Kansallisen operaattorin verkon suunnittelu

Transkriptio

1 Kansallisen operaattorin verkon suunnittelu Harjoitustyö Tuomas Suvela Henrik Saari Raportti Marraskuu 2015 Tietotekniikan koulutusohjelma Tekniikan ja liikenteen ala

2 Sisällys 1 Johdanto Pääkonttorin verkko Verkonvalvonta ja pääkonttori Fyysinen Looginen Toiminta Kaapelointi Protokollat/verkon toiminta L2-taso L3-taso Palvelut yritysverkossa Periaatteet Active Directory VPN Laitelistaus Core ja Access laitelista Intra Runkoverkko IS-IS vs. OSPF MPLS Edut Heikkoudet Access xdsl ja PON Mobiililaajakaista Core ja core-edge DWDM Internet BGP... 23

3 5.1.1 IBGP EBGP Peering omassa verkossa FICIX ja yhdysliikenne Solmupisteet ja peering Liittyminen FICIXiin Private peering Palvelut Palvelut julkisessa verkossa Yleiset palvelut... Virhe. Kirjanmerkkiä ei ole määritetty IPTV Data Center Lähdeluettelo Liitteet... 37

4 Kuviot Kuvio 1 Fyysinen topologia... 2 Kuvio 2 Looginen topologia... 3 Kuvio 3 oofb-verkko... 4 Kuvio 4 Yleiskaapeloinnin rakenne pääkonttorissa... 7 Kuvio 5 Operaattorin AD-rakenne Kuvio 6 Access ja Core-edge Kuvio 7 IP/MPLS Core Kuvio 8 BGP esimerkki Kuvio 9 Peerauksen toteuttaminen ilman solmupistettä ja solmupisteen kanssa Kuvio 10 IPTV -palvelun elementit Kuvio 11 IPTV ja Internet -palvelujen toimittaminen Kuvio 12 Three-tier DCN Taulukot Taulukko 1 Core ja access laitelistaus Taulukko 2 Sisäverkon laitelistaus (Cisco Laitteet)

5 Lyhenteet AD Active Directory ADSL Asymmetric Digital Subscriber Line AS Autonomous System ASBR Autonomous System Border Router BGP Border Gateway Protocol BRAS Broadband Remote Access Server BSC Base Station Controller BTS Base Transceiver Station DCN Data Center Network DHCP Dynamic Host Configuration Protocol DMZ Demilitarized zone DNS Domain Name System DSLAM Digital Subscriber Line Access Multiplexer DWDM Dense Wavelength-division Multiplexing ebgp External Border Gateway Protocol FDD Frequency-division Duplex FHRP First Hop Redundancy Protocol FICIX Finnish Communication and Internet Exchange GPON Gigabit-capable Passive Optical Network GSM Global System for Mobile HTTPS Hypertext Transfer Protocol Secure IGP Interior Gateway Protocol IGMP Internet Group Message Protocol IP Internet Protocol IPTV Internet Protocol Television IS-IS Intermediate System to Intermediate System L2 OSI-mallin Layer 2 L3 OSI-mallin Layer 3 LAN Local Area Network LDP Label Distribution Protocol LER Label Edge Router LSP Label-switched Path LSR Label Switch Router LTE Long Term Evolution MAN Metropolitan Area Network MIMO Multiple-Input and Multiple-Output MPLS Multiprotocol Label Switching NMS Network Management Station NTP Network Time Protocol OFDM Orthogonal Frequency-division Multiplexing OFDMA Orthogonal Frequency-division Multiple Access OLT Optical Line Termination OOFB Out-Of-Band OSPF Open Shortest Path First OTN Optical Transport Network OU Organizational Unit P (MPLS) Provider

6 PE PON PPPoE PSTN RD RSTP RT SAM SC-FDMA SFP SHDSL SSH STP TDD TLS TLV ToR UMTS VDSL VLAN VoD VoIP VoLTE VPLS VPN VRF WAN WDM xdsl Provider Edge Passive Optical Network Point to Point Protocol over Ethernet Public Switched Telephone Network Route Distinguisher Rapid Spanning Tree Protocol Route Target Service Aware Manager Single-carrier Frequency-division Multiple Access Small Form-factor Pluggable Symmetrical High-speed Digital Subscriber Line Secure Shell Spanning Tree Protocol Time-division Duplex Transport Layer Security Type-length-value Top-of-Rack Universal Mobile Telecommunications System Very-high-bit-rate Digital Subscriber Line Virtual Local Area Network Video on Demand Voice over IP Voice over LTE Virtual Private LAN Service Virtual Private Network Virtual Routing and Forwarding Wide Area Network Wavelenght-division Multiplexing Mikä tahansa DSL-tekniikka

7 1 1 Johdanto Tehtävän tarkoituksen on maan kattavan kotimaisen IP-runkoverkon suunnittelu ja reititysprotokollien valinta ja käytön suunnittelu. Operaattorin suunnitellussa otetaan huomioon asiakkaiden liitynnät verkkoon (access-verkot), kaupunkikohtainen liittyminen sekä runkoverkon suunnittelu. Operaattorin verkkoon suunnitellaan asiakkaille tarjottavat palvelut (DNS, DHCP, IP, VPN jne.) sekä yrityksen sisäiset palvelut. Operaattorin verkonhallinnan toimipisteen sisäverkko suunnitellaan ja lisäksi esitetään yleinen sisäverkon rakenne pääkonttorille. Lisäksi suunnitellaan, miten operaattori liittyy Internetiin, eli miten, missä ja kehen on BGP-peeraukset toteutettu. Samoin liitynnät FICIXiin suunnitellaan. 2 Pääkonttorin verkko 2.1 Verkonvalvonta ja pääkonttori Kansallisen verkko-operaattorin runkoverkon lisäksi suunnitellaan myös pääkonttorin verkonhallinnan toimipiste. Pääkonttorin verkkoon kuuluu myös yleiskaapeloinnin kuvaaminen ja verkon muun rakenteen kuvaaminen yleisluonteisesti. Verkonhallinnan verkko kuvataan fyysisen ja loogisen topologian avulla. Myös pääkonttorin IPv4- osoitesuunnitelma esitetään Fyysinen verkko Fyysinen topologia osoittaa, miten laitteet ovat fyysisesti kytketty toisiinsa ja näyttää missä verkon laitteet, sekä kaapelivedot sijaitsevat. Kuviossa 1 esitetään verkonhallinnan fyysinen topologia.

8 2 Kuvio 1 Fyysinen topologia Looginen Pääkonttorin IPv4-osoiteavaruus käyttää yksityistä IPv4 osoitealuetta /16. Verkko segmentoidaan jättäen verkonhallinnalle ja sisäisille palveluille ensimmäinen /19 aliverkko osoitealueesta ja toinen /19 aliverkko lähiverkon, LANin muille loogisille alueille, joita ovat eri organisaatioryhmät. Loput osoitteet alueesta säästetään tulevaa käyttöä varten. Verkon laitteiden hallintarajapinnat sijaitsevat /24 yksityisessä IPv4 osoiteavaruusalueessa. Sisäverkon reititys kulkee L3-tason kytkimen, rhq-f1 kautta palomuurin läpi verkonhallinnan laitteille. Lisäksi verkonhallintaan tuodaan access- ja runkoverkon laitteiden terminaaliyhteydet omasta /8 Out of band-verkosta. Sisäverkon palvelut ovat saatavissa rhq-f1 takaa ja OofB-verkon logipalvelimet sijaitsevat aliverkossa /24. Palomuuraus tehdään sisäverkon ja verkonhallinnan verkkojen välissä ja palomuurilla voidaan näin helposti rajoittaa koko sisäverkon verkkosegmenttiä ja verkonvalvonnalle voidaan toteuttaa oma muuraus ja tarvittava Internet-liikenne voidaan kierrättää sisäverkon palomuurin kautta. Yhteys sisäverkosta Internetiin kulkee verkonhallinnan yhdyskäytävinä toimivien reitittimien kautta omaan runkoon ja siitä muihin verkkoihin tarpeen vaatiessa. Kuviossa 2 esitetään looginen topologia operaattorin verkonhallintapisteestä ja sisäverkosta.

