Professional Documents
Culture Documents
7
Guide de Gestion des rseaux
Mirek Jahoda
Red Hat Customer Content Services
mjahoda@redhat.com
Jana Heves
Red Hat Customer Content Services
Stephen Wadeley
Red Hat Customer Content Services
Christian Huffman
Red Hat Customer Content Services
Notice lgale
Copyright 20102016 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0
Unported License. If you distribute this document, or a modified version of it, you must provide
attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat
trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert,
Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity
logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other
countries.
Linux is the registered trademark of Linus Torvalds in the United States and other countries.
XFS is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States
and/or other countries.
MySQL is a registered trademark of MySQL AB in the United States, the European Union and
other countries.
Node.js is an official trademark of Joyent. Red Hat Software Collections is not formally related to
or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack Word Mark and OpenStack logo are either registered trademarks/service marks
or trademarks/service marks of the OpenStack Foundation, in the United States and other countries
and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or
sponsored by the OpenStack Foundation, or the OpenStack community.
Rsum
Le Guide de Gestion des rseaux de Red Hat Enterprise Linux 7 procure des informations
importantes de configuration et d'administration des interfaces rseau, des rseaux et des services
de rseau de Red Hat Enterprise Linux 7. Il s'adresse aux administrateurs de systmes possdant
une comprhension de base de Linux et de la gestion des rseaux. Cet ouvrage est bas sur le
Guide de Dploiement de Red Hat Enterprise Linux 6. Les chapitres relatifs au rseautage sont
extraits du Guide de dveloppement et forment la base de cet ouvrage.
Table des matires
.Chapitre
. . . . . . . 1.
. . Introduction
. . . . . . . . . . . . .Red
. . . .Hat
. . . Enterprise
. . . . . . . . . .Linux
. . . . .Networking
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5. . . . . . . . . .
1.1. Structure de l'ouvrage 5
1.2. Rseaux IP versus Rseaux non-IP 5
1.3. Introduction au NetworkManager 5
1.4. Installation du NetworkManager 6
1.5. Configuration rseau utilisant une interface utilisateur texte (nmtui) 7
1.6. Configuration de rseau avec l'interface CLI (nmcli) du NetworkManager 8
1.7. Configuration rseau par Interface en ligne de commandes (CLI) 8
1.8. NetworkManager et les Scripts rseau 9
1.9. Configuration de rseau par les fichiers sysconfig 10
1.10. Ressources supplmentaires 12
.Chapitre
. . . . . . . 2.
. . Configurer
. . . . . . . . . .la
. .Gestion
. . . . . . . des
. . . .rseaux
. . . . . . . IP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
...........
2.1. Paramtres d'interface statique et dynamique 13
2.2. Configurer l'interface d'utilisateur texte, nmtui 14
2.3. Utiliser l'outil de ligne de commandes du NetworkManager, nmcli 14
2.4. Utilisation de l'interface en ligne de commandes (CLI) 25
2.5. Utiliser le NetworkManager avec l'interface graphique GNOME 31
2.6. Ressources supplmentaires 55
.Chapitre
. . . . . . . 3.
. . Confiuguration
. . . . . . . . . . . . . .de
. . noms
. . . . . .d'htes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
...........
3.1. Comprendre les noms d'htes 56
3.2. Configurer des noms d'htes par l'interface d'utilisateur texte, nmtui 56
3.3. Configurer des noms d'htes par hostnamectl 57
3.4. Configurer des noms d'htes par nmcli 58
3.5. Ressources supplmentaires 59
.Chapitre
. . . . . . . 4.
. . Configurer
. . . . . . . . . .Network
. . . . . . . .Bonding
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
...........
4.1. Comprendre les comportements par dfaut des interfaces Matres et Esclaves 60
4.2. Configurer Network Bonding par l'interface texte utilisateur, nmtui 60
4.3. Utiliser l'outil de ligne de commandes du NetworkManager, nmcli 65
4.4. Utilisation de l'interface en ligne de commandes (CLI) 66
4.5. Utiliser une liaison de canal 69
4.6. Crer une connexion de liaison par l'interface graphique (GUI). 77
4.7. Ressources supplmentaires 83
.Chapitre
. . . . . . . 5.
. . Configuration
. . . . . . . . . . . . .de
. . Network
. . . . . . . .Teaming
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
...........
5.1. Qu'est-ce que Network Teamning ? 84
5.2. Comprendre les comportements par dfaut des interfaces Matres et Esclaves 84
5.3. Comparaison entre le regroupement et la liaison de rseaux (Teaming versus Bonding) 85
5.4. Comprendre le dmon de Network Teaming et les "Runners" 86
5.5. Installation du dmon de Network Teaming 87
5.6. Convertir une Liaison (Bond) en Groupement (Team) 87
5.7. Slectionner les interfaces utiliser comme ports pour un Network Team 88
5.8. Slection des mthodes de configuration de Network Team 88
5.9. Configurer Network Team par l'interface texte utilisateur, nmtui 89
5.10. Configurez un Network Team en ligne de commandes 93
5.11. Contrle de teamd avec teamdctl 101
5.12. Configurez les runners de teamd 103
5.13. Crer un Network Team par l'interface graphique (GUI) 110
5.14. Ressources supplmentaires 114
1
Guide de Gestion des rseaux
.Chapitre
. . . . . . . 6.
. . Configurez
. . . . . . . . . . les
. . . pontages
. . . . . . . . .de
. . rseau
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
............
6.1. Configurer le pontage par l'interface texte utilisateur, nmtui 116
6.2. Utiliser l'outil de ligne de commandes du NetworkManager, nmcli 119
6.3. Utilisation de l'interface en ligne de commandes (CLI) 121
6.4. Configurer le pontage de rseau par l'interface en ligne de commandes (GUI) 125
6.5. Ressources supplmentaires 130
. . . . . . . . 7.
Chapitre . . Configuration
. . . . . . . . . . . . .du
. . balisage
. . . . . . . . d'un
. . . . rseau
. . . . . . .virtuel
. . . . . .VLAN
. . . . .802.1Q
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131
............
7.1. Slection des mthodes de configuration d'interface 131
7.2. Configurer le balisage 802.1Q VLAN l'aide de l'interface utilisateur texte, nmtui 131
7.3. Pour configurer le balisage 802.1Q VLAN l'aide de l'outil de ligne de commandes, nmcli 133
7.4. Pour configurer le balisage du rseau VLAN 802.1Q l'aide de l'outil de ligne de commandes 136
7.5. Pour configurer le balisage du rseau VLAN 802.1Q l'aide de l'interface graphique 138
7.6. Ressources supplmentaires 140
.Chapitre
. . . . . . . 8.
. . Nommage
. . . . . . . . . .de
. . priphriques
. . . . . . . . . . . . .rseaux
. . . . . . .consistante
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
............
8.1. Schma de dnomination 142
8.2. Comprendre la procdure d'affectation de noms aux priphriques 142
8.3. Comprendre le nommage de priphrique d'interface de rseau prdictible 143
8.4. Schma de dnomination pour les priphriques rseau de Linux sur Systme z 144
8.5. Schma de dnomination pour les interfaces VLAN 144
8.6. Nommage de priphriques rseaux consistante avec biosdevname 145
8.7. Notes pour les administrateurs 146
8.8. Contrle de la slection de noms de priphriques rseau 146
8.9. Dsactiver le nommage de priphriques rseaux consistant 146
8.10. Rsolution de problmes pour le nommage de priphriques rseaux 147
8.11. Ressources supplmentaires 148
. . . . . .II.
Partie . .InfiniBand
. . . . . . . . . et
. . RDMA
. . . . . . Networking
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
............
.Chapitre
. . . . . . . 9.
. . Configuration
. . . . . . . . . . . . .d'InfiniBand
. . . . . . . . . . et
. . .des
. . . Rseaux
. . . . . . . . RDMA
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
............
9.1. Comprendre les technologies InfiniBand et RDMA 151
9.2. Paquets de logiciels relatifs InfiniBand et RDMA 152
9.3. Configurer le sous-systme RDMA de base 153
9.4. Configurer le gestionnaire des sous-rseaux 155
9.5. Testing d'anciennes oprations RDMA InfiniBand 157
9.6. Configuration d'IPoIB 160
9.7. Configurer InfiniBand par l'interface texte utilisateur, nmtui 162
9.8. Configurer IPoIB par l'outils de ligne de commandes, nmcli 164
9.9. Configurez IPoIB par interface en ligne de commandes 165
9.10. Test d'un rseau RDMA une fois qu'IPoIB est configur. 167
9.11. Configurez IPoIB par interface graphique (GUI) 167
9.12. Ressources supplmentaires 169
. . . . . .III.
Partie . . .Serveurs
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
............
. . . . . . . . 10.
Chapitre . . . Serveurs
. . . . . . . . .DHCP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172
............
10.1. Pourquoi utiliser DHCP ? 172
10.2. Configuration d'un serveur DHCP 172
10.3. Agent de relais DHCP 179
10.4. Configuration d'un serveur DHCP Multi-htes 180
10.5. DHCP pour IPv6 (DHCPv6) 183
10.6. Ressources supplmentaires 184
. . . . . . . . 11.
Chapitre . . . Les
. . . .serveurs
. . . . . . . .DNS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
............
2
Table des matires
.Chapitre
. . . . . . . 11.
. . . Les
. . . .serveurs
. . . . . . . .DNS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
............
11.1. Introduction DNS 185
11.2. BIND 186
. . . . . . . . 12.
Chapitre . . . Squid
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
............
12.1. Introduction Squid 213
12.2. Installation et excution de Squid 213
12.3. Configuration Squid 214
12.4. Authentification Squid 219
12.5. Utiliser Squid pour un accs limit 223
12.6. Ressources supplmentaires : documentation installe 225
.Annexe
. . . . . . .A.. .Historique
. . . . . . . . . de
. . .rvision
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
............
A.1. Remerciements 226
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
Index ............
3
Guide de Gestion des rseaux
Partie I. IP Networking
Cette partie dcrit comment configurer le rseau sur Red Hat Enterprise Linux.
4
Chapitre 1. Introduction Red Hat Enterprise Linux Networking
Toutes les nouveauts dans cet ouvrage ont t rdiges et organises clairement en sparant la partie
introductive comprenant les explications des concepts et les cas d'utilisation, des tches de configuration.
Red Hat Engineering Content Services espre que vous pourrez ainsi trouver rapidement les instructions de
configuration dont vous avez besoin, tout en continuant de fournir quelques explications pertinentes et du
matriel conceptuel qui puisse vous aider comprendre et dcider quelles sont les tches importantes en
fonction de vos besoins. Lorsque le matriel en provenance du guide Guide de dploiement de Red Hat
Enterprise Linux 6 a t rutilis , il aura t examin et modifi, si possible, pour s'adapter cette nouvelle
ide de sparer les concepts des tches.
Le matriel est regroup par objectifs plutt que par mthodes. Des instructions sur la faon de raliser une
tche spcifique l'aide de diffrentes mthodes sont regroupes entre elles. Ceci a pour but de vous
faciliter la tche en matire de recherche d'informations sur la faon de raliser une tche particulire ou un
objectif, tout en vous permettant de voir rapidement les diffrentes mthodes disponibles.
Dans chaque chapitre, les mthodes de configuration seront prsentes dans l'ordre suivant :
L'interface en ligne de commandes peut tre utilise pour excuter des commandes, d'o le terme command-
line interface (ou CLI) mais la ligne de commandes peut galement dmarrer un diteur, pour composer ou
modifier des fichiers de configuration. C'est pourquoi l'utilisation des commandes ip et les fichiers de
configuration, tels que fichiers ifcfg, sont documents ensemble.
Il y a des rseaux non-IP de base. Ce sont des rseaux niches, habituellement trs spcifiques, mais l'un
d'entre eux en particulier a pris en importance, InfiniBand, tel point que nous prenons la peine de le
mentionner ici. InfiniBand n'tant pas un rseau IP, de nombreuses fonctionnalits et configurations
habituellement utilises sur les rseaux IP ne sont pas applicables InfiniBand. La section Chapitre 9,
Configuration d'InfiniBand et des Rseaux RDMA de ce guide couvre les prrequis de configuration et
d'administration d'un rseau InfiniBand et galement de la plus large classe de priphriques compatibles
RDMA.
5
Guide de Gestion des rseaux
type ifcfg sont toujours prises en charge. Voir Section 1.8, NetworkManager et les Scripts rseau pour
plus d'informations.
Le NetworkManager peut configurer des alias de rseau, des adresses IP, des itinraires statiques, les
infos DNS, les connexions VPN, ainsi que de nombreux paramtres spcifiques aux connexions. Finalement,
NetworkManager fournit un API via D-Bus qui permet aux applications de chercher et de contrler la
configuration et l'tat du rseau.
Le NetworkManager est install par dfaut dans Red Hat Enterprise Linux. Si ncessaire, pour vous assurer
que c'est bien le cas, excutez la commande suivante en tant qu'utilisateur root :
Pour obtenir des informations sur les privilges utilisateur et sur la faon d'obtenir des privilges, consulter le
guide Red Hat Enterprise Linux 7 System Administrator's Guide.
Le dmon du NetworkManager excute avec les privilges root et il est, par dfaut, configur pour dmarrer
ds l'amorage. Vous pouvez dterminer si le dmon NetworkManager est en cours d'excution en
saisissant cette commande :
La commande systemctl status rapportera que le NetworkManager est Active: inactive (mort)
si le service NetworkManager n'est pas en cours d'excution. Pour le dmarrer pour la session en cours,
excutez la commande suivante en tant qu'utilisateur root :
Excutez la commande systemctl enable pour vous assurer que le NetworkManager dmarre bien
chaque fois que le systme est amorc :
6
Chapitre 1. Introduction Red Hat Enterprise Linux Networking
Pour obtenir plus d'informations sur le dmarrage, l'arrt et la gestion des services, voir le guide Red Hat
Enterprise Linux 7 System Administrator's Guide.
Les utilisateurs n'ont pas d'interractions avec le service systme du NetworkManager directement. Au lieu
de cela, les utilisateurs effectuent des tches de configuration de rseau par des outils d'interface utilisateur
graphiques ou en ligne de commandes. Les outils suivants sont disponibles dans Red Hat Enterprise Linux 7:
1. Il existe une simple interface texte utilisateur (de l'anglais Text User Interface) (TUI) base curses
pour le NetworkManager, nmtui.
2. Un outil de ligne de commandes, nmcli, est fourni pour permettre aux utilisateurs et aux scripts
d'interagir avec le NetworkManager. Notez que le nmcli peut tre utilis sur les systmes de GUI-
less comme serveurs pour contrler tous les aspects de NetworkManager. Cet outil est sur un
mme pied d'galit que les outils graphiques (GUI).
3. Le gnome-shell fournit galement une icne de rseau dans sa zone de Notification qui reprsente
les tats de connexion du rseau, ainsi rapports par le NetworkManager. L'icne possde
plusieurs tats qui servent d'indicateurs visuels pour le type de connexion que vous utilisez
actuellement.
4. Un outil d'interface utilisateur graphique appel control-center, fourni par le gnome-shell, est la
disposition des utilisateurs de bureaux. Il intgre un outil de configuration rseau. Pour le dmarrer,
appuyez sur la touche de Super pour afficher la vue d'ensemble des activits, saisir control
network et appuyez sur la touche Entre. La touche Super apparatra sous diverses formes,
selon le clavier ou autre matriel, mais souvent sous la touche Windows ou la commande, et
gnralement gauche de la barre d'espace.
L'outil d'interface utilisateur de texte (TUI) du NetworkManager, nmtui, fournit une interface texte pour
configurer le rseau en contrlant le NetworkManager. L'outil est contenu dans le paquet NetworkManager-
tui. Au moment de la rdaction, il n'est pas install dans le NetworkManager par dfaut. Pour installer le
NetworkManager-tui, mettez la commande suivante en tant qu'utilisateur root :
Si besoin est, pour obtenir des informations sur la faon de vrifier que le NetworkManager est en cours
d'excution, consulter Section 1.4.1, Le dmon du NetworkManager .
7
Guide de Gestion des rseaux
~]$ nmtui
L'interface utilisateur texte apparat. Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et
appuyer sur la combinaision de touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre
pour slectionner une option. La barre Espace active/dsactive le statut d'une case cocher.
nmtui editconnection-name
Si aucun nom de connexion n'est fourni, le menu de slection s'affiche. Si le nom de la connexion est
fourni et est correctement identifi, l'cran Modifier connexion s'affichera.
Si aucun nom de connexion n'est fourni, le menu de slection s'affichera. Si le nom de connexion est
fourni et est correctement identifi, la connexion qui convient sera active. Toute commande non valide
affiche un message d'utilisation.
Au moment de la rdaction, nmtui ne supporte pas tous les types de connexions. En particulier, vous ne
pouvez pas modifier les VPN, connexions Wi-Fi utilisant WPA Enterprise ou des connexions Ethernet l'aide
de 802. 1X.
Des exemples d'utilisation du l'outil nmcli pour chaque tche seront inclus quand c'est possible, avant
d'expliquer l'utilisation des autres mthodes en ligne de commandes ou en interfaces graphiques. Voir
Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli pour obtenir une
introduction nmcli, et consulter la page man nmcli-examples(7) pour trouver des exemples. Pour
trouver les proprits disponibles pour les commandes nmcli c add et nmcli c modify, consulter la
page man man nm-settings(5).
Les commandes de l'utilitaire ip, parfois dnomm iproute2 d'aprs le nom du package en amont, sont
documents dans la page de man ip(8). Le nom du package dans Red Hat Enterprise Linux 7 est iproute.
Si ncessaire, vous pouvez vrifier que l'utilitaire ip est bien install, en vrifiant son numro de version
comme suit :
~]$ ip -V
ip utility, iproute2-ss130716
Les commandes ip peuvent tre utilises pour ajouter ou supprimer des adresses et des itinraires pour les
interfaces en parallle, avec le NetworkManager, qui va veiller leur conservation et les reconnatre dans
nmcli, nmtui, control-center et l'API D-Bus.
8
Chapitre 1. Introduction Red Hat Enterprise Linux Networking
Notez que l'utilitaire ip remplace l'utilitaire ifconfig, car le paquet net-tools (qui fournit un ifconfig) ne
supporte pas les adresses InfiniBand. La commande ip help imprime un message d'utilisation. Il y a une
aide spcifique aux OBJETS, par exemple : ip link help et ip addr help.
Note
Des exemples d'utilisation du l'outil en ligne de commandes et des fichiers de configuration pour chaque
tche seront inclus aprs les exemples nmtui et nmcli, mais avant d'expliquer l'utilisation d'une des autres
mthodes en interface graphique du NetworkManager, plus prcisment, control-center et nm-
connection-editor.
Bien que le NetworkManager fournisse le service de rseautage par dfaut, les dveloppeurs de Red Hat
ont travaill dur pour s'assurer que les scripts et le NetworkManager collaborent. Les administrateurs, qui
sont habitus aux scripts, peuvent continuer les utiliser. Nous esprons que les deux systmes vont
pouvoir excuter en parallle et bien cooprer. Il est prvu que la plupart des scripts shell utilisateur des
versions prcdentes continueront de fonctionner. Red Hat recommande que vous les testiez tout d'abord.
Excutez le script uniquement avec l'utilitaire systemctl qui supprimera les variables d'environnement
existantes, et qui veillera une excution sans reproche. La commande prend la forme suivante :
Notez que dans Red Hat Enterprise Linux 7, le NetworkManager est tout d'abord dmarr, et
/etc/init.d/network vrifiera avec le NetworkManager qu'il n'y a pas d'interfrence avec les
connexions du NetworkManager. Le NetworkManager est sens tre la premire application qui utilise les
fichiers de configuration sysconfig et /etc/init.d/network est secondaire, jouant un rle de soutien en
cas d'chec.
2. au dmarrage et l'arrt si le service rseau est actif (suite la commande systemctl enable
network).
C'est un processus manuel qui ne ragit pas des vnements qui ont eu lieu aprs le dmarrage. Les
utilisateurs peuvent aussi appeler les scripts ifup et ifdown manuellement.
9
Guide de Gestion des rseaux
Il y a plusieurs faons d'excuter des tches personnalises lorsque les connexions rseau sont up ou down,
avec les anciens scripts rseau, ainsi qu'avec le NetworkManager. Lorsque le NetworkManager est activ,
le script ifup et ifdown demandera au NetworkManager si le NetworkManager gre l'interface en
question, qui se trouve sur la ligne DEVICE= dans le fichier ifcfg. Si le NetworkManager gre bien ce
priphrique et que le priphrique n'est pas dj connect, alors ifup demandera au NetworkManager de
dmarrer la connexion.
Si le priphrique n'est pas gr par le NetworkManager, alors les scripts dmarreront une connexion
par les mcanismes anciens, non-NetworkManager, qui taient utiliss avant la venue du
NetworkManager.
Si vous voquez "ifdown" et que le priphrique est gr par le NetworkManager, alors ifdown
demandera au NetworkManager de terminer la connexion.
Les scripts surveillent le NetworkManager de faon dynamique, donc, si le NetworkManager n'est pas en
cours d'excution, les scripts se retourneront sur les anciens mcanismes bass scripts
pr-NetworkManager.
Le fichier /etc/sysconfig/network est utilis pour les configurations globales. Les informations sur les
connexions PPPoE, mobiles haut dbit, et VPN sont stockes dans le fichier
/etc/NetworkManager/system-connections/.
Dans Red Hat Enterprise Linux 7, quand vous modifiez un fichier ifcfg, le NetworkManager n'est pas
automatiquement mis au courant du changement et doit tre mis au courant du changement par une
notification. Si vous utilisez un des outils pour mettre le profil du NetworkManager jour, alors, le
NetworkManager n'implmentera pas ces changements tant que vous ne vous serez pas reconnect en
utilisant ce profil. Par exemple, si les fichiers de configuration ont t changs en utilisant un diteur, le
NetworkManager devra tre instruit de lire les fichiers de configuration nouveau. Pour cela, excutez la
commande siuvante en tant qu'utilisateur root :
10
Chapitre 1. Introduction Red Hat Enterprise Linux Networking
La commande ci-dessus interprtera tous les profils de connexion. Sinon, pour tlcharger nouveau un
fichier modif la fois, ifcfg-ifname, excutez une commande ainsi :
La commande accepte des noms de fichiers multiples. Ces commandes exigent les privilges d'utilisateur
root. Pour obtenir des informations sur les privilges utilisateur et sur la faon d'obtenir des privilges,
consulter le guide Red Hat Enterprise Linux 7 System Administrator's Guide, et les pages man su(1) et
sudo(8)
Les modifications apportes l'aide d'outils tels que le nmcli n'ont pas besoin d'un chargement nouveau,
mais ncessitent que l'interface associe soit arrte (down) et qu'elle soit ractive (up) nouveau. Cela
peut tre fait en utilisant des commandes sous le format suivant :
suivi de :
Le NetworkManager n'active aucun des scripts rseau, mais les scripts rseau vont essayer d'activer le
NetworkManager s'il excute quand les commandes ifup sont utilises. Voir Section 1.8,
NetworkManager et les Scripts rseau pour une explication sur les scripts rseau.
Le script ifup est un script gnrique qui fait un certain nombre de choses et faisant appel des scripts
spcifiques une interface, comme ifup-ethX, ifup-wireless, ifup-ppp, etc. Quand un utilisateur
excute ifup eth0 manuellement, voici ce qui se passe :
2. Si le fichier ifcfg existe, ifup ira chercher la cl TYPE dans ce fichier pour dterminer quel script
spcifique ce type appeler :
5. et les scripts de type spcifiques laissent les fonctions courantes excuter des tches lies l'IP
comme DHCP ou une installation statique.
Au dmarrage, /etc/init.d/network analyse tous les fichiers ifcfg et pour chacun d'eux ayant
ONBOOT=yes, il vrifie si le NetworkManager a dj dmarr le PRIPHRIQUE de ce fichier ifcfg. Si le
NetworkManager dmarre ce priphrique ou l'a dj dmarr, rien de plus n'est fait pour ce fichier, et le
fichier ONBOOT=yes suivant est vrifi. Si le NetworkManager n'a pas encore dmarr ce priphrique, les
initscripts continueront avec leur comportement traditionnel et appeleront ifup pour ce fichier ifcfg.
Le rsultat final est que n'importe quel fichier ifcfg qui a ONBOOT=yes devrait tre lanc au dmarrage du
systme, soit par le NetworkManager ou par les initscripts. De cette manire, certains types de rseaux
hrits que le NetworkManager ne gre pas (comme RNIS ou les modems DIAL-UP analogues) ainsi que
toute nouvelle application non encore supporte par le NetworkManager sont toujours correctement
dmarrs par les initscripts mme si le NetworkManager est incapable de les grer.
11
Guide de Gestion des rseaux
Note
Il est recommand de ne pas stocker les fichiers de sauvegarde ifcfg au mme endroit que les
fichiers live. Le script fait littralement ifcfg-* en excluant uniquement les extensions : .old,
.orig, .rpmnew, .rpmorig et .rpmsave. Le meilleur moyen est ne pas stocker des fichiers de
sauvegarde n'importe o dans le fichier /etc /.
Les sources d'informations suivantes vous donneront d'autres ressources sur le rseautage dans Red Hat
Enterprise Linux 7.
Page man man(1) dcrit les pages de manuel et comment les trouver.
12
Chapitre 2. Configurer la Gestion des rseaux IP
Quand utiliser l'adressage statique et quand utiliser l'adressage dynamique ? Ces dcisions sont subjectives,
elles dpendent de vos besoins d'accs, et de vos exigences spcifiques. Disposer d'une politique, la
documenter et l'appliquer rgulirement est gnralement plus important que les dcisions spcifiques que
vous prenez. Dans un rseau local de socit traditionnelle, c'est une dcision plus facile prendre car que
vous avez, en gnral, moins de serveurs que les autres htes. La mise disposition et l'installation d'outils
cet effet, facilitent la mise en oeuvre de configurations statiques dans de nouveaux htes et l'utilisation de tels
outils change votre flux de travail et ses exigences. Les deux sections suivantes visent fournir des conseils
de base ceux qui ne sont pas encore passs par ce processus dcisionnel. Les administrateurs systme
expriments risquent d'avoir dj leur propre ensemble de rgles et d'exigences et celles-ci peuvent diffrer
de ce dont on parle prsent. Pour plus d'informations sur la configuration automatise et de gestion,
consultez la section OpenLMI du guide Guide d'administration de systmes de Red Hat Enterprise Linux 7.
Le Guide d'Installation Red Hat Enterprise Linux 7 documente l'utilisation de kickstart, pouvant tre
galement utilis pour automatiser l'affectation de paramtres de rseaux.
Utiliser l'adressage statique IP sur les serveurs et sur les priphriques dont vous souhaitez contrler la
disponibilit de rseau, quand les mthodes d'affectation d'adresses automatiques, comme DHCP chouent.
Les serveurs, DHCP, et DNS sont des exemples typiques. Les interfaces pour les priphriques de gestion
out-of-band valent galement la peine d'tre configurs avec des paramtres statiques, car ces
priphriques sont supposs fonctionner, dans la mesure du possible, indpendamment des autres
infrastructures de rseau.
Pour les htes considrs comme tant non vitaux, mais pour lesquels l'adressage IP statique est toujours
considr comme tant souhaitable, utiliser une mthode d'affectation d'adresses automatique. Par exemple,
les serveurs DHCP peuvent tre configurs de manire allouer la mme adresse IP un hte chaque
fois. Cette mthode peut tre utilise, par exemple, pour les imprimantes en commun.
Tous les outils de configuration rpertoris dans Section 2.1.3, Slection des mthodes de configuration de
rseau permettent l'affectation d'adresses IP statiques manuelle. L'outil nmcli est galement souhaitable
pour une affectation de configuration de rseau par le biais d'un script.
Activer et utiliser une affectation dynamique des adresses IP et autres informations de rseau lorsqu'il n'y
a aucune raison imprieuse de ne pas le faire. Le temps conomis planifier et documenter les rglages
manuels peut tre mieux utilis par ailleurs. Le protocole de contrle d'hte dynamique (DHCP) est une
mthode traditionnelle pour assigner dynamiquement des configurations rseau aux htes. Voir
Section 10.1, Pourquoi utiliser DHCP ? pour plus d'informations ce sujet.
NetworkManager appelera le client DHCP par dfaut, dhclient, quand un profil a t dfini pour pouvoir
recevoir des adresses automatiquement, ou quand un fichier de configuration d'interface a BOOTPROTO
dfini dhcp. Quand DHCP est exig, une instance du dhclient sera dmarre pour chaque protocole
Internet, IPv4 ou IPv6, sur une interface. Quand le NetworkManager n'est pas en cours d'excution, ou
n'excute pas une interface, le service de rseautage d'origine appelera des instances du dhclient selon
les besoins.
13
Guide de Gestion des rseaux
Pour configurer une interface avec l'outil d'interface d'utilisateur texte du NetworkManager, nmtui,
consulter Section 2.2, Configurer l'interface d'utilisateur texte, nmtui
Pour configurer une interface avec l'outil en ligne de commandes du NetworkManager, nmtui,
consulter Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli
Pour configurer une interface de rseau manuellement, voir Section 2.4, Utilisation de l'interface en
ligne de commandes (CLI) .
Pour configurer un rseau l'aide d'outils d'interface utilisateur graphiques , voir Section 2.5,
Utiliser le NetworkManager avec l'interface graphique GNOME
L'outil d'interface utilisateur de texte nmtui peut tre utilis pour configurer une interface dans une fentre de
terminal. Excutez la commande suivante pour dmarrer l'outil :
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'un case cocher.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
14
Chapitre 2. Configurer la Gestion des rseaux IP
ayant comme OBJECT pour gnral, rseautage, radio, connexion, ou priphrique. Les options
les plus utilises sont les suivantes : -t, --terse pour les scripts, l'option -p, --pretty pour les
utilisateurs et l'option -h, --help pour assistance. La compltion de commande est maintenant en place
pour nmcli, donc n'oubliez pas d'appuyer sur Tab (onglet) quand vous hsitez sur les commandes
disponibles. Voir la page man nmcli(1) pour obtenir une liste complte des options et des commandes.
Pour obtenir une liste des configurations des priphrique de rseau connus, excuter la commande nmcli
device sans arguments.
L'outil nmcli contient une assistance contectuelle intgre. Pour l'utiliser, saisir les deux commande
suivantes, et constatez la diffrence :
OPTIONS
-t[erse] terse output
-p[retty] pretty output
-m[ode] tabular|multiline output mode
-f[ields] <field1,field2,...>|all|common specify fields to output
-e[scape] yes|no escape columns separators in
values
-n[ocheck] don't check nmcli and
NetworkManager versions
-a[sk] ask for missing parameters
-w[ait] <seconds> set timeout waiting for
finishing operations
-v[ersion] show program version
-h[elp] print this help
OBJECT
g[eneral] NetworkManager's general status and operations
n[etworking] overall networking control
r[adio] NetworkManager radio switches
c[onnection] NetworkManager's connections
d[evice] devices managed by NetworkManager
a[gent] NetworkManager secret agent or polkit agent
m[onitor] monitor NetworkManager changes
status
hostname [<hostname>]
permissions
La page man nmcli-examples(5) contient un certain nombre d'exemples utiles. En voici une brve
slection :
15
Guide de Gestion des rseaux
. Pour montrer les connexions actives uniquement, ajoutez l'option - a,--active, comme suit :
Le commandes peuvent tre courtes et certaines options omises. Par exemple, la commande :
. L'option id peut t omise car l'ID de connexion (nom) est sans quivoque pour nmcli dans ce cas. Au fur
et mesure que vous vous familiariserez avec les commandes, d'autres abrviations peuvent tre faites. Par
exemple,
Note
N'oubliez pas de vous servir de la fonction de compltion de commande si vous avez un doute.
L'outil nmcli peut tre utilis pour dmarrer et pour stopper une interface de rseau, y compris les masters.
Ainsi :
16
Chapitre 2. Configurer la Gestion des rseaux IP
Note
Il est recommand d'utiliser nmcli dev disconnect iface-name plutt que nmcli con down
id id-string, car la disconnexion met l'interface en mode manual , et aucune connexion
automatique ne dmarrera tant que lutilisateur n'aura pas demand au NetworkManager de
dmarrer une connexion ou tant qu'un vnement externe tel qu'un changement d'oprateur, une
hibernation,une mise en veille n'ait eu lieu.
L'outil nmcli contient un diteur de connexions interactif. Pour l'utiliser, saisir la commande suivante :
On vous demandera de saisir un type de connexion valide partir de la liste affiche. Aprs avoir entr un
type de connexion, vous serez plac sur invite de nmcli. Si vous tes familier avec les types de connexion,
vous pouvez ajouter une option de type de connexion valide la commande nmcli con edit, et tre pris
directement l'invite de nmcli. Le format est le suivant pour l'dition d'un profil de connexion existant :
Saisir help l'invite de nmcli pour voir une liste de commandes valides. Utiliser la commande describe
pour obtenir une liste des paramtres et de leurs proprits. Le format est le suivant :
describe setting.property
. Par exemple :
La plupart des commandes nmcli s'expliquent par elles-mmes, mais pour certaines commandes, cela vaut
la peine de se pencher un petit moment dessus :
Les valeurs autorises sont les suivantes : adsl, bond, bond-slave, bridge, bridge-slave,
bluetooth, cdma, ethernet, gsm, infiniband, olpc-mesh, team, team-slave, vlan,
wifi, wimax.
17
Guide de Gestion des rseaux
Chaque type de connexion contient des options de commande spcifiques un type. Appuyer sur
Tab pour en obtenir une liste ou pour voir la liste TYPE_SPECIFIC_OPTIONS dans la page man
nmcli(1). L'option type s'applique aprs les commandes suivantes : nmcli connection add
et nmcli connection edit.
Si vous n'indiquez pas de nom de connexion, il sera gnr suivant le format suivant :
type-ifname[-number]
Le nom de connexion est le nom d'un profil de connexion et ne doit pas tre confondu avec le nom
de l'interface qui reprsente un priphrique comme wlan0, ens3, em1 et ainsi de suite). Les
utilisateurs peuvent toutefois nommer les connexions d'aprs les interfaces, mais ce n'est pas la
mme chose. Il peut y avoir plusieurs profils de connexion pour un priphrique. Ceci est
particulirement utile pour les appareils mobiles ou quand on fait des changements de cble
rseau entre diffrents appareils. Plutt que de modifier la configuration, crer des profils diffrents
et les appliquer l'interface selon les besoins. L'option id fait galement rfrence au nom du
profil de connexion.
L'ID peut tre utilis avec les commandes nmcli connection pour identifier une connexion. Le
champ NAME figurant dans la sortie indique l'ID de connexion (nom). Il se rapporte au mme nom
de connexion que celui du con-name.
uuid une chane d'identification unique assigne par le systme un profil de connexion.
L'UUID peut tre utilis par les commandes nmcli connection pour identifier une connexion.
Pour obtenir une liste des connexions de rseau disponibles, lancez la commande suivante :
Notez que le champ de nom NAME dans la sortie indique toujours l'ID de connexion (nom). Il ne correspond
pas au nom de l'interface mme s'il a le mme aspect. Pour la seconde connexion mentionne ci-dessus,
ens3 du champ NAME correspond l'ID de connexion donn au profil qui s'applique l'interface ens3. Dans
la dernire connexion ci-dessus, l'utilisateur assigne l'ID de connexion MyWiFi l'interface wlan0.
L'ajout d'une connexion Ethernet revient crer un profil de configuration, qui est alors assign un
priphrique. Avant de crer un nouveau profil, vrifiez les priphriques suivants :
18
Chapitre 2. Configurer la Gestion des rseaux IP
Pour ajouter un profil de configuration Ethernet une configuration IP dynamique, ce qui permet DHCP
d'assigner la configuration de rseau, on peut utiliser une commande du format suivant :
Ainsi, pour crer un profil de connexion dynamique nomm my-office, excutez la commande suivante :
~]$ nmcli con add type ethernet con-name my-office ifname ens3
Connection 'my-office' (fb157a65-ad32-47ed-858c-102a48e064a2) successfully
added.
Notez que les changements manuels apports au fichier ifcfg ne seront pas remarqus par le
NetworkManager tant que l'interface n'est pas appele nouveau. Voir Section 1.9, Configuration de
rseau par les fichiers sysconfig pour obtenir plus d'informations sur la faon d'utiliser les fichiers de
configuration.
Pour modifier le nom d'un hte envoy par un hte un serveur DHCP, modifier la proprit dhcp-hostname
comme suit :
Pour modifier l'ID client IPv4 envoy par un hte un serveur DHCP, modifier la proprit dhcp-client-id
comme suit :
Il n'y a pas de proprit dhcp-client-id pour IPv6, le dhclient cre un identifiant pour IPv6. Voir la page
man dhclient(8) pour plus d'informations.
Pour ignorer les serveurs DNS envoys un hte par un serveur DHCP, modifier la proprit ignore-auto-
dns comme suit :
19
Guide de Gestion des rseaux
Voir la page man nm-settings(5) pour obtenir plus d'informations sur les proprits et leurs paramtres
de configurations.
Exemple 2.1. Configurer une connexion Ethernet dynamique par l'diteur interactif
Pour configurer une connexion Ethernet dynamique par l'diteur interactif, excuter les commandes
suivantes :
L'action par dfaut est de conserver le profil de connexion persistant. Si ncessaire, le profil peut tre
contenu en mmoire uniquement, jusqu'au prochain dmarrage, par la commande save temporary.
20
Chapitre 2. Configurer la Gestion des rseaux IP
Pour ajouter une connexion Ethernet ayant une configuration IPv4 statique, utiliser une commande sous le
format suivant :
IPv6. L'adresse et la passerelle peuvent tre ajoutes en utilisant les options ip6 et gw6.
Par exemple, voici une commande pour crer une connexion Ethernet statique avec l'adresse IPv4 et une
passerelle :
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4
10.10.10.10/24 \
gw4 10.10.10.254
En option, spcifier en mme temps l'adresse IPv6 et la passerelle pour le priphrique comme suit :
~]$ nmcli con add type ethernet con-name test-lab ifname ens9 ip4
10.10.10.10/24 \
gw4 10.10.10.254 ip6 abbe::cafe gw6 2001:db8::1
Connection 'test-lab' (05abfd5e-324e-4461-844e-8501ba704773) successfully
added.
Notez que les changements manuels apports au fichier ifcfg ne seront pas remarqus par le
NetworkManager tant que l'interface n'est pas appele nouveau. Voir Section 1.9, Configuration de
rseau par les fichiers sysconfig pour obtenir plus d'informations sur la faon d'utiliser les fichiers de
configuration.
Notez que cela remplacera tous les serveurs DNS dj dfinis. Pour dfinir deux adresses de serveur IPv6
DNS :
Notez que cela remplacera tous les serveurs DNS dj dfinis. Pour ajouter deux serveurs DNS un serveur
dj dfini, utiliser le prfixe + comme suit :
21
Guide de Gestion des rseaux
Pour vrifier les informations dtailles sur la connexion configure, veuillez excuter la commande
suivante :
L'option -p, --pretty ajoute un titre de bannire et une sparation de section la sortie.
Exemple 2.2. Configurer une connexion Ethernet statique par l'diteur interactif
Pour configurer une connexion Ethernet statique par l'diteur interactif, excuter la commande suivante :
22
Chapitre 2. Configurer la Gestion des rseaux IP
L'action par dfaut est de conserver le profil de connexion persistant. Si ncessaire, le profil peut tre
contenu en mmoire uniquement, jusqu'au prochain dmarrage, par la commande save temporary.
Pour verrouiller un profil une interface spcifique, les commandes utilises dans les exemples ci-dessus
incluent le nom de l'interface. Par exemple :
. Pour rendre un profil utilisable par toutes les interfaces Ethernet compatibles, excuter une commande
comme :
. Notez que vous devez utiliser l'argument ifname mme si vous ne souhaitez pas dfinir une interface
spcifique. Utilisez le caractre gnrique * pour spcifier que le profil puisse tre utilis avec n'importe quel
priphrique compatible.
Pour verrouiller un profil une adresse MAC particulire, utilisez une commande sous le format suivant :
nmcli connection add type ethernet con-name "connection-name" ifname "*" mac
00:00:5E:00:53:00
Pour afficher les points d'accs Wi-Fi, excutez une commande comme suit :
23
Guide de Gestion des rseaux
Pour crer un profil de connexion Wi-Fi avec une configuration IP statique, tout en autorisant l'attribution
d'adresses DNS automatiques, excutez une commande comme suit :
~]$ nmcli con add con-name MyCafe ifname wlan0 type wifi ssid MyCafe \
ip4 192.168.100.101/24 gw4 192.168.100.1
Pour dfinir un mot de passe WPA2, comme par exemple caffeine , excutez les commandes suivantes :
Voir le guide Red Hat Enterprise Linux 7 Security Guide pour obtenir des informations sur la scurit des
mots de passe.
Pour modifier l'tat Wi-Fi, excutez une commande sous le format suivant :
Pour vrifier une proprit particulire, comme mtu, excutez une commande comme suit :
Pour modifier la proprit d'un paramtre de configuration, veuillez excuter la commande suivante :
Notez que le NetworkManager fait rfrence des paramtres de configuration comme 802-3-ethernet
et 802-11-wireless et mtu comme proprits de configuration. Voir la page man nm-settings(5) pour
plus d'informations sur les proprits et leurs configurations.
Pour configurer des routages statiques avec l'outil nmcli, on doit utiliser le mode d'dition interactive ou
l'outil en lignes de commandes.
Pour configurer un routage statique pour une connexion Ethernet existante par l'outil en lignes de
commandes, excuter les commandes suivantes :
24
Chapitre 2. Configurer la Gestion des rseaux IP
Pour configurer un routage statique pour une connexion Ethernet par l'diteur interactif, excuter les
commandes suivantes :
Les fichiers de configuration d'interface contrlent l'interface du logiciel pour les priphriques de rseaux
individuels. Quand le systme dmarre, il utilise ces fichiers pour dterminer quelles interfaces mettre en
place et comment les configurer. Ces fichiers sont gnralement nomms ifcfg-name, o le suffixe de
name dsigne le nom du priphrique qui contrle le fichier de configuration. Par convention, le suffixe
ifcfg du fichier est identique la chane donne par la directive DEVICE dans le fichier de configuration lui-
mme.
Pour configurer une interface avec des paramtres de rseaux statiques l'aide des fichiers ifcfg, pour
une interface nomme eth0, crez un fichier ayant pour nom ifcfg-eth0 dans le rpertoire
/etc/sysconfig/network-scripts / comme suit :
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
PREFIX=24
IPADDR=10.0.1.27
25
Guide de Gestion des rseaux
Spcifier le matriel ou l'adresse MAC en utilisant la directive HWADDR. Notez que cela peut influencer la
procdure d'affectation de noms, comme expliqu dans Chapitre 8, Nommage de priphriques rseaux
consistante. Vous n'avez pas besoin de spcifier le rseau ou l'adresse de diffusion; c'est calcule
automatiquement par ipcalc.
Pour configurer une interface avec des paramtres de rseaux dynamiques l'aide des fichiers ifcfg, pour
une interface nomme em1, crez un fichier ayant pour nom ifcfg-em1 dans le rpertoire
/etc/sysconfig/network-scripts / comme suit :
DEVICE=em1
BOOTPROTO=dhcp
ONBOOT=yes
Spcifier le matriel ou l'adresse MAC en utilisant la directive HWADDR. Notez que cela peut influencer la
procdure d'affectation de noms, comme expliqu dans Chapitre 8, Nommage de priphriques rseaux
consistante.
Pour configurer une interface pour qu'elle envoie un nom d'hte diffrent au serveur DHCP, ajouter la ligne
suivante au fichier ifcfg.
DHCP_HOSTNAME=hostname
Pour configurer une interface permettant d'ignorer les routages envoys par un serveur DHCP, ajoutez la ligne
suivante au fichier ifcfg.
PEERDNS=no
. Cela empchera le service rseau de mettre jour /etc/resolv.conf avec les serveurs DNS reus d'un
serveur DHCP.
