Konference Peering Days se tradičně zabývá propojováním evropských internetových sítí. Od roku 2013 cestuje po Evropě a v letošním roce se zástupci provozovatelů sítí setkali v italské Boloni. Za organizací stojí vždy tři peeringové uzly: český NIX.CZ, rakouský VIX.AT a maďarský BIX,HU.
Co se dozvíte v článku
Boloňa je italské historické město, kde najdeme nejstarší evropskou univerzitu založenou v roce 1088, Zdejší výpočetní centrum Cineca HPC bylo založeno v roce 1969 a místní počítač Leonardo je v současně desátým nejvýkonnějším superpočítačem světa. Italové berou jídlo velmi vážně a Boloňa je považována za italské hlavní město jídla.
Arnold Nipper: zavádění změn v PeeringDB
PeeringDB je databáze, ve které najdete všechny informace potřebné pro potřeby propojení s dalšími sítěmi. Provozuje ji dobrovolnická organizace plně financovaná ze sponzorských darů, jejímž členem se může stát jakákoliv právnická osoba. Každý rok je znovu volena polovina vedení organizace.
Pokud máte námět pro produktový výbor, nejlepší je založit požadavek na GitHubu. Výbor pravidelně požadavky prochází, diskutuje a hlasuje o nich. Většina požadavků je užitečných, ale ne vždy jsou užitečné pro všechny uživatele.
Pokud je rozhodnuto o implementaci novinky, je zařazena do vývojových plánů.
Vždy je potřeba zvážit, zda novinka musí být součástí PeeringDB. Jde o to, zda je nutné přidávat do databáze další položku, což obvykle znamená spoustu změn v mnoha nástrojích.
Dále je třeba se zamyslet nad tím, zda změna vyžaduje úpravu API, kdo ji bude využívat a zda bude mít přímý dopad na propojování sítí.
Použití PeerinDB je zdarma, protože ve veřejném zájmu je mít v databázi co nejvíce informací. Vytváříme ale kritickou infrastrukturu a potřebujeme na to získat financování.
Organizace proto nabízí čtyři kategorie sponzorství, diamantovými sponzory jsou Amazon a Microsoft.
Jac Kloots: problémy rozsáhlých AS-SET
AS-SET je objekt v databázi IRR, který říká, co všechno oznamujete. V roce 2024 začal ruský operátor omylem oznamovat do internetu řadu cizích prefixů. Obvykle se podobné problémy dějí na lokální úrovni, tady se ale problém začal šířit globálně. Nasazení AS-SET by tento problém omezilo, protože dovoluje vytvářet seznamy prefixů, které je možné získat od síťových sousedů.
AS-SET funguje rekurzivně, tedy odkazuje na další objekty ostatních sousedů. Není tu žádná kontrola, každý si může do záznamu vložit cokoliv.
Nejsou tu limity na počet členů, takže seznamy mohou být velmi dlouhé. Stejně tak neexistuje omezení na počet kroků v rekurzi, takže seznamy mohou rychle růst nade všechny meze.
Konkrétně uvedený příklad AS-MTU se rozroste na 43 tisíc ASN, přičemž v celé globální tabulce je 83 tisíc ASN. Tento jediný AS-SET tedy pokryje polovinu viditelného internetu. Pokud na základě toho vytvoříte filtry, budete v nich mít opravdu hodně prefixů.
Populární nástroj bgpq4 vytvoří na základě jednoho dotazu na AS-MTU konfiguraci o 1,3 milionech řádků. Pro jednoho peera! Kdo z vás má jednoho peera!?
Tento konkrétní AS-SET navíc není jediný, dokonce není ani nejhorší. Ben Cartwight-Cox vytvořil seznam hříšníků, přičemž největší seznamy obsahují více než 90 tisíc položek, tedy více než obsahuje celý internet. Odkud se tohle bere? Proč vidíme takto obrovská čísla?
Celý problém je v expanzi, která způsobí rozbalení na desítky tisíc cest, z nichž velký část je neroutovatelná.
Problém zmíněný v roce 2024 by byl při použití AS-SET ještě zhoršený. Co s tím můžeme dělat? Vlastníci objektů by měli svou konfiguraci projít a ujistit se, že oznamují minimum informací potřebných pro sestavování allow listů. Problémy úniků v BGP musíme ale řešit jiným způsobem, než nepraktickými objekty, do kterých si každý napíše cokoliv.
Tony O'Sullivan: stavíme odolnou infrastrukturu
Sítě mají řadu problémů, které je možné dobře demonstrovat na Taiwanu. Jde o uzavřený ekosystém na ostrově, kam vede velmi málo podmořských kabelů. Spojení ven není často redundantní, protože sice nakoupíte připojení od více operátorů, ale jejich sítě se velmi rychle setkají v jedné infrastruktuře. Marketingové mapy to často neříkají, musíte se hodně ptát, abyste zjistili, jak to ve skutečnosti je.
