Petite présentation : Comment configurer rapidement son propre réseau local.

Ce texte de Éric Huiban est le support d'un exposé qu'il a présenté lors de la réunion du CULTe qui a eu lieu le Samedi 2002-05-25.

1. Introduction :
Le but de cette conférence est de montrer, "ce qu'il faut faire" pour configurer un réseau local sous IP, "comment on le fait" et "pourquoi on le fait". Ethernet étant le support courant de ce type de réseau, il sera choisi par défaut pour la démonstration. Le requis de base pour suivre cette démonstration reste la configuration correcte du matériel au niveau du réseau (câblage, hub, switch, carte réseau, pilotes de périphérique, etc). Les notions de base sur la nature d'un réseau seront aussi supposées connues.


La structure de la présentation est organisée de façon à traverser les différentes couches logiques gérant le réseau dans une machine connectée à un réseau IP.


2. Rappel sur l'organisation en couche et l'encapsulation des données.
Le réseau IP est basé sur la superposition d'une série de couches fonctionnelles, chacune gérant une ou plusieurs fonctions nécessaires à la communication. Le modèle de cette segmentation n'est pas aussi bien documenté que le modèle OSI (ISO en anglais) et on retrouve, en partant du matériel en allant vers l'utilisateur, l'empilement de couches suivant :


• La couche matérielle. Ici Ethernet qui peut aussi bien être X25, FDDI, ou tout autre réseau "physiquement parlant". Cette couche transmet ce qu'il est possible d'appeler des trames Ethernet, trames X25, trames token-ring, etc


• La couche IP. Cette couche traite l'acheminement des données. Cette couche transmet et reçoit simplement des paquets IP et ne contrôle que la validité de la structure des paquets IP. Les protocoles mis en jeu (IP, ICMP, ARP, RARP) sont des protocoles dit "sans connexion" : les données sont mises en forme pour être émises et mises en forme après réception pour être traitées par la couche supérieure. Il n'y a pas de dialogue en émetteur et récepteur, ni de contrôle de transmission entre eux. Chaque protocole mis en jeu effectue une seul et unique tache bien précise et toute cette couche IP effectue deux taches principales : le routage ainsi que la fragmentation et le ré-assemblage des données. Le routage : le protocole IP détermine quel est le meilleur chemin permettant d'atteindre la machine cible. Il choisit donc l'interface et donc le média de transport. La fragmentation et le ré-assemblage : les blocs de données transmis par les couches supérieures : chaque support "physique" ayant une taille maximal de données transmissible : le protocole IP découpe donc les blocs de données à transmettre en paquets IP d'une taille correcte : 1500 pour Ethernet, 4352 pour FDDI et variable pour les communications par port série ou la qualité du canal de communication va influer sur le choix de la taille par l'utilisateur. Et en réception la couche IP ré-assemble les paquets IP pour recréer le bloc de donnée initial. Installer un réseau local IP va essentiellement consister à régler cette couche de communication : les reste consistant essentiellement en du réglage de "confort" ou de la configuration d'applications.


• La couche UDP/TCP. Cette couche transmet et reçoit des Datagrammes pour le protocole UDP et des Segments pour le protocole TCP. Ces protocoles permettent à l'utilisateur via une série d'application d'émettre et de recevoir des données sur le réseau et ceci de deux façons : avec ou sans connexion.
  
  
  Le protocole UDP contrôle la communication sans connexion, et sans contrôle de bon acheminement que ce soit par diffusion (tous destinataires) ou point à point d'un émetteur à un récepteur.
  
  
  Le protocole TCP effectue la communication avec établissement de connexion et contrôle d'acheminement ; et ceci en mode point à point uniquement. La connexion du mode TCP se fait en trois temps : établissement de la connexion avec le destinataire, transmission des données et fermeture de connexion. La phase de transmission comprend aussi l'émission et la réception de messages de service sous la même forme que les données transmises de façon à gérer le flux de données et les acquittements et les demande de répétition en cas d'erreur.
  
  
  Le mode UDP, lui, n'établit pas de connexion, et ne procède pas à un contrôle de transmission : l'application demandant l'émission et celle attendant les réceptions doivent s'en charger.
  
  
  Cette couche demande essentiellement l'écriture de fichier de configuration contenant essentiellement des tables de configuration plus ou moins immuables à quelques exceptions près...


• Les applications. A se niveau, se trouve tous les programmes fournissant un service à la machine hôte ou à l'utilisateur, que ce soit en émission ou en réception... on retrouve donc ici tous les programmes (ftp, telnet, ssh, resolver...) ainsi que les daemons correspondants (ftpd, telnetd, sshd, dns...). Chaque application peut faire l'objet d'une démonstration détaillée...


• L'encapsulation : ou la communication entre couches.
Lorsqu'une couche transmet des données à une couche inférieure pour transmission, elle fournit en supplément des données de service (exemple : destinataire, expéditeur, longueur, protocole, etc) qui sont ajoutées par la couche inférieure en entête du bloc de données sans pour autant altérer le bloc de données à transmettre. La machine destinataire recevra toutes ces données (entête et données) et une fois dans la couche correspondante, l'entête sera retiré, analysé et les données transmises à la couche supérieur qui va bien en partie en fonction des informations contenues dans l'entête. Ce comportement sera répété à chaque couche que ce soit dans la machine émettrice ou dans la machine en réception.

• Note : il faut cependant noter que la présentation détaillée du fonctionnement de chaque couche, de chaque protocole, de chaque structure de donnée, des interfaces entre couches n'est pas l'objet de cette présentation : pour cela, reportez vous aux cours réseau donnés dans les locaux du CULTe, ainsi qu'aux RFCs correspondants qui décrivent tout ceci dans le détail (exemple RFC791 : IP protocol V4, RFC793 : TCP, etc).


