Вы находитесь на странице: 1из 70

Administration et Architectures des Systmes

Fabrice Legond-Aubry Fabrice.Legond-Aubry@u-paris10.fr

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Section

Administration rseau

Administration rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Les ressources WEB


!! Adresses web: ! www.ietf.org (Request For Comments - RFC) ! www.iana.org, www.ripe.org (IP) ! deptinfo.cnam.fr (cours rseaux) ! www.linux-france.org/article/index.html (intro) ! www.linux-france.org/prj/inetdoc (doc architecture rseau) ! www.developpez.com (programmation & rseau) !! Livres: ! R. Stevens, Unix network programming , Prentice Hall, 1990 ! J-M. Rifflet et J-B. Yuns, Unix : programmation et communication , Dunod ! A. S. Tannenbaum, Computer Networks , Prentice Hall. ! W.R. Stevens, TCIP/IP Illustrated, The protocols , Addison Wesley ! L. Toutain, Rseaux locaux et Internet , Herms
26/09/2005 Fabrice Legond-Aubry

Introduction

LEGOND Fabrice Module AAS Administration Rseau

Section : Administration rseau

Les bases du rseau


Les bases du rseau Couche liaison et Routage IP Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

De la ncessit du rseau ! !! 90% des services linux sont bass sur le rseau !! Vous vivez dans un monde interconnect !!!

!! Revoir vos cours de rseau !!!!


Les bases du rseau !! Toute machine Linux a au moins un rseau: le rseau virtuel local loopback !! Une machine peut tre connecte plusieurs rseaux !! Il faut connatre les notions de rseaux pour
! Dfinir larchitecture dun parc de machines ! Les interactions entres machines ! Dployer, configurer, SECURISER un service
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Pile TCP/IP

Couche 5-7 : application Couche 4 : transport (gestion des connexions) Couche 3 : rseau (routage) Couches 1-2 : physique, liaison (transfert entre 2 machines relis par une voie physique)

Services linux TCP/UDP (dsignation dun processus) IP (dsignation dune machine)

Les bases du rseau

Ethernet , ATM,

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Relations entre les diffrents protocoles

Les bases du rseau

Couche transport IGMP Couche rseau Couche liaison

TCP

UDP

IP

ICMP

ARP Ethernet

RARP

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Gestionnaires des adresses IP !! Attribution par des organismes spciaux :


! IANA (www.iana.org et www.icann.org) centralise les affectations

Les bases du rseau

! RIPE (www.ripe.net) soccupe des adresses europennes ! AfriNIC (www.afrinic.net) soccupe des adresses africaines ! APNIC (www.apnic.net) soccupe des adresses asiatiques et pacifiques ! ARIN (www.arin.net) soccupe des adresses de lAmrique du nord ! LACNIC (lacnic.net/en/index.html) soccupe des adresses de lAmrique latine et des Carabes
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Notion de classe dadresses IPv4


!! Permet le routage et lacheminement des donnes sur lensemble de linternet !! IP permet de dsigner une machine !! Notion de classes dadresses (besoin de connatre le binaire !!!)

Les bases du rseau

7 bits

24 bits

Classe A Classe B Classe C Classe D Classe E


26/09/2005 Fabrice Legond-Aubry

0 network
14 bits

host
16 bits

10 110 1110 1111

network
21 bits

host
8 bits

network
28 bits

host

host
28 bits

host
9
9

LEGOND Fabrice Module AAS Administration Rseau

Nombres de rseaux par classe !! Classe A : 126 (27-2) rseaux possibles de 16 777 214 (224-2) machines Les bases du rseau !! Classe B : 16 382 (214-2) rseaux possibles de 65 534 (216-2) machines !! Classe C : 2 097 150 (221-2) rseaux possibles de 254 (28-2) machines !! Classe D : adresses de diffusion (multicast) !! Classe E : adresses rserves pour des usages futurs

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

10 10

Rseaux non routables !! Ce sont des rseaux qui ne seront jamais attribus une entit !! Ils ne sont pas routable sur internet Les bases du rseau !! Ils sont rservs un usage priv / interne :
! 1 rseau de classe A : 10.0.0.0 ! 15 rseaux de classe B : 172.16.0.0 - 172.31.0.0 ! 255 rseaux de classe C : 192.168.0.0 - 192.168.255.0

!! Aucun datagramme IP venant de lextrieur ne doit porter ces adresses.

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

11 11

Les informations rseaux !! Une machine ayant lIP : 193.22.143.52


!!Adresse de classe C (193 commence par 110 en binaire) !!24 bits pour le rseau (network @) !!8 bits pour la machine (host @)

Les bases du rseau

!! Adresses particulires pour les rseaux de classes A,B,C


! Ladresse rseau : Tous les bits dadresse host 0
!!Exemple: 192.22.143.0

! Ladresse de diffusion (broadcast) tout le sous-rseau : Tous les bits dadresse host 1
!!Exemple: 193.22.143.255

! Le masque de sous rseau: Tous les bits dadresse host 0, tous les bits dadresse rseau 1
!!Exemple: 255.255.255.0
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

12 12

Masque de rseau !! Le masque de rseau


! Permet de sparer la partie rseau de la partie machine. ! Possibilit de crer des sous-rseaux

Les bases du rseau

!! Exemples
132.227.64.15
Classe B (10)

!!

Rseau LIP6, notations :


! ! !

Masque: 255.255.0.0 @ rseau: 132.227.0.0 @ diffusion: 132.227.255.255

Partie machine

!!

Partie rseau

Sous-rseau SRC, notations :


! ! !

Masque: 255.255.255.0 @ rseau: 132.227.64.0 @ diffusion: 132.227.64.255


13 13

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

Saturation de l'espace d'adressage IPv4 !! Pourquoi?


!!Trop d'adresses distribues par rapport au besoins (inutilisation) !!Pas de redistribution de la classe E, et des classes A? !!Sans doute 50% des adresses distribues ne servent pas!

