Fichier imprimable PDF
HOWTO du routage avancé et du contrôle de trafic sous
Linux
Bert Hubert
Thomas Graf (Auteur d'une section)
tgraf%suug.ch
Gregory Maxwell (Auteur d'une section)
Remco van Mook (Auteur d'une section)
Martijn van Oosterhout (Auteur d'une section)
klept[email protected]
Paul B. Schroeder (Auteur d'une section)
Jasper Spaans (Auteur d'une section)
Pedro Larroy (Auteur d'une section)
piotr%member.fsf.org
Laurent Foucher
foucher(at)gch.iut-tlse3.fr
Philippe Latu
philippe.latu(at)inetdoc.net
Guillaume Allègre
Guillaume.Allegre(at)imag.fr
Alexey Kuznetsov
[email protected].ac.ru
Andi Kleen
Esteve Camps
Pedro Larroy Tovar
piotr%member.fsf.org
Junk Alins
Joe Van Andel
Michael Babcock
mbabc[email protected]
Christopher Barton
cpbarton%uiuc.edu
Peter Bieringer
pb:bieringer.de
Ard van Breemen
ard%kwaak.net
Ron Brinker
service%emcis.com
?ukasz Bromirski
l.bromirski@mr0vka.eu.org
Lennert Buytenhek
Esteve Camps
Ricardo Javier Cardenes
ricardo%conysis.com
Stef Coene
stef.c[email protected]
Don Cohen
don-lartc%isis.cs3-inc.com
Jonathan Corbet
lwn%lwn.net
Gerry Creager
gerry%cs.tamu.edu
Marco Davids
Jonathan Day
Martin Devera
Hannes Ebner
he%fli4l.de
Derek Fawcus
dfawcus%cisco.com
David Fries
dfries%mail.win.org
Stephan Gehring
Jacek Glinkowski
jglinkow%hns.com
Andrea Glorioso
sama%perchetopi.org
Thomas Graaf
tgraf%suug.ch
Sandy Harris
sandy%storm.ca
Nadeem Hasan
Erik Hensema
erik%hensema.xs4all.nl
Vik Heyndrickx
Spauldo Da Hippie
spauldo%usa.net
Koos van den Hout
koos@kzdoos.xs4all.nl
Ayotunde Itayemi
aitayemi:metrong.com
Dave Johnson
dj@www.uk.linux.org
Jose Luis Domingo Lopez
jdomingo@24x7linux.com
Robert Lowe
robert.h.lowe@lawrence.edu
William Stearns
wst[email protected]om
Chris Wilson
Lazar Yanackiev
Lyanackiev%gmx.net
Pedro Larroy
piotr%member.fsf.org
https://www.inetdoc.net
Une approche pratique d'iproute2, de la mise en forme du trafic et un peu de netfilter.
Table des matières
1. Dédicace ................................................................................................................................ 1
2. Introduction ........................................................................................................................... 2
2.1. Conditions de distribution et Mise en garde ................................................................... 2
2.2. Connaissances préalables .............................................................................................. 2
2.3. Ce que Linux peut faire pour vous ................................................................................. 2
2.4. Notes diverses .............................................................................................................. 3
2.5. Accès, CVS et propositions de mises à jour ..................................................................... 3
2.6. Liste de diffusion .......................................................................................................... 4
2.7. Plan du document ........................................................................................................ 4
3. Introduction à iproute2 ........................................................................................................... 5
3.1. Pourquoi iproute2 ? ....................................................................................................... 5
3.2. Un tour d'horizon d'iproute2 ......................................................................................... 5
3.3. Prérequis ...................................................................................................................... 5
3.4. Explorer votre configuration courante ........................................................................... 5
3.4.1. ip nous montre nos liens .................................................................................... 6
3.4.2. ip nous montre nos adresses IP ........................................................................... 6
3.4.3. ip nous montre nos routes .................................................................................. 7
3.5. ARP .............................................................................................................................. 7
4. Règles - bases de données des politiques de routage ................................................................. 9
4.1. Politique de routage simple par l'adresse source ............................................................. 9
4.2. Routage avec plusieurs accès Internet/fournisseurs d'accès ........................................... 10
4.2.1. Accès séparé ..................................................................................................... 10
4.2.2. Balance de charge ............................................................................................. 11
5. GRE et autres tunnels ............................................................................................................ 12
5.1. Quelques remarques générales à propos des tunnels : ................................................... 12
5.2. IP dans un tunnel IP ................................................................................................... 12
5.3. Le tunnel GRE ............................................................................................................ 13
5.3.1. Le tunnel IPv4 .................................................................................................. 13
5.3.2. Le tunnel IPv6 .................................................................................................. 14
5.4. Tunnels dans l'espace utilisateur .................................................................................. 14
6. Tunnel IPv6 avec Cisco et/ou une dorsale IPv6 (6bone) ........................................................... 15
6.1. Tunnel IPv6 ................................................................................................................ 15
7. IPSEC: IP sécurisé à travers Internet ...................................................................................... 18
7.1. Introduction sur la gestion manuelle des clés ............................................................... 18
7.2. Gestion automatique des clés ...................................................................................... 21
7.2.1. Théorie ............................................................................................................. 21
7.2.2. Exemple ............................................................................................................ 21
7.2.2.1. Problèmes et défauts connus ................................................................... 24
7.2.3. Gestion automatique des clés en utilisant les certificats X.509 .............................. 24
7.2.3.1. Construire un certificat X.509 pour votre hôte ........................................... 24
7.2.3.2. Configuration et lancement ..................................................................... 24
7.2.3.3. Comment configurer des tunnels sécurisés ............................................... 26
7.3. tunnels IPSEC ............................................................................................................. 26
7.4. Autre logiciel IPSEC .................................................................................................... 27
7.5. Interopérabilité d'IPSEC avec d'autres systèmes ............................................................ 27
7.5.1. Windows ........................................................................................................... 27
7.5.2. Check Point VPN-1 NG ...................................................................................... 27
8. Routage multidistribution (multicast) ..................................................................................... 28