3. Les protocoles de bas niveau :
L'essentiel de l'effort "créatif" va se porter sur la configuration de la couche IP. Pour comprendre tout ce qui va suivre, il est donc important de faire un petit rappel des constituants de cette couche IP : les protocoles IP, ICMP, ARP, RARP.


• IP : l'Internet Protocol. C'est le protocol responsable du routage, de l'adressage, de la fragmentation, de la reconstruction, de l'envoi et de la réception des données comme cela a été décrit un peu plus haut. C'est le protocole principal de la couche en question.


• ICMP : l'Internet Control Message Protocol. Il s'agit d'un protocole encapsulé par le protocole IP, permettant de analyser les problèmes de communication. Par exemple lorsqu'un paquet IP se perd : il ne peut pas errer indéfiniment de routeur en routeur quand la cible ne peut pas être atteinte, et a un temps de vie programmé et limité. Dans un routeur, un paquet IP qui meurt provoque l'émission d'un paquet IP contenant une trame ICMP prévenant la machine source, qui en déduit que la cible n'est pas accessible (unreachable). Ce protocole peut donc servir à tester la liaison vers une cible comme avec la commande ping et la commande traceroute, le protocole ICMP peut aussi servir à transmettre de nouvelles routes préférentielles pour l'envoi des paquets IP.


• ARP : l'Address Resolution Protocol. Ce protocole sert à la machine a gérer ses tables de correspondance entre l'adressage IP représenté par un nombre unique de 32bits affecté à chaque interface sur le réseau et les adresses physiques utilisées au niveau du matériel : dans notre exemple Ethernet, cette adresse est un nombre de 40bits comportant des informations concernant le constructeurs de la carte d'interface, son type, son numéro de série... Si le réseau IP tournait sur une interface série RS485 l'adresse physique pourrait n'être que de 8bits de long.
  
  
  Quand le protocole IP a besoin de connaître le numéro d'adresse physique avant de transmettre ses paquets IP à la couche "physique" (qui ne sait pas gérer les adresses IP), il va falloir piocher cette adresse dans la table de résolution d'adresse. Si la correspondance n'existe pas, le protocole IP va alors réveiller le protocole ARP qui va créer un paquet IP contenant une demande d'adresse "qui connaît l'adresse physique de telle machine ayant telle adresse IP ?" qui va être envoyé en mode de diffusion (tous destinataires) sur le réseau. La machine connaissant cette adresse physique va répondre en créant une trame de réponse ARP correspondante. La table de correspondance va être mise à jour et le protocole IP va pouvoir reprendre son travail en transmettant son paquet IP avec l'adresse physique du destinataire à la couche physique.
  
  
  A noter toutefois : pour certains types d'interfaces, il n'y a pas de protocole ARP associé ; les tables de correspondance doivent être construite avec des commandes spécifiques.


• RARP : le Reverse ARP. Ce protocole sert essentiellement aux machines qui démarrent sans disque et donc ne connaissent pas leur adresse IP ou n'ont pas d'O.S. pouvant gérer ce cas. La seule adresse disponible est l'adresse physique qui est liée à l'interface réseau. Avec le protocole RARP, la machine sera en mesure de demander sur le réseau l'adresse IP correspondant à son adresse physique. Ce protocole ne sera pas utilisé pour le cas qui nous concerne.


4. Adressage IP.


Le décors et les protagonistes ayant été présentés, il reste donc à commencer la préparation de notre réseau. Connaissant le pays, maintenant il est plus que temps d'en établir la carte et de considérer ce qu'est l'adressage IP, ses principes, et d'appliquer tout cela à l'élaboration d'un plan d'adressage.


• les RFCs : Le principal RFC reste le RFC950 Internet Standard Subnetting Procedure qui décrit en long et en large les méthodes à suivre pour numéroter un réseau public ou privé. tout ce qui va suivre ici n'est qu'une re-expression de ce RFC.


• IPv4 et IPv6. Le protocole IP subit de lentes mais certaines évolutions. La principale évolution concerne le passage de sa version 4 à sa version 6, qui est principalement due au peu d'adresses libres actuellement en version 4 qui numérote les adresses sur seulement 32bits. Pour le monde entier, cela fait maintenant un peut petit, sans compter les nouveaux besoins de gestion du réseau. Cependant IPv6 est encore peu répandu localement et presque tout le monde travaille toujours en IPv4. Pour plus de détail sur les nouveautés introduites par IPv6, reportez vous aux RFCs correspondant.


• Les classes d'adresses. Les adresses IP disponibles sont divisées en 5 groupes différents nommés classes A, B, C, D, et E. Les trois premières classes sont destinées à l'adressage individuel de machines. La classe D est réservée aux diffusion de groupes. Il en sera fait quasiment aucun usage sur un réseau local. tandis que la classe E est tout simplement réservée.
  
  
  L'usage veut que les adresses soient écrites en notation décimale pointée sous la forme WWW.XXX.YYY.ZZZ où chaque tri-lettre représente 8 bits de l'adresse. Par contre il est aussi possible d'écrire l'adresse en octal (représentation favorite des nombres sur certaines des machines ou IP a été inventé) ou en hexadécimal (forme 0xYYYYYYYY). Dans la notation pointée, le poids faible est du coté de ZZZ. L'appartenance à une classe est identifiée par l'octet de poids fort :
  
  
  • La classe A aura un octet de poids fort allant de 1 à 126 (bit de poids fort à 0),
  • la classe B aura son octet de poids fort dans l'interval 128 à 192 (bits de poids forts à 10),
  • la classe C verra son octet de poids fort varier de 192 à 223 (bits de poids forts à 110),
  • la classe D aura des adresses dont l'octet de poids fort variera de 22 à 239 (bits de poids forts à 1110)
  • la classe E aura son octet de poids fort variant de 240 à 247 (bits de poids fort à 1111),


• Découpage des adresses IPv4. Les classes D et E ne présentant pas de découpage d'adresse supplémentaire et ne servant pas dans le cas d'un réseau local classique, elle ne seront pas détaillées : La classe D n'étant qu'une seule adresse de diffusion de groupe et la classe E ne devant pas du tout être utilisé. Les classes A, B et C par contre introduisent une notion supplémentaire qui est celle de l'adressage réseau et l'adressage machine dans un réseau qui justifie l'existence de 3 classes au lieu d'une seule.
  