Les bases du rseau

!!Agrgation des classes C ! gonflement des tables de routages

!! IPv6 : un espace d 'adressage beaucoup plus grand


!!128 bits soit 16 octets au lieu de 32 bits soit 4 octets !!A priori 3,9 * 1018 adresses par mtre carr de surface terrestre !!Si l'on utilise trs mal les adresses disponibles (comme dans le tlphone) ! 1500 adresses par mtre carr

!! Autres solutions ?
!!Les rseaux brls avec translation d'adresse (NAT) ? !!CIDR (Classless Inter-Domain Routing)
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

14 14

CIDR une solution en attendant IPv6


!! Abandon de la notion de classe !! On dfinit les rseaux suivant les besoins !! Notation CIDR: adresse/prfixe (RFC: 1517, 1518, 1519, 1520) !! Pour construire un rseau de 2000 machines
! Il faut 8 rseaux de classe C (/24) de 254 machines soit 2036 machines ! Il faut 1 rseau de classe B (/16) de 65534 machines ! Il faut 1 rseau CIDR /21 qui permet de dclarer 2046 machines (2^11-2)

La base du rseau

!! On agrge ainsi les rseaux pour une mme entreprise


! Par exemple, on peut agrger 2 rseaux de classes C (/24) en un rseau /23

!! A la place de 3 classes, on utilise un prfixe :


prfixe bits 32-prfixe bits

Classe prfixe Classe /21


26/09/2005 Fabrice Legond-Aubry

network
21 bits

host
11 bits

network

host
15 15

LEGOND Fabrice Module AAS Administration Rseau

Section : Administration rseau

Les bases du rseau Routage IP et couche liaison

Routage IP et couche liaison


Couche Transport : TCP/UDP Configuration rseau Outils rseau DHCP DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

16 16

Algorithmes de routage IP !! Routage sur un routeur (algorithme)


! Recherche d'une destination correspondant celle vise.

Routage IP et couche liaison

! Recherche d'une entre rseau o se trouverait le site vis (le plus proche). ! Recherche d'une entre de type dfaut.

!! Algorithmes de routage IP: OSPF, RIPv2, !! Routage partir dune machine


! Si le site atteindre est connect directement au site courant (par une liaison point point ou en rseau local) ! le message est envoy directement. ! Sinon l'hte dispose d'un routeur par dfaut qui il envoie tous les datagrammes qu'il ne peut acheminer.
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

17 17

Exemple: routage IP sur une machine


!! Gateway: la route par dfaut (default route) ! Dfinit o envoyer tous les paquets qui ne sont pas destins au rseau local
switch switch
Internet

Routage IP et couche liaison

Router

legond@hebe > netstat -r! Kernel IP routing table! Destination Gateway 132.227.64.0 * 127.0.0.0 * default castor

Genmask 255.255.255.0 255.0.0.0 0.0.0.0

Flags U U UG

MSS 0 0 0

Window 0 0 0

irtt 0 0 0

Iface! eth0! lo! eth0!

!! Ligne 1 : L'accs au rseau local (ethernet) de l'hte !! Ligne 2 : La boucle locale (loopback) pour les messages qui ne sortent pas du site !! Ligne 3 : L'accs un routeur par dfaut qui permet de passer sur l'internet
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

18 18

Un exemple de configuration rseau


legond@morphee > ifconfig -a! eth0 Link encap:Ethernet HWaddr 00:30:13:3D:2B:65! inet addr:132.227.64.42 Bcast:132.227.64.255 Mask:255.255.255.0! inet6 addr: fe80::230:13ff:fe3d:2b65/64 Scope:Link! UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1! RX packets:3953229 errors:0 dropped:0 overruns:0 frame:0! TX packets:2616429 errors:0 dropped:0 overruns:0 carrier:0! collisions:0 txqueuelen:1000! RX bytes:2991794751 (2853.1 Mb) TX bytes:2551152611 (2432.9 Mb)! Base address:0x2000 Memory:e8100000-e8120000! lo Link encap:Local Loopback! inet addr:127.0.0.1 Mask:255.0.0.0! inet6 addr: ::1/128 Scope:Host! UP LOOPBACK RUNNING MTU:16436 Metric:1! RX packets:56199 errors:0 dropped:0 overruns:0 frame:0! TX packets:56199 errors:0 dropped:0 overruns:0 carrier:0! collisions:0 txqueuelen:0! RX bytes:118600424 (113.1 Mb) TX bytes:118600424 (113.1 Mb)!

Routage IP et couche liaison

Type couche liaison

Adresse machine

Adresse broadcast

Adresse Couche liaison (@MAC)

Masque rseau

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

19 19

Lien couche liaison (ethernet) / rseau (IP) !! Liaison entre la couche rseau (@IP) et la couche liaison ethernet (@MAC) Routage IP et couche liaison
! Utilisation des protocoles ARP et RARP ! Ds quune machine a besoin de savoir quelle @MAC correspond une @IP, elle diffuse une demande de correspondance sur le rseau physique
root@scylla > tcpdump -f -i eth0 arp or rarp! 01:52:55.652713 arp who-has eros tell scylla! 01:52:55.652910 arp reply eros is-at 00:c0:4f:89:d0:6c!

! Le rsultat est mise en cache, jusqu la dtection dune erreur

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

20 20

Lien couche liaison (ethernet) / rseau (IP) !! Gestion du cache des couples @IP/@MAC
! arp affiche et manipule les informations de la table

Routage IP et couche liaison

root@scylla > arp -a! morphee (132.227.64.42) at 00:30:13:3D:2B:65 [ether] on eth0! castor (132.227.64.15) at 00:10:0D:3D:C4:00 [ether] on eth0!

