Hlavní navigace

Má ještě tradiční neutrální peering smysl nebo stačí komerční uzly?

Petr Krčmář

Pátý ročník mezinárodní konference CEE Peering Days se tentokrát konal ve slovinské Lublani. Přinesl přehled situace v současném peeringu a položil zásadní otázky ohledně budoucnosti neutrálních peeringových center.

Strategie peeringových center dříve a teď

Původně byla v Evropě peeringová centra řízena komunitně, typicky se v jedné zemi v 90. letech nacházel nejvýše jeden uzel. Propojovaly se především místní sítě, což umožnilo snížit vysoké poplatky za tranzit, začal svou přednášku Christian Panigl z VIX.at.

Na počátku nového tisíciletí se objevil první pokus o komerční peeringový uzel a nové modely provozu IXP. Zároveň ale vznikla asociace Euro-IX, která zastřešovala provozovatele jednotlivých uzlů a vytvářela jednotnou platformu pro výměnu dat a zkušeností. Podle mého názoru to bylo velmi důležité pro evropský peering a vytvořilo to silnou komunitu.

Okolo roku 2005 se pak začaly objevovat velké CDN sítě, které se chtěly přiblížit co nejvíce uživatelům. Ti tak mají služby blíže a jejich používání je příjemnější. Přibližně v té době začaly také vznikat ohromné nadnárodní uzly, které začaly růst rychleji než ostatní. Ale to je logické, velké objekty vytváří velkou gravitaci a přitahují více sítí.

V poměrně nedávné době pak začali provozovatelé peeringových center otevírat uzly mimo své původní země. Tím začala jakási soutěž mezi propojenými uzly nabízejícími síťové služby a čistými lokálními uzly. Co je to mezinárodní peeringová služba? Je to ještě peeringový uzel nebo už je to operátor? Zároveň někteří poskytovatelé obsahu začali nabízet propojovací služby jako produkt.

Panigl se proto ptá, zda je ještě důvod pro tradiční model nezávislých peeringových uzlů. Držet data lokálně je určitě dobrý nápad, stejně jako zkracovat cesty. Potřebujeme k tomu ale ještě komunitně řízená a nezávislá peeringová cesta? ptal se na své přednášce. Jsme tu, abychom propagovali tradiční model, ale to je náš názor. Je to názor všech? Je to i váš názor?

Otázkou tak zůstává, zda by neměl být dvacet let starý model přehodnocen. Bude v opačném případě převálcován novými způsoby propojení? Měli bychom my, staří dinosauři, změnit svou roli tradičního peeringového uzlu? Jednou z variant je zůstat u tradičního modelu, ale přidávat další služby, které zatraktivní použití těchto služeb. Které služby bychom ale pak měli přidat? Které z nich jsou vlastně atraktivní?

Poté se rozběhla debata mezi provozovateli sítí. Myslím, že by vedle komerčních peeringových center měla existovat i ta nekomerční, která nebudou soutěžit mezi sebou, ale nabídnou neutrální půdu mimo datacentra, zaznělo z pléna. Používáme tradiční uzly, protože chceme mít poskytovatele propojení, který nekonkuruje našim službám. Peeringové centrum má držet data lokálně, nemá být operátorem, nemá pronajímat vlákna, zazněl další názor. Volná soutěž je dobrá a zvyšuje kvalitu služeb. Ale úkolem uzlů zůstává stále výměna dat na lokální úrovni. Nedává smysl, aby byly uzly propojené mezi sebou.

Obecně se v debatě ozývaly hlasy, které říkaly, že tradiční model je velmi důležitý, ale je potřeba také poslouchat hlasy a členy zákazníků. Je důležité mít v zemi alespoň dva různé uzly. Protože když zůstanete sami, tak zlenivíte. Přítomnost komerčního konkurenta vede k lepším službám pro zákazníky. V takovém případě je ale otázka, kolik uzlů může existovat na jednom místě. Například v Singapuru je teď šest různých provozovatelů na jednom místě. Za pět let uvidíme, jestli přežijí. Trh musí rozhodnout sám.

