diff options
author | neodarz <neodarz@neodarz.net> | 2017-03-10 11:58:22 +0100 |
---|---|---|
committer | neodarz <neodarz@neodarz.net> | 2017-03-10 11:58:22 +0100 |
commit | bc1d70343807104ccf64b6bde9b2db54270203ff (patch) | |
tree | 122467d5cad8688bc609a1509e922dce5d70d391 /Fabriquer_son_internet_4.txt | |
download | read_it_later-master.tar.xz read_it_later-master.zip |
Diffstat (limited to '')
-rw-r--r-- | Fabriquer_son_internet_4.txt | 128 |
1 files changed, 128 insertions, 0 deletions
diff --git a/Fabriquer_son_internet_4.txt b/Fabriquer_son_internet_4.txt new file mode 100644 index 0000000..e356d08 --- /dev/null +++ b/Fabriquer_son_internet_4.txt @@ -0,0 +1,128 @@ +Titre: Fabriquer son internet (4) +Auteur: Bruno +Date: Wed 20 Mar 2013 22:36:21 +0100 +Lien: https://blog.spyou.org/wordpress-mu/2013/03/20/fabriquer-son-internet-4/ + +[image 2][2] + +Crédit photo : Benoit Theodore + +Dans l’épisode précédent, on a vu comment remplacer le coeur de réseau[3] de +notre copain FAI-du-début. Il ne reste que deux choses sur lesquelles nous +n’avons pas la main : + + * Le transport de nos données entre chez nous et le datacenter qui abrite + notre coeur de réseau + * La sortie du tunnel L2TP qui supporte notre connexion ADSL qui se fait + toujours sur le LNS du FAI copain que nous utilisons + +Attardons nous sur ce second point. Le LNS est donc, comme expliqué dans un +article précédent, un serveur (ou un routeur hardware si vous avez les moyens +de vous en offrir un) qui concentre les terminaisons de connexions ADSL. Si +vous avez l’habitude de la commande ifconfig, vous vous retrouverez, au choix, +avec une interface qui concentre tout le trafic des utilisateurs ADSL, ou bien +une interface par connexion distante. Pour ceux qui n’ont rien compris à la +phrase précédente, vous voyez votre switch à la maison (ou bien votre box ADSL) +avec plusieurs connecteur réseau derrière, eh ben le LNS c’est la même chose de +l’autre coté, une connexion réseau par utilisateur ADSL connecté, à ceci prêt +que ce ne sont bien entendu pas des connexions physiques mais virtuelles +puisque l’ensemble du trafic arrive sur un seul câble. + +Quel intérêt, me direz vous, d’avoir son propre LNS, puisqu’on en a déjà un qui +fait le job ? Il y en a plein en fait. Avec votre propre LNS, vous pouvez par +exemple distribuer des adresses IP privées à certaines connexions, ajouter des +blocs d’adresse IP vous même sans avoir besoin d’aller parler au LNS du +copain-FAI, etc. + +Mais avant de mettre en route votre LNS, vous allez avoir besoin d’un radius. +Il s’agit d’un logiciel plutôt idiot à qui on dit « tiens, y’a tatie Martine +qui veut se connecter, elle dit que son mot de passe c’est ‘canard’, est-ce +qu’elle a bon ? », et le radius de répondre « non » ou bien « oui, et tiens, +tant que t’es là, tu vas lui donner telle adresse IP, tels serveurs DNS, etc. +». + +On va donc installer notre LNS sur le routeur au datacenter (oui, le même que +celui qui fait BGP, vous avez à peine 20 utilisateurs derrière, ça ira très +bien pour commencer) et son petit copain radius et on va expliquer au premier +qu’il faut aller demander au second si les gens ont le droit de se connecter. + +Et là, c’est le drame. Vous avez un LNS et un radius qui discutent ensemble, +mais comment faire pour que le LNS de votre copain FAI envoie les connexions +qui vous concernent à votre LNS à vous et ne se les garde pas jalousement pour +lui comme il le faisait jusqu’à présent ? C’est ici que je vous introduis +auprès d’un nouveau terme barbarre : le realm. + +C’est la seconde partie d’un login ADSL. Par exemple, chez SFR, votre login est +du genre adresse_mac@neufpnp. Le realm est neufpnp. C’est lui qui va permettre +à tout le réseau de transport entre chez vous et le coeur de réseau du FAI de +savoir où doit aboutir votre lien ADSL. Chez FDN, les logins sont de la forme +login@fdn.nerim. Le « nerim » permet à SFR ou Orange (qui