9 3 Kuvio 2 Looginen topologia Toiminta Out of Band Runko- ja access-verkkojen aktiivilaitteiden etähallinta toimii virtuaaliterminaaliyhteyksillä verkon yli. Verkon vikatilanteessa toiminta ei kuitenkaan ole taattua ja halutaan, että verkon laitteisiin on mahdollista päästä käsiksi myös varsinaisen verkon vikaantuessa. Tätä varten toteutetaan out of band verkko, jolla tuodaan aktiivilaitteiden konsoliyhteydet verkonhallinnalle. Konsoliyhteydet tuodaan aktiivilaitteissa kiinni olevilta out of band -laitteilta, joiden konsoliyhteydet kerätään kytkimille ja tuodaan oofb-terminal reitittimelle. Out of band verkon topologia esitetään kuviossa 3. Tämä on ensisijaisesti varmentava yhteys verkon laitteille ja sitä käytetään vain tarvittaessa. Ensisijainen etähallinta tapahtuu Secure Shell, eli SSH-yhteyden avulla aktiivilaitteiden virtuaaliterminaalilinjoihin julkisen verkon ylitse.

10 4 Oofb Oofb JKL-Metro-Ethernet Oofb Oofb Oofb Oofb JKL-Core-Edge Oofb Oofb-terminal-router Intra Kuvio 3 oofb-verkko Tärkeimpien aktiivilaitteiden laitetiloihin sijoitetaan taulukon 1 mukaiset konsolipalvelimena toimivat telnet-laitteet. Reitittimen, kytkimen tai muun laitteen konsoliportin RS232 sarjaliitäntä viedään OofB laitteen konsoliporttiin ja laitteen Ethernetportti kytketään OofB verkkoon, jonka avulla etäyhteys viedään lopulta oofb-terminal reitittimelle. Linkkien pituuksien kasvaessa on mahdollista käyttää kuitumuuntimia, jotta vaimeneminen ei tapa signaalia matkalla. Coren aktiivilaitteet sijaitsevat data center segmentissä ja niiden konsoliyhteydet voidaan tuoda samalle keskitetylle useampiporttiselle konsolipalvelimelle. Nämä yhteydet kerätään oofb-terminal routeriin oofb verkon kytkimien kautta. Toinen vaihtoehto olisi toteuttaa tämä Moxa Nport laitteilla, joilla saadaan vaihtoehtoinen konsoliyhteys varsinaisen verkon yli. Laitteet sidotaan emuloituun sarjaport-

11 5 tiin verkonhallinnan laitteissa, joihin voidaan suoraa ottaa terminaaliemulointiohjelmalla yhteys, joka tämän jälkeen kuljettaa UDP-protokollalla yhteyden varsinaiselle Nport laitteelle ja avaa konsoliyhteyden verkonhallinnan työntekijälle. SNMP Operaattorin verkkojen aktiivilaitteiden tilasta kerätään tietoa Simple Network Management Protocol, eli SNMP-protokollalla. SNMP kehitettiin alun perin nimenomaan hallinnoimaan solmuja, eli verkon laitteita verkon ylitse. SNMP jakaantuu arkkitehtuuriltaan hallinta-asemiin, Network Management Stationeihin eli NMS:n, joissa käytetään verkkohallinta- ja monitorointiohjelmistoja sekä hallittaviin verkkoelementteihin sisältyviin SNMP agentteihin. Ohjelmistot keskustelevat NSM-laitteiden ja agenttien välillä SNMP-protokollalla. Hallinta ja monitorointi tapahtuvat SNMP-viestien avulla ja toiminta edellyttää hallintaohjelmistolta tietoa hallittavien laitteiden ominaisuuksista. SNMP vaatii siis hallintatietokannan eli Management Information Basen, MIBin, hallittavasta laitteista. MIB pitää sisällään hallittavat objektit, joista voidaan kerätä tietoa tai joita voidaan muuttaa SNMP-viesteillä. Näitä viestejä ovat laitteiden tilaa kyselevät GET-viestit, Konfiguraatiomuutoksissa käytettävät SET-viestit ja agenttien generoimat TRAP-viestit, joilla agentit ilmoittavat tapahtumista. (Case, Fedor, Schoffstall & Davin, 1990). Verkonhallinnan kannalta tämä luo lähes automaattisen järjestelmän kerätä ja tallentaa tietoa. Hallintaan, monitorointiin ja tiedon keräämiseen käytetään suljettua järjestelmää, joka kyselee SNMP-viesteillä laitteiden tilaa NSM-laitteelta ja vastaanottaa SNMP TRAP viestejä. SNMP lokipalvelimet sijaitsevat hallintapalveliminen blockissa /24. Verkonhallinnan eri osat Verkonhallinta on jaettu kolmeen osastoon; runkoverkot, yritysverkot ja kuluttajaverkot. Runkoverkonhallintaan kuuluu core-, core-edge ja palvelureunareitittimien, metro-ethernet- ja DSLAM-kytkimien valvonta ja vikojen korjaaminen. Kuluttajayhteyksien hallintaan kuuluu profiilien luonti ja yksittäisten asiakasliittymien vikojen

12 6 korjaaminen. Yritysliittymien hallintaan kuuluu asiakaslaitteiden valvonta ja vikojen korjaaminen. Työkaluina verkonhallinnalla on hälytysjärjestelmä, joka lukee SNMP-trappeja ja suodattaa ne halutulla tavalla. Suodattimet voivat perustua kiireellisyyteen, joka taas riippuu laitteen roolin tärkeydestä ja trapin sisällöstä. Esim. HKI-CORE1:ltä tullut 100GE port down -trap olisi kiireellisyysprioriteetiltään 1. Laitteita tutkiessa ei aina haluta käyttää komentoriviä, jos halutaan nähdä esim. yleiskuvaa useasta laitteesta. Tällöin työkaluna käytetään laitevalmistajien omia järjestelmiä, joita on esim. Alcatel Lucentin 5620 Service Aware Manager (SAM). Tätä voidaan käyttää myös laitteen konfiguroinnissa. 2.2 Kaapelointi Pääkonttorin verkon kaapeloinnissa on pyritty noudattamaan EN standardia. Standardi määrittelee yleisellä tasolla toimistokiinteistöjen, ja soveltaen myös muiden verkkojen, kaapeloinnin osa-alueet ottamatta kantaa siihen, mitä palveluita verkossa tarjotaan. Standardi EN on suunniteltu toimimaan kaikkien yleisesti käytössä olevien sovellusten kanssa ja täyttämään näiden asettamat vaatimukset. (Yleiskaapelointi.) Kuviossa 4 on esitelty yleiskaapeloinnin rakenne.

13 7 Kuvio 4 Yleiskaapeloinnin rakenne pääkonttorissa Yleiskaapelointi verkonvalvonnassa Verkonvalvonnan työpisteet kytketään kategoria 6 kaapeleilla katon työhuonerasioihin. Vaakakaapelointi viedään kerrosjakamon ristikytkentäpaneelille, jossa ristikytkentä suoritetaan verkonvalvonnan kytkimelle. Kytkimeltä verkonvalvonnan reitittimille yhteys viedään OM3 kuidulla, joten kytkimiin on hankittava SFP moduulit. Moduulit ja sopivat laitteet esitellään myöhemmässä kappaleessa. Redundanttisuudesta huolehtii varayhteys nm-sw2 -kytkimelle ja ristikkäiset kytkennät yhdyskäytäväreitittimille nm-gw1 ja nm-gw2. Jakamot Pääkonttorin verkko jakautuu kahteen kerrokseen, joten kerroksiin tulee kerrosjakamot, joista ristikytkentöjen kautta saadaan kuljetettua kaapelointi työpisterasioihin. EN mukaisesti kerroskaapeloinnissa käytetään kategoria 6-kaapelointia eli Cat6-kaapelia. EN suosittelee, että kerroksen runkokaapelin ei tule pituudeltaan ylittää 90 metriä ja liitäntäkaapeleiden, kuten kytkentäpaneelin ja kytkimen sekä työhuonerasian ja työaseman välisten kaapeleiden yhteispituuden ei tule ylittää 10 metriä. Tällöin yhden liitännän kokonaispituudeksi tulee maksimissaan 100 metriä. (Yleiskaapelointi).

