summaryrefslogtreecommitdiff
path: root/Fabriquer_son_internet_4.txt
diff options
context:
space:
mode:
Diffstat (limited to 'Fabriquer_son_internet_4.txt')
-rw-r--r--Fabriquer_son_internet_4.txt128
1 files changed, 128 insertions, 0 deletions
diff --git a/Fabriquer_son_internet_4.txt b/Fabriquer_son_internet_4.txt
new file mode 100644
index 0000000..e356d08
--- /dev/null
+++ b/Fabriquer_son_internet_4.txt
@@ -0,0 +1,128 @@
+Titre: Fabriquer son internet (4)
+Auteur: Bruno
+Date: Wed 20 Mar 2013 22:36:21 +0100
+Lien: https://blog.spyou.org/wordpress-mu/2013/03/20/fabriquer-son-internet-4/
+
+[image 2][2]
+
+Crédit photo : Benoit Theodore
+
+Dans l’épisode précédent, on a vu comment remplacer le coeur de réseau[3] de
+notre copain FAI-du-début. Il ne reste que deux choses sur lesquelles nous
+n’avons pas la main :
+
+ * Le transport de nos données entre chez nous et le datacenter qui abrite
+ notre coeur de réseau
+ * La sortie du tunnel L2TP qui supporte notre connexion ADSL qui se fait
+ toujours sur le LNS du FAI copain que nous utilisons
+
+Attardons nous sur ce second point. Le LNS est donc, comme expliqué dans un
+article précédent, un serveur (ou un routeur hardware si vous avez les moyens
+de vous en offrir un) qui concentre les terminaisons de connexions ADSL. Si
+vous avez l’habitude de la commande ifconfig, vous vous retrouverez, au choix,
+avec une interface qui concentre tout le trafic des utilisateurs ADSL, ou bien
+une interface par connexion distante. Pour ceux qui n’ont rien compris à la
+phrase précédente, vous voyez votre switch à la maison (ou bien votre box ADSL)
+avec plusieurs connecteur réseau derrière, eh ben le LNS c’est la même chose de
+l’autre coté, une connexion réseau par utilisateur ADSL connecté, à ceci prêt
+que ce ne sont bien entendu pas des connexions physiques mais virtuelles
+puisque l’ensemble du trafic arrive sur un seul câble.
+
+Quel intérêt, me direz vous, d’avoir son propre LNS, puisqu’on en a déjà un qui
+fait le job ? Il y en a plein en fait. Avec votre propre LNS, vous pouvez par
+exemple distribuer des adresses IP privées à certaines connexions, ajouter des
+blocs d’adresse IP vous même sans avoir besoin d’aller parler au LNS du
+copain-FAI, etc.
+
+Mais avant de mettre en route votre LNS, vous allez avoir besoin d’un radius.
+Il s’agit d’un logiciel plutôt idiot à qui on dit « tiens, y’a tatie Martine
+qui veut se connecter, elle dit que son mot de passe c’est ‘canard’, est-ce
+qu’elle a bon ? », et le radius de répondre « non » ou bien « oui, et tiens,
+tant que t’es là, tu vas lui donner telle adresse IP, tels serveurs DNS, etc.
+».
+
+On va donc installer notre LNS sur le routeur au datacenter (oui, le même que
+celui qui fait BGP, vous avez à peine 20 utilisateurs derrière, ça ira très
+bien pour commencer) et son petit copain radius et on va expliquer au premier
+qu’il faut aller demander au second si les gens ont le droit de se connecter.
+
+Et là, c’est le drame. Vous avez un LNS et un radius qui discutent ensemble,
+mais comment faire pour que le LNS de votre copain FAI envoie les connexions
+qui vous concernent à votre LNS à vous et ne se les garde pas jalousement pour
+lui comme il le faisait jusqu’à présent ? C’est ici que je vous introduis
+auprès d’un nouveau terme barbarre : le realm.
+
+C’est la seconde partie d’un login ADSL. Par exemple, chez SFR, votre login est
+du genre adresse_mac@neufpnp. Le realm est neufpnp. C’est lui qui va permettre
+à tout le réseau de transport entre chez vous et le coeur de réseau du FAI de
+savoir où doit aboutir votre lien ADSL. Chez FDN, les logins sont de la forme
+login@fdn.nerim. Le « nerim » permet à SFR ou Orange (qui assurent le début du
+transport) de savoir qu’il faut ensuite envoyer les données à Nerim, et le «
+fdn » permet à Nerim de savoir qu’il faut passer la communication à FDN.
