Home » Comment ça marche, Internet, Nouveau monde

Fabriquer son internet (4)

20 mars 2013 14 commentaires
tags : , , ,
Download PDF
Crédit photo : Benoit Theodore

Crédit photo : Benoit Theodore

Dans l’épisode précédent, on a vu comment remplacer le coeur de réseau de notre copain FAI-du-début. Il ne reste que deux choses sur lesquelles nous n’avons pas la main :

  • Le transport de nos données entre chez nous et le datacenter qui abrite notre coeur de réseau
  • La sortie du tunnel L2TP qui supporte notre connexion ADSL qui se fait toujours sur le LNS du FAI copain que nous utilisons

Attardons nous sur ce second point. Le LNS est donc, comme expliqué dans un article précédent, un serveur (ou un routeur hardware si vous avez les moyens de vous en offrir un) qui concentre les terminaisons de connexions ADSL. Si vous avez l’habitude de la commande ifconfig, vous vous retrouverez, au choix, avec une interface qui concentre tout le trafic des utilisateurs ADSL, ou bien une interface par connexion distante. Pour ceux qui n’ont rien compris à la phrase précédente, vous voyez votre switch à la maison (ou bien votre box ADSL) avec plusieurs connecteur réseau derrière, eh ben le LNS c’est la même chose de l’autre coté, une connexion réseau par utilisateur ADSL connecté, à ceci prêt que ce ne sont bien entendu pas des connexions physiques mais virtuelles puisque l’ensemble du trafic arrive sur un seul câble.

Quel intérêt, me direz vous, d’avoir son propre LNS, puisqu’on en a déjà un qui fait le job ? Il y en a plein en fait. Avec votre propre LNS, vous pouvez par exemple distribuer des adresses IP privées à certaines connexions, ajouter des blocs d’adresse IP vous même sans avoir besoin d’aller parler au LNS du copain-FAI, etc.

Mais avant de mettre en route votre LNS, vous allez avoir besoin d’un radius. Il s’agit d’un logiciel plutôt idiot à qui on dit « tiens, y’a tatie Martine qui veut se connecter, elle dit que son mot de passe c’est ‘canard’, est-ce qu’elle a bon ? », et le radius de répondre « non » ou bien « oui, et tiens, tant que t’es là, tu vas lui donner telle adresse IP, tels serveurs DNS, etc. ».

On va donc installer notre LNS sur le routeur au datacenter (oui, le même que celui qui fait BGP, vous avez à peine 20 utilisateurs derrière, ça ira très bien pour commencer) et son petit copain radius et on va expliquer au premier qu’il faut aller demander au second si les gens ont le droit de se connecter.

Et là, c’est le drame. Vous avez un LNS et un radius qui discutent ensemble, mais comment faire pour que le LNS de votre copain FAI envoie les connexions qui vous concernent à votre LNS à vous et ne se les garde pas jalousement pour lui comme il le faisait jusqu’à présent ? C’est ici que je vous introduis auprès d’un nouveau terme barbarre : le realm.

C’est la seconde partie d’un login ADSL. Par exemple, chez SFR, votre login est du genre adresse_mac@neufpnp. Le realm est neufpnp. C’est lui qui va permettre à tout le réseau de transport entre chez vous et le coeur de réseau du FAI de savoir où doit aboutir votre lien ADSL. Chez FDN, les logins sont de la forme login@fdn.nerim. Le « nerim » permet à SFR ou Orange (qui assurent le début du transport) de savoir qu’il faut ensuite envoyer les données à Nerim, et le « fdn » permet à Nerim de savoir qu’il faut passer la communication à FDN.

On pourrait éventuellement utiliser quelquechose comme login@monfai.fdn.nerim, mais ça obligerait à ennuyer Nerim à chaque nouveau FAI, ce qui serait un poil enquiquinant. On va donc tricher et utiliser un bout du login comme un realm secondaire, avec un identifiant du type login%monfai@fdn.nerim. Le radius de FDN voyant arriver un login sous la forme tatiemartine%monfai va savoir qu’il ne faut pas traiter directement la demande de connexion mais aller poser la question à votre radius à vous.

Et que doit répondre votre radius ? Quelquechose qui permettra au LNS de FDN de propager la connexion de vos utilisateurs jusqu’à votre LNS.

Votre LNS à vous va, ensuite, reposer la même question à votre radius, qui, à présent, va répondre « ah oui, tatie Martine, elle a le droit, et son IP c’est 85.65.21.2 » et votre LNS va accepter la connexion de tatie Martine. Pour la petite histoire, un LNS qui ne termine pas une connexion mais ne fait que la propager à un autre, c’est un LAC (mais il n’y a pas d’eau dedans).

Je récapitule :

  1. Tatie Martine allume son modem ADSL (oui, depuis le temps, elle a été couverte, et maintenant, c’est elle qui partage son ADSL avec ses voisins malchanceux)
  2. Le modem initie une connexion L2TP à travers le réseau de l’opérateur de la ligne ADSL (fort probablement SFR ou Orange, donc)
  3. L’infrastructure de l’opérateur reconnait la fin de l’identifiant de tatie Martine et renvoie la demande de connexion à Nerim
  4. Le LAC de Nerim reconnait ‘fdn’ dans le realm et renvoie donc la connexion au LNS de FDN
  5. Le LNS de FDN reconnait ‘monfai’ entre le % et l’@ de l’identifiant et va donc demander à votre radius à vous quoi faire
  6. Votre radius répond, sans même vérifier que l’identifiant est bon, qu’il faut renvoyer la connexion vers votre LNS à vous
  7. Le LNS de FDN se transforme en LAC et renvoie la connexion vers votre LNS à vous
  8. Votre LNS redemande à votre radius ce qu’il doit faire de la demande de connexion
  9. Votre radius répond que tatie Martine a bien le droit de se connecter avec le mot de passe ‘canard’ et fournit, en prime, l’adresse IP à attribuer à tatie
  10. Votre LNS accueille à bras ouverts le modem ADSL de tatie Martine et l’informe de l’adresse IP qu’il conviendra d’utiliser pour communiquer avec le reste d’internet

Quand vous allez avoir un nombre important de connexions ADSL, il sera temps de redonder tout ça. Rien de bien compliqué, il faut ajouter une seconde machine avec radius et LNS dedans, et faire en sorte qu’elles utilisent une même IP pour discuter avec le LAC/radius de l’opérateur qui est en face. Si l’une des deux tombe en panne, l’autre prend le relais.