  
  Le besoin est venu du principe d'allocation des adresses sur internet : il est plus simple de demander une adresse de réseau comportant un lot d'adresses librement affectables que de demander une adresse par machine connectée. On différencie alors l'adresse de réseau de l'adressage machine. La différence entre les trois classes provient du nombre d'adresses libres laissées pour chaque affectation d'adresse de réseau.
  
  
  • La classe A permet d'adresser 126 réseaux ayant chacun 256*256*256 adresses locales : l'octet de poids fort est fixe et les trois autres octets sont librement affectables par la personne qui a reçu une adresse de réseau dans cette classe. Cependant seules les adresses locales ayant tous leurs bits à 1 (notation décimale pointée : 255) ou tous leurs bits à 0 sont réservées pour un usage précis.
  • La classe B permet d'adresser 64*256 réseaux (2 bits désignent la classe et 14 bits désignent le réseau) comportant chacun 256*256 machines sauf bien sur les adresses de machines ayant tous leurs bits à 1 ou à 0.
  • La classe C permet d'adresser 32*256*256 réseaux (3 bits désignent la classe et 21 bits désignent le réseau) comportant 256 machines (8 bits désignent la machines). Et bien sur les adresses machines ayant tous leurs bits à 1 ou 0 sont réservées à un usage précis.
  
  
  C'est avec ces notions de classes d'adresses, d'adresse de réseau et d'adresse de machine qu'ont été distribuées les adresses sur internet. Pour le formaliser, le concept de masque de réseau a été "utilisé". En fait chaque machine ne connaît que son adresse IP propre sur 32bits et il est possible d'envoyer des données à tout un réseau : il faut donc que la machine puisse connaître son adresse de réseau pour répondre à ces envois. Le masque de réseau est en fait une adresse où se suit une série de 1 binaires puis de 0 binaires. Les 1 représentent les bits à conserver dans l'adresse IP et les 0 les bits à négliger. Une adresse de classe A aura donc un masque réseau de la forme 255.0.0.0, une adresse de classe B aura un masque de réseau de la forme 255.255.0.0 et une adresse de classe C aura un masque de la forme 255.255.255.0. L'opération qui permet de déduire une adresse de réseau d'une adresse et d'un masque de réseau n'est qu'un simple ET binaire.

  Il faut donc retenir que pour planifier un réseau, il faut connaître l'adresse du réseau, le masque du réseau et l'adresse complète de la machine. Connaissant l'adresse de la machine, connaître l'un des deux autres paramètres permet de déduire le dernier paramètre. Dans la pratique chaque machine devra connaître son adresse et son masque de réseau.



• Les valeurs d'adresse spéciales. Les plus observateurs ont pu noter que la classe A ne comprend pas d'adresse 127 : ceci est du au fait qu'il s'agit d'un nombre réservé pour désigner l'auto-adressage. Ceci permet de s'envoyer des données de façon interne à une machine sans aller encombrer le réseau, simplement en s'adressant à une machine nommée 127.xxx.xxx.xxx. Chaque machine doit absolument avoir une adresse de ce type déclarée dans ses tables.
  
  
  L'adresse où tous les bits sont à zéro est réservée aux machines ne connaissant pas leur propre adresse et ayant besoin d'accéder au réseau. Voir le protocole RARP.
  
  
  L'adresse où tous les bits correspondant à l'adressage machine sont à 1 comme par exemple 3.255.255.255 sert à adresser toutes les machines du réseau en question (ici le réseau d'adresse 3 en classe A). Cette adresse est appelée adresse de diffusion ou BROADCAST en anglais. C'est une donnée à retenir pour planifier un réseau : toutes les machines d'un même réseau doivent avoir une adresse de BROADCAST identique.
  
  
• Adresses autorisées en public et en privé. Tant que le réseau n'est pas connecté au réseau public (internet) directement où indirectement, il n'y a aucune contrainte sur la sélection des adresses de réseau, de classe et de machine.
  
  
  Par contre dès que le réseau sera relié au réseau public, seules quelques adresses devront être utilisées et sont explicitement décrites dans le RFC. Si des machines ayant ces adresses, même par hasard, parviennent à sortir de votre réseau local via la machine connectée à l'extérieur, elles verront automatiquement leurs paquets IP refusés par le premier routeur qui passe par là. Ces adresses sont dites adresses non routables. De cette façon le réseau public sera protégé d'un double adressage malencontreux.
  
  
  • En classe A, il n'y a qu'un seul réseau possible : le 10.0.0.0,
  • En classe B, il n'y a que 15 réseaux possibles de 172.16.0.0 à 172.31.0.0,
  • En classe C, il n'y a que 255 réseaux possibles de 192.168.0.0 à 192.168.255.0.
  
  
  Pour se connecter au réseau public, un réseau n'utilisant pas ces adresses de réseau, il faudra alors soit demander des adresses publiques et changer toutes les adresses sur le réseau local. Ce qui peut coûter cher ! Soit utiliser un routeur effectuant une transformation des adresses du réseau vers son ou ses adresses publiques.


