Quelques éléments de configuration de la pile...

Chaput Emmanuel

Quelques elements de configurationde la pile IP

2020-2021 - Edition ”distanciation”

Chaput Emmanuel Quelques elements de configuration de la pile IP2020-2021 - Edition ”distanciation” 1 / 47

Le plan de gestion

1 Le DNS

2 La configuration dynamique

3 References bibliographiques


Le DNS

1 Le DNS

IntroductionOrganisation de l’espace de nommageL’architecture client/serveurLes Resource RecordsLe protocole


Notes :

Notes :

Notes :

Introduction

1 Le DNS



Qu’est-ce que le DNS ?

Domain Name SystemService d’annuaire global de l’InternetCorrespondance entre des noms (eg www.enseeiht.fr) et desadresses IP (eg 193.48.203.34)

Fonde sur quelques concepts simplesUn espace de nommage arborescentUne architecture client/serveurUn protocole simple

Dote de carateristiques permettant un deploiement efficacePassage a l’echelle (plus d’un milliard de noms annonces en juillet2015)Heterogeneite des constituants de l’Internet

Defini depuis 1983 [28, 29]A subi de nombreuses evolutions[30, 31, 32, 21, 26, 14, 19, 3, 20, 5, 1, 6, 8, 7, 2, 7, 24, 25]


Organisation de l’espace de nommage

1 Le DNS

IntroductionOrganisation de l’espace de nommage

Organisation des responsabilitesL’architecture client/serveurLes Resource RecordsLe protocole


Notes :

Notes :

Notes :

Organisation de l’espace de nommage

TLD nationauxTLD génériques

arpa com edu gov int mil net

bde

127

98

18

147

org fr

enseeihtin−addr


Notion de zone

C’est une partie de l’espace de nommageCoherente vis-a-vis de l’arborescence (sous arbre)Peut-etre subdivisee en sous zones (eg bde.enseeiht.fr)Geree “independemment” des autres zones

Le service de nommage de chaque zone est assure par un ouplusieurs serveurs

Un serveur primaireAu moins un serveur secondaire

Resolution inverse (adresse vers nom) obtenu par une zonespecifique

.arpa avec .in-addr.arpa et .ip6.arpa


Organisation des responsabilites

1 Le DNS

IntroductionOrganisation de l’espace de nommage

Organisation des responsabilitesL’architecture client/serveurLes Resource RecordsLe protocole


Notes :

Notes :

Notes :

Les differents TLDs

Les ccTLDs (Country Code TLD)Ce sont les domaines nationauxTraditionnellement sur deux lettres (codes ISO 3166-1)Delegation a une organisation specifique (eg l’AFNIC pour le .fr)

Les gTLDs (Generic TLD)Les uTLDs (Unsponsored TLD)

Peuvent etre obtenus par une procedure classiqueeg .com, .net, .org, . . .

Les sTLDs (Sponsored TLD)Sont geres par un sponsor qui definit une charteeg .aero, .museum, . . .

Le .arpaPour la resolution inverse


L’architecture client/serveur

1 Le DNS



L’architecture client/serveur

Le client est appele un resolverUtilise par de nombreuses applicationsRarement utilise directement par l’utilisateurPeut mettre en place un cache

Le serveur repond aux requetes des clientsPeut repondre directementPeut s’adresser lui aussi a un autre serveurPeut mettre en place un cache


Notes :

Notes :

Notes :

Deux types de serveurs

Serveur maıtre (ou primaire)Il dispose de la base de donnees des zones qu’il couvreIl repond aux requetes des clientsIl transfere les bases de donnees aux secondaires

Serveur esclave (ou secondaire)Il ne dispose que d’une copie de la base de donneesIl repond aux requetes des clientsIl obtient la base de donnees et ses mises a jour depuis le maıtre


Comportement d’un serveur

Lors de la reception d’une requete, un serveur peutFournir “directement” la reponse

