Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
26 mai 2017

htmlpdflatexmanmd




teamdctl

teamdctl

Outil de contrôle du service team

   teamdctl permet d'interagir avec une instance teamd. Il utilise par défaut un socket de domaine unix, mais utilise également D-Bus pour s'assurer des opérations dans tous les environnements

OPTIONS

-v, --verbosity Mode verbeux
-o, --oneline Force la sortie sur une seule ligne si possible
-D, --force-dbus Force l'utilisation de D-Bus
-Z address, --force-zmq address Force l'utilisation de l'interface ZMQ ("tcp://ip:port", "ipc://path" etc.)
-U, --force-usock Force l'utilisation du socket UNIX.

Commandes

config dump Dump la config JSON teamd
config dump noports idem sans la section ports
config dump actual Dump la config JSON actuelle
state dump | state dump le document d'état JSON de teamd
state view Affiche l'état de teamd depuis de document d'état JSON
state item get state_item_path Affiche l'élément
state item set state_item_path value Définis un paramètre. N'est valable que pour les éléments suivants:

        setup.debug_level Niveau de débuggage
        ports.PORTIFNAME.runner.aggregator.selected Disponible pour lacp. permet de sélectionner l'aggrégateur.
        runner.active_port pour activebackup, sélectionne le port actif

port add portdev Ajouter un périphérique au team
port remove portdev Supprime un périphérique au team
port present portdev Vérifie la présence d'un périphérique au team
port config update portdev portconfig_string Met à jours la configuration de périphérique du team
port config dume portdev Dump la configuration du périphérique sur stdout
^
26 mai 2017

htmlpdflatexmanmd




teamd

teamd

Service de contrôle de périphérique réseau team

   teamd est un service qui contrôle un périphérique réseau team en temps réel. Il utilise libteam pour communiquer avec l'intance du périphérique team kernel via les sockets Netlinks.

OPTIONS

-d, --daemonise Met en tâche de fond
-k, --kill Termine une instance en cours de fonctionnement
-e, --check Retourne 0 si le service est déjà en cours de fonctionnement
-f filename, --config-file filename Fichier de configuration alternatif
-c text, --config text Utilise le format de configuration JSON. Si présent, -f est ignoré
-p filename, --pid-file filename Fichier PID à utiliser
-g, --debug Mode debug
-r, --force-recreate Force à re-créer le périphérique team s'il existe déjà
-o, --take-over Prend le contrôle du périphérique s'il existe déjà
-N, --no-quit-destroy S'assure que le périphérique team n'est pas supprimé une fois que teamd se termine
-t devicename, --team-dev devicename Utilise le périphérique team spécifié (remplace l'option device dans la configuration)
-n, --no-ports Démarre sans ports, même s'ils sont listés dans la configuration
-D, --dbus-enable Active l'interface D-Bus
-z address, --zmq-enable address Active l'interface ZMQ. Les formats possibles sont 'tcp://ip:port', 'ipc://path' et d'autres.
-U, --usock-enable Active l'interface socket UNIX. Activé par défaut
-u, --usock-disable Désactive l'interface socket UNIX
^
26 mai 2017

htmlpdflatexmanmd




teamd.conf

teamd.conf

Fichier de configuration de teamd

OPTIONS

device Nom du périphériques du nouveau périphérique team
debug_level Niveau de debug. 0 = désactivé
hwadr Adresse MAC souhaitée pour le nouveau périphérique
runner.name Nom du périphérique team:

        broadcast transmets les paquets via tous les ports
        roundrobin mode de transmission round-robin
        activebackup Sélection un port actif
        loadbalance load balancing passif, utilise une fonction de hashage BPF pour déterminer le port pour la transmission des paquets
        lacp. Pour un load balancing actif, les hash sont placés sur les ports disponible en tentant d'atteindre la balance parfaite Implément le protocole 802.3ad.

notify_peers.count Nombre de NA non-solicités et ARP gratuitous envoyés après qu'un port ait été activé/désactivé
notify_peers.interval interval en ms entre les bursts de paquets notify-peer
mcast_rejoin.count Monbre de bursts de requêtes rejoin de groupe multicast envoyés une fois qu'un port soit activé/désactivé
mcast_rejoin.interval Interval en ms entre les bursts des requêtes rejoin de groupe multicast
link_watch.name | ports.PORTIFNAME.link_watch.name Nom du surveillant de lien à utiliser:

        ethtool Utilise libteam pour obtenir les changements d'état de port
        arp_ping Les requêtes ARP sont envoyés via un port. Si une réponse ARP, le lien est considéré up
        nsna_ping Similaire, mais utilise Neighbor Solicitation/Advertisement IPv6.

ports Liste des ports, périphériques réseaux, à utiliser dans le périphérique team
ports.PORTIFNAME.queue_id ID de file auquel ce port doit être mappé

Options spécifiques au mode active-backup

runner.hwaddr_policy Définis la stratégie pour définis les adresses hardware et les périphériques ports du périphérique team durant sa durée de vie:

        same_all Tous les ports ont toujours la même adresse hardware
        by_active le team adopte l'adresse hardware du port actif
        only_active Seul le port actif adopte de l'adresse hardware du team

ports.PORTIFNAME.prio Priorité du port
ports.PORTIFNAME.sticky Flag indiquant sile port est sticky, ce port n'est pas désélectionné si un autre port avec une priorité plus élevée ou de meilleurs paramètres deviennent disponibles

Options spécifiques au mode load-balance

runner.tx_hash Liste des types de fragment qui devraient être utilisés pour le calcul du hash Tx du paquet:

        ethtool Utilise les adresses MAC source et destination
        vlan Utilise l'id de vlan
        ipv4 Utilise les adresses IPv4 source et destination
        ipv6 Utilise les adresses IPv6 source et destination
        ip Utilise les adresse IPv4 et IPv6 source et destination
        l3 idem
        tcp Utilise les ports TCP source et destination
        udp Utilise les ports UDP source et destination
        sctp Utilise les ports SCTP source et destination
        l4 Utilise les ports TCP, UDP, et SCTP source et destination

runner.tx_balancer.name Nom du balancer tx actif. (actuellement seulement 'basic')
runner.tx_balancer.balancing_interval En dixième de seconde. Interval périodique entre le rebalancing

Options spécifiques au mode lacp

runner.active Si active est true, les frames LACPDU sont envoyés avec les liens configurés périodiquement.
runner.fast_rate Spécifie le taux auquel demander au partenaire du lien de retransmettre les paquets LACPDU. À true, les paquets sont envoyés une fois par seconde, sinon, une fois toutes les 30 secondes
runner.tx_hash Idem pour le runner load-balancer
runner.tx_balancer.name idem
runner.tx_balancer.balancing_interval idem
runner.sys_prio priorité système (0-65535)
runner.min_ports Nombre minimum de ports qui doivent être actifs avant d'affirmer le porteur dans l'interface maître. 1-255
runner.agg_select_policy Sélection la stratégie de séléction de l'aggrégateur

        lacp_prio Aggrégrateur avec haute priorité en accord avec le standard LACP
        lacp_prio_stable Idem, mais ne remplace pas l'aggrégateur séléctionné s'il est utilisable
        bandwidth Aggrégateur avec la bande passante la plus élevée
        count Aggrégateur avec le plus grand nombre de ports
        port_config Aggréateur en accord avec les options prio et sticky.

ports.PORTIFNAME.lacp_prio priorité de port en accord avec le standard LACP
ports.PORTIFNAME.lacp_key Clé de port en accord avec le standard LACP

Options du surveillant ethtool

link_watch.delay_up | ports.PORTIFNAME.link_watch.delay_up délay en ms entre le lien devenant up, et la notification au runner
link_watch.delay_down | ports.PORTIFNAME.link_watch.delay_down Délai en ms entre le lien devenant down et la notification au runner

Options du surveillant arp ping

link_watch.interval | ports.PORTIFNAME.link_watch.interval Interval en ms entre les requêtes ARP
link_watch.init_wait | ports.PORTIFNAME.link_watch.init_wait délai en ms entre l'initialisation du surveilant et le premier ARP
link_watch.missed_max | ports.PORTIFNAME.link_watch.missed_max Nombre de réponse ARP non reçu max avant de reporter le lien down
link_watch.source_host | ports.PORTIFNAME.link_watch.source_host hostname source pour l'envoie des requêtes ARP
link_watch.target_host | ports.PORTIFNAME.link_watch.target_host hostname auquel envoyer les requêtes ARP
link_watch.validate_active | ports.PORTIFNAME.link_watch.validate_active Valide les paquets arp dans le ports actifs, sinon, tous les paquets entrants sont considéré comme de bonnes réponses
link_watch.validate_inactive | ports.PORTIFNAME.link_watch.validate_inactive Valide les paquets reçus sur les ports inactif. Sinon, tous les paquets entrants sont considérés comme de bonnes réponses
link_watch.send_always | ports.PORTIFNAME.link_watch.send_always Permet d'envoyer des requêtes arp également sur les ports inactifs

Options du surveillant NS/NA

link_watch.interval | ports.PORTIFNAME.link_watch.interval Interval en ms entre les envoies de paquets NS
link_watch.init_wait | ports.PORTIFNAME.link_watch.init_wait délai en ms entre l'initialisation du surveillant et le premier NS envoyé
link_watch.missed_max | ports.PORTIFNAME.link_watch.missed_max Nombre de NA manqué maximum, avant de reporter le lien down
link_watch.target_host | ports.PORTIFNAME.link_watch.target_host hostname auquel envoyer les paquets NS

Exemples


{
    "device": "team0",
    "runner": {"name": "roundrobin"},
    "ports": {"eth1": {}, "eth2": {}}
}

Configuration très basique
{
    "device": "team0",
    "runner": {"name": "activebackup"},
    "link_watch": {"name": "ethtool"},
    "ports": {
        "eth1": {
            "prio": -10,
            "sticky": true
        },
        "eth2": {
            "prio": 100
        }
    }
}

Cette configuration utilise le runner active-backup avec surveillant ethtool. le port eth2 a la plus haute priorité, mais le flag sticky s'assure que eth1 reste active.
{
    "device": "team0",
    "runner": {"name": "activebackup"},
    "link_watch": {
        "name": "ethtool",
        "delay_up": 2500,
        "delay_down": 1000
    },
    "ports": {
        "eth1": {
            "prio": -10,
            "sticky": true
        },
        "eth2": {
            "prio": 100
        }
    }
}

Similaire au précédent, mais les changements de lien ne sont pas propagés au runner immédiatement
{
    "device": "team0",
    "runner": {"name": "activebackup"},
    "link_watch": {
        "name": "arp_ping",
        "interval": 100,
        "missed_max": 30,
        "target_host": "192.168.23.1"
    },
    "ports": {
        "eth1": {
            "prio": -10,
            "sticky": true
        },
        "eth2": {
            "prio": 100
        }
    }
}

Cette configuration utilise un surveillant ARP
{
"device": "team0",
"runner": {"name": "activebackup"},
"link_watch": [
    {
        "name": "arp_ping",
        "interval": 100,
        "missed_max": 30,
        "target_host": "192.168.23.1"
    },
    {
        "name": "arp_ping",
        "interval": 50,
        "missed_max": 20,
        "target_host": "192.168.24.1"
    }
],
"ports": {
    "eth1": {
        "prio": -10,
        "sticky": true
    },
    "eth2": {
        "prio": 100
        }
    }
}

Similaire, mais 2 surveillant sont utilisés
{
    "device": "team0",
    "runner": {
        "name": "loadbalance",
        "tx_hash": ["eth", "ipv4", "ipv6"]
    },
    "ports": {"eth1": {}, "eth2": {}}
}

Configuration passive hash-based
{
    "device": "team0",
    "runner": {
        "name": "loadbalance",
        "tx_hash": ["eth", "ipv4", "ipv6"],
        "tx_balancer": {
            "name": "basic"
        }
    },
    "ports": {"eth1": {}, "eth2": {}}
}

Configuration active load-balancing
{
    "device": "team0",
    "runner": {
        "name": "lacp",
        "active": true,
        "fast_rate": true,
        "tx_hash": ["eth", "ipv4", "ipv6"]
    },
    "link_watch": {"name": "ethtool"},
    "ports": {"eth1": {}, "eth2": {}}
}
^
26 mai 2017

htmlpdflatexmanmd




teamnl

teamnl

Outil d'interface Netlink

   teamnl est un outil permettant l'interaction avec un périphérique team via l'interface Netlink du pilote team. cet outil sert principalement pour debugger.

OPTIONS

-p ifname, --port-name ifname Sélectionne les options par port
-a index, --array_index index Sélectionne l'option de l'index fournis

Commandes

port Dump les ports du team
option dump les options du team
getoption opt_name Affiche l'option spécifiée
setoption opt_name opt_value Définis l'option spécifiée
monitor opt_style Supervise les changements faits dans les options, ports, et interfaces. Style peut être 'changed' ou 'all'
^
26 mai 2017

htmlpdflatexmanmd




bond2team

bond2team

Convertis une configuration bond en team

   bond2team est un outil pour convertir des options bonding en team. Les fichiers résultant sont sauvés dans un répertoire temporaire en utilisant le sytpe ifcfg par défaut.

OPTIONS

--master ‹interface› Spécifie le nom de l'interface ou du fichier ifcfg à convertir
--rename [interface] Permet de renommer l'interface
--ifcfg Définis la sortie au format ifcfg
--json Définis le format de sortie au style JSON
--bonding_opts 'bonding options' Spécifie les options bonding à convertir au lieu de lire le fichier ifcfg
--port ‹interface› Définis l'interface spécifié comme port team
--configdir ‹dir› Spécifie le répertoire de configuration (défaut: /etc/sysconfig/network-scripts)
--outputdir ‹dir› Définis le répertoire de sortie
--stdout Sort le résultat sur stdout au lieu d'un fichier
--debug Mode debug
--quiet mode silencieux

Exemples

Convertir bond0:
bond2team --master bond0
Convertir bond0, en le renommant en team0
bond2team --master bond0 --rename team0
Convertir les paramètres donnés
bond2team --bonding_opts 'mode=1 miimon=500 primary=eth1 primary_reselect=0' --port eth1 --port eth2 --port eth3 --port eth4
^
25 mai 2017

htmlpdflatexmanmd




jail.conf

jail.conf, fail2ban.conf

Configuration pour le serveur fail2ban

   fail2ban a 4 types de fichier de configuration:

fail2ban.conf Configuration globale de fail2ban
filter.d/*.conf Filtres spécifiant comment détecter les erreurs d'authentification
action.d/*.conf Actions définissant les commandes pour bannir et débannir les adresses IP
jail.conf Les jails définissent les combinaisons de filtre avec les actions

Format des fichiers de configuration

Les fichiers .conf sont distribués par Fail2Ban. Il est recommandé que ces fichiers restent inchangés pour simplifier les mises à jours. Si nécessaire, les personnalisations devraient être fournies dans des fichiers .local. Par exemple, pour activer le jail [ssh-iptables-ipset] spécifié dans jail.conf, créer un fichier jail.local contenant:
jail.local
    [ssh-iptables-ipset]
    
    enabled = true

tail.d et fail2ban.d En plus des fichier .local, pour jail.conf et fail2ban.conf, il y a un répertoire correspondant contenant des fichier .conf additionnels. L'ordre de configuration des jail est:
[ENDSECTION]
[SECTION] name="-" table="listes" imbrication="1"
jail.conf jaid.d/*.conf
jail.local jail.d/*.local

Les fichiers de configuration ont des sections et des paire nom = valeur. Les fichiers de configuration peuvent inclure d'autres fichiers de configuration, qui sont souvent utilisé dans les filtres et actions, en utilisant les directives before et after. En utilisant les mécanismes d'interpolation de chaîne Python, d'autres définitions sont permise et peuvent ensuite être utilisées dans d'autres définitions sous la forme %(name)s:
baduseragents = IE|wget
failregex = %(known/failregex)s

Additionnellement à l'interpolation $(known/parameter)s, qui ne fonctionne pas pour les paramètres init de filtre et action, un tag d'interpolation ‹known/parameter› peut être utilisé. Cela permet d'étendre un paramètre un filtre ou action directement dans le jail sans créer de filtre séparément.
# filter.d/test.conf:
[Init]
test.method = GET
baduseragents = IE|wget
[Definition]
failregex = ^%(__prefix_line)\s+"‹test.method›"\s+test\s+regexp\s+-\s+useragent=(?:‹baduseragents›)

# jail.local:
[test]
# use filter "test", overwrite method to "POST" and extend known bad agents with "badagent":
filter = test[test.method=POST, baduseragents="badagent|‹known/baduseragents›"]

fail2ban.conf

   Ces fichier ont une section, [Definition]. Les éléments sont:

loglevel Niveau de verbosité des logs de sortie: CRITICAL, ERROR, WARNING, NOTICE, INFO, DEBUG. Défaut: ERROR
logtarget Cible des logs: filename, SYSLOG, STDERR ou STDOUT. Défaut: STDERR
socket Fichier socket. Défaut: /var/run/fail2ban/fail2ban.sock. utilisé pour la communication avec les serveur fail2ban
pidfile Fichier pid. Défaut: /var/run/fail2ban/fail2ban.pid
dbfile nom de la base de données. Défaut: /var/lib/fail2ban/fail2bn.sqlite3. Contient les données persistante.
dbpurgeage age de purge de la base, en secondes. Défaut: 86400

jail.conf

   Les options suivantes sont applicables dans les jail. Elles apparaissent dans une section spécifiant le nom du jail ou dans la section [DEFAULT]

filter Nom du filtre - nom d'un fichier dans /etc/fail2ban/filter.d/, sans l'extension
logpath Nom des fichiers de log à surveiller, séparés par des newline.
logencoding Encodage des fichiers de logs. Défaut: auto (utilise la locale système)
banaction Action pour le bannissement (défaut: iptables-multiport).
banaction_allports Idem, mais pour certains jails "allports" signifie "pam-generic" ou "recidive". Défaut: iptables-allports
action Actions dans /etc/fail2ban/action.d, sans l'extension
ignoreip Liste des IP à ne pas bannir. Peut inclure un masque cidr
ignorecommand La commande qui est exécutée pour déterminer si l'IP candidate pour le bannissement ne devrait pas être bannie
bantime Durée du ban
findtime Interval de temps, en secondes, avant l'heure courante où les erreurs comptent comme un ban
maxretry Nombre d'erreur qui se produisent dans findtime pour bannir une IP
backend Backend à utiliser pour détecter les changements dans le logpath. Défaut: auto, qui tente, dans l'ordre, pyinotify, gamin, systemd, polling.
usedns Utilise DNS pour résoudre les noms d'hôte qui apparaîssent dans les logs.
failregex Expression régulière Python à ajouter aux failregex du filtre.
ignoreregex expression régulière, si la ligne de log match, à ne pas considérer.

action.d/*.conf

   Les fichiers action spécifie quelles commande sont exécutées pour bannir et débannir une adresse IP. Les fichiers action ont 2 section, Definition et Init. La section Init définis des paramètres qui peuvent être écrasés pour un jail particulier. Les commandes suivantes peuvent être présents dans la section Definition

actionstart Commande à exécuter quand le jail démarre
actionstop Commande à exécuter quand le jail s'arrête
actioncheck Commande à exécuter avant tout autre action
actionban Commande à exécuter pour bannir l'adresse IP
actionunban Commande à exécuter pour débannir l'adresse IP

   La section Init permet de définir des actions spécifiques à l'action. Les éléments spéciaux suivants peuvent être définis dans la section Init:

timeout Délai max en seconde qu'une commande peut mettre à s'exécuter, avant d'être terminée

   Les commandes spécifiées dans la section Definition sont exécutées via un shell système donc les redirections shell et contrôle de process sont autorisés. Les commandes doivent retourner 0, sinon une erreur est loggée. De plus, si actioncheck qui avec un status non-0, il est considéré que le status du firewall a changé et fail2ban doit se réinitialiser. Les tags sont entre ‹›. Tous les éléments de la section Init sont des tags qui sont remplacés dans les commandes action. Plus d'une commande est autorisée. Chaque commande doit être sur une ligne séparée et indenté avec des espaces blanc.

Tags d'action

   Les tags suivants sont substitués dans l'actionban, actionunban, et actioncheck.

ip IPv6 à bannir
failures Nombre de fois que l'erreur se produit dans le fichier de log
ipfailures idem, mais le total de toutes les erreurs pour cette IP dans tous les jails, depuis la base persistante
ipjailfailures idem, mais le total basé sur les erreus de lIP pour le jail courant
time temp (epoch) du ban
matches Chaîne concaténées des lignes du fichier de log des matchs qui génèrent le ban. De nombreux caractères interprétés par le shell sont échappés pour éviter les injection
ipmatches idem, mais inclus toutes les lignes pour l'IP qui sont contenus avec la base persistante
ipjailmatches idem, mais les matches sont limités pour l'ip et pour le jail courant

Fichiers d'action Python

   Les actions basées sur python peuvent également être utilisés, où le nom de fichier doit être [actionname].pv. Le fichier python doit contenir une variable Action, qui pointe vers une classe python. Cette classe doit implémenter une interface minimum tel que décris dans fail2ban.server.action.ActionBase.

filter.d/*.conf

   Ces fichiers sont utilisés pour identifier les tentatives d'authentification échouées dans les fichiers de log et pour extraire l'adresse IP de l'hôte. La principale section est la section Definition. Il y a 2 définitions de filtre définie dans cette section:

failregex Expression régulière pour matcher les tentatives échouées.
ignoreregex Expression régulière pour identifier les entrées de log qui doivent être ignorées.

   Similairement aux actions, les filtres on une section Init qui peut écraser jail.conf/jail.local. Les éléments qui peuvent s'y trouver sont:

maxlines Nombre maximum de lignes à mettre en tampon pour matcher les expressions régulières multilignes
datepattern Spécifie une motif/regex de date personnalisé pour le détecteur de date
journalmatch Spécifie le journal systemd utilisé pour filtrer les entrées du journal.

   Les filtres peuvent également avoire une section INCLUDES, utilisée pour lire d'autres configurations:

before Indique que ce fichier est lu avant la section Definition
after Indisque que ce fichier est lu après la section Definition
^
25 mai 2017

htmlpdflatexmanmd




fail2ban-regex

fail2ban-regex

Tester les options failregex de fail2ban

OPTIONS

la syntaxe est fail2ban-regex

OPTIONS

-d, --datepattern=DATEPATTERN Définis un motif utilisé pour matcher les dates/heures
-e, --encoding=ENCODING Encodage de fichier. Défaut: locale système
-r, --raw pas de résolution DNS
-L, --maxlines=MAXLINES Nombre de ligne max pour les expressions régulières multilignes
-m, --journalmatch=JOURNALMATCH matche style journalctl. "systemd-journal" uniquement
-l, --log-level=LOG-LEVEL Niveau de log pour le logger fail2ban à utiliser
-v, --verbose mode verbeux
-D, --debuggex Produit des urls debuggex.com
--print-no-missed N'affiche pas de ligne manquante
--print-no-ignored N'affiche pas les lignes ignorées
--print-all-matched Affiche toutes les lignes qui matchent
--print-all-missed Affiche toutes les lignes manquantes
--print-all-ignored Affiche toutes les lignes ignorées
-t, --log-traceback Enrichis les messages de logs avec des tracebacks compressés
--full-traceback tracebacks complet, non-compressés
^
25 mai 2017

htmlpdflatexmanmd




fail2ban-testcases

fail2ban-testcases

Lance les tests d'unité fail2ban

OPTIONS

-l LOG_LEVEL, --log-level=LOG_LEVEL Niveau de log durant les tests
-n, --no-network Ne lance pas le tests qui nécessitent le réseau
-t, --log-traceback Enrichis les messages de logs avec des tracebacks compressés
--full-traceback tracebacks complet, non-compressés
^
25 mai 2017

htmlpdflatexmanmd




fail2ban-server

fail2ban-server

Service fail2ban

   Fail2Ban lit le fichier de log contenant les rapport d'authentification échoués et banni les adresses IP correspondantes en utilisant les règles firewall. fail2ban-server ne doit pas être utilisé directement, et est lancé par fail2ban-client.