• Les sous-réseaux. Pour des raisons parfois techniques et même parfois politiques et diplomatiques, il ne faut utiliser qu'une seule adresse réseau mais séparer physiquement les machines les unes des autres par un routeur comme si il y avait plusieurs réseaux différents communicant par un routeur. C'est ici qu'appairait l'idée du sous-réseau pour permettre de partager les adresses allouées à un réseau dans une classe A, B ou C. Il suffit pour cela de réserver quelques bits de poids fort dans l'adresse de machine et de les attribuer à l'adressage de sous-réseau. La seule différence notoire dans les données nécessaires à la configuration de chaque machine, sera l'augmentation du nombre de bits à 1 du masque de réseau. Il faudra juste veiller lors de l'installation à ce que des machines sur le même sous-réseau aient physiquement le même numéro de sous-réseau.
  
  
  Par exemple pour séparer le réseau 192.168.1.0, comportant 254 machines possibles, et ayant le masque de réseau 255.255.255.0, en deux sous-réseaux de 125 machines reliés par un routeur : il faut créer un sous-réseau 0 et un sous-réseau 128 en affectant le bit de poids fort de l'ancienne adresse de machine à l'adresse de sous-réseau. En cas de problème : représenter l'adresse en 32bits en binaire et faire les sélections de bits et les conversion qui s'imposent. Au final, on aura des machines numérotées sur le mode 192.168.1.x ou x va de 1 à 126 et des machines numérotées sur le mode 192.168.1.y avec y allant de 129 à 254. Les deux séries de machines ont alors 255.255.255.128 comme masque de réseau. L'application du ET binaire entre l'adresse complète et le masque de réseau, donne bien deux adresses de réseau différentes. Il est a noter que l'adresse de diffusion se dédouble en deux adresses : une pour chaque réseau.


• Le plan d'adressage. C'est donc à partir d'ici que commence vraiment le travail de configuration du réseau local : sur le papier ! Il faut commencer à recenser toutes les machines à connecter, leur disposition géographique, le type d'application et donc le trafic qu'elles vont provoquer, ainsi que les échanges prévus entres machines. Ceci afin de ne pas jeter en vrac les machines les unes avec les autres.
  
  
  Pour un réseau simple et peu chargé, le modèle linéaire peut très bien suffire : tout le monde est connecté physiquement sur le même brin Ethernet. Une adresse par machine, un masque réseau et une adresse de BROADCAST uniques pour tout le monde, et le tour est joué.
  
  
  Ensuite peut venir le cas ou plusieurs réseaux sont nécessaires ! Un des fléaux d'Ethernet reste les collisions. Si la charge du réseau simple augmente beaucoup : le nombre de collisions va augmenter, le débit va chuter et dans le pire des cas le réseau va fonctionner par à-coups. La solution est alors de répartir les machines en plusieurs groupes avec de préférence les machines qui communiquent entre elles un peu groupées, et de relier ces groupes par un routeur, dont le grand but dans la vie est de relier des réseaux physiquement séparés, et de fonctionner comme un centre de tri postal. Ce qui va permettre la contention des collision dans des zones précises, et va repartir la charge d'un gros réseau sur plusieurs petits réseaux. Ici il va falloir utiliser deux adresses de réseaux de préférence de même classe ce qui permet d'utiliser le même masque de réseau partout
  
  
  L'objection usuelle de nos jours, reste que les switches Ethernet sont abordables et peuvent très bien remplacer les hubs dans le cas du réseau simple. C'est une solution possible, mais... (il y a un "mais") il faut savoir qu'un switch Ethernet qui sature et qui s'effondre se comporte en hub et repends donc les collisions partout !!! Les switches vendus chez pas-cher ont mine de rien, parfois, une capacité faible. Et comme ils ne sont pas chers et que théoriquement un switch ne collisionne pas : il n'y a pas d'indicateur de collision sur le boitier... on ne voit donc pas son dépassement de capacité. Amateurs de clusters pas cher méfiez vous ! :-)
  
  
  Un cas domestique classique, reste la connexion internet commune à toute la famille... et des enfants qui jouent en réseau au dernier jeu de la mort-qui-tue-avec-plein-de-flaques-rouges-à-l'écran... et qui mine de rien mettent le réseau à mal, ce qui fait que les ISOs de la dernière Mandrake mettent environ 15 jours à arriver au complet... Le streaming des OGG ne se fait plus... etc. La solution : mettre les petits derrière un routeur...
  
  
  Le cas diplomatique classique : des machines administrées par plusieurs personnes.La aussi l'usage d'un routeur se profile... chacun son réseau et le routeur pour l'administrateur central...
  
  
  Reste ensuite le cas où une seule adresse réseau est disponible ou que les sous-réseaux font parti d'une politique locale : il n'y a plus qu'à appliquer le principe des sous-réseau et d'en définir les paramètres associés.
  
  
  Et il faut savoir que n'importe quelle vieille machine sous Linux même avec très peu de ressources fait un très bon petit routeur en ajoutant simplement des cartes réseaux. L'autre avantage des petites machines restent le silence et la fiabilité, car les processeurs ne demandent pas de ventilation... L'option routeur sous Linux n'est pas obligatoirement un mauvais calcul économique.
  
  
  Il est donc possible de conclure sur le fait que quatre types de réseaux sont à notre portée ! Il y a d'abord le réseau local linéaire simple où toutes les machines sont disposées sur le même câble coaxial, ou sur le même hub, ou sur le même switch. C'est le réseau des cas simples où tous partagent le même réseau IP. Ensuite, il y a le réseau local comprenant plusieurs réseaux IP séparés physiquement par un routeur, ce qui permet entre autres de répartir la charge du réseau sur plusieurs groupes de machines. Et il y a le réseau local, lui même constitué d'un seul réseau IP et découpé physiquement en plusieurs sous-réseaux IP reliés par un routeur. Le dernier type de réseau local est simplement une jonction par un routeur de plusieurs réseaux IP dont certains sont eux même divisés en sous-réseaux IP. Le choix de la structure a adopter dépendra à chaque fois des "conditions de vie locales". Il n'y a pas de règles fixes.
  Maintenant que la topographie du réseau local est choisi et que les paramètres de chaque machine sont connus et décidés, il n'y a plus qu'à appliquer cela sur les machines du réseau.