!! Fixer des couples @IP/@MAC


! Pour viter des attaques ! arp s @ip @mac ! arp f nom_de_fichier pour une liste de couples

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

21 21

Lien couche liaison (ethernet) / rseau (IP) !! Gestion du cache des couples @IP/@MAC
! arping permet denvoyer des requtes arp/rarp

Routage IP et couche liaison

root@scylla > arping diane ! ARPING 132.227.64.48 from 132.227.64.30 eth0! Unicast reply from 132.227.64.48 [00:11:95:22:03:30] Unicast reply from 132.227.64.48 [00:11:95:22:03:30]

0.674ms! 0.653ms!

! arping permet de dtecter deux machines ayant la mme ip


root@scylla > arping -D ares! ARPING 132.227.64.31 from 0.0.0.0 eth0! Unicast reply from 132.227.64.31 [00:0F:B5:47:10:59] for !132.227.64.31 [00:0F:B5:47:10:59] 0.639ms! Sent 1 probes (1 broadcast(s))! Received 1 response(s)!

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

22 22

Section : Administration rseau

Couche Transport : TCP/UDP

La base du rseau Couche liaison et Routage IP

Couche Transport : TCP/UDP


Configuration rseau Outils rseau DHCP DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

24 24

Type de paquets principaux circulant sur IP


!! Paquets UDP
! missions en mode non connect ! Permet la transmission point--point et la diffusion (broadcast)

Couche Transport : TCP/UDP

!! Paquets TCP
! missions en mode connect ! Transmissions point--point exclusivement avec qualit de transmission

!! Paquets de gestion du rseau ICMP/IGMP !! Adresse de diffusion :


! Utilis pour envoyer des paquets sur tout le rseau local

Il faut savoir configurer vos routeurs pour ne pas diffuser tous les paquets de broadcast!
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

25 25

Utilit de la couche transport


!! TCP et UDP permettent la discussion entre des services (des processus)

Couche Transport : TCP/UDP

!! TCP/UDP permet de dsigner un processus sur une machine !! On dsigne un processus par un numro de port !! Il existe des ports officiels associs un type particulier de service !! Il existe des ports libres qui peuvent tre associs des applications utilisateur !! La liste officiel des correspondances ports/service
! Fichier /etc/services ! Sur le web : http://www.iana.org/assignments/port-numbers ! Sur les sites de scurit pour les ports suspects (iss.net, neophasis)
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

26 26

Les ports
!! Les ports 1 1023 sont privilgis : ils ne peuvent tre ouverts quavec les droits root .

Couche Transport : TCP/UDP

!! Les ports 1024 65535 sont non privilgis (ou phmres) et peuvent tre ouvert par tous les utilisateurs. !! Un processus peut ouvrir plusieurs ports !! Un ports ne peut tre contrl que par un processus !! Contenu du fichier /etc/services :
...! ftp-data ftp-data ftp ssh telnet ...! 20/tcp! 20/udp! 21/tcp 22/tcp 23/tcp!

! !

!# File Transfert Protocol ! !# SSH Remote Login Protocol!

!! Pour la scurit et le contrle daccs ! Contrle daccs aux services rseaux par /etc/hosts.allow et /etc/ hosts.deny
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

27 27

Section : Administration rseau

Les bases du rseau Configuration rseau Routage IP et couche liaison Couche Transport : TCP/UDP

Configuration rseau
Outils rseau DHCP DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

28 28

Une machine, plusieurs prises rseaux !! Une machine peut avoir plusieurs cartes rseaux !! Un maximum de 64 cartes par machines !! Pourquoi faire ? Configuration rseau
! Routeurs, Firewalls ! Transferts entre rseaux ! Agrgation de liens, rpartition de charge, tolrance aux fautes

!! On peut donner plusieurs IP une mme carte rseau


! IP Virtuelles ! Exemple: Serveur Web avec HTTPS ! Exemple: Serveur Web avec des sites virtuels
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

29 29

Le nom des cartes rseaux !! Linux supporte jusqu 256 adresses virtuelles
XXXNN:VV

Configuration rseau

Type de rseau"
Ethernet (eth)" Myrinet " Loopback (lo)"

Numro de carte"
0" 1" 2"

Numro de carte virtuelle" (optionnel)"


0" 1" 2"

Exemples (Ethernet):" "eth0 " "eth1 " "eth0:1 eth0" "device = /dev/eth0" "device = /dev/eth1" " "device = /dev/

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

30 30

Fichiers de configuration rseaux


!! Fichiers de correspondance sur la machine
! /etc/hosts (correspondance IP/nom dhte au boot seulement)
!!127.0.0.1 localhost !!137.194.160.21 horla

Configuration rseau

! /etc/rpc (correspondance nom de procdure/n de procdure) ! /etc/networks (correspondance nom de rseau/n de rseau) ! /etc/protocols (correspondance nom de protocole/n de protocole) ! /etc/ethers (correspondance IP/n Ethernet)

! Le fichier /etc/resolv.conf permet de dfinir comment lier une IP et un nom de machine (par fichier ou par DNS)

!! Configuration dpend du systme :


! Mandrake : fichier /etc/sysconfig/network-scripts/ifcfg-eth0 ! Gentoo : fichier /etc/conf.d/net !
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

31 31

Contenu des fichiers configurations

!!Mandrake /etc/sysconfig/networkscripts/ifcfg-eth0
Configuration rseau
DEVICE=eth0! BOOTPROTO=static! IPADDR=132.227.64.30! NETMASK=255.255.255.0! NETWORK=132.227.64.0! BROADCAST=132.227.64.255! ONBOOT=yes!

