Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní, 5...
description
Transcript of Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní, 5...
Neutrální propojování
Martin Semrád
Kam kráčí české telekomunikační sítě
Srní, 5.9.2014
Představení NIX.CZ
• Založeno 1996• Otevřená organizace• Neutrální propojovací platforma• Neutrální půda• V top-10 mezi IXP• Leader v CEE regionu
Představení NIX.CZ
• Dual star topologie(99,999 % dostupnost služeb)
• 5 datových center• 120 připojených sítí• 42 mezinárodních sítí• 294 Gbps maximální datový tok• 100GE - 2. IXP na světě
Co není NIX.CZ
… ani jiný IXPnejsou poskytovatelé IP
konektivity
Srovnání NIX.CZ
DE-CIX AMS-IX MSK-IX NIX.CZ VIX.at
Max. provoz
3,4 Tbps
2,9 Tbps
1,4 Tbps
294 Gbps
191 Gbps
ASn / sítí 533 662 369 120 120
Eyeballs > 500M > 500M ~180M ~ 15M ~ 15M
Motivace k peeringu
• Snížení latencí• Zkrácení síťových cest• Zvýšení stability vlastní sítě• Redukce nákladů na transit
Příklad z blízkého východu
Abort / Removecr01.dub01.pccwbtn.net84.233.221.50
traceroute ip 84.233.221.50
Tracing the route to Gi0-3.dxb-003-access-3.interoute.net (84.233.221.50)
1 ge5-0-1.var01.dub01.pccwbtn.net (63.218.176.66) 0 msec 0 msec 0 msec
2 pos4-6.cr03.ldn01.pccwbtn.net (63.218.176.38) 136 msec 136 msec 136 msec
3 TenGE11-2.br02.ldn01.pccwbtn.net (63.218.12.146) 136 msec 136 msec 136 msec
4 xe-11-1-1.lon21.ip4.tinet.net (77.67.94.153) 136 msec 136 msec 136 msec
5 xe-11-3-0.par72.ip4.tinet.net (141.136.111.246) 144 msec
xe-2-2-2.par72.ip4.tinet.net (141.136.111.250) 148 msec 144 msec
6 interoute-gw.ip4.tinet.net (77.67.75.238) 148 msec 144 msec 144 msec
7 ae1-0.mrs-001-score-1-re0.interoute.net (217.118.118.74) 156 msec 156 msec 160 msec
8 Gi0-1.mrs-boi-access-2.interoute.net (217.118.118.86) 160 msec 160 msec
Gi0-3.mrs-boi-access-2.interoute.net (217.118.118.82) 160 msec
9 so-1-0-0-0.dxb-003-access-1-re1.interoute.net (84.233.221.41) [MPLS: Label 299776 Exp 0] 260 msec 260 msec 264 msec 10 ge-0-0-0-0.dxb-003-access-2-re1.interoute.net (84.233.221.30) 260 msec 260 msec 260 msec 11 Gi0-3.dxb-003-access-3.interoute.net (84.233.221.50) 264 msec * 260 msec
Query Complete
Přímé propojení vs. IXP
• Náklady na 1 propoj • Náklady na porty IXP• Redundanci zajišťuje IXP
• Náklady na každý propoj
• #portu = #peerů• Nutnost alternativní
řešení
Peering policy
• Open• Selective - incumbent, nebo
“národní” operátoři• Restrctive - Využívané pro T2>T1• Closed - Typické pro T1
Přiklad „tvrdých“ peeringovýchpodmínek
• Not have been customer of service for at least 1 year;• have a European footprint, with presence in 5 countries where NET also has presence
and able to interconnect to NET in at least 3 locations using (1, 10 or 100) GE;• have a non-European footprint and able to interconnect to NET in at least 2 US
locations;• Meet a balanced traffic ratio between its network and NET’s network between 1:3 and
3:1 (inbound/outbound); Exchange a minimum of 5 Gbps sustained peak traffic with NET’s network (number subject to change);
• Exchange a maximum of 3 Gbps per location where peering is established over a public internet exchange;
• Operate a professionally managed 24x7 NOC • not explicitly advertised, resetting next-hop, selling or giving next hop to Agree to actively
cooperate to resolve security incidents and other operational problems;• Demonstrate and enforce strict filtering policies to prevent route leaks;• Show good faith efforts to facilitate communication regarding network maintenance with
regard to the traffic exchange;• Not abuse the peering relationship by engaging in activities such as but not limited to:
pointing a default route or otherwise forwarding traffic for destinations thers.
Ideální stav(z pohledu zelené sítě)
Jak se připojit
• Přímé připojeníkapacity 1GE, 10GE, 100GE
• Přes partnerykapacity 100M, 250M, 500M a 1G
Co získáte připojením
• Možnost propojení s dalšími připojenými sítěmi Není povinnost protistrany „peerovat“
• Route Server @NIX.CZ1 BGP session = 75% sití v NIX.CZ = ~ 50% IP provozu
• Snížení latencí do nejdůležitějších sítí• Zvýšení robustnosti vaší sítě
Co získáte připojením
• VLANSnížíte počet propojení v i mezi DC
• Možnost účastnit dění v NIX.CZSpolupodílet se osobně na směřování CZ internetuNavázat nové kontakty z ČR i zahraničí
• Účast na projetu FENIX
• Odpověď na útoky z 3/2013 trvající 4 dny
• Mnoho cílů v CZmédia, banky, mobilní operátoři, Seznam.cz
• Zdroj útoků mimo CZ• Přes transit i NIX.CZ• Žádná odpověď od zdroje
Projekt FENIX
Projekt FENIX
• Klub vzájemně si „důvěřujících“• Technický nástroj „Bezpečná VLAN“• CZ uživatelé se potřebují dostat na CZ zdroje
home banking, média, email …
• Možnost fungování v ostrovním režimuřešení poslední možnosti
• Dříve než přijde regulace• Vysoká kritéria pro vstup
Projekt FENIXorganizační pravidla
• Převedení pravidel až na koncového uživatelespam, attacks
• 24x7 technický kontakt žádné IVR
• CSIRT teamZalistovaný u Trusted Introducer, Terena
• Aktivní účast v NIX.CZ• Doporučení od 2 členů, žádné veto
Projekt FENIXtechnická pravidla
• BCP-38/SAC004 – granularita /24 (/48)• RTBH využívající RS• IPv6, DNSSEC – na důležitých doménách• Plná redundance připojení do NIX.CZ• Monitoring sítě (MRTG, NetFlow, ...)• Control plane policy RFC6192• DNS, NTP, SNMP amplification protection• Reakční čas na bezpečnostní incident <30min• BGP – TCP MD5
Projekt FENIXstart
• 6 společností zakládá projekt – leden 14
Active 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz, Telefonica Czech Republic
• NIX.CZ jako arbitr dodržování pravidel
Projekt FENIXaktuální stav
• Vytvoření identity projektu• 2 nový členové
Casablanca INT, ČD-Telematika
• Úspěšně otestované RTBH• Test ostrovního režimu
Sledujte nás
.. a také na www.nix.cz