14 8 Nousut Nousut toteutetaan OM3 monimuotokuidulla, joilla yhdistetään sw-f2, sw-f1 ja rhqf1 ja edelleen verkonhallinnan laitteisto. Etäisyydet eivät näin muodostu ongelmiksi suuremmillakaan nopeuksilla, kuten 10Gb. Nousut itsessään eivät itsessään muodosta pitkiä matkoja ja kytkinten väliset linkit ovat Gigabit Ethernet tasoa, mutta OM1 kuidussa 10Gb Ethernet kulkee minimivaatimuksilla vain 33 metrin matkan ja tämä voi osoittautua myöhemmissä liitännöissä ongelmalliseksi, joten lähtökohtaisesti liitännät tehdään suoraan OM3 kuidulla. Kytkennät Kytkennät tulee dokumentoida verkon ylläpidettävyyden kannalta. Dokumentoinnista käy ilmi tarkasti, miten laitteet ja ristikytkennät on tehty ja täydentää verkon kuvaa topologioiden lisäksi. 2.3 Protokollat/verkon toiminta L2-taso Verkonvalvonnan ja sisäverkon fyysinen OSI-mallin tason 2 verkko on segmentoitu virtuaalilähiverkoiksi, jotka vastaavat OSI-mallin tason 3 IP-aliverkkoja, hallinnoinnin ja monitoroinnin sekä tietoturvan vuoksi. Loogisella segmentoinnilla voidaan jaotella eri osastot omiksi verkoikseen riippumatta fyysisten laitteiden sijainnista ja lukumäärästä. Kytkimet eivät voi suoraan sillata VLAN liikennettä, vaan se täytyy reitittää, joten verkon broadcast-domainit saadaan myös pilkottua pienempiin osiin. (CCNA Routing and Switching). Redundanttisuutta lisätään luomalla varmennettuja fyysisiä linkkejä laitteiden välille kuvion 1 mukaisesti. Tämä luo kytkinverkkoon silmukoita ja OSI-mallin tason 2 verkoille silmukat ovat ongelma, sillä L2 tasolla ulottuva lähiverkkotekniikka Ethernet ei sisällytä time-to-live arvoa kehysrakenteeseensa. Silmukkaan joutuvat broadcastviestit siis elävät verkossa ikuisesti ja vievät lopulta verkon resurssit kokonaan, sillä verkon kytkimet välittävät broadcast-viestit jokaisesta kytkinportista ulos ja silmu-

15 9 kassa kiertävien broadcast-viestien määrä moninkertaistuu. VLAN-konfiguraatiot auttavat pienentämään broadcast-domaineja, mutta silmukat täytyy silti loogisesti estää ja se tehdään spanning tree protokollan, STP:n avulla. Fyysinen silmukka mahdollistaa myös unicast-lähetyksen vastaanottamisen moninkertaisena, jos esimerkiksi ensimmäisellä välittävällä kytkimellä ei ole kytkentätaulussa kohdelaitteen tietoja. Tällöin kytkin floodaa unicast-lähetyksen ja silmukan syntyessä verkon muut kytkimet omien tietojensa perusteella saattavat lähettää unicast-lähetyksen moninkertaisena kohdelaitteelle. STP blokkaa silmukoidussa verkossa fyysisen portin, joten vaikka fyysinen silmukka on olemassa, ei loogista silmukkaa enää synny. STP kuitenkin toipuu vikatilanteista hitaasti, joten yritysverkossa käytetään parannettua versiota STP-protokollasta eli Rapid Spanning Tree Protocol, RSTP:tä. RSTP lisää porttirooleja STP-protokollaan, eli käytännössä voidaan konfiguroida kytkinportteja, joita ei tarvitse ottaa huomioon laskettaessa Spanning Tree algoritmia läpi. (CCNA Scaling Networks) L3-taso Reititys sisäverkossa tehdään OSPF eli Open Shortest Path First reititysprotokollalla. OSPF esitellään myöhemmin kappaleessa 3.1. Sisäverkon reittitiedot mainostetaan nm-gw1 ja nm-gw2 reitittimille rhq-f1 reitittimeltä. Reittitiedot kerätään dynaamisella reititysprotokollalla, jotta näitä voidaan mainostaa helposti site-to-site Virtual Private Network tunnelien yli ja saadaan yhteydet myös muille toimipisteille. Verkonhallinnan yhdyskäytävät hyödynnytetään myös redundanttisuutta luodessa ja niille määritetään First Hop Redundancy Protocol, FHRP. Reitittivät laitteet konfiguroidaan virtuaalireitittimeksi, jotka jakavat IP-osoitteen. Jaettu IP-osoite voidaan määrittää verkon päätelaitteiden oletusyhdyskäytäväksi ja täten saadaan varmennettua yhdyskäytävän toiminta, sillä yhden reitittävän laitteen vikaantuessa, toinen on vielä toiminnassa ja vastaa virtuaalireitittimen IP-osoitteeseen. Myös sisäverkon VLANeille olisi mahdollista luoda redundanttinen yhdyskäytävä verkonhallintaan siirtyessä, mutta sisäverkkoa ei katsota niin kriittiseksi osaksi koko operaattorin toimintaan, että se täytyisi fyysisesti varmentaa. Periaate on kuitenkin

16 sama, eli rhq-f1 määriteltyihin VLAN rajapintoihin luotaisiin virtuaalireititin varmentavan laitteen vastaavaan VLAN-rajapintaan. (CCNA Scaling Networks). 10 IP-osoitesuunnitelma on muokattu sellaiseksi, että segmentoidut VLANit voidaan helposti summata pääsylistoja laatiessa, jolloin pääsylistojen rakenne saadaan yksinkertaisemmaksi. Sisäverkon osastojen työasemilta ei ole tarpeen päästä käsiksi sisäisten palveluiden segmentteihin muuten kuin palveluiden vaatimien protokollien osalta. 2.4 Palvelut yritysverkossa Periaatteet Yritys- ja verkonhallinnan verkkojen palvelut toteutetaan kahdennettuina. Domain Name System-palvelu ja Dynamic Host Configuration Protocol-palvelu toteutetaan integroituna Active Directory-palveluun. Palvelimiin on suora pääsy kerrosjakamon kytkimistä, rhq-f1 lävitse kuvion 2 mukaisesti, joten liikennettä sisäisiin palveluihin ei tarvitse kierrättää palomuurauksen kautta. Liikenne kuitenkin alistetaan pääsylistaukselle, jotta ylimääräiset toiminnollisuudet saadaan pois. Sisäisistä palveluista levy- ja tulostuspalvelut jaetaan Active Directoryn mukaisesti ryhmittäin Active Directory Active Directoryn avulla saadaan keskitettyä yritysverkon hallintaa niin käyttäjä- kuin laitekohtaisesti. Active Directory, AD on olennainen osa verkon politiikkojen jaossa, eli käytännössä siinä, mihin eri käyttäjillä on verkossa oikeudet. AD toimii kätevästi verkon loogisen jaottelun kanssa yhteen, sillä eri käyttäjät ja eri koneet voidaan myös fyysisesti sitoa loogisiin osoiteavaruuksiin. AD:llä mahdollistetaan myös toimipisteiden käyttäjätietojen varmuuskopiointi off-site backuppina toimivaan juuridomainiin. Kuviossa 5 esitetään operaattorin Active Directoryn rakenne.