Apres avoir effectue des requetes aupres d’autres serveursFournir “directement” la reponse

En utilisant ses cachesFournir un element permettant d’obtenir la reponse (referral)

L’adresse d’un serveur permettant d’obtenir la reponse

Envoyer un message d’erreurUn referral n’est pas une reponse

C’est l’adresse d’un ou plusieurs serveurs ayant autorite sur unezone permettant de s’approcher de la reponse


Reponse iterative ou recursive

Lorsqu’un serveur recoit une requete de la part d’un client, il peutLui donner la repons s’il la connaıt

eg il a autorite sur la zoneLui donner l’adresse d’un serveur qui pourra lui donner la reponse

Traitement iteratif de la requeteLe client progresse de serveur en serveur

Obtenir lui meme la reponse et la lui fournirTraitement recursif de la reponseLe serveur se comporte comme un client vis-a-vis des autresserveursLe client n’est pas directement impacte par la complexite de larequete


Notes :

Notes :

Notes :

Reponse iterative ou recursive


Un exemple d’echange (1)

$ dig www.isae.fr

; <<>> DiG 9.9.5-11ubuntu1.1-Ubuntu <<>> www.isae.fr;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29230;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.isae.fr. IN A

;; ANSWER SECTION:www.isae.fr. 84386 IN CNAME drupalprod.isae.fr.drupalprod.isae.fr. 84386 IN A 192.93.254.85

;; AUTHORITY SECTION:isae.fr. 74348 IN NS supns.isae.fr.isae.fr. 74348 IN NS filaong.isae.fr.

;; ADDITIONAL SECTION:supns.isae.fr. 21368 IN A 192.93.254.35filaong.isae.fr. 21368 IN A 192.93.254.38

;; Query time: 1 msec;; SERVER: 127.0.1.1#53(127.0.1.1);; WHEN: Wed Jan 06 11:48:27 CET 2016;; MSG SIZE rcvd: 155


Un exemple d’echange (2)

11:36:34.225066 IP (tos 0x0, ttl 64, id 26673, offset 0, flags [DF], proto UDP (17), length 68)fwirit-143.enseeiht.fr.15918 > ns1.enseeiht.fr.domain:[udp sum ok] 20154+ [1au] A? www.isae.fr. ar: .OPT UDPsize=4096 (40)

11:36:34.225871 IP (tos 0x0, ttl 61, id 62821, offset 0, flags [none], proto UDP (17), length 183)sivuca.laplace.enseeiht.fr.domain > fwirit-143.enseeiht.fr.15918:[udp sum ok] 20154q: A? www.isae.fr.2/2/3www.isae.fr. [23h38m20s] CNAME drupalprod.isae.fr.,drupalprod.isae.fr. [23h38m20s] A 192.93.254.85ns:isae.fr. [20h51m2s] NS supns.isae.fr.,isae.fr. [20h51m2s] NS filaong.isae.fr.ar:supns.isae.fr. [6h8m2s] A 192.93.254.35,filaong.isae.fr. [6h8m2s] A 192.93.254.38, .OPT UDPsize=4096 (155)


Notes :

Notes :

Notes :

Le client dans le monde Unix

Utilise au travers de fonctions de la librairie C telles que [22]struct hostent *gethostbyname(const char *name);int getaddrinfo(const char *node,

const char *service,const struct addrinfo *hints,struct addrinfo **res);

Parametre par des fichiers tels que [15, 23]/etc/gai.conf/etc/resolv.conf

Un client en ligne de commande existe$ dig www.enseeiht.fr...


Les Resource Records

1 Le DNS



Les Resource Records

Description des proprietes et elements d’une zone [31]. Ce sont parexemple

SOA Record (Start Of Authority) [31]Definition des proprietes generales de la zone

A Record (IPv4 address) [31]Donne l’adresse IPv4 d’un nom

CNAME Record (Canonical Name) [31]Donne le nom pour une adresse

AAAA Record (IPv6 address) [33]Donne l’adresse IPv6 d’un nom

NS Record (Name Server) [31]Definition du serveur d’une zone


Notes :

Notes :

Notes :

Le protocole

1 Le DNS


Format d’un message DNS


Format des messages

Identification permet de mettre enrelation requete et reponse

Control definit le type de message(requete, reponse, recursion,. . . )

Question count donne le nombre dequestions dans le message

...

