L'infrastructure de Viviers Fibre

Ajouté par François Laperruque il y a environ 2 ans

Préambule

Viviers Fibre, en tant qu'opérateur télécom, se doit de fournir un accès qui respecte la neutralité du net à ses usagers. Il doit aussi être en mesure, si la justice le demande, de lui dire qui est l'usager qui bénéficie d'une adresse IP. Ces 2 points fondamentaux sont assurés par des choix techniques abordables pour un petit FAI. Nous allons les décrire rapidement...

La neutralité du net

Pour faire simple, respecter la neutralité du net, consiste à ne pas altérer le contenu de l'information qui transite sur notre réseau et à privilégier un fournisseur qui en fait de même, avec le contenu qu'on lui envoie ou qu'on réceptionne depuis son réseau. Viviers Fibre n'a pas (encore?) de numéro d'Autonomous System (AS) donc il est grandement dépendant de la qualité de l'opérateur qui lui fournit sa connexion à Internet. Dans quel cas la neutralité pourrait elle être remise en question? On peut en citer deux qui sont facilement compréhensible.

La première pourrait être de considérer qu'un opérateur s'autorise de prioriser un usager en fonction du coût auquel il lui facture sa connexion. En pratique, ça pourrait être réalisé en inspectant les paquets qui circulent sur le réseau, à les discriminer et puis finalement à bloquer les paquets provenant de l'usager A pour laisser passer les paquets de l'usager B, pour des raisons plus ou moins intéressées (par exemple financières...). C'est techniquement possible mais nous ne le faisons pas et nous ne le ferons jamais.

Un autre cas d'atteinte à la neutralité du net, consiste pour un opérateur, après avoir inspecté les paquets qui transitent sur son réseau à en supprimer certains, voire à en substituer certains par d'autres. Et dans quel but cet exercice pourrait être tentant? Imaginons qu'un usager aille sur un site web et que ce site lui propose une publicité pour la société A. Un opérateur, non respectueux de la neutralité, pourrait tout à fait supprimer les paquets qui permettent l'affichage de la publicité pour la société A et la remplacer par une publicité par une société pour la société B, avec laquelle il a un accord commercial.

Vous l'aurez compris, agir ainsi serait une atteinte flagrante à la neutralité du net, et nous nous engageons à ne jamais le faire.

Pour la connexion de notre réseau à Internet nous faisons confiance à la société Nerim, qui nous fournit un accès VDSL2 "propre" d'une capacité d'environ 65 Mbits/s en download et 24 Mbits/s en upload.

L'attribution d'une IP publique par usager

Viviers Fibre étant une jeune et petite association loi 1901, nous avons du trouver une solution efficace et bon marché pour répondre à l'obligation d'être capable de fournir une correspondance entre une adresse IP publique et un de ses usagers. Il se trouve que la société OVH commercialise, sous forme de location, des serveurs hébergés dans ses datacenter et que ces serveurs sont fournis avec des adresses IP publiques. Cela permet d'installer des machines virtuelles (VM) sur un serveur et d'attribuer une adresse IP publique à chaque VM, de sorte que lorsqu'on se connecte sur cette machine depuis l'autre bout de la terre, on se sait pas s'il s'agit d'une machine physique ou d'une machine virtuelle (à la limite du cloud...) car elle se comporte comme une machine classique.
Mais ce qui est pratique avec ce système, c'est qu'on peut attribuer 1 IP à une VM, mais aussi qu'on peut aussi attribuer 15 IP à une VM. Et c'est là, que ça devient génial...

En effet, imaginons que cette machine soit le passage obligé pour la connexion de notre réseau à internet et qu'il y ait un mécanisme qui permette de paramétrer une correspondance permanente entre une IP publique (1 des 15, par exemple...) et l'IP privée utilisée dans notre réseau. Coup de chance, ces deux prérequis improbables existent sous le nom de VPN ou tunnel pour le 1er et de NAT 1:1 pour le 2ème...

D'autres solutions existent pour attribuer des IP a des usagers d'un réseau, nous avons choisi celle-ci, car elle nous permettrait de changer facilement d'opérateur d'infrastructure si nous en avions la volonté. Techniquement le tunnel chiffré est assuré par le logiciel VTUN, et le NAT 1:1 est un mélange de règles iptables et de source routing.

Tous ces logiciels sont des logiciels libres, tout comme ce qui anime le coeur de notre réseau, à savoir Linux...

Info bonus

Une petite astuce pour tirer la quintessence de l'upload des serveurs SoYouStart d'OVH, 2 lignes à intégrer dans /etc/rc.local

ip link set eth0 mtu 3500 txqueuelen 5000
/sbin/ethtool -K eth0 tso off gso off

Grâce à ces 2 instructions, un "iperf -c ping.online.net" passe de 60 Mbits/s en upload à 200 Mbits/s...

L'amélioration la plus importante est apportée par la désactivation des fonctions d'offload, qui sont censées déchargées le processeur dans le traitement des paquets qui arrivent sur les périphériques réseau, mais qui semblent encore pas mal bugguées et du coup sont salement contre productives, quand elles sont activées!


Commentaires