17 11 Kuvio 5 Operaattorin AD-rakenne Rakenne Operaattorin juuridomainin isp.fi alle luodaan toimipisteittäin lapsidomainit Jyväskylän, Helsingin ja Oulun toimipisteille. Juuridomain toimii välittävänä linkkinä lapsidomainien välillä ja Active Directoryn Domain Controller, eli DC-palvelimet määrätään replikoimaan juuridomainin palvelimien kanssa. Lapsitoimialueisiin määritetään tarvittavat organisaatioyksiöt, OU ja niihin sidotaan toimipaikkojen globaalit ja lokaalit ryhmät, joihin taas sidotaan käyttäjät. Tämä mahdollistaa oikeuksien jakamisen eri palveluihin ja sijainteihin järkevästi suoraan ryhmille. Oikeudet luodaan ja määritetään omiin paikallisiin eli lokaaleihin ryhmiin, joiden alle voidaan suoraan sitoa käyttäjäryhmiä. Nimipalvelu eli DNS integroidaan DC palvelimiin niin, että jokaisen lapsitoimialueen ensisijainen DNS-palvelin on lokaali ja toissijaisena palvelimena käytetään operaattorin päänimipalvelinta, joka ohjaa tarvittaessa nimipyynnöt juurinimipalvelimille, joita on esimerkiksi FICIXiin sidottuna. DHCP toteutetaan myös integroituna ja varmistettuna lapsitoimialueiden DC-palvelimiin. Osoiteavaruudet voidaan näin ollen jakaa domainin objekteihin, eli käyttäjiin tai

18 12 laitteisiin sidottuna. Operaattorin toimipisteiden käyttäjälaitteet ovat sidottu fyysiseen sijaintiinsa, joten niille voidaan määrätä osoitetiedot laitteeseen sidottuna, eli käytännössä tietty fyysinen laite saa samasta osoiteavaruudesta osoitteen pyynnön tapahtuessa, sillä laite on sidottu esimerkiksi Myynti-objektiin. Site-to-site Operaattorin toimipisteiden toimialueet liitetään suoraan point-to-point Multiprotocol Label Switching Virtual Private Network, MPLS VPN tunnelilla juuritoimialueeseen. Tämä toteutetaan hyväksikäyttäen operaattorin runkoverkon MPLS-ratkaisua. Toimipisteiden reitityksestä vastaavat yhdyskäytäväreitittimet määritetään luomaan naapuruudet juuritoimialueen yhdyskäytäväreitittimiin, jolloin reittitietoja voidaan vaihtaa ja toimipisteiden välille saadaan vietyä myös muiden toimipisteiden verkoille reitit virtuaalisten reititystaulujen avulla. MPLS:n toiminnasta lisää kappaleessa 4.2. (Active Directory, 2015) VPN VPN eli Virtual Private Network tarjoaa mahdollisuuden työntekijöiden etätöille niin kotoa kuin toimipaikasta toiseen. VPN ratkaisuna operaattori käyttää Direct Accessia integroituna Active Directoryyn. Direct Access käyttää MS-IPHTTPS, Microsoft IP over HTTPS protokollaa, jolla työntekijöiden etälaitteiden IP-liikenne kapseloidaan HTTPSprotokollan yli tai ensisijaisesti esimerkiksi kirjautumista suoraan IPv6 verkon yli palvelimelle. Etätyöntekijän laite osaa Direct Accessin avulla suoraan muodostaa etäyhteyden operaattorin sisäverkon Direct Access palvelimeen. Etätyöntekijän laitteen saadessa verkkoyhteyden WAN-verkkoon, aloittaa asiakaskone yhteyden muodostamisen Direct Access palvelimelle konfiguroituun web-sivustoon. Jos tämä ei onnistu siirrytään muihin yhteystapoihin kuten IPv6-yhteys tai lopulta IP-HTTPS. (Huuhka, 2011). Direct Access palvelimena toimii Windows Server sisäisten palvelujen segmentissä. Palvelua käyttäville jaetaan IP-osoite sisäverkon DHCP-palvelimilta, joten DHCP-relay täytyy olla konfiguroituna, sillä palvelut sijaitsevat omissa verkkosegmenteissään.

19 Palveluun kirjaudutaan omilla Active Directory tunnuksilla, jotka on sidottu etäyhteydet sallivaan Group Policy Objektiin. (Configure a Remote Access VPN Server). 13 HTTPS tarkoittaa sitä, että liikenne salataan TLS, eli Transport Layer Securitylla. Tämä taas edellyttää, että yritysverkossa on olemassa olema avaininfrastruktuuri, jolla julkiset avaimet voidaan jakaa Direct Access asiakkaille ja palvelimelle. Lisäksi vaaditaan IP-HTTPS yhteyttä kuuntelevalle verkkosivulle sertifikaatti. Muita vaatimuksia ovat IPv6 tuki ja Active Directory Domain Controller, sekä se, että asiakkaat ovat sidottuja Active Directoryn käyttäjiä. (Shinder, 2010). 3 Laitelistaus 3.1 Core ja Access laitelista Kappaleessa käydään läpi laitevalinnat lyhyesti. Core ja Access-verkkojen laitevalinnat jakaantuvat in-band, out of band ja DWDM alueisiin, joista ensimmäinen pitää sisällään Core-, metro- ja jakamolaitteet sekä PON-laitteiston. Out of Band hallintaverkon laitteisto käsittää konsoliserverit, kytkimet ja oofb-reitittimen. DWDM käsittää nimensä mukaisesti DWDM solmujen mallin. Laitteisto Core ja Access-verkoille esitetään taulukossa 1. Taulukko kertoo, mihin segmenttiin laitetta käytetään, laitteen mallin ja vaadittavat moduulit laitteelle.

20 14 Taulukko 1 Core ja access laitelistaus Segmentti Malli Kalustus Core- ja asbr-reitittimet 4kpl Alcatel Lucent kpl 2p 100GE CFP IMM, 2kpl 4p 100GE CXP IMM, 1kpl 20p 10GE SFP+ IMM Core-edge-reititin Alcatel Lucent 7750 SR-12e 1kpl 2p 100GE CFP IMM, 1kpl 20p 10GE SFP+ IMM Metron nielu Alcatel Lucent 7750 SR-12 1kpl 12p 10GE SFP+ IMM, 2kpl 48p 1GE SFP IMM Metrosolmut Alcatel Lucent 7750 SR-a4 1kpl 8p 10GE SFP+ IMM, 1kpl 48p 10GE SFP+ IMM Kerrostalojakamot Alcatel Lucent kpl 48p VDSL2 Katujakamot Alcatel Lucent p VDSL2 (kiinteä) PON OLT Alcatel Lucent 7360 FX-4/8/16 4/8/16 kpl 8 GPON DWDM-solmut Coriant hit oofb-laite (metro) IOLAN DS1 rs232 ja 100BASE oofb-laite (core) IOLAN STS rack 24p RJ45-serialport, 1000BASE 4p LAN 1000BASE, oofb-terminointi-reititin Cisco RV320 2p WAN 1000BASE oofb-kytkimet Cisco ME 3600X-24FS-M x kpl SFP-100BASE 3.2 Intra Sisäverkon laitevalinnoissa on pyritty säilyttämään verkon yhtenäisyys ja samoja tuotteita on suosittu useissa kohteissa. Kuten edellä, myös intran laitevalinnoissa on esitetty käytetyt laitteet, mallit ja lisämoduulit. Sisäverkon laitelistaus on esitetty taulukossa 2. Taulukko 2 Sisäverkon laitelistaus (Cisco Laitteet). Segmentti Laitenimet Malli Tietoja Kytkimet L2 sw-f1 ja 2, nmsw1,2 ja 3 5 kpl Cisco CE T 1kpl NetworkModule-4-1G, 4kpl SFP-1000Base-SX Kytkimet L3 nm-gw1 ja 2 2kpl Cisco ME 3600X-24FS-M 2 kpl Cisco SFP-10G-SR-S, 4kpl SFP-1000Base-SX rhq-f1 Cisco ME 3600X-24FS-M 4kpl SFP-1000Base-SX Palomuurit nm-fw Cisco ASA 5555-X 3kpl SFP-1000Base-SX Palvelimet Sis. Palvelut HP ProLiant DL580 Gen9 Server Windows Server X Logi HP ProLiant DL560 Gen9 Server Hallintajärjestelmät

