neutrální propojování martin semrád kam kráčí české telekomunikační sítě srní, 5...
DESCRIPTION
Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní, 5 .9.2014. Představení NIX.CZ. Založeno 1996 Otevřená organizace Neutrální propojovací platforma Neutrální půda V t op-10 mezi IXP Leader v CEE regionu. Představení NIX.CZ. Dual star topologie - PowerPoint PPT PresentationTRANSCRIPT
Neutrální propojování
Martin Semrád
Kam kráčí české telekomunikační sítě
Srní, 5.9.2014
Představení NIX.CZ
• Založeno 1996• Otevřená organizace• Neutrální propojovací platforma• Neutrální půda• V top-10 mezi IXP• Leader v CEE regionu
Představení NIX.CZ
• Dual star topologie(99,999 % dostupnost služeb)
• 5 datových center• 120 připojených sítí• 42 mezinárodních sítí• 294 Gbps maximální datový tok• 100GE - 2. IXP na světě
Co není NIX.CZ
… ani jiný IXPnejsou poskytovatelé IP
konektivity
Srovnání NIX.CZ
DE-CIX AMS-IX MSK-IX NIX.CZ VIX.at
Max. provoz
3,4 Tbps
2,9 Tbps
1,4 Tbps
294 Gbps
191 Gbps
ASn / sítí 533 662 369 120 120
Eyeballs > 500M > 500M ~180M ~ 15M ~ 15M
Motivace k peeringu
• Snížení latencí• Zkrácení síťových cest• Zvýšení stability vlastní sítě• Redukce nákladů na transit
Příklad z blízkého východu
Abort / Removecr01.dub01.pccwbtn.net84.233.221.50
traceroute ip 84.233.221.50
Tracing the route to Gi0-3.dxb-003-access-3.interoute.net (84.233.221.50)
1 ge5-0-1.var01.dub01.pccwbtn.net (63.218.176.66) 0 msec 0 msec 0 msec
2 pos4-6.cr03.ldn01.pccwbtn.net (63.218.176.38) 136 msec 136 msec 136 msec
3 TenGE11-2.br02.ldn01.pccwbtn.net (63.218.12.146) 136 msec 136 msec 136 msec
4 xe-11-1-1.lon21.ip4.tinet.net (77.67.94.153) 136 msec 136 msec 136 msec
5 xe-11-3-0.par72.ip4.tinet.net (141.136.111.246) 144 msec
xe-2-2-2.par72.ip4.tinet.net (141.136.111.250) 148 msec 144 msec
6 interoute-gw.ip4.tinet.net (77.67.75.238) 148 msec 144 msec 144 msec
7 ae1-0.mrs-001-score-1-re0.interoute.net (217.118.118.74) 156 msec 156 msec 160 msec
8 Gi0-1.mrs-boi-access-2.interoute.net (217.118.118.86) 160 msec 160 msec
Gi0-3.mrs-boi-access-2.interoute.net (217.118.118.82) 160 msec
9 so-1-0-0-0.dxb-003-access-1-re1.interoute.net (84.233.221.41) [MPLS: Label 299776 Exp 0] 260 msec 260 msec 264 msec 10 ge-0-0-0-0.dxb-003-access-2-re1.interoute.net (84.233.221.30) 260 msec 260 msec 260 msec 11 Gi0-3.dxb-003-access-3.interoute.net (84.233.221.50) 264 msec * 260 msec
Query Complete
Přímé propojení vs. IXP
• Náklady na 1 propoj • Náklady na porty IXP• Redundanci zajišťuje IXP
• Náklady na každý propoj
• #portu = #peerů• Nutnost alternativní
řešení
Peering policy
• Open• Selective - incumbent, nebo
“národní” operátoři• Restrctive - Využívané pro T2>T1• Closed - Typické pro T1
Přiklad „tvrdých“ peeringovýchpodmínek
• Not have been customer of service for at least 1 year;• have a European footprint, with presence in 5 countries where NET also has presence
and able to interconnect to NET in at least 3 locations using (1, 10 or 100) GE;• have a non-European footprint and able to interconnect to NET in at least 2 US
locations;• Meet a balanced traffic ratio between its network and NET’s network between 1:3 and
3:1 (inbound/outbound); Exchange a minimum of 5 Gbps sustained peak traffic with NET’s network (number subject to change);
• Exchange a maximum of 3 Gbps per location where peering is established over a public internet exchange;
• Operate a professionally managed 24x7 NOC • not explicitly advertised, resetting next-hop, selling or giving next hop to Agree to actively
cooperate to resolve security incidents and other operational problems;• Demonstrate and enforce strict filtering policies to prevent route leaks;• Show good faith efforts to facilitate communication regarding network maintenance with
regard to the traffic exchange;• Not abuse the peering relationship by engaging in activities such as but not limited to:
pointing a default route or otherwise forwarding traffic for destinations thers.
Ideální stav(z pohledu zelené sítě)
Jak se připojit
• Přímé připojeníkapacity 1GE, 10GE, 100GE
• Přes partnerykapacity 100M, 250M, 500M a 1G
Co získáte připojením
• Možnost propojení s dalšími připojenými sítěmi Není povinnost protistrany „peerovat“
• Route Server @NIX.CZ1 BGP session = 75% sití v NIX.CZ = ~ 50% IP provozu
• Snížení latencí do nejdůležitějších sítí• Zvýšení robustnosti vaší sítě
Co získáte připojením
• VLANSnížíte počet propojení v i mezi DC
• Možnost účastnit dění v NIX.CZSpolupodílet se osobně na směřování CZ internetuNavázat nové kontakty z ČR i zahraničí
• Účast na projetu FENIX
• Odpověď na útoky z 3/2013 trvající 4 dny
• Mnoho cílů v CZmédia, banky, mobilní operátoři, Seznam.cz
• Zdroj útoků mimo CZ• Přes transit i NIX.CZ• Žádná odpověď od zdroje
Projekt FENIX
Projekt FENIX
• Klub vzájemně si „důvěřujících“• Technický nástroj „Bezpečná VLAN“• CZ uživatelé se potřebují dostat na CZ zdroje
home banking, média, email …
• Možnost fungování v ostrovním režimuřešení poslední možnosti
• Dříve než přijde regulace• Vysoká kritéria pro vstup
Projekt FENIXorganizační pravidla
• Převedení pravidel až na koncového uživatelespam, attacks
• 24x7 technický kontakt žádné IVR
• CSIRT teamZalistovaný u Trusted Introducer, Terena
• Aktivní účast v NIX.CZ• Doporučení od 2 členů, žádné veto
Projekt FENIXtechnická pravidla
• BCP-38/SAC004 – granularita /24 (/48)• RTBH využívající RS• IPv6, DNSSEC – na důležitých doménách• Plná redundance připojení do NIX.CZ• Monitoring sítě (MRTG, NetFlow, ...)• Control plane policy RFC6192• DNS, NTP, SNMP amplification protection• Reakční čas na bezpečnostní incident <30min• BGP – TCP MD5
Projekt FENIXstart
• 6 společností zakládá projekt – leden 14
Active 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz, Telefonica Czech Republic
• NIX.CZ jako arbitr dodržování pravidel
Projekt FENIXaktuální stav
• Vytvoření identity projektu• 2 nový členové
Casablanca INT, ČD-Telematika
• Úspěšně otestované RTBH• Test ostrovního režimu
Sledujte nás
.. a také na www.nix.cz