Open-source síťování, škálování FIB, trendy v peeringu, Peering Days 2025

Současná globální směrovací tabulka obsahuje asi 970 tisíc IPv4 rout a 205 tisíc IPv6 rout. První otázkou ohledně BGP aplikací je vždycky, kolik záznamů se nám vejde do tabulky a jak k tomu budeme přistupovat. V zařízeních máme tabulku FIB implementovanou v hardwaru a RIB v softwaru, která je omezená v zásadě jen množstvím paměti.

Broadcom vyrábí několik různých rodin čipů, které dodává výrobcům různých síťových prvků. Základní model Q2A sdílí vnitřní paměť pro IPv4 a IPv6 a vejde se do ní asi 1,4 milionů záznamů. Navíc dochází zhruba k desetiprocentní ztrátě paměti kvůli kolizím v haších. Tento čip nedokáže obsáhnout plnou IPv4 i IPv6 tabulku naráz. Je potřeba nasadit filtrování, kdy odstranění prefixů /24 odstraní asi 600 tisíc záznamů. Větší čipy Q2c a OP2, dokáží pojmout 2,8 milionů záznamů, respektive 20 milionů.

Pokud tabulku naplníte, další záznamy čekají na zařazení. V produkci pak budete mít problémy s dosažitelností, tomu se potřebujete vyhnout. Můžete přistoupit k filtraci, vybrat si konkrétní zajímavé routy nebo můžete přejít na statickou výchozí routu. Když máte jeden odchozí směr, nepotřebujete celou tabulku.

Při nasazení VRF dojde k tomu, že každá VRF obsadí vlastní prostředky a vytvoří oddělené tabulky. Počet záznamů se tak zdvojnásobí na 1,25 milionu. Velikosti FIB a RIB jsou obvykle nezávislé, kromě tohoto případu, kdy nejsou.

Pro správu směrovací tabulky existuje několik různých scénářů. V současných čipech máme ale obrovský prostor k dalšímu růstu. O směrovací tabulky se každopádně musíme starat.

Patrick Prangl: Trendy a doporučené postupy v peeringu

RFC 5549 a 8950 umožňují transportovat IPv4 provoz přes IPv6 sítě. IPv4 adresy jsou velmi drahé a pro menší zákazníky jsou nedostupné. Navíc přečíslování v peeringovém centru je problémem v celém peeringovém ekosystému. Řešením je právě využití IPv6, což v této oblasti není nic nového.

Celá myšlenka stojí na tom, že ve směrovací tabulce uvedeme, že dané IPv4 prefixy jsou dostupné přes IPv6 adresu next-hopu. To je všechno, není tam žádné zapouzdření, tunely ani jiné komplikované postupy. Směrovač vyhledá v tabulce prefix pro IPv4 a najde IPv6 adresu pro směrování. Je to vlastně jen výměna rodiny adres pro next-hop.

Euro-IX má na GitHubu spoustu informací k jednotlivým zařízením, údaje o podpoře a příklady konfigurace pro různé výrobce.

Řada sítí stále nepoužívá na svých portech doporučované bezpečnostní funkce jako ACL, Prefix filtering, autentizaci TCP-AO, RPKI a logování. Řada sítí nedělá ani tak základní věc, jako je filtrování vlastních prefixů na vstupu.

Počet různých variant útoků je nekonečný, od DoS, přes SYN flooding, útoky TCP FIN/RST, únosy prefixů a další. Samostatnou kapitolou jsou útoky pomocí TTL, kdy je útočník schopen zvolit takovou hodnotu, že na koncovém směrovací dokáže vytvořit vlastní spojení a tím například vyčerpat zdroje. Proti tomu existuje ochrana v podobě GTSM (RFC 3682), kdy si přímo připojený partner nastaví TTL na 255 a my na vstupu z internetu filtrujeme příliš vysoká TTL.

BGP je také stále ještě chráněno pomocí hesla vytvořeného pomocí MD5. Tahle hašovací funkce u TCP relace byla označena za zastaralou už v roce 2010, ale stále se ještě hojně používá. Řešením je moderní standard TCP-AO, který využívá sady jednosměrných klíčů a sekvenčních čísel, která brání podvržení. Při výpočtu podpisů se používá řada informací z TCP hlavičky a klíče mají omezenou časovou platnost. Příklady konfigurací pro jednotlivé výrobce je možné najít opět na GitHubu.