OPTIONS

-b Démarre en tâche de fond
-f Ne démarre pas en tâche de fond
-s ‹FILE› Chemin du socket
-p ‹FILE› Chemin du fichier pid
-x Force l'exécution du serveur
^
25 mai 2017

htmlpdflatexmanmd




fail2ban-client

fail2ban-client

Configure et contrôle le service fail2ban

OPTIONS

-c ‹DIR› répertoire de configuration
-s ‹FILE› Chemin du socket
-p ‹FILE› Chemin du fichier pid
-d Dump la configuration
-i Mode interactif
-v mode verbeux
-q mode silencieux
-b Lance le serveur en tâche de fond
-f Ne lance pas le serveur en tâche de fond

Commandes

start Démarre le serveur et les jails
reload Recharge la configuration
reload ‹JAIL› Recharge le jail
stop Stoppe tous les jail et termine le serveur
status Affiche le status courant du serveur
ping Test si le serveur est en vie
set loglevel ‹LEVEL› Définis le niveau de log (CRITICAL, ERROR, WARNING, NOTICE, INFO, DEBUG)
get loglevel Affiche le niveau de log
set logtarget ‹TARGET› Définis la cible des logs (STDOUT, STDERR, SYSLOG ou un fichier)
get logtarget Affiche la cible des logs
set syslogsocket auto|‹SOCKET› Définis le chemin du socket syslog
get syslogsocket Affiche le chemin du socket syslog
flushlogs Vide le logtarget si c'est un fichier et l'ouvre de nouveau. Pour la rotation de log
set dbfile ‹FILE› Définis l'emplacement du datastore persistent. None le désactive
get dbfile Affiche l'emplacement du datastore persistent
get dbpurgeage ‹SECONDS› Défpinis de délai de conservation de l'historique des bans
get dbpurgeage Affiche le délai de conservation de l'historique des bans
add ‹JAIL› ‹BACKEND› Crée le jail en utilisant le backend
start ‹JAIL› Démarre le jail
stop ‹JAIL› Stoppe le jail
status ‹JAIL› [FLAVOR] Affiche le status courant du jail
set ‹JAIL› idle on|off Définis l'état idle du jail
set ‹JAIL› addignoreip ‹IP› Ajoute l'ip à la liste ignore du jail
set ‹JAIL› delignoreip ‹IP› supprime l'ip de la liste ignore du jair
set ‹JAIL› addlogpath ‹FILE› ['tail'] Ajoute le fichier à la liste de supervision du jail, optionnellement démarrant au tail du fichier (défaut: head)
set ‹JAIL› dellogpath ‹FILE› Supprime le fichier de la liste de supervision du jail
set ‹JAIL› logencoding ‹ENCODING› Définis l'encodage des fichiers de log du jail
set ‹JAIL› addjournalmatch ‹MATCH› Ajoute le match au filtre de journal du jail
set ‹JAIL› deljournalmatch ‹MATCH› Supprime le match du fitre de journal du jail
set ‹JAIL› addfailregex ‹REGEX› Ajoute l'expression régulière qui doit matcher les erreurs pour le jail
set ‹JAIL› delfailregex ‹INDEX› Suppmire l'expression régulière du jail
set ‹JAIL› ignorecommand ‹VALUE› Définis le ignorecommande du jail
set ‹JAIL› addignoreregex ‹REGEX› Ajoute l'expression régulière qui doit matcher un motif à exclure pour le jail
set ‹JAIL› delignoreregex ‹INDEX› Supprime l'expression régulière qui doit matcher un motif à exclure du jail
set ‹JAIL› findtime ‹TIME› Définis le nombre de secondes pour lequel le filtre recherche en arrière pour le jail
set ‹JAIL› bantime ‹TIME› Définis le nombre de secondes qu'un hôte est bannis pour le jail
set ‹JAIL› datepattern ‹PATTERN› Définis le motif utilisé pour matcher les dates/heures pour le jail
set ‹JAIL› usedns ‹VALUE› Définis le mode usedns pour le jail
set ‹JAIL› banip ‹IP› Bannis manuellement une IP pour le jail
set ‹JAIL› unbanip ‹IP› Débannis manuellement une IP du jail
set ‹JAIL› maxretry ‹RETRY› Définis le nombre d'erreurs avant de bannir l'hôte pour le jail
set ‹JAIL› maxlines ‹LINES› Définis le nombre de linux à mettre en tampon pour la recherche regex pour le jail
set ‹JAIL› addaction ‹ACT›[ ‹PYTHONFILE› ‹JSONKWARGS›] Ajoute une nouvelle action pour le jail
set ‹JAIL› delaction ‹ACT› Supprime une action pour le jail
set ‹JAIL› action ‹ACT› actionstart ‹CMD› Définis la commande de démarrage de l'action pour le jail
set ‹JAIL› action ‹ACT› actionstop ‹CMD› action pour le jail
set ‹JAIL› action ‹ACT› actioncheck ‹CMD› Définis la commande de vérification de l'action pour le jail
set ‹JAIL› action ‹ACT› actionban ‹CMD› Commande ban
set ‹JAIL› action ‹ACT› actionunban ‹CMD› commande unban
set ‹JAIL› action ‹ACT› timeout ‹TIMEOUT› commande timeout, en secondes
set ‹JAIL› action ‹ACT› ‹PROPERTY› ‹VALUE› Définis une valeur/propriété pour l'action
set ‹JAIL› action ‹ACT› ‹METHOD›[ ‹JSONKWARGS›] Appel la méthode pour l'action
get ‹JAIL› logpath afiche la liste des fichiers supervisés pour le jail
get ‹JAIL› logencoding Affiche l'encodage des fichiers de logs pour le jail
get ‹JAIL› journalmatch Affiche le fitre de match journal
get ‹JAIL› ignoreip Affiche la liste des ip ignorées
get ‹JAIL› ignorecommand Affiche l'ignorecommand du jail
get ‹JAIL› failregex Affiche la liste des expressions régulières qui matche les erreurs
get ‹JAIL› ignoreregex Affiche la liste des expressions régulières d'ignore pour le jail
get ‹JAIL› findtime Affiche le temps pour la recherche en arrière du filtre pour les erreurs
get ‹JAIL› bantime Affiche le temps de bannissement d'un hôte
get ‹JAIL› datepattern Affiche le motif utilisé pour matcher les dates/heures
get ‹JAIL› usedns Affiche le paramètre usedns
get ‹JAIL› maxretry Affiche le nombre d'erreurs permises pour le jail
get ‹JAIL› maxlines Affiche le nombre de ligne en tampon
get ‹JAIL› actions Affiche la liste d'actions
get ‹JAIL› action ‹ACT› actionstart Affiche la commande start pour l'action
get ‹JAIL› action ‹ACT› actionstop affiche la commande stop pour l'action
get ‹JAIL› action ‹ACT› actioncheck Affiche la commande check pour l'action
get ‹JAIL› action ‹ACT› actionban affiche la commande ban pour l'action
get ‹JAIL› action ‹ACT› actionunban affiche la commande unban pour l'action
get ‹JAIL› action ‹ACT› timeout affiche la commande timeout pour l'action
get ‹JAIL› actionproperties ‹ACT› Affiche la liste des propriétés pour l'action
get ‹JAIL› actionmethods ‹ACT› AFfiche la liste des méthodes pour l'action
get ‹JAIL› action ‹ACT› ‹PROPERTY› Affiche la valeur de la propriété pour l'action
^
12 mai 2017

htmlpdflatexmanmd




nm-settings

nm-settings

Paramètres et propriétés des profiles de connexion NetworkManager

   NetworkManager est basé sur un concept de profiles de connexion. Les profiles de connexions sont gérés par NetworkManager via le services de paramètres et sont exportés sur D-Bus.

802-1x

altsubject-matches (tableau de chaînes) Liste de chaînes à matcher avec le altSubjectName du certificat présenté par le serveur d'authentification. vide, aucune vérification n'est effectuée. Défaut: vide
anonymous-identity (chaîne) identité anonyme pour les méthodes d'authentification EAP. Utilisé comme identité non-chiffrée avec les type EAP qui supportent différentes identités tunnelisées come EAP-TTLS
ca-cert (chaîne d'octets) Contient le certificat CA utilisé par la méthode EAP spécifié dans la propriété eap.
ca-path (chaîne) chemin d'un répertoire contenant les certificats à ajouter à la chaîne de vérification
client-cert (chaîne d'octets) Contient le certificat client utilisé par la méthode EAP spécifiée dans la propriété eap
domain-suffix-match (chaîne) Contrainte pour le nom de domaine. Si définis, ce FQDN est utilisé comme suffixe requis pour les éléments dNSName du certificat présenté par le serveur d'authentification.
eap (tableau de chaînes) La méthode EAP permise pour l'authentification avec 802.1x. (leap, md5, tls, peap, ttls, pwd fast).
identity (chaîne) Identité pour les méthodes d'authentification. Généralement le login
name (chaîne) Nom du paramètre qui identifie le paramètre dans la connexion. Chaque type de paramètre a un nom unique pour ce type, par exemple ppp, wireless, wired. Défaut: 802-1x
pac-file (chaîne) Chemin du fichier contenant PAC pour EAP-FAST
password (chaîne) mot de passe pour les méthodes l'authentification EAP. A précédence sur 'password-raw'
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password
password-raw (tableau d'octets) Mot de passe utilisé par les méthodes d'authentification EAP.
password-raw-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password-raw
phase1-fast-provisionning (chaîne) active/désactive le provisionning in-line des accréditifs EAP-FAST quand FAST est spécifié comme méthode EAP. (0-désactivé, 1-provisionning non-authentifié, 2-provisionning authentifié, 3-provisionning authentifié et non authentifié)
phase1-peaplabel (chaîne) Force l'utilisation du nouveau label PEAP durant la dérivation de clé. Certains serveurs RADIUS peuvent l'exiger pour interopérer avec PEAPv1.
phase1-peapver Version PEAP à utiliser. Non définis, la version donné par le serveur est utilisé. (0 ou 1)
phase2-altsubject-matches (tableau de chaînes) Liste de chaîne à matche avec le altSubjectName du certificat présenté par le serveur d'authentification durant la phase 2. vide, aucune vérification n'est effectuée
phase2-auth (chaîne) Spécifie les méthodes d'authentification non-EAP de la phase 3 quand EAP utilise un tunnel TLS (pap, chap, mschap, mschapv2, gtc, otp, md5, tls).
phase2-autheap (chaîne) Spécifie les méthodes d'authentification EAP de la phase 2 quand la méthode EAP utiliser un tunnel TLS. (md5, mschapv2, otp, gtc, tls).
phase2-ca-cert (tableau d'octets) Contient le certificat CA de la phase 2.
phase2-ca-path (chaîne) répertoire contenant les certificats additionnels
phase2-client-cert (tableau d'octets) Contient le certificat client de la phase 2.
phase2-domain-suffix-match (chaîne) Contraint le nom de domaine du serveur. ce FQDN est un suffixe à matcher dans dNSName du certificat présenté par le serveur d'authentification.
phase2-private-key (tableau d'octets) Contient la clé privée de la phase 2 quand phase2-auth ou phase2-autheap est à 'tls'.
phase2-private-key-password [chaîne) mot de passe utilisé pour déchiffrer la clé privée
phase2-private-key-password-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété phase2-private-key-password.
phase2-subject-match (chaîne) sous-chaîne à matcher avec le sujet du certificat présenté par le serveur d'authentification durant la phase2.
pin (chaîne) PIN utilisé pour les méthodes d'authentification EAP
pin-flags (NMSettingSecretFlags) Flags indiquant comme gérer la propriété pin.
private-key (tableau d'octets) Contient la clé privée quand la propriété eap est à 'tls'.
private-key-password (chaîne) mot de passe pour déchiffrer la clé privée
private-key-password-flags (NMSettingSecretFlags) flags indiquant comme gérer la propriété private-key-password.
subject-match (chaîne) sous-chaîne à matcher avec le sujet du certificat présenté par le serveur d'authentification. déprécié en faveur de NMSetting8021x:domain-suffix-match
system-ca-certs (bool) à TRUE, écrase ca-path et phase2-ca-path en utilisant le répertoire CA système spécifié à la configuration avec --system-ca-path.

adsl

encapsulation (chaîne) Encapsulation de la connexion ADSL. (vcmux ou llc)
name (chaîne) nom du paramètre, qui identifie de manière unique le paramètre dans la connexion. défaut: adsl
password (chaîne) mot de passe utilisé pour authentifier le service ADSL
password-flags (NMSettingSecretFlags) flags indiquant comme gérer la propriété password
protocol (chaîne) protocole de connexion ADSL (pppoa, pppoe, ou ipoatm)
username (chaîne) username pour l'authentification
vci (uint32) VIC de la connexion ADSL
vpi (uint32) VPI de la connexion ADSL

bluetooth

bdaddr (tableau d'octets) l'adresse bluetooth du périphérique
name (chaîne) nom du paramètrage: bluetooth
type (chaîne) soit 'dun' pour Dial-Up Networking ou 'panu' pour Personnal Area Networking

bond

interface-name (chaîne) déprécié en faveur de connection.interface-name.
name (chaîne) nom du paramétrage (bond)
options (dictionnaire) dictionnaire de paires clé/valeurs d'option bonding. défaut: {'mode':'balance-rr'}

bridge

ageing-time (uint32) temps en seconde de la durée de l'adresse MAC ethernet. défaut: 300
forward-delay (uint32) forwarding delay STP, en secondes. Défaut: 15
hello-time (uint32) hello time STP, en secondes. défaut: 2
interface-name (chaîne) déprécié en faveur de connection.interface-name
mac-address (tableau d'octets) si spécifié, l'adresse mac du commutateur.
max-age (uint32) amximum message age STP, en secondes. défaut: 20
multicast-snooping (bool) contrôle si IGMP snooping est activé pour ce commutateur.
name (chaîne) nom du paramétrage: bridge
priority (uint32) Priorité STP du bridge. défaut: 32768
stp (bool) Active STP.

bridge-port

hairpin-mode (bool) Active le mode hairpin pour le port, les frames sont renvoyés via le port ou la frame a été reçue
name (chaîne) nom du paramètrage = bridge-port
path-cost (uint32) port cost STP pour les destinations via ce port
priority (uint32) priorité STP de ce port

cdma

name (chaîne) nom du paramètrage: cdma
number (chaîne) numéro à composer pour établir la connexion au réseau mobile CDMA. défaut: #777
password (chaîne) mot de passe pour l'authentification
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la propriété password
username (chaîne) username pour l'authentification

connection

autoconnect (bool) si la connexion est automatiquement connectée par NetworkManager quand les ressources pour la connexion sont disponibles. Défaut: TRUE
autoconnect-priority (int32) Priorité autoconnect. défaut: 0
autoconnect-retries (int32) nombre de tentatives de connexions durant l'autoactivation. 0 signifie indéfiniment, -1 et le défaut global (4 fois si non modifié)
autoconect-slaves (NMSettingConnectionAutoconnectSlaves) Si ou non les esclaves de cette connexion devraient être automatiquement activés. 0-non, 1-activer les connexions esclave, -1-défaut.
gateway-ping-timeout (uint32) › à 0, délais du succès de l'addressage IP jusqu'à que le timeout soit atteint, ou une réponse d'une gateway à un ping
id (chaîne) identifiant unique pour la connection
interface-name (chaîne) nom de l'interface réseau à laquelle la connexion est lié
lldp (int32) Si lldp est activé pour la connexion. Défaut:-1
master (chaîne) Nom de l'interface du périphérique maître ou l'uuid de la connexion maître
metered (NMMettered) Si la connexion est mesurée
name (chaîne) Nom du paramètrage: connection
permissions (tableau de chaînes) Tableau définissant l'accès d'un utilisateur à cette connexion. Vide, tous les utilisateurs sont autorisés à accéder à cette connexion. Chaque entrée est sous la forme "[type]:[id]:[reserved]". Actuellement seul le type "user" est utilisé.
read-only (bool) indique si la connexion peut être modifié en utilisant D-Bus (FALSE), ou non (TRUE)
secondaries (tableau de chaînes) Liste d'UUID de connexions qui devraient être activés quand la connexion de base elle-même est activée. Actuellement seul les connexions VPN dont supportés
slave-type (chaîne) nom du paramètre du type de périphurique de cette commexion maître (ex: bond0) ou NULL si cette connexion n'est pas un esclave
stable-id (chaîne) Tocken pour générer des ID stable pour la connexion. Il est utilisé pour générer des IPv6 privées stable avec ipv6.addr-gen-mode=strable-privacy. Également utilisé pour émettre l'adresse MAC cloné générée pour ethernet.cloned-mac-address=stable et wifi.cloned-mac-address=stable. Spécifie un stable-id permet à plusieurs connexions de générer les même adresses. Il est possible de générer des ID via des substitution: ${CONNECTION}, ${BOOT}, ${RANDOM}.
timestamp (uint64) Temps en seconde depuis l'Epock, que la connection a été activée avec succès. MetworkManager met à jours cette valeur périodiquement.
type (chaîne) Type de base de la connexion. Pour les connexions dépendantes du hardware, devrait contenir le nom du paramètre du type de matériel (ex: 802-3-ethernet, 802-11-wireless, bluetooth, etc.), et pour les connexions non hardware, devrait contenir le nom du type de paramètre (vpn, bridge, etc.)
uuid (chaîne) Identifiant unique pour la connexion. Devrait être assigné à la création de la connexion, et ne devrait jamais être changé.
zone (chaîne) Niveau de confiance de la connexion. texte lible insensible à la casse (ex: Home, Work, Public). NULL ou non spécifié, la connexion sera placée dans la zone par défaut tel que définis par le firewall.

dcb

app-fcoe-flags (NMSettingDcbFlags) Flags pour l'application FCoE DCB. Peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-fcoe-mode (chaîne) Mode contrôleur FCoE; soit "fabric" ou "vn2vn"
app-fcoe-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames FCoE, ou -1 pour la priorité par défaut
app-fip-flags (NMSettingDcbFlags) Flags pour l'application DCB FIP. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-fip-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames FIP, ou -1 pour la priorité par défaut
app-iscsi-flags (NMSettingDcbFlags) Flags pour l'application DCB iSCSI. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
app-iscsi-priority (int32) Priorité la plus élevée (0-7) à utiliser pour les frames iSCSI, ou -1 pour la priorité par défaut
name (chaîne) Nom du paramètrage: dcb
priority-bandwidth (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique le pourcentage de bande passante du groupe assigné à la priorité. La somme de tous les pourcentages doit faire 100%
priority-flow-control (tableau de uint32) Tableau de 8 booléens œu l'indexe correspond à la priorité utilisateur (0-7) et la valeur indique si la priorité devrait transmettre une pause de priorité
priority-flow-control-flags (NMSettingDcbFlags) flags pour DCP PFC (Priority Flow Control). peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
priority-group-bandwidth (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité de groupe (0-7), et la valeur indique le pourcentage de bande passante allouée à ce groupe. La somme de tous les pourcentages doit faire 100%
priority-group-flags (NMSettingDcbFlags) Flags pour DCB Priority Groups. peut être une combinaison de NM_SETTINGS_DCB_FLAG_ENABLE(0x1, NM_SETTING_DCB_FLAG_ADVERTISE (0x2), et NM_SETTING_DCB_FLAG_WILLING (0x4)
priority-group-id (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique le Priority Group ID. Les priorité permisses sont 0-7, ou 15 pour le groupe non restreint.
priority-strict-bandwidth (tableau de uint32) Tableau de 8 booléens œu l'indexe correspond à la priorité utilisateur (0-7) et la valeur indique si la priorité peut utiliser toute la bande passante allouée au groupe assigné
priority-traffic-class (tableau de uint32) Tableau de 8 valeurs uint, où l'indexe correspond à la priorité utilisateur (0-7), et la valeur indique la classe de trafique (0-7) pour laquelle la priorité est mappée

generic

name (chaîne) Nom du paramètrage, qui identifie de manière unique les paramètres dans la connexion.

gsm

apn (chaîne) Nom du point d'accès GPRS spécifiant l'APN utilisé pour établis une session de données avec le réseau GSM.
device-id (chaîne) Identifiant unique de périphérique (tel que donné par le service de gestion WWAN)
home-only (bool) à TRUE, seuls les connexions au réseau personnel est autorisé. Les connexions aux réseaux roaming ne sont pas faites. Défaut: FALSE
name (chaîne) Nom du paramétrage: gsm
network-id [chaîne) ID réseau (format GSM LAI, ex: MCC-MNC) pour forcer un enregistrement spécifique.
number (chaîne) Numéro à composer pour établir une session de données PPP.
password (chaîne) Mot de passe utilisé pour l'authentification avec le réseau.
password-flags (NMSettingSecretFlags) flags indiquand comment gérer la propriété password
pin (chaîne) Si la SIM est blockée avec un PIN, elle doit être débloquée avec un PIN
pin-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété pin
sim-id (chaîne) identifiant unique de carte SIM
sim-operator-id (chaîne) chaîne MCC/MNC comme "310260" ou "21601" identifiant l'opérateur mobile.
username (chaîne) username utilisé pour l'authentification sur le réseau.

infiniband

mac-address (tableau d'octets) Si spécifié, cette connexion ne s'applique qu'au périphérique IPoIB dont l'adresse mac correspond. Cette propriété ne change pas l'adresse MAC
mtu (uint32) non 0, ne transmet que les paquets de la taille spécifiée ou inférieur, splittant les paquets plus gros en plusieurs frames.
name (chaîne) Nom du paramétrage: infiniband
p-key (int32) P_Key infiniband à utiliser pour ce périphérique. -1 utilise le P_Key par défaut (à l'index 0)
parent (chaîne) nom de l'interface du périphérique parent de ce périphérique. Normalement NULL, sauf si p_key est définis.
transport-mode (chaîne) Mode IPoIB (datagram ou connected)

ipv4

address-data (tableau d'ipv4) tableau d'IPv4. Chaque dictionnaire d'adresse contient au moins les entrées 'address', et 'prefix'
addresses (tableau de tableau de uint32) déprécié en faveur de address-data et gateway
dad-timeout (int32) Timeout en ms utilisé pour vérifier la présence d'adresse IP dupliquées
dhcp-client-id (chaîne) chaîne envoyée au serveur DHCP pour identifier la machine
dhcp-fqdn (châine) Si la propriété dhcp-send-hostname est à TRUE, le fqdn spécifié sera envoyé au serveur DHCP en acquérant le bail. exlusif avec dhcp-hostname.
dhcp-hostname (chaîne) si dhcp-send-hostname est à true, le nom spécifié ici est envoyé au serveur DHCP
dhcp-send-hostname (bool) à true, envoie le hostname au serveur DHCP
dhcp-timeout (int32) timeout de transaction DHCP, en secondes. Défaut: 0
dns [tableau d'uint32) tableau d'adresses IP des serveurs DNS
dns-options (tableau de chaînes) tableau d'options DNS tel que décris dans man resolv.conf. NULL utilise les valeurs par défaut
dns-priority (int32) Priorité DNS intra-connexion. La priorité relative est utilisée pour déterminer l'ordre des serveurs DNS dans resolv.conf. Une valeur faible place les serveurs en haut du fichier. Défaut: 0, qui sélectionne la valeur par défaut: 50 pour VPN, et 100 pour les autres connexions.
dns-search (tableau de chaîne) tableau de domaines de recherche DNS
gateway (chaîne) La passerelle associée avec cette configuration
ignore-auto-dns (bool) Quand method est à auto et cette propriété à TRUE, les serveurs de nom et domaines de recherche automatiquement configurés sont ignorés et seuls les serveurs et domaines spécifiés dans les propriétés dns et dns-search sont utilisés.
ignore-auto-routes (bool) si method est à 'auto' et cette propriété à TRUE, les routes automatiquement configurées son ignorées et seules les routes dans la propriété routes sont utilisées
may-fail (bool) à TRUE, autorise la configuration réseau même si le fichier de configuration spécifié par cette propriété échoue au timeout. Noter qu'au moins une configuration IP doit réussir our la configuration réseau générale échoue.
method (chaîne) Méthode de configuration IP 'auto', 'manual', 'link-local', et 'shared'
name (chaîne) Nom du paramétrage: ipv4
never-default (bool) à TRUE, cette connexions n'est jamais la connexion par défaut pour ce type IP, ce qui signifie que la route par défaut n'est jamais assignée
route-data (tableau de dictionnaire) Tableau de routes IPv4. Chaque dictionnaire de route contient au moins les entrées 'dest' et 'prefix'. La plupart des routes ont également une entrée 'gateway'
route-metric (int64) Métrique par défaut pour les routes qui n'en spécifient pas une explicite. Défaut: -1 signifiant que la métrique est choisie automatiquement basé sur le type de périphérique.
routes (tableau de tableau d'uint32) Déprécié en faveur de route-data

ipv6

addr-gen-mode (int32) Configure la méthode pour créer l'adresse rfc4862: eui64 ou stable-privacy (rfc7217)
address-data (tableau de dictionnaire) Tableau d'IPv6. chaque entrée contient au moins address et prefix.
addresses (tableau d'ipv6) déprécié en faveur de address-data
dad-timeoute (int32) timeout en ms pour vérifier la présence d'adresses IP dupliquées. défaut: -1, utilise la valeur par défaut.
dhcp-hostname (chaîne) si dhcp-send-hostname est à true, le nom spécifié ici est envoyé au serveur DHCP
dhcp-send-hostname (bool) à true, envoie le hostname au serveur DHCP
dhcp-timeout (int32) timeout de transaction DHCP, en secondes. Défaut: 0
dns [tableau d'uint32) tableau d'adresses IP des serveurs DNS
dns-options (tableau de chaînes) tableau d'options DNS tel que décris dans man resolv.conf. NULL utilise les valeurs par défaut
dns-priority (int32) Priorité DNS intra-connexion. La priorité relative est utilisée pour déterminer l'ordre des serveurs DNS dans resolv.conf. Une valeur faible place les serveurs en haut du fichier. Défaut: 0, qui sélectionne la valeur par défaut: 50 pour VPN, et 100 pour les autres connexions.
dns-search (tableau de chaîne) tableau de domaines de recherche DNS
gateway (chaîne) La passerelle associée avec cette configuration
ignore-auto-dns (bool) Quand method est à auto et cette propriété à TRUE, les serveurs de nom et domaines de recherche automatiquement configurés sont ignorés et seuls les serveurs et domaines spécifiés dans les propriétés dns et dns-search sont utilisés.
ignore-auto-routes (bool) si method est à 'auto' et cette propriété à TRUE, les routes automatiquement configurées son ignorées et seules les routes dans la propriété routes sont utilisées
ip6-privacy (NMSettingIP6ConfigPrivacy)
may-fail (bool) à TRUE, autorise la configuration réseau même si le fichier de configuration spécifié par cette propriété échoue au timeout. Noter qu'au moins une configuration IP doit réussir our la configuration réseau générale échoue.
method (chaîne) Méthode de configuration IP 'auto', 'manual' ou 'link-local'
name (chaîne) Nom du paramétrage: ipv6
never-default (bool) à TRUE, cette connexions n'est jamais la connexion par défaut pour ce type IP, ce qui signifie que la route par défaut n'est jamais assignée
route-data (tableau de dictionnaire) Tableau de routes IPv6. Chaque dictionnaire de route contient au moins les entrées 'dest' et 'prefix'. La plupart des routes ont également une entrée 'gateway'
route-metric (int64) Métrique par défaut pour les routes qui n'en spécifient pas une explicite. Défaut: -1 signifiant que la métrique est choisie automatiquement basé sur le type de périphérique.
routes (tableau de tableau d'uint32) Déprécié en faveur de route-data
token (chaîne) configure le token pour les identifiants d'interface IPv6 draft-chown-6man-tokenised-ipv6-identifiers-02. Utile avec eui64.

ip-tunnel

encapsulation-limit (uint32) Nombre de niveaux d'encapsulation additionels à ajouter aux paquets. Uniquement pour les tunnels IPv6
flow-label (uint32) Label de flux à assigner aux packets.
input-key (chaîne) La clé utilisée pour les paquets entrant.
local (chaîne) endpoint local du tunnel. doit contenir une IPv4 ou IPv6.
mode (uint32) Mode de tunneling, par exemple NM_IP_TUNNEL_MODE_IPIP, ou NM_IP_TUNNEL_MODE_GRE
mtu (uint32) 0
name Nom du paramétrage: ip-tunnel
output-key (chaîne) Clé utilisée pour les paquets sortants
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
path-mtu-discovery (bool) Si Path MTU Discovery est activé dans ce tunnel (défaut: TRUE)
remote (chaîne) enppoint distant du tunnel. Doit être une IPv4 ou IPv6
tos (uint32) Type de service IPv4 ou classe de trafique IPv6
ttl (uint32) TTL à assigner aux paquets tunnelisés. Défaut: 0, les paquets héritent de la valeur TTL

macsec

encrypt (bool) Si le trafique transmis doit être chiffré (défaut: TRUE)
mka-cak (chaîne) CAK pré-partagé pour l'agrément de clé MACsec
mka-cak-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété mka-cak.
mka-ckn (chaîne) CKN pré-partagé pour l'agrément de clé MACsec
mode (int32) Spécifie commande la CAK pour MKA est obtenue
name Type de paramètrage: macsec
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
port (int32) Composant port du SCI, entre 1 et 65534
validation (int32) Mode de validation pour les frames entrantes

macvlan

mode (uint32) mode macvlan qui spécifie le mécanisme de communication entre plusieurs macvlans dans le même périphérique
name (chaîne) nom du paramètrage: macvlan
parent (chaîne) nom de l'interface parent ou UUID de la connexion parent
promiscuous (bool) si l'interface devrait être en mode promiscuous. Défaut: TRUE
tap (bool) Si l'interface devrait être un MACVTAP. Défaut: FALSE

