HOWTO du routage avancé et du contrôle de trafic sous Linux
HOWTO du routage avancé et du contrôle de trafic
sous Linux
Bert Hubert
Netherlabs BV
Thomas Graf (Auteur d'une section)
<tgraf%suug.ch>
Gregory Maxwell (Auteur d'une section)
Remco van Mook (Auteur d'une section)
Martijn van Oosterhout (Auteur d'une section)
Paul B. Schroeder (Auteur d'une section)
Jasper Spaans (Auteur d'une section)
Pedro Larroy (Auteur d'une section)
<piotr%member.fsf.org>
Laurent Foucher
Traducteur
Philippe Latu
Traducteur/Relecteur
HOWTO du routage avancé et du contrôle de trafic sous Linux
HOWTO du routage avancé et du contrôle de trafic sous Linux 1
Guillaume Allègre
Relecteur
Une approche pratique d'iproute2, de la mise en forme du trafic et un peu de netfilter.
Table des matières
1. Dédicace
2. Introduction
Conditions de distribution et Mise en garde
Connaissances préalables
Ce que Linux peut faire pour vous
Notes diverses
Accès, CVS et propositions de mises à jour
Liste de diffusion
Plan du document
3. Introduction à iproute2
Pourquoi iproute2 ?
Un tour d'horizon d'iproute2
Prérequis
Explorer votre configuration courante
ip nous montre nos liens
ip nous montre nos adresses IP
ip nous montre nos routes
ARP
4. Règles - bases de données des politiques de routage
Politique de routage simple par l'adresse source
Routage avec plusieurs accès Internet/fournisseurs d'accès
Accès séparé
Balance de charge
5. GRE et autres tunnels
Quelques remarques générales à propos des tunnels :
IP dans un tunnel IP
Le tunnel GRE
Le tunnel IPv4
Le tunnel IPv6
Tunnels dans l'espace utilisateur
6. Tunnel IPv6 avec Cisco et/ou une dorsale IPv6 (6bone)
Tunnel IPv6
7. IPSEC: IP sécurisé à travers Internet
Introduction sur la gestion manuelle des clés
Gestion automatique des clés
Théorie
Exemple
Gestion automatique des clés en utilisant les certificats X.509
tunnels IPSEC
Autre logiciel IPSEC
HOWTO du routage avancé et du contrôle de trafic sous Linux
2 Laurent Foucher
Interopérabilité d'IPSEC avec d'autres systèmes
Windows
Check Point VPN-1 NG
8. Routage multidistribution (multicast)
9. Gestionnaires de mise en file d'attente pour l'administration de la bande passante
Explication sur les files d'attente et la gestion de la mise en file d'attente
Gestionnaires de mise en file d'attente simples, sans classes
pfifo_fast
Filtre à seau de jetons (Token Bucket Filter)
Mise en file d'attente stochastiquement équitable (Stochastic Fairness Queueing)
Conseils pour le choix de la file d'attente
terminologie
Gestionnaires de file d'attente basés sur les classes
Flux à l'intérieur des gestionnaires basés sur des classes & à l'intérieur des classes
La famille des gestionnaires de mise en file d'attente : racines, descripteurs, descendances et
parents
Le gestionnaire de mise en file d'attente PRIO
Le célèbre gestionnaire de mise en file d'attente CBQ
Seau de jetons à contrôle hiérarchique (Hierarchical Token Bucket)
Classifier des paquets avec des filtres
Quelques exemples simples de filtrage
Toutes les commandes de filtres dont vous aurez normalement besoin
Le périphérique de file d'attente intermédiaire (The Intermediate queueing device (IMQ))
Configuration simple
10. Équilibrage de charge sur plusieurs interfaces
Avertissement
11. Netfilter et iproute - marquage de paquets
12. Filtres avancés pour la (re-)classification des paquets
Le classificateur u32
Le sélecteur U32
Sélecteurs généraux
Les sélecteurs spécifiques
Le classificateur route
Les filtres de réglementation (Policing filters)
Techniques de réglementation
Actions de dépassement de limite (Overlimit actions)
Exemples
Filtres hachés pour un filtrage massif très rapide
Filtrer le trafic IPv6
Comment se fait-il que ces filtres tc IPv6 ne fonctionnent pas ?
Marquer les paquets IPv6 en utilisant ip6tables
Utiliser le sélecteur u32 pour repérer le paquet IPv6
13. Paramètres réseau du noyau
Filtrage de Chemin Inverse (Reverse Path Filtering)
Configurations obscures
ipv4 générique
Configuration des périphériques
Politique de voisinage
Configuration du routage
14. Gestionnaires de mise en file d'attente avancés & moins communs
bfifo/pfifo
Paramètres & usage
Algorithme Clark-Shenker-Zhang (CSZ)
DSMARK
HOWTO du routage avancé et du contrôle de trafic sous Linux
Laurent Foucher 3
Introduction
A quoi DSMARK est-il relié ?
