Embed Size (px)
DESCRIPTION
BGP et ISP
Citation preview
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 1/7
BGP, quand, pourquoi et comment ?
Une fois n’est pas coutume, un article plus technique que vulgarisateur. Si vous ne baignez pas dans les réseaux mais que vous voulez quand même tenter de vous raccrocher aux branches, je vous invite commencer par !nternet " #omment trouver la bonne route qui vousexpliquera les grandes lignes du routage sur !nternet sous une forme moins barbare que le
présent article ainsi que le début de la série #omment devenir $%! qui vous expliquera lecontexte dans lequel le sujet de cet article est emplo&é.
'ota ( je me suis fortement inspiré des efforts documentaires de Stéphane )ortzme&er . *ourune version encore plus poilue et brute de fondrie du présent article, rendez+vous ici.
)* est un protocole faisant partie des protocoles de routage. -ien de magique dedans, il nes’agit que d’un canal de communication établi entre deux équipements généralement des
routeurs/ leur permettant de s’échanger un certain nombre d’information concernant ladirection que doivent emprunter les flux de données.
Si vous avez lu les articles conseillés ci+dessus, vous savez déj que )* est principalementutilisé pour faire communiquer et permettre l’échange de trafic entre deux réseaux autonomesdistincts. 0n pense souvent que )* est lui même le protocole de transport de l’information,en réalité, il n’en est rien. 1es données se baladant de réseau en réseau circulent coté du flux)*, pas dedans. 1’intérêt principal du partage d’un même média de communication pour lesinformations de routage et les données elle+mêmes est que si le média en question tombe en
panne, les routeurs ne re2oivent plus d’information sur le lien en question et n’& envoientdonc plus d’information. #’est la base de la redondance d’!nternet.
#’est un passage obligé pour toute organisation exploitant un réseau autonome et souhaitantse relier au reste d’!nternet. 3oila pour le quand.
1e pourquoi, présent. !l existe plusieurs protocoles vaguement similaires )* qui sontquasiment tous orientés vers l’efficacité du résultat. 1e second en terme de notoriété etd’utilisation dans le monde est 0S*$ mais aussi !S!S, -!*, 4/. #es derniers ont pour objectif de faire discuter entre eux tous les éléments de routage d’un réseau en se basant sur uneconfiance mutuelle globale. !ls sont donc généralement plus utilisés l’intérieur d’un réseauou la confiance est quasi totale dans tous les équipements du réseau. )*, lui, aété con2u pour cimenter un réseau planétaire dont on ne maitrise qu’une toute petite partie et
qui peut potentiellement contenir des éléments perturbateurs volontairement ou pas/.
1e comment, maintenant. )* fonctionne biensur sur les gros routeurs industriels du marché#isco, )rocade, 5uniper, 4/ mais plusieurs implémentations ont été faites pour les diverss&st6mes d’exploitation U'!7. 8eux sortent du lot, savoir 9uagga et 0pen)*.
'’a&ant encore jamais eu l’occasion de tester le second, et cet article s’inscrivant dans la série#omment devenir son propre $%!, je vais bêtement suivre la meute et produire un 'iemmeho:to sur 9uagga, et pour pas trop me casser la tête, je ne parlerais que d’!*v;. *our sortir un
peu du lot quand même, je vous apprendrais peut+être que le quagga correspond deuxfamilles de z6bres dont l’une est éteinte depuis <==>.
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 2/7
1’utilité de 9uagga se résume a discuter avec les routeurs voisins et a transcrire le résultat deces conversations en ajoutant et en retirant des routes dans la table de routage de la machineaccessible avec netstat +rn généralement/
'ous partirons du principe (
• que vous avez déj réussi installer un petit routeur sous 1inux ou $ree)S8.
• que vous & avez connecté un modem %8S1 d’un coté et quelques utilisateurs del’autre et que 2a fonctionne
• que vous avez installé le pac?age 9uagga apt+get install quagga par exemple/
• que vous avez fait le necessaire aupr6s du -!*@ pour obtenir au moins un %S et un bloc d’!* ou bien que vous vous êtes mis d’accord avec votre $%! pour utiliser un %S
privé et un bloc d’!* du $%! lui+même juste pour tester/
• que vous avez choisi un fournisseur d’acc6s poilu du t&pe $8', et que vous avez doncle bonheur de pouvoir distribuer du vrai internet avec des vrais adresses !* routables avos utilisateurs. Aa tombe bien, puisque de toute fa2on, les fournisseurs d’acc6s de lacabale des agrumes libres qui savent y faire ne proposent pas d’offre basée sur )*via l’%8S1 et qu’ils ne pourront donc, sauf utilisation de 3*' pas jolis, pas vous êtreutiles dans le cadre du présent article.