802-11-olpc-mesh

channel (uint32) Canal sur lequel le réseau à joindre est localité
dhcp-anycast-address (tableau d'octets) addresse MAC DHCP anycast utilisé pour demander une adresse IP via DHCP
name (chaîne) nom du paramètrage: 802-11-olpc-mesh
ssid (tableau d'octets) SSID du réseau à joindre

ppp

baud (uint32) non 0, indique à pppd de définir le port série au baudrate spécifié. à 0, la vitesse est choisie automatiquement
crtscts (bool) à TRUE, pppd doit définir le port série pour utiliser le contrôle de flux hardware avec les signaux RTS et CTS. Défaut: FALSE
lcp-echo-failure (uint32) non 0, pppd assume que la connexion au paire a échoué si le numéro spécifié de LCP echo-requests n'a pas reçu de réponse du paire.
lcp-echo-interval (uint32) non 0, pppd envoie un LCP echo-request au paire toutes les n secondes.
mppe-stateful (bool) à TRUE, MPPE avec état est utilisé.
mru (uint32) non 0, pppd demande au paire d'envoyer des paquets au maximum à la taille spécifiée
mtu (uint32) non 0, pppd n'envoie pas de paquet dont la taille excède cette taille
name (chaîne) nom du paramètrage: ppp
no-vj-comp (bool) À true, ne demande pas la compression d'en-tête TCP Van Jacobsen
noauth (bool) à TRUE, ne demande pas d'authentification
nobsdcomp (bool) à TRUE, ne demande pas de compression BSD
nodeflate (bool) à TRUE ne demande pas de compression 'deflate'
refuse-chap (bool) à TRUE, n'utilise pas la méthode d'authentification CHAP
refuse-eap (bool) à TRUE, n'utiliset pas la méthode d'authentification EAP
refuse-mschap (bool) à TRUE, n'utiliset pas la méthode d'authentification MSCHAP
refuse-mschapv2 (bool) à TRUE, n'utiliset pas la méthode d'authentification MSCHAPv2
refuse-pap (bool)à TRUE, n'utiliset pas la méthode d'authentification PAP
require-mppe (bool) à TRUE, mppe est requis pour la session PPP.
require-mppe-128 (bool) à TRUE MPPE 128-bits est requis pour la session PPP.

pppoe

name (chaîne) nom du paramétrage: pppoe
password (chaîne) Mot de passe utilisé pour authentifier le service PPPeE
password-flags (NMSettingSecretFlags) Flags indiquant comment manipuler la proriété password
service (chaîne) si spécifié, instruit PPPoE à seulement initier des session avec des concentrateurs d'accès.
username (chaîne) username pour l'authhentification

proxy

browser-only (bool) Si la configuration proxy est pour les navigateurs uniquement
method (int32) Méthode pour la configuration proxy défaut: NM_SETTING_PROXY_METHOD_NONE(0)
name (chaîne) nom du paramétrage: proxy
pac-script (chaîne) script PAC pour la connexion
pac-url (chaîne) URL pour obtenir le fichier PAC

serial

baud (uint32) Vitesse pour la communication. Défaut: 57600
bits (uint32) Largeur d'octet de la communication. Défaut: 8
name (chaîne) nom du paramétrage: serial
parity (octet) Parité de la connexion: 69 (ASCII 'E') pour une parité paire, 111 (ASCII 'o') pour impaire, 110 (ASCII 'n') pour aucune parité
send-delay (uint64) Temps d'attente entre chaque octet envoyé au modem, en microsecondes. Défaut: 0
stopbits (uint32) Nombre de bits stop pour la communication, 1 ou 2. Défaut: 1.

team

config (chaîne) la configuration JSON pour l'interface team. La configuration devrait contenir une configuration acceptable pour teamd.
interface-name (chaîne) déprécié en faveur de connection.interface-name.
name (chaîne) nom du paramétrage: team

team-port

config (chaîne) la configuration JSON pour l'interface team. La configuration devrait contenir une configuration acceptable pour teamd.
name (chaîne) nom du paramétrage: team-port

tun

group (chaîne) Le group ID qui possède le périphérique. à NULL, tout le monde peut utiliser le périphérique
mode (uint32) Mode opératoire du périphérique NM_SETTING_TUN_MODE(1) pour créer un périphérique L3 et NM_SETTING_TUN_MODE_TAP(2) pour créer un périphérique L2
multi-queue (bool) à TRUE, l'interface supporte plusieurs descripteurs de fichier (queues) pour paralléliser l'envoie/réception des paquets, sinon, l'interface ne supporte qu'une seule queue. Défaut: FALSE
name (chaîne) nom du paramétrage: tun
owner [chaîne) Le user ID qui possède le périphérique. NULL, tout le monde peut utiliser le périphérique
pi (boo) à TRUE, l'interface ajoute 4 octets d'en-tête décrivant l'interface physique aux paquets. Défaut: FALSE
vnet-hdr (bool) à TRUE, les paquets IFF_VNET_HDR incluent un en-tête de réseau virtio. Défaut: FALSE

vlan

egress-priority-map (tableau de chaînes) pour les paquets sortants, une liste de mappage de priorités SKB Linux en priorités 802.1p. Le mappage est donné au format "from:to" et sont des entiers non-signés.
flags (NMVlanFlags) Flags qui contrôlent le comportement et les fonctionnalités de l'interface vlan. NM_VLAN_FLAG_REORDER_HEADERS (0x1) réordonne les en-tête des paquets sortants, NM_VLAN_FLAG_GVRP (0x2) utilise le protocole GVRP, NM_VLAN_FLAG_LOOSE_BINDING (0x4) perd la liaison de l'interface de l'état opérant du périphérique maire. NM_VLAN_FLAG_MVRP (0x8) utilise le protocole MVRP.
id (uint32) Identifiant du vlan, de 0 à 4094. Défaut: 0
ingress-priority-map (tableau de chaînes) Pour les paquets entrants, une liste de mappage de priorité 802.1p en priorité SKB Linux.
interface-name (chaîne) déprécié en faveur de connection.interface-name
name (chaîne) nom du paramétrage: vlan
parent (chaîne) si donné, spécifie le nom de l'interface parent. non spécifié, la connexion doit contenir un paramètre "802-3-ethernet" avec une propriété "mac-address"

vpn

data (dictionnaire de chaîne) dictionnaire de paires clé/valeurs de données spécifique au plugin VPN.
namo (chaîne) nom du paramétrage: vpn
persistent (bool) Si le service VPN supporte la persistence, et cette propriété à TRUE, le VPN tente de rester connecté entre les changements de liens, jusqu'à déconnexion explicite
secrets (dictionnaire de chaîne) Dictionnaire de paires clé/valeur de secrets spécifiue au plugin VPN, comme des mots de passe ou des clés privées
service-type (chaîne) Nom du service D-Bus du plugin VPN que ce paramètre utilise pour se connecter au réseau (ex: org.freedesktop.NetworkManager.vpnc pour le plugin vpnc)
timeout (uint32) timeout du service VPN pour établir la connexion. Certains services peuvent prendre du temps pour se connecter. 0 signifie le timeout par défaut: 60 secondes.
user-name (chaîne) Si la connexion VPN nécessite un username pour l'authentification.

vxlan

ageing (uint32) Durée de vie en secondes des entrées FDB apprises par le kernel. défaut: 300
destination-port (uint32) port UDP de destination pour communiquer au endpoint distant
id (uint32) Spécifie l'identifiant réseau VXLAN à utiliser
l2-miss (bool) Spécifie si les notification LL ADDR miss sont générés. défaut: FALSE
l3-miss (bool) Spécifie si les notification IP ADDR miss sont générés. défaut: FALSE
learning (bool) Spécifie si une adresse L2 inconnue et les IP sont entrée dans la learning base VXLAN. Défaut: TRUE
limit (uint32) Spécifie le nombre max d'entrées FDB. Défaut: 0 = illimité
local (chaîne) nom du paramétrage: vxlan
parent (chaîne) nom de l'interface parent
proxy (bool) Spécifie si le proxy ARP est activé. Défaut: FALSE
remote (châine) Spécifie l'adresse IP unicast de destination pour les paquets sortants quand l'adresse l2 n'est pas connue dans la forwarding base VXLAN, ou l'IP multicast à joindre
rsc (bool) Spécifie si le route short circuit est activé. Défaut: FALSE
source-port-max (uint32) port UDP source max pour communiquer au endpoint
source-port-min (uint32) port UDP de destination minimum
tos (uint32) Valeur TOS pour les paquets sortants
ttl (uint32) ttl à utliser pour les paquets sortants

wimax

mac-address (tableau d'octets) Déprécié. Si spécifié, cette connexion s'applique au périphérique WiMAX qui matche cette adresse MAC.
name (chaîne) nom du paramétrage: wimax
network-name (chaîne) Déprécié. Nom du NSP du réseau WiMAX

802-3-ethernet

assigned-mac-address (chaîne) Addresse MAC clonée. Peut être une adresse MAC, ou un des mots clés suivant: preserve, permanent, random, ou stable.
auto-negotiate (bool) à TRUE, force l'auto-négociation de vitesse de port et le mode duplex. Défaut: FALSE
cloned-mac-address (tableau d'octets) déprécié en faveur de assigned-mac-address
duplex (chaîne) uniquement si auto-negotiate vaut 'off'. Configure le périphérique pour utiliser le mode duplex spécifié: half ou full.
generate-mac-address-mask (chaîne) si cloned-mac-address vaut random ou stable, cette propriété spécifie les bits qui sont fixes.
mac-address (tableau d'octets) si spécifié, cette connection ne s'applique qu'au périphérique dont l'adresse MAC permanent correspond
mac-address-blacklist (tableau de chaînes) Cette connection ne s'applique jamais aux périphérique dont l'adresse MAC permanente matche une de ces adresses
mtu (uint32) spécifie le mtu max pour cette connection
name (chaîne) nom du paramétrage: 802-3-ethernet
port (chaîne) Spécifie le type de port à utiliser si le périphérique support plusieurs méthodes d'attachement. tp (twisted Pair), aui (Attachment Unit Interface), bnc (Thin Ethernet) ou mii (Media Independant Interface).
s390-nettype (chaîne) Type de périphérique réseau s390 (qeth, lcs, ou ctc).
s390-options (dictionnaire de chaînes) dictionnaire de paires de clé/valeurs d'options s390. Les clés permises sont portno, layer2, portname et protocol.
speed (uint32) Peut être définis à une valeur supérieur à 0 quand auto-negotiate est à off. Dans ce cas, définis la vitesse en Mbit/s.
wake-on-lan (uint32) Options NMSettingWiredWakeOnLan à activer. peut être une des combinaisons: NM_SETTING_WIRED_WAKE_ON_LAN_PHY (0x2), NM_SETTING_WIRED_WAKE_ON_LAN_UNICAST (0x4), NM_SETTING_WIRED_WAKE_ON_LAN_MULTICAST (0x8), NM_SETTING_WIRED_WAKE_ON_LAN_BROADCAST (0x10), NM_SETTING_WIRED_WAKE_ON_LAN_ARP (0x20), NM_SETTING_WIRED_WAKE_ON_LAN_MAGIC (0x40) ou les valeurs spéciales NM_SETTING_WIRED_WAKE_ON_LAN_DEFAULT (0x1) (pour utiliser les paramètres globaux) et NM_SETTING_WIRED_WAKE_ON_LAN_IGNORE (0x8000) (pour désactiver la gestion de Wake-on-LAN dans NetworkManager).
wake-on-lan-password (chaîne) Mot de passe utilisé avec magic-packet-based Wake-on-LAN, représentée comme une adresse MAC. NULL indique qu'aucun mot de passe n'est requis.

802-11-wireless

assigned-mac-address (chaîne) Le nouveau champ pour l'adresse MAC clonée. Peut être une adresse MAC ou un des mots spécial "preserve", random" ou "stable".
band (chaîne) bande de fréquence 802.11: "a" (5GHz 802.11a), ou "bg" (2,4GHz 802.11).
bssid (tableau d'octets) Dirige le périphérique au point d'accès associé.
channel (uint32) Canal wireless à utiliser. Défaut: 0
cloned-mac-address (tableau d'octets) déprécié en faveur de assigned-mac-address
generate-mac-address-mask (chaîne) si cloned-mac-address vaut random ou stable, cette propriété spécifie les bits qui sont fixes.
hidden (bool) à TRUE, indique que ce réseau cache son SSID.
mac-address (tableau d'octets) si spécifié, cette connection ne s'applique qu'au périphérique dont l'adresse MAC permanent correspond
mac-address-blacklist (tableau de chaînes) Cette connection ne s'applique jamais aux périphérique dont l'adresse MAC permanente matche une de ces adresses
mac-address-randomization (uint32) déprécié en faveur de cloned-mac-address. NM_SETTING_MAC_RANDOMIZATION_DEFAULT (0) (Utilise la valeur globale par défaut), NM_SETTING_MAC_RANDOMIZATION_NEVER (1) (pas d'aléatoire), NM_SETTING_MAC_RANDOMIZATION_ALWAYS (2).
mode (chaîne) mode réseau Wi-Fi: "infrastructure", "adhoc" ou "ap".
mtu (uint32) mtu pour les paquets transmis
name (chaîne) nom du paramétrage: 802-11-wireless
powersave (uint32) NM_SETTING_WIRELESS_POWERSAVE_DISABLE (2), NM_SETTING_WIRELESS_POWERSAVE_ENABLE (3), NM_SETTING_WIRELESS_POWERSAVE_IGNORE (1), NM_SETTING_WIRELESS_POWERSAVE_DEFAULT (0)
rate (uint32) Dirige de périphérique pour utiliser seulement le bitrate spécifié pour la communication avec le point d'accès, en Kb/s.
security déprécié
seen-bssids (tableau de chaînes) Une liste de BSSID (formatté sous forme d'adresse MAC) qui ont été détectés comme partie de la connection Wi-Fi. Géré par NetworkManager
ssid (tableau d'octets) SSID du réseau Wi-Fi. Doit être spécifié
tx-power (uint32) le périphérique utilise la puissance de transmission spécifiée, en dBm.

802-11-wireless-security

auth-alg (chaîne) avec WEP, indique l'algorithme d'authentification requise "open", "shared" "leap".
group (tableau de chaînes)Liste d'algorithmes de chiffrement qui empêche les connection aux réseaux Wi-Fi qui n'utilisent pas un de ces algorithmes. "wep40", "wep104", "tkip" ou "ccmp"
key-mgmt (chaîne) Gestion de clé utilisé pour la connection "none" (WEP), "ieee8021x" (Dynamic WEP), "wpa-none" (Ad-Hoc WPA-PSK), "wpa-psk" (infrastructure WPA-PSK), ou "wpa-eap" (WPA-Enterprise).
leap-password (chaîne) password de connexion pour les connexions LEAP
leap-password-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété leap-password.
leap-username (chaîne) username pour la connexion
name (chaîne) nom du paramétrage: 802-11-wireless-security
pairwise (tableau de chaînes) Liste d'algorithme de chiffrement d'appairement permis pour les connections Wi-Fi
proto (tableau de chaînes) Liste de chaînes spécifiant les versions WPA permises "wpa" ou "rsn" (autorise WPA2/RSN).
psk (chaîne) Clé pré-partagée pour les réseaux WPA.
psk-flags (NMSettingSecretFlags) Flags indiquant comment gérer la propriété psk
wep-key-flags (NMSettingSecretFlags) Flags indiquant comment gérer les propriétés wep-key[0-3].
wep-key-type (NMWepKeyType) Contrôle l'interprétation des clés WEP. NM_WEP_KEY_TYPE_KEY (1) (la clé a 10 ou 26 caractères hexa, ou 5 ou 13 caractères ASCII) ou NM_WEP_KEY_TYPE_PASSPHRASE (2)
wep-key0 (chaîne) Clé WEP d'index 0
wep-key1 (chaîne) Clé WEP d'index 1
wep-key2 (chaîne) Clé WEP d'index 2
wep-key3 (chaîne) Clé WEP d'index 3
wep-tx-keyidx (uint32) Si WEP statique est utilisé et un indexe de clé WEP non-défaut est utilisé par l'AP, place cet index ici. (0 à 3)

Types de flags secret

0x0 Le système doit fournir et stocker le secret
0x1 Un agent userspace gère le secret
0x2 Le secret n'est pas sauvé et est demandé à l'utilisateur à chaque fois.
0x4 Indique que le secret n'est pas requis et ne devrait pas être demandé à l'utilisateur
^
05 mai 2017

htmlpdflatexmanmd




NetworkManager

NetworkManager

Service de gestion réseaux

   Le service NetworkManager tente de simplifier et d'automatiser la configuration réseaux et les opérations réseaux. Les informations sur le réseau sont exportés via D-Bus.

   NetworkManager exécute les scripts dans /etc/NetworkManager/dispatcher.d ou ses sous-répertoire dans l'ordre alphabétique en réponse aux événements réseaux. Chaque script devrait être un fichier exécutable possédé par root. Ils ne doivent pas être en écriture par le groupe et les autres, ni suid.

   Chaque script reçoit 2 arguments, le premier est le nom de l'interface, et le second est l'action. Pour les actions de périphérique, l'interface est le nom de l'interface kernel utilisable pour la configuration IP. Donc c'est soit VPN_IP_IFACE, DEVICE_IP_IFACE, ou DEVICE_IFACE. Pour les action hostname et connectivity-change, c'est toujours none.

pre-up L'interface est connectée au réseau, mais pas encore activée. Les scripts agissant dans cet événement doivent être dans le sous-répertoire pre-up.d, et NetworkManager attend la fin de l'exécution du script avant d'indiquer aux applications que l'interface est pleinement activée
up L'interface est activée
pre-down L'interface n'est pas encore déconnecté du réseau. Les scripts agissant dans cet événement doivent être placés dans le sous-répertoire pre-down.d, et NetworkManager attend la fin de l'exécution du script avant de déconnecter l'interface. Noter que cet événement n'est pas émis pour les déconnections forcées
down L'interface a été désactivée
vpn-pre-up Le VPN est connecté au réseau mais n'est pas encore activé. Les scripts sont dans le sous-répertoire pre-up.d
vpn-up Une connection VPN a été activée
vpn-pre-down Le VPN n'est pas encore déconnecté du réseau. Les scripts agissant dans cet événement doivent être placés dans le sous-répertoire pre-down.d, et NetworkManager attend la fin de l'exécution du script avant de déconnecter l'interface. Noter que cet événement n'est pas émis pour les déconnections forcées
vpn-down La connection VPN a été désactivée
hostname Le nom d'hôte du système a été mis à jours. Le nom de l'interface est vide et aucune variable d'environnement n'est définie pour cette action.
dhcp4-change Le bail dhcpv4 a changé
dhcp6-change Le bail dhcpv6 a changé
connectivity-change L'état de connexion réseau a changé

Variables d'environnement

   L'environnement contient plus d'informations sur l'interface et la connexion. Les variables suivanetes sont disponible à utiliser dans les scripts

CONNECTION_UUID l'UUID du profile de connexion
CONNECTION_ID le nom du profile de connexion
CONNECTION_DBUS_PATH Le chemin D-Bus de NetworkManager de la connexion
CONNECTION_FILENAME Le fichier du profile de connexion
CONNECTION_EXTERNAL À 1, indique que la connexion décris une configuration réseau créé en-dehors de NetworkManager
DEVICE_IFACE Nom de l'interface du périphérique.
DEVICE_IP_IFACE Nom de l'interface IP du périphérique.
IP4_ADDRESS_N Adresse IPv4 sous la forme "adresse/préfixe passerelle", où N est un numéro de 0 à (adresses IPv4 -1). La passerelle est déprécié.
IP4_NUM_ADDRESSES Contient le nombre d'adresses IPv4 que le script peut attendre
IP4_GATEWAY Passerelle IPv4
IP4_ROUTE_N Route IPv4 au format "address/prefix next-hop metric", où N est un nombre de 0 à ‹route-1›
IP4_NAMESERVERS Liste séparé par un espace de serveurs DNS
IP4_DOMAINS Liste séparé par un espace de domaines de recherche
DHCP4_‹dhcp-option-name› Si la connection utilise DHCP, chaque option DHCP est définis dans une variable
IP6_‹name› Certaines variables IPv4 sont également disponible pour IPv6
DHCP6_‹name› Certaines variables IPv4 sont également disponible pour IPv6
CONNECTIVITY_STATE L'état de connexion réseau

   Dans le cas du VPN, VPN_IP_IFACE est définis, et les variables IP4_* et IP6_* avec le préfixe VPN sont exportés également, comme VPN_IP4_ADDRESS_0, VPN_IP4_NUM_ADDRESSES.

   Les scripts sont lancés un à la fois, mais de manière asynchrone depuis le processus principale NetworkManager, et sont tués s'ils sont trop long. Si un script doit prendre beaucoup de temps pour s'exécuter, il faut lancer un processus enfant pour que le parent puisse se terminer rapidement. Les scripts qui sont des liens symboliques pointant dans /etc/NetworkManager/dispatcher.d/no-wait.d/ sont lancés immédiatement, sans attendre la fin du script précédent.

OPTIONS

-N, --no-daemon Ne lance pas en tâche de fond
-d, --debug Mode debug
-p, --pid-file Spécifie l'emplacement du fichier pid
--state-file Spécifie un fichier pour stocker l'état de NetworkManager. Défaut: /var/lib/NetworkManager/NetworkManager.state
--config Spécifie le fichier de configuration. Défaut: /etc/NetworkManager/NetworkManager.conf
--plugins Liste les plugins utilisés pour gérer les paramètres de connexions système. (keyfile, ifcfg-rh, ifcfg-suse, ifupdown)
--log-level Définis le niveau de log
--log-domains Liste d'opérations loggés
--print-config Affiche la configuration de NetworkManager

Propriétés udev

   Le gestionnaire de périphérique udev est utilisé pour la découverte. Les propriétés suivantes influencent la manière dont NetworkManager gère les périphériques:

NM_UNMANAGED Aucune connexion par défaut n'est créé et ne tente pas d'activation automatique si cette propriété est à 1.

Signaux

SIGHUP Recharge la configuration de NetworkManager
SIGUSR1 Force à ré-écrire la configuration DNS, mais ne redémarre pas le plugin dns et n'interrompt pas la résolution de nom.
^
05 mai 2017

htmlpdflatexmanmd




NetworkManager.conf

NetworkManager.conf

Fichier de configuration de NetworkManager

   /etc/NetworkManager/NetworkManager.conf, /etc/NetworkManager/conf.d/name.conf, /usr/lib/NetworkManager/conf.d/name.conf, /var/lib/NetworkManager/NetworkManager-intern.conf sont les emplacement par défaut de la configuration de NetworkManager

[main]

plugins[+|-]=‹plugin› Définis une liste de plugins à utiliser. Défaut: keyfile
monitor-connection-files Définis si les plugins configurés devraient définir les monitors de fichier. Désactivé par défaut.
auth-polkit Spécifie si le système utilise PolicyKit pour l'authorisation. à false, toutes les requêtes sont autorisées. à true, les requêtes non-root sont autorisées en utilisant PolicyKit. Défaut: true.
dhcp Définis le client DHCP utilisé. (dhclient, dhcpd, internal). Défaut: les 3, dans cet ordre.
no-auto-default Spécifie les périphériques pour lesquels NetworkManager ne devrait pas créer de connexion par défaut. Par défaut, NetworkManager crée une connexion pour tout périphérique Ethernet qui est géré et qui n'a pas de connexion configuré. Peut avoir la valeur spéciale '*' pour s'appliquer à tous les périphériques. /var/run/NetworkManager/no-auto-default.state contient ces périphériques pour empêcher de créer la connection par défaut. Cette liste peut contenir une liste de périphérique ou d'adresse MAC.
ignore-carrier
assume-ipv6ll-only Spécifie les périphériques pour lequels NetworkManager tente de générer une connexion basé sur la configuration initiale quand le périphérique a seulement une adresse de lien local IPv6
configure-and-quit à true, NetworkManager quitte une fois la configuration réseau initiale terminée, et lance des helpers pour préserver les bails dhcp et les adresses ipv6
dns Définis le mode de traitement dns (resolv.conf):

        default met à jours /etc/resolv.conf
        dnsmask Lance dnsmask comme serveur de nom cache local, en utilisant un split dns s'il y a une connexion VPN. Il est possible de passer des paramètre à dnsmask en les ajoutant dans les fichiers dans ${prefix}/etc/NetworkManager/dnsmasq.d/
        unbound NetworkManager utilise dnssec-triggerd avec une configuration split DNS et le support de dnssec. /etc/resolv.conf est géré par dnssec-triggerd
        none NetworkManager ne modifie pas resolv.conf. implique "rc-manager unmanaged"

rc-manager Définis le mode de gestion de /etc/resolv.conf.

        symlink /etc/resolv.conf est un lien vers un fichier dans le répertoire runtime. Si /etc/resolv.conf est déjà un lien pointant vers un autre emplacement, il n'est pas modifié.
        file NetworkManager gérer /etc/resolv.conf comme fichier.
        resolvconf Lance resolvconf pour mettre à jours la configuration DNS
        netconfig Lance netconfig pour mettre à jours la configuration DNS
        unmanaged Ne touche pas à /etc/resolv.conf

debug Liste séparé par des "," d'options de debuggage. Cette valeur est combinée avec la variable NM_DEBUG. Les valeurs supportées sont:

        RLIMIT_CORE Définis "ulimit -c unlimited" pour écrire les coredumps.
        fatal-warnings Définis g_log_set_always_fatal() sur coredump dans les messages d'alert de glib. == --g-fatal-warnings

autoconnect-retries-default Nombre de fois qu'une activation de connexion devrait être automatiquement tenté avant de basculer sur une autre. Ne s'applique que pour les connexions qui peuvent auto-connect et ont la propriété "connection.autoconnect-retries" à -1. Défaut: 4

[keyfile]

   Cette section contient les options spécifique au plugin keyfile, et est normalement utilisé quand on utilise pas d'autre plugin spécifique à une distribution

path Emplacement où les keyfiles sont lus et stockés. Défaut: ${prefix}/etc/NetworkManager/conf.d
unmanaged-devices Voir la section format de liste de périphérique pour la syntaxe

[ifupdown]

   Cette section contient les options spéciques au plugin ifupdown

managed à true, les interfaces d-ans /etc/network/interfaces sont gérées par NetworkManager. Défaut: false

[logging]

   Cette section contrôle les log de NetworkManager. Ces paramètres peuvent être écrasés par les options --log-level et --log-domains

level Niveau de verbosité (OFF, ERR, WARN, INFO, DEBUG, TRACE)
domains Liste de domaines: PLATFORM, RFKILL, ETHER, WIFI, BT, MB, DHCP4, DHCP6, PPP, WIFI_SCAN, IP4, IP6, AUTOIP4, DNS, VPN, SHARING, SUPPLICANT, AGENTS, SETTINGS, SUSPEND, CORE, DEVICE, OLPC, WIMAX, INFINIBAND, FIREWALL, ADSL, BOND, VLAN, BRIDGE, DBUS_PROPS, TEAM, CONCHECK, DCB, DISPATCH, AUDIT, SYSTEMD, VPN_PLUGIN, NONE, ALL, DEFAULT, DHCP, IP.
backend debug (syslog+stderr), syslog, journal
audit Envoie les enregistrements d'audit à auditd. À false, ces données sont seulement envoyées au système de logging système. Défaut: true

[connection]

   Spécifie les valeurs par défaut pour les connexions

connection.autoconnect-slaves
connection.lldp
connection.stable-id
ethernet.cloned-mac-address
ethernet.generate-mac-address-mask Défaut: preserve
ethernet.mtu à 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
ethernet.wake-on-lan
infiniband.mtu à 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou laissé non-spécifié
ip-tunnel.mtu À 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
ipv4.dad-timeout
ipv4.dhcp-timeout
ipv4.route-metric Non spécifié, la valeur par défaut pour l'interface est utilisée
ipv6.ip6-privacy non définis, utilise le contenu de /proc/sys/net/ipv6/conf/default/use_tempaddr
ipv6.route-metric
vpn.timeout Défaut: 60 secondes
Wifi.ccloned-mac-address défaut: preserve
wifi.mtu À 0, le MTU n'est pas reconfiguré durant l'activation du périphérique sauf si requis par les contraintes IPv6. Non spécifié, un DHCP6/SLAAC est utilisé ou une valeur par défaut de 1500
wifi.powersave Défaut: ignore

Sections connection

Il est possible de configurer plusieurs sections connection en ayant des noms qui commencent tous par "connection":
[connection]
ipv6.ip6-privacy=0
connection.autoconnect-slaves=1
vpn.timeout=120
    
[connection-wifi-wlan0]
match-device=interface-name:wlan0
ipv4.route-metric=50
    
[connection-wifi-other]
match-device=type:wifi
ipv4.route-metric=55
ipv6.ip6-privacy=1

   Les sections avec un fichier sont considérés dans l'ordre d'apparence, à l'exception que la section [connection] est toujours considéré en dernier. En vérifiant une valeur par défaut, les sections sont recherchés jusqu'à ce que la valeur soit trouvée.