Bruno Banelli: Síla open-source síťování

Internet vznikl před padesáti lety, ale většina zásadních věcí se nezměnila. Pořád potřebujeme vědět, co se v síti děje, kdo s námi komunikuje a jak zůstat v bezpečí. Výhodou open-source řešení je, že máte nad sítí plnou kontrolu a můžete upravovat řešení pro své specifické potřeby. Mnoho firem proto uvažuje nad tím, že se bude podobnému přístupu věnovat.

SONiC znamená Software for Open Networking in the Cloud, nabízí architekturu založenou na kontejnerech a má řadu pokročilých funkcí pro řízení L2 a L3 sítí. Ve svých datacentrech to používá například Microsoft Azure.

Dalším zajímavým projektem je DENT, který se specializuje na enterprise networking. Používá nativní linuxový síťový stack a má jednoduchou správu stavějící na standardních nástrojích.

Velmi dobře známým nástrojem je OpenWrt, což je univerzální operační systém s modulární správou balíčků. Známe ho z malých Wi-Fi routerů, ale je to příklad univerzálního a dobře postaveného řešení.

Revolucí by se mohl stát nástroj Switchdev, který přináší standardizovaný přístup ke konfiguraci síťových prvků a možnost velmi jednoduché integrace s jinými linuxovými systémy. Má obrovskou výhodu v podpoře nástrojů ve standardním linuxovém jádře.

Výhodou těchto otevřených řešení je možnost přizpůsobit si síťový stack, možnost velmi hlubokého pohledu do aktuálního dění v síti, snížení nákladů na správu a možnost snadného budoucího škálování. Nejste také závislí na jednom dodavateli vybrané technologie.

V praxi tak open-source nástroje nabízejí demokratizaci síťových technologií, umožňují sdílet znalosti, budovat komunitu a redukovat překážky pro budoucí inovace. Očekáváme další rozšiřování ve firemních sítích a lepšící se podporu od velkých dodavatelů hardwaru. Velmi zajímavá jsou různá hybridní řešení kombinující otevřená a proprietární řešení tam, kde to dává smysl.

Yurii Polovyi: Stručná historie DWDM

Koncept WDM vznikl v 70. letech a v laboratořích bylo prokázáno, že lze posílat více optických signálů jedním vláknem. V roce 1996 byl představen první komerční systém umožňující využít šestnáct paralelních linek a tím získat více kapacity, zvýšit dosah a snížit ceny.

Klíčovými prvky v moderním DWDM jsou transpordery operující na různých frekvencích, signál je pak spojen multiplexerem, přenesen po trase. Následně je demutiplexerem rozdělen na původní frekvence a předán přijímačům jednotlivých klientů. Pro přenos se používá takzvané C pásmo, které bylo vybráno pro nízký útlum. Používá vlnové délky mezi 1530 a 1565 nm.

Pro zesílení signálu po trase se používá EDFA (Erbium-Doped Fiber Amplification), které dovoluje zvýšit energii optického signálu bez potřeby konverze na elektrický signál. Nevýhodou je rostoucí míra šumu a zhoršující se poměr signálu a šumu. Jedním z řešení je RAMAN, který využívá přímo samotné přenosové vlákno a má menší problémy se šumem.

FOADM (Fixed Optical Add-Drop Multiplexers) umožňuje přepínat různé signály mezi fyzickými porty. Původní řešení byla silně proprietární a vše se v nich konfigurovalo ručně. Používaly se také pevně dané šířky kanálů.

V pásmu C se původně používalo čtyřicet 100GHz kanálů, později na přelomu tisíciletí už jsme mohli přejít na osmdesát 50GHz kanálů a ještě později na šedesát 25GHz. Technologie se vyvíjejí, máme lepší filtry a lepší detektory. Stačí nám tedy užší kanály.