9. Gestionnaires de mise en file d'attente pour l'administration de la bande passante .................... 29
9.1. Explication sur les files d'attente et la gestion de la mise en file d'attente ........................ 29
9.2. Gestionnaires de mise en file d'attente simples, sans classes .......................................... 29
9.2.1. pfifo_fast ........................................................................................................... 30
9.2.1.1. Paramètres & usage ................................................................................. 30
9.2.2. Filtre à seau de jetons (Token Bucket Filter) ....................................................... 31
9.2.2.1. Paramètres & usage ................................................................................. 32
9.2.2.2. Configuration simple ............................................................................... 33
HOWTO du routage avancé et du contrôle de trafic sous Linux iv
HOWTO du routage avancé et du contrôle de trafic sous Linux
9.2.3. Mise en file d'attente stochastiquement équitable (Stochastic Fairness
Queueing) .................................................................................................................. 33
9.2.3.1. Paramètres & usage ................................................................................. 34
9.2.3.2. Configuration simple ............................................................................... 34
9.3. Conseils pour le choix de la file d'attente ...................................................................... 34
9.4. terminologie ............................................................................................................... 35
9.5. Gestionnaires de file d'attente basés sur les classes ....................................................... 37
9.5.1. Flux à l'intérieur des gestionnaires basés sur des classes & à l'intérieur des
classes ....................................................................................................................... 37
9.5.2. La famille des gestionnaires de mise en file d'attente : racines, descripteurs,
descendances et parents ............................................................................................. 37
9.5.2.1. Comment les filtres sont utilisés pour classifier le trafic ............................ 37
9.5.2.2. Comment les paquets sont retirés de la file d'attente et envoyés vers le
matériel .............................................................................................................. 38
9.5.3. Le gestionnaire de mise en file d'attente PRIO .................................................... 38
9.5.3.1. Paramètres PRIO & usage ........................................................................ 39
9.5.3.2. Configuration simple ............................................................................... 39
9.5.4. Le célèbre gestionnaire de mise en file d'attente CBQ .......................................... 40
9.5.4.1. Mise en forme CBQ en détail ................................................................... 41
9.5.4.2. Le comportement CBQ classful ................................................................ 42
9.5.4.3. Paramètres CBQ qui déterminent le partage & le prêt du lien ..................... 42
9.5.4.4. Configuration simple ............................................................................... 43
9.5.4.5. D'autres paramètres CBQ : split & defmap ................................................. 44
9.5.5. Seau de jetons à contrôle hiérarchique (Hierarchical Token Bucket) ..................... 45
9.5.5.1. Configuration simple ............................................................................... 45
9.6. Classifier des paquets avec des filtres ........................................................................... 46
9.6.1. Quelques exemples simples de filtrage ............................................................... 46
9.6.2. Toutes les commandes de filtres dont vous aurez normalement besoin ................. 47
9.7. Le périphérique de file d'attente intermédiaire (The Intermediate queueing device
(IMQ)) ............................................................................................................................... 48
9.7.1. Configuration simple ......................................................................................... 48
10. Équilibrage de charge sur plusieurs interfaces ...................................................................... 50
10.1. Avertissement ........................................................................................................... 50
11. Netfilter et iproute - marquage de paquets ............................................................................ 52
12. Filtres avancés pour la (re-)classification des paquets ............................................................ 53
12.1. Le classificateur u32 .................................................................................................. 53
12.1.1. Le sélecteur U32 .............................................................................................. 54
12.1.2. Sélecteurs généraux ......................................................................................... 54
12.1.3. Les sélecteurs spécifiques ................................................................................ 55
12.2. Le classificateur route ............................................................................................... 56
12.3. Les filtres de réglementation (Policing filters) ............................................................. 56
12.3.1. Techniques de réglementation ......................................................................... 57
12.3.1.1. Avec l'estimateur du noyau ..................................................................... 57
12.3.1.2. Avec le Token Bucket Filter .................................................................... 57
12.3.2. Actions de dépassement de limite (Overlimit actions) ........................................ 57
12.3.3. Exemples ........................................................................................................ 58
12.4. Filtres hachés pour un filtrage massif très rapide ........................................................ 58
12.5. Filtrer le trafic IPv6 ................................................................................................... 59
12.5.1. Comment se fait-il que ces filtres tc IPv6 ne fonctionnent pas ? .......................... 59
12.5.2. Marquer les paquets IPv6 en utilisant ip6tables ................................................. 59
12.5.3. Utiliser le sélecteur u32 pour repérer le paquet IPv6 .......................................... 59
13. Paramètres réseau du noyau ................................................................................................ 61
13.1. Filtrage de Chemin Inverse (Reverse Path Filtering) .................................................... 61
13.2. Configurations obscures ............................................................................................ 61
13.2.1. ipv4 générique ................................................................................................ 61
13.2.2. Configuration des périphériques ...................................................................... 65
13.2.3. Politique de voisinage ...................................................................................... 66
13.2.4. Configuration du routage ................................................................................. 67
HOWTO du routage avancé et du contrôle de trafic sous Linux v
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
1
/
113
100%