   Les propriétés suivantes contrôle comment une section connection s'applique:

match-device Permet de restreindre les périphériques
stop-match (bool) Si match-device match, les sections suivantes ne sont pas considérés. Défaut: no

[device]

   Configuration persistante par périphérique. Exemple:
   match-device=interface-name:eth3

   Les propriétés suivantes sont supportés:

ignore-carrier Spécifie les périphérique pour lesquel NetworkManager va ignorer l'état carrier. Normalement, pour les périphériques qui supportent carrier-detect comme Ethernet et InfiniBand, NetworkManage n'autorise seulement à activer une connexion si carrier est présent (ex: un cable est connecté), et est désactivé si carrier est détruit plus de quelques secondes
wifi.scan-rand-mac-address Configure la génération aléatoire d'adresse MAC durant le scan. Défaut: yes.
wifi.scan-generate-mac-address-mask Tout comme les paramètres par connection ethernet.generate-mac-address-mask et wifi.generate-mac-address-mask, permet deconfigurer la génération aléatoire MAC durant le scan

Sections device

   Tout comme la section [connection], la section [device] fonctionne de manière similaire

[connectivity]

   Cette section contrôle la fonctionnalité de vérification de connectivité optionnelle de NetworkManager. Cela permet de détecter si le système peut accéder à internet ou s'il est derrière un portail captif.

uri L'URI d'une page web à requêter périodiquement. Cette page devrait retourner l'en-tête X-NetworkManager-Status avec une valeur "online". Alternativement, le corp peut être être définis à "NetworkManager is online".
interval Interval en secondes de vérification de la connectivité
response Contrôle la vérification du contenu du corps. Défaut: "NetworkManager is online"

[global-dns]

   Cette section configure les paramètres DNS globaux qui écrasent la configuration spécifique à une connection

search Liste de domaines de recherche
options Liste d'options à passer au résolveur

[global-dns-domain]

   Les sections commençant par "global-dns-domain-" autorisent une configuration DNS globale pour des domaines spécifiques. La partie du nom qui suit spécifie le nom du domaine auquelle la section s'applique.

servers Liste d'adresses de serveurs DNS à utiliser
options Liste d'options DNS spécifique au domaine

[.config]

   Section spéciale qui contient les options qui s'appliquent au fichier de configuration qui contient l'option

enable à false, le fichier de configuration n'est pas pris en compte durant le chargement. Défaut: true. Noter que le fichier principal NetworkManager.conf ne peut pas être désactivé

Plugins

keyfiles plugin générique qui supporte tous les types de connection et capacités de NetworkManager.
ifcfg-rh Utilisé sous Fedora et RedHat et lit et écris les configuration dans /etc/sysconfig/network-scripts/ifcfg-*. Activer ce module active également ibft. Utiliser no-ibft pour l'empêcher
ifcfg-suse Déprécié. Utiliser keyfile à la place
ifupdown Plugin pour les distributions Debian et Ubuntu.
ibft, no-ibft Permet de lire la configuration iBFT (iSCSI Boot Firmware Table). La configuration est lue avec /sbin/iscsiadm. Noter que ibft utilise /sbin/iscsiadm et donc nécessite CAP_SYS_ADMIN.

Format de listing de périphérique

Matche tous les périphériques
IFNAME match le nom de l'interface (sensible à la casse)
HWADDR Match l'adresse MAC du périphérique
interface-name-IFNAME, interface-name:~ IFNAME Match le nom de l'interface du périphérique. le globbing est supporté (* et ?). sensible à la casse
interface-name:=IFNAME Matche de nom de l'interface. Pas de globbing et sensible à la casse
mac:HWADDR Matche l'adresse MAC de l'interface
s390-subchannels:HWADDR Matche le périphérique basé sur l'adresse subchannel
type:TYPE Matche le type de périphérique
except:SPEC Match négatif de périphérique
SPEC[,;]SPEC Plusieurs SPECS peuvent être concaténés.

Exemples:
interface-name:em4
mac:00:22:68:1c:59:b1;mac:00:1E:65:30:D1:C4;interface-name:eth2
interface-name:vboxnet*,except:interface-name:vboxnet2
*,except:mac:00:22:68:1c:59:b1
^
05 mai 2017

htmlpdflatexmanmd




nmcli

nmcli

Outil d'administration de NetworkManager

   Cet outil contrôle NetworkManager et affiche le status réseaux.

OPTIONS

-t, --terse Affichage adapté aux traitement dans les scripts
-p, --pretty Affiche plus compréhensible
-m, --mode { tabular | multiline } Affichage tabulaire ou multiligne. Défaut: multiline
-c, --colors {yes | no | auto} Contrôle si la sortie utilise les couleurs. Défaut: auto
-f, --fields { field1,field2...|all|common } Contrôle les champs affiché sur la sortie. Défaut: common
-e, --escape {yes|no} Indisque si les caractères : et \ sont échappés en mode terse. Défaut: yes
-a,--ask nmcli stop et demande des arguments. Utile pour demander un mot de passe
-s, --show-secrets Affiche les mots de passe et secrets qui peuvent être présent dans la sortie.
-w, --wait seconds Délai d'attente d'une opération NetworkManager. Utile pour les commande qui prennent du temps comme l'activation de connection. 0 signifie pas d'attente
--complete-args Affiche la liste des arguments possible pour le dernier argument.

Commande general

status Affiche le status général de NetworkManager
hostname [hostname] Affiche ou définis le nom d'hôte.
permissions Affiche les permissions qu'un appelant a pour diverses opérations authentifiées
logging [level level][domains domains...] Affiche ou change le niveau de log de NetworkManager et les domaines.

Commande networking

on, off Active ou désactive le contrôle du réseaux par NetworkManager.
connectivity [check] Affiche l'état de la connectivité réseaux. L'état indiques:

        none L'hôte n'est pas connecté à un réseau
        portal L'hôte est derrière un portail captif et ne peut pas accéder à Internet
        limited L'hôte est connecté à un réseau, mais n'a pas accès à internet
        full L'hôte est connecté à un réseau et a pleinement accès à internet
        unknown Le status de connectivité ne peut être trouvé

Commande radio

wifi [on|off] Affiche ou définis le status du WiFi dans NetworkManager.
wwan [on|off] Affiche ou définis le status de WWAN dans NetworkManager
al [on|off] Affiche ou dfinis le status du wifi et WWAN dans NetworkManager

Commande monitor

   Observe l'activité NetworkManager. Regarde les changements d'état de connectivité, périphérique ou profiles de connexion.

Commande connection

show [--active][--order[+-]category:...] Liste les profiles de connection sur disque et en mémoire. --order permet d'afficher dans un ordre particulier (active, name, type, path). sans préfix ou avec +, trie dans l'ordre ascendant.
show [--active][id|uuid|path|apath] ID... Affiche des détails pour les connections spécifiées. --active affiche seulement les profiles actifs. Les mots clés sont utilisé si l'ID est ambigus:

        id L'ID dénote le nom d'une connexion
        uuid L'ID dénote un UUID de connexion
        path l'ID dénote un chemin de connexion D-Bus
        apath L'ID dénote un chemin de connexion actif D-Bus

up [id|uuid|path] ID [ifname ifname] [ap BSSID] [passwd-file file] Active une connexion. La connexion est identifiée par son nom, UUID ou chemin D-Bus. Si l'ID est ambigus le mot clé id, uuid ou path peut être utilisé. si requis, ifname sélectionne un périphérique particulier. ap spcécifie un BSSID de l'AP à utiliser dans le cas de connexions Wi-Fi. --wait spécifie le timeout (defaut: 90s). passwd-file spécifie les accréditifs pour l'activation. peut être sous la forme:

        setting_name.property_name:the password Spécifie le mot de passe explicitement
        802-11-wireless-security.psk:secret12345 Pour WPA PSK
        802-1x.password:my 1X password mot de passe 802.1x

down [ id | uuid | path | apath ] ID... Désactive une connexion
modify [--temporary] [ id | uuid | path ] ID { option value | [+|-]setting.property value } ... Ajoute, modify ou supprime des propriétés dans le profile de connexion. une valeur "" supprime la valeur.
add [save { yes | no }] { option value | [+|-]setting.property value } ... Créé une nouvelle connexion en utilisant les propriétés spécifiées.. Pour construire une connexion significative il faut nécessairement la propriété connection.type (ethernet, wifi, wimax, pppoe, gsm, cdma, infiniband, bluetooth, vlan, bond, bond-slave, team, team-slave, bridge, bridge-slave, vpn, olpc-mesh, adsl, tun, ip-tunnel, macvlan, vxlan). save contrôle si la connexion doit être persistante
edit { [ id | uuid | path ] ID | [type type] [con-name name] } Édite une connexion existante, ou en ajouter une, en utilisant un éditeur interactif. type spécifie le type de connexion, et con-name spécifie le nom pour la connexion.
clone [--temporary] [ id | uuid | path ] ID new_name Clone une connexion. La connexion clonée est identifiée par son nom, UUID, ou chemin D-Bus. --temporary ne conserve pas le nouveau profile au redémarrage
delete [ id | uuid | path ] ID... Supprime une connexion configurée
monitor [ id | uuid | path ] ID... supervise l'activité du profile de connexion. Affiche une ligne si la connexion spécifiée change
reload Recharge tous les fichiers de connexion depuis le disque
load filename Charge/recharge un ou plusieurs fichiers de connexion.
import [--temporary] type type file file Importe une configuration externe comme profile NetworkManager. Le type de fichier d'entrée est spécifiée par type
export [id|uuid|path] ID [file] Exporte une connexion. Seul les connexions VPN sont supportés pour le moment.

Commande device

status Affiche le status du périphérique. C'est l'action par défaut
show [ifname] Affiche des informations détaillées sur les périphériques. Sans argument, examine tous les périphériques.
set [ifname] ifname [ autoconnect { yes | no } ] [ managed { yes | no } ] Définis les propriétés du périphérique
connect ifname Connecte le périphérique. NetworkManager tente de trouver une connexion convenable à activer. Il considère également les connexions non-autoconnect
reapply ifname Tente de mettre à jours de le périphérique
modify ifname { option value | [+|-]setting.property value }... Modifie le paramètre courant du périphérique. Cette commande permet d'effectuer des changements temporaires de la configuration active.
disconnect ifname Déconnecte un périphérique et empêche de périphérique d'activer d'autres connections sans intervention manuelle.
delete ifname Supprime un périphérique. Supprime l'interaface du système. Ne fonctionne que pour les périphériques logiciels
monitor [ifname...] Supervise l'activité du périphérique. Affiche une ligne indiquant le changement d'état de l'interface
wifi [list [ifname ifname][bssid BSSID]] Liste les points d'accès wifi.
wifi connect (B)SSID [password password] [ wep-key-type { key | phrase } ] [ifname ifname] [bssid BSSID] [name name] [ private { yes | no } ] [ hidden { yes | no } ] Connecte un réseaux Wi-Fi spécifié par son SSID ou BSSID. La commande créé une nouvelle connexion et l'active sur un périphérique.

        password Mot de passe WEP ou WPA
        wep-key-type Type de secret WEP, (key ou phrase)
        ifname Interface à utiliser pour l'activation
        bssid La connexion créée est restreinte pour le BSSID
        name Nom de la connexion
        private à yes, la connexion n'est visible que de l'utilisateur qui l'a créé.
        hidden à yes, pour les points d'accès qui ne broadcast pas le SSID

wifi hotspot [ifname ifname] [con-name name] [ssid SSID] [ band { a | bg } ] [channel channel] [password password] Créé un hotspot Wi-Fi. La commande créé un profile de connection hotspot en accord avec les capacités du périphérique Wi-Fi, et l'active. Le hotspot est sécurisé avec WPA si le périphérique/pilote le supporte, WEP sinon. Utiliser connection down ou device disconnect pour stopper le hotspot. Les paramètres sont:

        ifname Périphérique à utiliser
        con-name Nom du profile à créer
        ssid SSID du hotspot
        band bande Wi-Fi à utiliser
        channel Canal Wi-Fi à utiliser
        password Mode de passe à utiliser. Non fournis, nmcli en génère un. Noter que --show-secrets peut être utilisé pour afficher le mot de passe.
        wifi rescan [ifname ifname][ssid SSID...] Rescan immédiatement les points d'accès disponibles. en spécifiant le SSID, il est possible de rechercher ce SSID spécifique.
        lldp [ list [ ifname ifname ]] Affiche des informations sur les périphériques voisins appris via le protocole lldp.

Commande agent

secret Enregistre nmcli comme agent secret NetworkManager et écoute les demandes de secrets. Ce n'est généralement pas nécessaire parce que nmcli peut gérer les secrets à la connection aux réseaux.
polkit Enregistre nmcli comme agent polkit pour la session utilisateur.
all Lance nmcli comme secret NetworkManager et agent polkit

Variables d'environnement

LC_ALL Langage à utiliser pour déterminer le jeu de caractères
LC_MESSAGES Utilisé pour rechercher les locales
LANG Langage à utiliser pour déterminer le jeu de caractères

Codes de sortie

0 succès
1 Erreur non-spécifiée ou inconnue
2 entrée utilisateur invalide
3 Timeout expiré (--wait)
4 Activation de connexion échouée
5 Désactivation de connexion échouée
6 Déconnexion de périphérique échouée
7 Suppression de connexion échouée
8 NetworkManager n'est pas en cours de fonctionnement
10 La connection, périphérique ou point d'accès n'existe pas
65 avec --complete-args, un nom de fichier est attendu.

Exemples

Voir si NetworkManager est en cours de fonctionnement
nmcli -t -f RUNNING general
Affiche le status de NetworkManager
nmcli -t -f STATE general
Désactiver le wifi
nmcli radio wifi off
Lister les connexions que possède NetworkManager
nmcli connection show
Afficher toutes les connexions configurées en mode multiligne
nmcli -p -m multiline -f all con show
Lister toutes les connexions actives
nmcli connection show --active
Afficher tous les noms de profile de connexion et leur propriété auto-connect
nmcli -f name,autoconnect c s
afficher des détails pour le profile de connexion "My default em1"
nmcli -p connection show "My default em1"
AFficher des détails pour "My Home Wifi" avec tous les mots de passe:
nmcli --show-secrets connection show "My Home WiFi"
Affiche des détails pour la connexion active "My default em1":
nmcli -f active connection show "My default em1"
afficher les détails de configuration statique du profile de connexion
nmcli -f profile con s "My wired connection"
Activer un profile de connexion sur eth0
nmcli -p con up "My wired connection" ifname eth0
Connecter le Wi-Fi avec l'uuid spécifié au point d'accès donné
nmcli con up 6b028a27-6dc9-4411-9886-e9ad1dd43761 ap 00:3A:98:7C:42:D3
Aficher le status de tous les périphériques
nmcli device status
Déconnecter une connection de l'interface em2 et marquer le périphérique comme indisponibble pour l'auto-connexion.
nmcli dev disconnect em2
Afficher des détails pour wlan0, en limitant aux sections GENERAL et WIFI-PROPERTIES
nmcli -f GENERAL,WIFI-PROPERTIES dev show wlan0
Afficher tous les profiles de connection disponibles pour l'interface Wi-Fi wlp3s0
nmcli -f CONNECTIONS device show wlp3s0
Lister tous les points d'accès disponibles connus
nmcli dev wifi
Créer une nouvelle connexion nommée "My cafe" et le connecter au SSID "Cafe Hotspot 1" avec le mot de passe caffeine.
nmcli dev wifi con "Cafe Hotspot 1" password caffeine name "My cafe"
Créer un profile hotspot et se connecter. Affiche le mot de passe
nmcli -s dev wifi hotspot con-name QuickHotspot
Démarre un partage de connexion IPv4 en utilisant le périphérique em1. Le partage est activé jusqu'à ce que le périphérique soit déconnecté
nmcli dev modify em1 ipv4.method shared
Ajoute temporairement une adresse IP au périphérique
nmcli dev modify em1 ipv6.address 2001:db8::a:bad:c0de
Ajoute non-interactivement une connexion Ethernel à eth0 avec DHCP, puis désactive le flag autoconnect
nmcli connection add type ethernet autoconnect no ifname eth0
Ajoute un VLAM avec l'id 55, sur eth0 et nommé Maxipes-fik
nmcli c a ifname Maxipes-fik type vlan dev eth0 id 55
Ajoute une connexion qui utiliser eth0 et a seulement une IPv6 lien-local
nmcli c a ifname eth0 type ethernet ipv4.method disabled ipv6.method link-local
Édite une connexion existante dans un éditeur interactif
nmcli connection edit ethernet-em1-2
Ajoute une nouvelle connexion Ethernet dans l'éditeur interactif
nmcli connection edit type ethernet con-name "yet another Ethernet connection"
Modifie la propriété autoconnect
nmcli con mod ethernet-2 connection.autoconnect no
Modifie le propriété mtu dans les paramètre wi-fi d'une connexion
nmcli con mod "Home Wi-Fi" wifi.mtu 1350
Définis l'adressage manuellement et les adresse dans le profile em1-1
nmcli con mod em1-1 ipv4.method manual ipv4.addr "192.168.1.23/24 192.168.1.1, 10.10.1.5/8, 10.0.0.11"
Ajoute un serveur DNS public google aux serveurs DNS dans le profile ABC
nmcli con modify ABC +ipv4.dns 8.8.8.8
Supprime l'adresse IP spécifiée du profile ABC
nmcli con modify ABC -ipv4.addresses "192.168.100.25/24 192.168.1.1"
Importe une configuration OpenVPN
nmcli con import type openvpn file ~/Downloads/frootvpn.ovpn
Export le profile VPM
nmcli con export corp-vpnc /home/joe/corpvpn.conf
^
05 mai 2017

htmlpdflatexmanmd




nm-online

nm-online

Indiquer si le réseau est connecté

   nm-online est un utilitaire qui cherche à savoir si vous être online. C'est fait en demandant à NetworkManager son status.

OPTIONS

-t, --timeout Délai d'attente pour une connexion. défaut: 30 secondes
-x, --exit Quitte immédiatement si NetworkManager ne fonctionne pas ou se connecte
-q, --quiet N'affiche rien
-s, --wait-for-startup Attend que NetworkManager ait complété son démarrage.

Codes de sortie

0 Succès - déjà online ou connexion établie durant le timeout
1 offline
2 Erreur inattendue
^
15 août 2016

htmlpdflatexmanmd




rfc2460

rfc2460

Spécification IPv6

   IPv6 succède à IPv4 et apporte les changements suivant:

Capacités d'adressage étendus IPv6 étend la taille d'adresse de 32 bits à 128 bits, pour supporter un plus grand nombre de nœuds adressables, et une auto-configuration plus simple. Le routage multicast est amélioré en ajoutant un scope aux adresses multicast. Un nouveau type d'adresse appelés adresse anycast est définis, utilisé pour envoyer un paquet à n'importe qui dans un groupe de nœud.
Simplification du format d'en-tête Certains champs IPv4 ont été supprimés, d'autre rendus optionnels, pour réduire le coût de traitement de la manipulation des paquets et pour limiter le coût de la bande passante de l'en-tête IPv6.
Support amélioré pour les extensions et les options Change la manière dont les options de l'en-tête sont encodées pour un forwarding plus efficace et une plus grande flexibilité.
Capacité de labélisation de flux Permet de labéliser les paquets appartenant à un trafic particulier pour lequel l'émetteur demande une manipulation spéciale.
Authentification et confidentialité Les extensions pour supporter l'authentification, l'intégrité des données, et la confidentialité des données.

Terminologie

node Un périphérique qui implémente IPv6
router Un nœud qui transmet les paquets IPv6 qui ne lui sont pas adressés
host Tout nœud qui n'est pas un routeur
upper layer Un protocole de la couche immédiatement au dessus d'IPv6, comme TCP ou UDP.
link Un moyen de communication sur lequel les nœud peuvent communiquer, ex: Ethernet, PPP, X.25, Frame Relay, ou ATM
neighbors Un nœud attaché au même lien
interface L'attachement d'un nœud à un lien
address Un identifiant de la couche IPv6 pour une interface ou un jeu d'interfaces.
packet Un en-tête IPv6 plus le payload
link MTU Maximum Transmission Unit: taille max d'un paquet qui peut être véhiculé sur un lien.
path MTU Le MTU le plus faible de tous les liens dans le chemin entre un nœud source et un nœud de destination.

Format de l'en-tête


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version|_Traffic_Class_|___________Flow_Label__________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_________Payload_Length________|__Next_Header__|___Hop_Limit___|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+_________________________Source_Address________________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+______________________Destination_Address______________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Version 4bits - numéro de version du protocole (6)
Traffic Class 8bits - Champ de classe de trafic
Flow Label 20bits - Label
Payload Length 16bits - Longueur du payload IPv6
Next Header 8bits - Identifie le type d'en-tête qui suit. Utilise les même valeurs que IPv4
Hop Limit 8bits - Décrémenté de 1 par chaque nœud qui forward le paquet.
Source Address 128bits - Adresse de l'émetteur
Destination Address 128bits - Adresse du destinataire

   Dans IPv6, les information optionnelles sont encodées dans des en-tête séparées qui peuvent être placés entre l'en-tête IPv6 et l'en-tête de la couche supérieur. Il peut y avoir 0, 1 ou plusieurs extensions, chacun identifié par le champ next header:

Format de l'en-tête


+---------------+------------------------
|__IPv6_header__|_TCP_header_+_data
|_______________|
|_Next_Header_=_|
|______TCP______|
+---------------+------------------------

+---------------+----------------+------------------------
|__IPv6_header__|_Routing_header_|_TCP_header_+_data
|_______________|________________|
|_Next_Header_=_|__Next_Header_=_|
|____Routing____|______TCP_______|
+---------------+----------------+------------------------

+---------------+----------------+-----------------+-----------------
|__IPv6_header__|_Routing_header_|_Fragment_header_|_fragment_of_TCP
|_______________|________________|_________________|__header_+_data
|_Next_Header_=_|__Next_Header_=_|__Next_Header_=__|
|____Routing____|____Fragment____|_______TCP_______|
+---------------+----------------+-----------------+-----------------

   À une exception, les en-tête d'extension ne sont pas examinés ou traités par les nœuds le long du chemin, jusqu'à ce que le paquet atteigne le nœud identifié dans le champ destination address. Donc, un démultiplexage normal dans le champ next header invoque le module pour traiter la première extension, ou l'en-tête du upper-layer s'il n'y a pas d'extension. Le contenu et les sémantiques de chaque extension détermine si ou non on doit traiter le next header. Cependant, les en-têtes d'extension doivent être traités strictement dans l'ordre auquel ils apparaissent dans le paquet.

   L'extension Hop-by-Hop est une exception, qui gère les informations qui doivent être examinés et traités par tous les nœuds dans le chemin de livraison, incluant les nœuds source et de destination. Cet extension doit suivre immédiatement l'en-tête IPv6. Sa présence est indiquée par la valeur 0 dans le champs next header.

   Si, en résultat du traitement d'un en-tête, un nœud nécessite de traiter le next header mais que la valeur de next header n'est pas reconnue par le nœud, il devrait détruire le paquet et envoyer un message ICMP Parameter Problem à la source du paquet, avec un code ICMP de 1 et un Pointeur ICMP contenant l'offset de la valeur non reconnue dans le paquet. La même action devrait être faite si un nœud rencontre un next header de 0 dans un en-tête autre que l'en-tête IPv6

   Chaque en-tête d'extension est un entier multiple de 8 octets, pour pouvoir maintenir un alignement 8 octets pour les autres en-têtes. Une implémentation complète d'IPv6 inclus l'implémentation des en-tête d'extension suivantes:

Hop-by-Hop Options
Routing (Type 0)
Fragment
Destination Options
Authentication
Encapsulating Security Payload

   Les 4 premiers sont spécifiés dans ce document, les 2 derniers sont spécifiés dans la rfc2402 et la rfc2406.

Ordre d'en-tête d'extension

   Quand plus d'un en-tête d'extension sont utilisé dans le même paquet, il est recommandé qu'ils apparaissent dans l'ordre suivant:

IPv6 header
Hop-by-Hop Options header
Destination Options header (note 1)
Routing header
Fragment header
Authentication header (note 2)
Encapsulating Security Payload header (note 2)
Destination Options header (note 3)
upper-layer header

note 1: Pour les options à traiter par la première destination qui apparaît dans le champ Destination Address plus les destinations suivante listée dans l'en-tête Routing.
note 2: Des recommandation additionnelles au regard le l'ordre des en-tête d'authentification et d'encapsulation sont donnés dans la rfc2406.
note 3: Pour les options à traiter seulement par la destination finale du paquet.

