Un AS chez soi ? C'est possible !

On m'a très souvent posé la question de comment j'ai pu avoir un AS(208069) et des IPv6 pour ma Server Room. Aujourd'hui on va donc parler de routage (BGP), d'AS et d'IP. C'est parti !

Mais au fait, c'est quoi internet ?

Internet peut être vu comme un « réseau de réseaux ». Une entreprise, un opérateur ou un datacenter possède son réseau local, qui va devoir s'interconnecter avec le reste du monde pour fournir ou recevoir des données. Cette interconnexion se fait avec un protocole qui s'appelle BGP (pour Border Gateway Protocol) qui va connecter le routeur de bordure vers un autre routeur de bordure d'une autre entreprise.

Mais pour pouvoir reconnaître les réseaux d'entreprises lors des interconnexions, on utilise un identifiant qui s'appelle ASN (pour Autonomous System Number). Un AS est une entité avec un ou plusieurs réseau(x) et où la politique de routage est la même. Dans la plupart des cas, un AS correspond à une entreprise.
Quelques exemples d'AS:

  • Orange AS3215
  • Total AS21070
  • OVH AS16276
  • Hivane AS34019

Vous pouvez voir les numéros d'AS et leur interconnexions (du point de vue d'Hurricane Electric) ici: https://bgp.he.net. Un autre site qui donne plus d'information se trouve ici: https://bgp.tools.

Qui gère tous ces numéros ?

Il existe une autorité globale, appellé IANA (Internet Assigned Numbers Authority), qui coordonne l'adressage IP, les numéros d'AS et les DNS racines. Elle délègue cette gestion à des RIR (Regional Internet Registry), au nombre de 5.

Pour l'Europe, notre RIR est le RIPE NCC (Réseau IP Européen - Network Coordination Center), à ne pas confondre avec le RIPE, qui est une communauté de personnes intéressées par le développement d'internet en Europe. Son équivalent en Amérique du Nord est NANOG.  
Le RIPE NCC est en charge de distribuer pour ses membres (les LIR, Local Internet Registry) les ressources IPs et les numéro d'AS. Il gère aussi la délégation DNS inverse, et maintient la base de données publique Routing Registry.

La base de donnée du RIPE permet de recenser les membres du RIPE, les allocations des ressources et bien d'autre choses ! Si vous décider de monter un AS, il y a de très fortes chances que vous y touchiez.

Oui mais, comment les réseaux se relient entre eux ?

Il existe plusieurs types d'interconnexions:

  • Les peerings : accord d'échange mutuel des routes entre deux entités. Par exemple, si j'ai un accord de peering entre OVH et moi, je recevrais que les routes d'OVH, et OVH ne recevra que mes routes.
  • Les transits : accord entre deux entités pour annoncer vos routes au reste du monde, et qui vous envoient les routes vers tout internet, appelé full-view

Dans ce schéma, AS208069 et AS208210 ont un accord de peering, c'est à dire qu'ils s'échangent que leurs propres routes. Ensuite, chacun a un accord de transit (payant dans la plupart des cas) vers AS174 (Cogent) et AS1299 (Telia), qui annoncent les routes au reste d'internet, et qui envoient en retour la route vers tous les préfixes présents sur internet.

Super ! On peut y participer ?

Certaines personnes vous diront qu'avoir un AS pour un usage personnel est inutile et "pollue internet". Personnellement, je dirais que, comme toujours, ça dépend le cas d'usage. Chez moi, mon AS me permet principalement d'avoir mes propres IPv6 et de pouvoir les utiliser sur mes serveurs, et j'espère en faire un meilleur usage dans le futur (avec de l'IPv4 et des serveurs en datacenter par exemple :D).
Si vous voulez essayer par pure curiosité, il existe un réseau simulant internet, appelé DN42, qui utilise des ASN et IP privées. Vous pouvez trouver plus d'informations ici: https://dn42.net/home.
Si votre seul objectif et de pouvoir accéder à internet avec de l'IPv6 car votre opérateur ne le propose pas, HE propose des tunnels gratuitement ici: https://tunnelbroker.net.
Mais si vous avez quand même envie de vous lancer dans l'aventure, suivez-moi !