Pour configurer une interface qui puisse utiliser des serveurs DNS particuliers, dfinir PEERDNS=no comme
dcrit ci-dessus et ajouter les lignes ci-dessous dans votre fichier ifcfg :
DNS1=ip-address
DNS2=ip-address
avec ip-address comme adresse du serveur DNS. Cela amenera le service rseau mettre jour
/etc/resolv.conf avec les serveurs DNS spcifis.
NetworkManager appelera le client DHCP par dfaut, dhclient, quand un profil a t dfini pour pouvoir
recevoir des adresses automatiquement, ou quand un fichier de configuration d'interface a BOOTPROTO
dfini dhcp. Quand DHCP est exig, une instance du dhclient sera dmarre pour chaque protocole
Internet, IPv4 ou IPv6, sur une interface. Quand le NetworkManager n'est pas en cours d'excution, ou
n'excute pas une interface, le service de rseautage d'origine appelera des instances du dhclient selon
les besoins.
26
Chapitre 2. Configurer la Gestion des rseaux IP
L'utilitaire ip peut tre utilis pour assigner des adresses IP une interface. La commande prend la forme
suivante :
Pour assigner une adresse IP une interface, excuter la commande en tant qu'utilisateur root comme suit
:
Comme l'utilitaire ip supporte l'attribution d'adresses la mme interface, il n'est plus trs utile d'utiliser la
mthode alias d'interface de liaison de plusieurs adresses la mme interface. La commande ip
d'assignation d'adresse peut tre rpte plusieurs fois pour pouvoir assigner plusieurs adresses. Par
exemple :
Note
Les routages statiques sont destins au trafic qui ne doit pas, ou ne devrait pas, passer par la passerelle par
dfaut. Le routage est souvent gr par les priphriques qui se trouvent sur le rseau ddi au routage
(bien qu'un priphrique peut tre configur pour effectuer un routage). Par consquent, souvent, il n'est pas
27
Guide de Gestion des rseaux
ncessaire de configurer des routages statiques sur les serveurs ou les clients Red Hat Enterprise Linux. Les
exceptions incluent le trafic qui doit traverser par un tunnel VPN crypt ou le trafic qui doit suivre un routage
spcifique pour des raisons de cot ou de scurit. La passerelle par dfaut est pour tout trafic non destin
au rseau local, et pour lequel aucun routage particulier n'est spcifi dans la table de routage. La passerelle
par dfaut est traditionnellement un routeur de rseau ddi.
Note
Afin de gagner en expertise, vous serez sans doute intress par le cours de formation Red Hat
System Administration I (RH124).
Si des routages statiques sont requis, ils peuvent tre ajouts la table de routage par le biais de la
commande ip route add ou enlevs par la commande ip route del. Les commandes ip route les
plus frquemment utilises prennent la forme suivante :
. Voir la page man ip-route(8) pour plus de dtails sur les options et formats.
Utiliser la commande ip route sans options pour afficher la table de routage IP. Exemple :
~]$ ip route
default via 192.168.122.1 dev ens9 proto static metric 1024
192.168.122.0/24 dev ens9 proto kernel scope link src 192.168.122.107
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.126
Pour ajouter un routage statique une adresse hte, ou autrement dit une adresse IP unique, excuter
une commande en tant qu'utilisateur root :
Quand 192.0.2.1 est l'adresse IP de l'hte en notation dcimale avec des points, 10.0.0.1 reprsente
l'adresse du prochain tronon et ifname l'interface de sortie qui mne au prochain tronon.
Pour ajouter un routage statique un rseau, ou autrement dit une adresse IP reprsentant un groupe
d'adresses IP , excuter la commande suivante en tant qu'utilisateur root :
avec 192.0.2.0 comme adresse IP du rseau de destination en notation dcimale en points et avec /24 pour
prfixe de rseau. Le prfixe de rseau correspond au nombre d'octets activs dans le msque du sous-
rseau. Le format de l'adresse rseau / longueur du prfixe rseau ou classless inter-domain routing (CIDR).
La configuration du routage statique peut tre stocke par interface dans un fichier
/etc/sysconfig/network-scripts/route-interface. Ainsi, les routages statiques de l'interface
eth0 devraient tre stocks dans le fichier fichier/etc/sysconfig/network-scripts/itinraire-
eth0. Le fichier route-interface a deux formats : arguments de commande ip et directives de
rseau/masque rseau. Elles sont dcrites ci-dessous.
Voir la page man ip-route(8) pour obtenir plus d'informations sur la commande ip route.
28
Chapitre 2. Configurer la Gestion des rseaux IP
La passerelle par dfaut est dtermine par les scripts de rseau qui analysent le fichier
/etc/sysconfig/network pour commencer, puis les fichiers ifcfg de l'interface de rseau pour les
interfaces qui sont up (actives). Les fichiers ifcfg sont lus en ordre numrique croissant, et la dernire
directive GATEWAY lire est utilise pour composer un routage par dfaut dans la table de routage.
Le routage par dfaut peut ainsi tre indiqu par la directive GATEWAY et peut tre spcifi soit
globalement, soit dans les fichiers de configuration spcifiques l'interface. Cependant, dans Red Hat
Enterprise Linux l'utilisation du fichier global /etc/sysconfig/network est dprci, et il faut maintenant
indiquer la passerelle par l'intermdiaire des fichiers de configuration uniquement.
Dans les environnements de rseaux dynamiques, quand les htes mobiles sont grs par un
NetworkManager, l'information de passerelle a de grandes chances d'tre spcifique l'interface, et il vaut
mieux qu'elle soit donne par DHCP. Dans certains cas, quand il vaut mieux influencer la slection du
NetworkManager pour l'interface de sortie utiliser pour atteindre une passerelle. Utiliser la commande
DEFROUTE=no dans les fichiers ifcfg pour ces interfaces qui ne mnent pas la passerelle par dfaut.
Les configurations de routages statiques par les commandes ip par ligne de commandes seront perdus si le
systme est stopp ou aprs un redmarrage. Pour configurer des routages statiques tre persistants
aprs le redmarrage d'un systme, ils devront figurer dans les fichiers de configurationpar-interface qui se
trouvent l'adresse suivante /etc/sysconfig/network-scripts /. Le nom du fichier doit tre du
format route-ifname. Il existe deux types de commandes utiliser dans les fichiers de configuration : les
commandes ip comme expliqu dans Section 2.4.4.1, Configuration des routages statiques en utilisant le
format d'arguments de commandes IP et le format Rseau/Masque rseau comme expliqu dans
Section 2.4.4.2, Format de directives de Rseau/Masque de rseau .
192.168.1.1 est l'adresse IP de la passerelle par dfaut. L' interface est l'interface qui est connecte , ou
qui peut atteindre, la passerelle par dfaut. L'option dev peut tre omise, elle est facultative. Notez que ce
paramtre prvaut sur un paramtre du fichier fichier/etc/sysconfig/network.
Si on a besoin d'un rseau distant, on peut spcifier un routage statique comme suit. Chaque ligne de
routage est analyse individuellement.
10.10.10.0/24 est l'adresse rseau et la longueur du prfixe du rseau de destination ou du rseau distant. L'
adresse 192.168.1.1 est l'adresse IP menant au rseau distant. C'est, de prfrence l'adresse du tronon
suivant (next hop address), mais l'adresse de l'interface de sortie fonctionnera. L'expression next hop
dsigne l'extrmit (la fin) d'un lien, par exemple une passerelle ou un routeur. L'option dev peut tre utilise
pour spcifier l'interface de sortie interface, mais elle n'est pas ncessaire. Ajouter autant de routages
statiques qu'il vous faut.
29
Guide de Gestion des rseaux
Dans l'exemple ci-dessus, les paquets allant vers le rseau 192.168.0.0/24 seront dirigs en dehors de
l'interface attache ce rseau. Les paquets allant vers le rseau 10.10.10.0/24 et vers l'hte
172.16.1.10/32 seront dirigs vers 192.168.0.10. Les paquets allant vers des paquets inconnus,
distants utiliseront la passerelle par dfaut, donc les routages statiques ne seront configurs uniquement que
pour les rseaux ou htes distants si le routage par dfaut ne convient pas. Dans ce contexte distant
signifie tout rseau ou hte qui n'est pas attach directement au systme.
Spcifier une interface de sortie est facultatif. Cela peut tre utile si vous voulez forcer le trafic sur une
interface spcifique. Par exemple, dans le cas d'un VPN, vous pouvez forcer le trafic vers un rseau distant
pour passer travers une interface tun0, mme lorsque l'interface est dans un sous-rseau diffrent du
rseau de destination.
Important
Si la passerelle par dfaut est dj attribue par le protocole DHCP et si la mme passerelle avec le
mme mtrique sont spcifis dans un fichier de configuration, une erreur lors du dmarrage ou lors
de l'apparition de l'interface, se produira. Le message d'erreur suivant risque d'apparatre :
"RTNETLINK answers: File exists". This error may be ignored.
Vous pouvez galement utiliser le format des directives de rseau/masque de rseau pour les fichiers
route-interface. Ce qui suit est un modle pour le format rseau/masque de rseau, avec des
instructions qui suivent :
ADDRESS0=10.10.10.0
NETMASK0=255.255.255.0
GATEWAY0=192.168.1.1
GATEWAY0=192.168.1.1 est la passerelle par dfaut, ou une adresse IP qui peut tre utilise pour
atteindre ADDRESS0=10.10.10.0
Voici un exemple de fichier route-interface qui utilise le format de directives de rseau/masque rseau.
La passerelle par dfaut est 192.168.0.1 mais une ligne alloue ou une connexion WAN est disponible
l'adresse suivante 192.168.0.10. Les deux routages statiques servent joindre les rseaux
10.10.10.0/24 et 172.16.1.0/24 :
ADDRESS0=10.10.10.0
30
Chapitre 2. Configurer la Gestion des rseaux IP
NETMASK0=255.255.255.0
GATEWAY0=192.168.0.10
ADDRESS1=172.16.1.10
NETMASK1=255.255.255.0
GATEWAY1=192.168.0.10
Les routages statiques suivants sont numrots squentiellement, et ne doivent pas sauter une valeur. Par
exemple, ADDRESS0, ADDRESS1, ADDRESS2, etc.
IPsec, fourni par Libreswan, est la mthode prfre de cration de VPN dans Red Hat Enterprise Linux 7.
Configurer un VPM IPsec en ligne de commandess est document dans le guide Red Hat Enterprise Linux 7
Security Guide.
Dans Red Hat Enterprise Linux 7, le NetworkManager n'a pas sa propre interface graphique (GUI). L'icne
de connexion au rseau qui se trouve en haut et droite du bureau est fourni comme faisant partie du
GNOME Shell et l'outil de configuration des paramtres de Rseau est fourni comme faisant partie du GUI
control-center de GNOME. L'ancien GUI nm-connection-editor est toujours disponible pour certaines
tches.
Appuyer sur la cl Super pour accder au menu Activits, saisir control network, comme on le voit
dans Figure 2.2, L'utilitaire de rseau slectionn dans GNOME puis, appuyer sur la touche Entre.
L'outil de configuration Rseau apparatra. Continuer avec Section 2.5.2, Configurer les nouvelles
connexions et modifier les connexions existantes .
31
Guide de Gestion des rseaux
Cliquez sur l'icne de connexion du rseau du GNOME Shell qui se trouve dans le coin en haut et
droite de l'cran pour ouvrir son menu.
Quand vous cliquez sur l'icne de connexion du rseau du GNOME Shell, vous apercevrez :
une liste des rseaux catgoriss auxquels vous tes actuellement connects (comme Wired ou Wi-
Fi);
une liste de tous les Rseaux disponibles que le NetworkManager aura dtects.
Si vous tes connects un rseau, c'est indiqu par le bouton symbolique ON. En cliquant n'importe o au
niveau du bouton permutera l'tat du bouton. Si vous passez de ON OFF, vous vous disconnecterez de
cette connexion rseau.
Cliquer sur Configuration Rseau. L'outil de configuration de Rseau apparatra, Continuez avec
Section 2.5.2, Configurer les nouvelles connexions et modifier les connexions existantes .
32
Chapitre 2. Configurer la Gestion des rseaux IP
Figure 2.3. Le menu de rseau GNOME, qui montre toutes les rseaux disponibles ou auxquels on est
connects
La fentre de configuration de Rseau vous montre le statut de connexion, son type, son interface, son
adresse IP, ses infos de routage, etc..
La fentre de configuration du Rseau a un menu sur le ct gauche, montrant les interfaces ou les
priphriques de rseau disponibles. Ceci inclut les interfaces logicielles comme les VLAN, ponts, bonds et
quipes. Sur la droite, les profils de connexion sont indiqus pour l'interface ou le priphrique rseau
33
Guide de Gestion des rseaux
slectionn. Un profil est une collection nomme de paramtres de configuration qui peuvent s'appliquer
une interface. Vous verrez dessous un bouton avec le signe plus et le signe moins pour l'ajout et la
suppression de nouvelles connexions rseau, et droite un icne de roue dente pour diter les dtails du
priphrique rseau slectionn ou de connexion VPN. Pour ajouter une nouvelle connexion, cliquez sur le
signe plus pour ouvrir la fentre Ajouter une connexion rseau et continuer avec Section 2.5.2.1,
Configuration d'une nouvelle connexion .
En cliquant sur l'icne de roue dente d'un profil de connexion existant de la fentre de configuration du
Rseau ouvre la fentre de dtails de Rseau, o vous pouvez effectuer la plupart des tches de
configuration rseau, telles que l'adressage IP, DNS ou la configuration de routage.
Figure 2.5. Configurer les rseaux par la fentre des dtails de connexion rseau
Dans la fentre Rseau, cliquer sur le signe plus qui se situe sous le menu pour ouvrir la fentre Ajouter
une connexion rseau. Cela affichera une liste de types de connexions qui peuvent tre ajouts.
Connexions VPN, cliquer sur l'entre VPN et continuez avec Section 2.5.7, tablir une connexion
VPN ;
Connections Bond, cliquer sur l'entre Bondet continuez avec Section 4.6.1, tablir une connexion de
liaison ;
Connexions Bridge, cliquez sur l'entre Bridge et continuez avec Section 6.4.1, tablir une
connexion de pontage ;
Connexions VLAN, cliquez sur l'entre VLAN et continuez avec Section 7.5.1, tablir une connexion
VLAN ; ou,
Connexions quipe, cliquez sur l'entre quipe et continuez avec Section 5.13, Crer un Network
Team par l'interface graphique (GUI) .
34
Chapitre 2. Configurer la Gestion des rseaux IP
Pour chaque type de connexion que vous ajoutez ou configurez, vous pouvez dcider si le NetworkManager
doit tenter de se connecter ce rseau automatiquement ou non.
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Entre. L'outil de configuration du Rseau apparatra.
3. Cliquez sur l'icne de roue dente d'un profil de connexion dans le menu de droite. Si vous avez un
seul profil associ l'interface slectionne, l'icne de roue dente sera dans le coin en bas droite.
La fentre contenant les dtails de Rseau apparatra.
4. Slectionnez l'entre de menu Identit sur la gauche. La fentre Rseau passera la vue
Identit.
Le NetworkManager stocke tous les profils de connexion. Un profil est une collection de paramtres avec un
nom, qui peut tre applique une interface. Le NetworkManager stocke ces profils de connexion pour un
usage systmique (connexions systme), ainsi que de tous les profils de connexion utilisateur. L'accs aux
profils de connexion est contrl par les autorisations stockes par le NetworkManager. Voir la page man
nm-settings(5) pour plus d'informations sur la proprit permissions du paramtre connexion. Les
autorisations correspondent la directive USERS qui se trouve dans les fichiers ifcfg. Si la directive USERS
n'est pas prsente, le profil de rseau sera disponible tous les utilisateurs. titre d'exemple, la commande
suivante se trouvant dans un fichier ifcfg rendra la connexion disponible uniquement aux utilisateurs lists
:
. Cela peut galement tre dfini l'aide d'outils d'interface utilisateur graphique. Dans nm-connection-
editor, il y a la case cocher Tous les utilisateurs peuvent se connecter ce rseau qui
se trouve dans l'onglet Gnral, et dans la fentre Identit de la configuration de rseau - control-center
de GNOME, il y a la case cocher Rendre disponible aux autres utilisateurs.
La stratgie par dfaut du NetworkManager est de permettre tous les utilisateurs de crer et de modifier
des connexions dans l'ensemble du systme. Les profils qui doivent tre disponibles au moment du
dmarrage ne peuvent tre privs, parce qu'ils ne seront pas visibles tant que l'utilisateur ne se connecte
pas. Par exemple, si l'utilisateur user cre un profil de connexion user-em2 avec la case cocher Se
connecter automatiquement slectionne, mais avec la case Rendre disponible aux autres
utilisateurs non slectionne, la connexion ne sera pas disponible au moment du dmarrage.
Pour limiter les connexions et le rseautage, il y a deux options qui peuvent tre utilises soit seules, soit en
conjonction.
Dcochez la case Rendre disponible tous les utilisateurs, ce qui rendra la connexion
modifiable et utilisable par l'utilisateur ayant effectu les changements uniquement.
35
Guide de Gestion des rseaux
Utiliser le framework polkit pour limiter les permissions les oprations de rseau en gnral sur la base
utilisateur.
Si vous utilisez ces deux options en mme temps, vous obtiendrez un niveau de scurit et de contrle plus
prcis de rseautage. Voir la page man polkit(8) pour obtenir plus d'informations sur polkit.
Notez que les connexions VPN sont toujours cres comme tant prives-par-utilisateur, puisqu'elles sont
senses tre plus prives qu'une connexion Wi-Fi ou Ethernet.
Procdure 2.2. Comment modifier une connexion pour qu'elle devienne spcifique utilisateur, plutt
que de s'appliquer tout le systme, et vice versa
Selon la stratgie suystme, vous aurez sans doute besoin de privilges root sur le systme pour pouvoir
effectuer les changements pour qu'une connexion soit 'spcifique utilisateur' ou 'systme'.
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Entre. L'outil de configuration du Rseau apparatra.
3. Cliquez sur l'icne de roue dente d'un profil de connexion dans le menu de droite. Si vous avez un
seul profil associ l'interface slectionne, l'icne de roue dente sera dans le coin en bas droite.
La fentre contenant les dtails de Rseau apparatra.
4. Slectionnez l'entre de menu Identit sur la gauche. La fentre Rseau passera la vue
Identit.
l'inverse, dcochez la case Rendre disponible tous les utilisateurs pour rendre la
connexion spcifique l'utilisateur.
Pour configurer une connexion rseau filaire, appuyez sur la touche Super pour saisir Activits, puis saisir
control network et appuyez sur la touche Enter. L'outil de configuration de Rseau apparatra.
Selctionnez l'interface de rseau Wired dans le menu sur la gauche, si ce n'est pas dj surlign.
Le systme cre et configure un profil de connexion unique appel Wired par dfaut. Un profil est une
collection de paramtres avec un nom, pouvant tre appliqu une interface. Plusieurs profils peuvent tre
crs pour une interface donne pouvant tre appliqus selon les besoins. Le profil par dfaut ne peut pas
tre supprim, mais ses paramtres peuvent tre modifis. Vous pouvez modifier le profil Wired par dfaut
en cliquant sur l'icne de roue dente. Vous pouvez crer un nouveau profil de connexion filaire (wired) en
cliquant sur le bouton Ajouter Profil. Les profils de connexion associes une interface slectionne
seront affichs dans le menu de droite.
Lorsque vous ajoutez une nouvelle connexion en cliquant sur le bouton Add Profile, le NetworkManager
cre un nouveau fichier de configuration pour la connexion et ouvre la mme bote de dialogue que celle qui
est utilise pour modifier une connexion existante. La diffrence entre ces botes de dialogue, c'est qu'un
profil de connexion existant a une entre de menu Dtails et Rinitialiser. En effet, vous tes toujours
en train de modifier un profil de connexion ; la diffrence rside seulement dans la question de savoir si cette
connexion existait avant ou vient d'tre cre par le NetworkManager lorsque vous avez cliqu sur
Ajouter Profil.
36
Chapitre 2. Configurer la Gestion des rseaux IP
De nombreuses configurations de la bote de dialogue Modifier sont communes tous les types de
connexion. Voir Identit (ou l'onglet Gnral si vous utilisez nm-connection-editor) :
Nom saisir un nom descriptif de connexion rseau. Ce nom pourra tre utilis pour noter cette
connexion dans le menu de la fentre Rseau.
Adresse MAC slectionner l'adresse MAC de l'interface laquelle ce profil doit s'appliquer.
MTU si ncessaire, saisir une maximum transmission unit (MTU) utiliser. La valeur MTU reprsente
la taille (en octets) du plus grand paquet que le link-layer puisse transmettre. La valeur par dfaut est
1500 et n'a gnralement pas besoin d'tre modifie.
Zone de parefeu si ncessaire, slectionnez une autre zone de parefeu appliquer. Voir le guide
Red Hat Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les zones de parefeux.
Rendre disponible tous les utilisateurs slectionnez cette case pour crer une
connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut ncessiter des
privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions prives ou sur tout le
systme pour obtenir plus d'informations.
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des configurations
suplmentaires
Une fois vous aurez termin de modifier votre connexion filaire (wired) au rseau local virtuel, cliquez sur le
bouton Apply pour enregistrer votre configuration personnalise. Si le profil tait en cours d'utilisation lors
de la modification, alimentez le cycle de connexion pour que le NetworkManager applique les modifications.
Si le profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion
rseau. Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de
votre connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur l'icne de roue dente pour retourner la bote de dialogue d'dition.
port-based Network Access Control (PNAC), cliquez sur l'onglet 802.1X Security et continuez
avec Section 2.5.10.1, Configuration de la scurit 802.1X ;
Paramtres de configuration IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 ; ou,
Paramtres de configuration IPv6 pour la connexion, cliquer sur l'onglet IPv6 Settings et continuez
avec Section 2.5.10.5, Configurer les paramtres IPv6 .
Cette section explique comment utiliser le NetworkManager pour configurer une connexion Wi-Fi
(galement connue sous le nom wireless ou 802.11a/b/g/n) vers un Point d'accs.
37
Guide de Gestion des rseaux
Pour configurer une connexion haut dbit mobile (comme 3G), voir Section 2.5.8, tablir une connexion
haut dbit mobile .
Pour vous connecter un point d'accs disponible, la mthode la plus simple consiste cliquer sur l'icne de
connexion rseau pour activer le menu de l'icne de connexion rseau. Recherchez Service Set Identifier
(SSID) du point d'accs dans la liste des rseaux Wi-Fi et cliquez dessus. Un symbole sous forme de
cadenas indique le point d'accs qui requiert une authentification. Si le point d'accs est scuris, une bote
de dialogue vous invite fournir une cl d'authentification ou un mot de passe.
Le NetworkManager essaie de dtecter automatiquement le type de scurit utilis par le point d'accs. S'il
y a plusieurs possibilits, le NetworkManager devine le type de scurit et le prsente dans le menu
droulant scurit Wi-Fi. Pour la scurit WPA-PSK (WPA avec une phrase de passe), aucun autre
choix n'est ncessaire. Pour WPA Enterprise (802. 1 X), vous devez slectionner la scurit spcifiquement,
car elle ne peut pas tre dtecte automatiquement. Si vous n'tes pas sr, essayez de vous connecter
chaque type l'un aprs l'autre. Enfin, entrez la cl ou la phrase de passe dans le champ Mot de passe.
Certains types de mot de passe, comme la cl 40-bit WEP ou la cl WPA de 128-bits, ne sont pas valides
s'ils ne sont pas de la longueur requise. Le bouton Connexion restera inactif jusqu' ce que vous entriez
une cl de la longueur requise pour le type de scurit slectionn. Pour en savoir plus sur la scurit sans
fil, voir Section 2.5.10.2, Configurer la scurit Wi-Fi .
Vous pouvez galement modifier les paramtres d'une de ces connexions de point d'accs cres
automatiquement, comme si vous l'aviez ajoute vous-mme. La page Wi-Fi de la fentre Rseau dispose
d'un bouton Historique. En cliquant dessus, vous apercevrez une liste de toutes les connexions
auxquelles vous avez essay de vous connecter. Voir Section 2.5.6.2, Modifier une connexion ou en crer
une toute nouvelle
Tous les ponts d'accs ont un Service Set Identifier (SSID) pour les identifier, mais un point d'accs peut tre
configur de faon ne pas transmettre son SSID, dans lequel cas, il sera masqu, et il n'apparatra pas
dans la liste du NetworkManager de rseaux Disponible. Vous pourrez toujours vous connecter un
point d'accs qui cache son SSID si vous connaissez son SSID, sa mthode d'authentification, et ses
secrets.
Pour vous connecter un rseau sans fil masqu, appuyez sur la touche Super pour afficher la Vue
d'ensemble des activits, tapez rseau de contrle et appuyez sur entre. La fentre rseau
apparatra. Slectionnez Wi-Fi dans le menu, puis slectionnez Se connecter au rseau cach de
causer une bote de dialogue apparat. Si vous tiez connect un rseau cach, utilisez la connexion
droulante pour le slectionner et cliquez sur Se connecter. Sinon, laissez la Connexion du menu
droulant Nouvelle, entrez le SSID du rseau masqu, slectionnez sa mthode de scurit Wi-Fi,
saisir les secrets d'authentification corrects et cliquez sur Se connecter.
Pour obtenir davantage d'informations sur la configuration de la scurit sans fil, voir Section 2.5.10.2,
Configurer la scurit Wi-Fi .
Vous pouvez modifier une connexion existante que vous avez essaye ou laquelle vous avez russi vous
connecter dans le pass, en ouvrant la page Wi-Fi de la bote de dialogue Rseau, et en cliquant sur
l'icne de roue dente droite du nom de connexion Wi-Fi. Si le rseau n'est pas actuellement dans la plage
38
Chapitre 2. Configurer la Gestion des rseaux IP
donne, cliquez sur Historique pour afficher les dernires connexions tentes. Lorsque vous cliquerez sur
l'icne de roue dente, la bote de dialogue dition de connexion apparatra. La fentre Dtails montre les
dtails des informations de connexion.
Pour configurer une nouvelle connexion dont le SSID est porte, tentez, tout d'abord, de vous connecter en
ouvrant la fentre Rseau, en slectionnant l'entre de menu Wi-Fi, et en cliquant sur le nom de la
connexion (par dfaut, le mme que le SSID). Si le SSID n'est pas dans la plage propose, voir
Section 2.5.6.1, Se connecter un rseau Wi-Fi masqu . Si le SSID est dans la plage propose, la
procdure est la suivante :
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Entre. L'outil de configuration du Rseau apparatra.
3. Cliquez sur le profil de connexion Wi-Fi auquel vous souhaitez vous connecter dans le menu de
droite. Un symbole sous forme de cadenas indiquera si une cl ou un mot de passe sont exigs.
Pour modifier les paramtres de configuration, slectionner Wi-Fi dans la page Network, puis slectionner
l'icne de roue dente droite du nom de connexion Wi-Fi. Slectionner Identity. Vous verrez les
paramtres suivants :
SSID
Le Service Set Identifier (SSID) du point d'accs, en anglais Access Point (AP).
BSSID
Le premier Basic Service Set Identifier (BSSID) correspond l'adresse MAC ou adresse de
matriel du point d'accs sans fil particulier auquel vous tes connect quand vous tes en mode
Infrastructure. Ce champ reste vide par dfaut, et vous pouvez vous connecter un point
d'accs sans fil par SSID sans avoir besoin d'indiquer son BSSID. Si le BSSID est indiqu, cela
forcera le systme associer vers un point d'accs spcifique uniquement.
Pour les rseaux ad-hoc, le BSSID est gnr au hasard par le sous-systme mac80211 quand le
rseau ad-hoc est cr. Il n'est pas affich dans le NetworkManager
Adresse MAC
Un systme peut avoir une ou plusieurs cartes rseau sans fil connectes. Le champ adresse
MAC permet donc d'associer une carte sans fil spcifique une connexion spcifique (ou des
connexions).
Adressse clone
Adresse MAC clone utiliser la place de la vritable adresse de matriel. Laisser vide moins
qu'on vous indique autrement.
Les paramtres de configuration suivants sont communs tous les profils de connexion :
39
Guide de Gestion des rseaux
Rendre disponible tous les utilisateurs slectionnez cette case pour crer une
connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut ncessiter des
privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions prives ou sur tout le
systme pour obtenir plus d'informations.
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des configurations
suplmentaires
Une fois vous aurez termin de modifier votre connexion sans fil, cliquez sur le bouton Apply pour
enregistrer votre configuration. Si vous avez une configuration correcte, vous pouvez vous connecter votre
connexion modifie en la slectionnant dans le menu d'icones de connexion de rseau. Voir Section 2.5.1,
Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de votre connexion nouvelle ou
modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur l'icne de roue dente pour rvler les informations de connexion.
Authentification de scurit pour la connexion sans fil, cliquer sur Security et allez dans
Section 2.5.10.2, Configurer la scurit Wi-Fi ;
Configurations IPv4 de la connexion, cliquer sur IPv4 et allez dans Section 2.5.10.4, Configuration des
paramtres IPv4 ; ou bien,
Configuration IPv6 de la connexion, cliquer sur IPv6et continuez avec Section 2.5.10.5, Configurer les
paramtres IPv6 .
IPsec, fourni par Libreswan, est la mthode prfre de cration de VPN dans Red Hat Enterprise Linux 7.
L'outil d'interface utilisateur GNOME dcrit ci-dessous exige le paquet NetworkManager-libreswan-gnome. Si
besoin est, pour vous assurer que le paquet est bien install, excutez la commande en tant qu'utilisateur
root :
Voir Red Hat Enterprise Linux 7 System Administrator's Guide pour obtenir plus d'informations sur la faon
d'installer les nouveaux packages dans Red Hat Enterprise Linux 7.
tablir un rseau priv virtuel (VPN) qui vous permettra de communiquer entre votre rseau local (LAN) et un
autre rseau LAN distance. Cela se fait en mettant en place un tunnel travers un rseau intermdiaire, tel
qu'Internet. Le tunnel VPN qui est mis en place en gnral utilise l'authentification et le chiffrement. Aprs
avoir avec succs tabli une connexion VPN l'aide d'un tunnel scuris, une passerelle ou un routeur VPN
excute les actions suivantes sur les paquets que vous transmettrez :
3. il enferme les donnes dans des paquets suivant le protocole ESP (de l'anglais Encapsulating
Security Payload) pour le dcodage et la gestion des directives.
Le routeur du VPN rcepteur supprime les informations d'en-tte, dchiffre les donnes et les achemine vers
leur destination prvue (un poste de travail ou autre nud sur un rseau). En utilisant une connexion de
rseau rseau, le nud rcepteur du rseau local reoit les paquets dj dcodes et prts tre traits.
Le processus de dcodage et de chiffrement dans une connexion VPN de rseau rseau est donc
40
Chapitre 2. Configurer la Gestion des rseaux IP
Comme ils utilisent plusieurs couches d'authentification et de dcodage, les VPN reprsentent un moyen
scuris et efficace pour connecter plusieurs noeuds distants entre eux en intranet unifi.
Vous pouvez configurer une connexion VLAN en ouvrant la fentre Rseau, et en slectionnant le signe plus
sous le menu.
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Entre. L'outil de configuration du Rseau apparatra.
2. Slectionner le symbole plus sous le menu. La fentre Ajouter une connexion rseau
apparaitra.
3. Slectionner l'entre VPN dans le menu. La vue vous donne maintenant la possibilit de configurer
un VPN manuellement, ou d'importer un fichier de configuration de VPN.
Le plug-in de VPN du NetworkManager du type de VPN que vous souhaitez configurer doit tre
install. Voir Section 2.5.7, tablir une connexion VPN .
4. Cliquer sur le bouton Ajouter pour ouvrir l'assistant Slectionner un type de connexion
de VPN.
5. Slectionner le protocole de VPN de la passerelle laquelle vous vous connectez dans le menu. Les
protocoles de VPN disponibles du menu correspondent aux plug-ins de VPN du NetworkManager
installs. Voir Section 2.5.7, tablir une connexion VPN .
6. La fentre Ajouter une connexion rseau change pour afficher les paramtres personnaliss
pour le type de connexion de VPN que vous avez slectionn dans l'tape prcdente.
Vous pouvez configurer une connexion VPN existante en ouvrant la fentre Rseau, et en slectionnant le
nom de la connexion dans la liste. Puis, cliquer sur le bouton Modifier.
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Entre. L'outil de configuration du Rseau apparatra.
2. Slectionner la connexion VPN que vous souhaitez modifier dans le menu de gauche.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types de
connexion. Voir l'onglet Gnral :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera utilis
pour lister cette connexion dans le menu de la fentre Rseau.
41
Guide de Gestion des rseaux
Rendre le rseau disponible tous les utilisateurs slectionnez cette case pour
crer une connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut
ncessiter des privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions prives ou sur
tout le systme pour obtenir plus d'informations.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide Red Hat
Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les zones de parefeux.
Passerelle
Nom de groupe
Si besoin est, saisir le mot de passe utilis pour s'authentifier auprs du VPN.
Si besoin est, saisir le mot de passe utilis pour s'authentifier auprs du VPN.
Nom d'utilisateur
Si besoin est, saisir le nom d'utilisateur qui a servi s'authentifier auprs du VPN.
Phase1 Algorithmes
Si besoin est, saisir les algorithmes utiliser pour s'authentifier et mettre en place un canal chiffr.
Phase2 Algorithmes
Si besoin est, saisir les algorithmes utiliser pour les ngociations IPsec.
Domaine
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations suplmentaires
Une fois vous aurez termin de modifier votre connexion VPN au rseau local virtuel, cliquez sur le bouton
Save pour enregistrer votre configuration personnalise. Si le profil est utilis alors qu'il est en cours de
modification, alimentez le cycle de connexion pour que le NetworkManager applique les modifications. Si le
profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion rseau.
Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de votre
connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur Configurer pour revenir la bote de dialogue Modifier.
42
Chapitre 2. Configurer la Gestion des rseaux IP
Paramtres de configuration IPv4 pour la connexion, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 .
Vous pouvez utiliser les possibilits de la connexion haut dbit du NetworkManager pour vous connecter
aux services 2G et 3G suivants :
2G GPRS (General Packet Radio Service), EDGE (Enhanced Data Rates for GSM Evolution), ou
CDMA (Code Division Multiple Access).
3G UMTS (Universal Mobile Telecommunications System), HSPA (High Speed Packet Access), ou
EVDO (EVolution Data-Only).
Votre machine doit disposer d'un priphrique haut dbit mobile (modem), que le systme aura dcouvert
et reconnu, afin de crer la connexion. Ce dispositif peut tre intgr votre ordinateur (comme c'est le cas
de nombreux ordinateurs portables ou miniportables), ou peut tre fourni sparment avec le matriel ou en
externe. Il s'agit de la carte de PC, le Modem USB ou une cl lectronique, un tlphone mobile ou cellulaire
capable d'agir en tant que modem.
Vous pouvez configurer une connexion haut dbit mobile en ouvrant l'outil Connexions de rseau et en
slectionnant l'onglet Haut dbit mobile.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir nm-connection-editor, et
appuyez sur la touche Enter. L'outil de configuration Connexions de rseau apparatra.
2. Cliquer sur le bouton Ajouter pour ouvrir l'assistant Slectionner un type de connexion.
4. Cliquer sur Create pour ouvrir l'assistant Installer une connexion haut dbit
mobile.
5. Sous Crer une connexion pour ce priphrique haut dbit mobile, choisissez
le priphrique 2 G ou 3 G que vous souhaitez utiliser avec la connexion. Si le menu droulant est
inactif, cela signifie que le systme est incapable de dtecter un priphrique haut dbit mobile.
Dans ce cas, cliquez sur Annuler, et assurez-vous que vous n'avez pas un priphrique haut
dbit mobile qui soit attach et reconnu par l'ordinateur, puis essayez nouveau cette procdure.
Cliquez sur le bouton Continuer.
6. Slectionner le pays o se trouve votre fournisseur de services dans la liste et cliquez sur le bouton
Continuer.
8. Slectionnez votre plan de paiement dans le menu droulant, et confirmer que le point d'accs
Access Point Name (APN) est bien correct. Cliquer sur le bouton Continuer.
9. Vrifier et confirmer les paramtres de configuration, puis cliquer sur le bouton Appliquer.
10. Modifier la configuration spciale haut dbit mobile en consultant Section 2.5.8.1, Configuration de
l'onglet Haut dbit mobile .
43
Guide de Gestion des rseaux
Suivre ces tapes pour modifier une connexion haut dbit mobile existante.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir nm-connection-editor, et
appuyez sur la touche Enter. L'outil de configuration Connexions de rseau apparatra.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types
de connexion. Voir l'onglet Gnral :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera
utilis pour lister cette connexion dans le menu de la fentre Rseau.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide
Red Hat Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les zones de
parefeux.
5. Modifier la configuration spciale haut dbit mobile en consultant Section 2.5.8.1, Configuration de
l'onglet Haut dbit mobile .
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations suplmentaires
Une fois vous aurez termin de modifier votre connexion haut dbit mobile, cliquez sur le bouton Apply
pour enregistrer votre configuration personnalise. Si le profil tait utilis pendant la modification, alimentez
le cycle de connexion pour que NetworkManager applique les modifications. Si le profil est dsactiv (OFF),
rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion rseau. Voir Section 2.5.1, Se
connecter rseau par un GUI pour plus d'informations sur l'utilisation de votre connexion nouvelle ou
modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Connexions
rseau et en cliquant sur Modifier pour revenir la bote de dialogue Modification.
44
Chapitre 2. Configurer la Gestion des rseaux IP
Paramtres de configuration IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 ; ou,
Paramtres de configuration IPv6 pour la connexion, cliquer sur l'onglet IPv6 Settings et continuez
avec Section 2.5.10.5, Configurer les paramtres IPv6 .
Si vous avez dj ajout une connexion haut dbit mobile l'aide de l'assistant (voir Procdure 2.5,
Ajouter une nouvelle connexion haut dbit mobile pour obtenir des instructions), vous pouvez modifier
l'onglet Haut dbit mobile pour dsactiver l'itinrance si le rseau domestique n'est pas disponible, ou
attribuer un ID de rseau ou inciter le NetworkManager prfrer une certaine technologie (par exemple 3
G ou 2 G) quand il utilise la connexion.
Numro
Le numro qui est compos pour tablir une connexion PPP avec le rseau haut dbit mobile
bas GSM. Ce champ peut tre rempli automatiquement pendant l'installation initiale d'un
priphrique haut dbit. Vous pouvez gnralement laisser ce champ vide et entrer l'APN la
place.
Nom d'utilisateur
Saisir le nom d'utilisateur qui sert s'authentifier sur le rseau. Certains fournisseurs ne donnent
pas de nom d'utilisateur, et n'acceptent pas n'importe quel nom d'utilisateur quand vous souhaitez
vous connecter au rseau.
Mot de passe
Saisir le mot de passe utilis pour s'authentifier au rseau. Certains fournisseurs ne vous
donneront pas de mot de passe, ni n'accepteront n'importe quel mot de passe.
APN
Saisir le point d'accs ou Access Point Name (APN) utilis pour tablir une connexion au rseau
bas GSM. Saisir l'APN qui convient une connexion est important car cela dtermine souvent :
ID Rseau
Type
Tous la valeur par dfaut Tous laisse le modem choisir le rseau le plus rapide.
45
Guide de Gestion des rseaux
Dcochez cette case si vous souhaitez que le NetworkManager termine la connexion au lieu de
transitionner d'un rseau domestique un rseau itinrant, vitant ainsi les charges de rseau
itinrant. Si la case est coche, le NetworkManager essaiera de maintenir une bonne connexion
en passant du rseau domestique au rseau itinrant, et vice versa.
PIN
Si le SIM (Subscriber Identity Module) de votre priphrique est vrrouill par un PIN (Personal
Identification Number), saisir le PIN pour que le NetworkManager puisse dverrouiller le
priphrique. Le NetworkManager doit dverrouiller le SIM si le PIN est demand, afin de pouvoir
utiliser le priphrique dans des buts divers.
CDMA et EVDO ont plusieurs options. Ils ont les options APN, ID Rseau, ou Type.
Cette section s'adresse aux installations qui ont une carte DSL intgre dans l'hte plutt que des
combinaisons de router/modem DSL externes, typique des installations SOHO ou de consommateurs privs.
Vous pouvez configurer une nouvelle connexion DSL en ouvrant la fentre Connections rseau, en
cliquant le bouton Ajouter et en slectionnant DSL dans la section Matriel partir de la liste de la
nouvelle connexion.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir nm-connection-editor, et
appuyez sur la touche Enter. L'outil de configuration Connexions de rseau apparatra.
Vous pouvez configurer une connexion DSL existante en ouvrant la fentre Connexions rseau, et en
slectionnant le nom de la connexion dans la liste. Puis, cliquer sur le bouton Modifier.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir nm-connection-editor, et
appuyez sur la touche Enter. L'outil de configuration Connexions de rseau apparatra.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types de
connexion. Voir l'onglet Gnral :
46
Chapitre 2. Configurer la Gestion des rseaux IP
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera utilis
pour lister cette connexion dans le menu de la fentre Rseau.
Rendre le rseau disponible tous les utilisateurs slectionnez cette case pour
crer une connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut
ncessiter des privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions prives ou sur
tout le systme pour obtenir plus d'informations.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide Red Hat
Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les zones de parefeux.
Nom d'utilisateur
Service
Laissez ce champ vide moins d'en tre instruit autrement par votre fournisseur de service.
Mot de passe
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations suplmentaires
Une fois vous aurez termin de modifier votre connexion filaire DSL au rseau local virtuel, cliquez sur le
bouton Apply pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation lors de
la modification, alimentez le cycle de connexion pour que le NetworkManager applique les modifications. Si
le profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion
rseau. Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de
votre connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Connexions
rseau et en cliquant sur Modifier pour revenir la bote de dialogue Modification.
Configuration Adresse MAC et MTU, cliquez sur l'ongletFilaire et continuez avec Section 2.5.5.1,
Configurer le Nom de connexion, le Comportement Auto-Connect, et la Disponiblit ;
Paramtres de configuration IPv4 pour la connexion, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 .
47
Guide de Gestion des rseaux
802. 1X security est le nom de la norme IEEE pour le Contrle d'accs rseau bas sur le port (PNAC).
S'appelle galement WPA Entreprise. En termes simples, 802. 1X security est un moyen de contrle d'accs
un rseau logique partir d'un rseau physique. Tous les clients qui veulent se joindre au rseau logique
doivent s'authentifier auprs du serveur (un routeur, par exemple) l'aide de la mthode d'authentification
802.1X qui convient.
802.1X security est souvent associ la scurisation des rseaux sans fil (les WLAN), mais peut galement
tre utilis pour empcher des intrus ayant un accs physique au rseau (LAN) d'accder. Dans le pass,
les serveurs DHCP taient configurs de faon ne pas allouer d'adresses IP des utilisateurs non
autoriss, mais pour diverses raisons, cette pratique est peu commode et peu sre, et donc n'est plus
recommande. la place, 802.1X security est utilis pour garantir un rseau logiquement scuris grce
une authentification base sur les ports.
802.1X fournit une structure de contrle d'accs WLAN et LAN et sert d'enveloppe de transport pour les
types d'EAP (Extensible Authentification Protocol). Un type EAP est un protocole qui dfinit comment la
scurit se profile sur un rseau.
Vous pouvez configurer 802.1X security d'un type de connexion filaire ou sans fil, en ouvrant la fentre
Rseau (voir Section 2.5.1, Se connecter rseau par un GUI ) et en suivant la procdure qui s'applique
ci-dessous. Appuyez sur la touche Super pour saisir la Vue d'ensemble des activits, saisir control
network et appuyer sur la touche Enter. L'outil de configuraition du Rseau apparatra. Continuez avec
Procdure 2.9, Pour une connexion filaire ou Procdure 2.10, Pour une connexion sans fil :
2. Vous pouvez soit cliquer sur Ajouter profil pour ajouter une nouvelle connexion de rseau sur
laquelle vous souhaitez configurer la scurit 802.1X, ou slectionner un profil et cliquer sur l'icne
de roue dente.
3. Puis, slectionner Security et mettre le bouton d'alimentation symbolique sur ON pour activer la
configuration.