   Chaque en-tête d'extension devrait exister un seule fois au plus, excepté pour l'en-tête Destination Options qui devrait exister au plus 2 fois.

   Si l'en-tête upper-layer est un autre en-tête IPv6, il peut seulement être suivant par ses propres extensions, qui sont sujet aux même recommandation d'ordre.

   Si et quand d'autre en-tête d'extension sont définis, leur contrainte d'ordre relative aux en-tête définis plus haut doivent être spécifiés.

Options

2 des en-tête d'extension définis ici -- Hop-by-Hop et Destination Header -- gère un nombre variable d'options type-length-value (TLV) encodés, dont le format est le suivant:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-_-_-_-_-_-_-_-_-
|__Option_Type__|__Opt_Data_Len_|__Option_Data____
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-_-_-_-_-_-_-_-_-

Option Type 8bits - identifiant du type d'option
Opt Data Len 8bits - Longueur du champ Option Data en octets
Option Data Champ de longueur variable.

   La séquence d'options dans un en-tête doit être traité strictement dans l'ordre qu'ils apparaissent dans l'en-tête. Les identifiant d'Option Type sont encodés en interne de manière à ce que leur 2 bit MSB spécifient l'action à effectuer si le nœud le traitant ne reconnaît pas l'Option Type:

00 Passe l'option et continue à traiter l'en-tête
01 Supprime le paquet
10 Détruit le paquet et envoie un ICMP parameter Problem, Code 2.
11 Détruit le paque et envoie un ICMP parameter Problem, Code 2 seulement si de Destination Address n'est pas une adresse multicast.

   Le bit suivant spécifie si l'Option Data de cette option peut changer en cour de route vers la destination finale. Quand un en-tête d'authentification est présent dans le paquet, pour une option dont la donnée peut changer en cour de route, tout son champ Option Data doit être traité comme une série de 0 en calculant ou en vérifiant la valeur d'authentifiant le paquet.

0 Option Data ne change pas en cour de route
1 Option Data peut changer en cour de route

   Les 3 bits MSB décris ci-dessus sont traités comme partie de l'Option Type, et non indépendamment. Le même espace de numérotation d'Option Type est utilisé par Hop-by-Hop et Destination Options. Cependant, la spécification d'une option particulière peut restreindre son utilisation à seulement un de ces en-tête.

   Des options individuelles peuvent avoir des besoin d'alignement spécifiques, pour s'assurer que les valeurs multi-octets dans Option Data conserve les limites naturelles. L'alignement requis d'une option est spécifiée en utilisant la notation xn+y, signifiant que l'Option Type doit apparaître comme un multiple entier de x octets du début de l'en-tête, plus y octets. Par exemple:

2n Signifie un offset 2 octets depuis le début de l'en-tête
8n+2 Signifie un offset 8 octets depuis le début de l'en-tête, plus 2 octets.

   Il y a 2 options de padding qui sont utilisées si nécessaire pour aligner les options suivantes et aligner l'en-tête à un multiple de 8 octets. Ces options de padding doivent être reconnues par toutes les implémentations IPv6:

Pad1 (alignement requis: non)
+-+-+-+-+-+-+-+-+
|_______0_______|
+-+-+-+-+-+-+-+-+

   Note: le format de l'option Pad1 est un cas spéciale, il n'a pas de champs de longueur et valeur. Cette option est utilisée pour insérer un octet de padding dans les options de l'en-tête. Si plus d'un octet de padding sont requis, l'option PadN, ci-dessous, doit être utilisé:

PadN (alignement requis: non)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-_-_-_-_-_-_-_-_-
|_______1_______|__Opt_Data_Len_|__Option_Data
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-_-_-_-_-_-_-_-_-

   L'option PadN est utilisé pour insérer 2 ou plusieurs octets de padding dans les options de l'en-tête. Pour N octets de padding, le champs Opt Data Len contient la valeur N-2, et l'Option Data consiste de N-2 octets de valeur 0.

Hop-by-Hop

   L'option Hop-by-Hop est utilisé pour gérer les information optionnelles qui doivent être examinés par tous les nœud le long du chemin de livraison du paquet. Cette option est identifiée par la valeur Next Header 0 dans l'en-tête IPv6, et a le format suivant:


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|__Hdr_Ext_Len__|_______________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+_______________________________+
|_______________________________________________________________|
._______________________________________________________________.
.____________________________Options____________________________.
._______________________________________________________________.
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Next Header 8bits - identifie le type d'en-tête immédiatement suivant l'option Hop-by-Hop
Hdr Ext Len 8bits - Longueur de l'option Hop-by-Hop en unité de 8 octets, n'incluant pas les 8 premiers octets.
Options Variable, contient une ou plusieurs options TLV.

Routing

   L'en-tête Routing est utilisé par une source IPv6 pour lister un ou plusieurs nœud intermédiaire à visiter sur le chemin vers la destination du paquet. Cette fonction est très similaire à Loos Source et Record Route d'IPv4. Cet en-tête est identifié par la valeur Next Header de 43 et a le format suivant:


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|__Hdr_Ext_Len__|__Routing_Type_|_Segments_Left_|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
._______________________________________________________________.
._______________________type-specific_data______________________.
._______________________________________________________________.
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Next Header 8bits - identifie le type d'en-tête immédiatement suivant l'option Routing
Hdr Ext Len 8bits - Longueur de l'option Routing en unité de 8 octets, n'incluant pas les 8 premiers octets.
Routing Type 8bits - identifant d'une variante d'en-tête Routing particulière
Segments Left 8bits - Nombre de segment de routes restant à visiter
Type-specific data Variable - le format est déterminé par Routing Type.

   Si, en traitant un paquet reçu, un nœud rencontre un en-tête Routing avec un Routing Type inconnu, le comportement dépend de la valeur du champ Segments Left:

   Si Segment Left vaut 0, le nœud doit ignorer l'en-tête Routing et traiter l'en-tête suivant dans le paquet.

   Si Segment Left ne vaut pas 0, le nœud doit détruire le paquet en envoyer un ICMP Parameter Problem, code 0.

   Si, une fois l'en-tête Routing traité un nœud intermédiaire détermine que le paquet doit être forwardé sur un lien dont le link MTU est inférieur à la taille du paquet, le nœud doit détruire le paquet et envoyer un ICMP Packet Too Big.

L'en-tête Routing Type 0 a le format suivant:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|__Hdr_Ext_Len__|_Routing_Type=0|_Segments_Left_|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|____________________________Reserved___________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+___________________________Address[1]__________________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+___________________________Address[2]__________________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
._______________________________._______________________________.
._______________________________._______________________________.
._______________________________._______________________________.
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+___________________________Address[n]__________________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Next Header 8bits - Identifie le prochain header
Hdr Ext Len 8bits - Longueur de l'en-tête Routing en unité de 8 octets, n'incluant pas les 8 premiers octets
Routing Type 0
Segment Left 8bits - Nombre de segments restant
Reserved 32bits - Initialisé à 0 pour la tranmission; ignorée à la reception
Address[1..n] Vecteur d'adresses 128 bits, numérotées de 1 à n

   Les adresses multicast ne doivent pas apparaître dans l'en-tête Routing de type 0, ou dans le champ Destination Address d'un paquet gérant un en-tête Routing de type 0.

Un en-tête Routing n'est pas examiné ou traité tant qu'il n'atteind pas le nœud identifié dans le champ Destination Address. Dans ce nœud, le module Routing est chargé, et dans le cas du type 0, effectue l'algorithme suivant:
if Segments Left = 0 {
    traite le next header dans le paquet, dont le type est
    identifié par Next Header dans l'en-tête Routing
}
else if Hdr Ext Len is odd {
    Envoie un ICMP Parameter Problem, Code 0 à la source, pointant
    sur le champs Hdr Ext Len, et détruit le paquet
}
else {
    Calcule n, le nombre d'adresses dans l'en-tête Routing, en
    divisant Hdr Ext Len par 2
    
    if Segments Left is greater than n {
        Envoie un ICMP Parameter Problem, Code 0 à la source, pointant
        sur le champ Segments Left, et détruit le paquet
    }
    else {
        décrémente Segments Left de 1;
        Calcule i, l'index de la prochaine adresses à visiter dans
        le vecteur d'adresse, en soustrayant Segment Left de n
    
        if Address [i] or the IPv6 Destination Address is multicast {
            détruit le packet
        }
        else {
            Inverse Destination Address et Address[i]
    
            if the IPv6 Hop Limit is less than or equal to 1 {
                Envoie un ICMP Time Exceeded -- Hop Limit Exceeded
                dans le message Transit à la source et détruit le paquet
            }
            else {
                décrémente Hop Limit de 1
    
                renvoie le paquet au module IPv6 pour le transmettre
                à la nouvelle destination
            }
        }
    }
}

   Considérons le case suivant comme exemple de cet algorithme. Un nœud source S envoie un paquet à destination du nœud D, en utilisant en en-tête Routing pour forcer le paquet à être routé via les nœuds intermédiaire I1, I2 et I3. Les valeurs de l'en-tête IPv6 et des champs d'en-tête Routing sur chaque segment dans le chemin de livraison serait comme suit:

Lorsque le paquet va de S à I1:
Source Address = S    Hdr Ext Len = 6
Destination Address = I1    Segments Left = 3
                Address[1] = I2
                Address[2] = I3
                Address[3] = D

Lorsque le paquet va de I1 à I2:
Source Address = S    Hdr Ext Len = 6
Destination Address = I2    Segments Left = 2
                Address[1] = I1
                Address[2] = I3
                Address[3] = D

Lorsque le paquet va de I2 à I3:
Source Address = S    Hdr Ext Len = 6
Destination Address = I3    Segments Left = 1
                Address[1] = I1
                Address[2] = I2
                Address[3] = D

Lorsque le paquet va de I3 à D:
Source Address = S Hdr Ext Len = 6
Destination Address = D Segments Left = 0
                Address[1] = I1
                Address[2] = I2
                Address[3] = I3

Fragment

   L'en-tête Fragment est utilisé par une source IPv6 pour envoyer un paquet plus grand que dans le path MTU vers sa destination. (À la différence d'IPv4, la fragmentation n'est effectuée que par les nœuds sources). L'en-tête Fragment est identifié par une valeur Next Header de 44 et a le format suivant:


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|___Reserved____|______Fragment_Offset____|Res|M|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_________________________Identification________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Next Header 8bits - identifie le prochain en-tête
Reserved 8bits - Initialisé à 0 pour la transmission, ignorée à la reception
Fragment Offset 13bits - l'offset, en unités de 8 octet de la donnée suivant cet en-tête, relatif au début de la partie Fragmentable du paquet original
Res 2bits - Initialisé à 0 pour la transmission, ignorée à la reception
M flag 1 = d'autres fragments, 0 = dernier fragment.
Identification 32bits - Voir ci-dessous

   Pour envoyer un paquet qui est trop grand pour le MTU du chemin vers sa destination, un nœud source peut diviser le paquet en fragments et envoyer chaque fragment comme paquet séparé, à réassemble par le destinataire.

   Pour tout paquet qui est fragmenté, le nœud source génère une valeur d'identification. Cette identification doit être différente qui tout autre paquet fragmenté envoyé récemment avec la même adresse source et de destination. Si un en-tête Routing est présent, l'adresse de destination à se préoccuper est celle de la destination finale.

Le paquet initial, non-fragmenté est référé au paquet original, et il consiste de 2 parties:
+------------------+----------------------//-----------------------+
|__Unfragmentable__|_________________Fragmentable__________________|
|_______Part_______|_____________________Part______________________|
+------------------+----------------------//-----------------------+

   La partie non-fragmentable consiste de l'en-tête IPv6 plus les en-tête d'extension qui doivent être traités par les nœuds sur le chemin de la destination.

   La partie fragmentable consiste du reste du paquet, c'est à dire les en-tête d'extension qui doivent être traités seulement par la destination, plus le upper-layer.

   La partie Fragmentable du paque original est divisée en fragments, chacun, possiblement excepté du dernier, devient un entier multiple de 8 octets de long. Les fragments sont transmis dans des paquets fragment séparés:


Paquet_original:
+------------------+--------------+--------------+--//--+----------+
|__Unfragmentable__|____first_____|____second____|______|___last___|
|_______Part_______|___fragment___|___fragment___|_...._|_fragment_|
+------------------+--------------+--------------+--//--+----------+

Paquets_fragment:
+------------------+--------+--------------+
|__Unfragmentable__|Fragment|____first_____|
|_______Part_______|_Header_|___fragment___|
+------------------+--------+--------------+

+------------------+--------+--------------+
|__Unfragmentable__|Fragment|____second____|
|_______Part_______|_Header_|___fragment___|
+------------------+--------+--------------+
______________________o
______________________o
______________________o
+------------------+--------+----------+
|__Unfragmentable__|Fragment|___last___|
|_______Part_______|_Header_|_fragment_|
+------------------+--------+----------+

   Chaque fragment est composé de:

        1- La partie non-fragmentable du paquet original, avec le Payload Length de l'en-tête original changé pour contenir la longueur de ce paquet fragment (excluant la longueur de l'en-tête IPv6), et le champ Next Header de dernier en-tête de la partie non-fragmentée changée à 44.
        2- Un en-tête Fragment contenant:

                - La valeur Next Header qui identifie le premier header de la partie Fragmentable du paquet original
                - Un Fragment Offset contenant l'offset du fragment, en unités de 8 octets, relatif au début de la partie fragmentable du paquet originale. Le Fragment Offset du premier fragment est 0.
                - La valeur du flag M à 0 si le fragment est le dernier, sinon 1
                - La valeur d'identification générée pour le paquet original

        3- Le fragment lui-même

À la destination, les paquets fragment sont réassemblés dans leur version non-fragmenté. Les règles suivantes gouvernent le ré-assemblage.

- Un paquet original est ré-assemblé seulement depuis les paquets fragments qui ont la même adresse source, de destination, et d'identification
- La partie non-fragmentable du paquet ré-assemblé consiste de tous les en-tête jusqu'à, mais n'incluant pas, l'en-tête Fragment du premier paquet fragment (c'est à dire avec Fragment Offset à 0), avec les 2 changements suivants:


        - Le champ Next Header du dernier en-tête de la partie non-fragmentable est obtenu du champ Next Header de l'en-tête Fragment du premier fragment.
        - La longueur du paylod du paquet ré-assemblé est calcudé avec la longueur de la partie non-fragmentable, et la longueur et l'offset du dernier fragment. Par exemple, une formule pour calculer la longueur du payload est:
        PL.orig = PL.first - FL.first - 8 + (8 addentry articles autoadd autofind autoprod createalpha createbeta createdb createprod findentry fullpowa generator.php genhtml genman genmd gentex html insert man md pdf regen setfor setfor2 sql temp temp-new-pc tex threads ToDo FO.last) + FL.last où:

                PL.orig= champ Payload Length du paquet réassemblé
                PL.first= champ Payload Length du premier fragment réassemblé
                FL.first= Longueur du fragment suivant l'en-tête Fragment du premier paquet fragment.
                FO.last* Champ Fragment Offset de l'en-tête fragment du dernier paquet fragment
                FL.last= Longueur de fragment suivant l'en-tête fragment du dernier paquet fragment.

- La partie Fragmentable du paquet ré-assemblé est construite depuis les fragments suivant les en-tête fragment dans chaque paquet fragment. La longueur de chaque fragment est calculé en soustrayant du Payload Length du paquet la longueur des en-tête entre l'en-tête IPv6 et le fragment.
- L'en-tête fragment n'est pas présent dans le paquet final ré-assemblé.

   Les erreurs suivant peuvent se produire en réassemblant des paquets fragmentés:

        - Si les fragments reçus sont insuffisant pour réassembler un paquet dans les 60 secondes après la réception du premier fragment de ce paquet, le ré-assemblage du paquet doit être abandonné et tous les paquets fragments détruits. Si le premier fragment (celui avec un Fragment Offset à 0) a été reçu, un ICMP Time Exceeded -- Fragment Reassembly Time Exceeded devrait être envoyé à la source de ce fragment.
        - Si la longueur d'un fragment, comme dérivé du champ Payload Length du paquet fragment, n'est pas un multiple de 8 octets et que le flag M est à 1, alors ce fragment doit être détruit et un message ICMP Parameter Problem, code 0 doit être envoyé à la source, pointant sur le champ Payload Length du paquet fragment.
        - Si la longueur et l'offset d'un fragment sont définis de sorte que le Payload Length du paquet ré-assemblé excède 65535 octets, ce fragment doit être détruit est un ICMP Parameter Problem, code 0 doit être envoyé à la source, pointant sur le champ Fragment Offset du paquet fragment.

   Les conditions suivante ne sont pas sensé se produire, mais ne sont pas considérés comme des erreurs:

        - Le nombre et le contenu des en-tête précédant l'en-tête fragment de différents fragment du même paquet original peut différer. Les en-têtes présent avant l'en-tête fragment dans chaque paquet fragment sont traités quand le paquet arrive, avant la mise en queue des fragment pour ré-assemblage. Seul ces en-tête dans le paquet fragment d'offset 0 sont retenus dans le paquet réassemblé.
        - Les valeurs Next Header dans les en-tête Fragment de différents fragments du même paquet original peuvent différer. Seul la valeur du fragment d'offset 0 est utilisé pour le ré-assemblage.

Destination Options

   L'en-tête Destination Options est utilisé pour gérer des informations optionnelles qui doivent être examinés seulement par le nœud destinataire du paquet. Cet en-tête est identifié par la valeur Next Header 60 et a le format suivant:


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|__Hdr_Ext_Len__|_______________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+_______________________________+
|_______________________________________________________________|
._______________________________________________________________.
.____________________________Options____________________________.
._______________________________________________________________.
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|__Next_Header__|__Hdr_Ext_Len__|_______________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+_______________________________+
|_______________________________________________________________|
._______________________________________________________________.
.____________________________Options____________________________.
._______________________________________________________________.
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Next Header 8bits - Identifie le prochain type d'en-tête
Hdr Ext Len 8bits - Longueur de l'en-tête en unité de 8 octets, n'incluant pas les 8 premiers octets
Options Variable

   Les seules options de destination définies dans ce document sont Pad1 et PanN décris plus haut.

   Noter qu'il y a 2 manières possible d'encoder les informations de destination optionnelles dans un paquet IPv6: soit commme option dans l'en-tête Destination Header, ou comme en-tête d'extension séparée. L'en-tête fragment et l'en-tête Authentication sont des examples de cette approche. L'approche utilisée dépend de l'action désirée du nœud destination qui ne comprend pas les information optionnelles:

        - Si l'action désirée est pour que le nœud de destination supprime le paquet et, seulement si l'adresse de destination n'est pas une adresse multicast, envoie un ICMP Unrecognized Type à l'adresse source, alors l'information peut être encodé dans un en-tête séparé ou comme option dans Destination Options dont l'Option Type un MSB à 11.
        - Si une autre action est souhaitée, le informations doivent être encodées comme option dans Destination Options dont Option Type a le MSB à 00, 01, ou 10.

No Next Header

   La valeur 59 dans le champ Next Header indique qu'il n'y pas rien après cet en-tête. Si le champ Payload Length de l'en-tête IPv6 indique la présence d'octets après un en-tête dont le Next Header est à 59, ces octets doivent être ignorés, et passés tel quel si le paquet doit être forwardé.

Problèmes de taille de paquet

   IPv6 nécessite que tout lien dans l'internet ait un MTU de 1280 octets ou supérieur. Dans un lien qui ne peut pas convoyer un paquet 1280 octets en un paquet, une fragmentation et un ré-assemblage doit être fournis au niveau de la couche sous IPv6.

   Les lients qui ont un MTU configurable (par exemple PPP) doivent être configurés pour avoir un MTU d'au moins 1280 octets; Il est recommandé que le MTU soit de 1500 octets ou supérieur, pour gérer les encapsulation (ex: tunneling) sans générer de fragmentation IPv6.

   Sur chaque lien sur lequel un nœud est directement attaché, le nœud doit être capable d'accepter les paquets aussi grand que le MTU du lien

   Il est fortement recommandé que les nœuds IPv6 implémentent Path MTU Discovery (rfc1981), pour pouvoir découvrir les MTU supérieurs à 1280. Cependant, une implémentation minimale d'IPv6 peut simplement restreindre à envoyer des paquets de 1280 octets au plus, et omettre la découverte de MTU.

   POur envoyer un paquet plus grand que le MTU du chemin, un nœud peut utiliser l'en-tête Fragment pour fragmenter le paquet à la source. Cependant, l'utilisation d'une telle fragmentation est découragée dans toute application capable d'ajuster ses paquets à la taille du Path MTU.

   Un nœud doit être capable d'accepter un paquet fragmenté qui, après ré-assemblage, est plus grand que 1500 octets. Un nœud est autorisé à accepter des paquets fragmentés qui ré-assemblent à plus de 1500 octets. Un protocole upper-layer ou une application qui dépend de la fragmentation IPv6 pour envoyer des paquets supérieurs au MTU d'un chemin ne devrait pas envoyer des paquets supérieur à 1500 octets sauf s'il a l'assurance que la destination est capable de ré-assembler les paquets de taille plus grande.

   En réponse à un paquet IPv6 qui est envoyé à une destination IPv4 (ex: un paquet qui est traduit d'IPv6 vers IPv4), l'émetteur IPv6 peut recevoir un ICMP Packet Too Big reportant un Next-Hop MTU inférieur à 1280. Dans ce cas, le nœud IPv6 n'est pas obligé de réduire la taille des paquets sous-jacent à moins de 1280, mais doit inclure un en-tête fragment dans ses paquets pour que le routeur traduisant IPv6 vers IPv4 puisse obtenir une valeur d'identification correcte pour les fragments IPv4. Noter que cela signifie que le payload peut nécessiter d'être réduit à 1232 octets (1280 moins 40 pour l'en-tête IPv6 et 8 pour l'en-tête fragment), et plus petits si d'autres en-têtes sont utilisés.

Flow Labels

   Le champ 20bits Flow Label dans l'en-tête IPv6 peut être utilisé par une source pour labéliser les séquences de paquets pour lesquels il demande une manipulation spéciale par les routeurs IPv6, tel qu'un QOS différent, ou un service temps-réel. Cet aspect d'IPv6 est, au moment de la rédaction, expérimental est sujet à changement. Les hôtes ou routeurs qui ne supportent pas les fonctions de Flow Label, ignorent le champs.

Classes de trafic

   Le champ 8bits Traffic Class dans l'en-tête IPv6 est disponible par les nœuds émetteur et/ou les routeurs pour identifier et distinguer différentes classes ou priorités de paquets IPv6. Au moment de la rédaction de ce document, il y a des expérimentations dans l'utilisation de Type of Service d'IPv4 et/ou les bits Precedence pour fournir diverses formet de services différenciés pour les paquets IP. Le champ Traffic Class dans l'en-tete IPv6 est prévu pour permettre une fonctionnalité similaire dans IPv6.

   Les pré-requis suivants s'appliquent au champ traffic class:

        - L'interface de service IPv6 d'un nœud doit fournir un moyen pour un protocole upper-layer de founir une valeur de Traffic Class. La valeur par défaut doit être 0.
        - Les nœuds qui supportent une utilisation spécifique de certains bits Traffic Class sont autorisés à changer la valeur de ces bits dans les paquets qu'ils émettent, forwardent, ou reçoivent. Les nœud devraient ignorer et laisser les bits de Traffic Class inchangé pour les paquets qui ne supportent aucune utilisation spécifique.
        - Un protocole upper-layer ne doit pas assumer que la valeur des bits Traffic Class dans un paquet reçu soient les même que la valeur envoyée par la source du paquet.

Problématiques des protocole upper-layer

   Tout protocole transport ou upper-layer qui incluent les adresses de l'en-tête IP dans sont checksum doivent être modifiés pour IPv6, pour inclure des adresses IPv6 128bits. En particulier, l'illustration suivante montre le pseudo-header TCP et UDP pour IPv6:


+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+_________________________Source_Address________________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+______________________Destination_Address______________________+
|_______________________________________________________________|
+_______________________________________________________________+
|_______________________________________________________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|___________________Upper-Layer_Packet_Length___________________|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|______________________zero_____________________|__Next_Header__|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

- Si le paquet IPv6 contient un en-tête Routing, l'adresse de destination utilisé dans le pseudo-entête est celui de la destination finale. Dans le nœud émetteur, l'adresse sera dans le dernier élément de l'en-tête Routing.
- La valeur Next Header dans le pseudo-entête identifie le protocole upper-layer (ex: 6 pour TCP, 17 pour UDP). Il va différer de la valeur Next Header dans l'en-tête IPv6 s'il y a des en-tête d'extension entre l'en-tête IPv6 et les données.
- À la différence d'IPv4, quand des paquets UDP sont émis par un nœud IPv6, le checksum IDP n'est pas optionnel. C'est à dire, quand un paquet UDP est émis, le nœud IPv6 doit calculer un checksum UDP sur le paquet et le pseudo-header, et, si ce calcul résulte à 0, il doit être changé pour 0xFFFF dans l'en-tête UDP. Les destinataires IPv6 doivent détruire les paquets UDP contenant un checksum 0, et devraient logger l'erreur.

   La version IPv6 d'ICMP inclus le pseudo-header ci-dessus dans son calcul de checksum; c'est un changement par rapport à ICMP d'ipv4. La raison pour ce changement est de protéger ICMP contre les problèmes de livraison ou la corruption des champs d'en-tête d'IPv6 sur lequel il dépend, qui, à la différence d'IPv4, ne sont pas couverts par un checksum de la couche internet. Le champ Next Header dans le pseudo-header pour ICMP contient la valeur 58.

Durée de vie d'un paquet

   À la différence d'IPv4, Les nœuds IPv6 ne sont pas obligés de forcer une durée de vie de paquet maximum. C'est la raison pour laquelle le champ Time-to-Live d'IPv4 a été renommé Hop Limit dans IPv6. Dans la pratique, très peu d'implémentations IPv4 sont conformes à cette durée de vie.

Taille de payload upper-layer maximum

   En calculant la taille du payload maximum disponible pour les données upper-layer, un protocole upper-layer doit prendre en compte la taille de l'en-tête IPv6 relative à l'en-tête IPv4. Par exemple, dans IPv4, l'option MSS de TCP est calculée comme taille de paquet maximum (une valeur par défaut ou une valeur apprise via Path MTU Discovery) moins 40 octets (20 cotets pour IPv4, et 20 octets pour TCP). En utilisant TCP sur IPv6, le MSS doit être calculé comme taille de paquet maximum moins 60 octets, parce que l'en-tête IPv6 minimum (sans extensions) fait 20 octets de plus que IPv4.