Obtenir un AS et ses IPv6

Disclaimer: Vous allez maintenant toucher à l'infrastructure la plus importante du XXI siècle: Internet ! Soyez sûr de ce que vous faites et n'hésitez pas à demander conseil ! Encore une fois, pour du lab, DN42 est là pour vous.

Il y a deux méthodes pour obtenir son AS et des ressources IP. Dans chacun des cas, il vous faudra trouver deux transitaires.

La méthode coûteuse est de devenir LIR, Local internet Registry. Vous devenez membre du RIPE NCC, mais le prix est de 2000€ de frais d'ouverture + 1400€ par an (hors taxes). Une fois membre, vous allez pouvoir faire la demande pour obtenir un numéro d'AS, un /29 IPv6 (par défaut vous recevez un /32, mais vous pouvez demander un /29 sans justifications), et vous serez en liste d'attente pour obtenir un /24 IPv4. L'avantage est que vous êtes complètement autonome sur la gestion de vos ressources. Vous pouvez par exemple si vous avez des clients, leur attribuer une partie de vos ressources.
Si vous voulez devenir LIR, je vous recommande de passer la formation du RIPE avant d'entamer les démarches: https://academy.ripe.net/

La méthode moins coûteuse est de passer par un LIR, ce qu'on appelle de la sponso. Le LIR se charge à votre place de faire les démarches pour obtenir un numéro d'AS et des ressources IP.
Il existe deux types de ressources: PA et PI. PA, pour Provider Assigned, signifie que la ressource appartient au LIR et qu'il vous la "prête" en échange d'une cotisation. Si le LIR venait à fermer, vous perdez vos ressources. PI, pour Provider Independant, signifie que la ressource vous est attribué (mais elle doit quand même être sponsorisé). Vous pouvez la transférer d'un LIR à un autre. Le PI est plus cher que PA, mais vous apporte plus de flexibilité. L'AS est une ressource PI dans tout les cas.
Les prix dépendent du LIR, mais à titre d'exemple, chez ServPerso, un ASN + un /44 PA IPv6 coûte 60€ TTC la première année, puis 20€ TTC /an

Super, j'ai mon AS et mes IPs ! Je fais quoi maintenant ?

Maintenant que vous avez vos ressources en main, il faut maintenant les utiliser !

Il vous faudra donc:

  • Un routeur: physique ou virtuel, les deux fonctionnent ! Il faut que votre routeur supporte BGP et ait un minimum de RAM (Pour une full-view, un GB suffira largement). Dans mon cas, j'ai remplacé ma Livebox par un routeur Mikrotik afin de pouvoir directement utiliser l'IPv4 public fourni par Orange, monter mes tunnels, et router mes IPv6 chez moi. Il existe plein de solutions en fonction de votre opérateur, je vous invite à aller voir sur lafibre.info dans la rubrique "comment vous pouvez remplacer votre box" !
  • Des transitaires: via votre connexion internet classique, vous allez monter des tunnels entre vous et vos transitaires directement sur votre routeur.
  • Filtres de base: pour éviter de faire de mauvaises annonces vers vos transitaires, il vous faudra créer des filtres. Vous allez ainsi empêcher d'annoncer d'autre IPs que les vôtres et de recevoir des IPs privés entre autres.

Et maintenant, en route vers l'internet !

Félicitations, si tu es arrivé jusque-là, tu fais maintenant partie d'internet !

Plusieurs autres articles feront suite à celui-là (si vous avez des suggestions, n'hésitez pas !), pour expliquer plus en détails le réseau et ses interconnexions!

(Merci à Clément, Tchadel, Cédric, Cyrille et Térence pour leur relecture !)

Afficher les commentaires