4. Continuez avec Section 2.5.10.1.1, Configuration des paramtres TLS (Transport Layer
Security)
1. Slectionner une interface de rseau Sans fil dans le menu de gauche. Si besoin est, mettre le
bouton d'alimentation symbolique sur ON et vrifiez que votre bouton de matriel est bien branch.
2. Slectionner le nom de la connexion d'une nouvelle connexion ou cliquer sur l'icne de roue dente
d'un profil de connexion existant, pour lequel vous souhaitez configurer la scurit 802. 1 X. Dans le
cas d'une nouvelle connexion, complter toutes les tapes d'authentification pour terminer la
connexion, puis cliquer sur l'icne de roue dente.
3. Slectionner Scurit.
4. Dans le menu droulant, slectionner une des mthodes de scurit suivantes : LEAP, Dynamic
WEP (802.1X), ou WPA & WPA2 Enterprise.
5. Voir Section 2.5.10.1.1, Configuration des paramtres TLS (Transport Layer Security) pour
obtenir des descriptions des types de protocoles d'authentitification extensibles (EAP de l'anglais
48
Chapitre 2. Configurer la Gestion des rseaux IP
Extensible Authentification Protocol) qui correspondent votre slection dans le menu droulant
Scurit.
Avec TLS, le client et le serveur s'authentifient mutuellement par le protocole TLS. Le serveur prouve qu'il
dtient un certificat digital, le client prouve sa propre identit en utilisant son certificat ct client, et des
informations de cls sont changes. Une fois que l'authentification est termine, le tunnel TLS n'est plus
utilis. la place, le client et le serveur utilisent les cls changes pour chiffrer les donnes par AES, TKIP
ou WEP.
Le fait que les certificats doivent tre distribus tous les clients qui veulent s'authentifier signifie que la
mthode d'authentification EAP-TLS est robuste, mais galement plus complique mettre en place. Utiliser
la scurit TLS requiert un investissement d'infrastructure cl publique (PKI) (Public Key Infrastructure)
pour grer les certificats. L'avantage d'utiliser la scurit TLS est qu'un mot de passe compromis ne permet
pas l'accs au rseau local (W) : un intrus doit galement avoir accs la cl prive du client qui
s'authentifie.
Le NetworkManager ne dtermine pas la version du TLS pris en charge. Le NetworkManager collecte les
paramtres saisis par l'utilisateur, et les passe au dmon, wpa_supplicant, qui gre la procdure. Il utilise,
son tour, OpenSSL pour tablir le tunnel TLS. OpenSSL lui-mme ngocie la version de protocole SSL/TLS.
Il utilise la version la plus rcente que les deux parties supportent.
Slectionner TLS pour Transport Layer Security et continuer avec Section 2.5.10.1.2, Configuration les
paramtres TLS ;
Slectionnez FAST pour Flexible Authentication via Secure Tunneling et continuez avec
Section 2.5.10.1.4, Configurer les paramtres TLS Tunneled ;
Slectionner Tunneled TLS pour Tunneled Transport Layer Security, aussi connu comme TTLS, ou
EAP-TTLS et continuer avec Section 2.5.10.1.4, Configurer les paramtres TLS Tunneled ;
Slectionner Protected EAP (PEAP) pour Protected Extensible Authentication Protocol et continuer
avec Section 2.5.10.1.5, Configurer un PEAP (Protected EAP) .
Identit
Certificat d'utilisateur
Naviguer sur un fichier certificat X.509 personnel encod avec DER (Distinguished Encoding
Rules) ou avec PEM (Privacy Enhanced Mail).
Certificat CA
Naviguer sur un fichier certificat CA X.509 personnel encod avec DER (Distinguished Encoding
Rules) ou avec PEM (Privacy Enhanced Mail).
Cl prive
Naviguer sur un fichier cl prive encod avec DER(Distinguished Encoding Rules), PEM (Privacy
Enhanced Mail), ou PKCS #12 (Personal Information Exchange Syntax Standard).
49
Guide de Gestion des rseaux
Identit anonyme
Allocation PAC
Cochez la case pour activer, puis choisissez entre Anonymous, Authenticated, et Both.
Fichier PAC
Authentification interne
Nom d'utilisateur
Mot de passe
Identit anonyme
Certificat CA
Authentification interne
Nom d'utilisateur
Mot de passe
50
Chapitre 2. Configurer la Gestion des rseaux IP
Identit anonyme
Certificat CA
Version PEAP
Authentification interne
Nom d'utilisateur
Mot de passe
Securit
WEP 40/128-bit Key Wired Equivalent Privacy (WEP), du standard IEEE 802.11. Utilise une cl
unique PSK (de l'anglais Pre-Shared Key).
WEP 128-bit Passphrase Un hachage MD5 de la phrase de passe qui sera utilise pour former
la cl WEP.
Dynamic WEP (802.1X) les cls WEP sont changes dynamiquement. utiliser avec
Section 2.5.10.1.1, Configuration des paramtres TLS (Transport Layer Security)
WPA & WPA2 Personal Wi-Fi Protected Access (WPA), provient du projet de standard IEEE
802.11i. Vient en remplacement de WEP. Wi-Fi Protected Access II (WPA2), du standard 802.11i-
2004. Le mode personnel utilise une cl WPA-PSK.
WPA & WPA2 Enterprise WPA utiliser avec un serveur d'authentification RADIUS pour
donner un contrle d'accs au rseau IEEE 802.1X. utiliser avec Section 2.5.10.1.1,
Configuration des paramtres TLS (Transport Layer Security)
Mot de passe
51
Guide de Gestion des rseaux
Mthodes de configuration
Compression des en-ttes pour les liens en sries petite vitesse (RFC 1144).
Codes LCP Echo-Request et Echo-Reply pour les tests de bouclage (RFC 1661).
L'onglet Paramtrage IPv4 vous permet de configurer la mthode utilise pour se connecter un rseau,
d'entrer l'adresse IP, le routage et les informations DNS, selon les besoins. L'onglet ParamtrageIPv4 est
l pour que vous puissiez crer et modifier un des types de connexions suivantes : filaire, sans fil, haut
dbit mobile, VPN ou DSL. Si vous avez besoin de configurer les adresses IPv6, voir Section 2.5.10.5,
Configurer les paramtres IPv6 . Si vous devez configurer des routes statiques, cliquez sur le bouton
Routages et passez Section 2.5.10.6, Routes de configuration .
Si vous utilisez DHCP pour obtenir une adresse IP dynamique de la part d'un serveur DHCP, vous n'avez plus
qu' dfinir la Mthode Automatic (DHCP).
Dfinir la mthode
Quand vous cliquez sur le menu droulant Mthode, selon le type de connexion que vous configurez, vous
pourrez slectionner l'une des mthodes de connexion IPv4 suivantes. Toutes les mthodes sont
rpertories ici par type de connexion, ou de types auquels elles sont associes :
Mthode
Automatic (DHCP) slectionner cette option si le rseau auquel vous vous connectez utilise un
serveur DHCP pour assigner les adresses IP. Vous n'avez pas besoin de remplir le champ ID
client DHCP.
Automatic (DHCP), adresses uniquement slectionner cette option si le rseau auquel vous
vous connectez utilise un serveur DHCP pour assigner les adresses IP, mais que vous souhaitiez
assigner vos serveurs DNS manuellement.
Link-Local Uniquement slectionner cette option si le rseau auquel vous vous connectez
utilise un serveur DHCP, et que vous ne souhaitiez pas assigner les adresses IP manuellement.
Des adresses alatoires seront assignes selon RFC 3927 avec le prfixe 169.254/16.
Partag avec d'autres ordinateurs slectionnez cette option si l'interface que vous configurez
doit servir partager une connexion Internet ou WAN. L'interface reoit une adresse dans la plage
52
Chapitre 2. Configurer la Gestion des rseaux IP
10.42.x.1/24 range, un serveur DHCP et un serveur DNS sont dmarrs, et l'interface est
connecte sur le systme une connexion de rseau par dfaut par le network address translation
(NAT).
Manuel Slectionnez cette option si vous souhaitez assigner des adresses IP manuellement.
Automatic (PPP) slectionner cette option si le rseau auquel vous vous connectez assigne
votre adresse IP et vos serveurs DNS automatiquement.
Adresses automatic (PPP) uniquement slectionner cette option si le rseau auquel vous
vous connectez assigne votre adresse IP et vos serveurs automatiquement, mais que vous
souhaitez spcifier les serveurs DNS manuellement.
Automatic (VPN) slectionner cette option si le rseau auquel vous vous connectez assigne
votre adresse IP et vos serveurs DNS automatiquement.
Adresses automatic (VPN) uniquement slectionner cette option si le rseau auquel vous
vous connectez assigne votre adresse IP et vos serveurs automatiquement, mais que vous
souhaitez spcifier les serveurs DNS manuellement.
Automatic (PPPoE) slectionner cette option si le rseau auquel vous vous connectez assigne
votre adresse IP et vos serveurs DNS automatiquement.
Adresses automatic (PPPoE) uniquement slectionner cette option si le rseau auquel vous
vous connectez assigne votre adresse IP et vos serveurs automatiquement, mais que vous
souhaitez spcifier les serveurs DNS manuellement.
Pour obtenir des informations sur la faon de configurer des routes statiques sur la connexion rseau, voir
Section 2.5.10.6, Routes de configuration .
Mthode
Ignorer slectionnez cette option si vous souhaitez ignorer les paramtres IPv6 de cette
connexion.
Automatic slectionnez cette option pour utiliser SLAAC afin de crer une configuration
automatique, stateless base sur l'adresse de matriel et les annonces de routage (RA) (de
l'anglais router advertisements).
Automatic , adresses uniquement slectionner cette option si le rseau auquel vous vous
connectez utilise les annonces de routage (RA) (de l'anglais router advertisements pour crer une
configuration automatique stateless, mais que vous souhaitez assigner vos serveurs DNS
manuellement.
Automatic, DHCP uniquement slectionnez cette option pour ne pas utiliser RA, mais
demandez des informations de DHCPv6 directement pour crer une configuration stateful.
53
Guide de Gestion des rseaux
Manuel Slectionnez cette option si vous souhaitez assigner des adresses IP manuellement.
Link-Local Uniquement slectionner cette option si le rseau auquel vous vous connectez
utilise un serveur DHCP, et que vous ne souhaitiez pas assigner les adresses IP manuellement.
Des adresses alatoires seront assignes selon RFC 4862 avec le prfixe FE80::0.
Adresses
Serveurs DNS saisir une liste de serveurs DNS spare par des virgules.
Domaines de recherche saisir une liste de contrleurs de domaines spare par des virgules.
Pour obtenir des informations sur la faon de configurer des routes statiques sur la connexion rseau, voir
Section 2.5.10.6, Routes de configuration .
Une table de routage d'hte se remplira automatiquement avec les routes vers les rseaux directement
connects. Les routes sont apprises en examinant les interfaces rseau lorsqu'elles sont actives . Cette
section dcrit la saisie de routes statiques allant vers des rseaux ou des htes qui peuvent tre atteints en
traversant un rseau intermdiaire ou une connexion, comme par exemple, un tunnel VPN ou ligne alloue.
Pour atteindre un rseau distant ou un hte, le systme reoit l'adresse d'une passerelle vers lequel le trafic
doit tre dirig.
Quand une interface d'hte est configure via DHCP, une adresse de passerelle qui mne un rseau en
amont ou Internet est gnralement assigne. Cette passerelle est gnralement considre comme tant
la passerelle par dfaut, car c'est la porte d'entre utiliser si aucun autre itinraire plus adequat n'est connu
du systme (et prsent dans la table de routage). Les administrateurs rseau utilisent souvent l'adresse IP
du premier ou du dernier hte dans le rseau comme adresse de passerelle ; par exemple, 192.168.10.1
ou 192.168.10.254. Ne doit pas tre confondu avec l'adresse qui reprsente le rseau lui-mme ; dans
cet exemple, 192.168.10.0 ou adresse de diffusion du sous-rseau ; dans cet exemple
192.168.10.255.
Pour dfinir une route statique, ouvrir la fentre de configuration IPv4 ou IPv6 pour la connexion que vous
souhaitez configurer. Voir Section 2.5.1, Se connecter rseau par un GUI pour obtenir des instructions
sur la faon de procder.
Routes
Metric un cot de rseau, une valeur souhaitable donner ce routage. On favorisera les
valeurs leves.
Automatique
Quand Automatic est ON (activ), les routages de RA ou de DHCP seront utiliss, mais vous
pouvez galement ajouter des routages statiques. Quand Automatic est OFF (dsactiv), seuls
les routages statiques que vous dfinissez seront utiliss.
54
Chapitre 2. Configurer la Gestion des rseaux IP
Slectionner cette case pour viter que la connexion ne devienne le routage par dfaut. Les
exemples typiques sont les cas o une connexion correspond un tunnel VPN ou une ligne
alloue un sige d'entreprise et quand vous ne souhaitez pas que tout le trafic Internet passe sur
cette connexion. En slectionnant cette option, cela signifie que seul le trafic spcifiquement
destin aux routages appris automatiquement sur la connexion ou saisie ici manuellement sera
rout via la connexion.
Dcrit le VPN bas IPsec et sa configuration, ainsi que la faon d'utiliser les interrogations DNS
authentifies avec DNSSEC.
Dcrit la stratgie dagrgation et l'attribution d'adresses CIDR, ainsi que les sous-rseautage
longueurs variables.
Dcrit les blocs d'adresses IPv4 qui ont t assignes par l'IANA ( Internet Assigned Numbers
Authority).
55
Guide de Gestion des rseaux
Le nom d'hte statique est un hostname traditionnel, qui peut tre choisi par l'utilisateur, et qui se trouve
dans le fichier /etc/hostname. Le nom d'hte transitoire est un hostname dynamique maintenu par le
noyau. Il est initialis au nom d'hte statique par dfaut, dont la valeur correspond au localhost . Il peut
tre chang par DHCP ou mDNS en cours d'excution. Le nom d'hte pretty (hostname) se prsente en
forme libre UTF8 l'utilisateur.
Note
Un nom d'hte peut correspondre une chane en forme libre allant jusqu' 64 caractres. Red Hat
recommande cependant que les noms statiques et transitoires correspondent au nom de domaine
complet (FQDN) utilis pour la machine pour le DNS, comme host.exemple.com. Il est galement
recommand que les noms statiques et transitoires se composent uniquement de caractres
minuscules ASCII de 7 octets, sans espace ou point, et qu'ils se limitent au format autoris pour les
tiquettes de nom de domaine DNS, mme si ce n'est pas une exigence stricte. Les spcifications plus
anciennes ne permettent pas le trait de soulignement ; leur utilisation n'est donc pas conseille.
L'outil hostnamectl fera en sorte que les noms d'hte statiques, transitoires ou pretty soient
composs des lments suivants a-z, A-Z, 0-9, - , _ et . uniquement, qu'ils ne
commencent, ni ne se terminent par un point, et qu'ils ne soient pas composs de deux points la
suite l'un de l'autre. La taille limite est de 64 caractres.
ICANN (Internet Corporation for Assigned Names and Numbers) ajoute parfois des domaines de premier
niveau prcdemment non enregistrs (par exemple, .yourcompany) dans le registre public. Par
consquent, Red Hat recommande fortement que vous n'utilisiez pas un nom de domaine qui ne vous soit
pas octroy, mme sur un rseau priv, car cela pourrait rsulter en un nom de domaine qui se rsolve
diffremment selon la configuration de rseau. Par consquence, les ressources rseau peuvent devenir
indisponibles. Utiliser des noms de domaine qui ne vous sont pas dlgus complique aussi le dploiement
et la maintenance de DNSSEC, car les colisions de noms de domaines ncessitent une configuration
manuelle pour activer la validation de DNSSEC. Consultez la FAQ ICANN FAQ on domain name collision de
l'ICANN sur les collisions de noms de domaine pour plus d'informations sur cette question.
3.2. Configurer des noms d'htes par l'interface d'utilisateur texte, nmtui
L'outil d'interface utilisateur de texte nmtui peut tre utilise pour configurer un nom d'hte dans une fentre
de terminal. Excutez la commande suivante pour dmarrer l'outil :
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
56
Chapitre 3. Confiuguration de noms d'htes
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'un case cocher.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
L'outil d'interface utilisateur de texte du NetworkManager, nmtui, peut tre utilis pour interroger et dfinir le
nom d'hte statique dans le fichier /etc/hostname. Notez qu'au moment de la rdaction, changer le nom
de cette faon ne sera pas remarqu par le hostnamectl.
Pour forcer le hostnamectl remarquer le changement de nom d'hte statique, dmarrer nouveau le
hostnamed en tant qu'utilisateur root:
L'outil hostnamectl est fourni pour administrer les trois classes de noms d'htes utilises sur un systme
donn.
Pour voir tous les noms d'htes actuels, saisir la commande suivante :
L'option status est implique par dfaut si aucune option n'est donne.
Pour voir tous les noms d'hte dans un systme, saisir la commande suivante en tant qu'utilisateur root :
57
Guide de Gestion des rseaux
Cela altrera la fois les noms pretty, statiques ou transitoires. Les noms statiques et transitoires seront
sous une forme simplifie des noms d'hte pretty . Les espaces seront remplacs par des - et les
caractres spciaux seront supprims.
Pour saisir un nom d'hte particulier, saisir la commande suivante en tant qu'utilisateur root avec l'option qui
convient :
Si les options --static ou --transient sont utilises ensemble avec l'option --pretty, les noms
statiques et transitoires seront sous une forme simplifie des noms d'hte pretty . Les espaces seront
remplacs par des - et les caractres spciaux seront supprims. Si l'option --pretty n'est pas
donne, aucune simplification n'aura lieu.
Quand on dfinit un nom d'hte pretty , ne pas oublier d'utiliser les caractres de citation qui conviennent
si le nom d'hte contient des espaces ou un caractre de citation unique. Par exemple :
Pour supprimer un nom d'hte particulier et lui permettre de retrouver sa valeur par dfaut, saisir la
commande suivante en tant qu'utilisateur root avec l'option qui convient :
Quand "" correspond une chane de cotation vide et que l'option correspond un ou plusieurs : --pretty,
--static, et --transient.
Pour excuter une commande hostnamectl sur un systme distant, utiliser l'option -H, --host, comme
suit :
Quand le hostname correspond l'hte distant que vous souhaitez configurer. Le username est en option.
L'outil hostnamectl utilisera SSH pour se connecter au systme distant.
58
Chapitre 3. Confiuguration de noms d'htes
Pour dfinir le nom d'hte statique my-server, excutez la commande suivante en tant qu'utilisateur root :
Pour forcer le hostnamectl remarquer le changement de nom d'hte statique, dmarrer nouveau le
hostnamed en tant qu'utilisateur root:
Page man hostnamectl(1) dcrit hostnamectl y compris les commandes et les options de
commandes.
Page man hostname(1) contient une explication sur les commandes hostname et domainname.
Page man hostname(5) contient une explication sur le fichier de nom d'hte, son contenu et son
utilisation.
Page man hostname(7) contient une explication de la rsolution d'un nom d'hte.
Page man machine-info(5) dcrit le fichier d'information de la machine locale et les variables
d'environnement qu'il contient.
59
Guide de Gestion des rseaux
Avertissement
L'utilisation des connexions directes par cable sans commutateurs de rseau n'est pas prise en
charge par le Network Bonding. Le mcanisme de basculement dcrit ici ne fonctionnera pas comme
prvu sans la prsence de commutateurs de rseaux. Voir l'article de base de connaissance Why is
bonding in not supported with direct connection using crossover cables? (Pourquoi Network Bonding
ne prend il pas en charge les connexions directes avec des cbles croiss ?) pour obtenir plus
d'informations.
Note
4. Une interface matre sans esclaves peut dmarrer les connexions IP statiques.
5. Une interface matre sans esclaves attend les esclaves avant de dmarrer les connexions DHCP.
6. Une interface matre avec une connexion DHCP en attente d'esclaves se termine quand un esclave
accompagn d'un transporteur est ajout.
7. Une interface matre avec une connexion DHCP en attente d'esclaves continue quand un esclave
sans transporteur est ajout.
60
Chapitre 4. Configurer Network Bonding
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'un case cocher.
Figure 4.1. Pour que l'interface utilisateur texte du NetworkManager ajoute un menu de
connexion de liaison
2. Slectionner Bond, puis Create ; l'cran Edit connection de Network Bonding appratra.
61
Guide de Gestion des rseaux
Figure 4.2. Pour que l'interface utilisateur texte du NetworkManager configure un menu de
connexion de liaison
3. ce moment l, les interfaces esclaves aront besoin d'tre ajoutes la liaison : pour les ajouter,
slectionner Ajouter, et l'cran Nouvelle connexion apparatra. Une fois que le type de
connexion aura t slectionn, appuyer sur le bouton Crer.
62
Chapitre 4. Configurer Network Bonding
Figure 4.3. Pour que l'interface utilisateur texte du NetworkManager configure un nouveau
menu de connexion de liaison esclave
4. Le bouton Modifier la connexion de l'esclave apparat : saisir alors l'adresse MAC ou le nom
de priphrique de l'esclave que vous aurez choisi dans la section Priphriques. Si besoin est,
saisir une adresse MAC clone utiliser comme adresse MAC de liaison, en slectionnant
Afficher droite de l'tiquette Ethernet. Slectionnez le bouton OK pour sauvegarder l'esclave.
Note
Si le priphrique est spcifi sans adresse MAC, la section Priphrique sera remplie
automatiquement une fois que la fentre Modifier Connexion sera charge, mais
uniquement s'il trouve le priphrique.
63
Guide de Gestion des rseaux
Figure 4.4. Pour que l'interface texte d'utilisateur du NetworkManager configure un menu de
connexion de liaison esclave
5. Le nom de la liaison esclave apparat dans la section Slaves. Rptez les tapes ci-dessus pour
ajouter des connexions esclaves.
6. Vrifier et confirmer les paramtres de configuration, avant de cliquer sur le bouton OK.
64
Chapitre 4. Configurer Network Bonding
Figure 4.5. Pour que l'interface texte d'utilisateur du NetworkManager termine la liaison
Voir Section 4.6.1.1, Configurer l'onglet Liaisons pour obtenir des dfinitions sur les termes attenants aux
liaisons.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
Pour crer une liaison, nomme mybond0, excutez une commande comme suit :
~]$ nmcli con add type bond con-name mybond0 ifname mybond0 mode active-
backup
Connection 'mybond0' (9301ff97-abbc-4432-aad1-246d7faea7fb) successfully
added.
~]$ nmcli con add type bond-slave ifname ens7 master mybond0
Pour ajouter des esclaves supplmentaires, rptez la commande prcdente avec une nouvelle interface.
Exemple :
65
Guide de Gestion des rseaux
~]$ nmcli con add type bond-slave ifname ens3 master mybond0
Connection 'bond-slave-ens3-1' (50c59350-1531-45f4-ba04-33431c16e386)
successfully added.
Notez que comme aucun con-name n'a t donn pour les eslaves, le nom a t driv du nom de l'interface
ajout au type. Au moment de la rdaction, nmcli ne prend en charge que les esclaves Ethernet.
Pour qu'une liaison apparaisse, les esclaves doivent tout d'abord apparatre comme suit :
Voir Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli pour une introduction
nmcli
Dans Red Hat Enterprise Linux 7, le module de liaison est tlcharg par dfaut. Si ncessaire, vous pouvez
tlcharger le module en excutant la commande suivante en tant qu'utilisateur root :
Cette activation ne pourra pas persister travers les redmarrages de systme. Voir MAJOROSVER;
System Administrator's Guide (Guide d'administrateur de systmes) pour une explication sur le chargement
de modules persistants. Notez que s'il y a un fichier de configuration correct qui utilise la directive
BONDING_OPTS, le module Bonding sera tlcharg selon les besoins et n'aura donc pas besoin d'tre
tlcharg sparemment.
66
Chapitre 4. Configurer Network Bonding
Pour crer une interface de canal de liaison, crer un fichier dans le rpertoire
/etc/sysconfig/network-scripts/ nomm ifcfg-bondN, et remplacer N par le numro de
l'interface, par exemple 0.
Le contenu du fichier peut tre bas sur un fichier de confiuguration ou n'importe quel type d'interface en
cours de processus, comme l'interface Ethernet. Les diffrences principales tant que la directive DEVICEest
bondN, que l'on remplace N par le numro d'interface, et TYPE=Bond. De plus, dfinir
BONDING_MASTER=yes.
DEVICE=bond0
NAME=bond0
TYPE=Bond
BONDING_MASTER=yes
IPADDR=192.168.1.1
PREFIX=24
ONBOOT=yes
BOOTPROTO=none
BONDING_OPTS="bonding parameters separated by spaces"
La directive NAME est utile pour nommer le profil de connexion dans le NetworkManager. ONBOOT
indique si le profil doit tre dmarr l'amorage (ou plus gnralement, quand le priphrique est auto-
connect).
Important
Les paramtres du module de noyau de liaison doit tre spcifi dans une liste spare par des
virgules dans la directive BONDING_OPTS="bonding parameters" du fichier de l'interface
ifcfg-bondN. Ne pas spcifier d'options pour le priphrique de liaison dans
/etc/modprobe.d/bonding.conf, ou dans le fichier obsolte /etc/modprobe.conf.
Le paramtre max_bonds n'est pas spcifique l'interface et ne doit pas tre dfini quand on utilise
les fichiers ifcfg-bondN avec la directive BONDING_OPTS car cette directive amnera les scripts de
rseau crer des interfaces de liaison selon les besoins.
Pour obtenir plus d'informations et des conseils sur la faon de configurer le module de liaison, et
pour voir la liste des paramtres de liaison, consulter Section 4.5, Utiliser une liaison de canal .
L'interface de canal de liaison est le master et les interfaces de liaison sont appeles les esclaves .
Une fois que l'interface de liaison de canaux est cre, les interfaces rseau devant tre relies ensemble
doivent tre configures en ajoutant les directives MASTER et SLAVE aux fichiers de configuration des
esclaves. Les fichiers de configuration pour chaque interface esclave peuvent tre presque identiques.
67
Guide de Gestion des rseaux
Ainsi, si deux interfaces Ethernet sont relies par canaux, eth0 and eth1, elles peuvent toutes les deux
ressembler ce qui suit :
DEVICE=ethN
NAME=bond0-slave
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
Dans cet exemple, remplacez N par la valeur numrique de l'interface. Notez que s'il y a plus d'un seul
profil ou fichier de configuration ayant ONBOOT=yes pour interface, ils risquent de rentrer en comptition et
un profil TYPE=Ethernet risque d'tre activ la place d'une liaison esclave.
Pour activer une liaison, fates apparatre les esclaves. Puis, en tant qu'utilisateur root, excutez la
commande suivante :
Notez que si vous modifiez des fichiers d'interface pour des interfaces qui sont actuellement en ligne
( up ), commencez par les dfinir ainsi :
ifdown ethN
. Puis, une fois termin, faites apparatre les esclaves, ce qui fera apparatre la liaison (sauf si down ).
Pour rendre le NetworkManager au fait de ces changements, excutez une commande pour chaque
interface modife, en tant qu'utilisateur root:
Le comportement par dfaut est pour NetworkManager de ne pas tre au courant des changements et de
continuer utiliser les anciennes donnes de configuration. C'est dfini par l'option monitor-connection-
files dans le fichier NetworkManager.conf. Voir la page de manuel NetworkManager.conf(5) pour
plus d'informations.
68
Chapitre 4. Configurer Network Bonding
Dans Red Hat Enterprise Linux 7, pour chaque liaison, une interface de canal de liaison est cre,
comprenant la directive BONDING_OPTS. Cette mthode de configuration est utilise pour que plusieurs
priphriques de liaison puissent avoir des configurations diffrentes. Pour crer plusieurs interfaces de
canaux de liaison, procdez ainsi :
Crez plusieurs fichiers ifcfg-bondN avec la directive BONDING_OPTS car cette directive amnera les
scripts de rseau crer des interfaces de liaison selon les besoins.
Crez ou modifiez des fichiers de configuration d'interface existants relier, et inclure la directive SLAVE.
Assignez les interfaces relier et les interfaces esclaves aux canaux de liaison par la directive MASTER.
DEVICE=bondN
NAME=bondN
TYPE=Bond
BONDING_MASTER=yes
IPADDR=192.168.1.1
PREFIX=24
ONBOOT=yes
BOOTPROTO=none
BONDING_OPTS="bonding parameters separated by spaces"
Dans cet exemple, remplacer N par le numro de l'interface de liaison. Par exemple, pour crer deux
liaisons, crez deux fichers de configuration, ifcfg-bond0 et ifcfg-bond1, avec les adresses IP qui
conviennent.
Crer les interfaces relier en suivant les explications suivantes Exemple 4.2, Exemple de fichier de
configuration d'interface esclave et les assigner aux interfaces de liaison, selon les besoins, en utilisant la
directive MASTER=bondN. Ainsi, en continuant avec l'exemple ci-dessus, si on a besoin de deux interfaces
par liaison, alors deux liaisons creront quatre fichiers de configuration d'interface. Assigner les deux
premires MASTER=bond0, et les deux suivanes MASTER=bond1.
69
Guide de Gestion des rseaux
Pour amliorer les performances, ajuster les options de modules disponibles pour dterminer quelle
combinaison fonctionne le mieux. Prtez une attention particulire miimon ou arp_interval, et au
paramtre arp_ip_target. Voir Section 4.5.1, Relier des proprits utilisateur pour obtenir une liste
des options disponibles et comment dterminer rapidement les meilleurs pour votre interface lie.
C'est une bonne ide de tester quels paramtres de module de liaison de canaux fonctionnent le mieux pour
vos interfaces relies avant de les ajouter la directive BONDING_OPTS="bonding parameters" de votre
fichier de configuration d'interface de liaison (par exemple ifcfg-bond0). Les paramtres d'interfaces relis
peuvent tre configurs sans dcharger (ou recharger) le module de liaison en manipulant des fichiers dans
le systme de fichiers sysfs.
sysfs est un systme de fichiers virtuels qui reprsente des objets de noyau en tant que rpertoires,
fichiers, et liens symboliques. sysfs peut tre utilis pour chercher des informations sur les objets de noyau,
et peut aussi manipuler ces objets par l'utilisation de commandes systme de fichiers normaux. Le systme
de fichiers virtuel sysfs est mont sous le rpertoire /sys/. Toutes les interfaces de liaison peuvent tre
configures dynamiquement par interaction et en manipulant des fichiers dans le rpertoire
/sys/class/net/.
Afin de dterminer les meilleurs paramtres pour votre interface de liaison, crez un fichier d'interface de
liaison de canaux comme ifcfg-bond0 en suivant les instructions de Section 4.4.2, Crer une interface
de canal de liaison . Insrer les directives SLAVE=yes et MASTER=bond0 dans les fichiers de configuration
pour chaque interface relie bond0. Une fois termin, vous pouvez continuer tester les paramtres.
Commencez par appeler la liaison que vous venez de crer en excutant ifup bondN en tant qu'utilisateur
root:
Si vous avez cr le fichier d'interface de liaison ifcfg-bond0, vous pourrez apercevoir bond0 dans la
sortie de la commande ip link show en tant qu'utilisateur root :
Pour apercevoir toutes les liaisons existantes, mme si elles ne sont pas actives, excutez :
Vous pouvez confiugurer chaque liaison individuellement en manipulant des fichiers qui se trouvent dans
/sys/class/net/bondN/bonding/. Commencez par dsactiver la liaison que vous configurez :
70
Chapitre 4. Configurer Network Bonding
Par exemple, pour activer le monitoring MII sur le bond0 avec une seconde d'intervalle, excutez en tant
qu'utilisateur root :
Aprs avoir configur les options pour la liaison en question, vous pouvez l'activer et la tester en excutant
ifup bondN. Si vous dcidez de changer les options, dsactivez l'interface, modifiez ses paramtres
l'aide de sysfs, ractivez-la et testez-la nouveau.
Une fois que vous aurez dtermin le meilleur jeu de paramtres pour votre liaison, ajouter ces paramtres
sous forme de liste spare par des espaces la directive BONDING_OPTS = du fichier
/etc/sysconfig/network-scripts/ifcfg-bond N pour l'interface de liaison que vous configurez.
Chaque fois que ce lien est activ (par exemple, par le systme au cours de la squence de dmarrage
quand la directive ONBOOT=yes est dfinie), les options de liaison spcifies dans BONDING_OPTS prendront
effet pour cette liaison.
La liste suivante fournit les noms de nombreux paramtres de liaison de canaux connus, ainsi qu'une
description de ce qu'ils font. Pour plus d'informations, voir la brve description de chaque parm en sortie de
modinfo collage, ou pour plus d'informations, voir
https://www.kernel.org/doc/Documentation/networking/bonding.txt.
ad_select=value
Indique la logique de slection d'aggrgation 802.3ad utiliser. Voici les valeurs possibles :
stable ou 0 valeur par dfaut. L'agrgateur actif est choisi par la plus grande bande
passante globale. Une nouvelle slection de l'agrgateur actif a lieu uniquement lorsque tous
les esclaves de l'agrgateur actif sont dsactivs ou si l'agrgateur actif n'a aucun esclave.
bandwidth ou 1 l'agrgateur est choisi par la plus grande bande passante globale. Une
reslection a lieu nouveau si :
count ou 2 l'agrgateur est choisi par le plus grand nombre d'esclaves. La reslection a lieu
comme expliqu dans la configuration de bandwidth ci-dessus.
71
Guide de Gestion des rseaux
arp_interval=time_in_milliseconds
Important
Si vous utilisez cette confiuguration en mode=0 ou en mode=2 (les deux modes d'quilibrage des
charges), le commutateur de rseau doit tre configur pour distribuer des paquets quitablement
entre les cartes rseau. Pour plus d'informations sur la faon de procder, voir
https://www.kernel.org/doc/Documentation/networking/bonding.txt.
arp_ip_target=ip_address[,ip_address_2,ip_address_16]
Indique l'adresse IP cible des requtes ARP quand le paramtre arp_interval est activ. On
peut spcifier jusqu' 16 adresses IP dans une liste spare par des virgules.
arp_validate=value
Validater la source/distribution des sondes ARP ; la valeur par dfaut est none. Autres valeurs
possibles active, backup, et all.
downdelay=time_in_milliseconds
Indique (en millisecondes) la dure attendre suite un chec de lien avant de dsactiver ce lien.
La valeur doit correspondre un multiple de la valeur spcifie dans le paramtre miimon. La
valeur est dfinie 0 par dfaut, pour la dsactivation.
fail_over_mac=value
Spcifie si le mode active-backup doit dfinir tous les esclaves la mme adresse MAC au
moment de la mise en esclavage (le comportement traditionnel), ou, lorsque activ, effectuer un
traitement spcial de l'adresse MAC de la liaison conformment la stratgie slectionne. Les
valeurs possibles sont :
Cette politique s'avre utile pour les priphriques qui ne peuvent jamais changer d'adresse
MAC, ou pour les priphriques qui refusent les missions entrantes avec leur propre source
MAC (qui interfre avec le moniteur de l'ARP). L'inconvnient de cette politique est que chaque
72
Chapitre 4. Configurer Network Bonding
priphrique sur le rseau doit tre mis jour via ARP spontan, contrairement la mthode
normale de commutateurs qui surveillent le trafic entrant pour mettre jour leurs tables ARP.
Si l'ARP spontan est perdu, la communication peut tre perturbe.
Lorsque cette stratgie est utilise en conjonction au moniteur MII, les prihriques, qui
affirment un lien avant de rellement transmettre ou recevoir, sont particulirement sensibles
la perte de l'ARP spontan, et dfinir un dlai en amont qui convient peut d'avrer utile.
Cette politique est utile pour les priphriques multiports, qui sont soit perturbs ou victimes
d'une pnalit de performance quand des ports mulitples sont programms sur une mme
adresse MAC.
lacp_rate=value
Indique le taux auquel les partenaires de liens doivent transmettre les paquets LACPDU en mode
802.3ad. Les valeurs possibles sont les suivantes :
slow or 0 valeur par dfaut. Indique que les partenaires doivent transmettre les LACPDU
toutes les 30 secondes.
fast or 1 indique que les partenaires doivent transmettre les LACPDU aprs chaque
seconde qui s'coule
miimon=time_in_milliseconds
Indique (en millisecondes) la frquence de la surveillance de liens MII. Cela est utile dans les
situations de haut dbit car MII est utilis pour vrifier si la carte rseau est active. Pour vrifier que
le pilote d'une carte rseau particulire prenne bien en charge l'outil MII, saisir la commande
suivante en tant qu'utilisateur root :
Si vous utilisez une interface lie en haut dbit, le module de chaque carte rseau (NIC) doit
prendre l'outil MII en charge. Dfinir la valeur 0 (la valeur par dfaut), stoppe cette fonctionnalit.
Quand on configure ce paramtre, il est bon de commencer par la valeur 100.
Important
73
Guide de Gestion des rseaux
mode=value
Vous permet de spcifier la politique de mise en liaison. La value peut correspondre une des
possibilits suivantes :
802.3ad ou 4 dfinit une politique d'agrgation de liens dynamiques IEEE 802.3ad. Cre
des groupes d'agrgation qui partagenent les mmes configurations en matire de vitesse et
de duplex. Transmet ou reoit sur tous les esclaves dans l'agrgateur actif. Requiert un
commutateur conforme 802.3ad.
primary=interface_name
Ce paramtre de configuration n'est valide que quand l'interface de liaison est en mode active-
backup. Voir https://www.kernel.org/doc/Documentation/networking/bonding.txt pour plus
d'informations.
primary_reselect=value
74
Chapitre 4. Configurer Network Bonding
Spcifie la politique de reslection de l'esclave primaire. Cela affecte la faon dont l'esclave
primaire est choisie pour devenir l'esclave actif en cas de dfaillance de l'esclave actif ou de
recouvrement de l'esclave primaire. Ce paramtre est conu pour empcher la volte-face entre
l'esclave primaire et d'autres esclaves. Les valeurs possibles sont :
always ou 0 (valeur par dfaut) - l'esclave primaire devient l'esclave actif quand il revient.
better ou 1 l'esclave primaire devient l'esclave actif quand l'esclave est up nouveau,
si la vitesse et le duplex de l'esclave primaire sont suprieurs la vitesse et au duplex de
l'esclave actif actuel.
failure ou 2 l'esclave primaire devient actif si l'esclave actuel actif choue et si l'esclave
primaire est up.
Si aucun esclave n'est actif, le premier esclave rtabli devient un esclave actif.
Aprs avoir t rendu esclave au dbut, l'esclave primaire est toujours l'esclave actif.
resend_igmp=range
Les valeurs varient entre 0 to 255; la valeur par dfaut est 1. La valeur0 empche la parution du
rapport d'adhsion IMGP suite un basculement.
Cette option est utile pour les modes de liaison balance-rr (mode 0), active-backup (mode
1), balance-tlb (mode 5) et balance-alb (mode 6), pour lesquels un basculement peut faire
passer le trafic IGMP d'un esclave une autre. C'est pourquoi un nouveau rapport IGMP doit tre
mis pour que le commutateur transmette le trafic IGMP entrant sur l'esclave nouvellement
slectionn.
updelay=time_in_milliseconds
Indique (en millisecondes) la dure attendre pour activer un lien. La valeur doit correspondre
un multiple de la valeur spcifie dans le paramtre miimon. La valeur est dfinie 0 par dfaut,
pour la dsactivation.
use_carrier=number
Les outils MII/ETHTOOL ioctls utilisent une squence d'appels dprcis dans le noyau.
Cependant, c'est toujours configurable si le pilote du priphrique ne supporte pas
netif_carrier_on/off.
75
Guide de Gestion des rseaux
Note
Si l'interface de liaison insiste pour que le lien soit up , il est possible que votre pilote de
priphrique de rseau ne supporte pas netif_carrier_on/off.
xmit_hash_policy=value
0 or layer2 valeur par dfaut. Ce paramtre utilise l'OUX (XOR) des adresses MAC de
matriel pour gnrer le hachage. La formule utilise est la suivante :
Cet algorithme mettra les trafics dans un rseau homologue particulier sur le mme esclave, et
est conforme 802.3ad.
1 ou layer3+4 utilise les informations de protocole des couches suprieures (si disponible)
pour gnrer le hachage. Cela permet au trafic en direction d'un rseau homologue de s'taler
sur plusieurs esclaves, quoi qu'une simple connexion puisse s'taler sur plusieurs esclaves.
La formule utilise pour les paquets TCP et UDP non fragments est la suivante :
Pour des paquets frragments TCP ou UDP, et pour tout autre protocole de trafic IP, les
informations de port source ou de destination sont omises. Pour le trafic non-IP, la formule est
la mme que pour la politique de hachage de transfert layer2.
Utilise l'OUX (XOR) des adresses MAC de matriel et les adresses IP pour gnrer le
hachage. La formule est la suivante :
Cet algorithme mettra les trafics dans un rseau homologue particulier sur le mme esclave.
Pour le trafic IP, la formule est la mme que pour la politique de hachage de transmission de
layer2.
76
Chapitre 4. Configurer Network Bonding
Cette politique a pour but de fournir une distribution de trafic plus quilibre qu'avec le layer 2
uniquement, surtout dans les environnements o le priphrique de passerelle du layer3 est
requis pour atteindre la plupart des destinations.
Vous pouvez utiliser l'utilitaire control-centrer de GNOME pour demander au NetworkManager de crer
une liaison partir de deux ou plusieurs connexions filaires ou InfiniBand. Il n'est pas ncessaire de crer les
connexions relier entre elles pour commencer. Elles peuvent tre configures au moment de la
configuration de la liaison. Vous devez avoir les adresses MAC des interfaces disponibles pour complter le
processus de configuration.
Suivre les tapes suivantes pour crer une nouvelle connexion de liaison.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir control network, et
appuyez sur la touche Enter. L'outil de configuration du Rseau apparatra. Cette tape est
totalement explique dans Section 2.5, Utiliser le NetworkManager avec l'interface graphique
GNOME .
2. Cliquer sur le signe plus pour ouvrir la liste de slection. Slectionner Bond. La fentre Modifier
connexion de liaison1 apparatra.
77
Guide de Gestion des rseaux
Figure 4.6. Pour que l'interface utilisateur graphique du NetworkManager ajoute un menu de
liaisons (Bond).
3. Dans l'onglet Bond (ou Liaisons), cliquez sur Ajouter et slectionnez le type d'interface que vous
souhaitez utiliser avec la connexion de liaison. Cliquez sur le bouton Crer. Notez que la bote de
dialogue pour slectionner le type d'esclave n'apparat uniquement que lorsque vous crez le
premier esclave. Aprs cela, ce mme type sera utilis automatiquement pour toutes les autres
esclaves.
4. La fentre de Editing bond0 esclave 1 s'affiche. Utilisez la liste droulante adresses MAC
de priphriques pour slectionner l'adresse MAC de l'interface relier. L'adresse MAC du
premier esclave servira comme adresse MAC de l'interface de liaison. Si ncessaire, entrez une
adresse MAC de clone utiliser comme adresse MAC de liaison. Cliquez sur le bouton
Enregistrer.
78
Chapitre 4. Configurer Network Bonding
Figure 4.7. Pour que l'interface utilisateur graphique du NetworkManager ajoute un menu de
connexion de liaison
5. Le nom de l'esclave li apparat dans la fentre Connexions lies. Cliquez sur le bouton
Ajouter pour ajouter des connexions esclaves supplmentaires.
6. Vrifier et confirmer les paramtres de configuration, puis cliquer sur le bouton Sauvegarder.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir control network, et
appuyez sur la touche Entre. L'outil de configuration du Rseau apparatra.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types
de connexion. Voir l'onglet Gnral :
79
Guide de Gestion des rseaux
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera
utilis pour lister cette connexion dans le menu de la fentre Rseau.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide
Red Hat Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les Zones de
parefeux.
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations supplmentaires
Une fois vous aurez termin de modifier votre Bond Connection au rseau local virtuel, cliquez sur le bouton
Enregistrer pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation alors
qu'il est modif, alimentez le cycle de connexion pour que le NetworkManager applique les modifications. Si
le profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion
rseau. Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de
votre connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur Options pour revenir la bote de dialogue Modifier.