Répondre aux paquets avec des en-têtes Routing

   Quand un protocole upper-layer envoie un ou plusieurs paquets en réponse à un paquet reçus qui inclus un en-tête Routing, les réponses ne doivent pas inclure un en-tête Routing qui a été automatiquement dérivé en inversant l'en-tête Routing sauf si l'integrité et l'authenticité de Source Address et de l'en-tête Routing a été vérifiée. En d'autre termes, seul les paquets de types suivants sont autorisés à répondre à un paquet ayant un en-tête routing:

        - Les paquets réponse qui n'ont pas d'en-tête Routing
        - Les paquets réponse qui ont un en-tête Routing qui n'est pas dérivé de l'en-tête Routing du paquet reçu
        - Les paquets réponse qui ont un en-tête Routing dérivé de l'en-tête Routing si et seulement si l'intégrité et l'authenticité de Source Address et de l'en-tête Routing a été vérifié.
^
22 juin 2016

htmlpdflatexmanmd




hostapd_cli

hostapd_cli

Interface de gestion pour hostapd

OPTIONS

-p‹path› Chemin où trouver les sockets de contrôle. Défaut: /var/run/hostapd
-i‹ifname› Interface d'écoute. Défaut: la première interface trouvée dans le chemin des sockets
-a‹path› Lance en mode service en exécutant le fichie d'action spécifié basé sur les événements de hostapd
-B Lance en tâche de fond
-G‹ping interval›

Commandes

mib Récupère les variables MIB (dot1x, dot11, radius)
sta ‹addr› Récupère les variables MIB pour une station
all_sta Récupère les variables MIB pour toutes les stations
new_sta ‹addr› Ajoute une nouvelle station
deauthenticate ‹addr› Désauthentifie une station
disassociate ‹addr› Désassocie une station
sa_query ‹addr› Envoie un SA Query à une station
wps_pin ‹uuid› ‹pin› [timeout] [addr] Ajoute un WPS Enrollee PIN
wps_check_pin ‹PIN› Verify le checksum du PIN
wps_pbc indique un bouton poussé pour initier PBC
wps_cancel Annule une opération WPS en attente
wps_nfc_tag_read ‹hexdump› Reporte le tag NFC avec donnée WPS
wps_nfc_config_token ‹WPS/NDEF› Génère le token de configuratio NFC
wps_nfc_token ‹WPS/NDEF/enable/disable› Gère le token de mot de passe NFC
wps_ap_pin ‹cmd› [params..] Active/désactive AP PIN
wps_config ‹SSID› ‹auth› ‹encr› ‹key› Configure AP
wps_get_status Affiche le status WPS courant
get_config Affiche la configuration actuelle
interface [ifname] Affiche/sélectionne l'interface
level ‹debug level› Change le niveau de débug
quit Quitter hostapd_cli
^
22 juin 2016

htmlpdflatexmanmd




hostapd

hostapd

Authentificateur IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS

   hostapd est un service en userspace pour les points d'accès et les serveurs d'authentification. Il implémente la gestion de point d'accès, IEEE 802.1X/WPA/WPA2/EAP et RADIUS.

  hostapd est conçu pour être un service qui agit comme backend contrôlant l'authentification. hostapd support les programmes frontend séparé.

OPTIONS

-d, -dd Mode debug
-B Lance en tâche de fond
-P ‹PID› Spécifie le fichier pid du process
-K Inclus les données de clé dans les messages de debuggage
-t Inclus l'horodatage dans les messages de debuggage
^
05 juillet 2015

htmlpdflatexmanmd




ip-token

ip-token

Support d'identifiant d'interface tokenisé

Commandes

   Le support d'identifiant d'interface tokenisé IPv6 est utilisé pour assigner les adresses de partie hôte connus aux nœuds tout en obtenant un préfixe réseaux global depuis les annonces routeurs. La cible principale pour les identifiants tokenisés sont les plateformes serveurs où les adresses sont généralement configurées manuellement, au lieu d'utiliser DHCPv6 ou SLAAC. En utilisant les identifiant tokenisés, les hôtes peuvent encore déterminer leur préfixe réseau en utilisant SLAAC, mais plus facilement être re-numérotés si leur préfixe réseaux change. Les identifiants IPv6 tokenisés sont décris dans draft-chown-6man-tokenised-ipv6-identifiers-02

set Définis le token d'interface dans le kernel. Un fois définis, il ne peut plus être supprimé de l'interface, seulement écrasé.

        TOKEN L'identifiant
        dev DEV L'interface réseaux

get Affiche un identifiant d'interface tokenisé d'un périphérique réseaux partiulier. Accepte l'argument dev.
list Liste tous les identifiants d'interface tokenizés pour les interfaces réseaux du kernel.
^
05 juillet 2015

htmlpdflatexmanmd




ip-tcp_metrics

ip-tcp_metrics

Gestion des métriques TCP

   ip tcp_metrics est utilisé pour manipuler les entrées dans le kernel qui conserve les informations TCP pour les destinations IPv4 et IPv6. Les entrées sont créées quand les sockets TCP veulent partager des informations pour les destinations et sont stockés dans un cache assortis par l'adresse de destination. Les informations sauvegardées peuvent inclure des valeurs pour les métriques (initialement obtenus depuis les routes), TSVAL récent pour recycler les TIME-WAIT, l'état pour Fast Open, etc. Pour des raisons de performances le cache ne peut pas grandir au delà de la limite configurée et les anciennes entrées sont remplacées avec les nouvelles informations. Le kernel ne supprime jamais d'entrées, elles peuvent seulement être vidées avec cet outil.

show Affiche les entrées cachées.

        adress PREFIX préfixe ou adresse IPv4/IPv6. non spécifié, affiche toutes les entrées.

   La sortie peut contenir les informations suivante:

        age ‹S.MMM›sec Temps depuis que l'entrée a été créée ou mise à jours. L'entrée est réinitialisée et rafraîchie à l'utilisation des métrique depuis les routes si les métriques ne sont pas mis à jours dans la dernière heure.
        cwnd ‹N› Valeur métrique CWND
        fo_cookie ‹HEX-STRING› Valeur cookie reçue dans SYN-ACK à utiliser par Fast Open pour les prochains SYN.
        fo_mss ‹N› Valeur MSS reçue dans SYN-ACK à utiliser par Fast Open pour les prochain SYN
        fo_syn_drops ‹N›/‹S.MMM›sec ago Nombre de suppression opur les SYN Fast Open sortant initiaux avec les données détectées en monitorant le SYN-ACK reçus après la retransmission SYN.
        reordering ‹N› Valeur métrique réordonnée
        rtt ‹N›us Valeur métrique RTT
        rttvar ‹N›us Valeur métrique RTTVAR
        ssthresh ‹SSTHRESH› Valeur métrique SSTHRESH
        tw_ts ‹TSVAL›/‹SEC›sec ago TSVAL récent et les secondes après l'avoir sauvé dans le socket TIME-WAIT

delete Supprime une simple entrée. Accepte le paramètre address
flush Vide les entrées sélectionnés par critère. A les même arguments que show.

Exemples

Affiche les entrées pour les destinations depuis un sous-réseaux
ip tcp_metrics show address 192.168.0.0/24
Idem mais le mot clé address est optionnel
ip tcp_metrics show 192.168.0.0/24
Tout afficher est l'action par défaut
ip tcp_metrics
Supprimer l'entrée pour 192.168.0.1 du cache
ip tcp_metrics delete 192.168.0.1
Supprimer les entrées pour les destinations du sous-réseaux
ip tcp_metrics flush 192.168.0.0/24
Supprimer toutes les entrées du cache
ip tcp_metrics flush all
Supprime toutes les entrées IPv6 du cache
ip -6 tcp_metrics flush all
^
05 juillet 2015

htmlpdflatexmanmd




ip-ntable

ip-ntable

configuration des tables de voisinage

show Liste les tables de voisinage

        dev DEV Liste seulement la table attachée à ce périphérique
        name NAME Liste seulement la table avec le nom donné

change Modifie les paramètres de table, tels que les timers et les longueurs de file

        name NAME Nom de la table à modifier
        dev DEV Nom du périphérique dont la table est à modifier

Exemples

Afficher les paramètres de table voisine dans le périphérique eth0
ip ntable show dev eth0
Changer le nombre de paquets en queue pendant que l'adresse est résolue:
ip ntable change name arp_cache queue 8 dev eth0
^
05 juillet 2015

htmlpdflatexmanmd




ip-netns

ip-netns

gestion des espaces de noms réseaux

   Un espace de nom réseaux est logiquement une autre copie de la pile réseaux, avec ses propres routes, règle firewall, et périphériques réseaux. Par convention, un espace de nom réseaux nommé est un objet à /var/run/netns/NAME qui peut être ouvert. Maintenir ce descripteur de fichier ouvert maintient espace de noms réseaux actif. Le descripteur de fichier peut être utilisé avec l'appel système setns(2) pour changer l'espace de noms associé avec une tâche.

   Pour les applications qui comprennent les espaces de noms, la convention est de rechercher les fichiers de configuration de réseau global dans /etc/netns/NAME/, puis dans /etc/. Par exemple, si vous voulez une version différente de /etc/resolv.conf pour un espace de noms réseaux utilisé pour isoler votre vpn, il sera nommé /etc/netns/myvpn/resolv.conf.

exec automatise la manipulation de cette configuration, convention de fichier pour un espace de noms réseau d'application non prévu, en créant un espace de montage et en le liant tous les fichiers d'espace de nom réseau dans leur emplacement traditionnel dans /etc.
list Affiche tous les espaces de nom réseaux dans /var/run/netns
add NAME Créer un nouvel espace de nom réseau
delete NAME Si NAME est présent dans /var/run/netns, il est démonté et le point de montage est supprimé.
identifiy PID Recherche dans /var/run/netns tous les espaces de nom réseaux du processus spécifié.
pids NAME Recherche dans /var/run/netns tous les processus qui ont l'espace de nom réseaux nommé comme espace de nom primaire.
exec NAME cmd ... Cette commande permet aux application qui ne gèrent pas l'espace de nom réseaux d'être lancé dans un autre espace de nom réseaux autre que celui par défaut.
monitor Regarde les évènements d'ajout et de suppression d'espace de nom réseaux et affiche une ligne pour chaque événement qu'il voit.

Exemples

Afficher la liste des espaces de nom réseaux
ip netns list
Créer un espace de nom réseaux et le nomme vpn
ip netns add vpn
Ajoute d'interface de boucle local dans l'espace de nom réseaux vpn
ip netns exec vpn link set lo up
^
05 juillet 2015

htmlpdflatexmanmd




ip-netconf

ip-netconf

Supervision de configuration réseaux

   netconf peut superviser les paramètres IPv4 et IPv6 ( voir /proc/sys/net/ipv[4|6]/conf/[all|DEV]/ ) comme le forwarding, rp_filter ou mc_forwarding. Si aucune interface n'est spécifiée, l'entrée all est affichée.

show Affiche les paramètres réseaux

        dev NAME Nom de l'interface à afficher

^
05 juillet 2015

htmlpdflatexmanmd




ip-neighbour

ip-neighbour

Gestion des tables arp et de voisinage

   neighbour manipule les objets voisins qui établissent les liens entre les adresses de protocole et les adresses le lien réseaux pour les hôtes partageant le même lien. Les entrées de voisinage sont organisés en tables. La table de voisinage IPv4 et également connue par un autre nom - la table ARP.

add Ajoute une nouvelle entrée de voisinage
change Change en entrée existante
replace ajoute ou change une entrée existante

        to ADDRESS L'adresse de protocole IPv4 ou IPv6 du voisin
        dev NAME Interface qui est attaché au voisin
        lladdr LLADDRESS L'adresse de lien réseaux du voisin. Peut également être null
        nud NUD_STATE L'état de l'entrée voisine. nud est une abréviation pour 'Neighbour Unreachability Detection'. L'état peut prendre une des valeurs suivantes:

                permanent L'entrée est valide indéfiniment et ne peut être supprimé qu'administrativement
                noarp L'entrée est valide. Ne tente pas de valider cet entrée, mais elle peut être supprimée lorsqu'elle expire
                reachable L'entrée est valid tant que le timeout est valide
                stale L'entrée est valide mais suspicieuse.

delete Supprime une entrée de voisinage. Les argument sont les même que pour add, excepté que lladdr et nud sont ignorés.
show Liste les entrées de voisinage

        to ADDRESS préfixe qui sélectionne es voisins dans la liste
        dev NAME liste seulement les voisin attachés à ce périphérique
        proxy Liste les proxy voisins
        unused Liste seulement les voisin qui ne sont pas utilisés actuellement.
        nud NUD_STATE Liste seulement les entrées de voisinage dans cet état. NUD_STATE peut prendre les valeurs listées ou la valeurs spéciale all qui signifie tous les états. Si cette option est absente, ip liste toutes les entrées excepté pour none et noarp
        flush vide les entrées voisines. A les même arguments que show. Sans argument, les entrée vidées n'incluent pas permanent et noarp. Avec l'option -statistics, la commande devient verbeuse. Si l'option est données 2 fois, dump également toutes les entrées vidées.

Exemples

Afficher la table de voisinage dans le kernel
ip neighbour
supprimer es entrées dans la table de voisinage sur le périphérique eth0
ip neigh flush dev eth0
^
05 juillet 2015

htmlpdflatexmanmd




ip-mroute

ip-mroute

Gestion du cache de routage multicast

   Les objets mroutes sont des entrées du cache de routage multicast crée par un service de routage au niveau utilisateur (pimd ou mouted). Dûs à la limitation de l'interface courante du moteur de routage multicast, il est impossible de changer les objets mroute administrativement, on ne peut que les afficher. Cette limitation sera supprimée dans le future.

show Liste les entrées du cache de routage mroute

        to PREFIX Le préfixe sélectionnant les adresses multicast de destination à lister
        iif NAME L'interface sur laquelle les paquest multicast sont reçus
        from PREFIX Le préfixe sélectionnant les adresses IP source des routes multicast
        table TABLE_ID L'id de table multicast. Peut être local, main, default, all ou un numéro.

^
05 juillet 2015

htmlpdflatexmanmd




ip-monitor

ip-monitor, rtmon

Supervision d'état

   l'utilitaire ip peut superviser l'état des périphériques, adresses et routes en continue. Cette option a un format légèrement différent. La syntaxe est la suivante:

  ip monitor [ all | OBJECT-LIST ] [ file FILENAME ]

   OBJECT-LIST est la liste des types d'objets à superviser. Peut contenir link, address, route, mroute, prefix, neigh, netconf. Si aucun argument file n'est donné, ip ouvre RTNETLINK, écoute et dump le changements d'états.

   Si l'option file est donné, le programme n'écoute par sur RTNETLINK, mais ouvre le fichier donné, et dump son contenu. Le fichier devrait contenir des messages RTNETLINK sauvés au format binaire. Un tel fichier peut être généré avec l'utilitaire rtmon. Cet utilitaire a une syntaxe en ligne de commande similaire à ip monitor. Idéalement, rtmon devrait être démarré avec la première commande de configuration réseaux. Par exemple, si vous insérez:

rtmon file /var/log/rtmon.log

   dans un script de démarrage, vous serez capable de voir tout l'historique plus tard. Il est cependant possible de démarrer rtmon à tout moment. Il ajoute l'historique avec l'état dumpé au moment de démarrer.

^
05 juillet 2015

htmlpdflatexmanmd




ip-maddress

ip-maddress

Gestion des adresses multicast

show Liste les adresses multicast

        dev NAME Nom du périphérique

add Ajoute une adresse multicast
delete Supprime une adresse multicast

        address LLADDRESS Adresse multicast le lien réseaux
        dev NAME Nom du périphérique

^
05 juillet 2015

htmlpdflatexmanmd




ip-l2tp

ip-l2tp

Configuration des tunnels non-gérés statiques L2TPv3

   Les commandes ip l2tp sont utilisées pour établir des tunnels statiques non-gérés L2TPv3. Pour les tunnels non-gérés il n'y a pas de protocole de contrôle L2TP donc aucun service en espace utilisateur n'est requis. Les tunnels sont créés manuellement sur le système local et sur le pair distant.

   L2TPv3 est prévu pour le tunneling niveau 2. Les tunnels statiques sont utiles pour établir des liens réseaux via les réseaux IP quand les tunnels sont fixés. Les tunnels L2TPv3 peuvent transporter des données de plus d'une session. Chaque session est identifiée par un session_id et le tunnel_id du tunnel parent. Un tunnel doit être créé avant qu'une session puisse être créé dans le tunnel.

   En créant un tunnel L2TP, l'adresse IP du paire distant est spécifié, qui peut être soit une IPv4 ou une IPv6. L'adresse IP locale utilisée pour atteindre le paire doit également être spécifié. C'est l'adresse sur laquelle le système local écoute et accepte les paquets de données L2TP du paire.

   L2TPv3 définis 2 formats d'encapsulation de paquet: UDP ou IP. L'encapsulation UDP est la plus commune. L'encapsulation IP utilise une valeur de protocole IP dédiée pour gérer les données L2TP sans la couche UDP. Utiliser l'encapsulation IP seulement quand il n'y a pas de périphérique NAT ou firewall dans le chemin réseaux.

   Quand une session Ethernet L2TPv3 est créée, une interface réseaux virtuel est créé pour la session, qui doit être configurée et activée, tout comme une autre interface réseaux. Quand une donnée est passée via l'interface, elle est passée dans le tunnel L2TP au paire. En configurant les tables de routage du système ou en ajoutant l'interface à un bridge, l'interface L2TP est comme un câble virtuel connecté au paire.

   Établir un pseudo-lien ethernet non-géré L2TPv3 implique de créer les contexts L2TP manuellement dans le système local et sur le paire. Les paramètres utilisé sur chaque site doivent correspondre ou aucune donnée ne passera. Aucune vérification de consistance n'est possible vu qu'il n'y a pas de protocole de contrôle utilisé pour établir les tunnels L2TP. Une fois l'interface réseau virtuelle configurée et activée, les données peuvent être transmises, même si le paire n'a pas été encore configuré. Si le paire n'est pas configuré, les paquets L2TP seront supprimés par le paire.

   Pour établir un tunnel L2TP non-géré, utiliser les commande l2tp add tunnel et l2tp add session décrite dans ce document. Puir configurer et activer l'interface virtuelle.

   Noter que les tunnels non-gérés ne gérent que les trames ethernet. Si vous voulez gérer du trafic PPP (L2TPv2), vous avez besoin d'un serveur L2TP qui implémente le protocole de contrôle L2TP. Le protocole de contrôle L2TP permet d'établir des tunnels et session dynamiques et fournissent un détection et correction d'erreurs.

add tunnel Ajouter un tunnel

        name NAME Définis le nom de la session de l'interface réseau. Défaut: l2tpethN
        tunnel_id ID Définis l'id du tunnel, qui est une valeur entière 32-bits assignée au tunnel par le paire. La valeur utilisé doit correspondre à la valeur tunnel_id utilisée par le paire.
        remote ADDR Définis l'adresse IP du paire distant. Peut être spécifié comme IPv4 ou IPv6.
        local ADDR Définis l'adresse IP de l'interface locale utilisée pour le tunnel. Cette adresse doit être l'adresse d'une interface locale. Peut être spécifié comme IPv4 ou IPv6.
        encap ENCAP Définis le type d'encapsulaion du tunnel (udp ou ip ).
        udp_sport PORT Définis le port source à utiliser pour le tunnel. Doit être présent quand l'encapsulation udp est utilisée.
        udp_dport PORT Définis le port upd de destination pour le tunnel. Doit être présent quand l'encapsulation udp est utilisée.

del tunnel Supprime un tunnel.

        tunnel_id ID Définis l'id du tunnel à supprimer. Toutes les sessions dans le tunnel doivent être supprimés avant.

show tunnel Affiche des informations sur les tunnels

        tunnel_id ID Définis l'id du tunnel à afficher. Non spécifié, affiche tous les tunnels

add session Ajoute une nouvelle session à un tunnel

        name NAME Définis le nom de la session de l'interface réseau. Défaut: l2tpethN
        tunnel_id ID Définis l'id du tunnel, qui est une valeur entière 32-bits assignée au tunnel par le paire. La valeur utilisé doit correspondre à la valeur tunnel_id utilisée par le paire.
        peer_session_id ID Définis l'id de session du paire, qui est une valeur entière 32-bits assignée à la session par le paire. La valeur utilisé doit correspondre au session_id utilisé par le paire.
        cookie HEXSTR Définis une valeur cookie optionnel à assigner à la session. C'est une valeur 4 ou 8 octets, ex: 014d3636deadbeef. La valeur doit correspondre à la valeur de cookie définie par le paire. La valeur du cookie est incorporée dans les paquets de données L2TP et est vérifié par le paire. N'utilise pas de cookie par défaut.
        peer_cookie HEXSTR Définis une valeur cookie du paire optionnel à assigner à la session. C'est une valeur 4 ou 8 octets, ex: 014d3636deadbeef. La valeur doit correspondre à la valeur de cookie définie par le paire. Il indique au système local quelle valeur cookie il s'attend à trouver dans les paquets L2TP reçus. N'utilise pas de cookie par défaut.
        l2spec_type L2SPECTYPE Définis le type d'en-tête spécifique à niveau 2 de la session: none ou udp
        offset OFFSET Définis l'octet dans l'en-tête L2TP où les données utilisateurs commencent dans les paquets de données transmis. Si définis, doit correspondre à la valeur peer_offset utilisé. Défaut: 0
        peer_offset OFFSET Définis l'octet dans l'en-tête L2TP où les données utilisateurs commencent dans les paquets de données reçus. Si définis, doit correspondre à la valeur offset utilisé. Défaut: 0

del session Détruit une session

        tunnel_id ID Définis l'id du tunnel dans lequel la session est localisée
        session_id ID L'id de session à supprimer

show session Affiche des informations sur les sessions

        tunnel_id ID Définis l'id du tunnel dans lequel les sessions sont affichées
        session_id ID L'id de session à afficher

Exemples

Définir des tunnels L2TP et des sessions
site-A:# ip l2tp add tunnel tunnel_id 3000 peer_tunnel_id 4000 encap udp local 1.2.3.4 remote 5.6.7.8 udp_sport 5000 udp_dport 6000
site-A:# ip l2tp add session tunnel_id 3000 session_id 1000 peer_session_id 2000
site-B:# ip l2tp add tunnel tunnel_id 4000 peer_tunnel_id 3000 encap udp local 5.6.7.8 remote 1.2.3.4 udp_sport 6000 udp_dport 5000
site-B:# ip l2tp add session tunnel_id 4000 session_id 2000 peer_session_id 1000
site-A:# ip link set l2tpeth0 up mtu 1488
site-B:# ip link set l2tpeth0 up mtu 1488
Noter que les adresse IP, ports UDP et id de session/tunnel correspondent et inversés dans chaque site.
Configurer comme interface IP
site-A:# ip addr add 10.42.1.1 peer 10.42.1.2 dev l2tpeth0
site-B:# ip addr add 10.42.1.2 peer 10.42.1.1 dev l2tpeth0
site-A:# ping 10.42.1.2
Configurer comme interfaces bridgés
site-A:# ip link set l2tpeth0 up mtu 1446
site-A:# ip link add br0 type bridge
site-A:# ip link set l2tpeth0 master br0
site-A:# ip link set eth0 master br0
site-A:# ip link set br0 up
En utilisant les VLAN, définis un bridge par vlan et bridger chaque VLAN sur une session L2TP séparé
site-A:# ip link set l2tpeth0 up mtu 1446
site-A:# ip link add brvlan5 type bridge
site-A:# ip link set l2tpeth0.5 master brvlan5
site-A:# ip link set eth1.5 master brvlan5
site-A:# ip link set brvlan5 up

   Ajouter l'interface L2TP à une bridge force le bridge à forwarder le trafic sur le lien L2TP comme avec une autre interface. Le bridge apprend les adresses MAC des hôtes attachés à chaque interface et forwards les frames d'un port à un autre. Les adresse IP ne sont pas assignés aux interface l2tpethN. Si le bridge est configurés correctement des 2 côté, il devrait être possible d'atteindre les hôtes dans le réseau bridgé du paire.

   Quand des frames ethernet brut son bridgé via un tunnel L2TP, de grandes frames peuvent être fragmentés et forwardés comme fragment IP individuels au destinataire, en fonction du MTU de l'interface physique utilisé par le tunnel. Quand les frames ethernet gérent les protocoles qui sont réassemblés par le destinataire, comme IP, il n'y a pas de problème. Cependant, une telle fragmentation peut causer des problèmes pour les protocoles comme PPPoE où le destinataire s'attend à recevoir des frames ethernet exactement comme transmises. Dans de tels cas, il est important que les frames quittant le tunnel soient réassemblé en une seul frame avant d'être forwardé. Pour le faire, activer le tracking de connection netfilter (conntrack) ou charger manuellement le module degrag netfilter à chaque point de tunnel.

site-A:# modprobe nf_degrag_ipv4
site-B:# modprobe nf_degrag_ipv4

   Les tunnels L2TPv3 non-gérés sont supportés par certains équipements réseaux. Dans Linux, les messages L2TP Hello ne sont pas supportés dans les tunnels non-gérés. Les message Hello sont utilisés par L2TP pour détecter les erreurs des liens pour pouvoir automatiser le rétablissement des tunnels dynamiques. Si un paire non-linux supporte les messages Hello dans les tunnels non-gérés, il doit être désactivé pour fonctionner avec Linux.

   Linux utilise par défaut le type Layer2SpecificHeader par défaut comme définis dans le protocole L2TPv3 (rfc3931).
^
05 juillet 2015

htmlpdflatexmanmd




ip-addrlabel

ip-addrlabel

Gestion de label d'adresse de protocole

   Les labels d'adresse IPv6 sont utilisé pour la sélection d'adresse; ils sont décris dans la rfc 3484. La précédence est gérée par l'espace utilisateur et seulement le label lui-même est stocké dans le kernel.

add Ajoute un label

        prefix PREFIX
        dev DEV L'interface sortante
        label NUMBER le label pour le prefix. 0xffffffff est réservé

del Supprime un label. Les arguments sont les même que pour add, mais le label est optionnel
list Liste les labels
flush Vides les labels dans le kernel.

^
05 juillet 2015

htmlpdflatexmanmd




ip

ip

Affichage-manipulation des routes, périphériques, stratégies de routage et tunnels

OPTIONS

-b, -batch filename Lit les commandes depuis le fichier fournis, ou l'entrée standard.
-force Ne termine pas ip sur une erreur en mode batch
-s, -stats, -statistics Affiche plus d'informations. Peut apparaître plusieurs fois
-l, -loops count Boucle maximum de tentatives ip addr flush. défaut: 10. 0 boucle jusqu'à la suppression
-f, -family family Spécifie la famille de protocole à utiliser (inet, inet6, bridge, ipx, dnet ou link).
-4 Raccourci pour -family inet
-6 Raccourci pour -family inet6
-B Raccourci pour -family bridge
-D Raccourci pour -family decnet
-I Raccourci pour -family ipx
-0 Raccourci pour -family link
-o, -oneline Affiche chaque enregistrement sur une ligne
-r, -resolve Utilise le resolver pour afficher les noms DNS.