Zároveň zaznělo, že čím víc peeringových center je na jednom místě, tím lépe. Zástupce Facebooku během debaty zdůraznil původní úlohu peeringových center: Uzly jsou pro internet naprosto zásadní, viděli jsme země, kde vstup kvalitního peeringového centra napravil velmi rozbitou situaci. Důležité je držet data lokálně, to je úloha peeringových center. Všechny ty snahy pospojovat tečky na mapě jsou šílené. To mají dělat operátoři.

Představení SIX.si

Avgust Jauk představil slovinský peeringový uzel SIX, který provozuje akademická organizace Arnes. Ta v současné době propojuje 1424 institucí včetně univerzit, muzeí a dalších kulturních a vzdělávacích organizací. V současné době máme připojeno přes čtvrt milionu individuálních uživatelů.

Organizace provozuje také vlastní peeringový uzel, který vznikl v únoru roku 1994, což bylo jen pár měsíců po spuštění prvního místního komerčního poskytovatele internetu. Důvod byl jednoduchý: připojení do světa bylo tehdy velmi drahé, takže všichni měli zájem srazit ceny. V roce 2000 pak vznikl druhý PoP a později byla obě místa propojena.

Obě datacentra provozuje organizace Arnes, jednotlivá vlákna si pak pronajímají samotní členové. Pronájem temných vláken je tady v Lublani velmi levný, takže si jednotlivé sítě přivedou své vlákno do našeho switche. Nemusí mít routery v našem datacentru. Podle přednášejícího jsou všechny důležité slovinské sítě připojené do SIX.si. Každý, kdo chce být v tomhle byznysu, je připojený k nám.

V současné době se používají switche Cisco Catalyst 4500X s porty 1 GE a 10 GE. Naši zákazníci zatím nepoptávají 40GE nebo 100GE linky, proto je nenabízíme. V současné době má uzel 28 připojených členů, třetina z nich je připojena do obou bodů. Ve špičkách toky dosahují 65 Gbps a za poslední rok vyrostly o třetinu.

Současný stav NIX.CZ

NIX.CZ je nezisková organizace založená v roce 1996, která provozuje neutrální peeringové centrum v Praze a od roku 2015 také v Bratislavě. Naše platforma v současné době propojuje 146 sítí v šesti bodech umístěných v pěti data centrech v Praze, řekl Martin Semrád, ředitel NIX.CZ. Před několika dny uzel zaznamenal nový rekord, když bylo přenášeno 505 Gbps.

Uzel nabízí linky rychlosti 1 GE, 10 GE a 100 GE. V loňském roce jsme dokončili přechod platformy na přepínače Cisco Nexus 7700, které nám nabídly dvanáct 100GE portů na každé kartě. Změna také umožnila zjednodušit celou infrastrukturu a připravila půdu pro růst uzlu na několik dalších let. Za peníze našich členů pořizujeme postupně také vlastní optické linky, které nám umožňují zlepšit služby.

Před dvěma lety byl otevřen také peeringový uzel v Bratislavě, který byl nazván jednoduše NIX.SK. Provozujeme jej také z Prahy a oba uzly jsou oddělené a nemají přímé propojení. V současné době je na Slovensku připojeno 35 sítí a v brzké době přibudou další. Nabízeny jsou tu také linky 1 GE, 10 GE a 100 GE a všechny služby, které nabízíme v Praze.

V současné době jsou podle Semráda do NIX.SK připojeny všechny důležité sítě poskytovatelů připojení, teď se čeká především na poskytovatele obsahu. Brzy otevřeme také třetí PoP, kterým splníme slib umístění přípojných bodů na obou stranách Dunaje.

PeeringDB

Arnold Nipper na své přednášce povídal o databázi PeeringDB 2.0, která před týdnem oslavila první narozeniny. Obsahuje informace o jednotlivých uzlech, navázaných peerech a sítích. Záznamy v PeeringDB zjednodušuje vaše nalezení a pomáhá vám zřídit nové propoje.