Paramtres de configuration IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 ; ou,
Paramtres de configuration IPv6 pour la connexion, cliquer sur l'onglet IPv6 Settingset continuez
avec Section 2.5.10.5, Configurer les paramtres IPv6 .
Aprs la sauvegarde, la liaison apparatra dans l'outil de configuration du rseau, avec chaque esclave
affich.
80
Chapitre 4. Configurer Network Bonding
Si vous avez dj ajout une nouvelle connexion de liaison (voir Procdure 4.1, Ajouter une nouvelle
connexion de liaison pour obtenir des instructions), vous pouvez modifier l'onglet Bond afin de dfinir le
mode de partage de la charge et le type de contrle de lien utiliser pour dtecter les checs d'une
connexion d'esclave.
Mode
Le mode utilis pour partager le trafic sur les connexions esclaves qui constituent la liaison. La
valeur par dfaut correspond Round-robin. D'autres modes de partage de la charge, comme
802.3ad, peuvent tre slectionns par l'intermdiaire de la liste du menu droulant.
Link Monitoring
Les modes de partage de la charge suivants peuvent tre slectionns partir du menu droulant Mode :
Round-robin
Dfinit une politique round-robin de rpartition des charges et de diffusion de tolrance d'erreurs.
Toutes les transmissions sont reues et diffuses sur chaque interface esclave lie, en
commenant par la premire disponible. Ce mode risque de ne pas fonctionner pour un pontage
de machines virtuelles sans configuration de commutateur supplmentaire.
Active backup
Dfinit une politique active-backup de tolrance d'erreurs. Toutes les transmissions sont reues et
diffuses en commenant par la premire interface disponible. Une autre interface esclave lie
n'est utilise que si l'interface esclave lie choue. Notez qu'il s'agit du seul mode disponible pour
les liaisons de priphriques InfiniBand.
81
Guide de Gestion des rseaux
XOR
Les transmissions sont bases sur la politique de hachage slectionne. La valeur par dfaut
consiste tirer un hachage par l'OUX (XOR) des adresses MAC de source et de destination,
multipli par le modulo du nombre d'interfaces d'esclave. Dans ce mode, le trafic destin des
homologues spcifiques sera toujours envoy sur la mme interface. Comme la destination est
dtermine par l'adresse MAC, cette mthode fonctionne mieux pour le trafic en direction
d'homologues sur le mme lien ou rseau local. Si le trafic doit passer par un routeur unique, alors
ce mode d'quilibrage de trafic sera sous-optimal.
Broadcast
Dfinit une politique de diffusion de tolrance d'erreurs. Toutes les transmissions sont reues et
diffuses sur toutes les interfaces esclaves. Ce mode risque de ne pas fonctionner pour un
pontage de machines virtuelles sans configuration de commutateur supplmentaire.
802.3ad
Dfinit une politique d'aggrgation de lien dynamique 802.3ad IEEE. Cre des groupes
d'agrgation qui partagent les mmes configurations en matire de vitesse et de duplex. Transmet
ou reoit sur tous les esclaves dans l'agrgateru actif. Requiert un commutateur conforme
802.3ad.
Dfinit une politique Transmit-Load-Balancing (TLB) de tolrance aux pannes et d'quilibrage des
charges. Le trafic sortant est distribu selon la charge en cours sur chaque interface esclave. Le
trafic entrant est reu par l'esclave actuel. Si l'esclave rcepteur choue, un autre esclave reprend
l'adresse MAC de l'esclave qui a chou. Ce mode convient uniquement aux adresses locales
connues du module de liaison du noyau et ne peut donc tre utilis pour un pontage avec des
machines virtuelles.
Dfinit une politique Adaptive-Load-Balancing (ALB) de tolrance aux pannes et d'quilibrage des
charges. Inclut la transmission et la rception de l'quilibrage des charges pour le trafic IPv4. La
rception de l'quilibrage des charges est fait par ngociation ARP Ce mode convient uniquement
aux adresses locales connues du module de liaison du noyau et ne peut donc tre utilis pour un
pontage avec des machines virtuelles.
Les types suivants de contrle de liens peuvent tre slectionns partir du menu Link Monitoring. Il est
judicieux de tester quels paramtres de module de liaisons de canaux fonctionne le mieux pour les interfaces
lies.
L'tat de l'onde porteuse de l'interface est surveill. Ceci est possible en interrogeant le pilote, en
interrogeant les registres MII directement, ou en utilisant ethtool pour interroger le priphrique.
Trois options sont possibles :
Monitoring Frequency
Link up delay
82
Chapitre 4. Configurer Network Bonding
ARP
Le protocole de rsolution d'adresse (ARP) est utilis pour sonder un ou plusieurs homologues,
afin de dterminer quelles sont les connexions de couche de liaison qui fonctionnent. Cela dpend
du pilote de priphrique fournissant l'heure de dbut d'mission et de dernier renvoi.
Monitoring Frequency
cibles ARP
Liste d'adresses IP spares par des virgules pour envoyer des requtes ARP.
Page man nm-settings(5) dcrit les configurations et les paramtres des connexions du
NetworkManager.
https://access.redhat.com/site/node/28421/Configuring_VLAN_devices_over_a_bonded_interfac
e
Un article de la base de connaissances de Red Hat sur la configuration de priphriques VLAN via
interface lie.
83
Guide de Gestion des rseaux
La combinaison ou le regroupement de liens de rseau dans le but de fournir un lien logique avec un dbit
plus lev, ou pour fournir une redondance, est connu sous plusieurs noms : canal de liaison , liaison
Ethernet , trunking de port , regroupement de canaux ou canal teaming , regroupement de cartes
rseau , agrgation de liens et ainsi de suite. Ce concept qui avaient t initialement mis en place dans
le noyau Linux correspond largement au Collage . Le terme regroupement de rseaux a t choisi pour
dsigner cette nouvelle implmentation du concept. Le pilote de liaison existant n'est pas affect, le
regroupement de rseaux est offert comme solution de rechange et ne remplace pas la liaison dans Red Hat
Enterprise Linux 7.
Network Teaming, ou Team, est conu pour mettre en oeuvre le concept d'une manire unique, en
fournissant un petit pilote de noyau pour le traitement rapide des flux de paquets et de diverses applications
de l'espace utilisateur pour pouvoir faire tout le reste en espace utilisateur. Le pilote a une Interface de
programmation d'application (API), dnomme Team Netlink API , qui actionne les communications
Netlink. Les applications d'espace utilisateur peuvent utiliser cette API pour communiquer avec le pilote. Une
bibliothque, nomme lib , est fournie pour regrouper les communications Team Netlink et les messages
RT Netlink dans l'espace utilisateur. Un dmon d'application, teamd, qui utilise Libteam lib est galement
fourni. Une seule instance de teamd peut contrler une instance du pilote de Team. Le dmon implmente la
logique d'active-backup et l'quilibrage de la charge, comme round-robin, l'aide de code supplmentaire
runners . En sparant le code de cette manire, la mise en place de Network Teaming prsente une
solution facilement extensible et volutive pour l'quilibrage des charge et les besoins de redondance. Par
exemple, des runners personnaliss peuvent tre crits assez facilement pour mettre en uvre la nouvelle
logique via teamd, et mme quand teamd est en option, les utilisateurs peuvent crire leur propre
application pour utiliser libteam.
Un outil qui sert contrler une instance d'excution de teamd en utilisant D-bus est fourni par teamdctl. Il
fournit un wrapper de D-Bus autour de l'API D-Bus teamd. Par dfaut, teamd coute et communique
l'aide de sockets de domaine Unix mais continue de surveiller le D-Bus. Il s'agit de veiller ce que teamd
puisse tre utilis dans des environnements o le D-Bus n'est pas prsent ou n'a pas encore t charg. Par
exemple, lors de l'amorage sur des liaisons teamd, D-Bus n'est pas encore tlcharg. L'outil teamdctl
peut tre utilis pendant le temps d'excution pour lire la configuration, l'tat de link-watchers, pour extraire
et modifier l'tat des ports, pour ajouter et supprimer des ports, et pour changer des ports d'actifs en tat de
sauvegarde.
Team API Netlink communique avec les applications d'espace utilisateur l'aide de messages Netlink. La
bibliothque d'espace-utilisateur libteam n'interagit pas directement avec l'API, mais utilise libnl ou teamnl
pour interagir avec l'API du pilote.
Pour rsumer, les instances du pilote de Team, en cours d'excution dans le noyau, ne peuvent pas tre
configures ou contrles directement. Toute la configuration se fait l'aide des applications spatiales
utilisateur, comme l'application teamd. L'application redirige ensuite la partie pilote du noyau en suivant par
la suite.
chaque fois que vous contrlez les interfaces de port regroupes (teamed) par le dmon
NetworkManager, et surtout quand vous cherchez des fautes, gardez l'esprit les faits suivants :
84
Chapitre 5. Configuration de Network Teaming
4. Une interface matre sans port peut dmarrer les connexions IP statiques.
5. Une interface matre sans port attend les ports avant de dmarrer les connexions DHCP.
6. Une interface matre avec une connexion DHCP en attente de ports se termine quand un port
accompagn d'un transporteur est ajout.
7. Une interface matre avec une connexion DHCP en attente de ports continue quand un port sans
transporteur est ajout.
Avertissement
L'utilisation des connexions directes par cble sans commutateurs de rseau n'est pas pris en charge
pour le teaming. Le mcanisme de basculement dcrit ici ne fonctionnera pas comme prvu sans la
prsence de commutateurs de rseaux. Voir l'article de base de connaissance Why is bonding in not
supported with direct connection using crossover cables? (Pourquoi Network Bonding ne prend il pas
en charge les connexions directes avec des cbles croiss ?) pour obtenir plus d'informations.
85
Guide de Gestion des rseaux
Le dmon de Team, teamd, utilise libteam pour contrler une instance du pilote de team. Cette instance du
pilote team ajoute des instances d'un pilote de priphrique de matriel pour former un groupement
(team) de liaisons rseau. Le pilote de team prsente une interface rseau, team0 par exemple, pour les
autres parties du noyau. Les interfaces cres par les instances du pilote de team reoivent des noms
comme team0, team1 et ainsi de suite, dans la documentation. C'est pour la facilit de comprhension et
d'autres noms peuvent tre utiliss. La logique commune toutes ces mthodes de regroupement (teaming)
est implmente par teamd ; ces fonctions qui sont uniques aux diffrentes mthodes de sauvegarde et de
rpartition de charges, comme round-robin, sont actives par des entits de code dnommes runners .
Comme les mots module et mode ont dj des significations spcifiques en ce qui concerne le noyau,
le mot runner a t choisi pour faire rfrence ces units de code. L'utilisateur spcifie le runner dans le
fichier de configuration au format JSON, et le code est ensuite compil en une instance de teamd lorsque
l'instance est cre. Un runner n'est pas un plug-in car le code d'un runner est compil en une instance de
teamd alors qu'il est cr. Le code pourrait tre cr comme un plug-in pour teamd si le besoin se
prsentait.
round-robin (les donnes sont transmises travers tous les ports chacun son tour)
active-backup (un port ou un lien est utilis tandis que les autres sont conservs en sauvegarde)
ethtool (lib de Libteam utilise ethtool pour surveiller les changements d'tat de liens). C'est la valeur par
dfaut si aucun autre link-watcher n'est spcifi dans le fichier de configuration
arp_ping (L'utilitaire arp_ping est utilis pour surveiller la prsence de l'adresse de matriel distant par
les paquets ARP)
nsna_ping (de l'anglais Neighbor Advertisements and Neighbor Solicitation d'IPv6 Les protocoles
Neighbor Discovery sont utiliss pour surveiller la prsence d'une interface voisine)
86
Chapitre 5. Configuration de Network Teaming
Il n'y a aucune restriction niveau code pour empcher un link-watcher particulier d'tre utilis avec un runner
particulier, mais quand on utilise le runner lacp, ethtool est le seul link-watcher recommand.
Il est possible de convertir les fichiers de configuration de liaisons existants en fichiers de configuration de
groupement par l'outil bond2team. Cet outil peut convertir les fichiers de configuration de liaison au format
ifcfg en fichiers de configuration au format ifcfg ou JSON. Notez que les rgles de pare-feu, alias
interfaces, ou tout ce qui peut tre li au nom de l'interface d'origine peut tre rompu aprs le renommage car
l'outil ne changera que le fichier ifcfg, et rien d'autre.
De nouveaux fichiers seront crs dans un rpertoire dont le nom commence par /tmp/bond2team.
XXXXXX /, o XXXXXX correspond une chane alatoire. Aprs avoir cr les nouveaux fichiers de
configuration, dplacer les anciens fichiers de liaison dans un dossier de sauvegarde, puis dplacez les
nouveaux fichiers dans le rpertoire /etc/sysconfig/network-scripts /.
Pour convertir une configuration bond0 en ifcfg (team), excutez la commande suivante, en tant
qu'utilisateur root :
Notez qu'on retient le nom bond0. Pour utiliser un nouveau nom pour sauvegarder la configuration,
utiliser l'option --rename comme suit :
ajouter l'option --json pour produire des fichiers au format JSON la place de fichiers ifcfg. Voir la
page man teamd.conf(5) pour obtenir des exemples de format JSON.
Exemple 5.2. Convertir une liaison (Bond) en groupement (Team) et Spcifier le nom de chemin
d'accs
Pour convertir une configuration bond0 en ifcfg (team), et pour spcifier manuellement le chemin
d'accs au fichier ifcfg, excutez la commande suivante, en tant qu'utilisateur root :
87
Guide de Gestion des rseaux
ajouter l'option --json pour produire des fichiers au format JSON la place de fichiers ifcfg.
Il est galement possible de crer une configuration team en fournissant l'outil bond2team une liste de
paramtres de liaison. Exemple :
Voir la page man bond2team(1) pour plus de dtails. Pour obtenir une explication sur les paramtres de
liaison, voir Section 4.5, Utiliser une liaison de canal
En partant des interfaces disponibles, dterminez celles qui peuvent tre ajoutes votre groupement de
rseaux, puis continuez avec Section 5.8, Slection des mthodes de configuration de Network Team
Note
Les dveloppeurs de Team prfrent le terme port plutt qu' esclave , mais le
NetworkManager utilise le terme team-slave pour faire rfrence aux interfaces qui forment un
groupement.
88
Chapitre 5. Configuration de Network Teaming
Pour crer un groupement de rseaux avec l'interface en ligne de commandes , nmcli, consultez
Section 5.10.1, Configurez un Network Team par le nmcli .
Pour crer un groupement de rseaux par le dmon de Team , teamd, consultez Section 5.10.2, Crer
un Network Team avec teamd .
Pour crer un groupement de rseaux par les fichiers de configuration, consultez Section 5.10.3,
Crer un Network Team l'aide des fichiers ifcfg .
L'outil d'interface utilisateur de texte nmtui peut tre utilis pour configurer le groupement dans une fentre
de terminal. Excutez la commande suivante pour dmarrer l'outil :
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'une case cocher.
Figure 5.1. Pour que l'interface utilisateur texte du NetworkManager ajoute un menu de
connexion de Team
89
Guide de Gestion des rseaux
Figure 5.2. Pour que l'interface utilisateur texte du NetworkManager configure un menu de
connexion Team
3. Pour ajouter des interfaces de ports au groupement, slectionner Ajouter, et l'cran Nouvelle
connexion apparatra. Une fois que le type de connexion aura t slectionn, appuyer sur le
bouton Crer pour que l'cran Modifier Connexion de Team puisse apparatre.
90
Chapitre 5. Configuration de Network Teaming
Figure 5.3. Pour que l'interface utilisateur texte du NetworkManager configure un nouveau
menu de connexion d'interface de ports Team
4. Saisir l'adresse MAC ou le nom de priphrique de l'esclave que vous aurez choisi dans la section
Priphriques. Si besoin est, saisir une adresse MAC clone utiliser comme adresse MAC de
groupement, en slectionnant Afficher droite de l'tiquette Ethernet. Slectionnez le bouton
OK.
Note
Si le priphrique est spcifi sans adresse MAC, la section Priphrique sera remplie
automatiquement une fois que la fentre Modifier Connexion est charge, mais
uniquement s'il trouve le priphrique.
91
Guide de Gestion des rseaux
Figure 5.4. Pour que l'interface utilisateur texte du NetworkManager configure un menu de
connexion d'interface de ports Team
5. Le nom de l'esclave group (teamed) apparat dans la section Esclaves. Rptez les tapes ci-
dessus pour ajouter des connexions esclaves.
6. Si la configuration de ports doit tre applique, slectionner le bouton Edit qui se situe sous la
section configuration JSON. Cela lancera une console vim o des changements risquent d'tre
appliqus. Une fois termin, crire les changements de vim et confirmez que la chane JSON qui
s'affiche dans la configuration JSON correspond bien ce qui avait t envisag.
7. Vrifier et confirmer les paramtres de configuration, avant de cliquer sur le bouton OK.
92
Chapitre 5. Configuration de Network Teaming
Figure 5.5. Pour que l'interface utilisateur texte du NetworkManager configure un menu de
connexion Team
Voir Section 5.12, Configurez les runners de teamd pour obtenir des exemples de chanes JSON. Noter
que seules les sections pertinentes d'exemples de chanes doivent tre utilises pour une configuration de
ports ou de groupement (team) par nmtui. Ne spcifiez pas le Priphrique dans la chane JSON. Ainsi,
seulement la chane JSON doit tre utilise aprs priphrique mais avant port dans le champ de
configuration de JSON Team. Toutes les chanes JSON allant vers un port s'ajoutent seulement dans le
champ configuration de port.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
Pour voir les priphriques disponibles sur le systme, excutez la commande suivante :
93
Guide de Gestion des rseaux
Pour crer une nouvelle interface de regroupement, du nom team-ServerA, excutez la commande comme
suit :
Notez que les changements manuels apports au fichier ifcfg ne seront pas remarqus par le
NetworkManager tant que l'interface n'est pas appele nouveau. Voir Section 1.9, Configuration de
rseau par les fichiers sysconfig pour obtenir plus d'informations sur la faon d'utiliser les fichiers de
configuration.
Pour afficher les autres valeurs assignes, veuillez excuter une commande comme suit :
Comme aucune configuration JSO n'a a t spcifie, les valeurs par dfaut s'appliquent. Voir la page man
teamd.conf(5) pour plus d'informations sur les paramtres JSON Team et leurs valeurs par dfaut. Notez
que le nom est driv du nom de l'interface en ajoutant le type. Vous pouvez galement spcifier un nom
avec l'option de con-name, comme suit :
~]$ nmcli connection add type team con-name Team0 ifname ServerB
Connection 'Team0' (5f7160a1-09f6-4204-8ff0-6d96a91218a7) successfully
added.
Pour afficher les interfaces qui viennent d'tre configures, veuillez excuter une commande comme suit :
94
Chapitre 5. Configuration de Network Teaming
Pour modifier le nom assign un groupement (team), excutez une commande sur le format suivant :
Pour charger un fichier de configuration d'un groupement dj existant, excutez une commande du format
suivant :
. Vous pouvez spcifier la configuration team comme une chane JSON ou fournir un nom de fichier
contenant la configuration. Le nom de fichier peut inclure le chemin d'accs. Dans les deux cas, ce qui est
stock dans la proprit team.config est la chane JSON. Dans le cas d'une chane JSON, entourez la
chane de guillemets et collez la chane entire la ligne de commande.
Pour ajouter une interface eth0 Team0, du nom Team0-port1, excutez la commande suivante :
~]$ nmcli con add type team-slave con-name Team0-port1 ifname eth0 master
Team0
Connection 'Team0-port1' (ccd87704-c866-459e-8fe7-01b06cf1cffc) successfully
added.
De mme, pour ajouter une autre interface, eth1, avec le nom Team0-port2, excutez la commande
suivante :
~]$ nmcli con add type team-slave con-name Team0-port2 ifname eth1 master
Team0
Connection 'Team0-port2' (a89ccff8-8202-411e-8ca6-2953b7db52dd) successfully
added.
Pour qu'un regroupement (team) apparaisse, les ports doivent tout d'abord apparatre comme suit :
Vous pouvez vrifier que l'interface du regroupement apparaisse suite l'activation des ports, comme suit :
95
Guide de Gestion des rseaux
~]$ ip link
3: Team0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
mode DEFAULT
link/ether 52:54:00:76:6f:f0 brd ff:ff:ff:ff:ff:f
Sinon, excutez une commande pour faire apparatre le regroupement, comme suit :
Voir Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli pour une introduction
nmcli
Note
Les configurations cres avec teamd ne sont pas persistantes, et donc, il faudrait crer un
regroupement partir des tapes dcrites dans Section 5.10.1, Configurez un Network Team par le
nmcli ou Section 5.10.3, Crer un Network Team l'aide des fichiers ifcfg .
Pour crer un Network Team, il faut un fichier de configuration au format JSON pour l'interface virtuelle, qui
servira d'interface au regroupement de ports ou de liens. Un moyen rapide consiste copier les exemple de
fichiers de configuration, puis de les modifiez l'aide d'un diteur, avec les privilges d'utilisateur root. Pour
afficher la liste des exemples de configurations disponibles, saisir la commande suivante :
~]$ ls /usr/share/doc/teamd-*/example_configs/
activebackup_arp_ping_1.conf activebackup_multi_lw_1.conf
loadbalance_2.conf
activebackup_arp_ping_2.conf activebackup_nsna_ping_1.conf
loadbalance_3.conf
activebackup_ethtool_1.conf broadcast.conf random.conf
activebackup_ethtool_2.conf lacp_1.conf
roundrobin_2.conf
activebackup_ethtool_3.conf loadbalance_1.conf roundrobin.conf
Pour voir un des fichiers inclus, tel que activebackup_ethtool_1.conf, saisir la commande suivante :
96
Chapitre 5. Configuration de Network Teaming
"prio": 100
}
}
}
Crer un rpertoire de travail de configurations pour stocker les fichiers de configuration de teamd. Par
exemple, en tant qu'utilisateur ordinaire, saisir une commande comme suit :
Copiez le fichier que vous avez choisi dans votre rpertoire de travail, et ditez-le si ncessaire. Par exemple,
vous pouvez utiliser une commande du format suivant :
~]$ cp /usr/share/doc/teamd-*/example_configs/activebackup_ethtool_1.conf \
~/teamd_working_configs/activebackup_ethtool_1.conf
Pour modifier le fichier afin qu'il convienne votre environnement, par exemple, pour changer les interfaces
utiliser en tant que ports pour le regroupement de rseaux, ouvrir le fichier modifier comme suit :
~]$ vi ~/teamd_working_configs/activebackup_ethtool_1.conf
ffectuer les changements utiles, et sauvegarder le fichier. Voir la page man vi(1) pour obtenir des
renseignements sur la faon d'utiliser l'diteur vi ou sur la faon d'utiliser votre diteur prfr.
Noter qu'il est essentiel que les interfaces qui doivent tre utilises en tant que ports dans le regroupement
ne soient pas actives, c'est dire qu'elles doivent tre down , quand on les ajoute un priphrique de
regroupement. Pour vrifier leur statut, excutez la commande suivante :
Dans cet exemple, on peut voir que les deux interfaces que nous souhaitons utiliser sont UP .
Pour dsactiver une interface, excutez une commande en tant qu'utilisateur root sous le format suivant :
Pour crer une interface de regroupement (team) base sur le fichier de configuration, en tant qu'utilisateur
root, modifiez le rpertoire de travail de configurations (teamd_working_configs dans cet exemple) :
~]# cd /home/userteamd_working_configs
97
Guide de Gestion des rseaux
L'option -g est pour les messages de dbogage, -f pour spcifier le fichier de configuration tlcharger, et
-d pour excuter le processus en tant que dmon aprs le dmarrage. Voir la page man teamd(8) pour les
autres options.
Pour vrifier le statut du regroupement, excutez la commande suivante en tant quutilisateur root :
Pour donner une adresse l'interface d'un regroupement de rseaux, team0, excutez une commande en
tant qu'utilisateur root sous le format suivant :
Pour vrifier l'adresse IP d'une interface de regroupement, excutez une commande comme suit :
Pour activer une interface de regroupement, ou l'activer ( up ), excutez une commande en tant
qu'utilisateur root sous le format suivant :
98
Chapitre 5. Configuration de Network Teaming
Pour dsactiver une interface de regroupement, de faon temporaire, ou l'activer ( down ), excutez une
commande en tant qu'utilisateur root sous le format suivant :
Pour terminer ou annihiler (kill) une instance du dmon du regroupement, excutez une commande en tant
qu'utilisateur root sous le format suivant :
L'option -k est l pour spcifier que l'instance du dmon associ au priphrique team0 doit tre annihil
(commande - kill). Voir la page teamd(8)pour plus d'options.
Pour obtenir de l'aide sur les options en ligne de commandes de teamd, excutez la commande suivante :
~]$ teamd -h
Pour crer un Network Team l'aide des fichiers ifcfg, crer un fichier dans le rpertoire
/etc/sysconfig/network-scripts/, comme suit :
DEVICE=team0
DEVICETYPE=Team
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.11.1
PREFIX=24
TEAM_CONFIG='{"runner": {"name": "activebackup"}, "link_watch": {"name":
"ethtool"}}'
Cela aura pour effet de crer l'interface du regroupement (team), c'est dire, le master.
Pour crer un port qui puisse tre un membre de team0, crer un ou plusieurs fichiers dans le
rpertoire/etc/sysconfig/network-scripts/, comme suit :
DEVICE=eth1
HWADDR=D4:85:64:01:46:9E
DEVICETYPE=TeamPort
ONBOOT=yes
TEAM_MASTER=team0
TEAM_PORT_CONFIG='{"prio": 100}'
Ajouter des interfaces de ports supplmentaires sur le modle des interfcaces ci-dessus, en changeant les
champs DEVICE et HWADDR pour qu'ils correspondent aux ports (les priphriques rseaux) ajouts. Si la
priorit de port n'est pas spcifie par prio, sa valeur par dfaut sera 0; elle accepte des valeurs positives
ou ngatives allant de -32,767 +32,767.
Spcifier le matriel ou l'adresse MAC en utilisant la directive HWADDR peut influencer le procdure
d'affectation de noms. Cela est expliqu dans Chapitre 8, Nommage de priphriques rseaux consistante.
99
Guide de Gestion des rseaux
Pour ajouter un port em1 un Network Team team0, utilisez ip, en excutant la commande suivante en tant
qu'utilisateur root :
Ajouter des ports supplmentaires selon les besoins. Le pilote Team activera les ports automatiquement.
Pour afficher ou lister les ports d'un regroupement de ports, avec l'utilitaire teamnl, excutez la commande
suivante, en tant qu'utilisateur root :
Pour afficher ou lister les options actuellement disponibles, avec l'utilitaire teamnl, excutez la commande
suivante, en tant qu'utilisateur root :
Pour configurer un regroupement en mode backup, veuillez excuter la commande suivante en tant
qu'utilisateur root :
Pour ajouter une adresse un regroupement team0, utilisez ip, en excutant la commande suivante en tant
qu'utilisateur root :
5.10.8. Comment activer une interface dans un Network Team l'aide d'iputils
Pour activer ( faire apparatre ) une interface dans un regroupement team0, utilisez ip, en excutant la
commande suivante en tant qu'utilisateur root :
100
Chapitre 5. Configuration de Network Teaming
5.10.9. Afficher les Options de port actif d'un regroupement avec teamnl
Pour afficher ou lister l'option activeport dans un regroupement de rseaux, avec l'utilitaire teamnl,
excutez la commande suivante, en tant qu'utilisateur root :
5.10.10. Dfinir les options de port actives d'un regroupement avec teamnl
Pour dfinir l'option activeport dans un regroupement de rseaux, avec l'utilitaire teamnl, excutez la
commande suivante, en tant qu'utilisateur root :
Pour vrifier le changement dans les options de port du regroupement, excutez la commande suivant en
tant quutilisateur root :
Pour vrifier une instance en cours de teamd pour chercher des statistiques ou des renseignements de
configuration, ou encore, pour apporter une modification, l'outil de contrle teamdctl est utilis.
Pour afficher l'tat actuel d'un regroupement team0, saisir la commande suivante en tant qu'utilisateur root :
Pour un vidage d'tat complet en format JSON (utile pour le traitement machine) de team0, utiliser la
commande suivante :
Pour apercevoir la configuration d'un port em1, faisant partie d'un regroupement team0, saisir la commande
suivante :
101
Guide de Gestion des rseaux
Pour ajouter un port em1 un Network Team team0, utilisez la commande suivante en tant qu'utilisateur
root :
Important
Si vous utilisez teamdctl directement pour rendre un port dpendant, le port dpendant doit tre
dfini sur down. Sinon, la commande teamdctl team0 port add em1 chouera.
Pour supprimer un port em1 un Network Team team0, utilisez la commande suivante en tant qu'utilisateur
root :
Pour appliquer une configuration de format JSON un port em1 dans un regroupement de rseaux team0,
excutez une commande en tant qu'utilisateur root dans le format suivant :
Quand JSON-config-string est la configuration sous forme de chane de texte en format JSON. Ceci mettra
jour la configuration du port l'aide de la chane de format JSON fournie. Un exemple d'une chane JSON
valide pour configurer un port ressemble ce qui suit :
{
"prio": -10,
"sticky": true
}
Utilisez des guillemets simples autour d'une chane de configuration JSON et omettre les sauts de ligne.
Notez que l'ancienne configuration sera remplace et que toutes les options omises seront rinitialises aux
valeurs par dfaut. Voir la page de manuel teamdctl(8) pour obtenir plusieurs exemples de commandes
d'outils de contrle de dmons de team.
Pour copier la configuration d'un port em1 un Network Team team0, utilisez la commande suivante en tant
qu'utilisateur root :
Pour vider la configuration en format JSON du port dans une sortie standard.
102
Chapitre 5. Configuration de Network Teaming
Les runners sont des units de code qui sont ajoutes dans le dmon de Team, quand une instance du
dmon est cre. Pour obtenir une introduction aux runners de teamd, voir Section 5.4, Comprendre le
dmon de Network Teaming et les "Runners" .
Pour configurer le runner de diffusion, l'aide d'un diteur, en tant qu'utilisateur root, ajouter ce qui suit
dans le fichier de configuration au format JSON du regroupement :
{
"device": "team0",
"runner": {"name": "broadcast"},
"ports": {"em1": {}, "em2": {}}
}
Pour configurer le runner dynamique, l'aide d'un diteur, en tant qu'utilisateur root, ajouter ce qui suit dans
le fichier de configuration au format JSON du regroupement :
{
"device": "team0",
"runner": {"name": "random"},
"ports": {"em1": {}, "em2": {}}
}
Pour configurer le runner roundrobin, l'aide d'un diteur, en tant qu'utilisateur root, ajouter ce qui suit dans
le fichier de configuration au format JSON du regroupement :
{
"device": "team0",
"runner": {"name": "roundrobin"},
"ports": {"em1": {}, "em2": {}}
}
103
Guide de Gestion des rseaux
Le runner activebackup peut utiliser tous les link-watchers afin de dterminer l'tat des liens dans un
regroupement. L'un des exemples suivants peut tre ajout au fichier de configuration au format JSON du
regroupement :
{
"device": "team0",
"runner": {
"name": "activebackup"
},
"link_watch": {
"name": "ethtool"
},
"ports": {
"em1": {
"prio": -10,
"sticky": true
},
"em2": {
"prio": 100
}
}
}
L'exemple de configuration utilise le runner active-backup avec ethtool comme link watcher. Le port em2 a
une plus grande priorit. Le drapeau em1 (sticky) est rendu actif, et le demeurre tant que le lien est actif lui-
mme.
{
"device": "team0",
"runner": {
"name": "activebackup"
},
"link_watch": {
"name": "ethtool"
},
"ports": {
"em1": {
"prio": -10,
"sticky": true,
"queue_id": 4
},
"em2": {
"prio": 100
}
}
}
Pour configurer le runner activebackup, l'aide d'ethtool comme link-watcher et y appliquer un dlai, en
utilisant un diteur en tant qu'utilisateur root, ajouter ce qui suit dans le fichier de configuration au format
JSON du regroupement :
104
Chapitre 5. Configuration de Network Teaming
{
"device": "team0",
"runner": {
"name": "activebackup"
},
"link_watch": {
"name": "ethtool",
"delay_up": 2500,
"delay_down": 1000
},
"ports": {
"em1": {
"prio": -10,
"sticky": true
},
"em2": {
"prio": 100
}
}
}
L'exemple de configuration utilise le runner active-backup avec ethtool comme link watcher. Le port em2 a
une plus grande priorit. Le drapeau sticky veille ce que si em1 est rendu actif, il le demeure quand le lien
est actif. Les changements de liens ne sont pas propags par le runner immdiatement, mais des dlais
s'appliquent.
Ce runner peut tre utilis pour deux types d'quilibrage de charge, en mode actif et passif. En mode actif, un
rquilibrage constant du trafic s'effectue en utilisant des statistiques de trafic rcents pour rpartir le trafic
aussi uniformment que possible. En mode statique, les flux de trafic sont rpartis au hasard sur les liens
disponibles. Cela favorise la vitesse d'excution en raison de la rduction de la charge de traitement. C'est
dans les applications de trafic de haut volume que c'est souvent apprci, car le trafic est gnralement
constitu de plusieurs flux de donnes distribus au hasard entre les liens disponibles, et de cette manire,
le partage des charges s'effectue sans intervention de la part de teamd.
Pour configurer le runner d'quilibrage des charges en transmission passive (Tx), l'aide d'un diteur, en
tant qu'utilisateur root, ajouter ce qui suit dans le fichier de configuration au format JSON du regroupement :
{
"device": "team0",
"runner": {
"name": "loadbalance",
"tx_hash": ["eth", "ipv4", "ipv6"]
},
"ports": {"em1": {}, "em2": {}}
}
Pour configurer le runner d'quilibrage des charges en transmission active (Tx), l'aide d'un diteur, en tant
qu'utilisateur root, ajouter ce qui suit dans le fichier de configuration au format JSON du regroupement :
105
Guide de Gestion des rseaux
{
"device": "team0",
"runner": {
"name": "loadbalance",
"tx_hash": ["eth", "ipv4", "ipv6"],
"tx_balancer": {
"name": "basic"
}
},
"ports": {"em1": {}, "em2": {}}
}
Configuration de l'quilibrage des charges de transmission active (Tx) l'aide d'un quilibreur des charges de
base.
Pour configurer le runner LACP, l'aide d'ethtool comme link-watcher, en utilisant un diteur en tant
qu'utilisateur root, ajouter ce qui suit dans le fichier de configuration au format JSON du regroupement :
{
"device": "team0",
"runner": {
"name": "lacp",
"active": true,
"fast_rate": true,
"tx_hash": ["eth", "ipv4", "ipv6"]
},
"link_watch": {"name": "ethtool"},
"ports": {"em1": {}, "em2": {}}
}
L'quilibrage des charges actif est possible dans ce runner de la mme faon qu'il est possible dans le
runner d'quilibrage des charges. Pour activer l'quilibrage des charges de transmission active (Tx), ajouter
la section suivante :
"tx_balancer": {
"name": "basic"
}
106
Chapitre 5. Configuration de Network Teaming
Les mthodes suivantes de surveillance des tats de liens sont disponibles. Pour implmenter une des
mthodes, ajouter la chane de format JSON au fichier de configuration de format JSON de Team, l'aide de
l'diteur, en tant qu'utilisateur root.
Pour ajouter ou modifier un dlai existant, en millisecondes, entre le lien venir et le runner qui est notifi
ce sujet, ajoutez ou modifiez un article comme suit :
"link_watch": {
"name": "ethtool",
"delay_up": 2500
}
Pour ajouter ou modifier un dlai existant, en millisecondes, entre le lien en voie de dsactivation et le runner
qui est notifi ce sujet, ajoutez ou modifiez un article comme suit :
"link_watch": {
"name": "ethtool",
"delay_down": 1000
}
Le dmon team teamd envoie une demande ARP REQUEST une adresse tout en fin de lien afin de
dterminer si le lien est actif. La mthode utilise est la mme que celle de l'utilitaire arping, sauf qu'il n'est
pas utilis.
Prparer un fichier contenant la nouvelle configuration en format JSON sur le modle suivant :
{
"device": "team0",
"runner": {"name": "activebackup"},
"link_watch":{
"name": "arp_ping",
"interval": 100,
"missed_max": 30,
"source_host": "192.168.23.2",
"target_host": "192.168.23.1"
},
"ports": {
"em1": {
"prio": -10,
"sticky": true
},
"em2": {
"prio": 100
}
}
}
Cette configuration utilise arp_ping comme link watcher. L'option missed_max correspond la valeur limite
du nombre maximal de rponses manques (rponses ARP, par exemple). Doit tre combin avec l'option
interval afin de dterminer la dure totale avant qu'un lien puisse tre signal comme tant inactif.
107
Guide de Gestion des rseaux
Pour tlcharger une nouvelle configuration d'un port em2 de regroupement, partir d'un fichier contenant
une configuration JSON, utilisez la commande suivante en tant qu'utilisateur root :
Notez que l'ancienne configuration sera remplace et que toutes les options omises seront rinitialises aux
valeurs par dfaut. Voir la page de manuel teamdctl(8) pour obtenir plusieurs exemples de commandes
d'outils de contrle de dmons de team.
{
"device": "team0",
"runner": {"name": "activebackup"},
"link_watch": {
"name": "nsna_ping",
"interval": 200,
"missed_max": 15,
"target_host": "fe80::210:18ff:feaa:bbcc"
},
"ports": {
"em1": {
"prio": -10,
"sticky": true
},
"em2": {
"prio": 100
}
}
}
Pour configurer l'intervalle entre les paquets NS/NA, ajouter ou modifier une section, comme suit :
"link_watch": {
"name": "nsna_ping",
"interval": 200
}
La valeur correspond un nombre positif en millisecondes. Elle doit tre choisie en conjonction l'option
missed_max pour dterminer la dure totale avant qu'un lien soit signal comme tant inactif.
Pour configurer le nombre maximum de paquets de rponses NS/NA pour permettre de rapporter que le lien
est inactif, ajouter ou modifier une section, comme suit :
"link_watch": {
"name": "nsna_ping",
"missed_max": 15
}
Nombre maximal de paquets de rponse NS/NA manques. Si ce nombre est dpass, le lien est signal
comme tant inactif. L'option missed_max correspond la valeur limite du nombre maximal de rponses
manques (rponses ARP, par exemple). Doit tre combin avec l'option interval afin de dterminer la
dure totale avant qu'un lien puisse tre signal comme tant inactif.
108
Chapitre 5. Configuration de Network Teaming
Pour configurer le nom d'hte qui est rsolu en adresse cible IPv6 de paquets NS/NA, ajouter ou modifier
une section, comme suit :
"link_watch": {
"name": "nsna_ping",
"target_host": "MyStorage"
}
L'option target_host contient le nom d'hte convertir en adresse IPv6 qui sera utilise comme adresse
cible pour les paquets NS/NA. Une adresse IPv6 pourra tre utilise la place du nom d'hte.
Le port physique qui transmet une image est normalement slectionn par la partie du noyau du pilote de
l'agrgat (team) et n'est pas pertinent l'utilisateur ou l'administrateur systme. Le port de sortie est
slectionn l'aide des politiques du mode d'agrgat slectionn (teamd runner), l'occasion, toutefois, il
est utile de diriger certaines classes de trafic sortant vers certaines interfaces physiques pour appliquer des
politiques un peu plus complexes. Par dfaut, le pilote team est sensible aux files d'attente multiples et 16
files d'attente sont cres lors de l'initialisation du pilote. Si on souhaite davantage ou moins de files
d'attente, l'attribut tx_queues peut tre utilis pour modifier cette valeur lors de la cration d'instance de
pilote team.
L'ID de file d'attente d'un port peut tre dfini par l'option de configuration du port queue_id comme suit :
{
"queue_id": 3
}
Ces ID de files d'attente peuvent tre utilises en conjonction l'utilitaire tc afin de configurer une discipline
de file d'attente pour files multiples, et des filtres destins certains trafics devant tre transmis des
priphriques de port particuliers. Ainsi, si vous souhaitez utiliser la configuration ci-dessus et que vous
souhaitiez forcer tout le trafic li 192.168.1.100, pour utiliser eth1 dans l'quipe (team) faisant office de
priphrique de sortie, excutez la commande en tant qu'utilisateur root sous le format suivant :
Ce mcanisme de remplacement de logique de runner afin de relier le trafic un port particulier peut tre
utilis avec n'importe quel runner.
L'quilibrage des charges et les runners LACP utilisent les hachages de paquets pour trier les flux de trafic
rseau. Le mcanisme de calcul de hachage est bas sur le code Berkeley Packet Filter (BPF). Le code BPF
est utilis pour gnrer un hachage au lieu de prendre une dcision politique au sujet des paquets sortants.
La longueur de hachage est de 8 bits, ce qui donne 256 variantes. Cela signifie que diffrents tampons
socket (SKB) peuvent avoir le mme hachage et donc faire passer le trafic sur un mme lien. L'utilisation
d'un hachage court est un moyen rapide de trier le trafic en flux divers but d'quilibrage des charges sur
des liens multiples. En mode statique, le hachage sert uniquement dcider partir de quel port le trafic doit
tre envoy. En mode actif, le runner redfinira continuellement les hachages de ports diffrents pour tenter
de parvenir un quilibre parfait.
109
Guide de Gestion des rseaux
Les types de chanes ou de fragments suivants peuvent tre utiliss pour le calcul d'un hachage Tx de
paquet :
Ces chanes peuvent tre utilises en ajoutant une ligne au format suivant au runner d'quilibrage des
charges : exemple
Vous pouvez utiliser l'utilitaire control-centrer de GNOME pour demander au NetworkManager de crer un
agrgat (team) partir de deux ou plusieurs connexions filaires ou InfiniBand. Il n'est pas ncessaire de
crer les connexions regrouper entre elles pour commencer. Elles peuvent tre configures au moment de
la configuration de l'agrgat (team). Vous devez avoir les adresses MAC des interfaces disponibles pour
complter le processus de configuration.
Suivre les tapes suivantes pour ajouter une nouvelle connexion Team.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir control network, et
appuyez sur la touche Enter. L'outil de configuration du Rseau apparatra. Cette tape est
totalement explique dans Section 2.5, Utiliser le NetworkManager avec l'interface graphique
GNOME .
2. Cliquer sur le signe plus pour ouvrir la liste de slection. Slectionner Team. La fentre Modifier
Connexion Team1 apparatra.
110
Chapitre 5. Configuration de Network Teaming
Figure 5.6. Pour que l'interface utilisateur graphique du NetworkManager ajoute un menu
3. Dans l'onglet Team (ou Liaisons), cliquez sur Ajouter et slectionnez le type d'interface que vous
souhaitez utiliser avec la connexion team. Cliquez sur le bouton Crer. Notez que la bote de
dialogue pour slectionner le type de port n'apparat uniquement que lorsque vous crez le premier
port. Aprs cela, ce mme type sera utilis automatiquement pour toutes les autres ports.
4. La fentre Editing team0 port 1 apparat. Remplir l'adresse MAC dans la premire interface
ajouter l'agrgat (team).
111
Guide de Gestion des rseaux
Figure 5.7. Pour que l'interface utilisateur graphique du NetworkManager ajoute une
connexion esclave
5. Si on doit appliquer des configurations de ports personnalises, cliquer sur l'onglet Team Port et
saisir la chane de configuration JSON ou l'importer d'un fichier.
7. Le nom de l'esclave teamed apparat dans la fentre Teamed connexions. Cliquez sur le bouton
Ajouter pour ajouter des connexions de ports supplmentaires.
8. Vrifier et confirmer les paramtres de configuration, puis cliquer sur le bouton Sauvegarder.
9. Modifier la configuration spciale team en consultant Section 5.13.1.1, Configurer l'onglet Team .
Suivre les tapes ci-dessous pour modifier une connexion team existante.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir control network, et
appuyez sur la touche Entre. L'outil de configuration du Rseau apparatra.
112
Chapitre 5. Configuration de Network Teaming
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types
de connexion. Voir l'onglet Gnral :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera
utilis pour lister cette connexion dans le menu de la fentre Rseau.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide
Red Hat Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les zones de pare-
feu.
