Ignorer les liens de navigation | |
Quitter l'aperu | |
Connexion de systèmes à l'aide d'une configuration réseau fixe dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Présentation de la configuration réseau fixe
2. Configuration d'un système pour le réseau
3. Utilisation des liaisons de données
4. Utilisation des interfaces IP
Suppression de la configuration d'une interface IP (ipadm delete-ip)
Désactivation de la configuration d'une interface IP (ipadm disable-ip)
Suppression de l'adresse d'une interface (ipadm delete-addr )
Définition des propriétés d'interfaces IP
Activation de la transmission de paquets
Définition des propriétés des adresses IP
Définition des propriétés des protocoles TCP/IP
Activation globale du transfert de paquets
Définition d'un port privilégié
Implémentation du routage symétrique sur des hôtes multiréseau
Contrôle d'interfaces et d'adresses IP
Obtention d'informations générales sur les interfaces IP
Obtention d'informations sur les interfaces IP
Obtention des informations sur les propriétés des interfaces IP
Obtention d'informations sur les adresses IP
Obtention d'informations sur les propriétés des adresses IP
A. Tableau de comparaison : commandes ifconfig et ipadm
Exécutez la commande ipadm pour configurer les propriétés des protocoles, également désignés paramètres réglables. La commande ipadm remplace la commande ndd, qui était couramment utilisée dans les versions précédentes pour définir les paramètres réglables.
Les propriétés TCP/IP peuvent être définies interface par interface ou globales. Les propriétés peuvent être appliquées à une interface spécifique, ou au niveau global à toutes les interfaces de la zone. Les propriétés globales peuvent avoir des valeurs différentes dans plusieurs zones non globales. Pour obtenir la liste des propriétés de protocole prises en charge, reportez-vous à la page de manuel ipadm(1M).
En règle générale, les paramètres par défaut du protocole Internet TCP/IP s'avèrent suffisants pour que le réseau fonctionne. Toutefois, si les valeurs par défaut ne sont pas suffisantes pour votre topologie de réseau, vous pouvez personnaliser ces propriétés selon vos besoins.
Trois sous-commandes ipadm servent à définir les propriétés d'interface TCP/IP :
La commande ipadm show-prop -p property protocol affiche les propriétés d'un protocole et leurs valeurs actuelles. Si vous n'utilisez pas l'option -p property, toutes les propriétés du protocole sont répertoriées. Si vous ne spécifiez pas de protocole, toutes les propriétés de toutes les liaisons de données s'affichent.
La sous-commande ipadm set-prop -p property =value protocol affecte une valeur à la propriété de l'interface IP.
La sous-commande ipadm reset-prop -p property protocol permet de rétablir les valeurs par défaut de la propriété de protocole spécifique.
Remarque - Si une propriété peut recevoir plusieurs valeurs, affectez plusieurs valeurs à la propriété avec le qualificatif += comme suit :
ipadm set-prop -p property+=value1 [value2 value3 ...].
Pour supprimer une valeur d'un ensemble de valeurs pour une propriété, utilisez le qualificatif -= comme suit :
ipadm set-prop -p property-=value2
Activation de la transmission de paquets shows how to enable packet forwarding on the interface. La définition du transfert de paquets sur la propriété d'interface IP vous permet d'implémenter cette fonction de manière sélective. Vous pouvez choisir d'activer cette propriété seulement sur certaines interfaces du système.
Si vous souhaitez activer la transmission de paquets dans l'ensemble du système quel que soit le nombre d'interfaces IP, utilisez la propriété de protocole : dans les protocoles, le nom de la propriété est le même que dans les interfaces IP, c'est-à-dire forwarding. Vous devez exécuter la commande séparément pour activer la transmission de paquets en IPv4 et IPv6.
L'exemple suivant montre comment activer la transmission de paquets pour l'ensemble du trafic IPv4 et IPv6 sur le système :
# ipadm show-prop -p forwarding ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 forwarding rw off -- off on,off ipv6 forwarding rw off -- off on,off # # ipadm set-prop -p forwarding=on ipv4 # ipadm set-prop -p forwarding=on ipv6 # # ipadm show-prop ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 forwarding rw on on off on,off ipv4 ttl rw 255 -- 255 1-255 ipv6 forwarding rw on on off on,off ipv6 hoplimit rw 255 -- 255 1-255#
Remarque - La propriété forwarding de l'une des interfaces IP ou des protocoles n'est pas exclusive. Vous pouvez définir la propriété pour l'interface et le protocole en même temps. Par exemple, vous pouvez activer le transfert de paquets globalement sur le protocole, puis personnaliser le transfert de paquets pour chaque interface IP du système. Par conséquent, même s'il est activé globalement, le transfert de paquets peut rester sélectif pour le système.