5. Configuration de la couche IP d'une machines


Il n'y a en fait qu'une seule commande à connaître sous UNIX pour configurer une interface réseau dans la couche IP : ifconfig. Cette commande est usuellement utilisée sous quatre formes :


• ifconfig I/F : cette commande donne la configuration de toutes les interfaces IP actives sur la machines quand le paramètre I/F est omis ou d'une interface précise si le paramètre I/F est indiqué avec un nom d'interface valide comme "eth0" par exemple.


• ifconfig I/F IPADR netmask IPMASQ broadcast IPDIFF, où I/F est le nom de l'interface, sous Linux ethx (x est un nombre...) pour une interface ethernet et lo pour l'interface de bouclage, IPADR est l'adresse IP attribuée à l'interface, IPMASQ est le masque de réseau/sous-réseau et IPDIFF est l'adresse de broadcast de l'interface. Cette commande va configurer une interface et commencer à remplir les différentes tables internes de la machine. On retrouve ici les paramètres qui ont étés définis comme importants auparavant.


• ifconfig I/F down, où I/F est le nom de l'interface. par exemple eth0. Cette commande va fermer l'interface correspondante au niveau IP. Le matériel et le pilote associé vont continuer à travailler sans que la couche IP ne collecte ou n'envoie d'information à la couche physique, et sans pour autant avoir effacé la configuration de l'interface au niveau IP
.

• ifconfig I/F up, c'est la commande effectuant l'ouverture de l'interface I/F au niveau IP en utilisant la configuration déjà effectuée.
D'autres options existent bien sûr mais pour une configuration simple, les trois formes données ici effectuent tout le travail. Pour de plus amples renseignements se reporter à la commande man ifconfig. Les options supplémentaires seront ajoutées au fil de la présentation lorsque cela sera nécessaire.


Sur une machine connectée à un réseau IP, il faut toujours créer l'interface de bouclage par la commande ifconfig avec lo comme interface, 255.0.0.0 comme masque réseau et 127.0.0.1 comme adresse réseau. Si besoin plusieurs interface de bouclage peuvent être crées pour des besoins précis.


L'usage des options arp, -arp peut être intéressant pour sécuriser un réseau : l'option -arp permet d'interdire à la fois l'usage du protocole ARP par la couche IP mais aussi d'interdire les réponses à une requête ARP. La commande arp, valide par défaut à l'usage de la commande ifconfig, permet l'activation du protocole ARP. Une machine ne connaissant pas auparavant l'adresse physique d'une autre machine précise sur le réseau ne pourra communiquer avec celle-ci. La machine où le protocole ARP aura été inhibé ne pourra d'ailleurs pas non plus communiquer avec qui que se soit sur le réseau. Normalement le remplissage de la table de correspondance entre les adresses IP et les adresses physiques est fait automatiquement et son contenu a une durée de vie de quelque minutes mais est rafraîchi tant que le réseau est en activité. Il faut, quand le protocole ARP est inhibé, remplir la table de correspondance à la main ou via un fichier de configuration prédéfini ou seront présentées les adresses de toutes les machines avec lesquelles il va falloir communiquer. On utilise pour cela la commande ARP sous les formes suivantes :


• arp -n -a permet de lire la table actuelle,


• arp -d IPaddress permet d'effacer la correspondance d'adresse pour une machine présente dans la table,


• arp -s IPaddress ETHaddress temp/pub permet de fixer la correspondance d'adresse pour une machine. Si l'option temp est indiquée : cette correspondance sera temporaire et sera effacée sous quelques minutes. En son absence la correspondance sera fixe dans la table. Et si l'option pub est indiquée : la machine répondra à toute demande d'adresse ARP sur l'adresse physique donnée.


• arp -f fichier permet de fixer la table de correspondance pour un grand nombre de machine via l'usage d'un fichier de configuration. Chaque machine sera déclarée sur une ligne de la forme IPaddress ETHaddress temp/pub. Ce fichier est souvent le fichier /etc/ethers.


Comme toujours se reporter a man arp pour plus d'information. Il est a noter que si le resolver fonctionne, (ce qui permet de traduire des les adresses IP en nom de machines lisibles), les adresses IP peuvent être remplacées par le nom de la machine. Et dans le cas ou le resolver ne fonctionne pas, il faut ajouter l'option -n à la commande arp pour consulter la table et enlever cette option dans le cas contraire.


Avec ces deux commandes ifconfig et arp, la machine dispose d'une interface réseau IP sur ethernet. Il reste maintenant à s'assurer que les données que l'on y envoie sont bien envoyées la où il le faut, et qu'elle peuvent arriver à leur destinataire...


6. Le routage


Le routage concerne l'art et la manière de configurer un ensemble de machines pour faire transiter des information sur un réseau ou un ensemble de réseau et que les données arrivent à leurs destinataires respectifs. Là aussi plusieurs façon de faire sont possibles, mais avec une unique commande UNIX route. Et cette commande sans paramètre permet d'afficher de suite le contenu des table de routage de la machine. Comme pour la commande arp, il faut ajouter le paramètre -n : le resolver ne fonctionne pas encore ; nous ne l'avons pas encore configuré ! Plusieurs cas de routage sont à notre disposition et les principaux sont les suivants :


• Le routage direct "immédiat". Il est issu de la commande ifconfig et la commande route -n nous montre qu'après avoir configuré une interface, une route vers le réseau qui lui correspond est automatiquement créée. On peut noter le champ à 0 de l'adressage machine et le U qui indique que l'interface est UP donc fonctionnelle. A noter : certaines vieilles versions d'O.S. demande une configuration manuelle de cette route et nous retombons dans un cas cité plus loin.