+
+On pourrait éventuellement utiliser quelquechose comme login@monfai.fdn.nerim,
+mais ça obligerait à ennuyer Nerim à chaque nouveau FAI, ce qui serait un
+poil enquiquinant. On va donc tricher et utiliser un bout du login comme un
+realm secondaire, avec un identifiant du type login%monfai@fdn.nerim. Le radius
+de FDN voyant arriver un login sous la forme tatiemartine%monfai va savoir
+qu’il ne faut pas traiter directement la demande de connexion mais aller poser
+la question à votre radius à vous.
+
+Et que doit répondre votre radius ? Quelquechose qui permettra au LNS de FDN de
+propager la connexion de vos utilisateurs jusqu’à votre LNS.
+
+Votre LNS à vous va, ensuite, reposer la même question à votre radius, qui, à
+présent, va répondre « ah oui, tatie Martine, elle a le droit, et son IP c’est
+85.65.21.2″ et votre LNS va accepter la connexion de tatie Martine. Pour la
+petite histoire, un LNS qui ne termine pas une connexion mais ne fait que la
+propager à un autre, c’est un LAC (mais il n’y a pas d’eau dedans).
+
+Je récapitule :
+
+ 1.Tatie Martine allume son modem ADSL (oui, depuis le temps, elle a été
+ couverte, et maintenant, c’est elle qui partage son ADSL avec ses voisins
+ malchanceux)
+ 2.Le modem initie une connexion L2TP à travers le réseau de l’opérateur de la
+ ligne ADSL (fort probablement SFR ou Orange, donc)
+ 3.L’infrastructure de l’opérateur reconnait la fin de l’identifiant de tatie
+ Martine et renvoie la demande de connexion à Nerim
+ 4.Le LAC de Nerim reconnait ‘fdn’ dans le realm et renvoie donc la connexion
+ au LNS de FDN
+ 5.Le LNS de FDN reconnait ‘monfai’ entre le % et l’@ de l’identifiant et va
+ donc demander à votre radius à vous quoi faire
+ 6.Votre radius répond, sans même vérifier que l’identifiant est bon, qu’il
+ faut renvoyer la connexion vers votre LNS à vous
+ 7.Le LNS de FDN se transforme en LAC et renvoie la connexion vers votre LNS à
+ vous
+ 8.Votre LNS redemande à votre radius ce qu’il doit faire de la demande de
+ connexion
+ 9.Votre radius répond que tatie Martine a bien le droit de se connecter avec
+ le mot de passe ‘canard’ et fournit, en prime, l’adresse IP à attribuer à
+ tatie
+10.Votre LNS accueille à bras ouverts le modem ADSL de tatie Martine et
+ l’informe de l’adresse IP qu’il conviendra d’utiliser pour communiquer avec
+ le reste d’internet
+
+Quand vous allez avoir un nombre important de connexions ADSL, il sera temps de
+redonder tout ça. Rien de bien compliqué, il faut ajouter une seconde machine
+avec radius et LNS dedans, et faire en sorte qu’elles utilisent une même IP
+pour discuter avec le LAC/radius de l’opérateur qui est en face. Si l’une des
+deux tombe en panne, l’autre prend le relais.
+
+Notez enfin que tant que vous y êtes, si vous avez envie d’avoir une collecte
+opérateur directe, vous avez tout ce qu’il vous faut. Il suffit de négocier
+avec SFR ou Orange pour obtenir une porte de collecte et la brancher
+directement à votre couple LNS/radius. Prévoyez un petit chèque avec 5 zéros et
+un coût mensuel non négligeable.
+
+Nous voilà donc arrivés au moment fatidique où il ne reste plus que la collecte
+ADSL à remplacer pour être 100% autonome depuis vos utilisateurs jusqu’à
+internet. Ça va pas être facile ni bon marché, je vous préviens. Nous y
+reviendrons un peu plus tard. D’ici là, le prochain article traitera un peu
+plus en détail du coeur de réseau et des relations de transit et de peering[4].
+
+Liens:
+[1]: http://www.flickr.com/photos/gelinh/6472545327/ (lien)
+[2]: http://blog.spyou.org/wordpress-mu/files/2013/03/20130320-LAC-300x225.jpg (image)
+[3]: http://blog.spyou.org/wordpress-mu/2013/03/19/fabriquer-son-internet-3/ (lien)
+[4]: http://blog.spyou.org/wordpress-mu/2013/04/12/fabriquer-son-internet-5/ (lien)
generated by cgit v1.2.1 (git 2.18.0) at 2024-05-17 09:57:07 +0000