21 15 4 Runkoverkko 4.1 IS-IS vs. OSPF OSPF ja IS-IS ovat molemmat Link-State reititysprotokollia ja käyttävät Dijkstran Shortest Path First -algoritmia. OSPF käyttää IP-osoitteita, eli toimii OSI-mallin 3. tasolla. IS-IS toimii 2. tasolla ja näinollen sen käyttämät osoitteet (ISO) ovat eri formaattia. IP-osoitteettomuus parantaa tietoturvaa, koska silloin ei olla enää alttiita IPosoitteisiin pohjautuville hyökkäyksille. OSPF käyttää kommunikointiin kiinteämittaisia kehyksiä, joten IPv6:ta varten jouduttiin kehittämään uusi versio, jotta pidemmät osoitteet saatiin mahtumaan kehykseen. Tästä syystä OSPF:stä täytyy ajaa kahta eri versiota (v2 ja v3), jos halutaan tukea molempia, IPv4:ta ja IPv6:ta samaan aikaan. IS- IS taas käyttää kehyksissä TLV-formaattia (Type-Lenght-Value), joka mahdollistaa muuttuvan pituuden. OSPF:ssä alue-0 on backbone, eli kaikkien muiden alueiden täytyy olla liitetty suoraan siihen saadakseen vaihdettua reittitiedot kaikkien muidenkin alueiden kanssa. IS-IS:ssä tämä alue on L2, jonka muodostavat sen tasoiset reitittimet. Reitittimet voivat olla rooliltaan joko L1,L2, tai L1/L2. L1 on verkon yksi lohko. Tässä esimerkissä verkkoa ei lohkota, vaan kaikki ovat L2-alueella. L1/L2-reitittimet voivat nimensä mukaan keskustella molempien kanssa, eli ne toimivat area border -reitittiminä. (Comparing IS-IS and OSPF 2013.) Runkoverkon reititysprotokollaksi valitsimme IS-IS:n, koska se on joustavampi IPv6 suhteen kuin OSPF. IS-IS:n L2 myös skaalautuu paremmin suurelle määrälle reitittimiä, kuin OSPF:n alue MPLS MPLS on kehitetty L2- ja L3-tason yhdistäväksi tekniikaksi, joka hyödyntää molempien hyvät puolet. MPLS määrittelee kullekin paketille leiman ja sitä kytketään eteenpäin kyseiselle leimalle määritetyn reitin (LSP:n) mukaan. LDP-protokolla muodostaa

22 LSP-reitit mainostamalla leimoja. LDP vaatii taustalle jonkun IGP-reititysprotokollan toimiakseen, mutta siitä kirjoitetaan seuraavassa kappaleessa. 16 MPLS-verkko muodostuu reunareitittimistä (PE tai LER) ja runkoreitittimistä (P tai LSR). PE-reititin on se laite, joka ottaa vastaan paketin ja lisää tai poistaa sen leiman, riippuen onko paketti tulossa vai poistumassa MPLS-verkosta. P-reititin taas ainoastaan kytkee pakettia eteenpäin sen leiman perusteella, mutta IP-osoitteita se ei käsittele. (Piispanen, 2015a). MPLS-VPN:än avulla toteutetaan yrityksien VPN-yhteydet, kuluttajien PPPoE:t BRAS:iin ja muutenkin eri palvelut edge-reitittimiin. MPLS-VPN:än toiminta perustuu VRF:ään, eli virtuaalisiin reititystauluihin. VRF:n ansiosta eri VPN:t voivat käyttää päällekkäisiä IP-avaruuksia. IP-osoitteisiin lisätään eteen RD, jolla saadaan aikaan uniikki VPN-IPv4-osoite. Route Targetin (RT) avulla voidaan määrittää mille reitittimille omat VPN-reitit ilmoitetaan (export) ja mitkä reitit itse otetaan vastaan (import). Näin voidaan tuoda useita VPN-reittejä samaan pisteeseen ja toisinpäin. (Piispanen, 2015b) Edut Pakettien purkaminen IP-tasolle asti vie resursseja ja aikaa. Tästä syystä MPLS ei kytke paketteja IP-osoitteiden perusteella, vaan leimojen, jotka ovat nopeammin luettavissa (Piispanen, 2015a). Lisäksi sen mukana tullut MPLS-VPN mahdollistaa kolme erityyppistä VPN-yhteyttä. Layer 3 VPN osallistuu asiakasliikenteen reititykseen. Se edelleen mainostaa asiakkaalta sille tulleet reitit (esim. BGP tai OSPF) muille VPN:ään kuuluville toimipisteille. Layer 2 VPN muodostaa L2-tason yhteyden kahden VPN:ään kuuluvan toimipisteen välille (point-to-point). Asiakas itse huolehtii reitityksestä. VPLS on asiakkaan oma virtuaalinen lähiverkko, johon VPN:ään kuuluvat toimipisteet kuuluvat. (Doyle 2008.)

23 Heikkoudet Koska MPLS vaatii taustalle IGP:n, laitteiden täytyy tukea L3-tason ominaisuuksia, joka taas tarkoittaa kalliimpaa laitteistoa. Carrier Ethernet on yksinkertaisille ja pienemmille toteutuksille edullisempi ja yksinkertaisempi vaihtoehto, koska se on puhdasta L2-tason tekniikkaa. (MPLS advantages and disadvantages for WAN connectivity 2012.) 4.3 Access Access-verkko on topologialtaan renkaan mallinen, joka kattaa yhden kaupungin alueen. Kuviossa 6 on Jyväskylän alueen Metro Ethernet- ja Core-edge-verkko. Renkaassa olevat laitteet muodostavat MAN-verkon (Metropolitan area network), jonka solmut ovat eri kaupunginosissa sijaitsevia Metro Ethernet-kytkimiä. Näistä solmuista viedään runkolinkit esim. mobiilitukiasemille ja DSLAM-laitteille. Metro-kytkimestä on myös mahdollista tarjota suoraan Metro-Ethernet-liittymiä asiakkaille. Nämä liittymät ja DSLAM:ien ja mobiilitukiasemien runkolinkit ovat jaettu omiin VLAN:eihinsa; Kuluttajat vlan 100, IPTV-asiakkaat vlan101, Yritys X vlan 666, Yritys Y vlan 555, Mobiilitukiasemat vlan 200. Koska asiakkailla voi olla myös omia, yrityksen sisäisiä VLAN:eja käytössä, on Metro-verkossa käytettävä QinQ-tekniikkaa, jossa VLAN-tagi voidaan lisätä edellisen päälle Metro-verkossa liikkumisen ajaksi. Näin ei sotketa asiakkaan VLAN:eja kenenkään muun kanssa. Renkaassa on 2 kytkintä, joista on linkit jokaiseen aggregaatioreitittimeen. Näitä reitittimiä kutsutaan palvelureunareitittimiksi, koska niihin terminoidaan yhteydet liittymätyypin mukaan. Palvelureunareititin on PE-reititin, eli siitä alkaa MPLS-verkko. Sen VRF-taulu koostuu siihen terminoitavista VLAN:eista ja niiden MPLS-VPN-yhteyksien tarpeesta. Esim. BRAS:issa on kuluttajien internetliittymät -vlan ja kuluttajien IPTV-liittymät -vlan.

24 18 Vdsl/adsl dslam Yritys Y-1 1GE 10GE rengas LTE-tukiasema Yritys Y-2 1GE 1GE JKL-Metro-Ethernet Yritys X-1 Yritys X-2 1GE Trunk Vlan 100 Vlan 101 Vlan 666 Vlan 555 Vlan GE 10GE 10GE 10GE Vdsl-dslam JKL-MOBI-CORE JKL-YRITYS-EDGE JKL-BRAS JKL-CORE-EDGE1 JKL-Core-Edge JKL-CORE-EDGE2 Kuvio 6 Access ja Core-edge xdsl ja PON Tässä kappaleessa vertaillaan nykyaikaisia kiinteän verkon access-tekniikoita. xdsl on edelleen yleisin tekniikka johtuen kuparikaapeleiden määrästä vrt. kuitukaapeleiden määrään. Koska kuparikaapeleihin on joskus investoitu, on niitä pyrittävä hyödyntämään viimeiseen asti. Uusiin kohteisiin kuitenkin asennetaan oletusarvoisesti kuituyhteys. VDSL2 VDSL2:n suurin tiedonsiirtonopeus on 100/100Mbps, ja se on saavutettavissa <600m linjan pituuksilla. Tämä on mahdollista vektoroinnin ansiosta. Se pyrkii minimoimaan