1orsque vous allez demander votre fournisseur d’acc6s d’établir un lien )*, quellesinformations allez+vous obtenir B
• 1’adresse !* du routeur )* du fournisseur qui a de forte chance d’être la même !*que celle qui est utilisée comme passerelle par défaut par votre routeur, nousutiliserons =C.DE.<DF.;</
• 1e numéro d’%S du fournisseur pour notre exemple, ce sera l’%S GCEDD/
• Hventuellement un mot de passe I8J servant protéger la session )* d’attaquesK#* aveugles
3ous lui aurez vous+même fourni votre numéro d’%S pour notre exemple, nous utiliseronsl’%S D;J<G qui se trouve être un %S privé qui n’existera jamais sur !nternet/et éventuellement la liste des blocs d’!* dont vous êtes titulaire qui peut, si vous avez bienfait votre travail avec le -!*@, être trouvé avec votre numéro d’%S. *our notre exemple, nousutiliseront <EG.<D.C.CLG; qui se trouve aussi être un bloc privé qui ne devrait jamais apparaitresur !nternet/.
9ue trouve+t+on avec le pac?age 9uagga B !l & a une pelleté de binaires et de librairies et aumoins deux fichiers de configuration ( zebra.conf et bgpd.conf. 1e premier est laconfiguration de base du routeur, le second la configuration spécifique )*. 'e lancez pas9uagga tout de suite, nous allons commencer par le configurer.
1a configuration de base est assez simple fichier zebra.conf/ (
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 3/7
!hostname mon_petit_routeur.mon_fai_a_moi.frpassword mot_de_passeenable password second_mot_de_passe!interface em0
ip address 172.16.0.129/25!interface em1ip address 80.67.169.2/0!interface em2!interface lo0ip address 172.16.0.1/2!line "t#
Krois groupes de lignes sont remarquer (
• le nom de l’hMte, qui correspond généralement au nom donné la machine elle+même.
• les mots de passe, utilisés pour verrouiller l’acc6s d’administration du routeur enableétant le mode superNutilisateurNquiNpeutNtoutNcasser/.
• la liste des interface réseau du routeur avec les adresses !* qui leur sont associées ici,il & en a trois plus le loopbac?/.
'ota ( votre installation par défaut contiendra surement plus de directives de configuration
que 2a, vérifiez simplement que celles+ci sont bien présentes, 2a suffira amplement pourcommencer.
#oncernant les adresses !*, vous remarquerez que l’interface emC a une adresse !* en débutdu second bloc de votre classe vos utilisateurs auront donc des !* comprises entre<EG.<D.C.<>C et <EG.<D.C.GJ; et utiliseront <EG.<D.C.<GF comme route par défaut/, que l’em<a une !* du fournisseur sur un petit bloc L>C et que le loopbac? a une !* réelle vous dans le
premier bloc de votre classe/. 1e loopbac? poss6de également bien sur la cél6bre <GE.C.C.<mais on & ajoute également une !* du réseau pour pouvoir parler au routeur depuis notreréseau sur une interface qui existera toujours quelle que soit les interconnexions quiapparaitront ou disparaitront avec le temps.
8u coté de la configuration )*, 2a se corse un peu mais pas tant que 2a (
!hostname mon_petit_routeur.mon_fai_a_moi.frpassword mot_de_passeenable password second_mot_de_passe!ip route 172.16.0.128/25 em0!router b$p 6512b$p router%id 172.16.0.1
networ& 172.16.0.0 mas& 255.255.255.0 nei$hbor 80.67.169.1 remote%as 20766 nei$hbor 80.67.169.1 description 'ito#en
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 4/7
nei$hbor 80.67.169.1 eb$p%multihop 255 nei$hbor 80.67.169.1 acti"ate!