Question liste les requetes...


La configuration automatique

2 La configuration dynamiqueLe protocole DHCP

Le protocole IPCP

Les protocoles sans configuration


Notes :

Notes :

Notes :


La configuration d’une machine peut etre laborieuseAdresse(s) IP (v4, v6)Routeur par defautNom de la machine, nom de domaineDecouverte de servicesAdresse du serveur de noms. . .

Cette configuration doit etre coherente avec le reseau dans lequelse trouve la machine

Le reseau peut evoluerLe statut de la machine dans le reseau peut evoluer (contrat avecun operateur)La machine peut changer de reseau



Qui doit realiser cette configuration?Le client n’en a souvent ni l’envie ni les competencesL’administrateur n’a pas forcement acces a la machineL’administrateur ne peut pas gerer un tres grand nombre demachines

Besoin de procedures automatiquesSur un reseau local : DHCP, NDP/ICMPv6, . . .Sur un reseau d’operateur : NCP/PPP, . . .Sur un reseau domestique : zeroconf, . . .


Le protocole DHCP


Le protocole IPCP



Notes :

Notes :

Notes :

Le protocole DHCP

Dynamic Host Configuration Protocol [16, 17, 18, 4]Propose au debut des annees 1990 pour configurer les machinesd’extremite

Successeur de BOOTP [13]Qui permettait a des machines sans disque de demarrer via lereseauPropose en 1985 pour pallier les insuffisances de RARP

ObjectifPermettre la configuration de machines d’extremiteConfiguration de la pile IP

Adresse/masque, routeur par defaut, . . .Serveur DNS, mail, . . .

Configuration centralisee et dynamiqueAdministration d’un serveur unique plutot qu’un parc largeAucune necessite de correspondante fixe entre machines etadresse

Utilise le protocole UDP


Objectifs et principeCentraliser la configuration

Saisie unique des informations communesConfiguration coherente de tout le parc

Permettre une configuration plus dynamiqueMise a jour des serveurs (eg DNS), routeurs, . . .Reutilisation des adressesLa meme machine peut changer de reseau sans (re)configuration

Fournir a un client toute sa configuration IPAucune intervention sur la machineTout est mis en place via le protocole

Notion de bail (lease)Un ensemble d’informations attribue a une machine

Adresse IP, masque, . . .Routeur par defaut, serveur DNS, . . .

Caracterise par une duree de validiteDoit etre renouvele au besoinConsidere comme abandonne sinon


Fonctionnement generalLe client sollicite une configuration

Il utilise l’adresse destination de broadcast limite 255.255.255.255Des serveurs lui font des offres

Il utilise la meme adresse destinationIl en selectionne une

Et il la demande au serveurLe serveur la valide

Elle est maintenant attribuee au client


Notes :

Notes :

Notes :

Exemples de parametres

Configuration de IP

Adresse IP (champ YIADDR)Masque (option 1)Adresse du routeur (option 3)Ajout d’une route (option 33)

Configuration de la machineNom de la machine (option 12)Duree du bail (option 51)Nom de domaine (option 15)

Configuration de TCP

Valeur par defaut du TTL(option 37)Configuration des serveurs

Serveurs DNS (option 6)Serveurs SMTP (option 69)Serveurs POP (option 70)Serveurs d’impression (option 9)


Format des messages

op type de message (requete,offre, . . . )

htype type d’adresse niveau 2hlen taille d’adressehops zero (utilise pour relayage)xid identifiant uniquesecs duree depuis debut de

demandeflags unicast possibleciaddr adresse du client (connue

par lui)