Dans les protocoles de transport tels que TCP, UDP et SCTP, les ports 1–1023 sont des ports privilégiés par défaut auxquels seuls les processus qui s'exécutent avec des autorisations root peuvent se lier. En utilisant la commande ipadm, vous pouvez réserver un port au-delà de cette plage par défaut afin qu'il devienne un port privilégié. Ainsi, seuls les processus root peuvent être liés à ce port. Pour configurer un port privilégié, vous allez personnaliser les propriétés de protocole de transport suivantes :
smallest_nonpriv_port - propriété dont la valeur indique la plage des numéros de port avec lesquels les utilisateurs standard peuvent créer des liaisons. Si le port que vous avez choisi se trouve dans cette plage, vous pouvez le définir comme port privilégié. Exécutez la commande ipadm show-prop pour afficher les valeurs de la propriété.
extra_priv_ports - propriété qui spécifie les ports privilégiés. Exécutez la sous-commande ipadm set-prop pour spécifier les ports dont vous souhaitez restreindre l'accès. Cette propriété peut se voir affecter plusieurs valeurs.
A titre d'exemple, supposons que vous souhaitez définir les ports TCP 3001 et 3050 comme ports privilégiés avec accès réservé uniquement à l'utilisateur root. La propriété smallest_nonpriv_port indique que 1024 est le numéro de port le plus bas des ports non privilégiés. Par conséquent, les ports désignés 3001 et 3050 peuvent devenir des ports privilégiés. Vous pouvez poursuivre en exécutant des commandes du type suivant :
# ipadm show-prop -p smallest_nonpriv_port tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp smallest_nonpriv_port rw 1024 -- 1024 1024-32768 # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,4045 -- 2049,4045 1-65535 # ipadm set-prop -p extra_priv_ports+=3001 tcp # ipadm set-prop -p extra_priv_ports+=3050 tcp # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,4045 3001,3050 2049,4045 1-65535 3001,3050
Pour supprimer l'un des ports, par exemple 4045, de la liste des ports privilégiés, il convient d'exécuter les commandes suivantes :
# ipadm set-prop -p extra_priv_ports-=4045 tcp # ipadm show-prop -p extra_priv_ports tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp extra_priv_ports rw 2049,3001 3001,3050 2049,4045 1-65535 3050
Par défaut, un système disposant de plusieurs interfaces, également appelé hôte multiréseau, achemine son trafic réseau en fonction de la route la plus longue vers la destination du trafic dans la table de routage. Si plusieurs routes de longueur égale vers la destination existent, Oracle Solaris applique les algorithmes de multipathing à coût égal (ECMP) pour répartir le trafic sur ces routes.
Répartir le trafic de cette manière n'est pas toujours idéal. Un paquet IP peut être envoyé par le biais d'une interface sur l'hôte multiréseau qui ne se trouve pas sur le même sous-réseau que l'adresse IP source dans le paquet. De plus, si le paquet sortant est une réponse à une certaine demande entrante, par exemple une requête d'écho ICMP, la requête et la réponse peuvent ne pas traverser la même interface. Une telle configuration du routage du trafic est appelée routage asymétrique. Si votre fournisseur d'accès Internet implémente un filtrage d'entrée tel que décrit dans la norme RFC 3704 (http://rfc-editor.org/rfc/bcp/bcp84.txt), une configuration de routage asymétrique peut entraîner la suppression d'un paquet sortant par le fournisseur.
La norme RFC 3704 vise à limiter les attaques par déni de service via Internet. Pour s'y conformer, le réseau doit être configuré pour un routage symétrique. Dans Oracle Solaris, la propriété hostmodel IP permet de répondre à cette exigence. Cette propriété contrôle le comportement des paquets IP reçus ou transmis via un hôte multiréseau.
La propriété hostmodel peut avoir l'une des trois valeurs possibles :
Correspond au modèle de système final fort, tel que défini dans la norme RFC 1122. Ce paramètre implémente le routage symétrique.
Correspond au modèle de système final faible tel que défini dans la norme RFC 1122. Avec cette valeur, un hôte multiréseau utilise le routage asymétrique.
Configure le routage de paquets en utilisant des routes préférées. Si plusieurs routes vers la destination existent dans la table de routage, les routes préférées sont celles qui utilisent les interfaces sur lesquelles l'adresse IP source d'un paquet sortant est configurée. Si de telles routes n'existent pas, les paquets sortants utiliseront la route correspondante la plus longue vers la destination IP du paquet.
L'exemple suivant montre comment implémenter le routage symétrique de paquets IP sur un hôte multiréseau.
# ipadm set-prop -p hostmodel=strong ip # ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong -- weak strong, src-priority, weak ipv4 hostmodel rw strong -- weak strong, src-priority, weak
La congestion du réseau se traduit généralement par des dépassements du tampon du routeur, lorsque les nœuds envoient plus de paquets que le réseau ne peut en gérer. Différents algorithmes empêchent une congestion du trafic à travers la mise en place de contrôles sur les systèmes d'envoi. Ces algorithmes sont pris en charge dans Oracle Solaris et peuvent être ajoutés facilement ou branchés directement sur le système d'exploitation.