!!Gentoo /etc/conf.d/net
iface_eth0="132.227.64.31 broadcast 132.227.64.255 netmask 255.255.255.0"! gateway="eth0/132.227.64.15"!
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

32 32

Outils de configuration rseaux !! Scripts de dmarrage / arrt du rseau :


! Sur Mandrake : fichier /etc/init.d/network ! Sur Gentoo : fichier /etc/init.d/net.eth0 ! Il configure automatiquement les routes

Configuration rseau

!! La configuration de la carte se fait par ifconfig ou ethtool !! Laffichage et la manipulation de la table de routage IP se fait par la commande route !! Lensemble du contrle TCP/IP peut se faire par la commande ip
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

33 33

Section : Administration rseau

Les bases du rseau Routage IP et couche liaison Outils rseau Couche Transport : TCP/UDP Configuration rseau

Outils rseau
DHCP DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

34 34

Diagnostiques rseaux : ping, netstat, telnet


!! La commande ping nom permet de savoir si une machine est vivante. Une version parallle nomme fping existe. !! La commande netstat permet de savoir lensemble des ports ouverts
root@scylla > netstat -ln! Active Internet connections (only servers)! Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0.0.0.0:32768 0.0.0.0:* tcp 0 0 127.0.0.1:994 0.0.0.0:* ......!

State ! LISTEN ! LISTEN !

Outils rseau

!! netstat r affiche la table de routage !! host nom permet dobtenir lIP ou le nom de la machine !! resolveip ip permet dobtenir lip dune machine (ou dune IP) !! telnet machine port permet douvrir sur une connexion sur un service dune machine distante !! clockdiff permet dobtenir le dcalage temporel entre deux machines

! tickets Kerberos ! clockskew lors de compilations sur NFS


26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

35 35

Diagnostiques rseaux : lsof


!! Une source dinformation importante !!!! !! Obtenir la liste des fichiers ouverts par le processus 1200
! lsof -p 1200

!! Obtenir la liste des ports ouverts par le processus 1200


! lsof -p 1200 -i 4 a

!! Savoir quel(s) processus sont en contact avec les ports 1 1024 de ares.lip6.fr
! lsof i @ares.lip6.fr:1-1024

!! Savoir quel(s) processus ont ouvert le fichier ~/foobar


! lsof ~/foobar

!! Savoir quels sont les fichiers ouverts par lutilisateur apache


! lsof u apache
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

36 36

Informations sur le rseau : dig/nslookup !! Interroger un dns pour obtenir un nom de machine ou une ip : nslookup !! dig est identique nslookup mais il offre plus doptions Outils rseau
legond:@eos > nslookup www.lemonde.Fr! Server: 132.227.64.13! Address: 132.227.64.13#53 ! Non-authoritative answer:! www.lemonde.Fr canonical name = www.lemonde.fr.d4p.net.! www.lemonde.fr.d4p.net canonical name = a245.g.akamai.net.! Name: a245.g.akamai.net! Address: 193.50.203.46! Name: a245.g.akamai.net! Address: 193.50.203.53!

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

37 37

Informations sur le rseau !! traceroute , traceroute6 , tracepath et tracepath6 permettent de voir le chemin jusqu une machine
legond@scylla > tracepath www.lemonde.fr! 1: scylla (132.227.64.30) 1: castor (132.227.64.15) 2: r-jusren.reseau.jussieu.fr (134.157.254.126) 3: gw-rap.rap.prd.fr (195.221.127.181) 4: jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 5: nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 6: 193.50.203.53 (193.50.203.53) Resume: pmtu 1500 hops 6 back 6 ! 0.258ms 1.519ms 1.557ms asymm 4 2.541ms 2.364ms 3.787ms pmtu 1500! ! ! 2.292ms ! ! ! reached!

Outils rseau

legond@scylla > traceroute www.lemonde.fr! traceroute to a245.g.akamai.net (193.50.203.53), 30 hops max, 38 byte packets! 1 castor (132.227.64.15) 1.334 ms 1.211 ms 1.387 ms! 2 r-jusren.reseau.jussieu.fr (134.157.254.126) 0.821 ms 1.305 ms 0.614 ms! 3 gw-rap.rap.prd.fr (195.221.127.181) 1.760 ms 1.672 ms 1.545 ms! 4 jussieu-g0-1-165.cssi.renater.fr (193.51.181.102) 1.343 ms 0.790 ms 1.184 ms ! 5 nri-c-pos2-0.cssi.renater.fr (193.51.180.158) 1.617 ms 1.605 ms 1.479 ms! 6 193.50.203.53 (193.50.203.53) 1.911 ms 1.921 ms 0.893 ms!

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

38 38

Analyser le rseau
!! Commandes SunOS : etherfind, snoop !! tcpdump permet la capture et le filtre des communications entre les machines et/ou les services
! Capturer toutes les communications provenant de zeus
!! tcpdump

src host zeus udp and port 67

Outils rseau

! Capturer tous les paquets provenant du serveur DHCP


!! tcpdump

! Capturer les paquets de gestion du rseau (ICMP)


!! tcpdump

icmp

!! ethereal permet la capture et lanalyse du trafic rseau.


! Des exemples ? RTFM !! ! Trs complexe, Trs puissant
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

39 39

Section : Administration rseau

La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DHCP Configuration rseau Outils rseau

DHCP
DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

40 40

Rle du service DHCP


!! Le service DHCP (Dynamic Host Configuration Protocol) !! Il utilise le port 67 (serveur) et 68 (client) !! Le nom de machine et lIP sont fournit par le service DHCP
! Utilise les adresses ethernet (MAC) des cartes rseaux ! La machine diffuse sa demande (car le serveur est inconnu)

!! En cas de timeout de la requte


! Comportement 1: Une adresse par dfaut est prise par la machine ! Comportement 2 : Le rseau ne dmarre pas

DHCP

!! Les informations suivantes sont aussi envoyes par le serveur DHCP :


! Masque de rseau (Netmask) ! Adresse de rseau (network adresse) ! Adresse de diffusion (Broadcast address) ! Adresse de la passerelle de sortie (Gateway) ! Adresse des serveurs de noms (DNS Servers) ! Nom du domaine dauthentification NIS (NIS domain) !