Format des messages

yiaddr adresse fournie au clientsiaddr adresse du prochain serveur

(pour acceder un fichier deboot)

giaddr adresse IP du relaichaddr adresse materielle du client

name nom du serveurfile fichier de boot

options liste des options


Notes :

Notes :

Notes :

Un exemple de configuration

Internet Systems Consortium (ISC) fournit une implantation deDHCP

http://www.isc.orgLargement utilise sous Linux

Configuration et demarrage du serveurFichier /etc/dhcp/dhcpd.conf (ou autre repertoire selon lesysteme)Arguments de la ligne de commande du serveurServeur dhcpd generalement lance par un script systeme

Configuration et demarrage du clientFichier /etc/dhclient.conf ou equivalentClient dhclient generalement lance par un script systeme


Un exemple de dhcpd.conf

default-lease-time 3600;max-lease-time 7200;option subnet-mask 255.255.255.0;option broadcast-address 192.168.19.255;option routers 192.168.19.1;option domain-name-servers 192.168.19.1, 192.168.19.2;option domain-name ‘‘chezmoi.fr’’;option ntp-servers 192.168.19.2;

subnet 192.168.19.0 netmask 255.255.255.0 {range 192.168.19.128 192.168.19.254;

}


Le protocole IPCP


Le protocole IPCP



Notes :

Notes :

Notes :

Le protocole IPCP

Le protocole PPP reste largement utiliseAcces Internet via des reseaux operesRTC, ADSL, . . .

Il integre un protocole de configurationNetwork Configuration Protocol (NCP)

Pour IPv4 : IPCP [27]Configuration de l’adresseConfiguration de l’adresse du serveur de noms. . .




Le protocole IPCP

Les protocoles sans configurationL’allocation d’adressesLa resolution de noms locauxLa decouverte de services



Quelle configuration pour un utilisateur beotien?Utilisation domestique

Peu/pas de competencesNombreux equipements “connectes”

Televisions, consoles, NAS, . . .Un vrai reseau IP a la maison

L’utilisateur veut du plug and playInteraction immediate entre les equipementsAcces Internet direct

Impossible d’utiliserConfiguration du reseau (routage, traduction d’adresse, . . . )Configuration des equipements (DHCP, DNS, . . . )Configuration des applications (decouverte des services, . . . )


Notes :

Notes :

Notes :

Les protocoles “zeroconf”

ObjectifAucune intervention de l’utilisateur dans la configuration de sonreseau

Ensemble (limite) de protocoles permettant une auto-configurationde machines en reseauPrincipaux services

Allocation d’adresses IPResolutions de nomsDecouverte de servicesTraversee de NAT

Egalement connu au travers de ses implantationsBonjour chez AppleAvahi sous Linux (implante IPv4LL, mDNS et DNS-SD)


Les protocoles UPnP

ObjectifPlan de controle et de gestion pour DLNA (Digital Living NetworkAlliance)Maintenant porte par l’ Open Connectivity Foundation

Universal Plug and PlayProtocole permettant a des peripheriques (typiquementmultimedia) d’inter-operer sans intervention de l’utilisateurAdresses obtenues par DHCP ou IPv4LL

Utilise HTTP en multicast sur UDP ( !)Decouverte d’equipementsDecouverte de services (SSDP)Controle. . .


L’allocation d’adresses

2 La configuration dynamiqueLes protocoles sans configuration

L’allocation d’adressesLa resolution de noms locauxLa decouverte de services


Notes :

Notes :

Notes :

L’allocation d’adresses

Allocation automatique d’adresse par un equipementAdresses qualifiees de Link-Local Addresses

IPv4 link-local (IPv4LL) ou APIPA ou IPAC

Generation d’une adresse dans une plage predefinie168.254.0.0/24 pour IPv4 [10]

Les bits de poids faible sont generes aleatoirementUtilisation d’ARP pour verifier les doublons