25 19 ylikuulumisen interferoimalla kohinalle käänteisen amplitudin. Pidemmillä matkoilla (1-2km) vektoroinnin hyödyt alkavat hälvetä ja se saturoituu samalle tasolle ADSL2+:n kanssa. (Oksman, Schenk, Clausen, Cioffi, Mohseni, Ginis, Nuzman, Maes, Peeters, Fisher & Eriksson, 2010). VDSL2 on korvannut melkein täysin ADSLx:n ja SHDSL:n. Ainoa hyöty näissä tekniikoissa on pidempi kantavuus (maks. 5km), mutta näissä tapauksissa on usein mahdollista tarjota mobiiliyhteys. Näitä tekniikoita on kuitenkin edelleen käytössä hajaasutusalueilla, joissa välimatkat ovat pitkiä ja mobiilitukiasemien peittoalue ei ole tarpeeksi suuri. VDSL2-tekniikkaa hyödynnetään vanhoissa kiinteistöissä, joissa on puhelinsisäjohtoverkko. Koska Ethernet on liian häiriöherkkä tekniikka kyseisen kaapeloinnin aiheuttamalle ylikuulumiselle, on käytettävä VDSL2:a. Välimatkat ovat alle 600m, joten täysi siirtonopeus voidaan tarjota joka asuntoon. VDSL2 on toimiva tekniikka myös tiheään asutetulla alueella, kunhan linjan pituus on alle 2km. Tällainen ratkaisu voidaan toteuttaa sijoittamalla DSLAM-laite katujakamoon, josta on lyhyet välimatkat kaikkiin kohteisiin. PON Passive Optical Network (PON) on tapa jolla voidaan kustannustehokkaammin luoda kuituyhteyksiä. Optical Line Terminal (OLT) lähettää dataa kaikille sen asiakkaille yhdellä kuidulla, eri aallonpituuksilla. Se käyttää hyväksi WDM-tekniikkaa, jossa yhteydet jaetaan eri aallonpituuksille, mutta mediana käytetään yhtä kuitua. Metrosolmun kanssa samassa laitetilassa oleva Optical Line Terminal (OLT) lähettää Kaikille asiakaskohteille lähellä sijaitsevassa pisteessä kuitu haaroitetaan jokaiselle kohteelle. Asiakaspäässä Optical Network Terminal (OTN) suodattaa läpi ainoastaan kyseiselle asiakkaalle kuuluvan aallonpituuden. Uusin näistä tekniikoista on Gigabit Optical Network (GPON). Sen suurin mahdollinen tiedonsiirtonopeus on 2.5/1.25Gbps. (passive optical network (PON) definition).

26 20 Asiakaslaitteiden terminointi reitittimiin Kun esim. laajakaistaliittymä nousee ensimmäistä kertaa linjalle, se pyytää IP:tä DHCP:ltä. DLSAM muodostaa PPPoE-yhteyden kyseisen asiakaslaitteen ja BRAS:n välille. BRAS välittää DHCP-pyynnön SRV-EDGE:een jossa keskitetty DHCP-palvelin sijaitsee Mobiililaajakaista Mobiiliverkkojen tekniikat pohjautuvat aina enemmän tai vähemmän edelliseen sukupolveen. Esim. UMTS:in infrastruktuuri koostuu GSM:n tapaan tukiasemasta (BTS), tukiasemaohjaimesta (BSC), puhelinverkon yhdyskäytävästä ja Internetin yhdyskäytävästä. Tässä työssä käsitellään ainoastaan pakettikytkentäisiä verkkoja, joten oletetaan, että puhelinverkko on saavutettavissa jotain muuta kautta, tai puhelut kulkevat VoIP:ssä. LTE poikkeaa edellisistä sukupolvistaan hieman enemmän. Liikenne on täysin pakettikytkentäistä, eli perinteisessä topologiassa ei ole suoraa yhteyttä PSTN:iin (Public switched telephone network). Tämä on kuitenkin toteutettavissa esim. VoLTE:n avulla (Voice over LTE). Myös infrastruktuuri on muuttunut yksinkertaisemmaksi; esim. tukiasemaohjain on integroitu tukiasemaan. LTE käyttää paluukanavassa OFDMA-modulointia (Orthogonal Frequency Division Multiple Access), joka mahdollistaa entistä tiheämmän alikanavoinnin vrt. taajuus- ja aikajakoisiin tekniikoihin (FDD ja TDD). Erona pelkkään OFDM:iin, että alikanavia voidaan jakaa eri käyttäjien kesken. Lähetyskanavassa käytetään SC-FDMA:ta (Singe Carrier Frequency Division Multiple Access), joka sekin pohjautuu OFDM:iin. Lisäksi LTE hyödyntää MIMO-tekniikkaa (Multiple-input Multiple-output), jossa käytetään lähetykseen tai vastaanottamiseen useita antenneja samanaikaisesti. Näillä parannuksilla on teoreettinen maksimi tiedonsiirtonopeus 300/75Mbps. (LTE.) LTE-verkko rakennetaan joka kaupunkiin ja paikkakunnalle, mutta haja-asutusalueilla on otettava huomioon asiakaslukumääriä, kilpailukykyä ja kustannusarvioita. Kaupunkialueella käytetään korkeampaa taajuutta (2600MHz), koska niillä saavutetaan

27 21 suuremmat siirtonopeudet ja kaupunkialueella tukiasemille on helpompi tuoda runkoyhteys. Kaupunkialueilla myös tukiasemakohtainen budjetti on suurempi, koska se kattaa enemmän asiakkaita. Haja-asutusalueella kantama maksimoidaan käyttämällä matalampaa taajuutta (800MHz), koska välimatkat ovat pitkiä ja asiakkaita on harvassa. 4.4 Core ja core-edge Core-verkko on runkoverkon keskeisin osa, josta paketit reitittyvät joko sisä- tai ulkoverkkoon. Sisäverkkoon tulevat paketit reititetään kohde IP:n mukaan joko asiakkaillemme tai Data Centerin palvelimille. ASBR reitittää ulkoverkkoon menevät paketit niiden kohde IP:n mukaan oikealle AS-alueelle. Kuvio 7:stä näkee kuinka core-verkko on kahdennettu sekä laitteiden, että linkkien osalta. Jokaisella palvelureunareitittimellä on kahdennettu yhteys Core-edgeen. Core-edgestä on kahdennettu yhteys Coreen ja Coresta on kahdennettu yhteys ASBR:ään ja ASBR:stä on kahdennettu linkki FICIX:ille. Kytkimien avulla fyysisten kytkentöjen määrä vähenisi, mutta samalla tulisi lisää Single point of failureja. Sillä tarkoitetaan solmua tai linkkiä, jonka hajotessa koko systeemi (tässä tapauksessa palvelu) kaatuu. Toisen linkin katketessa yhteys pysyy yhä ylhäällä ja hajonnut linkki voidaan korjata ilman katkoa. Core- ja core-edgereitittimet ovat rooliltaan P-reitittimiä ja ASBR:t PE-reitittimiä. ASBR:illä pyörii MPLS:n lisäksi myös ebgp-reititys ulkoverkkoon päin. Core-alueita on Suomessa 3; Oulu, Jyväskylä ja Helsinki, joista Helsingissä on Internet-nielu. Core-alueet ovat loogisesti samaa aluetta, eli ne kaikki kuuluvat samaan MPLS-domainiin. Molemmissa, Core ja Core-edgessä pyörii IS-IS-reititysprotokolla. Metro-alueiden reitittimet ovat kaikki L2-alueella ja näinollen muodostavat backbonen. MPLS toimii IS-IS:n muodostamien reittitietojen avulla.

28 22 L1 HKI-BRAS OLU-CORE JKL-CORE L1/L2 100GE HKI-CORE-EDGE1 100GE 100GE L2 Elisa ASBR HKI-YRITYS-EDGE 100GE 100GE HKI-CORE-1 HKI-ASBR-1 DNA ASBR 2x100GE HKI-MOBI-CORE 100GE 100GE 100GE 100GE 100GE HKI-Core 100GE HKI-CORE-2 2x100GE 100GE HKI-ASBR-2 3x100GE 3x100GE FICIX 100GE HKI-CORE-EDGE2 2x100GE HKI-SRV-EDGE 100GE 100GE 100GE 100GE OLU-CORE JKL-CORE Facebook ASBR Google ASBR Kuvio 7 IP/MPLS Core 4.5 DWDM Koska core-alueiden välimatkat ovat pitkiä ja/tai kuituja on vähän käytettävissä, ei enää kannata muodostaa jokaiselta laitteelta omaa fyysistä linkkiä vaan käytetään yhteistä kuitua ja yhteisiä lähettimiä. Tämä on mahdollista WDM-tekniikan ( wavelength division multiplexing ) avulla. Tästä on olemassa kahta eri mallia; CWDM ja DWDM, joista jälkimmäinen on tarkempi ja tehokkaampi, mutta myös kalliimpi. Sen avulla voidaan siirtää yhdessä kuidussa dataa +24 kanavalla. (Piispanen, 2015c). Liitteessä 2 esitetään operaattorin DWDM yhteydet. Suunnitelmassa käytettiin pohjana Funetin DWDM-verkkoa. DWDM-verkko on myös renkaan mallinen, jotta yhden väylän katketessa voidaan liikennöidä toista kautta. Linkeissä käytettävät lähettimet ovat taulukon 1 mukaisia. Core-verkot yhdistyvät toisiinsa DWDM-verkon avulla.