Další generace prvků používá ROADM (Reconfigurable OADM), které nabízejí variabilní šířku kanálů podle jednotlivých požadavků. To dovoluje stavět velmi flexibilní sítě a přesměrovat optický signál podle situace v síti. Například když dojde k přerušení cesty, je možné automaticky prvky překonfigurovat a použít záložní cesty pro vedení optického signálu.

Postupně se rozšiřuje také použitelné pásmo, vedle pásma C se používá také rozšířené pásmo L. To má ale silný nelineární efekt, ale dovoluje stavět linky s vyšší kapacitou. Další navýšení kapacity nabízí například Super C-band.

Vyvíjejí se i transpondéry a modulace. Z původní jednoduché OOK (On-Off Keying) jsme přešli na QPSK, tedy na modulaci změnou fáze. Jsme tak schopni přenést celou řadu různých signálů najednou a tím opět zvýšit kapacitu v každém kanálu.

Yolandi Cloete: Co nového v PeeringDB?

PeeringDB je databáze, ve které je možné najít informace o sítích, které jsou zapojeny do peeringu. Pomůže vám to najít ostatní partnery k propojení a získat o nich podrobnosti.

Celý projekt je zastřešován neziskovou dobrovolnickou organizací financovanou ze sponzorských darů. Naše práce je založená na dobrovolnících a máme několik výborů, které se zabývají jednotlivými oblastmi.

V databázi průběžně roste počet záznamů o jednotlivých sítích, organizacích nebo peeringových uzlech. Meziročně rosteme přibližně o deset procent, je skvělé vidět, jak čísla stoupají. V databázi je přes 1200 peeringových uzlů, 31 tisíc sítí a 30 tisíc organizací.

Z Česku je registrováno pět peeringových uzlů, 275 ASN a 32 kolokací. Pokud vás zajímají podrobnosti, můžete si je vyfiltrovat podle jednotlivých zemí nebo třeba konkrétních sítí.

Během uplynulého roku bylo vylepšeno vyhledávání, které je pro uživatele databáze velmi důležité. Nová verze umožňuje kombinovat požadované informace s regionem a hledat všechny informace související s daným AS. Geografická data je možné nově exportovat ve formátu KML, byly vytvořeny nové objekty pro poskytovatele a kampusy a mnoho dalších menších oprav a vylepšení.

PeeringDB připravuje novou podobu webového rozhraní. Ta byla spuštěna na samostatné stránce, ale vývojáři nedostali žádnou zpětnou vazbu. Proto se nyní přejde do další fáze a zhruba pětina uživatelů se po přihlášení dostane do nové verze. Bude tam samozřejmě možnost přejít na původní verzi webového rozhraní. Databáze nabízí možnost vícefaktorového přihlašování už mnoho let, v letošním roce se ale stane povinným.

Připravuje se také nový analytický nástroj, který uživatelům pomůže zjistit, se kterými sítěmi se jim vyplatí navázat peering.

Peter Gyorgy: Přiřazování rout k úrovním provozu

Systém BENOCS sbírá všechna možná data o dění v síti: telemetrie, NetFlox, SNMP, OSPF, DNS, BGP a dalších. Výstupem ze systému je pak přehled jednotlivých toků, plánovač tras a pohled na úrovni jednotlivých aplikací.

Sítě společně obvykle peerují ve více bodech v několika lokalitách. Veškerý provoz by měl tedy procházet tímto přímým propojením. V některém případě se může stát, že část provozu odchází přes tranzit. To vás stojí peníze a kapacitu tranzitu, takže vás zajímá, proč se to děje.

Postupně je možné se ponořit do dat a zjistit, na které prefixy skutečně posíláme data. V tomto konkrétním případě je to menšina prefixů, většina z nich má navíc jen odchozí provoz a žádný příchozí. Ukázalo se, že asi třetina provozu pro tyto prefixy odcházejí tranzitem.

Jakmile je k těmto datům přidána geolokace, je jasně vidět, že více než 90 % těchto odchozích toků končí na jiném kontinentu. Ukázalo se, že cílová síť používala poskytovatele, který rozbíjel část rout a posílal je asymetrickými cestami.

V takové situaci je třeba zvážit přímé propojení s danou sítí a po dohodě se správci BGP v cílové síti zajistit symetrický routing.

(Autorem fotografií je Marko Iglić.)