FE80 : :/10 pour IPv6 [34, 9]Les bits de poids faible sont generes a partir de l’identifiant del’interface

Validation de l’adresse par protocoleARP en IPv4ICMPv6 (Neighbor Solicitation) en IPv6Messages transmis lors de l’attribution de l’adresseA traiter meme en cours d’utilisation


La resolution de noms locaux




Le protocole mDNS

Protocole similaire a DNS : Multicast DNS [12]Requetes transmises a l’adresse 224.0.0.251 (ou FF02 : :FB) surle port 5353Top level domain name reserve : .localPortee du domaine : le lienChaque hote repond aux sollicitations le concernantRisque de non unicite des noms

Autorise par la RFC (peut etre volontaire)Un mecanisme de sondes permet de le detecter


Notes :

Notes :

Notes :

La decouverte de services




Le protocole DNS-SD

DNS-Based Service Discovery [11]Definition d’une structure de nommage de services

Du type <Instance> . <Service> . <Domain>

Utilisation du DNS pour localiser les serveursUtilisation possible avec mDNS . . .Recherche d’un service dans un domaineChoix de l’instance voulue


[1] D. Eastlake 3rd.Domain Name System Security Extensions.RFC 2535 (Proposed Standard), March 1999.Obsoleted by RFCs 4033, 4034, 4035, updated by RFCs 2931,3007, 3008, 3090, 3226, 3445, 3597, 3655, 3658, 3755, 3757,3845.

[2] D. Eastlake 3rd.Domain Name System (DNS) Case Insensitivity Clarification.Technical Report 4343, January 2006.

[3] D. Eastlake 3rd and C. Kaufman.Domain Name System Security Extensions.RFC 2065 (Proposed Standard), January 1997.Obsoleted by RFC 2535.

[4] S. Alexander and R. Droms.DHCP Options and BOOTP Vendor Extensions.RFC 2132 (Draft Standard), March 1997.Updated by RFCs 3442, 3942, 4361, 4833, 5494.


Notes :

Notes :

Notes :

[5] M. Andrews.Negative Caching of DNS Queries (DNS NCACHE).RFC 2308 (Proposed Standard), March 1998.Updated by RFCs 4035, 4033, 4034, 6604.

[6] R. Arends, R. Austein, M. Larson, D. Massey, and S. Rose.DNS Security Introduction and Requirements.Technical Report 4033, March 2005.Updated by RFCs 6014, 6840.

[7] R. Arends, R. Austein, M. Larson, D. Massey, and S. Rose.Protocol Modifications for the DNS Security Extensions.Technical Report 4035, March 2005.Updated by RFCs 4470, 6014, 6840.

[8] R. Arends, R. Austein, M. Larson, D. Massey, and S. Rose.Resource Records for the DNS Security Extensions.Technical Report 4034, March 2005.Updated by RFCs 4470, 6014, 6840, 6944.


[9] R. Asati, H. Singh, W. Beebee, C. Pignataro, E. Dart, andW. George.Enhanced Duplicate Address Detection.RFC 7527 (Proposed Standard), April 2015.

[10] S. Cheshire, B. Aboba, and E. Guttman.Dynamic Configuration of IPv4 Link-Local Addresses.RFC 3927, IETF, May 2005.

[11] S. Cheshire and M. Krochmal.DNS-Based Service Discovery.Technical Report 6763, February 2013.

[12] S. Cheshire and M. Krochmal.Multicast DNS.Technical Report 6762, February 2013.

[13] W.J. Croft and J. Gilmore.Bootstrap Protocol.RFC 951 (Draft Standard), September 1985.Updated by RFCs 1395, 1497, 1532, 1542, 5494.Chaput Emmanuel Quelques elements de configuration de la pile IP2020-2021 - Edition ”distanciation” 47 / 47

[14] C. Davis, P. Vixie, T. Goodwin, and I. Dickinson.A Means for Expressing Location Information in the DomainName System.RFC 1876 (Experimental), January 1996.