Guide des services différenciés
Travailler avec DSMARK
Comment SCH_DSMARK travaille.
Le filtre TC_INDEX
Gestionnaire de mise en file d'attente d'entrée (Ingress qdisc)
Paramètres & usage
Random Early Detection (RED)
Generic Random Early Detection
Emulation VC/ATM
Weighted Round Robin (WRR)
15. Recettes de cuisine
Faire tourner plusieurs sites avec différentes SLA (autorisations)
Protéger votre machine des inondations SYN
Limiter le débit ICMP pour empêcher les dénis de service
Donner la priorité au trafic interactif
Cache web transparent utilisant netfilter, iproute2, ipchains et squid
Schéma du trafic après l'implémentation
Circonvenir aux problèmes de la découverte du MTU de chemin en configurant un MTU par routes
Solution
Circonvenir aux problèmes de la découverte du MTU de chemin en imposant le MSS (pour les
utilisateurs de l'ADSL, du câble, de PPPoE & PPtP)
Le Conditionneur de Trafic Ultime : Faible temps de latence, Téléchargement vers l'amont et l'aval
rapide Pourquoi cela ne marche t-il pas bien par défaut ?
Le script (CBQ)
Le script (HTB)
Limitation du débit pour un hôte ou un masque de sous-réseau
Exemple d'une solution de translation d'adresse avec de la QoS
Commençons l'optimisation de cette rare bande passante
Classification des paquets
Améliorer notre configuration
Rendre tout ceci actif au démarrage
16. Construire des ponts et des pseudo ponts avec du Proxy ARP
Etat des ponts et iptables
Pont et mise en forme
Pseudo-pont avec du Proxy-ARP
ARP & Proxy-ARP
Implémentez-le
17. Routage Dynamique - OSPF et BGP
Configurer OSPF avec Zebra
Prérequis
Configurer Zebra
Exécuter Zebra
Configurer BGP4 avec Zebra
schéma réseau (Exemple)
Configuration (Exemple)
Vérification de la configuration
18. Autres possibilités
19. Lectures supplémentaires
20. Remerciements
HOWTO du routage avancé et du contrôle de trafic sous Linux
4 Laurent Foucher
Chapitre 1. Dédicace
Ce document est dédié à beaucoup de gens ; dans ma tentative de tous me les rappeler, je peux en citer
quelques-uns :
Rusty Russell• Alexey N. Kuznetsov• La fine équipe de Google• L'équipe de Casema Internet•
Chapitre 2. Introduction
Bienvenue, cher lecteur.
Ce document a pour but de vous éclairer sur la manière de faire du routage avancé avec Linux 2.2/2.4.
Méconnus par les utilisateurs, les outils standard de ces noyaux permettent de faire des choses spectaculaires.
Les commandes comme route et ifconfig sont des interfaces vraiment pauvres par rapport à la grande
puissance potentielle d'iproute2.
J'espère que ce HOWTO deviendra aussi lisible que ceux de Rusty Russell, très réputé (parmi d'autres choses)
pour son netfilter.
Vous pouvez nous contacter en nous écrivant à l'équipe HOWTO. Cependant, postez, s'il vous plaît, vos
questions sur la liste de diffusion (voir la section correspondante) pour celles qui ne sont pas directement liées
à ce HOWTO.
Avant de vous perdre dans ce HOWTO, si la seule chose que vous souhaitez faire est de la simple mise en
forme de trafic, allez directement au chapitre Autres possibilités>, et lisez ce qui concerne CBQ.init.
Conditions de distribution et Mise en garde
Ce document est distribué dans l'espoir qu'il sera utile et utilisé, mais SANS AUCUNE GARANTIE ; sans
même une garantie implicite de qualité légale et marchande ni aptitude à un quelconque usage.
En un mot, si votre dorsale STM-64 est tombée ou distribue de la pornographie à vos estimés clients, cela
n'est pas de notre faute. Désolé.
Copyright (c) 2001 par Bert Hubert, Gregory Maxwell et Martijn van Oosterhout, Remco van Mook, Paul B.
Schroeder et autres. Ce document ne peut être distribué qu'en respectant les termes et les conditions exposés
dans la Open Publication License, v1.0 ou supérieure (la dernière version est actuellement disponible sur
http://www.opencontent.org/openpub/).
Copiez et distribuez (vendez ou donnez) librement ce document, dans n'importe quel format. Les demandes de
corrections et/ou de commentaires sont à adresser à la personne qui maintient ce document.
Il est aussi demandé que, si vous publiez cet HOWTO sur un support papier, vous en envoyiez des
exemplaires aux auteurs pour une << relecture critique >> :-)
HOWTO du routage avancé et du contrôle de trafic sous Linux
Chapitre 2. Introduction 5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
1
/
118
100%
