220 likes | 315 Vues
Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní, 5 .9.2014. Představení NIX.CZ. Založeno 1996 Otevřená organizace Neutrální propojovací platforma Neutrální půda V t op-10 mezi IXP Leader v CEE regionu. Představení NIX.CZ. Dual star topologie
E N D
Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní, 5.9.2014
Představení NIX.CZ • Založeno 1996 • Otevřená organizace • Neutrální propojovací platforma • Neutrální půda • V top-10 mezi IXP • Leader v CEE regionu
Představení NIX.CZ • Dual star topologie (99,999 % dostupnost služeb) • 5 datových center • 120připojených sítí • 42mezinárodních sítí • 294Gbpsmaximální datový tok • 100GE - 2. IXP na světě
Co není NIX.CZ … ani jiný IXP nejsou poskytovatelé IP konektivity
Motivace k peeringu • Snížení latencí • Zkrácení síťových cest • Zvýšení stability vlastní sítě • Redukce nákladů na transit
Přímé propojení vs. IXP • Náklady na každý propoj • #portu = #peerů • Nutnost alternativní řešení • Nákladyna1 propoj • Nákladynaporty IXP • Redundancizajišťuje IXP
Peeringpolicy • Open • Selective - incumbent, nebo “národní” operátoři • Restrctive - Využívané pro T2>T1 • Closed - Typické pro T1
Přiklad „tvrdých“ peeringovýchpodmínek • Nothavebeencustomerof service for at least 1 year; • have aEuropean footprint, with presence in 5 countrieswhere NET also has presence and able to interconnect to NET in at least3 locationsusing (1, 10 or 100) GE; • have anon-Europeanfootprint and able to interconnect to NET in at least 2 US locations; • Meet abalanced traffic ratiobetween its network and NET’s network between1:3 and 3:1 (inbound/outbound); Exchange a minimum of 5 Gbpssustained peak traffic with NET’s network (number subject to change); • Exchange amaximum of 3 Gbps per locationwhere peering is established over a public internet exchange; • Operate a professionally managed 24x7 NOC • not explicitly advertised, resetting next-hop, selling or giving next hop to Agree to actively cooperate to resolve security incidents and other operational problems; • Demonstrate and enforce strict filtering policies to prevent route leaks; • Show good faith efforts to facilitate communication regarding network maintenance with regard to the traffic exchange; • Not abuse the peering relationship by engaging in activities such as but not limited to: pointing a default route or otherwise forwarding traffic for destinations thers.
Jak se připojit • Přímé připojení kapacity 1GE, 10GE, 100GE • Přes partnery kapacity 100M, 250M, 500M a 1G
Co získáte připojením • Možnost propojení s dalšími připojenými sítěmi Není povinnost protistrany „peerovat“ • Route Server @NIX.CZ 1 BGP session = 75% sití v NIX.CZ = ~ 50% IP provozu • Snížení latencí do nejdůležitějších sítí • Zvýšení robustnosti vaší sítě
Co získáte připojením • VLAN Snížíte počet propojení v i mezi DC • Možnost účastnit dění v NIX.CZ Spolupodílet se osobně na směřování CZ internetu Navázat nové kontakty z ČR i zahraničí • Účast na projetu FENIX
Projekt FENIX • Odpověď na útoky z 3/2013 trvající 4 dny • Mnoho cílů v CZ média, banky, mobilní operátoři, Seznam.cz • Zdroj útoků mimo CZ • Přes transit i NIX.CZ • Žádná odpověď od zdroje
Projekt FENIX • Klub vzájemně si„důvěřujících“ • Technický nástroj „Bezpečná VLAN“ • CZ uživatelé se potřebují dostat na CZ zdroje homebanking, média, email … • Možnost fungování v ostrovním režimu řešení poslední možnosti • Dříve než přijde regulace • Vysoká kritéria pro vstup
Projekt FENIXorganizační pravidla • Převedení pravidel až na koncového uživatele spam, attacks • 24x7 technický kontakt žádné IVR • CSIRT team Zalistovaný u Trusted Introducer, Terena • Aktivní účast v NIX.CZ • Doporučení od 2 členů, žádné veto
Projekt FENIXtechnická pravidla • BCP-38/SAC004 – granularita/24 (/48) • RTBH využívající RS • IPv6, DNSSEC – na důležitých doménách • Plná redundance připojení do NIX.CZ • Monitoringsítě (MRTG, NetFlow, ...) • Control plane policy RFC6192 • DNS, NTP, SNMP amplificationprotection • Reakční čas na bezpečnostní incident<30min • BGP – TCP MD5
Projekt FENIXstart • 6 společností zakládá projekt – leden 14 Active 24, CESNET, CZ.NIC, DialTelecom, Seznam.cz,Telefonica Czech Republic • NIX.CZ jako arbitr dodržování pravidel
Projekt FENIXaktuální stav • Vytvoření identity projektu • 2 nový členové Casablanca INT, ČD-Telematika • Úspěšně otestované RTBH • Test ostrovního režimu
Sledujte nás .. a také na www.nix.cz