[15] R. Draves.Default Address Selection for Internet Protocol version 6 (IPv6).RFC 3484 (Proposed Standard), February 2003.Obsoleted by RFC 6724.

[16] R. Droms.Dynamic Host Configuration Protocol.RFC 1531, IETF, October 1993.

[17] R. Droms.Interoperation Between DHCP and BOOTP.RFC 1534, IETF, October 1993.

[18] R. Droms.Dynamic Host Configuration Protocol.Technical Report 2131, March 1997.Chaput Emmanuel Quelques elements de configuration de la pile IP2020-2021 - Edition ”distanciation” 47 / 47

Notes :

Notes :

Notes :

Updated by RFCs 3396, 4361, 5494.

[19] R. Elz and R. Bush.Serial Number Arithmetic.RFC 1982 (Proposed Standard), August 1996.

[20] R. Elz and R. Bush.Clarifications to the DNS Specification.RFC 2181 (Proposed Standard), July 1997.Updated by RFCs 4035, 2535, 4343, 4033, 4034, 5452.

[21] C.F. Everhart, L.A. Mamakos, R. Ullmann, and P.V. Mockapetris.New DNS RR Definitions.Technical Report 1183, October 1990.Updated by RFCs 5395, 5864, 6195, 6895.

[22] R. Gilligan, S. Thomson, J. Bound, and W. Stevens.Basic Socket Interface Extensions for IPv6.RFC 2553 (Informational), March 1999.Obsoleted by RFC 3493, updated by RFC 3152.


[23] F. Gont.Security Assessment of the Internet Protocol Version 4.Technical Report 6274, July 2011.

[24] E. Lewis.The Role of Wildcards in the Domain Name System.RFC 4592 (Proposed Standard), July 2006.

[25] E. Lewis and A. Hoenes.DNS Zone Transfer Protocol (AXFR).RFC 5936 (Proposed Standard), June 2010.

[26] B. Manning.DNS NSAP RRs.Technical Report 1348, July 1992.Obsoleted by RFC 1637.

[27] G. McGregor.The PPP Internet Protocol Control Protocol (IPCP).Technical Report 1332, May 1992.Updated by RFC 3241.Chaput Emmanuel Quelques elements de configuration de la pile IP2020-2021 - Edition ”distanciation” 47 / 47

[28] P.V. Mockapetris.Domain names : Concepts and facilities.Technical Report 882, IETF, November 1983.Obsoleted by RFCs 1034, 1035, updated by RFC 973.

[29] P.V. Mockapetris.Domain names : Implementation specification.Technical Report 883, IETF, November 1983.Obsoleted by RFCs 1034, 1035, updated by RFC 973.

[30] P.V. Mockapetris.Domain names - concepts and facilities.Technical Report 1034, November 1987.Updated by RFCs 1101, 1183, 1348, 1876, 1982, 2065, 2181,2308, 2535, 4033, 4034, 4035, 4343, 4035, 4592, 5936.

[31] P.V. Mockapetris.Domain names - implementation and specification.Technical Report 1035, November 1987.


Notes :

Notes :

Notes :

Updated by RFCs 1101, 1183, 1348, 1876, 1982, 1995, 1996,2065, 2136, 2181, 2137, 2308, 2535, 2673, 2845, 3425, 3658,4033, 4034, 4035, 4343, 5936, 5966, 6604.

[32] P.V. Mockapetris.DNS encoding of network names and other types.Technical Report 1101, April 1989.

[33] S. Thomson, C. Huitema, V. Ksinant, and M. Souissi.DNS Extensions to Support IP Version 6.RFC 3596 (Draft Standard), October 2003.

[34] S. Thomson, T. Narten, and T. Jinmei.IPv6 Stateless Address Autoconfiguration.RFC 4862, IETF, September 2007.


Notes :

Notes :

Notes :

Quelques éléments de configuration de la pile...

Documents

Transcript of Quelques éléments de configuration de la pile...