• Le routage machine. Il s'agit ici de décrire le moyen d'accès pour chaque machine n'appartenant pas à notre propre réseau et avec laquelle il va falloir communiquer en indiquant explicitement par quel routeur passer.
  
  
  La configuration de la route vers une machine précise se fait par la commande route add -host IPhost gw IPrelais metric n qui va signifier de router toute connexion vers une machine à une adresse précise vers le routeur placé à l'adresse IPrelais, et qui relaie les transmissions d'un réseau sur l'autre.
  
  
  Le paramètre metric indique le coût de la transmission : plus la valeur est grande plus le coût est grand ou plus il y a de routeurs à traverser. Une valeur de 0 force une route précise. D'autres valeurs laissent d'éventuels daemons de routage choisir la route la plus optimisée. L'information metric est souvent à négliger dans les cas courants
  .
  
  Ceci dit : ce genre de configuration peut être très vite fastidieuse à réaliser surtout au niveau de routeurs qui doivent connaître toutes les routes possibles pour toutes les machines avec éventuellement plusieurs routeurs au milieu du parcours.
  
  
  La commande route -n affichera un H pour indiquer qu'il s'agit d'une route vers une machine précise.
  
  
  Il est a noter que le paramètre metric peut aussi être utilisé dans la configuration de la couche IP et permet à certains daemons de choisir une route en fonction du coût dans la transmission via telle ou telle interface si la machine dispose de plusieurs interfaces (par exemple une interface rapide et une interface lente de secours).
  
  
  Pour supprimer une route vers une machine la commande est simplement route del -host IPhost.


• Le routage réseau Pour palier, aux défauts de la méthode précédente, il existe le routage par réseau ou il va être indiqué qu'un réseau/sous-réseau complet est accessible via tel ou tel routeur appelle le plus souvent gateway. La commande associée est route add -net IPreseau netmask IPmasque gw IPrelai où IPreseau est l'adresse du réseau à atteindre IPmasque le masque réseau de celui-ci et IPrelai l'adresse du routeur.
  
  
  Une consultation de la table de routage par la commande route -n va afficher l'indicateur G a coté de l'indicateur U pour indiquer la présente d'une gateway pour tout un réseau.
  
  
  Avec une seule commande il est alors facile de remplacer un lot de commande d'adressage direct. Le paramètre metric peut aussi être configuré pour ce type de routage.
  
  
  Ici pour toute machine du réseau cible, la machine émettrice va remplir ses paquets IP avec l'adresse de la machine cible mais va donner l'adresse physique du routeur. Celui-ci va récupérer les trames ethernet qui lui sont destinées et en confier le contenu à sa couche IP qui lors du dépaquetage va constater que le paquet n'est pas pour lui et va renvoyer le paquet complet vers une de ses interface qu'il détermine avec sa propre table de routage, et en plaçant sa propre adresse physique comme source dans la nouvelle trame ethernet, et même chose au retour. Le routeur peut être configuré pour défragmenter les paquets IP car toutes les interfaces n'ont pas obligatoirement la même taille de paquets ! De cette façon les donnée arrivent toujours à bon port.
  
  
  La commande pour détruire une route de ce type est simplement route del -net IPreseau.
  
  
  Le paramètre metric peut aussi être configuré pour ce type de routage.


• configuration des routeurs La configuration la plus simple des routeurs reste la configuration par réseau où tout réseau est routé via une de ses multiples interfaces comme pour une simple machine mais ici toutes les routes possibles devront avoir été prise en compte. La solution du routage par réseau est beaucoup plus simple à ce niveau la déclaration de chaque interface du routeur par ifconfig créera la route gérant le réseau correspondant ; il suffira ensuite de router les réseaux distants en indiquant les gateways nécessaires. Le routeur ici commence à avoir un rôle très central.
  Il faut noter que l'IPFORWARDING doit avoir été configuré dans le noyau, via une variable du fichier /proc par la commande : echo "1" > /proc/sys/net/ipv4/ip_forward. l'envoi d'un "0" dans cette variable va inhiber la fonction et donc le routeur ne sera plus qu'une machine comme une autre sur les réseaux à qui il est connecté.
  
  
  Si cette variable n'est pas présente dans le fichier /proc c'est tout simplement que ce mode de fonctionnement a été interdit lors de la compilation du noyau. Il faut donc activer cette option et recompiler un nouveau noyau.


• Le routage avec redirection. Il s'agit ici d'un concept encore plus simple qui se résume en quelques mots : "tout ce dont je ne connais pas la route est à envoyer à un routeur qui se débrouillera pour faire le relais".
  
  
  La commande a utiliser ici fait appel à une route spéciale la route par défaut (default en anglais). Et la commande de configuration devient : route add default gw IPrelai avec IPrelai l'adresse du routeur sur le réseau local. La table de routage peut se résumer à deux commandes : la route crée par ifconfig et cette route par défaut.
  
