fichiers Systems, Devices et Permissions doivent &ecirc;tre configur&eacute;s sur votre syst&egrave;me
pour que vous puissiez contacter des syst&egrave;mes distants via BNU. D’autres fichiers de
configuration donnent acc&egrave;s aux fonctions BNU telle l’interrogation automatique. La plupart
de ces fichiers doivent &ecirc;tre p&eacute;riodiquement modifi&eacute;s pour refl&eacute;ter les changements op&eacute;r&eacute;s
sur votre syst&egrave;me ou sur les syst&egrave;mes contact&eacute;s. Le fichier Sysfiles peut servir &agrave; attribuer
&agrave; d’autres fichiers le r&ocirc;le des fichiers Systems, Devices et Dialers.
9-4
Guide de gestion du syst&egrave;me : Communications et r&eacute;seaux
R&eacute;pertoires et fichiers administratifs BNU
Les r&eacute;pertoires et fichiers administratifs BNU se trouvent dans des sous r&eacute;pertoires de
/var/spool/uucp. Ils contiennent deux types d’informations :
• les donn&eacute;es en attente de transfert vers d’autres syst&egrave;mes,
• les informations de journalisation et d’erreur sur les activit&eacute;s BNU.
Dans le r&eacute;pertoire /var/spool/uucp, BNU cr&eacute;e les r&eacute;pertoires suivants :
.Admin
Contient quatre fichiers administratifs.
•
audit
•
Foreign
•
errors
•
xferstats
Ces fichiers contiennent des informations de
journalisation et d’erreur relatives aux activit&eacute;s BNU.
.Corrupt
Contient la copie des fichiers que le programme BNU ne
peut pas traiter.
.Log et .Old
Contient les fichiers journaux issus des anciennes
transactions BNU.
.Status
Prend date de la derni&egrave;re tentative du d&eacute;mon uucico de
communiquer avec les syst&egrave;mes distants.
.Workspace
Contient les fichiers temporaires utilis&eacute;s en interne par
les programmes de transport de fichier.
.Xqtdir
Contient les fichiers ex&eacute;cutables avec les listes des
commandes ex&eacute;cutables par les syst&egrave;mes distants.
SystemName
Contient les fichiers utilis&eacute;s par les programmes de
transport de fichier. Ces fichiers sont :
•
Command (C.*)
•
Data (D.*)
•
Execute (X.*)
•
Temporary (TM.*)
BNU cr&eacute;e un r&eacute;pertoire SystemName pour chaque
syst&egrave;me distant qu’il contacte.
Les r&eacute;pertoires dont le nom commence par un point sont cach&eacute;s. Ils ne sont pas affich&eacute;s
par les commandes ls ou li sauf si elles sont assorties de l’indicateur –a. A son lancement,
le d&eacute;mon uucico recherche dans le r&eacute;pertoire /var/spool/uucp les fichiers de travail et
transf&egrave;re les fichiers de tout r&eacute;pertoire non cach&eacute;. Le d&eacute;mon uucico ne voit que les
r&eacute;pertoires SystemName, &agrave; l’exclusion des autres r&eacute;pertoires administratifs.
Les fichiers des r&eacute;pertoires cach&eacute;s sont propri&eacute;t&eacute; de l’ID de connexion uucp. Ils ne sont
accessibles que par l’utilisateur racine ou via un ID de connexion dont l’UID est de 5.
Pour en savoir plus sur la maintenance des r&eacute;pertoires administratifs BNU, reportez-vous &agrave;
”Maintenance de BNU”, page 9-19.
Utilitaires r&eacute;seau (BNU)
9-5
Fichiers de verrouillage BNU
Ils sont stock&eacute;s dans le r&eacute;pertoire /etc/locks. Lorsque BNU utilise une unit&eacute; pour se
connecter &agrave; un ordinateur distant, il place un fichier de verrouillage pour cette unit&eacute; dans le
r&eacute;pertoire /var/locks. Lorsqu’un autre programme (BNU ou non) a besoin de l’unit&eacute;, il v&eacute;rifie
s’il existe un fichier de verrouillage dans /var/locks. Dans l’affirmative, le programme attend
que l’unit&eacute; soit disponible ou utilise une autre unit&eacute; pour la communication.
En outre, le d&eacute;mon uucico place des fichiers de verrouillage dans le r&eacute;pertoire /var/locks
pour les syst&egrave;mes distants. Avant de contacter un syst&egrave;me distant, le d&eacute;mon uucico v&eacute;rifie
la pr&eacute;sence d’un fichier de verrouillage pour ce syst&egrave;me dans /var/locks. Ces fichiers
emp&ecirc;chent d’autres instances du d&eacute;mon uucico d’&eacute;tablir des connexions en double au
m&ecirc;me syst&egrave;me distant.
Remarque :
Outre BNU, d’autres logiciels, comme ATE (Asynchronous Terminal
Emulation) et TCP/IP, utilisent le r&eacute;pertoire /var/locks.
S&eacute;curit&eacute; de BNU
D’autres syst&egrave;mes prenant contact avec le v&ocirc;tre pour se connecter, transf&eacute;rer des fichiers
et lancer des commandes, BNU fournit des moyens d’assurer la s&eacute;curit&eacute;. Les fonctions de
s&eacute;curit&eacute; BNU permettent de limiter les actions ex&eacute;cutables par les syst&egrave;mes distants sur le
syst&egrave;me local (les utilisateurs des syst&egrave;mes distants peuvent &eacute;galement limiter les actions
que vous &ecirc;tes habilit&eacute; &agrave; effectuer). Pour ce faire, BNU ex&eacute;cute plusieurs d&eacute;mons et utilise
les r&eacute;pertoires administratifs pour y stocker les fichiers dont il a besoin. Il conserve
&eacute;galement un journal de ses propres activit&eacute;s.
La s&eacute;curit&eacute; de BNU fonctionne &agrave; plusieurs niveaux. Lorsque vous configurez BNU, vous
pouvez d&eacute;terminer :
• les utilisateurs de votre syst&egrave;me habilit&eacute;s &agrave; acc&eacute;der aux fichiers BNU ;
• les syst&egrave;mes distants accessibles par votre syst&egrave;me ;
• le mode de connexion des utilisateurs distants &agrave; votre syst&egrave;me ;
• les actions accessibles aux utilisateurs connect&eacute;s &agrave; votre syst&egrave;me.
ID de connexion uucp
A l’installation de BNU, tous les fichiers de configuration, les d&eacute;mons et nombre de
commandes et de proc&eacute;dures shell appartiennent &agrave; l’ID de connexion uucp. L’ID de
connexion uucp a un ID utilisateur (UID) de 5 et un ID de groupe (GID) de 5. Le d&eacute;mon
cron lit le fichier /var/spool/cron/crontabs/uucp pour planifier les travaux automatiques
pour BNU.
Il est en g&eacute;n&eacute;ral interdit de se connecter comme utili
Bull AIX 5.2 Manuel utilisateur

Manuels associés

Bull

AIX 5.3

Bull

AIX 4.3

Bull

AIX 5.2

Ricoh

Aficio MP 1350

Apple

Mac OS X Server 10.5 Leopard

Bull

Escala - Token-Ring PCI Adapters

Dell

PowerConnect 3048

Listen Technologies

Listen EVERYWHERE Server Admin Interface

DEVILLE

HERA-C

Bull

AIX 4.3 - Performance

Schneider Electric

Carte de gestion réseau AP9635/AP9635CH

Bull

Power6 - Serveur d'E-S virtuel et