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

41 41

Utilit du DHCP
!! Permet une gestion centralise des adresses IP ! Utilise les @ MAC du ct du serveur ! Le serveur peut assigner des @IP fixe en fonction de ladresse MAC du client ! Le serveur peut assigner des @IP dynamiques temporaires ! Une mme adresse peut tre utilise pour dsigner plusieurs machines au cours du temps

DHCP

! Il nest pas ncessaire davoir autant dadresses que dabonns si tous les abonns ne se connectent pas en mme temps !! Permet de changer facilement la configuration rseau dune machine !! Permet linstallation ou le dmarrage de machine par le rseau (BOOTP) !! Permet la gestion des machines sdentaires et mobiles !! DHCP souvent considr comme une faille de scurit ! Configuration automatique sur des clients inconnus
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

42 42

Le protocole DHCP
!! RFC 951 (Bootp) , 1542, 2131 (dhcp), 2132 !! Les requtes et les messages DHCP
! DHCPDISCOVER: envoy par le client pour localiser les serveurs DHCP disponibles ! DHCPOFFER: rponse du serveur un paquet DHCPDISCOVER, qui contient les premiers paramtres (en particulier ladresse IP du serveur) ! DHCPREQUEST: contient les requtes diverses du client (ex: prolongation dun bail)

DHCP

! DHCPACK: rponse du serveur qui contient des paramtres et l'adresse IP du client ! DHCPNAK: rponse du serveur pour signaler au client un refus ! DHCPDECLINE: le client annonce au serveur que l'adresse est dj utilise ! DHCPRELEASE: le client libre son adresse IP ! DHCPINFORM: le client demande des paramtres locaux, il a dj son adresse IP
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

43 43

Le protocole DHCP

! Le premier paquet mis par le client est un paquet de type DHCPDISCOVER.


! Il est envoy tout le monde (broadcast, 255.255.255.255) ! Il contient ladresse IP 0.0.0.0. On utilise ladresse de liaison (@MAC)

DHCP

! Le serveur rpond par un paquet DHCPOFFER avec son IP


! Soit en utilisant ladresse MAC de celui qui a mis le paquet ! Soit en rpondant tout le monde (broadcast, 255.255.255.255)

! Le client fait un DHCPREQUEST pour obtenir son IP


! Utilisation de lIP contenue dans le premier DHCPOFFER reu ! Envoyer tout le monde pour avertir tous les serveur DHCP

! Le serveur rpond simplement par un DHCPACK avec l'adresse IP pour confirmation de l'attribution
! Il y a vrification, par le serveur, de lIP qui va tre attribue en utilisant le protocole ICMP Echo Request ! En cas de duplication , le serveur envoie DHCPDECLINE, et on recommence
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

44 44

DHCP: Complment

!! DHCP est un protocole assez bas niveau.

DHCP

!! Toute adresse IP dlivre par un serveur DHCP a une dure de vie appele bail . !! A la moiti de la dure du bail, un client doit renouveler son bail. ! Le client peut en faire la demande en envoyant un DHCPREQUEST. !! Le serveur vrifie la prsence du client la fin du bail en envoyant un DHCPNACK. ! En cas de non rponse ladresse est libre pour r-utilisation
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

45 45

Configuration du serveur ISC DHCPd


!! Configuration par le fichier /etc/dhcpd.conf
#options globales #options globales deny unknown-clients; # interdire les clients inconnus deny unknown-clients; # interdire les clients inconnus deny client-updates; #interdit les demande de mise jour mise par les clients deny client-updates; les demande de mise jour mise par les clients deny bootp; #interdire #interdit le protocole bootp deny bootp; #interdire le protocole bootp #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) #Configuration des options pour un sous-rseau spcifique (ici le 132.227.64.0/24) subnet 132.227.64.0 netmask 255.255.255.0 { subnet 132.227.64.0 netmask 255.255.255.0 { authoritative; # le serveur fait autorit sur le sous-rseau authoritative; # le serveur fait surde le sortie sous-rseau option routers 132.227.64.15; # laautorit passerelle pour accder internet option routers 132.227.64.15; # la passerelle de sortie pour accder internet option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option subnet-mask 255.255.255.0; # masque pour le sous-rseau local option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name "lip6.fr"; #domaine de ce sous-rseau (devrait appartenir au DNS) option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS option domain-name-servers 132.227.64.13, 132.227.60.30, 132.227.60.2; # les DNS

DHCP

allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow bootp; #autorise le protocole bootp sur ce sous-rseau (annule la directive locale) allow booting; # autorise le boot par le rseau (boot pxe) allow booting; # autorise le boot par le rseau (boot pxe) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) deny unknown-clients; #interdire les clients inconnus (doublon avec loption globale) default-lease-time 21600; # temps du bail par dfaut (en secondes) default-lease-time 21600; # temps du bail du parbail dfaut secondes) max-lease-time 43200; # temps maximum (en (en secondes) max-lease-time 43200; # temps maximum du bail (en secondes) range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP range 132.227.64.240 132.227.64.250; # IP rserv au pool DHCP # dclare une machine SANS lui attribuer une IP fixe # dclare une machine SANS lui attribuer une IP fixe host PORTABLE_DENIS { host PORTABLE_DENIS { 00:04:75:96:9D:F8; hardware ethernet hardware ethernet 00:04:75:96:9D:F8; } } # dclare une machine en lui attribuer une IP fixe et un nom # dclare une machine en lui attribuer une IP fixe et un nom host PORTABLE_MANU { host PORTABLE_MANU { 00:04:75:96:AA:CD; hardware ethernet hardware ethernet 00:04:75:96:AA:CD; fixed-address 132.227.64.2; fixed-address 132.227.64.2; option host-name pmanu"; option host-name pmanu"; } }