29 23 5 Internet 5.1 BGP Internetin toimivuuden taustalla vaikuttaa Border Gateway Protocol, eli BGP. BGP on Exterior Gateway Protokolla, EGP, eroten täten sisäverkon reititysprotokollista, joista käytetään nimitystä IGP. Internet koostuu verkkoalueista nimeltä Autonomous System. AS-alue on alue, jolla vaikuttaa yhtenäinen reitityspolitiikka ja joka on yhden omistajan hallinnoima. Nämä AS-alueet pitävät sisällään Internetin palvelut ja reititys niihin toimii BGP:n kautta. Näiden alueiden sisältä reittitiedot kerätään Interior Border Gateway Protokollalla ja ne mainostetaan muille AS-alueille Exterior Border Gateway Protokollalla. Kuviossa 8 havainnollistetaan, missä väleissä käytetään ibpg:tä ja missä väleissä ebgp:tä. Kuvio 8 BGP esimerkki BGP luo naapuruudet ja vaihtaa reittitiedot TCP istuntojen yli. Lisäksi myöhemmin määritelty Multiprotocol Extension mahdollistaa BGP:n käyttämisen esimerkiksi MPLS-VPN yhteyksien signalointiin. (Pepelnjak, 2007).

30 IBGP AS-alueiden sisäiset naapuruudet ja reittitiedot luodaan ibgp protokollalla. BGP:n hidas konvergoituminen tarkoittaa, että oman AS-alueen sisällä käytetään rinnalla myös IGP-protokollaa, kuten IS-IS tämän operaattorin verkossa. IGP on vastuussa verkon parhaiden reittien valinnasta ja konvergenssista. Sen sijaan ibgp kerää reittitiedot mainostuksia varten ja poistaa täten tiettyjä ongelmia, kuten mahdollisten linkkien räpsymisen asiakas- ja operaattorilaitteiden välillä. (Pepelnjak, 2007). Jotta sisäiset reitittimet saavat tietoonsa kaikki verkon reitit, täytyy ibgp naapurien olla loogisesti full-mesh kytkettyjä, sillä jokainen ibgp konfiguroitu reititin mainostaa omat reittitietonsa ja naapurilta opittuja reittitietoja ei edelleen mainosteta muille naapureille. Tämä johtaa siihen, että verkon fyysisen koon kasvaessa, eli aktiivilaitteiden lisääntyessä, TCP-yhteyksien määrä kasvaa nopeasti. Tämä on havainnollistettu myöhemmin kappaleessa 5.2. (Piispanen, 2015d). Reittiheijastimet ja konfederaatiot ovat kaksi tapaa vähentää ibgp TCP-yhteyksien määrää. Reittiheijastimet toimivat keskitettyinä reittien jakopisteinä ja vain reittiheijastimen täytyy olla full-mesh kytkettyinä ja muiden laitteiden täytyy ottaa TCP-yhteys vain reittiheijastimiin. Konfederaatioilla voidaan jakaa AS-alue sisäisiin AS-alueisiin, joiden välillä käytetään ebgp protokollaa ja joiden sisällä keskustellaan ibgp protokollalla. Konfederaatioiden sisällä voidaan edelleen käyttää reittiheijastimia vähentämään tarvittavien yhteyksien määrää entisestään. (Pepelnjak, 2007) EBGP IBGP:llä kerätyt reittitiedot tuodaan ebgp protokollalle, joka pyörii ASBR-reitittimillä. EBGP:llä luodaan AS-alueiden välinen reititys. AS-alueen omat verkko-osoitteet mainostetaan muille naapureiksi määritellyille ASBR-laitteille omista ASBR-laitteista ja muiden AS-alueiden verkot otetaan vastaan. Näin saadaan aikaan globaali Internetin reititystaulu. BGP:n vastaanottamista verkko-osoitteista käy ilmi AS-polku kyseisiin verkko-osoitteisiin ja BGP käyttää tätä metriikkana laskiessaan parhaat reitit.

31 25 Globaali reititystaulu saadaan tuotua TeliaSoneran ASBR-laitteilta transit-sopimuksen nimissä. Globaali reititystaulu pitää sisällään jo melkein reittiä ja operaattorin omat sisäiset reitit saattavat lisätä reittitietoja runsain määrin (BGP Analysis Report) Peering omassa verkossa IBGP luonteen vuoksi operaattorin verkossa käytetään reittiheijastimia vähentämään tarvittavien TCP-yhteyksien määrää. Reittiheijastimet konfiguroidaan operaattorin päätoimipisteiden yhteyteen. Näin Core-edge ja Core-reitittimet luovat TCP-yhteydet vain paikallisiin reittiheijastimiin. Reittiheijastimet ovat yhteydessä full-mesh periaatteen mukaisesti. Liitteessä 3 on esitetty operaattorin reittiheijastuksen periaate käyttäen kahta toimipaikkaa, Helsinkiä ja Jyväskylää. JKL-coreen kuuluu Core1 ja Core2 reitittimet merkattuina p-core nimellä. Nämä ovat yhteydessä PE-edgeen joka muodostuu Core-edge reitittimistä ja niihin yhteydessä olevista PE-reitittimistä, kuten esimerkiksi yritys-edge tai jkl-bras. PE-edge ja p-core luovat TCP-yhteydet jkl-rr1 ja jklrr2 reittiheijastimiin ja jkl-rr laitteet ovat full mesh-yhteydessä hki-rr laitteisiin, sekä tietenkin Oulun reittiheijastimiin. Vastaavasti Helsingin ja Oulun reittiheijastus toimii samalla tavalla. (Guichard, Le Faucher, Vasseur, 2005.) 5.2 FICIX ja yhdysliikenne Solmupisteet ja peering Operaattorien näkökulmasta on kannattavaa sallia muiden operaattorien liikenne myös omassa verkossa. Tällöin saadaan oma asiakaskunta laajemmaksi ja vähennetään tarvetta rakentaa fyysisiä linkkejä. Liittyminen ja BGP naapuruus toisiin operaattoreihin luodaan point-to-point yhteytenä kahden peeraavan, eri operaattorin reitittimen välille. Reittimainostukset ja liikenteenvälitys tehdään näiden linkkien yli. Point-to-point luonteensa vuoksi näiden linkkien määrä kohoaisi nopeasti ja linkki täytyisi luoda jokaiselle operaattorille, niin kutsutulla private peering periaatteella. Vaihtoehtona on luoda yhteydet solmupisteiden yli. Solmupisteiden tarkoitus on tarjota kustannustehokas keino rakentaa yhteydet eri operaattorien välille. Operaattorit

32 26 yhdistävät ASBR-laitteensa point-to-multipoint Ethernet-verkkoon ja yhteydet luodaan point-to-point periaatteella BGP:n TCP-istuntojen avulla. Kuviossa 9 havainnollistetaan, miten solmupiste yksinkertaistaa yhteyksien luomista. (FICIX A.) Kuvio 9 Peerauksen toteuttaminen ilman solmupistettä ja solmupisteen kanssa. Kuviosta havaitaan, että haluttaessa yhdistää monien operaattorien verkot private peering periaatteella, linkkien määrä kasvaa nopeasti. Solmupisteiden avulla jokainen operaattori voi luoda loogiset yhteydet haluamiinsa muihin operaattoreihin vain solmupisteeseen liitettyjen fyysisten linkkien avulla. (FICIX A) Liittyminen FICIXiin Liittyminen muihin suomalaisiin verkko-operaattoreihin ja Internetiin tehdään FICIXin kautta. FICIX on suurin suomalainen IXP, internet exchange point, eli Internetin solmupiste ja se tarjoaa kolme eri yhdysliikennepistettä Suomessa, jotka sijaitsevat Helsingissä, Espoossa ja Oulussa. Jokainen FICIXin jäsen on velvollinen liittymään molempiin pääkaupunkiseudulla käytössä oleviin kytkimiin ja yhteys tuodaan Helsingin rungon ASBR-laitteilta pimeällä kuidulla. FICIXiltä varataan kahdennettuna 100G porttinopeudella liitännät. Liitteessä 4 esitetään FICIXin hinnasto vuodelle (FICIX B).