Jen v roce 2025 proběhlo několik přerušení podmořských kabelů, ve dvou případech vzniklo podezření na sabotáž. Opravy trvají měsíce a je tím ovlivněn internetový provoz. Při těchto přerušeních bylo ztraceno přes 70 % kapacity, ale bylo možné data přesunout do jiných cest. Pro nás je podstatný uptime, který jsme udrželi na 99,9 %.
Otázkou zůstává, jak designovat síť, aby bylo možné kapacitu v případě potřeby rychle navýšit. Ne vždy je to snadné, například v Číně jsou sítě závislé na místních podmínkách a jejich schopnostech škálovat. Někdy je velmi těžké dostat opravárenskou loď do míst, kde probíhá aktivní válka.
Se začátkem války byla přerušena většina linek mezi Ukrajinou a Ruskou federací. Najednou jsme přišli o velkou část kapacity, stejně jako všichni ostatní operátoři v oblasti.
Tohle se nedá vyřešit návrhem sítě, ale otevřenou spoluprací s lidmi na místě. Technici byli ochotni vyrazit a opravovat vlákna uprostřed dělostřeleckých útoků.
Co tedy musí mít síťoví inženýři na paměti, když staví odolné sítě? Je třeba počítat se všemi riziky: geopolitickými, infrastrukturními a dodavatelskými. Je třeba mít zajištěný automatický rerouting a připravenou náhradu za ztrátu kapacity. Designujte chytře, ne hrubou silou.
Vytvářejte unikátní cesty a učte se z předchozích incidentů. Dá vám to prostor na rychlé rozšiřování a škálování.
Je třeba stavět sítě s ohledem na možná rizika. Pokud se něco pokazí, je potřeba reagovat rychle, provést změny a poučit se z toho pro příště. Je nutné do plánů zařadit síťovou diversitu a nezáviset na jednom dodavateli. Odolnost má být základní vlastností, ne přidanou hodnotou.
Alessandro Bulletti: zabezpečení IXP Fabric
Peeringový uzel se zvenčí chová jako velký síťový přepínač, ale má spoustu dalších funkcí. Filtruje nechtěný provoz, musí zajistit rychlé řešení při výpadku, bránit smyčkám a zajistit například také ochranu proti DDoS. Řešením mnoha těchto problémů je EVPN, které dokáže oddělit jednotlivé služby, snížit množství nechtěného provozu, nabídnout redundanci a zajistit automatizaci.
V první linii obrany hraje roli například statické přidělení MAC adres na logické rozhraní zákazníka, ACL filtry pro blokování na druhé a třetí vrstvě, blokování multicastu i broadcastu a omezení provozu způsobeného protokoly ARP a ND. Můžeme zajistit striktní řízení, které zajistí, že zákazníci mohou oznamovat jen správné IP adresy, které jim patří.
V případě DDoS útoků už nás dnes nezajímá, co je uvnitř přenášených paketů, místo toho je třeba vědět, kdo tento provoz odesílá. Je třeba rychle problém detekovat a přijmout opatření ke zmírnění dopadů.
Pro rychlejší a spolehlivější detekci je možné dnes použít umělou inteligenci.
Objem útoků také neustále roste, terabitové toky už nejsou výjimkou, ale jsou denní realitou mnoha poskytovatelů. Mnoho z nich trvá méně než jednu minutu, jsou velmi dynamické a proměnlivé.
Drtivá většina takových útoků trvá krátkou dobu a stávají se to normou.
Historicky byla peerinová centra k tokům neutrální a přenášela tedy i DDoS útoky. Nyní se naopak snaží chránit poskytovatele a jejich zákazníky. Uzly tím získávají další důležitou funkci a stávají se významnějšími.
Peeringový uzel může sledovat toky a v případě objevení útoku může přidat filtry na druhé síťové vrstvě, nebo přesunout provoz do místní pračky provozu.
Patrick Prangl: EVPN – jedna control plane vládne všem
EVPN nabízí flexibilní řešení pro celou řadu aplikací. Výhodou je, že stále používáte jednu technologii, která v sobě automaticky zahrnuje multi-homing. Dokáže nahradit celou řadu specializovaných protokolů jako PW. VPLS, MVPN, IP-VPN a podobně. Všechno se tím zjednoduší a vznikne konzistentní prostředí zachovávající flexibilitu.
Trendem napříč celým odvětvím je zjednodušování a snižování počtu použitých protokolů. Místo MPLS se dnes prosazuje SRv6, který je možné nad BPG EVPN spustit jako IGP-SRv6. Problém je, že zatím všechny platformy neumějí nabídnout všechny potřebné funkce SRv6.
SRv6 ale zřejmě nahradí klasickou MPLS VPN, přestože nějakou dobu budou existovat společně, než nastoupí nové hardwarové platformy. Mezi tím se rozvíjejí také EVPN gateways, které dovolují hierarchicky propojovat různé domény a vytvářet například propoje mezi EVPN a MPLS.
Výhodou jednotné service plane využívající EVPN je, že může využívat otevřené standardy. Můžete tak míchat řešení různých dodavatelů, což v důsledku snižuje náklady na provoz.
ČLÁNKY DO MAILU