5. Modifier la configuration spciale team en consultant Section 5.13.1.1, Configurer l'onglet Team .
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations supplmentaires
Une fois vous aurez termin de modifier votre connection team au rseau local virtuel, cliquez sur le bouton
Enregistrer pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation lors de
la modification, alimentez le cycle de connexion pour que le NetworkManager applique les modifications. Si
le profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion
rseau. Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de
votre connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur Options pour revenir la bote de dialogue Modifier.
Paramtres de configuration IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 ; ou,
Paramtres de configuration pour la connexion, cliquer sur l'onglet IPv6 Settingset continuez avec
Section 2.5.10.5, Configurer les paramtres IPv6 .
113
Guide de Gestion des rseaux
Si vous avez dj ajout une nouvelle connexion team, vous pourrez entrer une chane de configuration
JSON personnalise dans la zone de texte ou importer un fichier de configuration. Cliquez sur Enregistrer
pour appliquer la configuration de JSON l'interface team.
Pour obtenir des exemples de chanes JSON, voir Section 5.12, Configurez les runners de teamd
Voir Procdure 5.1, Ajout d'une nouvelle connexion Team pour obtenir des instructions sur la faon
d'ajouter un nouvel agrgat (team).
Les sources d'informations suivantes fournissent des ressources supplmentaires propos des associations
de rseaux.
Page man bond2team(1) dcrit un outil pour convertir les options de liaison team.
http://www.w3schools.com/json/json_syntax.asp
114
Chapitre 5. Configuration de Network Teaming
115
Guide de Gestion des rseaux
Notez qu'un pont ne peut pas tre tabli sur des rseaux Wi-Fi qui oprent en modes Ad-Hoc ou
Infrastructure. Cela est d au standard IEEE 802.11 qui spcifie l'utilisation de structures 3-adresses en Wi-
Fi pour une utilisation optimum des heures de diffusion.
L'outil d'interface utilisateur de texte nmtui peut tre utilis pour configurer le pontage dans une fentre de
terminal. Excutez la commande suivante pour dmarrer l'outil :
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'une case cocher.
Figure 6.1. Pour que l'interface utilisateur texte du NetworkManager ajoute un menu de
connexion de pont.
116
Chapitre 6. Configurez les pontages de rseau
3. Pour ajouter des interfaces esclaves au pont, slectionner Ajouter, et l'cran Nouvelle
connexion apparatra. Une fois que le type de connexion aura t slectionn, appuyer sur le
bouton Crer pour que l'cran Modifier Connexion puisse apparatre.
Figure 6.2. Pour que l'interface utilisateur texte du NetworkManager ajoute un nouveau menu
de connexion de pont esclave
4. Saisir l'adresse MAC ou le nom de priphrique de l'esclave que vous aurez choisi dans la section
Priphriques. Si besoin est, saisir une adresse MAC clone utiliser comme adresse MAC de
pontage, en slectionnant Afficher droite de l'tiquette Ethernet. Slectionnez le bouton OK.
Note
Si le priphrique est spcifi sans adresse MAC, la section Priphrique sera remplie
automatiquement une fois que la fentre Modifier Connexion est charge, mais
uniquement s'il trouve le priphrique.
117
Guide de Gestion des rseaux
Figure 6.3. Pour que l'interface texte d'utilisateur du NetworkManager configure un menu de
connexion de pont esclave
5. Le nom du pont esclave apparat dans la section Esclaves. Rptez les tapes ci-dessus pour
ajouter des connexions esclaves.
6. Vrifier et confirmer les paramtres de configuration, avant de cliquer sur le bouton OK.
118
Chapitre 6. Configurez les pontages de rseau
Figure 6.4. Pour que l'interface texte d'utilisateur du NetworkManager configure un menu de
pontage
Voir Section 6.4.1.1, Configurer l'onglet Pont pour obtenir des dfinitions des termes de pontage.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
Pour crer un pont, nomm bridge-br0, excutez une commande comme suit, en tant qu'utilisateur root :
Si aucun nom d'interface n'est spcifi, le nom aura comme valeur par dfaut bridge, bridge-1, bridge-2, etc.
119
Guide de Gestion des rseaux
Le protocole Spanning Tree Protocol (STP) est activ par dfaut. Les valeurs utilises viennent du standard
IEEE 802.1D-1998. Pour dsactiver STP pour ce pont, excutez la commande suivante en tant qu'utilisateur
root :
Pour ractiver 802.1D STP pour ce pont, excutez une commande comme suit, en tant qu'utilisateur root :
La priorit de pont par dfaut du protocole 802.1 D STP est 32768. Le nombre infrieur est prfr dans la
slection de pont racine. Par exemple, un pont avec une priorit 28672 serait slectionn comme tant pont
racine de prfrence par rapport un pont avec une priorit 32768 (par dfaut). Pour crer un pont sans
valeur par dfaut, exccutez la commande suivante :
~]$ nmcli con add type bridge ifname br5 stp yes priority 28672
Connection 'bridge-br5' (86b83ad3-b466-4795-aeb6-4a66eb1856c7) successfully
added.
Pour modifier la priorit de pontage d'un pont existant une valeur qui n'est pas une valeur par dfaut,
excutez une commande dans le format suivant :
D'autres options de 802.1D STP se trouvent dans la section de pontage de la page man nmcli(1).
Pour ajouter, ou pour mettre une interface en esclavage, comme par exemple eth1,au pont bridge-br0,
excutez une commande qui ressemble ceci :
~]$ nmcli con add type bridge-slave ifname eth1 master bridge-br0
Connection 'bridge-slave-eth1' (70ffae80-7428-4d9c-8cbd-2e35de72476e)
successfully added.
Au moment de la rdaction, nmcli ne prend en charge que les connexions Ethernet esclaves.
Pour modifier une valeur par le mode interactif, excutez la commande suivante :
120
Chapitre 6. Configurez les pontages de rseau
Voir Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli pour une introduction
nmcli.
Dans Red Hat Enterprise Linux 7, le module de pontage est tlcharg par dfaut. Si ncessaire, vous
pouvez vrifier que le module soit bien charg en excutant la commande suivante en tant qu'utilisateur
root :
Le contenu du fichier est similaire n'importe quel type d'interface en cours de processus de pontage,
comme une interface Ethernet. Les diffrences principales sont illustres dans l'exemple suivant :
La directive DEVICE reoit une nom d'interface comme argument ayant un format brN, avec N qui est
remplac par le numro de l'interface.
La directive TYPE reoit l'argument Pont. Cette directive dtermine le type de priphrique et l'argument
est sensible la casse.
Le fichier de configuration de l'interface de pontage reoit une adresse IP tandis que le fichier de
confiuguration de l'interface physique doit avoir une adresse MAC uniquement (voir ci-dessous).
Une directive supplmentaire, DELAY=0, est ajoute pour empcher le pont d'attendre alors qu'il surveille
le trafic, apprend o se trouvent les htes, et cre une table des adresses MAC sur lesquelles fonder ses
dcisions de filtrage. Le dlai par dfaut de 15 secondes n'est pas ncessaire si aucune boucle de
routage n'est possible.
Ce qui suit est un exemple de fichier de configuration d'interface de pontage qui utilise une adresse
IP statique :
121
Guide de Gestion des rseaux
DEVICE=br0
TYPE=Bridge
IPADDR=192.168.1.1
PREFIX=24
BOOTPROTO=none
ONBOOT=yes
DELAY=0
Pour complter la cration du pont, on cre une autre interface, ou on modifie une interface existante, et on la
pointe vers l'interface de pontage.
L'exemple suivant est un exemple de fichier de configuration d'interface Ethernet pointant vers une
interface de pontage. Configurer l'interface parente dans /etc/sysconfig/network-
scripts/ifcfg-ethX, avec X comme nombre unique correspondant une interface particulire,
comme suit :
DEVICE=ethX
TYPE=Ethernet
HWADDR=AA:BB:CC:DD:EE:FF
BOOTPROTO=none
ONBOOT=yes
BRIDGE=br0
Vous pouvez spcifier un nom en utilisant la directive NAME. Si aucun nom n'est spcifi, le plug-in du
NetworkManager, ifcfg-rh, crera un nom pour le profil de connexion sous la forme d'une Interface
Type . Dans cet exemple, cela signifie que le pont s'appellera Bridge br0. Alternativement, si
NAME=bridge-br0 est ajout au fichier ifcfg-br0, le profil de connexion sera nomm bridge-br0.
Note
Pour la directive DEVICE, presque n'importe quel nom d'interface pourrait servir comme il ne
dtermine pas le type de priphrique. TYPE=Ethernet n'est pas strictement ncessaire. Si la
directive TYPE n'est pas dfinie, le priphrique est considr comme un priphrique Ethernet (
moins que son nom corresponde explicitement un fichier de configuration d'interface diffrente).
Spcifier le matriel ou l'adresse MAC en utilisant la directive HWADDR peut influencer le procdure
d'affectation de noms, comme expliqu dans Chapitre 8, Nommage de priphriques rseaux consistante.
122
Chapitre 6. Configurez les pontages de rseau
Avertissement
Si vous configurez le pontage d'un hte distant et que vous tes connect cet hte sur la carte
rseau physique que vous configurez, veuillez tenir compte des consquences de perte de
connectivit avant de continuer. Vous perdrez en connectivit lorsque vous redmarrez le service et
vous risquez de ne pas tre en mesure de regagner en connectivit si des erreurs ont t faites. Un
accs par console ou out-of-band est conseill.
Pour appeler les interfaces nouvelles ou rcemment configures, excutez une commande du format suivant
en tant qu'utilisateur root :
ifup device
Cette commande dtectera si le NetworkManager est en cours d'excution et appelera nmcli con load
UUID, puis nmcli con up UUID.
Sinon, pour tlcharger nouveau toutes les interfaces, excutez la commande en tant qu'utilisateur root :
Cette commande stopppera le service rseau, dmarrera le service rseau, et invoquera ifup pour tous les
fichiers ifcfg ayant ONBOOT=yes.
Note
Le comportement par dfaut est pour NetworkManager de ne pas tre au courant des changements
effectus sur les fichiers ifcfg et de continuer utiliser les anciennes donnes de configuration jusqu'
ce que l'interface soit active nouveau. C'est dfini par l'option monitor-connection-files
dans le fichier NetworkManager.conf. Voir la page de manuel NetworkManager.conf(5) pour
plus d'informations.
En tant qu'application courante d'environnement de virtualisation, voici un exemple de pont de rseau form
par deux ou plusieurs interfaces Ethernet lies. Si vous n'tes pas trs familier avec les fichiers de
configuration d'interfaces lies, voir Section 4.4.2, Crer une interface de canal de liaison
Crez ou modifiez deux ou plusieurs fichiers de configuration d'interface Ethernet, devant tre relis, comme
suit :
DEVICE=ethX
TYPE=Ethernet
SLAVE=yes
MASTER=bond0
BOOTPROTO=none
HWADDR=AA:BB:CC:DD:EE:FF
123
Guide de Gestion des rseaux
Note
Utiliser ethX comme nom d'interface est pratique courante, mais presque n'importe quel nom peut
tre utilis.
DEVICE=bond0
ONBOOT=yes
BONDING_OPTS='mode=1 miimon=100'
BRIDGE=brbond0
Pour obtenir plus d'informations et des conseils sur la faon de configurer le module de liaison, et pour voir la
liste des paramtres de liaison, consulter Section 4.5, Utiliser une liaison de canal .
DEVICE=brbond0
ONBOOT=yes
TYPE=Bridge
IPADDR=192.168.1.1
PREFIX=24
Nous avons maintenant deux ou plusieurs fichiers de configuration d'interface avec la directive
MASTER=bond0. Ils pointent vers le fichier de configuration nomm /etc/sysconfig/network-
scripts/ifcfg-bond0, qui contient la directive DEVICE=bond0. Ce ifcfg-bond0 son tour pointe vers
le fichier de /etc/sysconfig/network-scripts/ifcfg-brbond0, qui contient l'adresse IP et agit
comme une interface pour les rseaux virtuels l'intrieur de l'hte.
Pour appeler les interfaces nouvelles ou rcemment configures, excutez une commande du format suivant
en tant qu'utilisateur root :
ifup device
Cette commande dtectera si le NetworkManager est en cours d'excution et appelera nmcli con load
UUID, puis nmcli con up UUID.
Sinon, pour tlcharger nouveau toutes les interfaces, excutez la commande en tant qu'utilisateur root :
Cette commande stopppera le service rseau, dmarrera le service rseau, et invoquera ifup pour tous les
fichiers ifcfg ayant ONBOOT=yes.
124
Chapitre 6. Configurez les pontages de rseau
Note
Le comportement par dfaut est pour NetworkManager de ne pas tre au courant des changements
effectus sur les fichiers ifcfg et de continuer utiliser les anciennes donnes de configuration jusqu'
ce que l'interface soit active nouveau. C'est dfini par l'option monitor-connection-files
dans le fichier NetworkManager.conf. Voir la page de manuel NetworkManager.conf(5) pour
plus d'informations.
Lors du dmarrage d'une interface de pontage, le NetworkManager attend qu'un port au moins entre dans
l'tat racheminement (forwarding) avant d'entreprendre une configuration d'IP dpendant du rseau,
telle que la configuration automatique DHCP ou IPv6. Les adressages IP statiques sont autoriss avant que
les esclaves ou les ports soient connects ou commencent racheminer des paquets.
Suivre les tapes suivantes pour crer une nouvelle connexion de pontage.
1. Pour utiliser l'outil de configuration graphique de Rseau, appuyer sur la touche Super pour accder
au menu Activits, saisir control network, et appuyez sur la touche Enter. L'outil de
configuration du Rseau apparatra. Cette tape est totalement explique dans Section 2.5,
Utiliser le NetworkManager avec l'interface graphique GNOME .
2. Slectionner le symbole plus sous le menu. La fentre Ajouter une connexion rseau
apparaitra.
125
Guide de Gestion des rseaux
4. Ajouter les priphriques esclaves en vous basant sur la procdure Procdure 6.3, Ajouter une
interface esclave un pont ci-dessous.
Vous pouvez configurer une connexion de pont existante en ouvrant la fentre Rseau, et en slectionnant
le nom de la connexion dans la liste. Puis, cliquer sur le bouton Edit.
1. Appuyer sur la touche Super pour accder au menu Activits, saisir control network, et
appuyez sur la touche Entre. L'outil de configuration du Rseau apparatra.
126
Chapitre 6. Configurez les pontages de rseau
2. Slectionner la connexion Pont que vous souhaitez modifier dans le menu de gauche.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types de
connexion. Voir l'onglet Gnral :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera utilis
pour lister cette connexion dans le menu de la fentre Rseau.
Rendre le rseau disponible tous les utilisateurs slectionnez cette case pour
crer une connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut
ncessiter des privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions prives ou sur
tout le systme pour obtenir plus d'informations.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide Red Hat
Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les Zones de parefeux.
Nom d'interface
La dure, en secondes, pendant laquelle une adresse MAC est conserve dans la base de
donnes des adresses MAC de transfert.
Priorit
La priorit du pont ; le pont avec la priorit la moins leve sera considr comme le pont racine.
Dure de racheminement
La dure, en secondes, passe la fois dans les tats d'coute (Listening) et d'Apprentissage
(Learning), avant d'entrer dans l'tat de racheminement (Forwarding). La valeur par dfaut est de
15 secondes.
Hello time
127
Guide de Gestion des rseaux
La dure, en secondes, entre les envois d'information de configuration en BPDU (Bridge Protocol
Data Units).
Age Max
La dure maximum, en secondes, pendant laquelle stocker les informations de configuration des
BPDU. Cette valeur doit correspondre deux fois la valeur du Hello Time plus 1, mais doit tre
infrieure deux fois la valeur de la Dure de racheminement moins 1.
1. Pour ajouter un port un pont, slectionner l'onglet Pont dans la fentre Modifier Connexion
Pont1. Si ncessaire, ouvrir cette fentre en suivant la procdure suivante Procdure 6.2, Modifier
une connexion de pont existante .
3. Slectionner le type de connexion crer dans la liste. Cliquer sur Crer. Une fentre
correspondant au type de connexion slectionn apparatra.
Figure 6.6. Pour que l'interface utilisateur graphique du NetworkManager ajoute un menu de
connexion de pont.
4. Slectionner l'onglet Port de pont. Configurer Priorit et Cot du chemin selon les besoins.
Notez que la priorit STP d'un port de pont est limite par le noyau Linux. Malgr que le standard
permette une plage de valeurs allant de 0 255, Linux ne permet que de 0 63. La valeur par
dfaut est 32 dans ce cas.
128
Chapitre 6. Configurez les pontages de rseau
5. Si besoin est, slectionner la case Mode Hairpin pour activer le racheminement d'images tre
traites en externe. Connu galement sous le nom de mode VEPA, de l'anglais virtual Ethernet port
aggregator (VEPA).
Une esclave Ethernet, cliquer sur l'onglet Ethernet, puis sur Section 2.5.5.1, Configurer le Nom de
connexion, le Comportement Auto-Connect, et la Disponiblit , ou;
Une liaison esclave, cliquer sur l'onglet Liaison, puis Section 4.6.1.1, Configurer l'onglet Liaisons ,
ou ;
Une liaison esclave, cliquer sur l'onglet Liaison, puis Section 5.13.1.1, Configurer l'onglet Team , ou ;
Un VLAN esclave, cliquer sur l'onglet VLAN, puis Section 7.5.1.1, Configurer l'onglet VLAN , ou ;
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des configurations
supplmentaires
Une fois vous aurez termin de modifier votre connexion de pontage au rseau local virtuel, cliquez sur le
bouton Save pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation lors de
la modification, alimentez le cycle de connexion pour que NetworkManager applique les modifications. Si le
profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion rseau.
Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de votre
connexion nouvelle ou modifie.
129
Guide de Gestion des rseaux
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur Options pour revenir la bote de dialogue Modifier.
Paramtres de configuration IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer
avec Section 2.5.10.4, Configuration des paramtres IPv4 , ou ;
Paramtres de configuration IPv6 pour la connexion, cliquer sur l'onglet IPv6 Settingset continuez
avec Section 2.5.10.5, Configurer les paramtres IPv6 .
Aprs la sauvegarde, le pont apparatra dans l'outil de configuration du rseau, avec chaque esclave affich.
Page man nm-settings(5) dcrit les configurations et les paramtres des connexions du
NetworkManager.
130
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
Pour les rseaux VLAN sur liaisons, il est important que la liaison ait des esclaves et qu'ils soient
activs avant d'activer l'interface VLAN. Au moment o l'on crit ce document, ajouter une interface
VLAN une liaison sans esclave ne marche pas.
Impossible de configurer un esclave VLAN sur une liaison avec l'option fail_over_mac=follow, parce
que le priphrique virtuel VLAN ne peut pas changer son adresse MAC pour qu'elle correspondre la
nouvelle adresse MAC. Dans un tel cas, le trafic est toujours envoy avec l'adresse MAC source
maintenant incorrect.
L'envoi de paquets VLAN baliss par un commutateur rseau ncessite la configuration du commutateur.
Reportez-vous la documentation propos du commutateur. Par exemple, pour les commutateurs
Cisco, le port doit tre assign un VLAN ou configur pour tre un port trunk pour accepter les paquets
baliss pour plusieurs rseaux locaux virtuels. Les paquets non baliss peuvent galement tre traits
par un port trunk et considrs comme appartenant au VLAN natif, mais c'est un risque de scurit et cela
a pu tre dsactiv, ou bien ne pas tre activ par dfaut, selon la marque du commutateur.
Certaines anciennes cartes d'interface rseau, les interfaces loopback, les cartes Wimax et certains
priphriques InfiniBand, sont censs tre VLAN challenged, ce qui signifie qu'ils ne supportent pas les
VLAN. C'est gnralement parce que ces priphriques ne peuvent pas comprendre les en-ttes VLAN
et la grande taille de l'unit MTU associe aux paquets baliss.
Pour configurer une interface VLAN avec l'outil d'interface d'utilisateur texte du NetworkManager,
nmtui, consulter Section 7.2, Configurer le balisage 802.1Q VLAN l'aide de l'interface utilisateur texte,
nmtui
Pour configurer une interface VLAN avec l'outil en ligne de commandes du NetworkManager,
nmtui, consulter Section 7.3, Pour configurer le balisage 802.1Q VLAN l'aide de l'outil de ligne de
commandes, nmcli
Pour configurer une interface de rseau manuellement, voir Section 7.4, Pour configurer le balisage
du rseau VLAN 802.1Q l'aide de l'outil de ligne de commandes .
Pour configurer un rseau l'aide d'outils d'interface utilisateur graphiques , voir Section 7.5,
Pour configurer le balisage du rseau VLAN 802.1Q l'aide de l'interface graphique
L'outil d'interface utilisateur de texte nmtui peut tre utilise pour configurer les 802.1Q VLAN dans une
fentre de terminal. Veuillez excuter la commande suivante pour dmarrer l'outil :
~]$ nmtui
131
Guide de Gestion des rseaux
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'un case cocher.
partir du menu de dmarrage, slectionner Modifier une connexion. Slectionner Ajouter, l'cran
Nouvelle connexion apparatra.
Figure 7.1. Pour que l'interface utilisateur texte du NetworkManager ajoute un menu de connexion
VLAN
Slectionner VLAN, l'cran Modifier connexion apparatra. Suivre les invites de l'cran pour terminer la
configuration.
132
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
Figure 7.2. Pour que l'interface utilisateur texte du NetworkManager configure un menu de connexion
VLAN
Voir Section 7.5.1.1, Configurer l'onglet VLAN pour obtenir des dfinitions des termes VLAN.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
Notez que le champ de nom NAME dans la sortie indique toujours l'ID de connexion. Il ne correspond pas au
nom de l'interface mme s'il en a le mme aspect. L'ID peut tre utilis avec les commandes nmcli
connection pour identifier une connexion. Utilisez le nom du priphrique avec d'autres applications
comme firewalld.
Pour crer une interface 802. 1 q VLAN sur interface Ethernet eth0, avec l'interface VLAN VLAN10 et l'ID 10,
excutez une commande comme suit :
~]$ nmcli con add type vlan ifname VLAN10 dev eth0 id 10
Connection 'vlan-VLAN10' (37750b4a-8ef5-40e6-be9b-4fb21a4b6d17) successfully
added.
133
Guide de Gestion des rseaux
Notez que comme aucun con-name n'a t donn l'interface VLAN, le nom est driv d'un nom d'interface
compos l'aide du type. Autre mthode: spcifier un nom par l'option con-name comme suit :
~]$ nmcli con add type vlan con-name VLAN12 dev eth0 id 12
Connection 'VLAN12' (b796c16a-9f5f-441c-835c-f594d40e6533) successfully
added.
Vous pouvez utiliser les mmes commandes nmcli pour assigner des adresses statiques ou dynamiques
comme pour toute autre interface.
Par exemple, voici une commande pour crer une interface VLAN avec une adresse IPv4 statique et une
passerelle :
~]$ nmcli con add type vlan con-name VLAN20 dev eth0 id 20 ip4 10.10.10.10/24
\
gw4 10.10.10.254
Pour crer une interface VLAN avec une adresse assigne de faon dynamique, veuillez excuter la
commande suivante :
~]$ nmcli con add type vlan con-name VLAN30 dev eth0 id 30
Voir Section 2.3.2, Se connecter rseau par nmcli pour obtenir des exemples sur la faon d'utiliser les
commandes nmcli de configuration d'interfaces.
Pour rviser les interfaces VLAN cres, veuillez excuter une commande du style :
Pour vrifier les informations dtailles sur la connexion configure, veuillez excuter la commande
suivante :
134
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
802-3-ethernet.port: --
802-3-ethernet.speed: 0
802-3-ethernet.duplex: --
802-3-ethernet.auto-negotiate: yes
802-3-ethernet.mac-address: --
802-3-ethernet.cloned-mac-address: --
802-3-ethernet.mac-address-blacklist:
802-3-ethernet.mtu: auto
vlan.interface-name: --
vlan.parent: eth0
vlan.id: 12
vlan.flags: 0 (NONE)
vlan.ingress-priority-map:
vlan.egress-priority-map:
------------------------------------------------------------------------
-------
============================================================================
===
Activate connection details (4129a37d-4feb-4be5-ac17-14a193821755)
============================================================================
===
GENERAL.NAME: VLAN12
GENERAL.UUID: 4129a37d-4feb-4be5-ac17-
14a193821755
GENERAL.DEVICES: eth0.12
GENERAL.STATE: activating[output truncated]
Vous trouverez d'autres options pour la commande VLAN dans la section rseau local virtuel de la page man
nmcli(1). Dans les pages man, le priphrique sur lequel le rseau local virtuel est cr est dnomm le
priphrique parent. Dans l'exemple ci-dessus, le priphrique a t spcifi par son nom d'interface, eth0,
il peut galement tre spcifi par la connexion UUID ou l'adresse MAC.
Pour crer un profil de connexion 802.1Q VLAN avec un mappage prioritaire ingress sur interface Ethernet
eth1, ayant pour nom VLAN1 et l'ID 13, mettez une commande comme suit :
~]$ nmcli con add type vlan con-name VLAN1 dev eth2 id 13 ingress "2:3,3:5"
Pour afficher tous les paramtres associs au VLAN cr ci-dessus, veuillez excuter une commande
comme suit :
Pour apporter des modifications l'unit MTU, veuillez excuter la commande suivante :
La configuration MTU dtermine la taille maximale du paquet de couche de rseau. La taille maximale de la
charge utile que le support de couche liaison peut porter son tour limite la couche rseau MTU. Pour les
trames Ethernet standard, cela signifie un MTU de 1500 octets. Il ne devrait pas tre ncessaire de changer
la valeur MTU lorsque vous configurez un rseau local virtuel quand l'en-tte de couche de liaison augmente
en taille de 4 octets pour accueillir la balise 802.1Q.
135
Guide de Gestion des rseaux
L'utilitaire nmcli peut tre utilis pour dfinir et effacer les marqueurs ioctl qui influencent la faon dont le
code 802.1Q fonctionne. Les marqueurs VLAN sont pris en charge par le NetworkManager:
L'tat du VLAN est synchronis l'tat de l'interface parente ou matre (l'interface ou le priphrique sur
lequel le rseau local virtuel est cr). Si l'interface parente est dfinie l'tat admin down , alors tous les
VLAN associs sont dfinis down et tous les itinraires seront vids de la table de routage. Le marqueur
0 x 04 active le mode loose binding, dans lequel seul l'tat oprationnel est pass du parent aux VLAN
associ, mais l'tat du priphrique VLAN demeure inchang.
Voir Section 2.3, Utiliser l'outil de ligne de commandes du NetworkManager, nmcli pour une introduction
nmcli.
Dans Red Hat Enterprise Linux 7, le module 8021q est tlcharg par dfaut. Si ncessaire, vous pouvez
vrifier que le module est bien charg en excutant la commande suivante en tant qu'utilisateur root :
7.4.1. Pour configurer le balisage du rseau VLAN 802.1Q l'aide des fichiers ifcfg
DEVICE=ethX
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
136
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
DEVICE=ethX.192
BOOTPROTO=none
ONBOOT=yes
IPADDR=192.168.1.1
PREFIX=24
NETWORK=192.168.1.0
VLAN=yes
Si vous avez besoin de configurer un second VLAN, avec par exemple, ID VLAN 193, sur la mme
interface, eth0, ajouter une nouveau fichier ayant pour nom eth0.193 avec les dtails de
configuration du VLAN.
3. Dmarrer nouveau le service de rseautage pour que les changements puissent prendre effet.
Excuter la comande suivante en tant qu'utilisateur root :
7.4.2. Pour configurer le balisage du rseau VLAN 802.1Q l'aide des commandes ip
Pour crer une interface de rseau VLAN 802. 1 Q sur interface Ethernet eth0, avec l'interface VLAN8 et l'ID
8, mettez une commande comme suit, en tant qu'utilisteur root :
Notez que l'utilitaire ip interprte l'ID du VLAN sous forme hexadcimale, si prcd par 0x, et comme une
valeur octale, s'il y a un 0 pour commencer. Cela signifie qu'afin d'attribuer un ID de VLAN avec une valeur
dcimale de 22, vous ne devez pas ajouter de zros.
Note
Les interfaced VLAN cres en utilisant les commandes ip l'invite de commande seront perdues si
le systme est ferm ou dmarr nouveau. Pour configurer les interfaces VLAN pour qu'elles soient
persistantes aprs un redmarrage du systme, utiliser les fichiers ifcfg. Voir Section 7.4.1, Pour
configurer le balisage du rseau VLAN 802.1Q l'aide des fichiers ifcfg
137
Guide de Gestion des rseaux
Vous pouvez utiliser control-center de GNOME pour demander NetworkManager de crer un rseau
local virtuel l'aide d'une interface existante comme interface parente. Au moment de la rdaction, vous ne
pouvez crer des VLAN que sur les priphriques Ethernet. Notez que les priphriques VLAN ne sont crs
automatiquement que si l'interface parente est dfinie pour se connecter automatiquement.
Vous pouvez configurer une connexion VLAN en ouvrant la fentre Rseau, en cliquant le signe plus, et en
slectionnant le VLAN de la liste.
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Enter. L'outil de configuration du Rseau apparatra.
2. Cliquer sur le signe plus pour ouvrir la liste de slection. Slectionner VLAN. La fentre Modifier
Connexion VLAN1 apparatra.
3. Dans l'onglet VLAN, slectionner l'interface parente de la liste droulante que vous souhaitez utiliser
pour la connexion VLAN.
5. Saisir un nom d'interface VLAN. C'est le nom de l'interface VLAN qui sera cre. Par exemple,
eth0.1 ou vlan2. (Normalement, c'est soit le nom de l'interface parente plus un point . ou d'ID
du VLAN, ou vlan plus l'ID du VLAN.)
6. Vrifier et confirmer les paramtres de configuration, puis cliquer sur le bouton Sauvegarder.
7. Pour modifier les configurations VLAN, consulter Section 7.5.1.1, Configurer l'onglet VLAN .
138
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
1. Appuyer sur la cl Super pour accder au menu Activits, saisir control network, et appuyez
sur la touche Enter. L'outil de configuration du Rseau apparatra.
Certains paramtres de la bote de dialogue Modifier sont communs tous les types de
connexion :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera
utilis pour lister cette connexion dans la section VLAN de la fentre Rseau.
Disponible tous les utilisateurs slectionnez cette case pour crer une
connexion disponible tous les utilisateurs sur le systme. Changer ce paramtre peut
ncessiter des privilges d'utilisateur root. Consulter Section 2.5.4, Profils de connexions
prives ou sur tout le systme pour obtenir plus d'informations.
5. Pour modifier les configurations VLAN, consulter Section 7.5.1.1, Configurer l'onglet VLAN .
139
Guide de Gestion des rseaux
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations supplmentaires
Une fois vous aurez termin de modifier votre connexion VLAN au rseau local virtuel, cliquez sur le bouton
Save pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation lors de la
modification, alimentez le cycle de connexion pour que le NetworkManager applique les modifications. Si le
profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion rseau.
Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de votre
connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Rseau et en
cliquant sur Options pour revenir la bote de dialogue Modifier.
Les configurations IPv4 pour la connection, cliquer sur l'onglet IPv4 Settings et continuer avec
Section 2.5.10.4, Configuration des paramtres IPv4 .
Si vous avez dj ajout une nouvelle connexion VLAN (voir Procdure 7.1, Ajouter une nouvelle
connexion VLAN pour obtenir des instructions), vous pouvez modifier l'onglet VLAN afin de dfinir l'interface
parente et l'ID du VLAN.
Interface parente
ID VLAN
Le nom de l'interface VLAN qui sera cre. Par exemple, eth0.1 ou vlan2.
En option, dfinit une adresse MAC diffrente utiliser pour identifier l'interface VLAN. Peut tre
utilis pour changer l'adresse MAC source pour des paquets envoys sur ce VLAN.
MTU
Dfinit une taille de MTU (de l'anglais Maximum Transmission Unit) utiliser pour les paquets
envoyer sur la connexion VLAN.
Les sources d'informations suivantes fournissent des ressources supplmentaires propos des associations
de rseaux.
140
Chapitre 7. Configuration du balisage d'un rseau virtuel VLAN 802.1Q
Page man nm-settings(5) dcrit les configurations et les paramtres des connexions du
NetworkManager.
141
Guide de Gestion des rseaux
Traditionnellement, les interfaces de rseau sous Linux sont numres eth[0123], mais ces noms ne
correspondent pas forcment des tiquettes sur le chssis. Les plateformes des serveurs modernes avec
de multiples adaptateurs rseau peuvent rencontrer des noms d'interfaces qui ne sont pas dterminants et
contre-intuitifs. Ceci affecte les adaptateurs rseau intgrs la carte mre (Lan-on-Motherboard, or LOM) et
les adaptateurs add-in (uniques et multi-ports).
Dans Red Hat Enterprise Linux 7, udev prend en charge un certain nombre de schmas d'affectation de
noms. Le comportement par dfaut est d'assigner des noms fixes bass sur le microprogramme, la topologie
et les informations sur l'emplacement. Ceci a pour avantage d'offrir des noms compltement automatiques et
prvisibles, qui resteront fixes, mme lorsque du matriel est ajout ou supprim (il ne se produit pas de r-
numration) et le matriel endommag peut tre remplac de faon transparente. L'inconvnient de ce
comportement est que les noms sont parfois plus difficiles lire que les noms traditionnellement utiliss au
pralable comme eth0 ou wlan0. Exemple : enp5s0.
Par dfaut, systemd nomme les interfaces en suivant la politique de schma de dnomination suivante :
Scheme 1: Les noms comportant les numros d'index fournis par le microprogramme ou le BIOS, par
exemple eno1, sont appliqus si ces informations en provenance du microprogramme ou du BIOS sont
applicables et disponibles, sinon le schma 2 est utilis comme schma de secours.
Scheme 2: Les noms comportant les numros d'indexes de slots de connexion chaud de PCI Express
fournis par le microprogramme ou le BIOS, par exemple ens1, sont appliqus si ces informations en
provenance du microprogramme ou du BIOS sont applicables et disponibles, sinon le schma 2 est utilis
comme schma de secours.
Scheme 4: Les noms comportant des adresses MAC d'interfaces (exemple : enx78e7d1ea46da), ne
sont pas utiliss par dfaut, mais sont la disposition de l'utilisateur s'il choisit cette possibilit.
Scheme 5: Le schma de dnomination de noyau traditionnel et imprdictible et est utilis si toutes les
autres mthodes chouent (exemple: eth0).
Cette politique, ou procdure dcrite ci-dessus, est utilise par dfaut. Si le systme a biosdevname activ,
il sera utilis par dfaut. Notez que pour activer biosdevname, vous devrez passer le paramtre
biosdevname=1 en ligne de commandes, sauf en cas de systme Dell, quand biosdevname est utilis par
dfaut s'il est install. Si l'utilisateur a jout des rgles udev qui changent le nom des priphriques du
noyau, ces rgles auront prvalence.
142
Chapitre 8. Nommage de priphriques rseaux consistante
Les tapes 3 et 4 sont implmentes dans les schma de dnomination 1, 2, 3, et optionnellement 4, dcrits
dans Section 8.1, Schma de dnomination . L'tape 2 est dtaille dans Section 8.6, Nommage de
priphriques rseaux consistante avec biosdevname .
Les noms ont des prfixes composs de deux caractres pour le type d'interface :
1. en pour Ethernet,
Format Description
o<index> numro d'index de priphrique on-
board
s<slot>[f<function>][d<dev_id>] numro d'index de slot d'enfichage
chaud
x<MAC> adresse MAC
p<bus>s<slot>[f<function>][d<dev_id>] Emplacement gographique PCI
p<bus>s<slot>[f<function>][u<port>][..][c<config>][i<interface>] chane de numros de port USB
Tous les priphriques PCI multi-fonctions porteront le numro de [f<function>] dans le nom de
priphrique, y compris function 0 device.
Pour les priphriques USB, une chane complte de numros de ports de hubs est compose. Si le nom
est suprieur 15 caractres (le nombre max), le nom ne pourra pas tre export.
143
Guide de Gestion des rseaux
Les valeurs des descripteurs de configuration USB == 1 et les descripteurs d'interface USB == 0 sont
supprimes (configuration == 1 et interface == 0 sont les valeurs pas dfaut si une configuration USB
uniquement ou une interface existent).
Utilise l'ID de bus pour crer des noms de priphriques prvisibles pour les interfaces rseau dans Linux
sur les instances de System z. L'ID de bus identifie un priphrique dans le sous-systme de canal s390. Un
ID de bus identifie le priphrique dans une instance de Linux. Pour un priphrique CCW, l'ID de bus est le
numro du priphrique avec 0.n, o n correspond l'ID dfinie par le sous-canal. Par exemple, 0.1.0ab1.
enccw0.0.1234
Les priphriques rseaux CTC de priphriques de type SLIP sont nomms ainsi :
slccw0.0.1234
Utiliser la commande znetconf -c ou bien la commande lscss -a pour afficher les priphriques rseau
disponibles et leurs ID de bus.
Format Description
enccwbus-ID Types de priphriques Ethernet
slccwbus-ID Priphriques rseau CTC de
priphriques de type SLIP
Traditionnellement, les noms d'interface VLAN du format : interface-name. VLAN-ID sont utiliss. L' ID VLAN
varie entre 0 et 4096, avec un maximum de quatre caractres et le nom de l'interface total est limit 15
caractres. La longueur de nom d'interface maximale est dfinie par les en-ttes du noyau et est une limite
qui affecte toutes les applications.
Dans Red Hat Enterprise Linux 7, quatre conventions de nommage de noms d'interface VLAN sont prises en
charge :
Le mot vlan plus ID VLAN sans remplissage en ajoutant des zros devant. Exemple: vlan5
144
Chapitre 8. Nommage de priphriques rseaux consistante
Le nom de l'interface parente plus ID VLAN sans remplissage en ajoutant des zros devant.
Exemple: eth0.5
Cette fonctionnalit, implmente via l'assistant biosdevname udev changera le nom de toutes les
interfaces de rseaux imbriques, des interfaces de rseau de cartes PCI, des interfaces de rseaux de
fonctions virtuelles par rapport aux noms d'interfaces existants eth[0123] et en suivant la nouvelle
convention d'affectation de noms explique ici Tableau 8.3, La convention de nommage biosdevname .
Notez qu' moins que le systme soit un systme Dell, ou que biosdevname soit activ explicitement
comme dcrit dans Section 8.6.2, Activer et dsactiver la fonctionnalit , la convention d'affectation de
noms systemd prvaudra.
Le programme biosdevname utilise les informations du BIOS du systme, et plus particulirement, les
champs type 9 (Slot Systme) et type 41 (Onboard Devices Extended Information) contenus dans le
SMBIOS. Si le BIOS du systme n'a pas un SMBIOS version 2.6, ou version ultrieure et ces donnes, la
nouvelle convention de nommage ne sera pas utilise. Le matriel ancien ne prend pas en charge cette
fonction en raison du manque d'informations de champs et de version SMBIOS correcte dans les BIOS. Pour
plus d'informations sur la version SMBIOS ou BIOS, contactez votre fournisseur de matriel.
Pour que cette fonctionnalit puisse prendre effet, le package biosdevname doit tre install. Pour l'installer,
excutez la commande suivante, en tant qu'utilisateur root :
Pour dsactiver cette fonctionnalit, passez l'option suivante en ligne de commande, avant et aprs
l'installation :
biosdevname=0
Pour activer cette fonctionnalit, passez l'option suivante en ligne de commande, avant et aprs l'installation :
biosdevname=1
moins que le systme remplisse les conditions pralables minimum, cette option sera ignore, et le
systme utilisera le schma d'affectation de noms de systemd dcrit en dbut de chapitre.
145
Guide de Gestion des rseaux
Si l'option d'installation biosdevname est spcifie, elle doit demeurer une option boot pour la dure de vie
du systme.
Plusieurs fichiers de personnalisation du systme peuvent inclure des noms d'interfaces rseau, et donc,
cela ncessitera des mises jour si on doit passer de l'ancienne la nouvelle convention dans le systme.
Si vous utilisez la nouvelle convention de nommage, vous devrez galement mettre jour les noms
d'interfaces de rseau certains endroits, comme dans les rgles d'iptables, les scripts de modification
irqbalance et autres fichiers de configuration semblables. Aussi, permettre cette modification d'installation
ncessitera des changements aux fichiers kickstart existants qui utilisent des noms de priphriques via le
paramtre ksdevice ; ces fichiers kickstart devront tre mis jour afin de pouvoir utiliser le nouveau nom
de priphrique rseau ou l'adresse MAC du priphrique rseau.
Note
La longueur du nom d'interface maximum est dfinie par les en-ttes de noyau et reprsente une
limite globale, affectant toutes les applications.
Configurer l'adresse MAC dans un fichier ifcfg en utilisant la directive HWADDR lui permet d'tre
identifie par udev. On prendra le nom de la chane donne par la directive du DEVICE, qui, par
convention, est le mme que le suffixe ifcfg. Exemple, ifcfg-eth0.
Le nom fourni par biosdevname sera utilis (si biosdevname peut en dterminer un).
Le nom fourni par systemd-udev sera utilis (si systemd-udev peut en dterminer un).
Pour dsactiver le systme d'affectation de noms de priphriques rseau consistante, choisir parmi les
mthodes suivantes :
Dsactiver l'affectation des noms fixes, de faon ce que les noms de noyau imprvisibles soient utiliss
nouveau, en masquant le fichier de rgles udev pour la politique par dfaut. Ce masque peut tre
cr par la mise en place d'un lien symbolique /dev/null. En tant qu'utilisateur root, excutez la
commande suivante :
146
Chapitre 8. Nommage de priphriques rseaux consistante
Crer votre propre schma manuel de nommage, en nommant, par exemple, vos interfaces internet0 ,
dmz0 ou lan0 . Pour cela, crer votre propre fichier de rgles udev, et dfinissez la proprit
NAME pour les priphriques. Assurez-vous d'ordonnancer ce fichier avant le fichier de politique par
dfaut, en le nommant, par exemple : /etc/udev/rules.d/70-my-net-names.rules.
Altrer le fichier de politique par dfaut pour slectionner un schma de dnomination diffrent, comme
par exemple, de nommer toutes les interfaces en suivant leurs adresses MAC par dfaut. En tant
qu'utilisateur root, copiez le fichier de politique par dfaut comme suit :
GRUB_CMDLINE_LINUX="net.ifnames=0"
Note
Pour mettre jour toutes les entres de menu de noyau de GRUB 2, saisir une commande en tant que
superutilisateur root comme suit :
Pour obtenir plus d'informations surGRUB 2, voir le guide Red Hat Enterprise Linux 7 System
Administrator's Guide.
Les noms d'interfaces prvisibles seront allous chaque interface, si possible, selon la procdure dcrite
dans Section 8.2, Comprendre la procdure d'affectation de noms aux priphriques . Pour voir la liste de
noms possibles qu'udev va utiliser, excutez une commande, comme suit, en tant qu'utilisateur root :
quand ifname est l'une des interfaces listes par la commande suivante :
~]$ ls /sys/class/net/
Une possibilit de nom sera applique par udev suivant les rgles dcrites dans Section 8.2, Comprendre
la procdure d'affectation de noms aux priphriques , dont voici un rcapitulatif :
/usr/lib/udev/rules.d/60-net.rules - d'initscripts,
/usr/lib/udev/rules.d/71-biosdevname.rules - de biosdevname,
147
Guide de Gestion des rseaux
/usr/lib/udev/rules.d/80-net-name-slot.rules - de systemd
Dans la liste de fichiers de rgles ci-dessus, on peut constater que si l'interface d'affectation de noms se fait
via initscripts ou biosdevname, elle prvaudra toujours sur la politique native d'udev. Cependant, si le
renommage d'initscripts n'a pas lieu et que biosdevname est dsactiv, alors, pour modifier les noms
d'interfaces, copier 80-net-name-slot.rules de /usr dans /etc / et modifier le fichier correctement.
En d'autres termes, commentez ou organisez les schma pour qu'ils puissent tre utiliss dans un certain
ordre.