33 Private peering On myös mahdollista toteuttaa private peering sopimuksia paikallisten pienempien verkko-operaattorien kanssa ja suurempien runkoverkko-operaattorien kanssa. Varsinkin jos liikenteen määrä on suuri, kuten kansallisella verkko-operaattorilla ajoittain on, on järkevää tarjota myös suoria linkkejä muihin verkkoihin ja lisäksi useampien naapuruuksien määrittäminen ja useampien reittien tarjoaminen varmentaa operaattorin toimintaa. Peeraukset ja suorat liitynnät toteutetaan TeliaSoneran kanssa suorien linkkien ylitse ja yhteydet Internetiin tarjotaan myös TeliaSoneran kautta Transit sopimuksella. Operaattorin omista ASBR-laitteista varataan kahdennettu 2x100GE yhteys Telia- Soneran ASBR-laitteille varmistamaan riittävä kapasiteetti transit liikenteelle. 6 Palvelut 6.1 Palvelut julkisessa verkossa Julkisessa verkossa tarjotaan asiakkaille ja omille laitteille kriittisiä palveluita kuten DNS, DHCP ja NTP. Lisäksi julkisiin palveluihin kuuluvat IPTV- ja Data Center palvelut. Operaattorin ratkaisussa Data Center palvelu sisältää muut palvelut, jotka operaattori itse tuottaa DNS DNS-palvelimet sijaitsevat palvelinsalissa, josta ne liittyvät palvelureunareitittimen - SRV-EDGE:n kautta runkoverkkoon. DNS-palvelin, jolta asiakkaat tekevät kyselyjä, on käytännössä pelkkä resolveri, joka aloittaa rekursiivisen kyselyn sille määritetyltä juuripalvelimelta. Juuripalvelin palauttaa ylätason DNS-palvelimen IP:n, joka se taas palauttaa itse domainin IP:n. Suomessa juuripalvelin on K-juuripalvelin ja sitä ylläpitää FICIX (Helsinki). Ylätason verkkotunnuksia ylläpitää taas Ficora, joka hallinnoi myös domaineja (Fi-verkkotunnuspalvelu. 2011). Operaattorilla on resolverin lisäksi myös

34 28 oma autoritäärinen nimipalvelin, jolla on tiedossa operaattorin omat domainit ja niiden aliverkkotunnukset esim. verkkosivuja tai sähköpostia varten. Kun resolverilta kysytään jotain nimeä usein, se tallennetaan välimuistiin, ettei rekursiota tarvitsisi tehdä jatkuvasti. Resolveri vastaa ainoastaan sille määritettyyn IP-blokkiin sisältyville osoitteille, joka on operaattorin oma julkinen osoiteavaruus. Resolveri on myös kahdennettu, koska DNS on kriittinen palvelu DHCP DHCP-palvelimet sijaitsevat myös palvelinsalissa DNS-palvelimen tapaan ja yhteys sille kulkee saman palvelureunareitittimen kautta. DHCP jakaa asiakkaille IP-osoitteen, oletusyhdyskäytävän, DNS-palvelimien IP:t ja NTP-palvelimen IP:n. Koska se pyörii omassa aliverkossaan, on palvelureunareitittimien ohjattava kyselyt DHCP relay-agentin avulla. DHCP jakaa asiakkaille osoitteita julkisen verkon IP-blokista. Operaattori tarjoaa asiakkaille myös kiinteitä IP-osoitteita. Nämä pidetään omassa blokissaan, joita DHCP ei jaa. DHCP-palvelin on myös kahdennettu, koska se on kriittinen palvelu NTP NTP (Network Time Protocol) on yhteydetön protokolla, jolla kello voidaan synkronoida eri laitteiden kesken. Tämä on välttämätöntä esim. lokitietoja tutkiessa. NTP koostuu eri tasoista (stratum), jotka määrittävät kellon tarkkuuden. Stratum-1 on tarkin, joka saa aikansa suoraan atomikellosta tai jostain muusta lähteestä. Stratum-2 ottaa aikansa Stratum-1:ltä jne. (Mills, 1992.) Kellotiedot voidaan tarjota myös asiakkaille. Koska operaattori itse tarjoaa NTP-palvelua, halutaan sen olevan mahdollisimman tarkka. Atomikello on kellolähteistä tarkin ja sellaisessa kiinniolevaa stratum-1 tason aikapalvelua tarjoaa Suomessa Mikes Metrologia. Kyseisen yrityksen stratum-1 palvelimet muodostavat yhteyden operaattorin stratum-2 palvelimiin, jotka synkronoivat kelloa vielä keskenään. Näitä operaattorilla on 3kpl, joilta aika haetaan muille verkon laitteille. (NTP-PALVELUN OH- JEET )

35 IPTV Operaattori tarjoaa verkossaan myös Internet Protocol Television eli IPTV palvelua. IPTV palveluna kattaa digitaalisen videosisällön, mukaan lukien televisiolähetykset, jotka toimitetaan käyttäen IP-protokollaa. Tämä pitää siis sisällään erilaiset digitelevisio ja Video On Demand eli VOD palvelut. Rakenteeltaan IPTV jakaantuu osiin seuraavan laisesti. Video Head End, jossa palvelun sisältö vastaanotetaan ja muutetaan digitaaliseen formaattiin, kuten MPEG-2 tai MPEG-4, jotka kapseloidaan IP-paketteihin ja tuodaan palveluntarjoajan IP-verkkoon. Palveluntarjoajan IP-verkko toimii kuljetusalustana lähetyksille ja toimii L3-tasolla. Access-verkko pitää sisällään eri xdsl ja xpon ratkaisut ja toimii L2-tasolla. Viimeinen elementti on asiakkaan kotiverkko, jossa lähetys voidaan jakaa asiakkaan itse määrittelemällä tavalla ja on yhteydessä asiakkaan TV-laitteeseen. (Held, 2007). Kuviossa 10 esitetään IPTV järjestelmän elementit. Video Head Endin sisältö ja muuntaminen tilataan operaattorin ratkaisussa Super Head End Finlandilta eli SHEFiltä, ISP IP osuus on operaattorin MPLS-core, jonka edgeen SHEF liittyy kahdella multicast gatewaylla. Edge-laitteessa luodaan virtuaalinen reititystaulu lähetyksiä varten, vrf IPTV johon multicast osoitteet tuodaan. Multicast lähetyksellä on siis yksi lähde, joten datan siirto tapahtuu point-to-multipoint MPLS polun yli. Käytännössä tämä tapahtuu multicast VPN-yhteydellä MPLS-verkon yli ja mvpn konfiguroidaan käyttämään PIM, eli Protocol Independent Multicast multicast reititysprotokollaa. Core-edgen ja accessverkon rajapinnassa vrf IPTV sidotaan IPTV-asiakasvlaniin 101. Operaattorin metroverkossa toimii Internet Group Management Protocol eli IGMP, joka mahdollistaa coren reitittimien ja metron kytkimien hallita multicast-ryhmiä ja myös mahdollistaa asiakkaan liittymisen multicast-ryhmiin.

36 30 Kuvio 10 IPTV -palvelun elementit Operaattorin tavallinen kuluttajan Internetliikenne kulkee VLANissa 100, johon on sidottu kaikki operaattorin Internetasiakkaat. VLAN 101 pitää sisällään Internet palvelut ja vrf IPTV sisältämät multicast-osoitteet. Operaattorin on mahdollista tarjota IPTV-palvelua myös muiden operaattorin asiakkaille, jos ASBR-reitittimet mainostavat multicast-reittejä myös peering ASBR-laitteille. Kuviossa 11 esitetään operaattorin Internet ja IPTV palvelujen toimittaminen ja rinnakkaisuus. MPLS coreen luodaan multicast VPN, jolla reittitiedot saadaan välitettyä access-verkkoon (Guichard, J., Le Faucher, F., Vasseur, J. 2005). Punainen alue kuvaa IPTV multicast-domainia ja vihreä kuvaa rinnakkaista normaalia Internet palvelua. Kuvio 11 IPTV ja Internet -palvelujen toimittaminen Sen sijaan VOD palvelut toimivat unicast-lähetyksenä, eli asiakas lähettää pyynnön palvelulle, josta yksittäinen datastreami lähetetään palvelun lähdeosoitteeseen.