Commandes

address adresse dans un périphériques
addrlabel Configuration de label pour la sélection d'adresse
l2tp Tunnel éthernet sur IP (L2TPv3)
link Périphériques réseaux
monitor Lire les messages netlink
mroute Entrée de cache de routage multicast
mrule Règle dans la base de stratégie de routage multicast
neighbour Gérer les entrées de cache ARP et NDISC
netns Gérer les espaces de noms réseaux
ntable Gérer les opération de cache
route Gérer les entrée de table de routage
rule Règles dans la base de stratégie de routage
tcp_metrics/tcpmetrics Gérer les métriques TCP
tunnel Tunnel sur IP
tuntap Gérer les périphériques TUN/TAP
xfrm Gérer les périphériques IPSec
^
15 juin 2015

htmlpdflatexmanmd




ip-xfrm

ip-xfrm

transform configuration

   xfrm est un framework ip pour transformer les paquets ( tel que le chiffrement de leur payloads ). Ce framework est utilisé pour implémenter la suite de protocole IPsec ( avec l'objet state opérant dans la base d'association de sécurité, et l'objet policy opérant dans la base de stratégie de sécurité ). Il est également utilisé pour le protocole de compression de payloads et les fonctionnalités IPv6 mobile.

monitor Monitor l'état des objets xfrm
state gére les états dans xfrm

        add Ajoute un nouvel état dans xfrm
        update Met à jours un état existant dans xfrm
        allocspi Alloue une valeur SPI
        delete Suppime un état existant dans xfrm
        get Récupère un état dans xfrm
        deleteall supprime tous les états dans xfrm
        list Affiche la liste des états dans xfrm
        flush vide tous les état dans xfrm
        count compte tous les états existant dans xfrm

                ID est spécifié par l'addresse source, l'adresse de destination, le protocole de transformation XFRM-PROTO, et/ou SPI (Security Parameter Index).
                XFRM-PROTO Spécifie le protocole de transformation: IPsec Encapsulating Security (esp), IPsec Authentication Header (ah), IP payload Compresion (comp), Mobile IPv6 Type 2 Routing Header (route2), ou Mobile IPv6 Home Address Option (hao)
                ALGO-LIST Contient un ou plusieurs algorithmes à utiliser. Chaque algorithme ALGO est spécifié par:

                        - Le type d'algorithme: encryption (enc), authentication (auth ou auth-trunc), authenticated encryption with associated data (aead), or compression (comp)
                        - Le nom de l'algorithme ALGO-NAME
                        - (excepté pour comp): le clé matérielle (ALGO-KEYMAT), qui peut inclure une clé et un salt ou une aucune valeur.
                        - (aead uniquement): la longueur Integrity Check Value ALGO-ICV-LEN en bits.

                        les algorithmes de chiffrement incluent: ecb(cipher_null), cbc(des), cbc(des3_ede), cbc(cast5), cbc(blowfish), cbc(aes), cbc(serpent), cbc(camellia), cbc(twofish), et rfc3686(ctr(aes)).
                        Les algorithmes d'authentification inculent: digest_null, hmac(md5), hmac(sha1), hmac(sha256), hmac(sha384), hmac(sha512), hmac(rmd610), et xcbc(aes).
                        Le chiffrement authentifié avec algorithme de données associée (AEAD) incluent: rfc4106(gcm(aes)), rfc4309(ccm(aes)), et rfc4543(gcm(aes)).
                        Les algorithmes de compression incluent deflate, lzs et lzjh.

                MODE Spécifie un mode d'opérations pour le protocole de transformation. les modes IPsec et IP Payload Compression sont transport, tunnel, et pour IPsec ESP beet (Bound End-to-End Tunnel). les modes Mobile IPv6 sont route optimiszation (ro) et bound trigger (in_trigger).
                FLAG-LIST Contient un ou plusieurs flags optionnels suivants: noecn, decap-dscp, nopmtudisc, wildrecv, icmp, af-unspec ou align4
                SELECTOR Sélectionne le trafic qui sera contrôlé par la stratégie, basée sur l'adresse source, l'adresse de destination, le périphérique réseau, et/ou UPSPEC.
                UPSPEC Sélection le trafic par protocole. Pour tcp, udp, sctp ou dccp, le port source et de destination peut optionnellement être spécifié. Pour les protocoles icmp, ipv6-icmp, ou mobility-headers, le type et le code peuvent optionnellement être spécifiés. Pour le protocole gre, la clé peut optionnellement être spécifié. D'autre protocoles peuvent être sélectionnés par nom ou nombre PROTO.
                LIMIT-LIST Définis les limites en secondes, octets, ou nombres de paquets.
                ENCAP Encapsule les paquets avec le protocole espinudp, espinudp-nonike, en utilisant le port source SPORT, le port de destination DPORT, et l'adresse originel OADDR.

policy Gère les stratégies dans xfrm

        add Ajoute une nouvelle stratégie
        update Met à jour une stratégie existante
        delete Supprime une stratégie existante
        get Récupère une stratégie existante
        deleteall Supprime toutes les stratégies xfrm
        list Affiche toutes les stratégies xfrm existant
        flush Vide les stratégies
        count Compte les stratégies existantes

                SELECTOR Sélectionne le trafic qui sera contrôlé par la stratégie, basée sur l'adresse sources, l'adresse de destination, le périphérique réseaux, et/ou UPSPEC.
                UPSPEC Sélectionne le trafic par protocole. Pour tcp, udp, sctp, ou dccp, le port source et de destination peuvent être optionnellement spécifiés. Pour les protocoles icmp, ipv6-icmp, ou mobility-header, le type et le code peuvent être optionnellement spécifiés. Pour le protocole gre, la clé peut optionnellement être spécifié. D'autres protocoles peuvent être spécifiés par nom ou numéro PROTO.
                DIR Sélectionne la direction de la stratégie: in, out ou fwd
                CTX Définis le contexte de sécurité
                PTYPE Peut être main (défaut) ou sub
                ACTION Peut être allow (défaut) ou block
                PRIORITY Nombre (défaut: 0)
                FLAG-LIST Contient un ou plusieurs flags optionnels: local ou icmp
                LIMIT-LIST Définis les limites en secondes, octets, ou nombre de paquets
                TMPL-LIST Liste template spécifiée en utilisant ID, MODE, REQID, et/ou LEVEL
                ID Spécifié par l'adresse source, l'adresse de destination, le protocole de transformation XFRM-PROTO, et/ou SPI.
                XFRM-PROTO Spécifie le protocole de transformation: IPsec Encapsulating Security (esp), IPsec Authentication Header (ah), IP payload Compresion (comp), Mobile IPv6 Type 2 Routing Header (route2), ou Mobile IPv6 Home Address Option (hao)
                MODE Spécifie un mode d'opérations pour le protocole de transformation. les modes IPsec et IP Payload Compression sont transport, tunnel, et pour IPsec ESP beet (Bound End-to-End Tunnel). les modes Mobile IPv6 sont route optimiszation (ro) et bound trigger (in_trigger).
                LEVEL Peut être required (défaut) ou use.

^
15 juin 2015

htmlpdflatexmanmd




ip-tunnel

ip-tunnel

Gestion des tunnels

   les objets tunnel sont des tunnels, des paquets encapsulés dans des paquets IP et envoyés sur une infrastructure IP. La famille d'adresse encapsulée est spécifiée par l'option -f (défaut: IPv4).

add Ajoute un nouveau tunnel
change Change un tunnel existant
delete Supprime un tunnel

        name NAME Sélectionne le périphérique tunnel nommé
        mode MODE Définis le mode de tunnel. Pour IPv4: ipip, sit, isatap et gre. Pour IPv6: ip6ip6, ipip6 ip6gre, et any.
        remote ADDRESS Définis le endpoint distant du tunnel
        local ADDRESS Définis l'adresse locale fixée pour les paquets tunnélisés. Doit être une adresse sur une autre interface de cet hôte.
        ttl N Définis un TTL N fixé dans les paquets tunnelisés. 0 (défaut pour ipv4) signifie que les paquets héritent de la valeur TTL. défaut pour ipv6: 64
        tos T
        dsfield T
        tclass T Définis le type de service (IPv4) ou la classe de trafic (IPv6) dans les paquets tunnelisés, qui peuvent être spécifiés en hexa ou avec une chaîne prédéfinie. La valeur inherit copie le champ depuis l'en-tête IP d'origine. Les valeurs inherit/STRING ou inhesit/00..ff vont définir le champ à STRING ou 00..ff en tunnelisant les paquets non-IP. Défaut: 00.
        dev NAME Lie le tunnel au périphérique nommé pour que les paquets tunnelisés soient seulement routés via ce périphérique et ne sera pas capable de sortir par un autre périphérique quand la route vers le endpoint change.
        nopmtudisc Désactive le Path MTU Discovery sur ce tunnel. Il est activé par défaut. Noter qu'un ttl fixé est incompatible avec cette option.
        key K
        ikey K
        okey K (tunnels GRE uniquement) Utilise la clé K. K est soit un numéro ou une IP. Le paramètre key définis la clé à utiliser dans les 2 directions. ikey et okey définissent différentes clé pour l'entrée et la sortie.
        csum, icsum, ocsum (tunnels GRE uniquement) Génère/impose des checksums pour les paquets tunnelisés. csum est équivalent à icsum ocsum.
        seq, iseq, oseq (tunnels GRE uniquement) Sérialise les paquets. seq est équivalent à iseq oseq.
        encaplim ELIM (tunnels IPV6 uniquement) Définis une limite d'encapsulation fixée. (défaut: 4).
        flowlabel FLOWLABEL (tunnels IPV6 uniquement) Définis un flowlabel fixe.

prl potential router list (ISATAP uniquement)

        dev NAME Nom du périphérique obligatoire
        prldefault ADDR
        prl-nodefault ADDR
        prl-delete ADDR Ajoute ou supprime ADDR comme routeur potentiel ou routeur par défaut.

show Liste les tunnels.

^
15 juin 2015

htmlpdflatexmanmd




ip-rule

ip-rule

Gestion de la base de stratégie de routage

   ip rule manipule les règles de la base de stratégie de routage contrôlant l'algorithme de sélection de route. Les algorithmes classiques de routage utilisant dans l'Internet créent des décisions de routage basé seulement sur l'adresse de destination des paquets ( et en théorie, mais pas en pratique, sur le champs TOS ).

   Dans certaines circonstances on veut router les paquets différemment en fonction d'autres champs du paquet: le protocole IP, ports du protocole de transport, etc. Cette tâche est appelée 'stratégie de routage'.

   Pour résoudre cette tâche, la destination conventionnelle basée sur une table de routage, ordonnée en accord avec la règle de correspondance la plus longue, et remplacée avec une base de données de stratégie de routage (RPDB), qui sélectionne les routes en exécutant certains jeux de règles.

   Chaque règle de stratégie de routage consiste d'un sélecteur et d'une action prédictive. Le RPDB est scanné dans l'ordre décroissant de priorité. Le sélecteur de chaque règle est appliqué à {source address, destination address, incoming interface, tos, fwmark} et, si le sélecteur matche le paquet, l'action est effectuée. La prédiction de l'action peut retourner un succès. Dans ce cas, il va soit donner une route ou une indication d'erreur et la recherche RPDB se termine. Sinon, le programme RPDB continue avec la règle suivante.

   Sémantiquement, l'action naturelle est de sélectionner le prochain saut et le périphérique de sortie. Au démarrage le kernel configure le RPDB consistant des 3 règles:

1. Priorité: 0, Selecteur: match tout, Action: recherche dans la table de routage local (ID 255). La table local est une table de routage spéciale contenant des routes de contrôle hautement prioritaire pour les adresses locales et de broadcast. La règle 0 est spéciale, elle ne peut pas être supprimée ou écrasée.
2. Priorité: 32766, Sélecteur: match tout, Action: Recherche dans la table de routage main (ID 254). La table main est la table de routage normale contenant toutes les routes sans stratégie. Cette règle peut être supprimée et/ou écrasée.
3. Priorité: 32767, Sélecteur: match tout, Action: recherche dans la table de routage default (ID 253). La table default est vide. Elle est réservée pour certains pré-traitements si aucune règle par défaut précédente n'a séléctionné le paquet. Cette règle peut également être supprimée.

   Chaque entrée RPDB a différents attributs additionnels. Par exemple, chaque règle a un pointer vers une table de routage. les règles NAT et masquerading ont un attribut pour sélectionner une nouvelle adresse IP à modifier. Derrière ça, les règles ont certains attributs optionnels, quelles routes ont, nommés realms. Ces valeurs n'écrasent pas celles contenue dans les tables de routage. Elles sont seulement utilisée si la route n'a sélectionné aucun attribut.

   Le RPDB peut contenir des règles de types suivants:

        unicast La règle stipule de retourner la route trouvée dans la table de routage référencée par la règle
        blackhole La règle stipule de supprimer le paquet
        unreachable La règle stipule de générer une erreur 'Network is unreachable'
        prohibit La règle stipule de générer une erreur 'Communication is administratively prohibited'
        nat La règle stipule de traduire l'adresse source du paquet IP en une autre valeur

add Insert une nouvelle règle
delete Supprime une règle

        type TYPE le type de cette règle.
        from PREFIX Sélectionne le préfixe source à matcher
        to PREFIX Sélectionne le préfixe de destination à matcher
        iif NAME Sélectionne le périphérique entrant à matcher. Si l'interface est la boucle locale, la règle matche seulement les paquets venant de cet hôte. Cela signifie que vous pouvez créer des tables de routage séparés pour les paquets venant des sockets locaux de ceux liés à un périphérique.
        oif NAME Sélectionne le périphérique sortant à matcher. L'interface sortant est seulement disponible pour les paquets venant de sockets locaux qui sont liés à un périphérique.
        tos TOS
        dsfield TOS Sélectionne la valeur TOS à matcher
        fwmark MARK Sélectionne la valeur fwmark à matcher
        priority PREFERENCE La priorité de cette règle. Chaque règle devrait avoir un jeu explicite de valeur de priorité unique.
        table TABLEID L'identifiant de table de routage à rechercher si la règle matche. Il est également possible d'utiliser une recherche au lieu d'une table
        suppress_prefixlength NUMBER Rejète les décisions de routage qui on une longueur de préfix de NUMBER ou moins
        suppress_ifgroup GROUP Rejète les décisions qui utilisent un périphérique appartenant au groupe d'interface spécifié.
        realms FROM/TO domaine à sélectionner si la règle a matché et que la recherche dans la table de routage a réussie. realms TO est seulement utilisé si la route ne sélectionne aucun domaine.
        nat ADDRESS La base du block d'adresse IP à traduire (pour les adresses source). ADDRESS peut être soit le début du block des adresses NAT (sélectionné par routes NAT) ou une adresse de l'hôte local (ou même 0). Dans le dernier cas le routeur ne traduit pas les paquets, mais les masquerade à cette adresse. Utiliser map-to au lieu de nat est la même chose.

flush dumps également toutes les tables supprimées
show Liste les règles

^
15 juin 2015

htmlpdflatexmanmd




ip-route

ip-route

Gestion des tables de routage

   ip route est utilisé pour manipules les entrées dans les tables de routage du kernel. Les types de routes sont:

unicast L'entrée décrit des véritables chemins vers les destinations couvertes par le préfixe de route.
unreachable Ces destinations sont inatteignables. Les paquets sont supprimés silencieusement.
prohibit Ces destinations sont inatteignables. les paquets sont supprimés silencieusement et un message ICMP est généré.
local Les destinations sont assignées à cet hôte. Les paquets sont délivrés localement.
broadcast Les destinations sont des adresses de broadcast. Les paquets sont envoyés sur des liens broadcast.
throw Une route de contrôle spéciale utilisé avec les règles de stratégie. Si une telle route est séléctionée, rechercher dans cette table se termine en prétendant qu'aucune route n'a été trouvée et un ICMP unreachable est émis.
anycast non implémenté
multicast Un type spécial utilisé pour le routage multicast. N'est pas présent dans les tables de routage normales.

   Linux 2.x peut grouper les routes dans plusieurs tables de routage identifiées par un numéro dans la plage 1 à 2^31 ou par un nom depuis le fichier /etc/iproute2/rt_tables. Par défaut, toutes les routes sont insérées dans la table main (254) et le kernel n'utilise que cette table. Les valeurs 0, 253, 254 et 255 sont réservés.

   Actuellement, une autre table existe toujours, qui est invisible mais importante, la table local (255). Cette table consiste de routes pour les adresses locales et de broadcast. Le kernel maintient cette table automatiquement et l'administrateur n'a généralement pas besoin de la modifier.

   Les tables de routages multiples entrent en jeu quand des stratégies de routage sont utilisées.

add Ajouter une nouvelle route
change Changer une route
replace Changer ou ajouter une nouvelle route

        to TYPE PREFIX Préfix de destination de la route. Si type est omis, assume unicast. PREFIX est une adresse IP ou IPv6 suivi optionnellement par un masque. les PREFIX spécial default est équivalent à 0/0 ou ::/0
        tos TOS
        dsfield TOS La clé Type Of Service. Cette clé n'a pas de masque associé et le match le plus long est interprété comme: 1, compare le TOS de la route et du paquet. S'il ne sont pas égal, le paquet peut matcher une route avec un TOS 0. TOS est soit un nombre hexa 8-bits, soit un identifiant de /etc/iproute2/rt_dsfield.
        metric NUMBER
        preference NUMBER La valeur de préférence de la route. NUMBER est un nombre 32-bits arbitraire.
        table TABLEID La table où ajouter cette route. TABLEID peut être un nombre ou une chaîne du fichier /etc/iproute2/rt_tables. Si omis, assume la table main.
        dev NAME Nom du périphérique de sortie.
        via ADDRESS L'adresse du prochain saut.
        src ADDRESS L'adresse source à préférer en envoyant au destinations couvertes par le préfixe de route.
        realm REALMID Le domaine auquel la route est assignée. Peut être un nombre ou une chaîne depuis le fichier /etc/iproute2/rt_realms
        mtu MTU
        mtu lock MTU Le MTU associé avec le chemin de la destination. Si lock n'est pas utilisé, le MTU peut être mis à jours par le kernel via le Path MTU Discovery.
        window NUMBER Fenêtre TCP maximum à annoncer à ces destinations, mesurée en octets. Il limite les salves de données maximales que les paires TCP sont autorisés à nous envoyer.
        rtt TIME Le RTT (Round Trip Time) initial estimé. Si aucun suffixe n'est spécifié les unités sont des valeurs brutes passées directement au code de routage pour maintenir la compatibilité avec les versions précédentes. Sinon un suffixe de s, sec, ou secs est utilisé pour spécifier les secondes et ms, msec ou msecs pour spécifier les millisecondes.
        rttvar TIME Variante RTT initiale estimée. Les valeur sont spécifiée comme avec rtt.
        rto_min TIME TimeOut de retransmission TCP minimum à utiliser en communiquant avec cette destination. Les valeurs sont spécifiées comme pour rtt.
        ssthresh NUMBER Une estimation pour le seuil initial de début lent.
        cwnd NUMBER le clamp pour la fenêtre de congestion. Il est ignoré si le flag lock n'est pas utilisé.
        initcwnd NUMBER La taille de fenêtre initialement reçue pour les connexions à cette destination. La taille de fenêtre actuelle est cette valeur multipliée par le MSS de la connexion. La valeur par défaut est 0, signifiant l'utilisation d'une valeur Slow Start
        quickack BOOL Active/désactive ack rapide pour les connexions à cette destination.
        advmss NUMBER le MSS (Maximal Segment Size) à annoncer aux destinations en établissant des connexions TCP. Si non spécifié, Linux utilise une valeur par défaut calculée depuis le premier MTU du prochain périphérique.
        reordering NUMBER Ré-ordonnancement maximum dans le chemin vers cette destination. Si non donné, Linux utilise la valeur sélectionnée avec sysctl (net/ipv4/tcp_reordering)
        nexthop NEXTHOP Le prochain saut d'une route multi-path. NEXTHOP est une valeur complexe avec sa propre syntaxe similaire à la liste des argument top-level:

                via ADDRESS Router suivant
                dev NAME Périphérique de sortie
                weight NUMBER Poid pour cet élément d'une route multi-path reflétant sa bande passante relative ou qualité.

        scope SCOPE_VAL Le scope des destinations couvertes par le préfixe de route. SCOPE_VAL peut être un nombre ou une chaîne du fichier /etc/iproute2/rt_scopes. Si omis, ip assume le scope global pour toutes les routes unicast avec gateway, le scope link pour toutes les routes unicast et broadcast directes, et le scope host pour les routes locales.
        protocol RTPROTO L'identifiant de protocole de routage de cette route. RTPROTO peut être un nombre ou une chaîne depuis le fichier /etc/iproute2/rt_protos. De nombreuses valeurs de protocole one une interprétation fixée:

                redirect La route a été installée due à une redirection ICMP
                kernel La route a été installée par le kernel durant l'autoconfiguration
                boot La route a été installée durant la séquence de boot.
                static La route a été installée par l'administrateur
                ra La route a été installée par Router Discovery Protocol.

        onlink Prétend que le prochain saut est directement attaché à ce lien, même s'il ne matche pas de préfixe d'interface.

delete Supprime une route. A les même arguments que ip route add, mais leur sémantique sont un peu différents. Les valeur de clé (to, tos, preference et table) sélectionnent la route à supprimer. Si des attributs optionnels sont présents, ip vérifie qu'ils coïncident avec les attributs de la route à supprimer. Si aucune route n'est trouvée, ip route del échoue.
show Liste les routes. La commande affiche le contenu des tables de routage ou des routes sélectionnées par les critères.

        to SELECTOR Sélectionne seulement les routes depuis la plage de destinations données. SELECTOR consiste d'un modifier optionnel (root, match ou exact) et d'un préfixe. root PREFIX sélectionne les routes avec les préfixes pas plus cours que PREFIX. ex: root 0/0 sélectionne toute la table de routage. match PREFIG sélectionne les routes avec les préfixe pas plus long que PREFIX. ex: match 10.0/16 sélectionne 10.0/16, 10/8 et 0/0, mais pas 10.1/16 et 10.0.0/24. exact PREFIX sélectionne les routes avec le préfixe exact. Non spécifié, assume root 0/0.
        tos TOS
        dsfield TOS Selectionne seulement les routes avec le TOS donné
        table TABLEID Affiche les routes depuis cette table. défaut: table main. TABLEID peut être soit l'ID soit le nom de la table, ou une des valeurs spéciales:

                all Liste toutes les tables
                cache dump le cache de routage

        cloned
        cached Liste les routes clonnées, par ex. les routes qui ont été forkée dynamiquement depuis d'autres routes parce que certains attributs de route ont été mis à jours (ex: MTU). Actuellement équivalent à table cache.
        from SELECTOR Même syntaxe que to, mais lie la plage d'adresse source au lieu de destination. ne fonctionne qu'avec les routes clonées.
        protocol RTPROTO Liste seulement les routes de ce protocole
        scope SCOPE_VAL Liste seulement les routes dans ce scope
        type TYPE Liste seulement les routes de ce type
        dev NAME Liste seulement les routes allant via ce périphérique
        via PREFIX Liste seulement les routes allant via les routeurs de prochains saut sélectionnés par PREFIX
        src PREFIX Liste seulement les routes avec les adresses sources préférées sélectionnées par PREFIX
        realm REALMID
        realms FROMREALM/TOREALM Liste seulement les routes avec ces domaines

flush Vide les routes sélectionnée par certains critères. Les arguments ont la même syntaxe et sémantique de ip route show, mais les tables de routage ne sont pas listées, mais purgées. La seule différence est l'action par défaut: show dump toute la table de routage main, mais flush affiche l'aide. Avec l'option -statistics, la commande devient verbeuse. Si donné 2 fois, dumps également toutes les routes supprimées.
get Récupère une simple route et affiche sont contenu exactement comme le kernel la vois.

        to ADDRESS Adresse de destination
        from ADDRESS Adresse source
        tos TOS
        dsfield TOS Le type de service
        iif NAME Le périphérique depuis lequel ce paquet est prévu d'arriver
        oif NAME Force le périphérique de sortie sur lequel ce paquet sera routé.
        connected Si aucune adresse source (option from) n'est donnée, recherche la route avec le jeu source à l'adresse préférée reçue depuis la première recherche.