Exemple 8.1. Certaines interfaces ont des noms d'espace-noms de noyaux (eth[0,1,2...]) alors que
d'autres sont renomms par udev
Les schma mixtes signifient probablement que pour certains matriels, il n'y a aucune information
utilisable fournie par le noyau pour udev, donc il ne peut pas comprendre que les noms ou les
informations fournies udev ne sont pas appropries, comme les ID de priphriques non uniques. Cela
est assez courant et la solution est d'utiliser un schma de nommage personnalis dans les fichiers ifcfg
ou altrer quel schma udev est utilis en ditant 80-net-name-slot.rules.
Exemple 8.2. Dans /var/log/messages ou dans le journal de systemd journal, on voit le renommage
apparatre deux reprises pour chaque interface
Les systmes avec le schma de nommage encod dans les fichiers ifcfg, mais qui n'ont pas une image
initrd rgnre sont susceptibles de rencontrer ce problme. Le nom de l'interface est initialement
assign (via biosdevname ou udev ou par les paramtres dracut sur la ligne de commande du noyau)
lors du dmarrage boot prcoce, quand on est encore dans initrd. Puis, aprs le passage au rootfs
rel, le changement de noms a lieu une deuxime fois et un nouveau nom d'interface est dtermin par le
binaire de usr/lib/udev/rename_device engendr par udev par les 60-net.rules. Vous pouvez
ignorer de tels messages sans inquitude.
Exemple 8.3. Utiliser un schma de dnomination avec des noms ethX dans les fichiers ifcfg ne
marche pas
L'utilisation de noms d'interfaces et d'espace-noms de noyaux n'est pas conseill. Pour obtenir des noms
d'interface prvisibles et stables, utiliser d'autres prfixes qu' "eth".
Les sources d'informations suivantes fournissent des ressources supplmentaires propos des associations
de rseaux.
Page man udev(7) dcrit le dmon de gestion du priphrique dynamique de Linux udevd.
Page man systemd(1) man page dcrit le systme et le gestionnaire de service systemd.
Page man biosdevname(1) dcrit un utilitaire pour obtenir le nom gnr-BIOS d'un priphrique.
148
Chapitre 8. Nommage de priphriques rseaux consistante
149
Guide de Gestion des rseaux
150
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Les communications RDMA se distinguent des communications IP normales car elles contournent
l'intervention du noyau dans le processus de communication et rduisent ainsi considrablement la
surcharge de processeur qu'il faut normalement pour traiter les communications rseau. Dans un transfert de
donnes IP typique, une application X sur une machine A enverra certaines donnes une application Y sur
un ordinateur B. Dans le cadre du transfert, le noyau de l'ordinateur B doit tout d'abord recevoir les donnes,
dcoder les en-ttes de paquets, dterminer que les donnes appartiennent bien l'application Y, rveiller
l'application Y, attendre que l'application Y effectue une lecture syscall dans le noyau, puis doit copier
manuellement les donnes de l'espace mmoire interne du noyau propre dans la mmoire tampon fournie
par application Y. Ce processus signifie que la majorit du trafic rseau doit tre copi dans la mmoire bus
principale du systme au moins deux fois (une fois, quand l'adaptateur hte utilise le DMA pour mettre les
donnes dans la mmoire tampon de la mmoire fournie par le noyau, et nouveau, quand le noyau
dplace les donnes vers la mmoire tampon de l'application), et cela signifie aussi que l'ordinateur doit
excuter un certain nombre de changements de contexte pour basculer du contexte noyau au contexte
d'application Y. Ces deux choses imposent des charges de CPU extrmement leves sur le systme
lorsque le trafic rseau circule une cadence trs leve.
Le protocole RDMA permet l'adaptateur d'hte de la machine de savoir quand un paquet arrive sur le
rseau, quelle application doit recevoir ce paquet, et o il doit aller dans l'espace mmoire de l'application.
Au lieu d'envoyer le paquet au noyau pour qu'il soit trait, et pour qu'il soit ensuite copi dans la mmoire de
l'application de l'utilisateur, il place le contenu du paquet directement dans le tampon de l'application sans
qu'il y ait besoin d'une autre intervention. Cela rduit considrablement la charge des communications
rseau haute vitesse. Cependant, cela ne peut tre accompli en utilisant l'API de Sockets Berkeley
standard sur laquelle la plupart des applications rseau IP se reposent, donc il doit fournir sa propre API,
l'API InfiniBand Verbs, et les applications doivent tre dplaces vers cette API, avant de pouvoir utiliser la
technologie RDMA directement.
Red Hat Enterprise Linux 7 prend en charge le matriel InfiniBand et l'API InfiniBand Verbs. Aussi, il existe
deux technologies supplmentaires qui sont prises en charge et permettant l'API InfiniBand Verbs d'tre
utilis sur du matriel non-InfiniBand. Il s'agit d'iWARP (Internet Wide Area RDMA Protocol) et RCI/IBoE
(RDMA via Converged Ethernet, plus tard renomm InfiniBand over Ethernet). Ces deux technologies ont
une couche de liaison de rseau IP normale comme leur technologie sous-jacente, et donc la majorit de
leur configuration est effectivement couverte dans le chapitre Chapitre 2, Configurer la Gestion des rseaux
IP du prsent document. Pour l'essentiel, une fois que leurs fonctionnalits rseau IP sont correctement
configures, leurs fonctionnalits RDMA sont automatiques et apparatront aussi longtemps que les pilotes
qu'il faut seront installs. Les pilotes du noyau sont toujours inclus dans chaque noyau que Red Hat fournit ;
cependant, les pilotes de l'espace utilisateur doivent tre installs manuellement si le groupe de packages
InfiniBand n'a pas t slectionn lors de l'installation de machine.
iWARP
RoCE/IBoE
matriel Mellanox libmlx4 ou libmlx5, selon la version du matriel. De plus, modifiez les
151
Guide de Gestion des rseaux
fichiers /etc/rdma/mlx4.conf selon les besoins, afin de dfinir les types de ports correctement
pour l'utilisation RoCE/IBoE. Modifiez les fichiers /etc/modprobe.d/mlx4.conf pour configurer
quelle priorit de paquet correspond au service no-drop sur les commutateurs Ethernet sur
lesquels les cartes sont connectes.
Avec ces paquets de pilotes installs (en plus les paquets RDMA normaux gnralement installs avec les
installations InfiniBand), un utilisateur doit tre en mesure d'utiliser la plupart des applications RDMA
normales pour tester et voir le protocole de communication RDMA sur leurs adaptateurs. Cependant, tous les
programmes inclus dans Red Hat Enterprise Linux 7 ne prennent pas tous en charge les priphriques
iWARP ou RoCE/IBoE. C'est parce que le protocole de mise en place de connexion sur iWARP en particulier,
est diffrent que c'est sur les liens rels de couche liaison InfiniBand. Si le programme en question utilise la
bibliothque de gestion de connexion librdmacm, il prendra en charge les diffrences entre iWARP et
InfiniBand silencieusement et le programme devrait fonctionner. Si l'application essaie de faire sa propre
gestion des connexions, alors, il doit prendre en charge spcifiquement iWARP, sinon cela ne fonctionnera
pas.
Comme les applications RDMA sont tellement diffrentes des applications bases Berkeley Sockets et du
rseautage IP normal, la plupart des applications qui sont utilises sur un rseau IP ne peuvent pas tre
utilises directement sur un rseau RDMA. Red Hat Enterprise Linux 7 est livr avec un certain nombre de
paquets de logiciels pour l'administration de rseaux RDMA, des tests et dbogages, des API de
dveloppement de logiciels de haut niveau, et d'analyse des performances.
Pour pouvoir utiliser ces rseaux, certains de ces paquets doivent tre installs (cette liste n'est pas
complte, mais elle couvre les paquets les plus importants relatifs RDMA).
Paquets requis :
opensm gestionnaire de sous-rseau (requis sur une machine uniquement, et seulement s'il n'y a pas
de gestionnaire de sous-rseau actif sur la structure).
user space driver for installed hardware un ou plusieurs parmi les paquets suivants :
infinipath-psm, libcxgb3, libcxgb4, libehca, libipathverbs, libmthca, libmlx4, libmlx5, libnes, and libocrdma.
Notez que libehca n'est disponible que pour les serveurs IBM Power Systems.
Packages recommands :
libibverbs-utils Simples programmes bass Verbs pour chercher le matriel install et vrifier
les communications sur la structure.
152
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Packages en option :
Ces paquets sont disponibles sur le canal Optional. Avant d'installer les paquets partir du canal Optional,
voir Scope of Coverage Details. Les informations sur les abonnements au canal Optional se trouvent dans la
base de connaissances Red Hat How to access Optional and Supplementary channels.
dapl, dapl-devel, et dapl-utils Fournit une API diffrente que l'API Verbs pour RDMA. Il y
a la fois un composant de runtime et un composant de dveloppement ces packages.
openmpi, mvapich2, et mvapich2-psm Piles MPI qui ont la possibilit d'utiliser les
communications RDMA. Les applications d'espace utilisateur qui crivent dans ces piles ne savent pas
forcement que des communications RDMA ont lieu.
Le paquet rdma ne fait pas partie de l'ensemble de packages installer par dfaut. Si le groupe de packages
InfiniBand n'a pas t slectionn pendant l'installation, le paquet rdma (ainsi que quelques autres numrs
dans la section prcdente) peuvent tre installs aprs que l'installation initiale soit termine. S'il n'a pas t
install au moment de l'installation de la machine et a t install manuellement par la suite, alors il convient
de reconstruire les images initramfs avec dracut afin qu'il fonctionne parfaitement, comme prvu.
Excutez les commandes suivantes en tant qu'utilisateur root :
Le dmarrage du service rdma est automatique. Quand du matriel compatible RDMA, InfiniBand, iWARP ou
RoCE/IBoE est dtect, udev charge systemd de dmarrer le service rdma. Les utilisateurs n'ont pas
besoin d'activer le service rdma, mais ils peuvent le forcer tout moment s'ils le souhaitent. Pour ce faire,
excutez la commande suivante :
Le service rdma lit /etc/rdma/rdma.conf pour trouver quels protocoles RDMA niveau utilisateur ou
niveau noyau, l'administrateur veut charger par dfaut. Les utilisateurs doivent diter ce fichier pour dmarrer
ou stopper les diffrents pilotes.
IPoIB Il s'agit d'une couche d'mulation de rseaux IP qui permet aux applications IP d'excuter sur
les rseaux InfiniBand.
SRP Il s'agit du protocole de demandes SCSI Request Protocol. Ce protocole permet une machine de
monter un lecteur ou un groupe de lecteurs distants exports sur la machine, via le protocole SRP,
comme s'il s'agissait d'un disque dur local.
SRPT c'est le mode cible ou serveur du protocole SRP. Ceci charge le support noyau ncessaire pour
pouvoir exporter un lecteur ou un groupe de lecteurs pour que d'autres machines puissent tre montes,
153
Guide de Gestion des rseaux
comme s'il tait local sur leur machine. Vous devrez effectuer une configuration plus pousse en mode
cible avant de pouvoir exporter un priphrique. Consultez la documentation dans les paquets targetd et
targetcli pour de plus amples informations.
ISER Il s'agit d'un pilote de bas niveau de la couche gnrale iSCSI du noyau Linux qui fournit un
transport sur les rseaux InfiniBand pour les priphriques iSCSI.
RDS Reliable Datagram Service du noyau Linux. Non actif dans les noyaux Red Hat Enterprise Linux 7
et ne peut donc pas tre tlcharg.
Les communications RDMA exigent que la mmoire physique de l'ordinateur soit pingle (ce qui signifie que
le noyau ne doit pas tre autoris changer cette mmoire dans un fichier d'change dans le cas o
l'ordinateur, dans son ensemble, commence tre court de mmoire disponible). Normalement, l'pinglage
de la mmoire est une opration trs privilgie. Pour permettre aux utilisateurs autres que root d'excuter
des applications RDMA de grande envergure, il va probablement falloir augmenter la quantit de mmoire
que les utilisateurs non - root sont autoriss pingler dans le systme. Cela se fait en ajoutant un fichier
dans le rpertoire /etc/security/limits.d/ avec des contenus semblables ceci :
154
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Certains matriels de Mellanox sont capables d'excuter en mode Ethernet ou InfiniBand. Ces cartes ont
gnralement InfiniBand comme valeur par dfaut. Les utilisateurs peuvent dfinir les cartes en mode
Ethernet. Il y a actuellement un support pour dfinir le mode sur matriel ConnectX family uniquement (qui
utilise le pilote mlx4). Pour dfinir le mode, les utilisateurs doivent suivre les instructions dans le fichier
/etc/rdma/mlx4.conf pour trouver l'ID de priphrique PCI pour leur matriel. Ils doivent ensuite crer
une ligne dans le fichier l'aide de cet ID de priphrique et le type de port requis, puis reconstruire leur
initramfs pour s'assurer que les paramtres de port mis jour sont copis dans initramfs.
Une fois que le type de port a t dfini, si un ou deux ports sont dfinis sur Ethernet, les utilisateurs peuvent
apercevoir ce message dans leurs journaux : mlx4_core 0000:05:00.0: Requested port type for
port 1 is not supported on this HCA. C'est normal et n'affectera pas le fonctionnement. Le script
charg de dfinir le type de port n'a aucun moyen de savoir quand le pilote a fini de passer du port 2 au type
demand en interne, et le temps que le script mette une requte de changement au port 2 et que le
changement soit termin, les tentatives de rgler le port 1 un autre type sont rejetes. Le script tente
nouveau jusqu' ce que la commande russisse, ou jusqu' ce qu'un dlai d'attente soit coul, indiquant
que le changement de port n'a pas russi.
La plupart des commutateurs InfiniBand disposent d'un gestionnaire de sous-rseaux intgr. Toutefois, au
cas o un gestionnaire de sous-rseau plus rcemment mis jour que le commutateur firmware soit requis,
ou si un contrle plus complet que le gestionnaire de commutateurs est ncessaire, Red Hat Enterprise Linux
7 inclut le gestionnaire de sous-rseaux opensm. Tous les rseaux InfiniBand doivent avoir un gestionnaire
de sous-rseaux en cours d'excution pour que le rseau fonctionne. Cela est vrai mme si un simple
rseau compos de deux machines sans interrupteur et des cartes sont branches dos dos, et un
gestionnaire de sous-rseau est requis pour que le lien apparaisse sur les cartes. Il est possible d'en avoir
plus d'un, auquel cas, l'un d'entre eux agira comme master, et tout autre sous-rseau de gestionnaire agira
comme esclave, prt prendre la relve si le gestionnaire de sous-rseaux venait chouer.
Le programme opensm conserve son fichier de configuration matre dans /etc/rdma/opensm.conf. Les
utilisateurs peuvent modifier ce fichier tout moment et les modifications seront conserves lors de la mise
niveau. Vous trouverez une documentation complte sur les options dans le fichier lui-mme. Toutefois, pour
les deux modifications les plus courantes, c-a-d dfinir le GUID auquel se lier et la PRIORIT encourir, il
est fortement recommand que le fichier opensm.conf ne soit pas dit, mais que le fichier
/etc/sysconfig/opensm le soit la place. S'il n'y a aucune modification dans le fichier de base
/etc/rdma/opensm.conf, il sera mis jour chaque fois que le paquet opensm sera mis jour. Comme
de nouvelles options sont ajoutes rgulirement ce fichier, cela facilite l'actualisation de la configuration
actuelle. Si le fichier opensm.conf a t chang, alors, au moment de la mise niveau, il faudra sans doute
faire fusionner les nouvelles options dans le fichier dit.
Les options qui se trouvent dans le fichier /etc/sysconfig/opensm contrlent comment le gestionnaire
de sous-rseaux dmarre, ainsi que le nombre d'exemplaires du gestionnaire de sous-rseaux dmarrent.
Par exemple, une carte de double port InfiniBand, avec chaque port branch sur des rseaux physiquement
spars, aura besoin d'une copie du gestionnaire de sous-rseaux en cours d'excution sur chaque port. Le
gestionnaire de sous-rseaux opensm va grer uniquement un sous-rseau par instance d'application, et
doit tre excut chaque fois pour chaque sous-rseau qui doit tre gr. De plus, s'il y a plus d'un serveur
opensm, dfinissez les priorits sur chaque serveur pour contrler ceux qui doivent tre des esclaves et
ceux qui doivent tre matres.
155
Guide de Gestion des rseaux
Le fichier /etc/sysconfig/opensm est utilis pour fournir un moyen simple de dfinir la priorit du
gestionnaire de sous-rseaux et pour contrler quel GUID le gestionnaire de sous-rseaux se lie. Il y a une
explication approfondie des options dans le fichier /etc/sysconfig/opensm lui-mme. Les utilisateurs ont
uniquement besoin de lire et de suivre les instructions contenues dans le fichier pour permettre le
basculement et l'opration Multi Fabric d'opensm.
Par dfaut, opensm.conf recherche le fichier /etc/rdma/partitions.conf pour obtenir une liste de
partitions crer sur la structure. Toutes les structures doivent contenir le sous-rseau 0x7fff, et tous les
commutateurs et htes doivent appartenir cette structure. Toute autre partition peut tre cre en plus, et
tous les htes et interrupteurs n'ont pas besoin d'tre membres de ces partitions supplmentaires. Cela
permet un administrateur de crer des sous-rseaux qui ressemblent aux structures VLAN Ethernet ou
InfiniBand. Si une partition est dfinie par vitesse donne, par exemple 40 Gbit/s, et qu'il y a un hte sur le
rseau qui est incapable d'aller 40 Gbit/s, alors cet hte sera incapable de joindre la partition, mme s'il est
autoris le faire car il ne pourra pas rpondre aux exigences de vitesse. Il est donc recommand que la
vitesse d'une partition soit dfinie la vitesse la plus lente correspondant tout hte ayant la permission de
rejoindre la partition. S'il vous faut une partition plus rapide de certains sous-ensembles d'htes, alors, crez
une partition diffrente avec la vitesse plus leve pour cette partition.
Le fichier de partition suivant quivaudrait une partition par dfaut de 0x7fff une vitesse rduite de 10
Gops, et une partition 0x0002 avec une vitesse de 40 Gops :
156
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Les utilisateurs ont besoin d'activer le service opensm car il n'est pas actif par dfaut une fois install.
Excuter la commande suivante en tant qu'utilisateur root :
157
Guide de Gestion des rseaux
Note
Cette section s'applique uniquement aux priphriques InfiniBand. Depuis que les priphriques
iWARP et RCI/IBoE sont bass IP, les utilisateurs doivent procder la section sur les tests
d'oprations, une fois qu'IPoIB aura t configur et les priphriques auront des adresses IP.
Une fois que le service rdma est activ, que le service opensm (si ncessaire) est activ, et que la
bibliothque de l'espace utilisateur approprie au matriel spcifique a t installe, les opration de rdma
espace utilisateur devraient tre rendues possibles. Les programmes de test simples, grce au paquet
libibverbs-utils, sont utiles pour vrifier que les oprations RDMA fonctionnent correctement. Le programme
ibv_devices indiquera quels priphriques sont prsents dans le systme, et la commande ibv_devinfo
donnera des informations dtailles sur chaque priphrique. Exemple :
~]$ ibv_devices
device node GUID
------ ----------------
mlx4_0 0002c903003178f0
mlx4_1 f4521403007bcba0
~]$ ibv_devinfo -d mlx4_1
hca_id: mlx4_1
transport: InfiniBand (0)
fw_ver: 2.30.8000
node_guid: f452:1403:007b:cba0
sys_image_guid: f452:1403:007b:cba3
vendor_id: 0x02c9
vendor_part_id: 4099
hw_ver: 0x0
board_id: MT_1090120019
phys_port_cnt: 2
port: 1
state: PORT_ACTIVE (4)
max_mtu: 4096 (5)
active_mtu: 2048 (4)
sm_lid: 2
port_lid: 2
port_lmc: 0x01
link_layer: InfiniBand
port: 2
state: PORT_ACTIVE (4)
max_mtu: 4096 (5)
active_mtu: 4096 (5)
sm_lid: 0
port_lid: 0
port_lmc: 0x00
link_layer: Ethernet
~]$ ibstat mlx4_1
CA 'mlx4_1'
CA type: MT4099
Number of ports: 2
Firmware version: 2.30.8000
Hardware version: 0
Node GUID: 0xf4521403007bcba0
System image GUID: 0xf4521403007bcba3
158
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Port 1:
State: Active
Physical state: LinkUp
Rate: 56
Base lid: 2
LMC: 1
SM lid: 2
Capability mask: 0x0251486a
Port GUID: 0xf4521403007bcba1
Link layer: InfiniBand
Port 2:
State: Active
Physical state: LinkUp
Rate: 40
Base lid: 0
LMC: 0
SM lid: 0
Capability mask: 0x04010000
Port GUID: 0xf65214fffe7bcba2
Link layer: Ethernet
Les sorties de commande de ibv_devinfo et de ibstat rendent des informations lgrement diffrentes
(ainsi, le port MTU est prsent dans ibv_devinfo mais pas dans la sortie de ibstat, et le port GUID est
prsent dans la sortie de ibstat, mais pas dans celle de ibv_devinfo) et certaines choses sont
nommes diffremment (par exemple, le local identifier (LID) de base dans la sortie ibstat correspond au
port_lid de la sortie de ibv_devinfo)
Les programmes ping simples, comme ibping du paquet infiniband-diags, peuvent tre utiliss pour tester la
connectivit RDMA. Le programme ibping utilise un modle client/serveur. Vous devez d'abord dmarrer un
serveur ibping sur une seule machine, puis excuter ibping en tant que client sur une autre machine et lui
demander de se connecter au serveur ibping. Comme nous sommes dsireux de tester la fonctionnalit
RDMA de base, nous avons besoin d'utiliser une mthode de rsolution d'adresse spcifique RDMA, plutt
que d'adresses IP pour spcifier le serveur.
Sur le serveur, les utilisateurs peuvent utiliser les commandes ibv_devinfo et ibstat pour afficher le
port_lid (lid de Base) et le Port GUID du port qu'ils veulent tester (en supposant que le port 1 de
l'interface ci-dessus, le port_lid / Base LID corresponde 2 et le Port GUID 0xf4521403007bcba1)).
Puis, lancer ibping avec les options ncessaires pour lier spcifiquement la carte et le port tester; et aussi,
en spcifiant ibping, on doit excuter en mode serveur. Vous pourrez apercevoir les options disponibles
ibping en ajoutant les options -? ou --aider, mais dans ce cas, il faudra soit l'option -S ou --Server et
pour relier la carte au port, il faudra soit -C ou --Ca et -P ou --Port. Remarque : dans cette instance, le
port ne dsigne pas un numro de port de rseau, mais dsigne le numro de port physique situ sur la carte
lorsque vous utilisez une carte multi-ports. Pour tester la connectivit de la structure RDMA en utilisant, par
exemple, le deuxime port d'une carte multiport, vous devrez instruireibping de se lier au port 2 sur la carte.
Lorsque vous utilisez une carte port unique, ou si vous tester le premier port sur une carte, cette option
n'est pas ncessaire. Exemple :
Passez alors la machine client et excuter ibping. Prenez note de chaque port GUID du port auquel le
programme ibping est li, ou l' identificateur local (LID de l'anglais Local Indentifier) du port auquel le
programme ibping est li. Aussi, notez quelle carte et quel port de la machine client sont physiquement
connects au mme rseau que la carte et le port qui tait lis au serveur. Par exemple, si le second port de
la premire carte tait li au serveur, et que le port tait connect une structure RDMA secondaire, alors,
159
Guide de Gestion des rseaux
spcifier sur le client quelle carte ou port sont ncessaires pour tre connect galement cette structure
secondaire. Une fois que ces choses sont connues, excutez le programme ibping en tant que client et
connectez-vous au serveur en utilisant soit le LID ou le GUID du port trouv sur le serveur comme tant
l'adresse laquelle se connecter. Exemple :
ou
Cette sortie vrifie que les communications RDMA end-to-end fonctionnent pour les applications d'espace
utilisateur.
~]$ ibv_devinfo
libibverbs: Warning: no userspace device-specific driver found for
/sys/class/infiniband_verbs/uverbs0
No IB devices found
Cette erreur indique que la bibliothque de l'espace utilisateur ncessaire n'est pas installe. L'administrateur
doit installer une des bibliothques rpertories de l'espace utilisateur (selon leur matriel) dans la section
Section 9.2, Paquets de logiciels relatifs InfiniBand et RDMA . En de rares occasions, cela peut se
produire si un utilisateur installe le mauvais type d'arch pour le pilote ou pour libibverbs. Par exemple, si
libibverbs est d'arch x86_64 et que libmlx4 est install, mais est de type i686, alors cette erreur peut se
produire.
Note
De nombreux exemples d'applications prfrent utiliser des adresses ou des noms d'hte au lieu de
LID pour ouvrir une communication entre le serveur et le client. Pour ces applications, il faut dfinir les
IPoIB avant de tenter de tester des communications RDMA end-to-end. L'application ibping est
inhabituelle car elle accepte des LID simples comme forme d'adressage, et cela lui permet de
constituer un test simple qui limine les ventuels problmes d'adressage d'IPoIB des scnarios de
test et nous donne donc une vue plus isole pour savoir si oui ou non, les communications RDMA
simples fonctionnement.
Comme mentionn dans Section 1.2, Rseaux IP versus Rseaux non-IP , la plupart des rseaux sont
des rseaux IP. InfiniBand n'en est pas un. Le rle d'IPoIB est de fournir une couche d'mulation de rseau
IP sur les rseaux RDMA InfiniBand. Cela permet des applications existantes d'excuter sur InfiniBand
160
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
rseaux non modifis. Toutefois, les performances de ces applications sont considrablement infrieures par
rapport la possibilit que l'application ait t crite pour utiliser la communication RDMA nativement. tant
donn que la plupart des rseaux InfiniBand comprennent un ensemble d'applications qui doivent vraiment
essayer d'obtenir toute la performance possible du rseau, et d'autres applications pour lesquelles un taux de
rendement moindre est acceptable, si cela signifie que l'application ne doit pas tre modifie pour utiliser les
communications RDMA. IPoIB est l pour permettre aux applications moins critiques d'excuter sur le rseau
telles qu'elles.
Comme les rseaux iWARP et RoCE/IBoE sont en fait des rseaux IP avec des couches RDMA au dessus
de leur couche liaison IP, ils n'ont pas besoin d'IPoIB. De ce fait, le noyau refusera de crer des
priphriques IPoIB sur les priphriques RDMA iWARP ou RoCE/IBoE.
Les priphriques IPoIB peuvent tre configurs pour excuter en mode datagramme ou connect. La
diffrence est dans quel type de paire de file d'attentes la couche IPoIB tente d'ouvrir avec la machine
l'autre bout de la communication. Pour le mode datagramme, une paire de file d'attentes peu fiables,
dconnectes, est ouverte. Pour le mode connect, une paire de files d'attentes fiables, connectes est
ouverte.
En mode datagramme, le type de paire de file d'attentes peu fiables, dconnectes n'autorise pas les
paquets qui sont plus volumineux que le MTU de la couche-liaison d'InfiniBand. La couche IPoIB ajoute un
en-tte IPoIB de 4 octets au dessus du paquet IP transmis. Ainsi, le MTU IPoIB doit tre de 4 octets de
moins que le MTU de couche liaison d'InfiniBand. Comme 2048 est un MTU de couche liaison d'InfiniBand
commun, le MTU de priphrique commun d'IPoIB MTU en mode datagramme est de 2044
Lorsque vous utilisez le mode connect, la paire de file d'attentes fiables et connectes autorise des
messages qui sont plus volumineux que le MTU de couche liaison d'InfiniBand et l'adaptateur de l'hte gre
une segmentation de paquets et leur rassemblage chaque extrmit. En consquence, il n'y a aucune
limite de taille impose sur la taille des messages IPoIB, qui peuvent tre envoys par les adaptateurs
InfiniBand en mode connect. Cependant, il y a toujours la limitation qu'un paquet IP doit avoir un champ de
taille de 16 bits seulement, et qu'il est donc limit 65535 comme nombre d'octets maximum. Le MTU
maximal autoris est en fait plus petit que cela, parce que nous devons tenir compte des diffrents en-ttes
TCP/IP qui doivent galement correspondre cette taille. En consquence, le MTU IPoIB en mode connect
est plafonn 65520 afin de s'assurer il y a suffisamment de place pour tous les en-ttes TCP ncessaires.
L'option mode connect a gnralement des performances suprieures, mais il consomme aussi plus de
mmoire du noyau. Comme la plupart des systmes s'intressent davantage la performances qu' la
consommation de mmoire, le mode connect est le mode le plus couramment utilis.
Toutefois, si un systme est configur en mode connect, il doit encore envoyer le trafic multidiffusion en
mode datagramme (la structure et les commutateurs InfiniBand ne peut pas faire passer le trafic
multidiffusion en mode connect). De plus, il reviendra en mode datagramme lorsqu'il communiquera avec
tous les htes non configurs en mode connect. Les administrateurs doivent tre conscients que s'ils ont
l'intention d'excuter des programmes qui envoient des donnes multidiffusion, et que ces programmes
tentent d'envoyer des donnes multidiffusion hauteur de la valeur maximale MTU sur l'interface, il faudra
configurer l'interface pour l'opration de datagramme ou trouver un moyen de configurer l'application
multidiffusion pour plafonner la taille de leurs paquets envoys une taille qui s'adaptera celle des paquets
datagramme.
Les priphriques IPoIB ont des adresses de 20 octets. L'utilitaire dprci ifconfig n'est pas en mesure de
lire l'ensemble des 20 octets et n'est pas assez fiable pour chercher les adresses correctes de matriel pour
un priphrique IPoIB. Les utilitaires ip du package iproute fonctionnenet correctement.
161
Guide de Gestion des rseaux
Les 4 premiers octets de l'adresse matrielle d'IPoIB correspondent aux drapeaux et au numro de paire de
file d'attentes. Les prochains 8 octets reprsentent le prfixe de sous-rseau. Quand le priphrique IPoIB
est tout d'abord cr, il aura le prfixe de sous-rseau par dfaut de 0xfe:80:00:00:00:00:00:00. Le
priphrique utilise le prfixe de sous-rseau par dfaut (0xfe80000000000000) jusqu' ce qu'il entre en
contact avec le gestionnaire de sous-rseau, et moment l, il se rinitialisera le prfixe de sous-rseau
pour correspondre la valeur de configuration devise par le gestionnaire de sous-rseau. Les 8 octets de la
fin correspondent l'adresse GUID du port InfiniBand auquel le priphrique IPoIB est attach. Comme les 4
premiers octets et les 8 octets suivants peuvent changer de temps en temps, ils ne sont pas utiliss ou mis
en correspondance lorsque vous spcifiez l'adresse matrielle d'une interface IPoIB. La section
Section 9.3.3, Utilisation de 70-persistent-ipoib.rules explique comment driver l'adresse en laissant les
12 premiers octets en dehors du champ ATTR {address} dans le fichier de rgles udev pour que la
correspondance au priphrique soit fiable. Lorsque vous configurez des interfaces IPoIB, le champ
HWADDR du fichier de configuration peut contenir les 20 octets, mais seuls les 8 derniers octets sont
effectivement utiliss pour la correspondance et pour trouver le matriel spcifi par un fichier de
configuration. Toutefois, si le TYPE=InfiniBand n'est pas correctement pel dans le fichier de
configuration de priphrique, et que ifup-ib n'est pas le script rel utilis pour faire apparatre l'interface
IPoIB, alors, une erreur expliquant que le systme est incapable de trouver le matriel spcifi par la
configuration surgira. Pour les interfaces IPoIB, le champ TYPE= du fichier de configuration doit tre
InfiniBand ou infiniband (l'entre est sensible la casse, mais les scripts accepteront les deux faons
dpeler).
La structure InfiniBand peut tre logiquement segmente en sous-rseaux virtuels avec diffrents sous-
rseaux P_Key. Ceci est similaire l'utilisation de rseaux locaux virtuels sur des interfaces Ethernet. Tous
les commutateurs et les htes doivent tre membres du sous-rseau P_Key qui correspond la valeur par
dfaut, mais les administrateurs peuvent crer des sous-rseaux supplmentaires et limiter des membres de
ces sous-rseaux des sous-rseaux d'htes ou de commutateurs de la structure. Un sous-rseau de
P_Key doit tre dfini par le gestionnaire de sous-rseaux avant qu'un hte puisse l'utiliser. Voir la section
Section 9.4.4, Cration d'une dfinition P_Key pour plus d'informations sur la faon de dfinir un sous-
rseau P_Key en utilisant le gestionnaire de sous-rseaux opensm. Pour les interfaces IPoIB, lorsqu'un
sous-rseau P_Key a t cr, nous pouvons crer des fichiers de configuration IPoIB supplmentaires
spcifiquement pour ces sous-rseaux P_Key. Tout comme les interfaces VLAN sur les priphriques
Ethernet, chaque interface de IPoIB se comporte comme si elle tait sur une structure compltement
diffrentes des autres interfaces IPoIB partageant la mme liaison, mais ayant des valeurs P_Key
diffrentes.
Il y a des prescriptions particulires pour les noms des interfaces P_Key d'IPoIB. Toutes les P_Key d'IPiIB
varient entre 0x0000 et 0x7fff et le caractre tendu (high bit), 0x8000 indique que l'appartenance un
P_Key est membre part entire et qu'il ne s'agit pas d'une adhsion partielle. Le pilote IPoIB du noyau
Linux ne supporte que des membres part entire dans les sous-rseaux P_Key, donc, pour n'importe quel
sous-rseau sur lequel Linux peut tablir une connexion, la valeur high bit de P_Key sera toujours dfinie.
Cela signifie que si un ordinateur Linux rejoint P_Key 0x0002, son nombre P_Key une fois rejoint, sera
0x8002, indiquant que nous sommes membres part entire de P_Key 0x0002. Pour cette raison, lorsque
vous crez une dfinition de P_Key dans un fichier opensm partitions.conf comme dcrit dans la
section Section 9.4.4, Cration d'une dfinition P_Key , il est faut spcifier une valeur P_Key sans
0x8000, mais lors de la dfinition des interfaces P_Key d'IPoIB sur les clients Linux, ajoutez la valeur de
0x8000 la valeur de base P_Key.
L'outil d'interface utilisateur de texte nmtui peut tre utilis pour configurer InfiniBand dans une fentre de
terminal. Excutez la commande suivante pour dmarrer l'outil :
162
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
~]$ nmtui
L'interface utilisateur texte apparatra. Tout commande non valide affichera un message d'utilisation.
Pour naviguer, utiliser les flches ou appuyer sur Tab pour continuer et appuyer sur la combinaision de
touches Maj+Tab pour revenir aux options. Appuyer sur la touche Entre pour slectionner une option. La
barre Espace active/dsactive le statut d'un case cocher.
partir du menu de dmarrage, slectionner Modifier une connexion. Slectionner Ajouter, l'cran
Nouvelle connexion apparatra.
Figure 9.1. Pour que l'interface utilisateur texte du NetworkManager ajoute un menu de connexion
InfiniBand
Slectionner InfiniBand, l'cran Modifier connexion apparatra. Suivre les invites de l'cran pour
terminer la configuration.
163
Guide de Gestion des rseaux
Figure 9.2. Pour que l'interface utilisateur texte du NetworkManager configure un menu de connexion
InfiniBand
Voir Section 9.11.1, Configurer l'onglet InfiniBand pour obtenir des dfinitions des termes InfiniBand.
Voir Section 1.5, Configuration rseau utilisant une interface utilisateur texte (nmtui) pour obtenir des
informations sur la faon d'installer nmtui.
Commencez par dterminer s'il est ncessaire de renommer le ou les priphriques IPoIB par dfaut, et
dans l'affirmative, suivez les instructions dans la section Section 9.3.3, Utilisation de 70-persistent-
ipoib.rules pour renommer les priphriques en utilisant les rgles de renommage de udev. Les utilisateurs
peuvent forcer les interfaces IPoIB tre renommes sans effectuer de redmarrage, en enlevant le module
du noyau ib_ipoib et en le rechargeant ensuite comme suit :
Une fois que les priphriques ont le nom voulu, utiliser l'outil nmcli pour crer le ou les interface(s) IPoIB
comme suit :
~]$ nmcli con add type infiniband con-name mlx4_ib0 ifname mlx4_ib0
transport-mode connected mtu 65520
Connection 'mlx4_ib0' (8029a0d7-8b05-49ff-a826-2a6d722025cc) successfully
added.
~]$ nmcli con edit mlx4_ib0
164
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
You may edit the following settings: connection, infiniband, ipv4, ipv6
nmcli> set infiniband.mac-address
80:00:02:00:fe:80:00:00:00:00:00:00:f4:52:14:03:00:7b:cb:a3
nmcli> save
Connection 'mlx4_ib3' (8029a0d7-8b05-49ff-a826-2a6d722025cc) successfully
updated.
nmcli> quit
ce stade, une interface IPoIB nomme mlx4_ib0 a t cre et configure pour utiliser le mode connect,
avec le mode MTU connect maximal, DHCP pour IPv4 et IPv6. Si vous utilisez des interfaces IPoIB
pour le trafic dans le cluster et une interface Ethernet pour les communications hors du cluster, vous devrez
sans doute dsactiver les itinraires par dfaut et n'importe quel serveur de nom par dfaut sur les interfaces
IPoIB. Cela peut tre effectu ainsi :
You may edit the following settings: connection, infiniband, ipv4, ipv6
nmcli> set ipv4.ignore-auto-dns yes
nmcli> set ipv4.ignore-auto-routes yes
nmcli> set ipv4.never-default true
nmcli> set ipv6.ignore-auto-dns yes
nmcli> set ipv6.ignore-auto-routes yes
nmcli> set ipv6.never-default true
nmcli> save
Connection 'mlx4_ib0' (8029a0d7-8b05-49ff-a826-2a6d722025cc) successfully
updated.
nmcli> quit
Si une interface P_Key est requise, crez-en une avec nmcli, comme suit :
~]$ nmcli con add type infiniband con-name mlx4_ib0.8002 ifname mlx4_ib0.8002
parent mlx4_ib0 p-key 0x8002
Connection 'mlx4_ib0.8002' (4a9f5509-7bd9-4e89-87e9-77751a1c54b4)
successfully added.
~]$ nmcli con modify mlx4_ib0.8002 infiniband.mtu 65520 infiniband.transport-
mode connected ipv4.ignore-auto-dns yes ipv4.ignore-auto-routes yes
ipv4.never-default true ipv6.ignore-auto-dns yes ipv6.ignore-auto-routes yes
ipv6.never-default true
Commencez par dterminer s'il est ncessaire de renommer le ou les priphriques IPoIB par dfaut, et
dans l'affirmative, suivez les instructions dans la section Section 9.3.3, Utilisation de 70-persistent-
165
Guide de Gestion des rseaux
ipoib.rules pour renommer les priphriques en utilisant les rgles de renommage de udev. Les utilisateurs
peuvent forcer les interfaces IPoIB tre renommes sans effectuer de redmarrage, en enlevant le module
du noyau ib_ipoib et en le rechargeant ensuite comme suit :
Une fois que les priphriques auront reu le nom qui convient, les administrateurs peuvent crer des fichiers
ifcfg avec leur diteur prfr pour contrler les priphriques. Un fichier de configuration IPoIB typique
d'adressage static IPv4 ressemblera ce qui suit :
Le champ DEVICE doit correspondre au nom personnalis cr dans n'importe quelle rgle de renommage
d'udev. L'entre de nom NAME n'a pas besoin de correspondre au nom du priphrique. Si l'diteur de
connexion du GUI est dmarr, le champ NAME est ce qui sert prsenter un nom pour cette connexion
l'utilisateur. Le champ TYPE doit tre InfiniBand pour que les options InfiniBand soient traites correctement.
CONNECTED_MODE est Oui ou non : oui en mode connect et non en mode datagramme pour les
communications (voir section Section 9.6.2, Comprendre les modes de communication IPoIB ).
166
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Pour tous les fichiers d'interface P_Key, la directive PHYSDEV est ncessaire et correspond au nom du
priphrique parent. La directive PKEY doit tre dfinie sur oui, et PKEY_ID doit correspondre au numro de
l'interface (avec ou sans 0x8000 ajout). Le nom du priphrique, toutefois, doit correspondre la
reprsentation hexadcimal quatre chiffres de PKEY_ID combine 0x8000 utilisant l'oprateur logique
OR comme suit :
NAME=${PHYSDEV}.$((0x8000 | $PKEY_ID))
Par dfaut, le PKEY_ID du fichier est trait comme un nombre dcimal et converti en hexadcimal, puis est
combin par l'oprateur logique OR avec 0x8000 pour obtenir le nom du priphrique qui convient, mais les
utilisateurs peuvent spcifier le PKEY_ID en hexadcimal, en ajoutant le prfixe standard 0x au nombre.
9.10. Test d'un rseau RDMA une fois qu'IPoIB est configur.
Une fois qu'IPoIB est configur, il est possible d'utiliser des adresses IP pour spcifier les priphriques
RDMA. En raison de l'ubiquit de l'utilisation des adresses IP et des noms d'htes pour spcifier des
machines, la plupart des applications de RDMA l'utilisent comme leur propre faon, ou dans certains cas,
pour spcifier des machines distantes ou des priphriques locaux auxquels se connecter.
Pour tester la fonctionnalit de la couche IPoIB, il est possible d'utiliser n'importe quel outil de testing de
rseau IP et de fournir l'adresse IP des priphriques IPoIB tester. Ainsi, la commande ping entre les
adresses IP des priphriques IPoIB doit fonctionner.
Il y a deux packages difffrents existants pour les tests de performance RDMA dans Red Hat
Enterprise Linux, qperf et perftest. L'un d'entre eux peut tre utilis pour tester davantage la performance
d'un rseau RDMA.
Toutefois, lorsque vous utilisez une des applications qui font partie du package perftest, ou en utilisant
l'application qperf, il y une note spciale sur la rsolution d'adresse. Mme si l'hte distant est spcifi
l'aide d'un nom d'hte ou d'une adresse IP du priphrique IPoIB, l'application de test est autorise se
connecter via une interface RDMA diffrente. C'est parce que le processus de conversion du nom d'hte ou
d'adresse IP une adresse RDMA permet n'importe quelle paire d'adresse RDMA valides entre les deux
machines d'tre utilises. S'il existe plusieurs moyens pour le client de se connecter au serveur, alors les
programmes peuvent choisir d'utiliser un autre chemin, s'il y a un problme avec le chemin d'accs spcifi.
Par exemple, s'il y a deux ports sur chaque machine connecte au mme sous-rseau InfiniBand, et une
adresse IP pour pour le second port sur chaque machine, il est probable que le logiciel trouve que le premier
port sur chaque machine corresponde une mthode de connexion valide et il les utilisera la place. Dans
ce cas, des options de ligne de commandess pour tous les programmes perftest peuvent tre utilises pour
leur dire quelle carte et quel port se relier, comme cela avait t fait avec ibping dans Section 9.5,
Testing d'anciennes oprations RDMA InfiniBand , afin de veiller ce que les tests s'effectuent sur les
ports spcifiques devant tre tests. Avec qperf, la mthode de liaison aux ports est lgrement diffrente.
Le programme qperf fonctionne comme serveur sur une machine l'coute de tous les appareils (y compris
les priphriques non-RDMA). Le client peut se connecter qperf l'aide de n'importe quel nom d'hte ou
adresse IP valides du serveur. Qperf tentera d'abord d'ouvrir une connexion de donnes et d'excuter les
tests demands sur le nom d'hte ou l'adresse IP donne sur la ligne de commandes du client, mais si il n'y
a un problme utiliser cette adresse, qperf vous renverra tenter d'excuter le test sur un chemin d'accs
valide entre le client et le serveur. Pour cette raison, pour forcer qperf tester sur un lien spcifique, utilisez
les options -loc_id et -rem_id pour le client qperf afin de forcer le test excuter sur une liaison
spcifique.
167
Guide de Gestion des rseaux
1. Pour utiliser l'outil graphique de Connexions Rseau, appuyer sur la touche Super pour apercevoir
l'ensemble des activits, puis saisir Connections Rseau, et appuyer sur la touche Saisir.