Notez enfin que tant que vous y êtes, si vous avez envie d’avoir une collecte opérateur directe, vous avez tout ce qu’il vous faut. Il suffit de négocier avec SFR ou Orange pour obtenir une porte de collecte et la brancher directement à votre couple LNS/radius. Prévoyez un petit chèque avec 5 zéros et un coût mensuel non négligeable.

Nous voilà donc arrivés au moment fatidique où il ne reste plus que la collecte ADSL à remplacer pour être 100% autonome depuis vos utilisateurs jusqu’à internet. Ça va pas être facile ni bon marché, je vous préviens. Nous y reviendrons un peu plus tard. D’ici là, le prochain article traitera un peu plus en détail du coeur de réseau et des relations de transit et de peering.

14 Comments »

  • Tompouce said:

    « 2. Le modem initie une connexion L2TP … »
    Euh, t’es sur, sur, je croyais plutôt que ça faisait ModemBASLNS.
    A moins bien sur d’avoir voulu simplifier pour taire la présence de BAS pour l’instant.

  • Tompouce said:

    Rognduju, m’a bouffé des trucs au passage …
    Modem =(ppp)= BAS =(L2TP)= LNS

  • Bruno (author) said:

    Oui, j’ai volontairement occulté tout ce qu’il y a entre le modem ADSL de l’utilisateur et le LNS coté FAI.

    Pour le détail, en gros :
    * Le modem de l’utilisateur cause PPPoE ou PPPoA avec le DSLAM
    * Le DSLAM propage ça jusqu’au BAS
    * Le BAS encapsule dans du L2TP
    * Le tunnel L2TP se promène de LNS en LNS jusqu’à sa destination

    Les BAS étant une spécificité de l’ADSL qui est amené à mourir à plus ou moins longue échéance et qui n’est pas une infrastructure qu’un FAI associatif envisagera de déployer, je voyais pas bien l’intérêt de détailler :)

    Pour ajouter aussi une couche technique sur l’histoire LNS/LAC, le LNS est le serveur et le LAC est le client. un LNS qui reçoit une demande de connexion en provenance d’un BAS la propage en adoptant le comportement LAC vers le LNS suivant jusqu’à arriver au LNS qui va terminer le tunnel. La page wikipedia qui cause du L2TP est assez bien fichue.

  • Tompouce said:

    C’était donc volontaire et logique.
    Merci pour les précisions.

  • Nono said:

    C’est clair, bien expliqué, et ça passe comme du petit lait.
    Juste une chose : Le récapitulatif aurait été génial avec un petit schéma :)

  • Bruno (author) said:

    Le schéma est ajouté :)

  • Nono said:

    Ou ? °o°

  • Nono said:

    Je crois que ton générateur de pdf (par article) ne fonctionne pas/plus !

  • L. said:

    Comment est-ce que ça se passe au niveau de la taille des paquets (et MTU du point de vue de tatie Martine)? Il y a moyen d’avoir 1500 octets de MTU?

    Quel est le surcoût de tout cela en termes en latence (ping) par rapport à ce que ferait un gros FAI?

  • fendo said:

    « L. » on utilise cette configuration chez nous et je n’ai pas constaté de différence notable de latence par rapport à avant quand ça s’arrêtait chez FDN (différence < 1 ms).
    Je pense que la perte de latence doit dépendre de la puissance/charge des LNS/Routeurs traversés.

  • Bruno (author) said:

    L : comme dit fendo, aucune différence notable sauf surcharge d’un élément de la chaîne.

    Coté MTU, pas de modification induite par tout ça non plus, on est déjà collé au 1492 de l’ADSL …

  • Tom23 said:

    Merci pour cette excellente suite de d’articles !

    Une question que je me pose sur la structure du réseau:
    A qui appartient un NRA ? Comment est-il géré ou prêté ou loué ?

    Je me pose la question parce que je suis chez free actuellement, et je viens de voir que le NRA auquel je suis raccordé me permettrait de prendre mon adsl chez OVH.

  • L. said:

    Merci pour les réponses. C’est dommage que la MTU soit limitée (avec les problèmes de PMTUd associés), mais si je comprends bien c’est inévitable tant qu’on n’a pas la main sur le BAS (pour faire du RFC 4638, ou laisser tomber PPPoE).

  • Bruno (author) said:

    @tom : le NRA, c’est généralement le central france télécom. Les opérateurs louent une baie pour planter des DSLAM et connectent tout ça avec ce qu’ils peuvent (fibre, faisceau hertzien, …) jusqu’à leur réseau central.

    OVH commence à déployer des DSLAM dans quelques NRA dans le nord, à Paris et (je crois) à lyon, mais ils sont capables de livrer des clients partout en france en utilisant, comme tout le monde, les DSLAM que Orange et/ou SFR ont installé un peu partout.

    @L : pas certain qu’il faille pas aller jusqu’au DSLAM pour avoir ces facilités, en fait ..

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


9 + = seize