assurent le début du +transport) de savoir qu’il faut ensuite envoyer les données à Nerim, et le « +fdn » permet à Nerim de savoir qu’il faut passer la communication à FDN. + +On pourrait éventuellement utiliser quelquechose comme login@monfai.fdn.nerim, +mais ça obligerait à ennuyer Nerim à chaque nouveau FAI, ce qui serait un +poil enquiquinant. On va donc tricher et utiliser un bout du login comme un +realm secondaire, avec un identifiant du type login%monfai@fdn.nerim. Le radius +de FDN voyant arriver un login sous la forme tatiemartine%monfai va savoir +qu’il ne faut pas traiter directement la demande de connexion mais aller poser +la question à votre radius à vous. + +Et que doit répondre votre radius ? Quelquechose qui permettra au LNS de FDN de +propager la connexion de vos utilisateurs jusqu’à votre LNS. + +Votre LNS à vous va, ensuite, reposer la même question à votre radius, qui, à +présent, va répondre « ah oui, tatie Martine, elle a le droit, et son IP c’est +85.65.21.2″ et votre LNS va accepter la connexion de tatie Martine. Pour la +petite histoire, un LNS qui ne termine pas une connexion mais ne fait que la +propager à un autre, c’est un LAC (mais il n’y a pas d’eau dedans). + +Je récapitule : + + 1.Tatie Martine allume son modem ADSL (oui, depuis le temps, elle a été + couverte, et maintenant, c’est elle qui partage son ADSL avec ses voisins + malchanceux) + 2.Le modem initie une connexion L2TP à travers le réseau de l’opérateur de la + ligne ADSL (fort probablement SFR ou Orange, donc) + 3.L’infrastructure de l’opérateur reconnait la fin de l’identifiant de tatie + Martine et renvoie la demande de connexion à Nerim + 4.Le LAC de Nerim reconnait ‘fdn’ dans le realm et renvoie donc la connexion + au LNS de FDN + 5.Le LNS de FDN reconnait ‘monfai’ entre le % et l’@ de l’identifiant et va + donc demander à votre radius à vous quoi faire + 6.Votre radius répond, sans même vérifier que l’identifiant est bon, qu’il + faut renvoyer la connexion vers votre LNS à vous + 7.Le LNS de FDN se transforme en LAC et renvoie la connexion vers votre LNS à + vous + 8.Votre LNS redemande à votre radius ce qu’il doit faire de la demande de + connexion + 9.Votre radius répond que tatie Martine a bien le droit de se connecter avec + le mot de passe ‘canard’ et fournit, en prime, l’adresse IP à attribuer à + tatie +10.Votre LNS accueille à bras ouverts le modem ADSL de tatie Martine et + l’informe de l’adresse IP qu’il conviendra d’utiliser pour communiquer avec + le reste d’internet + +Quand vous allez avoir un nombre important de connexions ADSL, il sera temps de +redonder tout ça. Rien de bien compliqué, il faut ajouter une seconde machine +avec radius et LNS dedans, et faire en sorte qu’elles utilisent une même IP +pour discuter avec le LAC/radius de l’opérateur qui est en face. Si l’une des +deux tombe en panne, l’autre prend le relais. + +Notez enfin que tant que vous y êtes, si vous avez envie d’avoir une collecte +opérateur directe, vous avez tout ce qu’il vous faut. Il suffit de négocier +avec SFR ou Orange pour obtenir une porte de collecte et la brancher +directement à votre couple LNS/radius. Prévoyez un petit chèque avec 5 zéros et +un coût mensuel non négligeable. + +Nous voilà donc arrivés au moment fatidique où il ne reste plus que la collecte +ADSL à remplacer pour être 100% autonome depuis vos utilisateurs jusqu’à +internet. Ça va pas être facile ni bon marché, je vous préviens. Nous y +reviendrons un peu plus tard. D’ici là, le prochain article traitera un peu +plus en détail du coeur de réseau et des relations de transit et de peering[4]. + +Liens: +[1]: http://www.flickr.com/photos/gelinh/6472545327/ (lien) +[2]: http://blog.spyou.org/wordpress-mu/files/2013/03/20130320-LAC-300x225.jpg (image) +[3]: http://blog.spyou.org/wordpress-mu/2013/03/19/fabriquer-son-internet-3/ (lien) +[4]: http://blog.spyou.org/wordpress-mu/2013/04/12/fabriquer-son-internet-5/ (lien) |