summaryrefslogtreecommitdiff
path: root/Fabriquer_son_internet_6.txt
blob: 9e0ef5d6936d523708ed3da803926229671dcf22 (plain) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82

Titre: Fabriquer son internet (6)
Auteur: Bruno
Date: Mon 06 May 2013 20:08:54 +0200
Lien: https://blog.spyou.org/wordpress-mu/2013/05/06/fabriquer-son-internet-6/

[image 2][2]

Crédit photo : Pascal Charest

Après une petite incartade au pays du chiffrement et des e-monnaies[3], retour 
aux fondamentaux. Dans les épisodes précédents, on a à peu près fait le tour 
des choses minimales à traiter pour monter un petit fournisseur d’accès. Place 
maintenant à un peu d’envers du décor. Abordons ce qu’il convient de faire pour
assurer ses arrières quand on bosse sur un réseau qui n’est plus local. 
Attention, chacun a ses méthodes préférées, je n’ai pas la prétention de les 
lister toutes, juste de vous présenter ce avec quoi j’ai, moi, l’habitude de 
travailler.

Le maître mot est l’accès aux équipements. Quand on construit un réseau, si 
l’équipement d’un client est en panne, c’est pas la mer à boire. Par contre, si
c’est un bout ou la totalité du coeur de réseau qui part en sucette, c’est 
plus enquiquinant, vu que tout ou partie des utilisateurs se retrouvent dans le
noir.

Il existe pour moi deux grandes familles de solutions qui se complètent très 
bien :

Le réseau d’administration

L’idée est de séparer, si possible physiquement, sinon logiquement, le morceau 
de réseau qui sert à administrer les équipements de celui qui sert à 
transporter les données des utilisateurs. Plusieurs avantages :

  * les flux de données sont totalement séparés, ce qui rend donc beaucoup plus
    difficile pour un attaquant de s’en prendre à vos équipements puisqu’ils ne
    sont pas publiquement accessibles
  * Corollaire, puisqu’ils ne sont pas publiquement accessibles, vous gagnez de
    précieuses adresses IP en les numérotant avec des IP privées (sauf si, bien
    entendu, vos équipements sont assez récents pour supporter l’adressage 
    d’administration en IPv6)
  * La topologie de votre réseau administratif peut être différente de celle du
    réseau client

On va surtout s’intéresser à ce dernier avantage. Lorsqu’on parle d’un réseau 
de fourniture d’accès, surtout dans le cas où celui-ci met en jeu des liens 
ADSL en cours de route, il peut être pratique de segmenter le réseau. Exemple 
concret, sur un réseau wireless, vous avez un point haut qui est capable de 
desservir deux villes, l’une va être sur un VLAN dédié, l’autre sur un second, 
ce qui permettra facilement de les relier à deux ADSL distincts et de basculer 
des utilisateurs de l’un à l’autre, le tout sur un même réseau physique.

Mais pour l’administration, on préférera souvent limiter au maximum les 
dispositifs de routage qui peuvent être plus capricieux que le reste. On aura 
donc un seul et unique VLAN d’administration qui sera global à toute 
l’infrastructure.

Là où ça se corse, c’est si votre réseau devient très étendu et dispose de 
chemins multiples. La boucle ethernet vous guette du coin de l’oeil et vous 
tombera sur le dos un jour ou l’autre. Pour adresser ce problème, on se 
tournera vers une autre solution :

Les accès « out of band »

L’idée est de se ménager des accès au réseau d’administration depuis d’autres 
réseaux. Idéalement, un par site physique distinct, pour pouvoir reprendre la 
main sur les équipements en cas de problème.

Concrètement, ça passe par exemple par la souscription d’une ligne ADSL chez 
Orange livrée au pied d’un pylône important de l’infrastructure si on sait que 
le gros de celle-ci repose sur des liaisons ADSL SFR. Ainsi, en cas de chute 
globale ou localisée de SFR, il est toujours possible de prendre la main sur 
le pylône via l’ADSL Orange et, si on se débrouille bien, de rétablir l’accès 
en trafiquant les configuration.

Dans le prochain épisode, on reparlera transport de données et montée en débit[4]
, parce que l’ADSL ça va bien 5 minutes.

Liens:
[1]: http://blog.spyou.org/wordpress-mu/files/2010/12/20101204-cut-cables.jpg (lien)
[2]: http://blog.spyou.org/wordpress-mu/files/2010/12/20101204-cut-cables-300x225.jpg (image)
[3]: http://blog.spyou.org/wordpress-mu/2013/04/22/comment-ca-marche-les-bitcoins/ (lien)
[4]: http://blog.spyou.org/wordpress-mu/2013/05/14/fabriquer-son-internet-7/ (lien)
generated by cgit v1.2.1 (git 2.18.0) at 2024-05-02 16:04:00 +0000