9u’avons+nous la B
• 1es trois même lignes que le début du zebra.conf qui ont la même utilité
• 1a déclaration d’une route statique vers votre classe !* sur l’interface connecté vosutilisateurs bien qu’elle devrait déj être gérée par le s&st6me d’exploitation, 2a nefait pas de mal de l’ajouter, ne serait+ce que pour la clarté/
• 1a déclaration d’une instance )* précisant votre numéro d’%S
• 1’adresse !* d’identification du routeur )* la même que celle que vous avezindiqué sur le loopbac? dans le zebra.conf/
• 1a déclaration du bloc d’!* que vous gérez et qui sera donc envo&é vos voisins )*
• 1a déclaration de votre premier voisin )* contenant l’adresse !* indiquée par votrefournisseur, son numéro d’%S, une description texte qui n’a d’intérêt que pour vous &retrouver dans la configuration et une déclaration ebgp+multihop autorisant d’établir laconnexion )* avec un routeur qui n’est pas immédiatement adjacent votrefournisseur vous dira s’il est nécessaire d’activer cette option/
Aa & est, vous pouvez lancer 9uagga. Si tout fonctionne comme prévu, quelques secondes
apr6s le lancement vous devriez voir gonfler la table de routage de votre machine netstat+rn/ jusqu’ atteindre quelques >GGCCC routes différentes et !nternet devrait être au courant del’existence de votre bloc <EG.<D.C.CLG;, vos utilisateurs devraient donc pouvoir accéder !nternet.
#omment aller un peu plus loin B #onnectez+vous votre routeur )* en telnet
telnet 172.16.0.1 b$pd(onnected to mon_routeur.mon_fai_a_moi.fr)scape character is *+,*.
-ello this is ua$$a "ersion 0.99.7.
(op#ri$ht 1996%2005 unihiro 3shi$uro et al.
4ser ccess erification
asswordmon_routeur.mon_fai_a_moi.fr
3ous & êtes. 1e mot de passe tapé correspond évidemment celui que vous avez indiqué dansle début du fichier bgpd.conf. 'ous allons commencer par vérifier si votre session )* a bienété établie (
mon_routeur.mon_fai_a_moi.fr show ip bgp sum
:' router identifier 172.16.0.1 local ; number 6512
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 5/7
2657 :' ;%<- entries0 :' communit# entries
=ei$hbor ; >s$?c"d >s$;ent <bler 3n @ut 4p/Aown;tate/fB?cd80.67.169.1 20766 10525 1022 0 0 0 2m
2657
<otal number of nei$hbors 1
)ingo, tout fonctionne priori, puisque notre voisin =C.DE.<DF.;< semble connecté et nousenvoie tout plein de routes. 'ous allons en anal&ser une de plus pr6s en prenant par exemplel’une des !* de :::.orange.fr/
mon_routeur.mon_fai_a_moi.fr show ip bgp 193.252.122.103
:' routin$ table entr# for 19.252.122.0/2aths 1 a"ailable best C1 table Aefault%3%?outin$%<able
20766 5511 2600 80.67.169.1 from 80.67.169.1 80.67.169.1 @ri$in 3' localpref 100 "alid eBternal best Dast update ;un u$ 01 12151 2010
0n apprends donc que l’ip de :::.orange.fr appartient un bloc LG;, que nous n’avonsqu’un seul chemin connu pour & aller normal, nous n’avons qu’un seul fournisseur pourl’instant/, que l’origine de ce bloc d’!* est dans l’%S G;DCC et qu’il faut passer par l’%S JJ<<apr6s celui de notre fournisseur pour & aller. 8’autres informations suivent dont voustrouverez l’explication en fouillant un peu.
)* dispose d’une s&ntaxe de configuration tr6s riche permettant de faire des choses hors ducommun sans pour autant que beaucoup de documentations n’existent sur lesujet. '’hésitez pas a poser vos questions, j’essaierai d’étoffer les exemples avec le temps etde détailler les explications qui sont pour l’instant plus que succinctes.
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 6/7
Fabriquer son internet
5’ai déj fait une série O comment devenir son propre $%! P qui aborde, dans les grandeslignes, la théorie. Un peu de pratique présent.
*ar les temps qui courent, maQtriser son petit bout d’internet, 2a va juste devenirindispensable. Iais avant d’avoir un réseau national avec plein de gens dessus, il & a quelquesétapes franchir. 5e vous propose donc de commencer petit ( vous avez une connexion %8S1 peu pr6s correcte mais tatie Iartine qui habite le bourg voisin, elle, au mieux elle aJ<GRbps, et encore, quand le vent souffle dans le bon sens.