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

46 46

Redondance DHCP
!! Si vous choisissez DHCP comme service dattribution dIP pour toutes vos machines, il devient critique !! !! Le DHCP nest pas fait pour les serveurs !! Si vous dployez une solution base totalement sur DHCP, en cas de crash ! plus de rseau !! Relai DHCP entre des sous-rseaux : dhcrelay !! Redondance possible pour plus de sret. On ajoute au fichier / etc/dhcpd.conf :
failover peer "eros" { primary; #THIS PRIMARY DHCP SERVER (132.227.64.25=eros.lip6.fr) address 132.227.64.25; port 520; # port dcoute pour lchange dinformations entre serveurs #PEER SLAVE DHCP SERVER (132.227.64.26=no dns entry) peer address 132.227.64.26; peer port 519; # port dcoute pour lchange dinformations entre serveurs #nombre de secondes avant que lautre hte ne prenne le relai load-balance-max-seconds 3; }
26/09/2005 Fabrice Legond-Aubry

DHCP

LEGOND Fabrice Module AAS Administration Rseau

47 47

Section : Administration rseau

La base du rseau Routage IP et couche liaison Couche Transport : TCP/UDP DNS Configuration rseau Outils rseau DHCP

DNS
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

48 48

Historique
!! Les usagers prfrent utiliser les noms logiques ! !! Exemples :
! Adresse courrier (legond@src.lip6.fr) plutt quune adresse IP (legond@[132.227.64.100]) ! Nom de site web (http://www.hardware.fr) plutt quune URL IP (http://83.243.20.80)

DNS

!! ! Besoin dun ensemble de mcanismes de cration, dadministration, de mise en relation pour des noms logiques, des adresses, des attributs. !! Au dbut de l'Internet, les noms taient dfinis localement sur chaque hte dans un fichier (/etc/hosts en UNIX). !! Mise jour de /etc/hosts par ftp la nuit automatiquement ou manuellement partir dune version rfrence pour suivre lvolution du rseau Internet
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

49 49

Historique

! Problme : Le nombre de machines rfrencs a explos !

DNS
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

50 50

Rle du service DNS


!! 1984 : Cration dun service dannuaire distribu (base de donnes distribue dinformations) !! DNS = Domain Name Service ! Service le plus important et le plus utilis dInternet. ! Tout le rseau (quasiment) repose sur ce service contrl par les USA ! RFC de base: 1034, 1035 ! Nombreuses RFC (voir www.dns.net/dnsrd/rfc) !! Un des protocole de base de linternet . Fonctions principales:

DNS

! CEST UN ANNUAIRE DE MACHINES ! DNS permet dassocier un nom humain une adresse IP et vice-versa !! Spcificits du protocole DNS ! Le DNS offre un identifiant textuel unique ! ! Accessible au moyen dun espace de nommage hirarchique unifi ! De mme quil existe une adresse rseau et une adresse machine, il existe des noms de domaines et des noms de machines
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

51 51

Structure hirarchique du DNS


Zone racine Domaines racines Sous-domaines racines

"! arpa in-addr 132 gov cmu math edu php net fnac com fnac fr lip6 us edf

DNS

Sous-domaines

227 64

Feuille Valeur

100 src.lip6.fr

www

www

www

eos

src

132.227.64.100
LEGOND Fabrice Module AAS Administration Rseau 52 52

26/09/2005 Fabrice Legond-Aubry

Structure hirarchique du DNS


! Exemples :

www.lip6.fr!
Hte" Domaine! Domaine racine"

www.infop6.jussieu.fr!
Hte" Sous-Domaine! Domaine! Domaine racine"

DNS

! Au niveau le plus haut: Plusieurs centaines de noms de domaines.


!!com : Noms gnriques de domaines. !!fr : Noms gographiques de domaines. !!arpa : Correspondance adresses IP vers noms.

! Aux niveaux intermdiaires: Des noms de domaines (qui sont des sous-domaines). ! Au niveau des feuilles: Des sous-domaines composs dhtes ou dfinissant des services.
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

53 53

Top Level Domains (TLD) DNS


!! Des domaines connus :
! .com : Organismes commerciaux (Verisign) ! .net : Prestataires rseaux (Verisign) ! .org : Autres organisations (Verisign) ! .info : Orgs dinformation (Afilias Limited) ! . Code pays : entreprises et services dun pays (avec le nouveau .eu) ! .edu : Institutions dducation US ! .gov : Organisations gouvernementales US

!! Des domaines exotiques :

DNS

! .aero : Industries aronautiques (SITA) ! .biz : Affaires (NeuLevel, Inc). ! .coop : Associations cooperative (Dot Cooperation LLC). ! .museum : Muses (Museum Domain Management Association). ! .name : Individus (Global Name Registry). ! .mil : Arme US ! .int : Organisations internationales

!! ..
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

54 54

Gestion des DNS !! Dsignation dans larborescence


! Les feuilles dsignent une machine (eos, scylla) ! La machine peut porter le nom dun service (ftp, dns, ) ! Les nuds intermdiaires sont composs dun ensemble de ressources

DNS

! Lorganisation grant un domaine peut dlguer la gestion dun sous-domaine. ! Pour crer un sous-domaine, il faut donc avoir lautorisation de lorganisme grant le domaine pre. ! IMPORTANT: lorganisation DNS est diffrente de la topologie IP sous jacente !
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

55 55

Gestion des DNS


!! En plus de la d-corrlation IP / nom de domaine, il y a dcorrlation entre les units dadministration des domaines (zone) et les domaines !! Un domaine est :
! un ensemble de noms qui ont un mme suffixe ! un dcoupage syntaxique de lespace de nommage Internet

!! Une zone est :

DNS

! une unit dadministration (tous les membres dune zone sont servis par un mme serveur) ! une zone regroupe un ensemble de domaines voisins qui ne se recouvrent pas. ! un dcoupage administratif dfinissant la porte daction des serveurs de noms (suivant les dlgations internes de gestions) ! Ex: lip6.fr, src.lip6.fr
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