           Noter que cette opération n'est pas équivalente à ip route show. show affiche les routes de sortie. get les résous et créé de nouveaux clones is nécessaire. Essentiellement, get est équivalent à envoyer un paquet sur ce chemin. Si iif n'est pas donné, le kernel créé une route pour sortir les paquets via de destination demandée. C'est équivalent à pinger la destination avec un ip route ls cache, cependant, aucun paquet n'est actuellement envoyé. Avec iif, le kernel prétent qu'un paquet est arrivé depuis cette interface et recherche un chemin pour forwarder le paquet.

save Sauvegarde les information de la table de routage. Fonctionne comme show, excepté que la sortie est une donnée utilisable par restore.
restore Restaure les informations de table de routage

Exemples

Affiche toutes les entrées de route dans le kernel:
ip ro
Ajoute une route par défaut via 192.168.1.1 qui peut être atteins via eth0:
ip route add default via 192.168.1.1 dev eth0
^
15 juin 2015

htmlpdflatexmanmd




ip-link

ip-link

configuration des périphériques réseaux

Commandes

add Créé une nouveau périphérique.

        link DEVICE Spécifie le périphérique physique sur lequel opérer

                NAME Spécifie le nom du nouveau périphérique
                TYPE Spécifie le type du nouveau périphérique:

                        bridge Périphérique bridge ethernet
                        bond Périphérique bond
                        dummy Interface réseau factice
                        ifb Périphérique Intermediate Functional Block
                        ipoib Périphérique IP sur Infiniband
                        macvlan Interface basée sur une adresse de lien réseau (MAC)
                        macvtap Interface basée sur une adresse de lien réseau et TAP.
                        vcan Interface Controller Area Network
                        veth Interface ethernet virtuelle
                        vlan Interface LAN virtuelle 802.1q
                        vxlan LAN virtuel étendue
                        ip6tnl Interface tunnel IPv4|ipv6 sur IPv6
                        ipip Interface tunnel IPv4 sur IPv4
                        sit Interface tunnel IPv6 sur IPv4
                        gre Tunnel virtuel GRE sur IPv4
                        gretap Tunnel L2 virtuel GRE sur IPv4
                        ip6gre Tunnel virtuel GRE sur IPv6
                        ip6gretap Tunnel L2 virtuel GRE sur IPv6

        numtxqueues QUEUE_COUNT Spécifie le nombre de queues de transmission pour le nouveau périphérique
        numrxqueues QUEUE_COUNT Spécifie le nombre de queues de réception pour le nouveau périphérique
        index IDX Spécifie l'index désiré pour le nouveau périphérique virtuel

Support VXLAN

   Pour un lien de type VXLAN, les arguments suivants sont supportés:

        id VNI Spécifie l'identifiant physique VXLAN à utiliser
        dev PHYS_DEV Spécifie le périphérique physique à utiliser pour une communication tunnel endpoint
        group IPADDR Spécifie l'adresse IP multicast à joindre. Ne peut pas être utilisé avec remote
        remote IPADDR Spécifie l'adresse IP unicast à utiliser dans les paquets sortants quand l'adresse de lien réseau de destination n'est pas connue dans la base de forwarding de périphérique vxlan.
        local IPADDR Spécifie l'adresse IP source à utiliser dans le paquets sortants.
        ttl TTL Spécifie la valeur TTL à utiliser pour les paquets sortants
        tos TOS Spécifie la valeur TOS à utiliser pour les paquets sortants
        port MIN MAX Spécifie la plage de ports à utiliser comme ports sources UDP pour communiquer avec en endpoint dans un tunnel VXLAN
        [no]learning Spécifie si les adresses de lien réseaux et IP non-connus sont entrés dans la base de forwading VXLAN
        [no]rsc Spécifie si le route short circuit est activé
        [no]proxy Spécifie si le proxy arp est activé
        [no]l2miss Spécifie si les notifications netlink LLADR miss sont générés
        [no]l3miss Spécifie si les notifications netlink IP ADDR miss sont générés

Support IP6GRE/IP6GRETAP

   Pour un lien de type IP6GRE/IP6GRETAP, les arguments suivants sont supportés:

        remote ADDR Spécifie l'adresse IPv6 distante du tunnel
        local ADDR Spécifie l'adresse IPv6 de lien local fixe pour les paquets tunnélisés.
        [i|o]seq oseq active le séquençage des paquets sortant. iseq nécessite que tous les paquets entrants soient sérialisés
        [i|o]key KEY Utilise GRE avec la clé spécifiée. KEY est soit un nombre ou une adresse IPv4. key spécifie la même clé dans les 2 directions, ikey et okey spécifier différentes clé pour l'entrée et la sortie.
        [i|o]csum Génère/requière des checksums pour les paquets tunnelisés. ocsum calcul les checksums pour les paquets sortant et icsum nécessite que tous les paquets entrant aient un checksum correct. csum est équivalent à icsum ocsum.
        hoplimit TTL Spécifie la valeur de limite de saut à utiliser dans les paquets sortants.
        encaplimit ELIM Spécifie une limite d'encapsulation fixée. Défaut: 4
        lowlabel FLOWLABEL Spécifie un label de flux fixe
        tclass TCLASS Spécifie le champ de classe de trafic dans les paquets tunnelisés. Peut être soit une valeur hexa à 2 chiffres, ou une chaîne prédéfinie. inherit copie le champ depuis l'en-tête IP original, inherit/STRING oo inherit/00..ff servent pour les paquets non-IP tunnelisés. défaut: 00.

delete Supprime un lien virtuel

        dev DEVICE Spécifie le périphérique physique sur lequel opérer.

set Change les attributs des périphériques

        dev DEVICE Spécifie le périphérique sur lequel opérer.
        group GROUP GROUP a 2 rôles: si group et det sont présents, ils placent le périphérique dans le groupe spécifié. Si seul un groupe est spécifié, la commande opère sur tous les périphérique dans ce groupe.
        up, down Change l'état du périphérique
        arp on|off Change le flag NOARP dans le périphérique
        multicast on|off Change le flag MULTICAST dans le périphérique
        dynamic on|off Change le flag DYNAMIC dans le périphérique
        name NAME Change le nom du périphérique
        txqueuelen NUMBER
        txqlen NUMBER Change la longueur de file de transmission du périphérique
        mtu NUMBER Change le MTU du périphérique
        address LLADDRESS Change l'adresse de station de l'interface
        broadcast LLADDRESS
        brd LLADDRESS
        peer LLADDRESS Change l'adresse de broadcast de lien réseau ou l'adresse paire quand l'interface est POINTTOPOINT
        netns PID Place le périphérique dans l'espace de nom réeau associé avec le PID du processus
        netns NETNSNAME Place le périphérique dans l'espace de nom réeau associé avec le nom spécifié
        alias NAME Donne un nom symbolique à un périphérique
        group GROUP Spécifie le groupe auquel appartient le périphérique. Les groupes disponibles sont listés dans /etc/iproute2/group
        vf NUM Spécifie un périphérique de fonction virtuel à configurer. Le périphérique VF associé doit être spécifié en utilisant le paramètre dev.

                mac LLADDRESS Change l'adresse de station pour le VF spécifié. le paramètre vf doit être spécifié
                vlan VLANID Chagne le vlan assigné pour le VF spécifié.
                qos VLAN-QOS Assigne la priorité vlan pour le tag vlan.
                rate TXRATE Change la bande passante de transmission permise, en Mbps, pour le VF spécifié. 0 désactive la limite.
                max_tx_rate TXRATE Change la bande passante de transmission maximum permise, en Mbps, pour le VF spécifié.
                min_tx_rate TXRATE Change la bande passante de transmission minimum permise, en Mbps, pour le VF spécifié.
                spoofchk on|off Active la vérification de spoofing de paquets pour le VF spécifié
                state auto|enable|disable Définis l'état de lien virtuel comme vu par le VF spécifié. À auto, signifie une réflexion de l'état du lien PF, enable laisse le VF communiquer avec d'autres VF sur cet hôte même si le lien PF est down, disable force le HW à détruire tout paquet envoyé par le VF.

        master DEVICE Définis le périphérique maître du périphérique ( périphérique enslave )
        nomaster Indéfinis le périphérique maître

show Affiche les attributs du périphérique

        dev NAME Nom du périphérique à afficher. Omis, affiche tous les périphériques dans le groupe par défaut
        group GROUP Spécifie que groupe de périphérique sont affichés
        up N'affiche que les interface fonctionnelles

Exemples

ip link show
Affiche l'état de tous les liens réseaux sur le système
ip link set dev ppp0 mtu 1400
Change le MTU du périphérique ppp0
ip link add link eth0 name eth0.10 type vlan id 10
Créer une nouvelle interface vlan sur eth0
ip link delete dev eth0.10
Supprime de périphérique vlan spécifié
^
15 juin 2015

htmlpdflatexmanmd




ip-address

ip-address

Gestion des adresses de protocole

Commandes

ip address add Ajouter une nouvelle adresse de protocole

        dev NAME Le nom du périphérique
        local ADDRESS L'adresse de l'interface. Le format de l'adresse dépend du protocole (IP ou IPv6), et peut être suivi du masque
        peer ADDRESS L'adresse de l'autre nœud dans une interface point à point.
        broadcast ADDRESS L'adresse de broadcast de l'interface. Peut être '+' et '-'. Dans ce cas, il est dérivé en définissant/réinitialisant les bits du préfixe de l'interface.
        label NAME Chaque adresse peut être taggée avec un label. Pour des raison de compatibilité, cette chaîne doit coïncider avec le nom du périphérique ou doit être préfixé avec le nom du périphérique suivi par une virgule.
        scope SCOPE Le scope de l'aire où cette adresse est valide. Les scopes sont listés dans /etc/iproute2/rt_scopes, dont ceux qui sont prédéfinis sont:

                global L'adresse est valide globalement
                site (ipv6) l'adresse est locale au site
                link l'adresse est un lien local
                host L'adresse est valide seulement dans cet hôte

ip address delete Supprime une adresse de protocole. Les argument sont les même que pour ip address add
ip address show Affiche les adresses de protocole

        dev NAME Le nom du périphérique
        scope SCOPE Liste seulement les adresses dans ce scope
        to PREFIX List seulement les adresses correspondant à ce préfixe
        label PATTERN Liste seulement les adresses avec les labels qui correspondent au pattern
        up Liste seulement les interfaces up
        dynamic
        permanent (ipv6) liste seulement les adresses installées par une configuration sans état ou permanent.
        tentative (ipv6) Liste seulement les adresses qui n'ont pas passé la détection d'adresse dupliquée
        deprecated (ipv6) Liste seulement les adresses dépréciées
        dadfailed (ipv6) Liste seulement les adresses qui ont échouées la détection d'adresse dupliqueé
        temporary (ipv6) Liste seulement les adresses temporaires
        primary
        secondary (ipv6) Liste seulement les adresses primaires ou secondaires

ip address flush Vide les adresses de protocole sélectionnés par certains critères. Cette commande à les même argument que show. La différence est qu'elle ne se lance pas sans arguments.

Exemples

Afficher les adresses assignées à l'interface eth0
ip address show dev eth0
Ajoute une adresse IPv6 à l'interface eth1
ip addr add 2001:0db8:85a3::0370:7334/64 dev eth1
Supprime toutes les adresses de l'interface eth1
ip addr flush dev eth4
^
17 mars 2010

htmlpdflatexmanmd




Linux Bridge

Linux Bridge

Permet de transformer une machine Linux en commutateur

   Sl est très versatile et très performant. Il est notamment utilisé sur certaines box (livebox, etc...). Il est ainsi possible de créer plusieurs commutateurs virtuels, d’appliquer des règles de filtrage avec Iptables, ou plus adapté, Ebtables. Linux bridge gère le STP et les trames taguées. Il est nécessaire que le noyau linux soit compilé avec l’option "networking -› 802.1d Ethernet Bridging" . Sous Debian, les noyaux sont compilés avec cette option par défaut. Il suffit donc d’installer le paquet bridge-utils

Configuration

   Linux bridge est très simple à configurer, il suffit de créer un commutateur, lui inclure les interfaces que l’on désire, et si nécessaire de paramétrer le STP.

brctl addbr ajouter un commutateur
brctl delbr supprimer un commutateur
brctl addif ajouter une interface a un commutateur
brctl delif supprimer une interface d’un commutateur
brctl show affiche la liste des commutateurs
brctl showmacs affiche la liste des addresses MAC
brctl stp active/désactive le stp
brctl showstp affiche les info stp
brctl setageing ajuste ageing time
brctl setbridgeprio ajuste bridge priority
brctl setfd ajuste le bridge forward delay
brctl sethello ajuste le hello time
brctl setmaxage ajuste le max message age
brctl setpathcost ajuste le path cost
brctl setportprio ajuste le port priority

Exemples

pour créer un commutateur avec 2 interfaces:
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr mybridge
brctl addif mybridge eth0
brctl addif mybridge eth1
ifconfig mybridge up
Il est nécessaire que les interfaces n’aient pas d’adresses IP. Ici, la machine ne possède aucune adresse IP, elle n’est donc pas manageable à distance. Pour lui donner une adresse, remplacer la dernière ligne par:
ifconfig mybridge 192.168.100.5 netmask 255.255.255.0
ou si on préfère une attribution par dhcp:
dhclient mybridge
À noter qu’il est possible de créer un commutateur avec une seule interface, il est donc possible sur un poste client de créer un commutateur sur l’interface réseau, et ainsi de pouvoir profiter des possibilités d’Ebtables pour le filtrage.
^
17 mars 2010

htmlpdflatexmanmd




route

route

Utilitaire pour afficher et manipuler la table de routage IP du noyau

OPTIONS

-v affiche le mode verbeux
-A famille utilise la famille d'adresse spécifiée (ex : inet, inet6)
-n  Affiche les adresses numériques au lieu des nom d'hôtes.
-e  Utilise netstat pour l'affichage de la table de routage -ee génère une très longue ligne avec tous les paramètres à partir de la table de routage.
-net la cible est un réseau
-host la cible est un hôte
-F Affiche la table de routage FIB du noyau. (FIB: Forwarding Information Base à différencier de RIB: routing Information Base)
-C Affiche le cache de routage du noyau
del Supprime une route
add Ajoute une route

   L'hôte ou le réseau de destination peut être spécifié avec une IP en notation décimale pointée ou un nom d'hôte à ajouter

netmask spécifie le masque de sous-réseau
gw indique le tronçon suivant pour la route
metric Affecte la métric pour la route
mss spécifie le MSS (Maximum Segment Size) de TCP pour les connexions passant par cette route.
window définit la taille de de fenêtre TCP (en octets) pour les connexions passant par cette route.
irtt définis le iRTT initial (round trip time) pour les connexions TCP sur cette route.(en msec)
reject Installe une route bloquante, qui forcera l'échec d'une recherche. utilisé pour masquer les réseaux avant d'utiliser la route par défaut.
mod, dyn, reinstate installe une route dynamique ou modifiée. ne sert que pour des besoins de diagnostique
dev Force la route à être associée au périphérique spécifié.

Exemples

ajoute l'entrée loopback normale
route add -net 127.0.0.0
ajoute une route vers le réseau 192.168.1.0.
route add -net 192.168.1.0 nemask 255.255.255.0 dev eth0
spécifie un réseau et l'adresse de tronçon suivant.
route add -net 192.168.1.0/24 gw 192.168.1.1
ajoute la route par défaut
route add default gw livebox
force le multicast à passer par eth0
route add 224.0.0.0 netmask 240.0.0.0 dev eth0
supprimer une route
route del -net 10.0.0.0/8 gw passerelle

Affichage

les indicateurs possibles sont:
U (la route est active = up)
H (la cible est un hôte)
G (utilise comme passerelle)
R (rétablit la route pour le routage dynamique)
D (dynamiquement configurée par le démon ou par redirect)
M (modifiée par le démon de routage ou par redirect)
(rejète la route)
^
17 mars 2010

htmlpdflatexmanmd




netstat

netstat

Affiche les connexions réseau, les tables de routage, les statistique des interfaces, les connexions masquées, les messages netlink, et les membres multicast

   Sans option, affiche l'état des connexions réseau en listant les sockets ouvertes.

  Familles d'adresse: --tcp --udp --raw --groups --unix --inet [--ax25] [--ipx] [--netrom]

-e  donne quelques info supplémentaire (userid)
-v permet de signaler des familles d'adresses connues non supportées par le noyau
-o affiche des informations supplémentaires sur les timers réseau
-a affiche tous les sockets, y compris les sockets d'écoute des serveurs
-r, --route permet de visualiser les tables de routage (comme route)
-i, --interfaces affiche une table des interfaces réseaux (comme ifconfig)
-M, --masquerade Permet de voir les sessions ayant de l'IP-masquerade
-N, --netlink Les noyaux récents supportent une communication avec l'utilisateur nommé netlink. affiche des messages relatifs à la création, la suppression d'interfaces ou de routes à partir de /dev/route

OPTIONS

-v, --verbose active le mode verbeux
-n, --numéric affiche des adresses en format numérique, au lieu du nom symbolique
-p, --programs affiche le nom et le PID des processus propriétaires de chaque socket décrite
-l affiche les ports en écoute
-A, --af utilise une méthode différente pour affecter les familles d'adresses. utiliser des "," pour séprarer les familles d'adresses (ex : inet, unix, ipx, ax25, netrom et ddp). L'utilisation des options longues --inet, --unix, --ipx, --ax25, --netrom et --ddp à le même effet
-c, --continuous affiche la table séléctionnée chaque seconde.

Exemples

Voir quel programme utilise quel port (ou encore netstat -latupe)
netstat -a -A inetd -p
lister les services associés aux ports en écoute
netstat -ntulp
^
17 mars 2010

htmlpdflatexmanmd




ifconfig

ifconfig

Utilitaire de configuration des interfaces réseaux

   Sans argument, affiche simplement l'état des interfaces définies. Si une interface est données, affiche l'état de l'interface.

-a Affiche toutes les interfaces, y compris celles inactives

   Si le premier argument après le nom de l'interface est reconnu comme étant un nom de famille d'adresse, cette famille est utilisée pour décoder et afficher toutes les adresses protocolaires (inet, ax25, ddp et ipx)

OPTIONS

up active l'interface
down arrête le fonctionnement du pilote de cette interface
[-]arp valide ou invalide l'utilisation du protocole ARP sur cette interface
[-]promisc valide ou invalide le mode promiscuous.
[-]allmulti valide ou invalide le fonctionnement de l'interface en mode all-multicast
metric définit la métrique de l'interface
mtu définit le MTU de l'interface
netmask Définit le masque de sous-réseau pour l'interface.
add adr/lg_prefix ajoute une adresse IPv6 à une interfaces
del adr/lg_prefix supprime une adresse IPv6 d'une interface
tunnel aa.bb.cc.dd crée un tunnel périphérique SIT (ipv6 dans ipv4) en mode tunnel jusqu'à la destination
irq Définit la ligne d'interruption utilisée par ce périphérique
io_addr définit l'adresse de début dans l'espace d'entrée-sortie I/O
mem_start Définit l'adresse de début de mémoire partagée pour ce périphérique
media type Définis le port physique de medium utilisé pour ce périphérique (10base2 10baseT AUI auto)
[-]broadcast [adr] définis l'adresse broadcast.
[-]pointopoint [adr] valide le mode point-to-point d'une interface. adr est l'adresse de l'autre bout.
hw classe adresse Définis l'adresse matérielle de l'interface (ether, ax25, ARCnet et Netcron)
multicast Positionne l'indicateur multicast sur l'interface
^
17 mars 2010

htmlpdflatexmanmd




ifup

ifup, ifdown

Active/désactive une interface réseau. Peuvent être utilisés pour configurer / dé-configurer les interfaces réseaux basé sur des définitions d'interface dans le fichier /etc/network/interfaces

OPTIONS

-a, --all affecte toutes les interfaces marquée auto, dans l'ordre où ils apparaissent dans le fichier interfaces.
--force Force la configuration ou la déconfiguration de l'interface
-i FILE, --interfaces=FILE Lit le fichier spécifié au lieu de /etc/network/interfaces
-n, --no-act mode simulation, n'active aucune interface
--allow=CLASS seules les interfaces listées dans un "allow class" sont activé ou désactivées.
--no-mapping ne lance aucun mapping.
-v, --verbose mode verbeux

Exemples

Activer eth0
ifup eth0
Activer l'interface eth0 comme interface logique home
ifup eth0=home

   note: le fichier /var/run/network/ifstate donne l'état des interfaces réseaux.
^
17 mars 2010

htmlpdflatexmanmd




interfaces

interfaces

Fichier de configuration pour ifup et ifdown. Il contient les informations de configuration pour les interfaces réseau

   Les lignes commençant par "#" sont ignorées. Une ligne peut être étendue sur plusieurs en utilisant un "\" à la fin de la ligne. Ce fichier consiste d'une ou plusieurs "iface", "mapping", "auto" et "allow-".

   Les lignes commençant par le mot "auto" sont utilisées pour identifier les interfaces physiques à configurer quand ifup est lancé avec l'option -a (cette options est utilisée par le système au démarrage). Le nom de l'interface physique doit suivre le mot "auto" sur la même ligne.

   Les lignes commençant avec "allow-" sont utilisées pour identifier les interfaces qui devraient être activées automatiquement par divers sous-systèmes. Cela peut-être fait avec une commande du type "ifup --allow=hotplug eth0 eth1", qui va activer uniquement eth0 et eth1 s'ils sont listés dans une ligne "allow-hotplug". Noter que "allow-auto" est synonyme de "auto".

   Les lignes commençant pas "mapping" sont utilisés pour déterminer comment le nom d'interface logique est choisis pour une interface physique. chaque mapping doit contenir une définition script.

   ifup utilise le nom de l'interface physique comme nom logique, à moins qu'un suffix du type =LOGICAL soit spécifié.

   La définition des interfaces logique commence avec une ligne consistant du mot "iface", suivi du nom de l'interface logique. Le nom de l'interface est suivi du nom de famille d'adresse que l'interface utilise. cela sera "inet" pour TCP/IP, ipx pour les réseau ipx et inet6 pour les réseaux ipv6. La suite est le nom de la méthode pour configurer l'interface.

   Des options additionnelles peuvent être utilisées sur les lignes suivante. ces options dépendent de la méthode et de la famille. Par exemple, le paquet wireless-tools ajoute des options préfixés avec "wireless" qui peuvent-être utilisées pour configurer l'interface en utilisant iwconfig.

IFACE options

   Ces options sont disponible pour toutes les familles et méthodes. Chacune peuvent être indiqué plusieurs fois et sont exécutés dans l'ordre qu'elle apparaissent. (pour s'assurer qu'une commande ne plante jamais, suffixer par "|| true"

pre-up command Lance la commande avant de configurer l'interface.
up comand
post-up command Lance la commande après avoir configuré l'interface
down command
pre-down command Lance la commande avant de dé-configurer l'interface.
post-down Lance la commande après avoir dé-configuré l'interface.

   Il existe pour chacune des options mentionnées, un dossier /etc/network/if-‹option›.d/. Les scripts qui s'y trouvent sont lancés en utilisant run-parts après que l'option ait été traitée.

  Toutes ces commandes ont accès aux variables d'environnement suivante:

IFACE Nom phyique de l'interface
LOGICAL Nom logique de l'interface
ADDRFAM famille de l'interface
METHOD Méthode de l'interface
MODE Démarre si lancé depuis ifup, arrête si lancé depuis ifdown
PHASE Comme pour MODE, mais plus précis, distingue pre-up, post-up, pre-down et post-down.
VERBOSITY indique si --verbose est utilisé.
PATH le path de recherche de commande: /usr/local/sbin :/usr/local/bin :/usr/sbin :/usr/bin :/sbin :/bin

Famille d'adresse inet

la méthode loopback Cette méthode est utilisé pour définir une interface de bouclage ipv4. N'a pas d'options
Methode static Cette méthode est utilisée pour définir les interfaces ethernet avec des adresses ipv4 définie statiquement dans /etc/network/interfaces

Options

address adresse IP
netmask masque de sous-réseau
broadcast adresse de broadcast
network adresse du réseau
metric métrique pour la route par défaut
gateway passerelle par défaut
pointopoint adresse de "l'autre bout"
media dépendant du pilote.
hwaddress classe et adresse physique. classe peut être ether, ax25, ARCnet ou netrom.
mtu taille MTU

La méthode manual Cette méthode peut être utilisé pour définir des interfaces sans configuration par défaut. N'a pas d'options
La méthode dhcp Cette méthode peut être utilisée pour obtenir une adresse et une configuration via DHCP.

Options

hostname nom d'hôte
leasetime lease time en seconde
vendor Vendor Class Identifier
Client identifiant client
hwaddress classe et adresse physique.

La méthode bootp Cette méthode peut être utilisée pour obtenir une ip via bootp

Options

bootfile fichier à utiliser
server adresse du serveur
hwaddr utilise l'adresse comme adresse physique

la méthode ppp Cette méthode est utilisé pour configurer des interfaces ppp (utilise pon/poff)

Options

provider utilise ce nom comme provider

la méthode wvdial méthode utilise wvdial pour configurer une interface ppp.
La méthode ipv4all cette méthode utilise avahi-autoipd pour configurer une interface avec une adresse ipv4 APIPA (famille 169.254.0.0/16). N'a pas d'options

Famille d'adresse inet6

La méthode loopback Cette méthode peut être utilisée pour définir l'interface de bouclage ipv6. N'a pas d'options
La méthode static Utilisé pour définir statiquement l'interface.

Options

address adresse de l'interface
netmask masque de sous-réseaux
gateway passerelle par défaut
media dépendant du pilote
hwaddress classe et adresse physique. Classe peut être ether, ARCnet ou netrom
mtu taille MTU

La méthode manual Cette méthode est utilisé pour définir des interfaces pour lesquelles aucune configuration n'est faite. N'a pas d'options
La méthode v4tunnel Cette méthode peut être utilisée pour créer un tunnel IPv6-over-IPv4. Il requière la commande ip du paquet iproute.

Options

address adresse de l'interface
netmask masque de sous-réseaux
endpoint adresse du bout du tunnel (ipv4)
local adresse local du tunnel (ipv4)
gateway passerelle par défaut
ttl réglage ttl

Exemples

interface loopback:
auto lo
iface lo inet loopback
configuration basique d'une carte ethernet:
auto eth0
iface eth0 inet static
address 192.168.0.42
network 192.168.0.0
netmask 255.255.255.0
gateway 192.168.0.1
configuration plus complexe, avec mise a jour de la table de routage:
auto eth0
iface eth0 inet static
address 192.168.1.42
network 192.168.1.0
netmask 255.255.255.128
broadcast 192.168.1.0
up route add -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2
up route add default gw 192.168.1.200
down route del default gw 192.168.1.200
down route del -net 192.168.1.128 netmask 255.255.255.128 gw 192.168.1.2
configuration une carte ethernet avec 2 interfaces:
auto eth0 eth0:1
iface eth0 inet static
address 192.168.0.100
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.1
iface eth0:1 inet static
address 192.168.0.200
network 192.168.0.0
netmask 255.255.255.0
^
17 mars 2010

htmlpdflatexmanmd




arp

arp

Manipuler et afficher la table arp ipv4 du noyau

Modes

arp sans mode affiche le contenu de la table arp, il est possible de limiter l'affichage en spécifiant le type d'adresse physique, le nom de l'interface ou l'adresse de l'hôte.
arp -d address va supprimer l'entrée dans la table arp
arp -s address hw_addr est utilisé pour ajouter une entrée dans la table. Pour spécifier des entrée pour une ou plusieurs interfaces, utiliser -Ds address ifname

OPTIONS

-v, --verbose mode verbeux
-n, --numeric affiche les adresses numériques au lieu des noms
-H type, --hw-type type spécifie quelle classe d'entrée arp doit vérifier.
-a utilise le format de sortie BSD
-D, --use permet de spécifier une interface au lieu de hw_addr. c'est la meilleur option pour spécifier un proxy arp.
-i If, --device If sélectionne une interface
-f filename, --file filname similaire à l'option -s, seulement cette fois les données sont prise depuis le fichier spécifié. généralement /etc/ethers (défaut)

Exemples

Répondre aux requêtes arp sur eth0 pour 10.0.0.2 avec l'adresse MAC de eth1
arp -i eth0 -Ds 10.0.0.2 eth1 pub
Supprimer une entrée de la table
arp -i eth1 -d 10.0.0.1
^
17 mars 2010

htmlpdflatexmanmd




vconfig

vconfig

Utilitaire de configuration de VLANs

   Il permet de créer et supprimer des périphériques-vlan. Les périphériques-vlan sont des périphérique ethernet virtuels qui représentent les réseaux virtuels sur un réseau physique.

OPTIONS

add [interface-nome] [vlan-id] Crée un périphérique-vlan sur l'interface.
rem [vlan-device] supprimer un périphérique-vlan
set_flag [vlan-device] 0 | 1 À 1 les en-tête ethernet sont activés, dumper l'interface va apparaître comme une trame non taguée.
set_egress_map [vlan-device] [skb-priority] [vlan-qos] tague les trames sortantes avec un skb-priority particulier avec la priorité vlan skb-qos.
set_ingress_map [vlan-device] [skb-priority] [vlan-qos] tague les trames entrantes avec un skb-priority particulier avec la priorité vlan skb-qos.
set_name_type VLAN_PLUS_VID | VLAN_PLUS_VID_NO_PAD | DEV_PLUS_VID | DEV_PLUS_VID_NO_PAD Règle la manière dont les noms des périphérique vlan sont crées.