L'outil Connections Rseau apparatra.
2. Cliquer sur le bouton Ajouter pour ouvrir la liste de slection. Slectionner InfiniBand, puis
cliquer surCrer. La fentre Modifier la connexion InfiniBand1 apparatra.
3. Dans l'onglet InfiniBand, slectionner le mode de transport dans la liste droulante que vous
souhaitez utiliser pour la connexion InfiniBand
5. Vrifier et confirmer les paramtres de configuration, puis cliquer sur le bouton Sauvegarder.
1. Appuyer sur la touche Superpour apercevoir l'ensemble des activits, puis saisir Connections
Rseau, et appuyer sur la touche Saisir. L'outil Connections Rseau apparatra.
Il existe cinq configurations de la bote de dialogue Modifier qui sont communes tous les types
de connexion. Voir l'onglet Gnral :
Nom de connexion saisir un nom descriptif pour votre connexion de rseau. Ce nom sera
utilis pour lister cette connexion dans le menu de la fentre Rseau.
Zone de parefeu slectionnez une zone de parefeu dans le menu droulant. Voir le guide
Red Hat Enterprise Linux 7 Security Guide pour obtenir plus d'informations sur les Zones de
parefeux.
168
Chapitre 9. Configuration d'InfiniBand et des Rseaux RDMA
Sauvegarder votre nouvelle connexion (ou votre connexion modifie) et faire des
configurations supplmentaires
Une fois vous aurez termin de modifier votre connexion InfiniBand au rseau local virtuel, cliquez sur le
bouton Save pour enregistrer votre configuration personnalise. Si le profil est en cours d'utilisation alors
qu'il est modifi, alimentez le cycle de connexion pour que NetworkManager applique les modifications. Si
le profil est dsactiv (OFF), rglez-le sur ON ou slectionnez-le dans le menu de l'icne de connexion
rseau. Voir Section 2.5.1, Se connecter rseau par un GUI pour plus d'informations sur l'utilisation de
votre connexion nouvelle ou modifie.
Vous pouvez configurer davantage une connexion existante en la slectionnant dans la fentre Connexions
rseau et en cliquant sur Modifier pour revenir la bote de dialogue Modification.
Pour les paramtres de configuration pour la connection, cliquer sur l'onglet IPv4 Settings et
continuer avec Section 2.5.10.4, Configuration des paramtres IPv4 ; ou,
Pour les paramtres de configuration pour la connexion, cliquer sur l'onglet IPv6 Settingset continuez
avec Section 2.5.10.5, Configurer les paramtres IPv6 .
Si vous avez dj ajout une nouvelle connexion InfiniBand (voir Procdure 9.1, Ajout d'une nouvelle
connexion InfiniBand pour obtenir des instructions), vous pouvez modifier l'onglet InfiniBand afin de
dfinir l'interface parente et l'ID du VLAN.
Mode de transport
Les modes Datagramme ou Connnect peuvent tre slectionns dans la liste de menu droulant.
Slectionner le mme mode que celui que le rseau IPoIB utilise.
L'adresse MAC du priphrique compatible InfiniBand utiliser pour le trafic de rseau InfiniBand.
Ce champ d'adresse de matriel sera pr-rempli si vous avez du matriel InfiniBand install.
MTU
Dfinit en option une taille de MTU (de l'anglais Maximum Transmission Unit) utiliser pour les
paquets envoyer sur la connexion InfiniBand.
Les sources d'informations suivantes vous donneront d'autres ressources sur le rseautage RDMA et
InfiniBand de Red Hat Enterprise Linux 7.
https://www.kernel.org/doc/Documentation/infiniband/ipoib.txt
169
Guide de Gestion des rseaux
Une description du pilote IPoIB. Inclut des rfrences aux divers RFC.
170
Partie III. Serveurs
171
Guide de Gestion des rseaux
DHCP est utile pour la configuration automatique des interfaces de rseaux clientes. Lorsque vous
configurez le systme client, vous pouvez choisir DHCP au lieu de spcifier une adresse IP, un masque de
sous-rseau, une passerelle ou des serveurs DNS. Le client rcupre cette information dans le serveur DHCP.
DHCP est galement utile si vous souhaitez modifier les adresses IP d'un grand nombre de systmes. Au lieu
de reconfigurer tous les systmes, vous pouvez simplement modifier un fichier de configuration sur le serveur
pour un nouvel ensemble d'adresses IP. Si les serveurs DNS d'une organisation change, les changements
se produiront sur le serveur DHCP, pas sur les clients DHCP. Lorsque vous redmarrerez le rseau ou les
clients, les changements entreront en vigueur.
Si une organisation a un serveur DHCP fonctionnel correctement connect un rseau, les utilisateurs
d'ordinateurs portables ou d'autres ordinateurs mobiles peuvent dplacer ces priphriques de bureau en
bureau.
Notez que les administrateurs de serveurs DNS et DHCP, ainsi que toute application de provisioning, doivent
s'accorder sur le format des noms d'htes utilis dans une organisation. Veuillez consulter le Section 3.1.1,
Pratiques de nommage conseilles pour obtenir davantage d'informations sur les formats de noms
d'htes.
En installant le paquet dhcp, vous allez crer un fichier, /etc/dhcp/dhcpd.conf, qui correspond tout
simplement un fichier de configuration vide. En tant qu'utilisateur root, excutez la commande suivante :
172
Chapitre 10. Serveurs DHCP
La premire tape pour configurer un serveur DHCP consiste crer le fichier de configuration qui stocke les
informations rseau des clients. Utiliser ce fichier pour dclarer des options dans les systmes clients.
Le fichier de configuration peut contenir des tabulations ou lignes vierges complmentaires pour faciliter le
formatage. Les mots-cls sont sensibles la casse et les lignes commenant par un signe dise (#)
correspondent des commentaires.
Paramtres - expliquent comment effectuer une tche, quand l'effectuer, ou quelles options de
configuration donner au client.
Dclarations - dcrit la topologie du rseau, les clients, donne des adresses aux clients, ou applique un
groupe de paramtres un groupe de dclarations.
Les paramtres qui commencent avec le mot-cl option sont considrs comme des options. Ces options
configurent les options DHCP, alors que les paramtres eux, configurent des valeurs qui ne sont pas
facultatives ou contrlent le comportement du serveur DHCP.
Les paramtres (y compris les options) dclars avant une section entre accolades ({ }) sont considrs
comme des paramtres globaux. Ceux-ci s'appliquent toutes les sections se trouvant en dessous.
Important
Si le fichier de configuration est modifi, les changements ne pourront pas prendre effet tant que le
dmon DHCP n'aura pas redmarr par la commande systemctl restart dhcpd.
Note
Au lieu de modifier un fichier de configuration DHCP et redmarrer le service chaque fois, en utilisant
la commande omshell, vous pouvez vous connecter, interroger ou modifier la configuration du
serveur DHCP de faon interactive. Avec omshell, vous pourrez effectuer tous les changements
quand le serveur est en cours d'excution. Pour plus d'informations sur omshell, voir la page man
omshell.
Dans Exemple 10.1, Dclaration de sous-rseau , les options routers, subnet-mask, domain-
search, domain-name-servers, et time-offset sont utilises pour les noncs d' hte dclars
dessous.
Pour chaque sous-rseau servi, et pour chaque sous-rseau auquel le serveur DHCP se connecte, il doit y
avoir une dclaration de sous-rseau, qui indique au dmon DHCP comment reconnatre qu'une adresse
est sur ce sous-rseau. Une dclaration de sous-rseau est exige pour chaque sous-rseau, mme si
aucune adresse ne doit tre alloue de faon dynamique sur ce sous-rseau.
Dans cet exemple, il y a des options globales pour chaque client DHCP dans le sous-rseau, et une plage
est annonce. Les clients reoivent une adresse IP incluse dans l'intervalle indiqu.
173
Guide de Gestion des rseaux
Pour configurer un serveur DHCP qui alloue une adresse IP un systme se trouvant dans un sous-rseau,
modifier les valeurs de l'exemple de Exemple 10.2, La paramtre range de plage . Il dclare une dure
d'allocation par dfaut, une dure d'allocation maximale, et des valeurs de configuration de rseau pour les
clients. Cet exemple alloue des adresses IP sur les plages de valeurs 192.168.1.10 et
192.168.1.100 aux systmes clients.
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
option domain-name-servers 192.168.1.1, 192.168.1.2;
option domain-search "example.com";
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}
Pour assigner une adresse IP un client sur la base d'une adresse MAC de la carte d'interface de rseau,
utiliser le paramtre hardware ethernet qui se trouve dans la dclaration de l' hte. Comme le montre
Exemple 10.3, Adresse IP statique utilisant DHCP , la dclaration host apex spcifie que la carte
d'interface de rseau ayant pour adresse MAC 00:A0:78:8E:9E:AA reoit toujours l'adresse IP
192.168.1.4.
Notez que vous pouvez galement utiliser le paramtre host-name pour assigner un nom d'hte au client.
host apex {
option host-name "apex.example.com";
hardware ethernet 00:A0:78:8E:9E:AA;
fixed-address 192.168.1.4;
}
Red Hat Enterprise Linux 7 prend en charge l'assignation des adresses IP statiques aux interfaces
InfiniBand IPoIB. Cependant, comme ces interfaces n'ont pas d'adresse Ethernet de matriel normale, on
doit utiliser une mthode diffrente pour spcifier un identificateur unique pour l'interface IPoIB. On utilise
normalement l'option dhcp-client-identifier = pour spcifier le champ dhcp-client-
174
Chapitre 10. Serveurs DHCP
identificateur de l'interface IPoIB. La construction d'hte de serveur DHCP ne supporte pas plus d'une
entre matriel Ethernet et une entre de dhcp-client-identifier par hte. Toutefois, il peut y avoir
plus d'une entre d'adresse fixe et le serveur DHCP rpondra automatiquement avec une adresse qui est
approprie au rseau sur lequel la requte DHCP a t reue.
Si une machine a une configuration complexe, par exemple deux interfaces InfiniBand et des interfaces
P_Key sur chaque interface physique, ainsi qu'une connexion Ethernet, la construction statique IP peut
tre utilise pour cette configuration :
Host apex.0 {
option host-name apex.example.com;
hardware ethernet 00:A0:78:8E:9E:AA;
option dhcp-client-
identifier=ff:00:00:00:00:00:02:00:00:02:c9:00:00:02:c9:03:00:31:7b:11;
fixed-address 172.31.0.50,172.31.2.50,172.31.1.50,172.31.3.50;
}
host apex.1 {
option host-name apex.example.com;
hardware ethernet 00:A0:78:8E:9E:AB;
option dhcp-client-
identifier=ff:00:00:00:00:00:02:00:00:02:c9:00:00:02:c9:03:00:31:7b:12;
fixed-address 172.31.0.50,172.31.2.50,172.31.1.50,172.31.3.50;
}
Afin de trouver le bon dhcp-client-identifier pour votre priphrique, vous pouvez normalement
utiliser le prfixe ff:00:00:00:00:00:02:00:00:02:c9:00 et y ajouter les 8 derniers octets de
l'interface IPoIB (qui correspond galement au GUID de 8 octets du port InfiniBand du port InfinisBand sur
lequel se trouve l'interface IPoIB). Sur certains contrleurs, ce prfixe n'est pas correct. Dans un tel cas,
nous conseillons d'utiliser tcpdump sur le serveur DHCP pour capturer la demande IPoIB DHCP entrante et
collecter le dhcp-client-identifier qui convient pour cette capture. Par exemple :
175
Guide de Gestion des rseaux
Route-Microsoft, Static-Route
Option 252, NTP
Client-ID Option 61, length 20: hardware-type 255,
00:00:00:00:00:02:00:00:02:c9:00:00:02:c9:02:00:21:ac:c1
L'image ci-dessus montre le champ identifiant le client. Le type de matriel 255 correspond aux initiales
ff: de l'ID, le reste de l'ID est ensuite cit exactement comme il doit apparatre dans le fichier de
configuration de DHCP.
Tous les sous-rseaux qui partagent le mme rseau physique doivent tre dclars dans une dclaration
de rseau partag (shared-network), comme indiqu dans Exemple 10.5, Dclaration de rseau
partag . Les paramtres qui se trouvent dans le shared-network, mais en dehors des dclarations de
sous-rseau clos, sont considrs comme paramtres globaux. Le nom attribu au shared-network doit
tre un titre descriptif pour le rseau, comme l'utilisation du titre -test-lab qui dcrit tous les sous-rseaux
dans un environnement de test.
shared-network name {
option domain-search "test.redhat.com";
option domain-name-servers ns1.redhat.com, ns2.redhat.com;
option routers 192.168.0.254;
#more parameters for EXAMPLE shared-network
subnet 192.168.1.0 netmask 255.255.252.0 {
#parameters for subnet
range 192.168.1.1 192.168.1.254;
}
subnet 192.168.2.0 netmask 255.255.252.0 {
#parameters for subnet
range 192.168.2.1 192.168.2.254;
}
}
Comme dmontr dans Exemple 10.6, Dclaration de groupe , la dclaration de groupe est utilise pour
appliquer les paramtres globaux un groupe de dclarations. Ainsi, les rseaux partags, les sous-rseaux,
et les htes peuvent tre groups.
group {
option routers 192.168.1.254;
option subnet-mask 255.255.255.0;
option domain-search "example.com";
option domain-name-servers 192.168.1.1;
option time-offset -18000; # Eastern Standard Time
host apex {
option host-name "apex.example.com";
hardware ethernet 00:A0:78:8E:9E:AA;
fixed-address 192.168.1.4;
}
host raleigh {
option host-name "raleigh.example.com";
176
Chapitre 10. Serveurs DHCP
Note
Vous pouvez utiliser le fichier de configuration donn dans l'exemple pour commencer, et y ajouter
des options de configuration personnalises. Pour copier ce fichier dans l'emplacement qui convient,
utiliser la commande suivante en tant qu'utilisateur root :
~]# cp /usr/share/doc/dhcp-version_number/dhcpd.conf.example
/etc/dhcp/dhcpd.conf
Pour obtenir une liste complte des noncs d'options, et de ce qu'ils font, voir la page man dhcp-
options(5).
Toutes les heures de la base de donnes d'attribution sont des heures "Coordinated Universal Time" (UTC)
et non pas des heures locales.
La base de donnes de l'allocation est recr de temps en temps pour qu'elle n'atteigne pas des proportions
trop leves. Tout d'abord, toutes la allocations connues sont enregistrs dans une base de donnes
d'allocations temporaires. Le fichier dhcpd.leases est rebaptis dhcpd.leases~ et la base de donnes
d'allocations temporaires est inscrite dans dhcpd.leases.
Le dmon DHCP peut tre termin ou le systme peut se bloquer aprs que la base de donnes d'allocations
a t renomme dans le fichier de sauvegarde, mais avant que le nouveau fichier n'ait t crit. Dans ce cas,
le fichier dhcpd.leases n'existe pas, mais il est ncessaire de dmarrer le service. Ne crez de nouveau
fichier d'allocation. Si vous le faites, toutes les anciennes allocations seront perdues, ce qui provoquera de
nombreux problmes. La meilleure solution consiste renommer le fichier de sauvegarde dhcpd.leases~
dhcpd.leases, et dmarrez le dmon.
177
Guide de Gestion des rseaux
Important
Lorsque le serveur DHCP est dmarr pour la premire fois, il choue moins que le fichier
dhcpd.leases existe. Vous pouvez utiliser la commande touch
/var/lib/dhcpd/dhcpd.leases pour crer le fichier s'il n'existe pas. Si le mme serveur excute
galement BIND en tant que serveur DNS, cette tape n'est pas ncessaire, car dmarrer le service
named entranera une recherche automatique du fichier dhcpd.leases.
Ne pas crer de nouveau fichier d'allocation sur un systme qui tait en cours d'excution auparavant.
Si vous le fates, toutes la anciennes allocations seront perdues, ce qui entrane de nombreux
problmes. La solution est de renommer le fichier de sauvegarde dhcpd.leases~ en
dhcpd.leases, puis dmarrer le dmon.
Par dfaut, le service DHCP ne dmarre pas l'amorage. Pour obtenir des informations sur la faon de
configurer le dmon pour qu'il dmarre automatiquement l'amorage, consulter le guide Red Hat Enterprise
Linux 7 System Administrator's Guide.
Si plus d'une interface rseau est relie au systme, mais que le serveur DHCP doit seulement couter les
requtes DHCP sur une des interfaces, configurez le serveur DHCP pour couter uniquement sur ce
priphrique. Le dmon DHCP coute uniquement sur les interfaces pour lesquelles il pourra trouver une
dclaration de sous-rseau dans le fichier /etc/dhcp/dhcpd.conf.
Cela est utile si vous avez un ordinateur protg par un pare-feu et dot de deux cartes rseau. L'une d'elles
peut tre configure comme client DHCP pour rcuprer une adresse IP d'internet. L'autre carte de rseau
peut servir de serveur DHCP pour le rseau interne se trouvant derrire le pare-feu. En ne spcifiant que la
carte rseau connecte au rseau interne, votre systme sera plus sr puisque les utilisateurs ne pourront
pas se connecter au dmon par le biais de l'internet.
Pour spcifier les options de ligne de commandes, copier et diter le fichier dhcpd.service en tant
qu'utilisateur root. Par exemple :
178
Chapitre 10. Serveurs DHCP
-pportnum spcifie le numro de port UDP sur lequel dhcpd doit couter. La valeur par dfaut est le
port 67. Le serveur DHCP transmet les rponses aux clients DHCP un numro de port d'un numro
suprieur au numro de port UDP spcifi. Par exemple, si le port par dfaut 67 est utilis, le serveur
coute les requtes sur le port 67, et rpond au client sur le port 68. Si un port est spcifi ici et que
l'agent de relais DHCP est utilis, le mme port que celui sur lequel l'agent de relais DHCP doit couter,
devra tre spcifi. Voir Section 10.3, Agent de relais DHCP pour plus de dtails.
-d logue le dmon de serveur DHCP en descripteur d'erreur standard. Utilis surtout pour le
dbogage. Si non spcifi, la journalisation apparatra sur le fichier /var/log/messages.
-cf filename indique l'emplacement du fichier de configuration. L'emplacement par dfaut est
/etc/dhcp/dhcpd.conf.
L'agent de relais DHCP (dhcrelay) permet de relayer les requtes DHCP et BOOTP d'un sous-rseau sans
serveur DHCP vers un ou plusieurs serveurs DHCP sur d'autres sous-rseaux.
Lorsqu'un client DHCP demande des informations, l'agent de relais DHCP transfre la requte la liste des
serveurs DHCP spcifis lors du dmarrage de l'agent de relais DHCP. Lorsqu'un serveur DHCP renvoie une
rponse, la rponse est diffuse sur le rseau ayant envoy la requte d'origine.
L'agent de relais DHCP pour IPv4, dhcrelay, coutes les demandes DHCPv4 et BOOTP sur toutes les
interfaces, sauf si les interfaces sont spcifies dans /etc/sysconfig/dhcrelay avec la directive
INTERFACES. Voir Section 10.3.1, Configurer dhcrelay en tant qu'agent de relais DHCPv4 et BOOTP .
L'agent de relais DHCP pour IPv6, dhcrelay6, n'a pas ce comportement par dfaut et vous devez spcifier
les interfaces pour couter les requtes DHCPv6. Voir Section 10.3.2, Configurer dhcrelay en tant
qu'agent de relais DHCPv6 .
dhcrelay peut tre excut en tant qu'agent de relais DHCPv4 et BOOTP (par dfaut) ou en tant qu'agent de
relais DHCPv6 (avec l'argument -6). Pour voir le message d'utilisation, excutez la commande dhcrelay -
h.
Pour excuter dhcrelay en mode DHCPv4 et BOOTP, spcifier les serveurs dans lesquels vous souhaitez
envoyer les demandes. Copier et diter le fichier dhcrelay.service en tant qu'utilisateur root :
179
Guide de Gestion des rseaux
Modifiez l'option ExecStart sous la section [Service] et ajouter une ou plusieurs adresses IPv4 de
serveur la fin de la ligne, par exemple :
Si vous souhaitez galement spcifier des interfaces o l'agent de relais DHCP coute les requtes DHCP,
ajoutez-les l'option ExecStart avec l'argument -i (sinon, il coutera toutes les interfaces), par exemple :
Pour activer les changements, en tant qu'utilisateur root, dmarrez le service nouveau :
Pour excuter dhcrelay en mode DHCPv6, ajouter l'argument -6 et indiquer lower interface (interface de
niveau infrieur sur laquelle les requtes vont tre reues des clients ou en provenance d'autres agents de
relais) et upper interface (l'interface de niveau suprieur sur laquelle des requtes des clients et d'autres
agents de relais doivent tre transfres). Copier dhcrelay.service dans dhcrelay6.service et
modifiez-le en tant qu'utilisateur root :
~]# cp /lib/systemd/system/dhcrelay.service
/etc/systemd/system/dhcrelay6.service
~]# vi /etc/systemd/system/dhcrelay6.service
Modifiez l'option ExecStart sous la section [Service] Ajouter l'argument -6 et ajpouter les interfaces
lower interface et upper interface , par exemple :
Pour activer les changements, en tant qu'utilisateur root, dmarrez le service nouveau :
Un serveur DHCP multi-htes sert plusieurs rseaux, c'est--dire, plusieurs sous-rseaux. Les exemples dans
les sections suivantes dcrivent comment configurer un serveur DHCP pour qu'il puisse desservir plusieurs
rseaux, slectionner les interface rseau couter, et comment dfinir les paramtres rseau pour les
systmes qui se dplacent entre les rseaux.
Le dmon DHCP n'coutera que les interfaces pour lesquelles il pourra trouver une dclaration de sous-
rseau dans le fichier /etc/dhcp/dhcpd.conf.
180
Chapitre 10. Serveurs DHCP
Voici un fichier de base /etc/dhcp/dhcpd.conf, pour un serveur qui a deux interfaces de rseau, eth0
dans un rseau 10.0.0.0/24 et eth1 dans un rseau 172.16.0.0/24. Plusieurs dclarations de sous-
rseau permettent de dfinir des paramtres diffrents pour plusieurs rseaux :
default-lease-time 600;
max-lease-time 7200;
subnet 10.0.0.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 10.0.0.1;
range 10.0.0.5 10.0.0.15;
}
subnet 172.16.0.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 172.16.0.1;
range 172.16.0.5 172.16.0.15;
}
Une dclaration de sous-rseau est obligatoire pour tout rseau que votre serveur DHCP
dssert. Plusieurs sous-rseaux ncessitent plusieurs dclarations de sous-rseaux. Si le
serveur DHCP n'a pas d'interface rseau faisant partie de la plage d'une dclaration de sous-
rseau, le serveur DHCP ne desservira pas de ce rseau.
S'il n'y a qu'une dclaration de sous-rseauaucune interface de rseau qui se situe dans la
plage de ce sous-rseau, le dmon DHCP chouera au dmarrage, et une erreur sera journalise
dans le fichier /var/log/messages :
L'option option routers dfinit la passerelle par dfaut du sous-rseau. Cela est exig pour
que les systmes puissent atteindre les rseaux internes sur un sous-rseau diffrent, ainsi que
sur des rseaux externes.
L'option range (plage) se rfre au pool d'adresses IP disponibles. Une adresse faisant partie
d'une plage de valeurs IP indique est assigne aux systmes.
181
Guide de Gestion des rseaux
Avertissement
Pour viter une mauvaise configuration quand le serveur DHCP donne des adresses IP dune plage
dadresses IP un autre segment de Ethernet physique, assurez-vous de ne pas confiner plusieurs
sous-rseaux dans une dclaration de rseau partag.
L'exemple /etc/dhcp/dhcpd.conf suivant cre deux sous-rseaux et configure une adresse IP pour le
mme systme, selon le rseau auquel elle se connecte :
default-lease-time 600;
max-lease-time 7200;
subnet 10.0.0.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 10.0.0.1;
range 10.0.0.5 10.0.0.15;
}
subnet 172.16.0.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 172.16.0.1;
range 172.16.0.5 172.16.0.15;
}
host example0 {
hardware ethernet 00:1A:6B:6A:2E:0B;
fixed-address 10.0.0.20;
}
host example1 {
hardware ethernet 00:1A:6B:6A:2E:0B;
fixed-address 172.16.0.20;
}
hte example0
La dclaration host dfinit des paramtres spcifiques pour un systme unique, comme une
adresse IP. Pour configurer des paramtres spcifiques sur plusieurs htes, utiliser des
dclarations d'hte.
La plupart des clients DHCP ignorent le nom dans les dclarations d'hte, et ce titre, ce nom peut
tre n'importe quoi, tant que c'est diffrent des autres dclarations d'hte. Pour configurer le
mme systme sur des rseaux multiples, utilisez un nom diffrent pour chaque dclaration
d'hte, sinon le dmon DHCP ne dmarrera pas. Les systmes sont identifis par l'option
hardware ethernet, et non pas le nom dans la dclaration de l'hte.
L'option hardware ethernet identifie le systme. Pour trouver cette adresse, excuter la
commande ip link.
182
Chapitre 10. Serveurs DHCP
fixed-address 10.0.0.20;
L'option fixed-address assigne une adresse IP au systme spcifi par l'option hardware
ethernet. Cette adresse doit se trouver en dehors de la plage d'adressses IP spcifie par
l'option range.
Si les noncs d'option ne se terminent pas par un point virgule, le dmon DHCP ne dmarrera pas, et une
errreur ressemblant ce qui suit sera journalise dans /var/log/messages :
Les dclarations suivantes d'hte configurent un systme unique, qui possde plusieurs interfaces de
rseau, pour que chaque interface reoive la mme adresse IP. Cette configuration ne fonctionnera pas si
les deux interfaces rseau sont connectes au mme rseau en mme temps :
host interface0 {
hardware ethernet 00:1a:6b:6a:2e:0b;
fixed-address 10.0.0.18;
}
host interface1 {
hardware ethernet 00:1A:6B:6A:27:3A;
fixed-address 10.0.0.18;
}
Pour cet exemple, interface0 est la premire interface rseau, et interface1 est la seconde interface.
Les diffrentes options hardware ethernet identifient chaque interface.
Si un tel systme se connecte un autre rseau, ajouter plus de dclarations d'hte, sans oublier :
Quand un nom non unique est donne dans une dclaration d'hte, le dmon DHCP ne dmarre pas, et
l'erreur suivante est journalise dans /var/log/messages :
L'erreur vient du fait d'avoir plusieurs dclarations d'host interface0 dfinies dans
/etc/dhcp/dhcpd.conf.
183
Guide de Gestion des rseaux
L'ISC DHCP inclut un support pour IPv6 (DHCPv6) depuis la version 4.x avec un serveur DHCPv6, un client et
une fonctionnalit d'agent de relais. Les agents supportent la fois IPv4 et IPv6. Cependant, les agents ne
peuvent grer qu'un seul protocole la fois; et pour le support double, ils doivent tre dmarrs
sparemment pour IPv4 et IPv6. Par exemple, configurez DHCPv4 et DHCPv6 en ditant leurs fichiers de
configuration respectifs /etc/dhcp/dhcpd.conf et /etc/dhcp/dhcpd6.conf, puis excutez les
commandes suivantes :
subnet6 2001:db8:0:1::/64 {
range6 2001:db8:0:1::129 2001:db8:0:1::254;
option dhcp6.name-servers fec0:0:0:1::1;
option dhcp6.domain-search "domain.example";
}
Page man dhcpd.conf(5) dcrit comment configurer le fichier de configuration DHCP; inclut certains
exemples.
Page man dhcpd.leases(5) man page dcrit une base de donnes d'attributions persistante.
Page man dhcp-options(5) explique la syntaxe pour dclarer les options DHCP dans dhcpd.conf;
inclut des exemples.
Page man dhcrelay(8) explique l'agent de relais DHCP et ses options de configuration.
184
Chapitre 11. Les serveurs DNS
DNS (Domain Name System) est un systme de base de donnes distribu utilis pour associer les noms
d'htes leurs adresses IP respectives. Pour les utilisateurs, cela a l'avantage qu'ils peuvent faire rfrence
des machines du rseau par leur nom, ce qui est normalement plus facile mmoriser que les adresses
numriques de rseau. Pour les administrateurs de systme, l'utilisation d'un serveur DNS (ou nameserver)
permet de changer l'adresse IP pour un hte sans affecter pour autant les recherches bases nom.
L'utilisation des bases de donnes DNS sert non seulement rsoudre les adresses IP en noms de domaine,
mais leur utilisation s'largit de plus en plus au fur et mesure que DNSSEC se dploie.
Dans un serveur DNS, toutes les informations sont stockes dans des lments de base de donnes appels
enregistrements de ressources (RR). Les enregistrements de ressources sont dfinis dans RFC 1034. Les
noms de domaine sont organiss en structure arborescente. Chaque niveau de la hirarchie est divis par un
point (.). Par exemple : le domaine racine, prcd de ., correspond la racine de l'arborescence DNS, qui
est au niveau zro. Le nom de domaine com, dnomm le domaine de premier niveau (TLD) est un enfant du
domaine racine (.) et correspond donc au premier niveau de la hirarchie. Le nom de domaine
example.com est au deuxime niveau de la hirarchie.
Les zones sont dfinies sur les serveurs de noms autoritatifs par l'utilisation des fichiers de zone, qui
contiennent des dfinitions des enregistrements de ressources dans chaque zone. Les fichiers sont stocks
sur des serveurs de noms primaires (galement appels serveurs de noms matres), o des modifications
sont apportes aux fichiers et aux serveurs de noms secondaires (galement appels noms de serveurs
185
Guide de Gestion des rseaux
esclaves), qui reoivent des dfinitions de zones des serveurs de noms primaires. Les serveurs de noms
primaires et secondaires font autorits pour la zone et se ressemblent pour le client. Selon la configuration,
un serveur de noms peut galement servir de serveur principal ou secondaire pour plusieurs zones la fois
en mme temps.
Notez que les administrateurs de serveurs DNS et DHCP, ainsi que toute application de provisioning, doivent
s'accorder sur le format des noms d'htes utilis dans une organisation. Veuillez consulter le Section 3.1.1,
Pratiques de nommage conseilles pour obtenir davantage d'informations sur les formats de noms
d'htes.
authoritative
Les serveurs de noms autoritatifs rpondent des enregistrements de ressources qui font partie
de leur zone uniquement. Cette catgorie inclut la fois les serveurs primaires (master) et
secondaires (esclave).
recursive
Les serveurs de noms rcursifs offrent des services de rsolution, mais ils ne font pas autorit pour
toutes les zones. Des rponses pour toutes les rsolutions sont mises en cache en mmoire pour
une priode dtermine, qui est spcifie par l'enregistrement de ressource obtenue.
Bien qu'un serveur de noms puisse tre la fois faire valoir d'autorit et tre rcursif, il est recommand ne
pas de combiner les types de configuration. Pour tre en mesure d'excuter leur travail, les serveurs faisant
autorits doivent tre disponibles tous les clients tout moment. Mais comme la recherche rcursive prend
beaucoup plus de temps que les rponses qui font autorit, les serveurs rcursifs doivent tre accessibles
un nombre restreint de clients uniquement, sinon, ils auront tendance lancer des attaques par dni de
service (DDoS).
BIND reprsente un ensemble de programmes lis DNS. Il comprend un serveur de noms intitul named,
un utilitaire d'administration intitul rndc, et un outil de dboggage intitul dig. Voir le guide Red Hat
Enterprise Linux 7 System Administrator's Guide pour obtenir plus d'informations sur la faon d'excuter un
service dans Red Hat Enterprise Linux.
11.2. BIND
Cette section porte sur le serveur BIND (Berkeley Internet Name Domain), le serveur DNS inclus dans Red
Hat Enterprise Linux. Elle est oriente sur la structure de ses fichiers de configuration, et dcrit comment les
administrer la fois localement et distance.
BIND configure un certain nombre de zones vides afin d'empcher des serveurs rcursifs d'envoyer des
requtes inutiles vers des serveurs Internet qui ne peuvent pas les grer (crant ainsi des retards et des
rponses SERVFAIL aux clients qui les interrogent). Ces zones vides veillent ce que les rponses
NXDOMAIN immdiates et faisant autorits soient retournes la place. L' option de configuration vide-
zones-enable dtermine si oui ou non les zones vides sont cres, tandis que l'option disable-vide-
zone peut servir dsactiver une ou plusieurs zones vides dans la liste des prfixes par dfaut, qui est
utilise.
186
Chapitre 11. Les serveurs DNS
Le nombre d'espaces vides crs pour les prfixesRFC 1918 a augment, et les utilisateurs de BIND 9.9 et
versions ultrieures, verront des espaces vides RFC 1918 la fois quand empty-zones-enable n'est pas
spcifi (valeur par dfaut yes), ou quand RFC 1918 est dfini yes.
Quand le service named dmarre, il lit la configuration partir des fichiers dcrits dans Tableau 11.1, Les
fichiers de configuration du service named .
Chemin Description
/etc/named.conf Fichier de configuration principal.
/etc/named/ Rpertoire auxiliaire pour les fichiers de configuration inclus dans
le fichier de configuration principal.
187
Guide de Gestion des rseaux
Note
Si vous avez install le paquet bind-chroot, le service de liaison excutera dans l'environnement
chroot. Dans ce cas, le script d'initialisation procdera au montage des fichiers de configuration ci-
dessus l'aide de la commande mount--bind, afin que vous puissiez contrler la configuration en
dehors de cet environnement. Il n'y a pas besoin de copier quoi que ce soit dans le rpertoire
/var/named/chroot/ parce qu'elle est monte automatiquement. Cela simplifie la maintenance
puisque vous n'avez pas besoin de prendre un soin particulier des fichiers de configuration BIND si la
commande est excute dans un environnement chroot. Vous pouvez tout organiser comme vous
le feriez avec BIND si vous n'tiez pas dans un environnement chroot.
Les rpertoires suivants sont monts automatiquement sur /var/named/chroot/ si les rpertoires
de point de montage correspondants qui se trouvent sous /var/named/chroot/ sont vides :
/etc/named
/etc/pki/dnssec-keys
/run/named
/var/named
/usr/lib64/bind ou /usr/lib/bind (suivant l'architecture).
Les fichiers suivants sont galement monts si le fihcier cible n'existe pas dans
/var/named/chroot/ :
/etc/named.conf
/etc/rndc.conf
/etc/rndc.key
/etc/named.rfc1912.zones
/etc/named.dnssec.keys
/etc/named.iscdlv.key
/etc/named.root.key
Important
Pour modifier des fichiers qui ont t monts dans un environnement chroot, vous devrez crer une
copie de sauvegarde, puis modifier le fichier d'origine. Sinon, utiliser un diteur avec le mode edit-a-
copy dsactiv. Ainsi, pour modifier le fichier de configuration de BIND, /etc/named.conf, avec
Vim quand il excute dans un envirionnement chroot, veuillez excuter la commande suivante en
tant qu'utilisateur root :
Pour installer BIND pour qu'il excute dans un environnement chroot, veuillez excuter la commande
suivante en tant qu'utilisateur root :
188
Chapitre 11. Les serveurs DNS
Pour activer le service named-chroot, commencez par vrifier que le service named est en cours
d'excution en lanant la commande suivante :
Pour dactiver le service chronyd, veuillez excuter la commande suivante en tant qu'utilisateur root :
Puis, pour dactiver le service named-chroot, veuillez excuter les commandes suivantes en tant
qu'utilisateur root :
Pour vrifier le statut du service named-chroot, veuillez excuter les commandes suivantes en tant
qu'utilisateur root :
acl
L'argument acl (Access Control List) vous permet de dfinir des groupes d'htes, de faon ce
qu'ils aient accs ou non au serveur de noms. Prend la forme suivante :
acl acl-name {
match-element;
...
};
Mot-cl Description
any Fait correspondre chaque adresse IP.
localhost Fait correspondre chaque adresse IP utilise par le systme local.
189
Guide de Gestion des rseaux
Mot-cl Description
localnets Fait correspondre chaque adresse IP sur n'importe quel rseau
connect au systme local.
none Ne correspond aucune adresse IP.
L'argument acl peut tre particulirement utile s'il est utilis en conjonction d'autres arguments
tels que options. Exemple 11.2, Utilisation d'acl en conjonction aux options dfinit deux listes
de contrle d'accs, black-hats et red-hats, et ajoute black-hats la liste noire tout en
donnant l'accs normal red-hats.
acl black-hats {
10.0.2.0/24;
192.168.0.0/24;
1234:5678::9abc/24;
};
acl red-hats {
10.0.1.0/24;
};
options {
blackhole { black-hats; };
allow-query { red-hats; };
allow-query-cache { red-hats; };
};
include
L'argument include vous permet d'inclure des fichiers dans /etc/named.conf, de faon ce
que des donnes pouvant tre sensibles puissent tre mises dans un fichier spar sans limitation
de permissions. Prend la forme suivant :
include "file-name"
L'argument file-name est un nom d'argument qui se trouve dans un chemin d'accs complet de
fichier.
inclure "/etc/named.rfc1912.zones";
options
L'argument options vous permet de dfinir des options de configuration du serveur global, ainsi
que de dfinir les valeurs par dfaut d'autres arguments. Il peut tre utilis pour spcifier
l'emplacement du rpertoire de travail de named, les types de requtes autorises et bien plus
encore. Il prend la forme suivante :
options {
option;
...
};
190
Chapitre 11. Les serveurs DNS
Pour obtenir une liste des possibilits d'option les plus communment utilises, consulter le
tableau ci-dessous Tableau 11.3, Options de configuration souvent utilises .
Option Description
allow-query Spcifie quels htes sont autoriss interroger le serveur de noms
pour les enregistrements de ressources de rfrence. Il accepte une
liste de contrle d'accs, une collection d'adresses IP, ou des rseaux
dans la notation CIDR. Par dfaut, tous les htes sont autoriss.
allow-query- Indique quels htes sont autoriss interroger le serveur de noms pour
cache des donnes ne faisant pas autorit, comme les requtes rcursives.
Par dfaut, seuls les localhost et localnets sont autoriss.
blackhole Indique les htes non autoriss interroger le serveur de noms. Cette
option doit tre utilise lorsqu'un hte particulier ou qu'rseau inonde le
serveur de demandes. L'option par dfaut est none.
directory Indique un rpertoire de travail pour le service named. L'option par
dfaut est /var/named/.
disable-empty- Utilis pour dsactiver une ou plusieurs des zones vides de la liste des
zone prfixes par dfaut qui pourraient tre utiliss. Peut tre spcifi dans
les arguments d'options et galement dans les arguments de vues. Il
peut tre utilis plusieurs reprises.
dnssec-enable Indique si l'on doit retourner aux enregistrements de ressources lies
DNSSEC. L'option par dfaut est yes.
-n Indique si l'on doit prouver que les enregistrements de ressources sont
authentiques via DNSSEC. L'option par dfaut est yes.
empty-zones- Contrle si les zones vides sont cres ou non. Ne peut tre spcifi
enable que dans les arguments d'options.
forwarders Indique une liste d'adresses IP pour les serveurs de noms vers
lesquels les requtes doivent tre rediriges pour qu'elles soient
rsolues.
forward Indique le comportement de la directive forwarders. Accepte les
options suivantes :
listen-on Indique l'interface de rseau IPv4 sur lequel couter les requtes. Sur
un serveur DNS, qui agit aussi comme une passerelle, vous pouvez
utiliser cette option pour rpondre des requtes provenant d'un
rseau uniquement. Toutes les interfaces IPv4 sont utilises par
dfaut.
listen-on-v6 Indique l'interface de rseau IPv6 sur lequel couter pour les
requtes. Sur un serveur DNS qui agit aussi en tant quepasserelle,
vous pouvez utiliser cette option pour rpondre des requtes
provenant d'un seul rseau. Toutes les interfaces IPv6 sont utilises
par dfaut.
191
Guide de Gestion des rseaux
Option Description
max-cache-size Indique la quantit maximale de mmoire utiliser pour les caches de
serveurs. Lorsque la limite est atteinte, le serveur entrane l'expiration
prmature des enregistrements, alors que la limite n'est pas dpasse.
Sur un serveur avec plusieurs vues, la limite s'appliquera sparment
dans le cache de chaque vue. L'option par dfaut est 32M.
-f Indique si on doit notifier les serveurs de noms secondaires quand une
zone est mise jour. Accepte les options suivantes :
Note
Important
Pour viter les attaques DDoS (de l'anglais, distributed denial of service), nous vous
conseillons d'utiliser l'option allow-query-cache pour limiter l'accs aux services DNS
rcursifs quelques groupes de clients particuliers.
Voir le BIND 9 Administrator Reference Manual rfrenc dans Section 11.2.8.1, Documentation
installe , et la page man named.conf pour obtenir une liste complte des options.
options {
allow-query { localhost; };
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
max-cache-size 256M;
192
Chapitre 11. Les serveurs DNS
directory "/var/named";
statistics-file "/var/named/data/named_stats.txt";
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
zone
L'argument zone vous permet de dfinir les caractristiques d'une zone, comme l'emplacement de
son fichier de configuration et les options spcifiques la zone, et il peut tre utilis en
remplacement aux arguments d'options. Il prend la forme suivante :
L'attribut zone-name est particulirement important, car il correspond la valeur par dfaut
assigne la directive $ORIGIN utilise dans le fichier de zone correspondant qui se trouve dans
le rpertoire /var/named/. Le dmon named ajoute le nom de la zone n'importe quel nom de
domaine incomplet rpertori dans le fichier de zone. Par exemple, si un argument de zone dfinit
l'espace de noms pour example.com, utilisez example.com comme zone-name pour qu'il soit
plac la fin des noms d'hte dans le fichier de zone example.com.
Pour obtenir plus d'informations sur les fichiers de zone, consulter Section 11.2.3, Conflits de
fichiers .
Option Description
allow-query Indique quels clients sont autoriss demander des informations sur
cette zone. Cette option prvaut sur l'option globale allow-query.
Tous les demandes de requte sont autorises par dfaut.
allow-transfer Indique les serveurs secondaires qui sont autoriss demander un
transfert de l'information de zone. Toutes les requtes de transfert sont
autorises par dfaut.
allow-update Indique quels htes sont autoriss mettre leurs informations jour de
faon dynamique dans leur zone. L'option par dfaut est de refuser
toutes les demandes de mise jour dynamiques.
Notez que vous devez tre prudents lorsque vous autorisez les clients
mettre jour des informations sur leur zone. Ne dfinissez pas les
adresses IP dans cette option moins que le serveur soit dans un
rseau fiable. la place, utiliser la cl TSIG dcrite dans
Section 11.2.6.3, TSIG (Transaction SIGnatures) .
193
Guide de Gestion des rseaux
Option Description
file Indique le nom du fichier qui se trouve dans le rpertoire de travail
named qui contient les donnes de configuration de la zone.
masters Indique partir de quelles adresses IP on peut demander des
informations de zone autoritatives. Cette option n'est utilise que si la
zone est dfinie en tant que type slave.
-f Indique si on doit notifier les serveurs de noms secondaires quand une
zone est mise jour. Accepte les options suivantes :
Dans Exemple 11.5, Argument de zone pour un serveur de noms primaire , la zone est
identifie comme example.com, le type est dfini sur le master et le service named est charg
de lire le fichier /var/named/example.com.zone. Il permet galement un serveur de noms
secondaire (192.168.0.2) uniquement de transfrer la zone.
zone "example.com" IN {
type master;
file "example.com.zone";
allow-transfer { 192.168.0.2; };
194
Chapitre 11. Les serveurs DNS
};
L'argument de zone d'un serveur secondaire est lgrement diffrent. Le type est dfini sur
l'esclave, et la directive du master indique au service named l'adresse IP du serveur matre.
Dans Exemple 11.6, Un argument de zone pour le serveur de noms secondaire , le service
named est configur pour interroger le serveur principal l'adresse IP 192.168.0.1 pour
obtenir des informations sur la zone example.com. L'information reue est alors enregistre dans
le fichier /var/named/slaves/example.com.zone. Notez que vous devez mettre toutes les
zones esclave dans le rpertoire /var/named/esclaves /, sinon le service ne pourra pas
transfrer la zone.
zone "example.com" {
type slave;
file "slaves/example.com.zone";
masters { 192.168.0.1; };
};
Les types d'arguments suivants sont moins souvent utiliss dans /etc/named.conf :
controls
L'argument controls vous permet de configurer les diverses exigences de scurit avant
d'utiliser la commande rndc qui sert administrer le service named.