56 56

Dsignation et recherches
!! FQDN : Fully Qualified Domain Name
! Construit en suivant le chemin de la racine aux feuilles ! On spare les intermdiaires par des . ! Ex: www.java.sun.com, www.infop6.jussieu.fr

!! Nom non-fqdn : ce sont des noms relatifs qui sont recherchs dans le domaine courant

DNS

! Ex: www, www.ufr-info-p6

!! La recherche :
! se fait par dfaut dans le domaine auquel appartient le serveur ! est tendu au domaine . en cas dchec ! peut tre force partir du rpertoire racine en ajoutant un . la fin de la chane cherche
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

57 57

Modes de recherche
!! Un indicateur dans la requte dcrit la faon de la traiter : itrative ou rcursive. !! Sur chaque machine existe une liste de 13 serveurs racines (fichier /var/ named/named.ca) !! Mode itratif ! On interroge successivement les serveurs
tique.infop6.jussieu.fr> nslookup eos.lip6.fr Server: 134.157.116.123 Address: 134.157.116.123#53 Non-authoritative answer: Name: eos.lip6.fr Address: 132.227.64.45

DNS

"!

fr

lip6

Client (tique)
26/09/2005 Fabrice Legond-Aubry

Serveur DNS du domaine (papillon)


LEGOND Fabrice Module AAS Administration Rseau 58 58

Modes de recherche !! Mode rcursif


! Chaque serveur visit prend linitiative dinterroger le serveur suivant pour obtenir pour lui mme la rponse la question pose ! La rponse revient en visitant tous les sites ! On note la rsolution effectue dans les caches de tous les serveurs visits
"! fr lip6

DNS

Client (tique)
26/09/2005 Fabrice Legond-Aubry

Serveur DNS du domaine (papillon)


LEGOND Fabrice Module AAS Administration Rseau 59 59

Type de requte
!! A: demande dune adresse de machine !! CNAME: demande le nom rel (canonique) pour un alias. !! PTR: le nom de machine de ladresse IP !! MX: les serveurs de mail (envoie) !! NS: le(s) serveur(s) DNS gestionnaire(s) du domaine

DNS

!! SOA: des informations sur le domaine ( start-of-authority ) !! HINFO: demande le CPU et lOS du serveur (optionnel et dangereux) !! TXT: informations textuelles sur le domaine !! Autres informations: MINFO, UINFO, WKS,ANY, AXFR, MB, MD, MF, NULL
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

60 60

Outils DNS: dig

!! dig [@server] [options dig] [nom] [type] [classe] [options requte] (trs verbeux, voir les options)
legond@tique.infop6.jussieu.fr> dig www.efrei.Fr +short efrei.opixido.com. 62.4.72.6 legond@tique.infop6.jussieu.fr> dig -x 62.4.72.6 +short 62.4.72.6.not.updated.above.net. legond@tique.infop6.jussieu.fr> dig efrei.Fr a +short 194.2.204.17 legond@tique.infop6.jussieu.fr> dig efrei.Fr ns ;; ANSWER SECTION: efrei.fr. 86377 IN NS cerbere.efrei.fr. efrei.fr. 86377 IN NS turner.efrei.fr. ;; ADDITIONAL SECTION: cerbere.efrei.fr. 86377 IN A 194.2.204.4
26/09/2005 Fabrice Legond-Aubry

DNS

LEGOND Fabrice Module AAS Administration Rseau

61 61

Outils DNS: nslookup


!! nslookup [-option ...] [host-to-find | -[server]]
!!Peut tre lanc comme un shell !!Peut tre lanc en ligne de commande
legond@tique.infop6.jussieu.fr> nslookup www.epita.fr Non-authoritative answer: Name: www.epita.fr Address: 163.5.254.17 legond@tique.infop6.jussieu.fr> nslookup -query=ns epita.fr Non-authoritative answer: epita.fr mail exchanger = 65 smtp-relay.epita.fr. epita.fr mail exchanger = 40 smtp1.epita.fr. epita.fr mail exchanger = 40 smtp2.epita.fr. legond@tique.infop6.jussieu.fr> nslookup >set type=soa Non-authoritative answer: epita.fr origin = ns1.epi.net mail addr = postmaster.epita.fr serial = 2005072002 refresh = 21600 retry = 3600 expire = 604800 minimum = 86400
26/09/2005 Fabrice Legond-Aubry

DNS

LEGOND Fabrice Module AAS Administration Rseau

62 62

Outils DNS: whois !! Obtenir des informations sur les propritaires et les gestionnaires dun domaine !! Online: www.ripe.net, www.arin.net, www.afrin.net !! whois a de nombreuses options et des nombreuses possibilits. Lire le manuel ! DNS !! Whois sur une @IP donne des informations sur le propritaire de la classe dIP! (lhbergeur) !! Whois sur un domaine donne des informations sur le propritaire du domaine ! !! Essayez whois liberation.fr et whois 80.15.238.13
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

63 63

Outils DNS: whois


tique.infop6.jussieu.fr> whois epita.fr domain: epita.fr address: Ecole Pour l'Informatique et les Techniques Avancees address: 14-16, rue Voltaire address: 94270 Le Kremlin-Bictre address: FR admin-c: NS1297-FRNIC tech-c: JB371-FRNIC zone-c: NFC1-FRNIC nserver: ns1.epi.net nserver: ns2.epi.net nserver: joe.hittite.isp.9tel.net mnt-by: FR-NIC-MNT mnt-lower: FR-NIC-MNT changed: nic@nic.fr 20050124 source: FRNIC person: address: address: address: address: . Nicolas Sadirac Ecole Pour l'Informatique et les Techniques Avancees 106-112, boulevard de l'Hopital 75013 Paris FR

DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

64 64

Les performances: Rpartition et Distribution


!! Un serveur centralis ne pourrait pas supporter les requtes !! Une des meilleurs russite en terme de rpartition de charge !! Pour rappel : Sur chaque machine (serveur et cliente) existe une liste de 13 serveurs racines (fichier /var/named/named.ca) !! La majorit des requtes sont locales (sur un sous-rseau et/ou sous-domaine)

DNS

! On utilises ses propres serveurs ! On allge les autres serveurs !