V databázi je v současné době 566 propojovacích uzlů, více než devět tisíc organizací, osm tisíc sítí a dvanáct tisíc ověřených uživatelů. Nová verze byla kompletně přepsaná do Pythonu a používá HTML5 rozhraní přizpůsobitelné pro desktop i mobily. Data jsou nově podrobně validována a je ukládaná jejich historie, ke které je možné se kdykoliv vrátit. Přístup je možný také přes RESTful API.

Vylepšena byla také práce s uživateli a jejich právy, kdy je možné spravovat pomocí jednoho účtu údaje různých sítí nebo také peeringových uzlů. Dříve bylo možné spravovat záznamy jen pro sítě, protože celá PeeringDB byla postavena z hlediska pohledů na sítě. Uživatelé bez registrace mají přístup ke všem informacím, kromě kontaktních údajů.

Celá PeeringDB je dostupná zdarma, organizaci pomáhají financovat sponzoři, mezi které patří Microsoft, Facebook, RIPE NCC, Google, Yahoo, DE-CIX a další.

Řešení DDoS v chorvatském CIX

Mario Klobučar z chorvatského CIX hovořil o záhřebském neutrálním peeringovém centru, které bylo založeno v roce 2000 a v současné době má 35 členů. Stále rosteme, v současné době máme špičkový tok 50 Gbps a více než 400 peeringů. Někteří členové začali v loňském roce volat po nástrojích určených k boji s DDoS útoky.

V současné době je nasazován klasický blackholing signalizovaný pomocí community 65535:666, do které může síť ohlásit prefix až do délky /32 a route server přidá do cesty next hop, který končí v černé díře. Členy CIX zatím DDoS útoky příliš netrápí, setkávají se spíše s malými objemy a některé z nich jsou dokonce až pod rozlišovací schopnost jednotlivých členů.

CIX plánuje analyzovat sFlow data, aby zjistil, kolika útokům vlastně sítě čelí, zda je možné některé malé útoky zaznamenávat a jestli je možné připravit nástroje pro automatické potlačení takových útoků. Chceme zjistit, zda můžeme v budoucnu nasadit pokročilejší nástroje pro filtrování DDoS útoků namísto úplného blokování celých rozsahů, řekl na konci přednášky Klobučar. Zároveň ale dodal, že organizace nemá v plánu kupovat drahé komerční řešení na praní provozu. Spíše chce jít cestou některého z otevřených řešení.

Stav internetu ve Slovinsku

Letošní konference se konala ve Slovinsku, proto Mirjam Kühne použila nástroje RIPE NCC k prozkoumání místní situace. Ve Slovinsku je 61 členů RIPE, mají přiděleno 253 ASN, 594 rozsahů IPv4 a 93 rozsahů IPv6. Ke zjištění těchto informací byl použit centrální statistický nástroj stats.ripe.net, který poskytuje náhled na sítě podle mnoha různých kritérií.

Statistiky se týkaly také nasazení IPv6, pro hodnocení členů RIPE NCC se používá systém hvězdiček, který přiděluje body za alokací adres, viditelnost v globálních tabulkách nebo třeba správné nastavení reverzních DNS dotazů. Žádnou hvězdičku nezískalo jen pět procent sítí, více než polovina z nich má tři nebo čtyři hvězdičky. Pět hvězdiček má 13 procent poskytovatelů obsahu, ale jen 6 procent poskytovatelů připojení. Vypadá to docela dobře a je tu vidět pokrok, což je výborné. Budeme situaci dále sledovat.

Dalším měřítkem je, jaká část sítí ohlašuje do internetu alespoň jeden IPv6 rozsah. V současné době je to 68 z 259 sítí, tedy asi 27 %. V Česku je to téměř polovina sítí, na Slovensku asi 35 procent. Tato data je možné sledovat pomocí v6asns.ripe.net.

