Raccordement d'un nouveau membre sur AuvernIX

Ce billet a pour but de vous expliquer comment se passe le raccordement d’un nouveau membre sur l’infrastructure d’AuvernIX.

Pour se connecter à AuvernIX, il y a un certain nombre de pré-requis :

  • être opérateur de télécommunication (titulaire de la licence L33-1 auprès de l’ARCEP).
  • être détenteur d’un numéro de système autonome (ASN) et d’une plage d’adresse IP annonçable (minimum /24 pour IPv4, /48 pour IPv6).
  • être membre de l’association AuvernIX.

Devenir membre d’AuvernIX

Pour devenir membres d’AuvernIX, il suffit de signer la convention d’adhésion et payer la cotisation annuelle à l’association. Cette adhésion donne droit à une voix lors des votes en Assemblée Générale, l’accès à la liste de diffusion d’AuvernIX et un port (jusqu’à 10G) sur l’infrastructure d’interconnexion. Une fois l’adhésion validée, le raccordement peut démarrer.

Aspect technique du raccordement

Suivant les clauses de raccordement, il y a de nombreuses étapes à passer avant de pouvoir peerer publiquement.

Raccordement physique

Une fois le choix du POP et de l’optique validé par le membre, un technicien d’AuvernIX se déplace pour procéder au branchement et vérifier que la connexion est établie (puissance optique reçue et état du port sur le switch). A ce moment-là, le membre n’est pas encore en mesure de peerer sur AuvernIX, son port est dans un VLAN de quarantaine.

La quarantaine

Il est important pour assurer la stabilité de l’infrastructure et la sécurité des réseaux connectés que le nouveau membre passe par une période de quarantaine.

Tout d’abord, le port du membre est redirigé vers un serveur qui va permettre l’analyse du trafic entrant. C’est une étape nécessaire afin de vérifier que le routeur du nouvel arrivant ne diffuse pas de trames interdites sur l’infrastructure. Même si les switchs d’AuvernIX font un travail de nettoyage du trafic, nous demandons à nos membres de n’envoyer que du trafic légitime sur le VLAN de peering.

Si le membre souhaite être présent sur les serveurs de route (RS), il peut établir une connexion avec un serveur de routes factice (mais dont le configuration réplique la production). Cela permet de valider qu’il n’annonce pas de préfixes pour lesquels il n’aurait pas d’autorisation et que ces annonces sont signées avec RPKI-ROA.

Les RS d’AuvernIX limitent les annonces des membres en se basant sur :

  • un nombre de préfixes limité (max-prefix).
  • des listes de préfixes générées d’après les bases IRR.
  • l’état de la signature RPKI-ROA.

La période de quarantaine ne dure généralement pas plus de quelques heures.

Activation du port

Une fois que toutes les vérifications sont faites, le port du membre est enfin basculé dans le VLAN de peering, il devient joignable par les autres membres.


Cet article vous a plu ? Partagez-le !