Reportez-vous Section 11.2.4, Comment se servir de l'utilitaire rndc pour obtenir plus
d'informations sur l'utilitaire rndc et la faon de l'utiliser.
key
L'argument key vous permet de dfinir une cl particulire par son nom. Les cls sont utilises
pour authentifier les diffrentes actions, telles que les mises jour scurises ou l'utilisation de la
commande rndc. Deux options sont utilises avec l'argument key :
Reportez-vous Section 11.2.4, Comment se servir de l'utilitaire rndc pour obtenir plus
d'informations sur l'utilitaire rndc et la faon de l'utiliser.
logging
L'argument logging vous permet d'utiliser plusieurs types de journaux, appels canaux. En
utilisant l'option channel dans l'argument, vous pouvez construire un type personnalis du journal
avec son propre nom de fichier (file), une limite de taille (taille), un numro de version
(version) et un niveau d'importance (gravit). Une fois qu'un canal (channel) personnalis est
dfini, une option catgorie est utilise pour catgoriser le canal et commencer la journalisation
lorsque le service named dmarre nouveau.
195
Guide de Gestion des rseaux
Par dfaut, le service named envoie des messages standards au dmon rsyslog, qui les place
dans /var/log/messages. Plusieurs canaux standards sont intgrs dans BIND selon les
niveaux de gravit, comme default_syslog (qui gre les messages de journalisation
d'information) et default_debug (qui gre spcifiquement les messages de dbogage). Une
catgorie par dfaut, appele par dfaut, utilise les canaux intgrs afin d'effectuer une
journalisation normale sans aucune configuration spciale.
Personnaliser le processus de journalisation peut tre un processus trs dtaill, qui dpasse le
cadre du prsent chapitre. Pour obtenir des informations sur la cration de journaux BIND
personnaliss, consultez le guide BIND 9 Administrator Reference Manual rfrenc dans
Section 11.2.8.1, Documentation installe .
server
L'argument server vous permet de spcifier des options qui affectent comment le service named
doit rpondre des serveurs de noms loigns, surtout au niveau notifications et transferts de
zones.
trusted-keys
L'argument trusted-keys vous permet d'indiquer des cls publiques assorties utilises pour
scuriser le protocole DNS (DNSSEC). Voir Section 11.2.6.4, DNSSEC (DNS Security
Extensions ) pour obtenir plus d'informations ce sujet.
view
L'argument view vous permet de crer des affichages spciaux selon le rseau sur lequel l'hte
qui interroge le serveur se trouve. Cela permet certains htes de recevoir une rponse
concernant une zone tandis que les autres htes reoivent des informations totalement diffrentes.
Par ailleurs, certaines zones ne peuvent tre rendues disponibles qu'aux htes de confiance,
tandis que les htes non approuvs ne peuvent effectuer des requtes que pour d'autres zones.
Des vues multiples peuvent tre utilises tant que leurs noms sont uniques. L'option match-
clients (correspondance client) vous permet de spcifier les adresses IP qui s'appliquent une
vision particulire. Si l'argument options est utilis dans une vue, il remplacera les options
globales dj configures. Enfin, la plupart des arguments de view contiennent plusieurs
arguments de zone qui s'appliquent la liste de match-clients.
Notez que l'ordre dans lequel les arguments de view sont lists est important, car le premier
argument qui correspond une adresse IP de client particulier sera utilise. Pour plus
d'informations sur ce sujet, voir Section 11.2.6.1, Vues multiples .
En plus des arguments, le fichier /etc/named.conf peut galement contenir des commentaires. Les
commentaires peuvent tre ignors par le service named, mais peuvent se rvler utiles quand on donne
des informations supplmentaires un utilisateur. Voici des balises de commentaires valides :
//
Tout texte se trouvant aprs // en fin de ligne est considr comme un commentaire seulement.
Exemple :
196
Chapitre 11. Les serveurs DNS
Tout texte se trouvant aprs # en fin de ligne est considr comme un commentaire seulement.
Exemple :
/* et */
Tout bloc de texte se trouvant entre /* et */ est considr comme un commentaire. Exemple :
Comme indiqu dans Section 11.1.1, Zones de noms de serveurs , les fichiers de zone contiennent des
informations sur un espace de noms. Ils sont stocks dans le rpertoire de travail named situ dans
/var/named/ par dfaut. Chaque fichier de zone est nomm selon l'option de fichier dans l'argument
zone, habituellement d'une manire qui porte sur le domaine et qui identifie le fichier comme contenant des
donnes de zone, comme example.com.zone.
Chemin Description
/var/named/ Le rpertoire de travail du service named. Le
serveur de noms n'est pas autoris crire dans ce
rpertoire.
/var/named/slaves/ Le rpertoire de zones secondaires. Ce rpertoire
peut contenir des critures du service named.
/var/named/dynamic/ Le rpertoire pour les autres fichiers, comme les
zones dynamiques DNS (DDNS) ou les cls
DNSSEC gres. Ce rpertoire est accessible en
criture par le service named.
/var/named/data/ Le rpertoire de statistiques varies et de fichiers de
dbogage. Ce rpertoire peut contenir des critures
du service named.
Toutes les direcives et les enregistrements de noms doivent tre saisis sur des lignes individuelles.
Les directives commencent par le signe ($) et sont suivies par le nom de la directive, qui apparat
normalement en haut du fichier. Les directives suivantes sont couramment utilises dans les fichiers de zone
:
197
Guide de Gestion des rseaux
$INCLUDE
La directive $INCLUDE vous permet d'inclure un autre fichier l o il se trouve, de faon ce que
les autres paramtres de configuration de zone puissent tre stocks dans un fichier de zone
spar.
$INCLUDE /var/named/penguin.example.com
$ORIGIN
La directive $ORIGIN vous permet d'ajouter le nom de domaine aux enregistrements non qualifis,
comme ceux qui ont un nom d'hte uniquement. Notez que l'utilisation de cette directive n'est pas
ncessaire si la zone est spcifie dans /etc/named.conf, puisque la zone est utilise par
dfaut.
Dans Exemple 11.8, Utilisation de la directive $ORIGIN , tous les noms utiliss dans les
enregistrements de ressources ne se terminant pas par un point final (le signe .) se terminent par
example.com.
$ORIGIN example.com.
$TTL
La directive $TTL vous permet de dfinir la valeur par dfaut de Time to Live (TTL) pour la zone,
autrement dit, combien de temps est un enregistrement de zone est valide. Chaque
enregistrement de ressource peut avoir sa propre valeur TTL, qui se substitue la cette directive.
Augmenter cette valeur permet aux serveurs de noms distants de mettre les informations de zone
en cache pour une plus longue priode, rduisant le nombre de requtes pour la zone et
allongeant ainsi l'intervalle de temps requis pour propager les modifications d'enregistrements de
ressources.
$TTL 1D
Les enregistrements de ressources suivants sont couramment utiliss dans les fichiers de zone :
hostname IN A IP-address
Si la valeur hostname est omise, l'enregistrement pointera vers le dernier hostname indiqu.
198
Chapitre 11. Les serveurs DNS
server1 IN A 10.0.1.3
IN A 10.0.1.5
CNAME
L'enregistrement Canonical Name fait correspondre un nom un autre. Pour cette raison, ce type
d'enregistrement est souvent appel alias record. Il prend la forme suivante :
Les enregistrements CNAME sont plus couramment utiliss pour pointer vers des services qui
utilisent un schma d'affectation de noms, comme www pour les serveurs Web. Cependant, il
existe plusieurs restrictions leur utilisation :
Les enregistrements CNAME ne doivent pas pointer vers d'autres enregistrements CNAME,
ceci, afin d'viter des boucles l'infini.
Les enregistrements CNAME ne doivent pas contenir d'autres types de ressources (comme A,
NS, MX, etc.), except pour les enregistrements DNSSEC (RRSIG, NSEC, etc.) quand la zone
est signe.
Les autres enregistrements de ressources qui pointent vers le nom de domaine complet
(FQDN) d'un hte (NS, MX, PTR) ne doivent pas pointer vers un enregistrement CNAME.
server1 IN A 10.0.1.5
www IN CNAME server1
MX
IN MX preference-value email-server-name
199
Guide de Gestion des rseaux
example.com. IN MX 10 mail.example.com.
IN MX 20 mail2.example.com.
NS
L'enregistrement Nameserver indique les serveurs de noms qui font autorit pour une zone
particulire. Il est sous la forme suivante :
ssh username@penguin.example.net
Le nameserver-name doit correspondre un nom complet (FQDN). Notez que quand deux noms
de serveurs sont rpertoris comme tant autoritatifs pour un domaine, le fait qu'ils soient des
serveurs de noms secondaires ou si l'un d'entre eux est un serveur primaire n'est pas important. Ils
sont tous deux considrs comme faisant rfrence d'autorit.
IN NS dns1.example.com.
IN NS dns2.example.com.
PTR
L'enregistrement Pointer pointe vers une autre partie de l'espace nom. Prend la forme suivante :
Les enregistrements PTR sont principalement utiliss pour la rsolution de noms inverss, car ils
pointent vers des adresses IP qui renvoient un nom particulier. Voir Section 11.2.3.4.2, Un
fichier de zone de rsolution de noms inverss pour obtenir des enregistrements PTR en cours
d'utilisation.
SOA
L'enregistrement Start of Authority donne des informations importantes en matire d'autorit sur un
espace nom ou un serveur de noms. Situ juste aprs la directive, c'est le premier enregistrement
de ressource d'un fichier de zone. Prend la forme suivante :
200
Chapitre 11. Les serveurs DNS
Le symbole @ met la directive $ORIGIN (ou le nom de zone si la directive $ORIGIN n'est pas
dfinie) comme espace nom dfini par cet enregistrement SOA de ressource.
La directive primary-name-server est le nom d'hte du serveur de noms primaire qui fait
autorit pour ce domaine.
La directive serial-number est une valeur numrique incrmente chaque fois que le fichier
de zone est altr pour indiquer qu'il est temps que le service named charge la zone
nouveau.
La directive time-to-refresh est une valeur numrique que les serveurs de noms secondaires
utilisent pour dterminer combien de temps il faut attendre avant de demander au serveur de
noms primaire si des changements ont t apports la zone.
La directive time-to-retry est une valeur numrique utilise par les serveurs de noms
secondaires pour dterminer la dure attendre avant d'mettre une demande d'actualisation,
si le serveur de noms primaire ne rpond pas. Si le serveur principal n'a pas rpondu une
demande de rafrachissement dans un dlai spcifi dans la directive time-to-expire, les
serveurs secondaires bloque d'autorit pour les demandes concernant cet espace de noms.
Dans BIND 4 et 8, la directive minimum-TTL est la dure pendant laquelle les autres serveurs
cachent les informations de la zone. Dans BIND 9, elle dfinit combien de temps les rponses
ngatives sont mises en cache. La mise en cache des rponses ngatives peut tre dfinie
un maximum de 3 heures (3H).
Lors de la configuration de BIND, toutes les heures sont spcifies en secondes. Toutefois, il est
possible d'utiliser des abrviations lorsque l'on indique des units de temps autres que des
secondes, comme des minutes (M), des heures ( H), des jours (D) ou des semaines (W).
Tableau 11.6, Secondes compares d'autres units de temps affiche une dure en secondes
et un temps quivalent dans un autre format.
201
Guide de Gestion des rseaux
En plus des enregistrements de ressources et des directives, un fichier de zone peut galement contenir des
commentaires. Les commentaires sont ignors par le service named, mais peuvent s'avrer utiles pour
fournir des renseignements supplmentaires l'utilisateur. N'importe quel texte aprs le point-virgule, en fin
de ligne, est considr comme un commentaire. Exemple :
Exemple 11.15, Fichier de zone simple dmontre l'utilisation de directives standards et de valeursSOA.
$ORIGIN example.com.
$TTL 86400
@ IN SOA dns1.example.com. hostmaster.example.com. (
2001062501 ; serial
21600 ; refresh after 6 hours
3600 ; retry after 1 hour
604800 ; expire after 1 week
86400 ) ; minimum TTL of 1 day
;
;
IN NS dns1.example.com.
IN NS dns2.example.com.
dns1 IN A 10.0.1.1
IN AAAA aaaa:bbbb::1
dns2 IN A 10.0.1.2
IN AAAA aaaa:bbbb::2
;
;
@ IN MX 10 mail.example.com.
IN MX 20 mail2.example.com.
mail IN A 10.0.1.5
IN AAAA aaaa:bbbb::5
mail2 IN A 10.0.1.6
IN AAAA aaaa:bbbb::6
;
;
; This sample zone file illustrates sharing the same IP addresses
; for multiple services:
;
services IN A 10.0.1.10
202
Chapitre 11. Les serveurs DNS
IN AAAA aaaa:bbbb::10
IN A 10.0.1.11
IN AAAA aaaa:bbbb::11
Dans cet exemple, les serveurs de noms autoritatifs sont dfinis en tant que dns1.example.com et
dns2.example.com, et sont lis aux adressess 10.0.1.1 et 10.0.1.2 IP respectivement en utilisant
l'enregistrement A.
Les serveurs d'email configurs avec les enregistrements MX pointent vers mail et mail2 via les
enregistrementsA. Comme ces noms ne se terminent pas par un point final, le domaine $ORIGIN est plac
leur suite, ce qui les tend mail.example.com et mail2.example.com.
Les services disponibles en noms standards, comme www.example.com (WWW), pointent vers les
serveurs qui conviennent, en utilisant l'enregistrement CNAME.
Ce fichier de zone peut tre mis en service avec un argument zone dans /etc/named.conf sous la forme
suivante :
zone "example.com" IN {
type master;
file "example.com.zone";
allow-update { none; };
};
Un fichier de zone de rsolution de noms inverss est utilis pour traduire une adresse IP d'espace nom
particulier en nom complet (FDNQ). Ce fichier ressemble beaucoup un fichier de zone standard, sauf que
les enregistrements de ressources PTR sont utiliss pour faire correspondre les adresses IP un nom de
domaine complet comme le montre Exemple 11.16, Un fichier de zone de rsolution de noms inverss .
$ORIGIN 1.0.10.in-addr.arpa.
$TTL 86400
@ IN SOA dns1.example.com. hostmaster.example.com. (
2001062501 ; serial
21600 ; refresh after 6 hours
3600 ; retry after 1 hour
604800 ; expire after 1 week
86400 ) ; minimum TTL of 1 day
;
@ IN NS dns1.example.com.
;
1 IN PTR dns1.example.com.
2 IN PTR dns2.example.com.
;
5 IN PTR server1.example.com.
203
Guide de Gestion des rseaux
6 IN PTR server2.example.com.
;
3 IN PTR ftp.example.com.
4 IN PTR ftp.example.com.
Dans cet exemple, les adresses IP qui vont de 10.0.1.1 10.0.1.6 pointent vers le nom de domaine
complet correspondant.
Ce fichier de zone peut tre mis en service avec un argument de zone dans le fichier /etc/named.conf
sous la forme suivante :
zone "1.0.10.in-addr.arpa" IN {
type master;
file "example.com.rr.zone";
allow-update { none; };
};
Il n'y a gure de diffrence entre cet exemple et un argument de zone standard, l'exception du nom de
zone. Notez qu'une zone de rsolution de noms inverss ncessite que les trois premiers blocs de l'adresse
IP soient inverss, suivis par .in-addr.arpa. Cela permet l'unique bloc de numros IP utilis dans le
fichier de zone de rsolution de noms inverss d'tre associ la zone.
L'utilitaire rndc est un outil de ligne de commandes qui vous permet d'administrer le service named, la fois
localement et partir d'une machine loigne. Son usage est le suivant :
Pour viter l'accs non autoris au service, named doit tre configur pour couter le port slectionn ( 953
par dfaut), et une cl identique doit tre utilise par le service et l'utilitaire rndc la fois.
Chemin Description
/etc/named.conf Le fichier de configuration par dfaut du service named.
/etc/rndc.conf Le fichier de configuration par dfaut de l'utilitaire rndc.
/etc/rndc.key L'emplacement de la cl par dfaut
La configuration de rndc est situe dans /etc/rndc.conf. Si le fichier n'existe pas, l'utilitaire utilisera la
cl situe dans /etc/rndc.key, qui a t gnre automatiquement pendant l'installation par la commande
rndc-confgen-a.
Le service named est configur l'aide de l'argument controls qui se trouve dans le fichier de
configuration /etc/named.conf comme dcrit dans Section 11.2.2.3, Autres types d'arguments .
moins que cet argument soit prsent, seules les connexions de l'adresse de loopback ( 127.0.0.1) seront
autorises, et la cl qui se trouve dans /etc/rndc.key sera utilise.
Pour plus d'informations ce sujet, voir les pages man et le guide de rfrence BIND 9 Administrator
Reference Manual qui se trouve dans Section 11.2.8, Ressources supplmentaires .
204
Chapitre 11. Les serveurs DNS
Important
Pour empcher les utilisateurs non privilgis d'envoyer des commandes de contrle au service,
veillez ce que seul l'utilisateur root soit autoris lire le fichier /etc/rndc.key :
La mise jour d'un paquetage est semblable son installation. Entrez la commande suivante l'invite du
shell :
Cette commande tlchargera nouveau les zones tout en conservant toutes les rponses mises en cache,
de faon ce que vous puissiez effectuer des changements des fichiers de zone sans perdre toutes les
rsolutions de noms stockes.
Pour tlcharger nouveau une zone particulire, indiquer son nom la suite de la commande reload,
comme par exemple :
Enfin, pour charger nouveau le fichier de configuration et les zones nouvellement ajoutes, saisissez :
205
Guide de Gestion des rseaux
Note
Si vous souhaitez modifier une zone qui utilise un DNS Dynamique (DDNS), veillez excuter la
commande freeze pour commenncer :
Quand vous aurez termin, excuter la commande thaw pour autoriser DDNS nouveau, et charger
la zone nouveau.
Pour metter jour les cls DNSSEC et signer la zone, utiliser la commande sign. Exemple :
Notez que pour signer une zone avec la commande ci-dessus, l'option auto-dnssec doit tre dfinie sur
maintain dans l'argument de la zone. Exemple :
zone "localhost" IN {
type master;
file "named.localhost";
allow-update { none; };
auto-dnssec maintain;
};
Pour activer la valisation DNSSEC, veuillez excuter la commande suivante en tant qu'utilisateur root :
Voir l'argument options dcrit dans Section 11.2.2.2, Types d'arguments communs pour obtenir des
informations sur la faon de configurer cette option dans /etc/named.conf.
Le guide Red Hat Enterprise Linux 7 Security Guide a une section bien complte sur DNSSEC.
Pour activer (ou dsactiver si elle est dj active) la journalisation des requtes, veuillez excuter la
commande suivante en tant qu'utilisateur root :
206
Chapitre 11. Les serveurs DNS
Pour vrifier la configuration en cours, utilisez la commande status dcrite dans Section 11.2.4.2, Vrifier
le statut de service .
L'utilitaire dig est un outil de ligne de commandes qui vous permet de faire des consultations DNS et de
dboguer une configuration de serveur de noms. Son usage est le suivant :
Voir Section 11.2.3.2, Enregistrements de ressources communs pour obtenir une liste de valeurs
communes utiliser avec type.
Pour chercher un serveur de noms particulier, utiliser la commande sous la forme suivante :
dig name NS
Dans Exemple 11.17, Exemple de recherche de serveur de noms , l'utilitaire dig est utilis pour afficher
les serveurs de noms de example.com.
;; QUESTION SECTION:
;example.com. IN NS
;; ANSWER SECTION:
example.com. 99374 IN NS a.iana-servers.net.
example.com. 99374 IN NS b.iana-servers.net.
Pour chercher une adresse IP assigne un domaine en particulier, utiliser la commande sous la forme
suivante :
207
Guide de Gestion des rseaux
dig name A
Dans Exemple 11.18, Exemple de recherche d'adresse IP , l'utilitaire dig est utilis pour afficher l'adresse
IP de example.com.
;; QUESTION SECTION:
;example.com. IN A
;; ANSWER SECTION:
example.com. 155606 IN A 192.0.32.10
;; AUTHORITY SECTION:
example.com. 99175 IN NS a.iana-servers.net.
example.com. 99175 IN NS b.iana-servers.net.
Pour rechercher un nom d'hte pour une adresse IP particulire, utiliser la commande sous la forme
suivante :
dig -x address
Dans Exemple 11.19, Exemple de recherche de nom d'hte , l'utilitaire dig est utilis pour afficher le nom
d'hte assign 192.0.32.10.
;; QUESTION SECTION:
208
Chapitre 11. Les serveurs DNS
;10.32.0.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
10.32.0.192.in-addr.arpa. 21600 IN PTR www.example.com.
;; AUTHORITY SECTION:
32.0.192.in-addr.arpa. 21600 IN NS b.iana-servers.org.
32.0.192.in-addr.arpa. 21600 IN NS c.iana-servers.net.
32.0.192.in-addr.arpa. 21600 IN NS d.iana-servers.net.
32.0.192.in-addr.arpa. 21600 IN NS ns.icann.org.
32.0.192.in-addr.arpa. 21600 IN NS a.iana-servers.net.
;; ADDITIONAL SECTION:
a.iana-servers.net. 13688 IN A 192.0.34.43
b.iana-servers.org. 5844 IN A 193.0.0.236
b.iana-servers.org. 5844 IN AAAA 2001:610:240:2::c100:ec
c.iana-servers.net. 12173 IN A 139.91.1.10
c.iana-servers.net. 12173 IN AAAA 2001:648:2c30::1:10
ns.icann.org. 12884 IN A 192.0.34.126
La plupart des implmentations de BIND utilisent seulement le service named pour fournir des services de
rsolution de nom ou pour agir comme autorit pour un domaine particulier. Cependant, la version BIND 9 a
un certain nombre de fonctionnalits avances qui permettent un service DNS plus sr et plus efficace.
Important
Avant d'utiliser des fonctionnalits avances comme DNSSEC, TSIG ou IXFR (transfert de zone
incrmentiel), assurez-vous que la fonctionnalit en question est prise en charge par tous les
serveurs de noms dans l'environnement rseau, surtout lorsque vous utilisez des versions plus
anciennes de serveurs de liaison (BIND) ou des serveurs non-BIND.
Toutes les fonctionnalits mentionnes sont expliques en dtails dans le manuel BIND 9 Administrator
Reference Manual qui se trouve dans Section 11.2.8.1, Documentation installe .
ventuellement, des informations diffrentes peuvent tre prsentes un client selon le rseau de
provenance de la demande. Ceci est principalement utilis pour refuser l'accs des donnes sensibles
DNS de la part de clients se trouvant l'extrieur du rseau local, tout en permettant aux requtes des clients
l'intrieur du rseau local.
Pour configurer plusieurs affichages, ajoutez l'argument view dans le fichier de configuration
/etc/named.conf. Utilisez l'option de match-clients pour faire correspondre les adresses IP ou des
rseaux dans leur ensemble et leur donner des options spciales et les donnes de zone.
209
Guide de Gestion des rseaux
Incremental Zone Transfers (IXFR) permet un serveur de noms secondaire de tlcharger les portions
mises jour d'une zone modifie sur un serveur de noms primaire. Par rapport un processus de transfert
standard, cela rend le processus de notification et de mise jour bien plus efficace.
Veuillez noter qu'IXFR n'est disponible qu'en utilisant la mise jour dynamique pour effectuer des
changements dans les enregistrements de zones du master. Pour modifier des fichiers de zone
manuellement, Automatic Zone Transfer (AXFR) est utilis.
Transaction SIGnatures (TSIG) veille ce qu'une cl secrte partage existe la fois sur des serveurs de
noms primaires et secondaires avant d'autoriser un transfert. Cela renforce la mthode axe sur l'adresse
IP standard d'autorisation de transfert, dans la mesure o les attaquants auraient non seulement besoin
d'avoir accs l'adresse IP de la zone de transfert, mais il faudrait aussi qu'ils connaissent la cl secrte.
Depuis la version 9, BIND prend galement TKEY en charge, une autre mthode de cls secrtes partages
pour autoriser les transferts de zone.
Important
Quand on communique sur rseau non scuris, ne pas se fier l'authentification IP base adresse
uniquement.
Domain Name System Security Extensions (DNSSEC) fournit une authentification d'origine aux donnes
DNS, le dni d'existence authentifi, et l'intgrit des donnes. Quand un domaine particulier est marqu
comme scuris, la rponse SERVFAIL est retourne pour chaque enregistrement de ressource qui choue
au niveau validation.
Notez que pour dboguer un domaine de signature DNSSEC ou un rsolveur DNSSEC-aware, vous pouvez
utiliser l'utilitaire de dig comme dcrit dans Section 11.2.5, Utilisation de l'utilitaire dig . Options utiles : +
dnssec (demande d'enregistrements de ressources lies DNSSEC en dfinissant le DNSSEC OK bit), +
cd (indique au serveur de noms rcursif de ne pas valider la rponse), et + bufsize = 512 (modifie la
taille du paquet 512 octets pour pouvoir passer travers certains pare-feux).
Internet Protocol version 6 (IPv6) est pris en charge par l'utilisation des enregistrements de ressources AAAA,
et la directive listen-on-v6 dcrite dans Tableau 11.3, Options de configuration souvent utilises .
Voici une liste des recommandations pour viter les erreurs que les utilisateurs font souvent quand ils
configurent un serveur de noms :
Un point virgule ou un crochet courbe qui ne correspond pas, dans le fichier /etc/named.conf,
peut empcher le dmarrage du service named.
210
Chapitre 11. Les serveurs DNS
Dans les fichiers de zone, un point virgule en fin de nom de domaine indique un nom de domaine
complet. Si vous l'omettez, le service named ajoutera le nom de la zone ou la valeur
correspondant $ORIGIN pour complter le nom de domaine.
Si le numro de srie n'est pas incrment, le serveur de noms primaire aura la nouvelle
information correcte, mais les noms de serveurs ne seront jamais notifis du changement, et ne
tenteront pas de ractualiser leurs donnes dans cette zone.
Fichier de configuration
Si un parefeu bloque des connexions d'un service named d'autres serveurs de noms, la pratique
conseille est de modifier les paramtres de configuration du parefeu.
Avertissement
L'utlisation d'un port source UDP pour les recherches DNS reprsente un danger potentiel de
scurit car cela permettrait un attaquant de conduire des attaques d'empoisonnement de
cache plus facilement. Pour viter cela, par dfaut, DNS envoie un port phmre.
Configurer votre parefeu pour autoriser les demandes alatoires sortantes de ports source
UDP. Une plage de 1024 65535 est utilise par dfaut.
Les sources d'informations suivantes fournissent des ressources supplmentaires propos de BIND.
BIND comprend un grand nombre de documentations installes couvrant plusieurs sujets, chaque sujet tant
plac dans son propre rpertoire de sujet. Pour chaque lment ci-dessous, remplacer la version par la
version du package bind installe sur le systme :
/usr/share/doc/bind-version/
/usr/share/doc/bind-version/sample/etc/
rndc(8)
La page man de l'utilitaire de contrle de serveur de noms rndc contient une documentation sur
son utilisation.
named(8)
211
Guide de Gestion des rseaux
La page man du serveur de noms de domaine Internet named qui contient une documentation sur
un assortiement d'arguments pouvant tre utiliss pour contrler le dmon du serveur de noms
BIND.
lwresd(8)
Page man pour le dmon du programme de rsolution lger lwresd (de l'anglais lightweight
resolver daemon), qui contient la documentation sur le dmon et sur son utilisation.
named.conf(5)
Page man avec une liste complte d'options disponibles dans le fichier de configuration de named.
rndc.conf(5)
Page man comprenant une liste d'options disponibles pour le fichier de configuration de rndc.
https://access.redhat.com/site/articles/770133
https://access.redhat.com/documentation/en-
US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/
Le guide Red Hat Enterprise Linux 7 Security Guide a une bonne section sur DNSSEC.
https://www.icann.org/namecollision
212
Chapitre 12. Squid
Ce chapitre traite de Squid, un serveur de mise en cache de proxy de haute performance pour les clients
web. Dans cette section, vous pouvez lire comment configurer Squid, comment authentifier, et bloquer
laccs avec Squid.
Squid supporte les objets de donnes FTP, gopher, ICAP, ICP, HTCP, et HTTP.
Squid se compose :
Excuter la commande systemctl start squid en tant qu'utilisateur root pour dmarrer Squid :
Squid va maintenant commencer couter le port 3128 (port par dfaut) sur toutes les interfaces de rseau
de la machine.
Excuter la commande systemctl start squid pour confirmer que Squid est en cours d'excution. En
voici un exemple :
Excuter la commande ps -eZ | grep squid pour afficher les processus de Squid :
213
Guide de Gestion des rseaux
Si vous tes interresss par les statistiques de Squid en environnement de ligne de commande, utiliser
l'outil squidclient qui peut accder au service Squid et extraire des statistiques. Ainsi, pour obtenir des
statistiques sur la performane en gnral, excuter la commande suivante sur le serveur Squid :
Les fichiers journaux du serveur proxy de Squid se trouvent dans le rpertoire /var/log/squid/. Le
fichier journal qui stocke des informations sur les requtes proxy se trouve dans le fichier
/var/log/squid/access.log.
mv /etc/squid/squid.conf /etc/squid/squid.conf.org
2. Crer un nouveau fichier /etc/squid/squid.conf avec le contenu suivant. Modifier l'ACL (de
l'anglais Access Control List) la ligne mynetwork pour dfinir le rseau d'origine pour votre rseau
local. Il s'agit du rseau o les systmes client utilisent le serveur de Squid comme proxy.
Note
214
Chapitre 12. Squid
#defaults
acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
5. Configurer votre navigateur web pour qu'il utilise le serveur proxy. Cela dpendra du navigateur et de
la version utiliss. Ainsi, pour configurer Firefox version 46.0.0 :
a. Dans le menu Firefox situ en haut droite, slectionner Avanc, puis Rseau partir des
onglets, puis, slectionner Rseau partir des onglets situs en haut sur la barre de
navigaiton.
215
Guide de Gestion des rseaux
1. Ajouter les lignes suivantes en haut du fichier /etc/squid/squid.conf pour remplacer l'exemple
d'adresse IP :
Squid commence maintenant couter le port 3128 (port par dfaut) sur toutes les interfaces de
rseau de la machine.
3. Configurer votre navigateur, par exemple Firefox, afin d'utiliser Squid en tant que serveur proxy
HTTP avec l'hte comme adresse IP de la machine et le port 3128: pour plus d'informations, voir
Procdure 12.2, Configurer Firefox avec le serveur Proxy
La directive http_port est utilise pour spcifier le port o Squid va pouvoir couter les connexions. Le
comportement par dfaut est d'couter le port 3128 sur toutes les interfaces de la machine. Vous pouvez
forcer Squid couter plusieurs interfaces sur diffrents ports, sur diffrentes interfaces.
Ouvrir /etc/squid/squid.conf et modifier la ligne qui convient. Dans cet exemple, Squid est
configur pour couter le port 8080.
Avec la configuration actuelle, Squid coute la fois le port 8080 et le port 9090:
216
Chapitre 12. Squid
Note
N'oubliez pas de dmarrer nouveau le serveur de Squid pour appliquer les nouvelles
configurations :
Les commandes suivantes ordonnent Squid d'couter le port 3128 sur l'interface ayant pour adresse IP
192.0.2.25:
http_port 192.0.2.25:3128
De plus, vous pouvez spcifier http_port en utilisant une combinaison nom d'hte et port. Le nom d'hte
sera traduit en adresse IP par Squid, qui coutera alors sur le port 8080 sur cette adresse IP particulire.
http_port myproxy.example.com:8080
Un autre aspect de la directive http_port est que cela peut prendre plusieurs valeurs sur des lignes
distinctes. Les lignes suivantes dclencheront Squid pour couter trois combinaisons d'adresses IP / port
diffrentes. Cest gnralement utile lorsque vous avez des clients dans diffrents rseaux locaux (LAN)
configurs pour utiliser des ports diffrents pour le serveur proxy. Modifiez le fichier
/etc/squid/squid.conf comme suit :
http_port 192.0.2.25:8080
http_port lan1.example.com:3128
http_port lan2.example.com:8081
Les listes des contrle d'accs (ACL) sont les lments de base du contrle d'accs et sont normalement
utilises en combinaison d'autres directives, comme http_access, pour contrler l'accs divers
composants de Squid ou ressources web.
comme suit. Donnez un nom votre ACN en remplaant example_site par un nom. Le type utilis ici est
dstdomain, qui indique que la valeur (le site web) est un nom de domaine.
217
Guide de Gestion des rseaux
Si vous devez construire un ACL pour un certain nombre de sites web, vous pouvez :
crire les valeurs sur plusieurs lignes si les valeurs augmentent beaucoup :
Vous pouvez mettre les valeurs dans un fichier ddi ce but, puis instruire Squid de lire les valeurs de
ce fichier :
Important
Les ACL doivent tre combins des directives de contrle d'accs pour permettre ou interdire
l'accs certaines ressources. http_access est une de ces directives utilises pour donner l'accs
en vue d'effectuer des transactions HTTP via Squid :
Pour autoriser ou interdire l'accs aux clients, vous devez combiner les ACL la directive http_access.
218
Chapitre 12. Squid
Certains noms d'ACL commencent par un point d'exclamation. Si tel est le cas, inclure le point
d'exclamation galement :
Indiquer Squid quel programme helper d'authentification utiliser avec une directive auth_param dans
/etc/squid/squid.conf. Spcifier le nom du programme et les options en ligne de commande si
ncessaire.
Ajouter des entres d'ACL proxy_auth votre configuration Squid en indiquant les noms d'utilisateurs.
Dans cet exemples, les utilisateurs nomms lisa, sarah, joe, et frank sont autoriss d'utiliser le proxy
tout moment. Les autres utilisateurs ne peuvent le faire que pendant la journe.
Dans cette installation, Squid utilise LDAP pour authentifier les utilisateurs avant de les autoriser surfer sur
l'internet. Le code source Squid connecte un back-end d'authentification (LDAP). Les utilisateurs doivent
ensuite saisir leur nom d'utilisateur et mot de passe avant de pouvoir continuer sur les pages web. Squid
utilise l'assistant d'authentification LDAP de Squid, squid_ldap_auth, ce qui permet Squid de se
connecter un rpertoire LDAP afin de valider le nom d'utilisateur et le mot de passe pour une authentication
HTTP de base.
219
Guide de Gestion des rseaux
Si vous souhaitez authentifier des utilisateur Squid sur un serveurLDAP via un canal SSL/TLS scuris,
passer l'argument -ZZ au programme squid_ldap_auth.
Si vous souhaitez vous authentifier auprs de serveurs OpenLDAP, comme TLS et SSL, vous devrez
spcifier auth_param dans le fichier /etc/squid/squid.conf:
et pour SSL :
Quand
Suivez la procdure pour configurer le proxy Squid dans Red Hat Enterprise Linux 7 afin d'utiliser
lauthentification Kerberos. De plus, comme prrequis, commencez par installer Samba, le serveur de
fichiers Common Internet File System (CIFS) pour Red Hat Enterprise Linux. Pour plus dinformations sur
linstallation de Samba, voyez la section Samba dans le Guide de ladministrateur systmes de Red Hat
Enterprise Linux 7.
Procdure 12.4. Configurer Squid dans Red Hat Enterprise Linux 7 pour utiliser l'authentification
Kerberos
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_kdc = no
dns_lookup_realm = no
default_keytab_name = /etc/krb5.keytab
220
Chapitre 12. Squid
[realms]
EXAMPLE.COM = {
kdc = 192.168.0.1
admin_server = 192.168.0.1
}
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM
[logging]
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
[global]
workgroup = EXAMPLE
password server = 192.168.0.1
# Remember to put the realm all in CAPS:
realm = EXAMPLE.COM
security = ads
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
winbind enum users = yes
winbind enum groups = yes
encrypt passwords = yes
log file = /var/log/samba/log.%m
max log size = 50
221
Guide de Gestion des rseaux
d. Rejoindre le domaine AD
Note
Veillez ce que le nom d'hte soit bien dfini dans le fichier /etc/hosts
/usr/lib64/squid/negotiate_kerberos_auth
/usr/lib64/squid/negotiate_kerberos_auth_test
/usr/lib64/squid/squid_kerb_auth
/usr/lib64/squid/squid_kerb_auth_test
222
Chapitre 12. Squid
5. Dfinir le fichier .keytab sur lecture (read) par le propritaire du processus Squid :
KRB5_KTNAME="/etc/squid/HTTP.keytab "
export KRB5_KTNAME
8. Configuration un client Kerberos et configurer votre navigateur pour qu'il utilise le serveur proxy de
Squid. Obtenir un ticket Kerberos du KDC (Key Distribution Center).
Essayez d'accder un site. Le navigateur ne doit pas vous demander un nom d'utilisateur ou un
mot de passe.
Principalement, Squid est utilis pour bloquer l'accs certains contenus web. Normalement, certains ports
sont bloqus ou ce sont certains sites.
Par cette mthode, aussi appele filtrage de port, vous pouvez bloquer un port spcifique avec le serveur
proxy de Squid. Ce faisant, vous pouvez restreindre lutilisation de certains protocoles, services, sites Web,
ou applications. Par exemple, pour bloquer le trafic FTP, il suffit de bloquer le port 21/TCP. De la mme
manire, vous pouvez bloquer tous les sites HTTPS en bloquant le port 443/TCP.
~]# vi /etc/squid/squid.conf
223
Guide de Gestion des rseaux
Le fichier de configuration de Squid contient des lignes avec acl Safe_ports port. Par dfaut, ces numros
de port sont ajouts en tant que "Safe_Ports" sont ouverts la navigation.
Vous pouvez dsactiver toutes les lignes listes dans /etc/squid/squid.conf pour bloquer les ports qu'il
faut.
Pour bloquer le port 777/tcp, ajouter un signe de hachage devant la ligne dont il s'agit, comme suit :
Configurer Squid pour que votre rseau dsactive l'accs certains sites.
1. Autoriser l'accs Squid sur votre rseau. Ouvrir le fichier /etc/squid/squid.conf et chercher
"Access Controls". Dfilez vers le bas INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS
FROM YOUR CLIENTS. Il vous faudra adapter la liste en fonction de vos rseaux d'IP internes
partir desquels on pourra naviguer. Dans cet exemple, l'ACL donne accs aux rseaux locaux
192.168.1.0/24 et 192.168.2.0/24.
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
2. Crer un fichier qui contient une liste de sites que vous souhaitez bloquer. Nommez les fichiers, par
exemple, /usr/local/etc/allowed-sites.squid et /usr/local/etc/restricted-
sites.squid.
224
Chapitre 12. Squid
Ils peuvent ensuite tre utiliss pour bloquer les sites ayant des restrictions.
~]# vi /etc/squid/squid.conf
4. Configurer votre navigateur web pour qu'il utilise le nom DNS ou l'adresse IP de votre serveur Squid
et qu'il corresponde au port en cours.
Les pages man suivantes fournissent des ressources supplmentaires propos de Squid.
squid(8)
squidclient(1)
basic_ldap_auth(8)
ext_ldap_group_acl(8)
ext_session_acl(8)
ext_unix_group_acl(8)
negotiate_kerberos_auth(8)
225
Guide de Gestion des rseaux
A.1. Remerciements
Certaines portions de ce texte ont dj t publies dans le Guide de Dploiement de Red Hat
Enterprise Linux 6, copyright 2014 Red Hat, Inc., disponible l'adresse suivante
https://access.redhat.com/documentation/en-
US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html.
Index
Symboles
/etc/named.conf (voir BIND)
A
authoritative nameserver (voir BIND)
226
Annexe A. Historique de rvision
- files
- /etc/named.conf, Configuration de l'utilitaire
- /etc/rndc.conf, Configuration de l'utilitaire
- /etc/rndc.key, Configuration de l'utilitaire
- fonctionnalits
- Automatic Zone Transfer (AXFR), IXFR (Incremental Zone Transfers)
- DNS Security Extensions (DNSSEC), DNSSEC (DNS Security Extensions )
- Incremental Zone Transfer (IXFR), IXFR (Incremental Zone Transfers)
- Internet Protocol version 6 (IPv6), IPv6 (Internet Protocol version 6)
- Transaction SIGnature (TSIG), TSIG (Transaction SIGnatures)
- vues multiples, Vues multiples
- rpertoires
- /etc/named/, Configuration du service named
- /var/named/, Conflits de fichiers
- /var/named/data/, Conflits de fichiers
- /var/named/dynamic/, Conflits de fichiers
- /var/named/slaves/, Conflits de fichiers
- types
- authoritative nameserver, Types de noms de serveurs
- primary (master) nameserver, Types de noms de serveurs
- recursive nameserver, Types de noms de serveurs
- secondary (slave) nameserver, Types de noms de serveurs
- serveur de noms (esclave) secondaire, Zones de noms de serveurs
- serveur de noms (master) primaire, Zones de noms de serveurs
- utilitaires
- dig, BIND en tant que serveur de noms, Utilisation de l'utilitaire dig, DNSSEC
(DNS Security Extensions )
- named, BIND en tant que serveur de noms, Configuration du service named
- rndc, BIND en tant que serveur de noms, Comment se servir de l'utilitaire rndc
227
Guide de Gestion des rseaux
- zones
- $INCLUDE directive, Directives communes
- $ORIGIN directive, Directives communes
- $TTL directive, Directives communes
- A (Address) resource record, Enregistrements de ressources communs
- balises de commentaires, Balises de commentaires
- CNAME (Canonical Name) resource record, Enregistrements de ressources
communs
- description, Zones de noms de serveurs
- MX (Mail Exchange) resource record, Enregistrements de ressources communs
- NS (Nameserver) resource record, Enregistrements de ressources communs
- PTR (Pointer) resource record, Enregistrements de ressources communs
- SOA (Start of Authority) resource record, Enregistrements de ressources
communs
- utilisation d'exemple, Fichier de zone simple, Un fichier de zone de rsolution de
noms inverss
C
canal de liaison
- configuration, Utiliser une liaison de canal
- paramtres d'interfaces relies, Relier des proprits utilisateur
D
default gateway, Routages statiques et Passerelle par dfaut
DHCP, Serveurs DHCP
- Agent de relais, Agent de relais DHCP
- arrter le serveur, Lancement et interruption du serveur
- configuration serveur, Configuration d'un serveur DHCP
- dmarrer le serveur, Lancement et interruption du serveur
- dhcpd.conf, Fichier de configuration
- dhcpd.leases, Lancement et interruption du serveur
- dhcpd6.conf, DHCP pour IPv6 (DHCPv6)
- DHCPv6, DHCP pour IPv6 (DHCPv6)
- dhcrelay, Agent de relais DHCP
- groupe, Fichier de configuration
- options, Fichier de configuration
- options de lignes de commande, Lancement et interruption du serveur
- paramtres globaux, Fichier de configuration
- raisons pour utiliser, Pourquoi utiliser DHCP ?
- ressources supplmentaires, Ressources supplmentaires
- shared-network, Fichier de configuration
- sous-rseau, Fichier de configuration
DHCP Multi-htes
- configuration de l'hte, Configuration de l'hte
- configuration de serveur, Configuration d'un serveur DHCP Multi-htes
228
Annexe A. Historique de rvision
E
enregistrement de ressource (voir BIND)
I
interface de canal de liaison (voir module de noyau)
itinraires statiques, Routages statiques et Passerelle par dfaut
L
liaison (voir liaison de canaux)
liaison de canaux
- description, Utiliser une liaison de canal
M
module de noyau
- module de liaison, Utiliser une liaison de canal
- description, Utiliser une liaison de canal
- paramtres d'interfaces relies, Relier des proprits utilisateur
- paramtres de module
- paramtres de module de liaison, Relier des proprits utilisateur
N
named (voir BIND)
NIC
- liaison un seul canal, Utiliser une liaison de canal
P
primary nameserver (voir BIND)
R
recursive nameserver (voir BIND)
rndc (voir BIND)
S
secondary nameserver (voir BIND)
serveur de noms (voir DNS)
Squid, Squid
229