Neutrální propojování Martin Semrád Kam kráčí české telekomunikační sítě Srní,

Představení NIX.CZ Založeno 1996 Otevřená organizace Neutrální propojovací platforma Neutrální půda V top-10 mezi IXP Leader v CEE regionu

Představení NIX.CZ Dual star topologie (99,999 % dostupnost služeb) 5 datových center 120 připojených sítí 42 mezinárodních sítí 294 Gbps maximální datový tok 100GE - 2. IXP na světě

Co není NIX.CZ … ani jiný IXP nejsou poskytovatelé IP konektivity

Srovnání NIX.CZ DE-CIXAMS-IXMSK-IXNIX.CZVIX.at Max. provoz3,4 Tbps2,9 Tbps1,4 Tbps294 Gbps191 Gbps ASn / sítí Eyeballs> 500M ~180M~ 15M

Motivace k peeringu Snížení latencí Zkrácení síťových cest Zvýšení stability vlastní sítě Redukce nákladů na transit

Příklad z blízkého východu Abort / Removecr01.dub01.pccwbtn.net traceroute ip Tracing the route to Gi0-3.dxb-003-access-3.interoute.net ( ) 1 ge5-0-1.var01.dub01.pccwbtn.net ( ) 0 msec 0 msec 0 msec 2 pos4-6.cr03.ldn01.pccwbtn.net ( ) 136 msec 136 msec 136 msec 3 TenGE11-2.br02.ldn01.pccwbtn.net ( ) 136 msec 136 msec 136 msec 4 xe lon21.ip4.tinet.net ( ) 136 msec 136 msec 136 msec 5 xe par72.ip4.tinet.net ( ) 144 msec xe par72.ip4.tinet.net ( ) 148 msec 144 msec 6 interoute-gw.ip4.tinet.net ( ) 148 msec 144 msec 144 msec 7 ae1-0.mrs-001-score-1-re0.interoute.net ( ) 156 msec 156 msec 160 msec 8 Gi0-1.mrs-boi-access-2.interoute.net ( ) 160 msec 160 msec Gi0-3.mrs-boi-access-2.interoute.net ( ) 160 msec 9 so dxb-003-access-1-re1.interoute.net ( ) [MPLS: Label Exp 0] 260 msec 260 msec 264 msec 10 ge dxb-003-access-2-re1.interoute.net ( ) 260 msec 260 msec 260 msec 11 Gi0-3.dxb-003-access-3.interoute.net ( ) 264 msec * 260 msec Query Complete

Přímé propojení vs. IXP Náklady na 1 propoj Náklady na porty IXP Redundanci zajišťuje IXP Náklady na každý propoj #portu = #peerů Nutnost alternativní řešení

Peering policy Open Selective - incumbent, nebo “národní” operátoři Restrctive - Využívané pro T2>T1 Closed - Typické pro T1

Přiklad „tvrdých“ peeringových podmínek Not have been customer of service for at least 1 year; have a European footprint, with presence in 5 countries where NET also has presence and able to interconnect to NET in at least 3 locations using (1, 10 or 100) GE; have a non-European footprint and able to interconnect to NET in at least 2 US locations; Meet a balanced traffic ratio between its network and NET’s network between 1:3 and 3:1 (inbound/outbound); Exchange a minimum of 5 Gbps sustained peak traffic with NET’s network (number subject to change); Exchange a maximum of 3 Gbps per location where peering is established over a public internet exchange; Operate a professionally managed 24x7 NOC not explicitly advertised, resetting next-hop, selling or giving next hop to Agree to actively cooperate to resolve security incidents and other operational problems; Demonstrate and enforce strict filtering policies to prevent route leaks; Show good faith efforts to facilitate communication regarding network maintenance with regard to the traffic exchange; Not abuse the peering relationship by engaging in activities such as but not limited to: pointing a default route or otherwise forwarding traffic for destinations thers.

Ideální stav (z pohledu zelené sítě)

Jak se připojit Přímé připojení kapacity 1GE, 10GE, 100GE Přes partnery kapacity 100M, 250M, 500M a 1G

Co získáte připojením Možnost propojení s dalšími připojenými sítěmi Není povinnost protistrany „peerovat“ Route 1 BGP session = 75% sití v NIX.CZ = ~ 50% IP provozu Snížení latencí do nejdůležitějších sítí Zvýšení robustnosti vaší sítě

Co získáte připojením VLAN Snížíte počet propojení v i mezi DC Možnost účastnit dění v NIX.CZ Spolupodílet se osobně na směřování CZ internetu Navázat nové kontakty z ČR i zahraničí Účast na projetu FENIX

Odpověď na útoky z 3/2013 trvající 4 dny Mnoho cílů v CZ média, banky, mobilní operátoři, Seznam.cz Zdroj útoků mimo CZ Přes transit i NIX.CZ Žádná odpověď od zdroje Projekt FENIX

Klub vzájemně si „důvěřujících“ Technický nástroj „Bezpečná VLAN“ CZ uživatelé se potřebují dostat na CZ zdroje home banking, média, … Možnost fungování v ostrovním režimu řešení poslední možnosti Dříve než přijde regulace Vysoká kritéria pro vstup

Projekt FENIX organizační pravidla Převedení pravidel až na koncového uživatele spam, attacks 24x7 technický kontakt žádné IVR CSIRT team Zalistovaný u Trusted Introducer, Terena Aktivní účast v NIX.CZ Doporučení od 2 členů, žádné veto

Projekt FENIX technická pravidla BCP-38/SAC004 – granularita /24 (/48) RTBH využívající RS IPv6, DNSSEC – na důležitých doménách Plná redundance připojení do NIX.CZ Monitoring sítě (MRTG, NetFlow,...) Control plane policy RFC6192 DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP – TCP MD5

Projekt FENIX start 6 společností zakládá projekt – leden 14 Active 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz, Telefonica Czech Republic NIX.CZ jako arbitr dodržování pravidel

Projekt FENIX aktuální stav Vytvoření identity projektu 2 nový členové Casablanca INT, ČD-Telematika Úspěšně otestované RTBH Test ostrovního režimu

Sledujte nás.. a také na