Stav sítě je možné sledovat průběžně také pomocí projektu Atlas, který distribuuje měřicí sondy do mnoha sítí po celém světě. Celkem je jich aktivních 9550 ve 181 zemích. Pokrývají 3330 ASN v IPv4 a 1243 v IPv6. Můžeme z nich získávat velmi zajímavé statistiky týkající se například traceroute, dostupnosti jednotlivých sítí mezi sebou a podobně. Ve Slovinsku je 47 sond a pomocí nástroje IXP Country Jedi je možné vyzkoušet dostupnost všech sondy proti všem ostatním a změřit, kudy mezi nimi proudí data. Situace ve Slovinsku je velmi dobrá, většina dat zůstává uvnitř země a vymění se v peeringovém centru SIX. Jen malá část z nich prochází přes Vídeň.

BGP Tools

Walt Wollny z Hurricane Electrics hovořil o nástrojích pro náhledy do BGP. Tím hlavním byl v přednášce nástroj bgp.he.net. Tady můžete velmi snadno poznat, jak jsou sítě po celém světě propojené. Jsou tu vidět ohlašované prefixy, počty peerů i délky AS path. Čím kratší cesta, tím lépe.

Nástroj umožňuje graficky zobrazit vztahy mezi peerujícími sítěmi, tedy kdo komu ohlašuje jaký prefix. Díky PeeringDB tu také vidíme, v jakém peeringovém centru je konkrétní síť přítomná. Nástroj nabízí také globální statistiky jednotlivých zemí, grafy nárůstu počtu ohlašovaných ASN a podobně.

Důležité je, že pohled na internet se mění podle toho, odkud se díváte. Routery propagují jen nejlepší cestu, ale někdy je důležité znát celou situaci. K tomu je nutné nahlédnout do stavu BGP z různých míst sítě.

Nová generace boje s DDoS v NIX.CZ

DDoS útoků přibývá a týkají se i peeringových center, po kterých členové chtějí alespoň základní podporu třeba na úrovní blackholingu. Největší problém je, že DDoS přichází z mnoha různých směrů a ovlivňuje celý provoz v peeringovém centru. Běžným řešením je právě blackholing, ale Zbyněk Pospíchal z NIX.CZ si myslí, že to není správné řešení. Je to stejné, jako by na vás někdo střílel a vy byste se bránili tím, že se střelíte do vlastní nohy.

Jednou z variant je blokovat delší prefixy, ale v takovém případě záleží na tom, zda je protistrana přijme. NIX.CZ začal testovat vlastní řešení, kdy je problematický provoz přesměrován do pračky, která se postará o filtraci. V posledních měsících jsme tohle řešení testovali a v tuhle chvíli jsme schopni takhle čistit útoky o velikosti čtvrt terabitu. S nějakými triky.

V současné době je řešení dostupné prověřeným členům skupiny FENIX uvnitř NIX.CZ, časem bude dostupné i pro všechny ostatní. Nijak neřešíme detekci útoků, protože tahle role nám nenáleží. To si musí vyřešit každý člen sám. Jakmile cílová síť detekuje DDoS útok, může toto řešení použít. Nabízíme sítím pouze nástroj, ne řešení.

Konkrétně je použit přepínač Cisco Catalyst 6500, který omezuje a filtruje provoz, který je na něj poslán. Rozdíl proti jednoduchému blackholingu je v tom, že provoz je možné filtrovat podle mnoha různých kritérií jako zdrojová či cílová IP adresa, protokol či porty. Dokonalý nástroj pro boj s DDoS útoky zatím neexistuje.

Zatím je vše postaveno na ACL, které plní samotní členové. Chystáme se vytvořit nějaké klikací rozhraní, které bude hlídat například konflikty a také to, zda síť filtruje jen ty rozsahy, které jí opravdu náleží. Zatím také neexistuje žádná integrace s route servery, která se plánuje na dobu, kdy bude nástroj otevřený pro všechny.

Našli jste v článku chybu?