Le tableau suivant répertorie et décrit les algorithmes pris en charge.
|
Pour activer le contrôle de congestion, les propriétés de contrôle TCP suivantes doivent être définies. Bien que ces propriétés concernent le trafic TCP, le mécanisme de contrôle activé par ces propriétés s'applique également au trafic SCTP.
cong_enabled – contient une liste d'algorithmes, séparés par des virgules, actuellement opérationnels dans le système. Vous pouvez ajouter ou supprimer des algorithmes pour n'utiliser que ceux qui vous intéressent. Cette propriété peut avoir plusieurs valeurs. Vous devez donc utiliser le qualificatif += ou -=, selon le changement que vous souhaitez appliquer.
cong_default – algorithme utilisé par défaut lorsqu'aucun algorithme n'est spécifié explicitement dans les options de socket des applications. Actuellement la valeur de la propriété cong_default s'applique aux zones globales et non globales.
Pour ajouter un algorithme de contrôle de congestion au protocole, exécutez la commande suivante :
# ipadm set-prop -p cong_enabled+=algorithm tcp
Pour supprimer un algorithme, exécutez la commande suivante :
# ipadm set-prop -p cong_enabled-=algorithm tcp
Pour remplacer l'algorithme par défaut, exécutez la commande suivante :
# ipadm set-prop -p cong_default=algorithm tcp
Remarque - L'ajout ou la suppression d'algorithmes n'est soumise à aucune règle de séquence. Vous pouvez supprimer un algorithme avant d'en ajouter d'autres à une propriété. Cependant, vous devez toujours définir un algorithme pour la propriété cong_default.
L'exemple suivant donne les étapes à suivre pour implémenter le contrôle de congestion. Dans l'exemple, l'algorithme par défaut du protocole TCP newreno est remplacé par cubic. Ensuite, l'algorithme vegas est retiré de la liste des algorithmes activés.
# ipadm show-prop -p cong_default,cong_enabled tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp cong_default rw newreno -- newreno - tcp cong_enabled rw newreno,cubic, -- newreno newreno,cubic, highspeed, highspeed,vegas vegas # ipadm set-prop -p cong_enabled-=vegas tcp # ipadm set-prop -p cong_default=cubic tcp # ipadm show-prop -p cong_default,confg_enabled tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp cong_default rw cubic -- newreno - tcp cong_enabled rw newreno,cubic, -- newreno newreno,cubic, highspeed highspeed,vegas
La taille du tampon de réception TCP est défini en utilisant la propriété TCP recv_buf qui est de 128 Ko par défaut. Or les applications n'utilisent pas toutes la même quantité de bande passante. Par conséquent, le temps de latence de connexion peut exiger un changement de la taille par défaut. Par exemple, l'utilisation de la fonction Secure Shell de Oracle Solaris pèse excessivement sur la bande passante en raison des processus de somme de contrôle et de chiffrement appliqués au flux de données. Il peut donc être nécessaire d'augmenter la taille de la mémoire tampon. De même, dans le cas d'applications qui effectuent des transferts en bloc, il convient d'ajuster la taille de la mémoire tampon pour assurer une utilisation plus efficace de la bande passante.
Vous pouvez calculer la taille de tampon de réception appropriée en estimant le produit BDP (Bandwidth Delay Product) comme suit :
BDP = available_bandwidth * connection-latency
Exécutez la commande ping -s host pour obtenir la valeur de latence de la connexion. Faites appel aux outils uperf et iperf pour estimer l'utilisation de la bande passante.
La taille du tampon de réception appropriée équivaut plus au moins au produit BDP. Notez cependant que l'utilisation de la bande passante dépend également d'un grand nombre de facteurs. Une infrastructure partagée ou le nombre d'applications et d'utilisateurs qui sollicitent simultanément la bande passante sont des éléments sui peuvent faire varier l'estimation.
Pour modifier la valeur de la taille de la mémoire tampon, utilisez la syntaxe suivante :
# ipdadm set-prop -p recv_buf=value tcp
Dans l'exemple suivant, la taille de la mémoire tampon est définie sur 164 Ko.
# ipadm show-prop -p recv_buf tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp recv_buf rw 128000 -- 128000 2048-1048576 # ipadm set-prop -p recv_buf=164000 tcp # ipadm show-prop -p recv_buf tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp recv_buf rw 164000 -- 164000 2048-1048576
Il n'existe pas de valeur conseillée car elle varie selon la situation. Prenons les exemples suivants illustrant différentes valeurs de BDP pour des réseaux aux caractéristiques différentes :
BDP = 128 MBps * 0.001 s = 128 kB
BDP = 128 MBps * 0.1 s = 12.8 MB
BDP = 2.6 MBps * 0.175 = 470 kB
Si vous n'êtes pas en mesurer de déterminer le BDP, basez-vous sur les indications suivantes :
Pour les transferts en bloc sur un réseau LAN, la valeur par défaut de la taille du tampon, 128 Ko, suffit.
Pour la plupart des déploiements WAN, la taille du tampon de réception doit être autour de 2 Mo.
Attention - L'augmentation de la taille de réception TCP accentue l'encombrement mémoire de nombreuses applications réseau. |