  
  Il aussi possible de noter que certains routeurs sont capable d'émettre des commande ICMP de redirection de routage (ICMP redirect) modifiant dynamiquement les tables de routage si plusieurs réseaux sont empilés et que des routeurs créent des raccourcis. De cette façon le routeur par défaut est délesté d'une partie des transactions au profit d'un routeur plus optimisé pour des routes bien précises. Ces ajouts de routes sont fixes !!! Si une route est ajoutée, puis que le routeur correspondant vienne à tomber en panne : l'ancienne route par default ne sera pas réutilisée et donc un réseau peut donc être coupé du reste monde ! Je n'ai pas encore pu tester cette forme de routage mais les variables correspondantes sont positionnées dans le noyau : dans /proc/sys/net/ipv4/conf se trouve les répertoires de configuration de toutes les interfaces IP et il est possible d'accéder au variables accept_redirects, send_redirects et secure_redirect qui sont déjà positionnées à "1". Il n'y aurait pas à s'étonner dans certains cas que de nouvelles gateways soient crées dynamiquement dans les tables des machines à coté de la passerelle par défaut.
  
  
  Dans tout les cas, dans ce type de configuration, toute panne de routeur est "bloquante" et il faut soit remettre le routeur en marche soit modifier les tables de routage de chaque machine pour utiliser un autre routeur.
  
  
  Nous avons déjà entrevu la commande pour supprimer une route précise, la commande correspondante pour supprimer la route par défaut est simplement route del default.


• Configuration du routeur pour le routage par redirection. Il n'y pas de changement pour les routeurs : ce sont les seules machines a devoir ne pas utiliser de routes par défaut sauf pour le cas ou un réseau n'y est pas connecté ; auquel cas, il peut être simple d'envoyer les demandes de communications n'aboutissant pas ici vers un autre routeur comme cela est fait sur internet.


• Le routage par procuration. Il s'agit en fait d'un concept très simple faisant fureur chez les présidents d'association loi 1901... Le principe est le suivant "Me fait pas ch**r, y'en a marre de ce truc là : je balance tout sur le réseau, débrouillez vous pour que ca passe", aussi appelé familièrement proxy-arp : le routage va se faire sur l'adresse physique et non plus sur l'adresse IP. La commande associée est la suivante : route add default dev ethx où ethx est le nom de l'interface.
  
  
  Lorsqu'un accès à une machine va être nécessaire, la machine locale va effectuer une requête ARP pour connaître l'adresse physique de la machine cible. Sur le réseau en question toutes les machines présentes vont pouvoir répondre pour ce qui les concerne tandis qu'un routeur aura son protocole ARP modifié pour s'approprier les requêtes ARP restantes. La machine source verra donc en réponse soit l'adresse physique du routeur soit l'adresse physique d'une machine sur son propre réseau. Dans le cas d'un accès vers un autre réseau, les paquets IP seront dirigés vers le routeur, qui lors de leur inspection va découvrir une adresse IP ne le concernant pas et va transmettre la communication sur une autre interface choisie d'après ses propres tables de routage.
  
  
  Le principal défaut reste un principe un peu bizarre et dépendant d'un réseau physique répondant à un protocole ARP. Les avantages résident dans une seule configuration pour tout le monde, ne dépendant d'aucune configuration routeur par default, et surtout insensible à la panne d'un seul routeur.
  
  
• Configuration du routeur pour le routage par procuration. Sur une machine Linux, il n'y a qu'une seule commande à activer le mode prxy_arp : echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp dans le répertoire all pour affecter toutes les interfaces IP et donc fonctionner en proxy arp sur tous les réseaux connectés au routeur ou dans les répertoires correspondant à chaque interface pour une activation individuelle. Le routeur doit aussi embarquer des tables de routage plus classique...


• Les daemons de routage. Il faut signaler au passage l'existence de daemons de routage permettant de réaliser un routage dynamique au niveau des tables de routage correspondantes. Mais il s'agit d'un thème hors présentation car traitant de la couche applicative du réseau.


On a donc pu voir qu'un réseau simple ou un réseau plus complexe avec le routeur pouvait se faire relativement simplement sous Linux à l'aide des commandes de base d'UNIX. Arrivé à ce point si aucune erreur de configuration n'a été fait il est possible de considérer que le réseau fonctionne dans son aspect le plus rustique. Il reste maintenant à vérifier son fonctionnement et à se donner un peu de confort en configurant les couches supérieures du réseau.


On peut noter qu'un routeur ne demande qu'à se voir ajouter une fonction de NAT/masquerading pour cacher un ou plusieurs réseaux complets derrière une seule machine (cas d'un accès internet unique pour plusieurs machines), qui peut aussi embarquer un firewall de façon à protéger tous ces réseaux d'une intrusion.


7. Vérifier le fonctionnement de son petit réseau.


Pour contrôler le fonctionnement basique d'un réseau, il existe classiquement trois commandes ping, traceroute et netstat.


Les deux premières reposent sur le protocole ICMP et permettent de vérifier l'accessibilité d'une machine ou d'un routeur, ainsi que la bonne traversée des routeurs. Ces deux commandes acceptent l'adresse IP de la machine cible ou le nom de cette machine si le resolver fonctionne.


La commande ping donne le temps de transmission d'un aller-retour : quelques millisecondes pour de l'ethernet, sous 40ms pour du RNIS et quelques minutes pour la radio...


La commande traceroute, elle, va afficher l'adresse de toutes les machines traversées avec les temps correspondants.


Ces deux commandes permettent de vérifier si les différentes machines sont accessibles et si les routeurs sont "traversables". En cas de problème, il faut toujours penser à vérifier qu'une machine est bien accessible via le routage, mais aussi vérifier que la route dans le sens inverse est valide et que la cible peut répondre.


Il est a noter que "pinger" et "tracerouter" en continu des machines sur internet est parfois considéré comme un acte "aggressif"... attention ou vous mettez les pattes.


La dernière commande netstat va vous permettre de consulter toutes les tables interne concernant le réseau IP et ce pour toutes les couches. Il n'y a juste qu'à conseiller la lecture du résultat de man netstat pour en apprécier toutes les options.