!! Rpartition de charge grce au DNS : le DNS peut renvoyer plusieurs IP diffrentes pour un mme nom !

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

65 65

Les Performance: cache DNS


!! Gestion dun cache local et entre serveurs
! Prise en compte dun dlai de premption des donnes (information expire du SOA) ! Raccourci les dlais de rponse et conomise la bande passante ! Dlai de prise en compte dune modification dune entre DNS ! Cohrence faible ! dlai de MAJ (~3 jours)

!! Lors d'une rponse:

DNS

! Si elle vient du cache, elle est non fiable ( non authoritative ) ! Si elle vient d'un serveur dit authoritative , elle est fiable.

!! Le temps de rsidence dans le cache est un paramtre important. !! La non fiabilit des rponses peut poser des problmes:
! Pour atteindre certains serveurs ! Pour la scurit
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

66 66

DNS: Sret de fonctionnement


!! DNS est un service critique !
! Obligation davoir au moins deux serveurs DNS ! 2 machines physiques diffrentes doivent assurer le DNS ! Problme de synchronisation entre serveurs

!! Mise en place dun protocole de cohrence


! Synchronisation entre serveur ! Le secondaire (esclave) se synchronise sur le primaire (matre)

!! Les DNS secondaires font des transferts de zone:

DNS

! Lors de leur lancement ! A intervalle rgulier pour se synchroniser

!! Si le DNS primaire est non accessible


! On dmarre avec une copie locale des zones ! On se synchronise ds le retour du serveur primaire

!! Le numro de srie indique la date des changements !! ATTENTION A LA SECURITE !!!


26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

67 67

Configuration DNS (serveur ISC Bind) !! Les fichiers de configuration sont


! Configuration des clients /etc/resolv.conf
!!search lip6.fr #domaine(s) de recherches !!domain lip6.fr #domaine local !!order local,bind #ordre de rsolution: local (/etc/hosts) puis dns !!nameserver 132.227.64.13 !!nameserver 132.227.60.30 !!nameserver 132.227.60.2

DNS

! Configuration du service: /etc/named.conf (intgre maintenant /etc/named.boot ) ! Informations sur les zones administres dans le rpertoire /var/named/ ! Vrification des configurations: dnswalk

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

68 68

/etc/named.conf
!! Scurit:
! Gestion des clefs pour lauthentifications des pairs:
!!Section key domaine_name pour dfinir sa clef !!Section trusted-keys pour dfinir les pairs de confiance !

! Section controls permet le contrle daccs au serveur ! Utilisation des ACL pour le contrle daccs

DNS

!! Section logging permet de dfinir les traces !! Section options pour dfinir les options du serveur !! Sections zone nom pour chaque zone que gre le serveur
! Contient essentiellement le nom des fichiers de zone ! Le type de la zone (master, slave, stub [NS slave]) ! Comment se fait la MAJ
26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

69 69

ISC BIND: Les fichiers de zone

! Association noms vers IP


$ORIGIN example.com ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) ; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable. ( @ IN SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai aprs lequel le serveur esclave doit se mettre jour (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL ;Entres DNS de la zone (machines et sous-domaines) IN NS dns1.example.com. ; les serveurs de noms (champs NS) IN NS dns2.example.com. IN MX 10 mail.example.com. ; les serveurs de mails 10 et 20 sont des priorits IN MX 20 mail2.example.com. IN A 10.0.1.5 ; entre par dfaut du domaine (ex: ping example.com) server1 IN A 10.0.1.5 ; dclaration de la machine server1 sur le domaine server2 IN A 10.0.1.7 ; dclaration de la machine server2 sur le domaine dns1 IN A 10.0.1.2 ; dclaration de la machine dns1 sur le domaine dns2 IN A 10.0.1.3 ; dclaration de la machine dns2 sur le domaine ftp IN CNAME server1 ; dclaration dun alias (ftp=server1) mail IN CNAME server1 ; dclaration dun alias (mail=server1) mail2 IN CNAME server2 ; dclaration dun alias (mail2=server2) www IN CNAME server2 ; dclaration dun alias (www=server2, pas lhte par dfaut)

DNS

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

70 70

ISC BIND: Les fichiers de zone

! Association IPs vers noms (reverse)


$ORIGIN 1.0.10.in-addr.arpa ; origine du fichier (base ajoute toutes les entres) $TTL 86400 ; Valeur de la dure de validit des informations de la zone (ici 1 jour) ; dbut de la description de la zone (entre SOA) @ IN
; nom_zone (@=valeur de $ORIGIN) IN SOA nom-serveur-fqdn. email-responsable.

DNS

SOA dns1.example.com. hostmaster.example.com. ( 2001062501 ; n de srie (doit tre incrment aprs chaque MAJ du fichier) 21600 ; Dlai de MAJ esclave (ici 6 heures) 3600 ; Dlai entre chaque essai de synchro du serveur esclave (ici 1h) 604800 ; Dlai partir duquel un serveur esclave arrte de rpondre 86400 ) ; doublon avec $TTL NS NS PTR PTR PTR PTR dns1.example.com. dns2.example.com. server1.example.com. ; 10.0.1.5 ! server1 server2.example.com. ; dns1.example.com. dns2.example.com.

IN IN 5 7 2 3 IN IN IN IN

26/09/2005 Fabrice Legond-Aubry

LEGOND Fabrice Module AAS Administration Rseau

71 71