*rérequis notre petit $%! naissant, qu’on puisse voir un bout du toit de la maison de tatieIartine depuis notre propre toit. Si ce n’est pas le cas, il faudra aller chez tatie Iartine etessa&er de trouver un endroit visible o on sait que l’%8S1 marche peu pr6s bien et o on aun bon ami prêt aider tatie Iartine. *our 2a, on a, par exemple, l’outil magique deTe&:hatsthat qui permet de connaitre les endroits théoriquement vue d’un point défini.
)ien, nous avons donc un point % avec de l’internet qui marche et un point ) avec del’internet ravitaillé par les corbeaux. #es deux points sont, pour notre exemple, distant de<J?m, ce qui doit, peu de choses pr6s, être le cas de FF.F des maisons en $rance vis visd’un endroit o l’%8S1 marche.
*remier challenge ( relier le point % et le point ). *our 2a, il vous faudra un peu d’argent,quelque chose comme <JC V. 3ous achetez deux 'ano)ridge IJ de chez Ubiquiti. 3ousconfigurez le premier rien de bien sorcier/ en point d’acc6s avec chiffrement W*%G, vous luicollez une !* par exemple <FG.<D=.C.G/, puis vous prenez le second, vous le configurez enstation du point d’acc6s et lui collez une !* par exemple <FG.<D=.C.>/. 3ous branchez le
premier votre modem %8S1, le second votre *#, vous les mettez en face et vous verrezque vous avez de l’internet sur votre *#.
Un peu de sport présent, vous montez la premi6re antenne sur votre toit, par exempleaccroché la place de votre rXteau boitX?on, et vous faites la même chose chez tatie Iartineen prenant soin d’essa&er peu pr6s de mettre les antennes en face. Une page de l’outil deconfiguration vous aidera faire l’alignement. 1e plus difficile étant probablement deramener le cXble ethernet l’intérieur des deux maisons. 'otez que si tatie Iartine est un peufashion et n’a que des périphériques :ifi, vous pouvez planquer un point d’acc6s :ifistandard dans son grenier juste coté de l’antenne du toit et c’est fini.
3ous avez fait le plus difficile cMté ph&sique. )ravo. Katie Iartine a de l’internet chez elle.
*ar contre, si tatie Iartine va sur bittorent pour partager -ihanna ou bien diffuse des photosde son patron déguisé en marsupilami, c’est vous qui irez ou pas/ voir le juge. @t puis c’est
pas tr6s neutre, ce serait bien que tatie Iartine ai son adresse !* elle pour par exemplemonter un node de dar?net ou héberger elle+même son blog de recettes de cuisine.
*our faire propre, vous allez devoir investir encore un peu, par exemple dans un routeur :ifiK*1in? GJ V si tatie Iartine ne maQtrise pas toute la subtilité de quoi faire d’une !* routable.!l faudra ensuite vous débarrasser de votre $%! mainstream+boitX?on+téléfon+bidule pour
choisir un $%! qui saura vous fournir plusieurs adresses !* au hasard, n’importe quel membrede la $$8'/. 3ous installez le K*1in? chez tatie Iartine et lui affectez l’une des adresse !*
7/21/2019 BGP et ISP
http://slidepdf.com/reader/full/bgp-et-isp 7/7
publique que le $%! vous aura fourni et vous vous gardez les autres pour vous ou bien pourtonton 5ean+#laude/.
!l ne vous reste que la paperasserie administrative pour être tout fait en r6gle ( création d’uneassociation avec tatie Iartine, ouverture d’un compte en banque, déclaration 1>> aupr6s de
l’%-#@*, et voil. 'otez que cette étape est surtout utile si vous comptez réitérer l’opérationavec quelqu’un d’autre que tatie Iartine. Si vous restez en famille, vous vous en passerez fort bien.
3ous n’êtes pas encore vraiment un $%! indépendant puisque vous dépendez d’un autre quivous ram6ne ses !* lui, mais vous avez fait le premier pas ( vous avez un réseau entre deux
points géographiques distants, il est vous et rien qu’ vous et vous l’avez connecté au restedu monde via un lien neutre.
8ans le prochain épisode, je vous expliquerai comment faire évoluer votre petit $%! pourdistribuer vos propres adresses !*.
Si vous avez des questions, n’hésitez pas. Si vous voulez vous lancer, n’hésitez pas. Si vousvoulez me lancer des cailloux, hésitez, on sait jamais.