Maintenant il est vraiment possible de considérer que le réseau fonctionne avec des machines Linux provenant de distributions raisonnables ou les fichiers de configuration de la couche UDP/TCP sont correctement installés car relativement immuables. La caisse à outil de base s'est un peu remplie et il reste donc à se donner un peut de confort dans la rusticité ambiante.


8. Les fichiers de configuration de la couche UDP/TCP et au delà.


Il s'agit en fait d'abord des fichiers /etc/services et /etc/protocols qui doivent être présents et qui pour /etc/protocols déclare les différents numéros de protocoles et qui pour /etc/services contient la déclaration de tous les services disponibles sur un réseau IP standard. Ces deux fichiers sont normalement identiques sur toutes les machines de toute la planète ! Sauf peut-être chez certains groupes très individualistes et pas très communiquatifs. Si ces fichiers vous manquent, vous pouvez soit les copier depuis une autre machine, soit les réécrire à partir des informations données par man protocols et man services et données par les RFC.


Une autre fonction à configurer dans le système IP d'une machine est le resolver qui a pour rôle de convertir les noms de machines humainement lisibles et mémorisables par les adresses IP correspondantes utilisables par le réseau IP. Le premier fichier pouvant être utile est le fichier /etc/hostname qui contient comme son nom l'indique le nom de la machine. Les deux fichiers suivants /etc/hosts et /etc/networks contiennent les tables de correspondance entre les noms de machines et leurs adresse IP, ainsi que la correspondance des adresses IP des réseaux et de leurs noms. Pour le format exact du contenu de ces fichiers : toujours se reporter à la commande man associée... ou aux RFCs ou au premier bon bouquin qui passe par là. Les ébauches de ces fichiers contenus dans les distributions courantes permettent d'en comprendre souvent la structure grâce aux commentaires qui y sont placés.


Deux fichiers permettent de régler le fonctionnement du resolver sans avoir à le recompiler à chaque changement : /etc/host.conf et /etc/nsswitch.conf. host.conf à une structure relativement bien fixée pour les besoins courants et indique de, d'abord, chercher dans le fichier /etc/hosts, puis de chercher via un serveur externe (un DNS) dont l'adresse sera indiquée dans le fichier /etc/resolv.conf avec la mention nameserver IPDNS ou IPDNS est l'adresse IP du serveur de nom externe. Sa documentation exacte est consultable par la commande man resolv.conf. Le fichier /etc/nsswitch.conf a le même rôle que /etc/host.conf et est apparu avec la dernière librairie C de Linux contenant le code du resolver en lui même. Sa documentation est consultable par la commande `info libc "Name Service Switch".


Il y aune dernière couche affectée à la sécurité des accès réseau qu'il faut surveiller si rien ne marche au niveau applications : le noyau peut interdire ou laisser passer des communications via le réseau en fonction des informations contenues dans les fichiers /etc/hosts.allow et /etc/hosts.deny dont la documentation est disponible via la commande man hosts_acces. Ces deux fichiers permettent ou interdisent explicitement ou non l'accès à certains services par certaines machines, certains réseaux, etc. Si les fichiers sont vide, aucun blocage n'aura lieu.Mais dans ce cas là, toute requête réseau même étrangère (cas d'une machine ou d'un réseau connecté à internet) sera acceptée !


Il reste ensuite à lancer les applications liées au réseau ou aux clients, les daemons réseau fournissant en continu les différents services voulus par l'utilisateur. Mais ceci est déjà un autre histoire.


Conclusion : on se sent déjà mieux... la base du réseau fonctionne et devrait maintenant permettre de faire tourner les applications nécessaire à l'utilisateur.


9. Petit exercice La configuration d'un réseau avec sous-réseau et routeur
   Ou "Petit conte de fée dans une ferme collective sibérienne"
   
   
   Il s'agit simplement d'aider la famille ours vivant en Sibérie dans une ferme collective, à installer le réseau familial ! La direction de la ferme leur fait prendre l'adresse réseau de classe C 192.168.55.0 et l'accès vers le reste de la ferme se fait par une machine à l'adresse 192.168.0.1. Il faut savoir que papa ours utilise un cluster de 6 machines pour calculer la probabilité qu'a une tartine de miel de finir sur la mauvaise face lors d'une chute, que maman ours écrit un livre sur la tartine de miel à travers les âges et donc a un serveur documentaire et une station de travail, et que les oursons jouent à "cake 24 : scratch the bee" en réseau. Et tous se doivent d'accéder au réseau de la ferme collective.
   
   
   Bien sur, il y a le traditionnel invité, qui après avoir essayé le cluster de papa ours (trop dur !), la station de travail de maman ours (trop colorée !), et les machines des oursons (trop stressantes !), décide qu'il va utiliser son portable... Je tiens à vous rassurer ce n'est pas Boucle d'or(tm-Perrault) partie négocier un contrat pour un dessin animé... mais un personnage nommé Le Prez'(tm-Le CULTe) qui ne se posant pas de question envoie tout sur son interface réseau sans aucune autre considération de routage et qui se déplace souvent en bande dont les membres sont souvent aussi équipés de portables.
   
   
   Il faut savoir que si tous sont sur le même brin ethernet, le cluster de papa ours est bloqué par la saturation du réseau, que maman ours hurle parce qu'elle doit attendre pour visualiser ses références iconographiques, et que pour les oursons il est impensable qu'une abeille vole de façon saccadée. L'usage de switches ethernet efficace n'est pas possible pour la famille ours car trop chers et d'approvisionnement trop difficile...
   
   
   A vous de trouver une solution et de faire le plan d'adressage et d'écrire les scripts de configuration pour chaque machine. Note : toute la famille en tant que fermiers progressistes convaincus utilise Linux : mais il n'y a aucune obligation de répondre en utilisant l'alphabet cyrillique.

That's all folks !