Kampusverkon reunalaite

Samankaltaiset tiedostot
Multicast perusteet. Ins (YAMK) Karo Saharinen Karo Saharinen

3/3/15. Verkkokerros 2: Reititys CSE-C2400 Tietokoneverkot Kirjasta , Verkkokerros. Internet-protokollapino ja verkkokerroksen tehtävä

Kuva maailmasta Pakettiverkot (Luento 1)

Kysymykset, vastaukset ja tarjouspyynnön tarkennukset

Verkkokerros 2: Reititys

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

TLT-2600 Verkkotekniikan jatkokurssi Multicast

Siirtyminen IPv6 yhteyskäytäntöön

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Valopolkujen menestystarinoita

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Monilähetysreititys. Paketti lähetetään usealle vastaanottajalle Miksi? Monet sovellukset hyötyvät

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

HP:n WLAN-kontrollerin konfigurointi

ITKP104 Tietoverkot - Teoria 3

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Palvelukuvaus ja hinnasto Ethernet monipalvelunielu Versio

Satakunnan ammattikorkeakoulu. Noppari Teemu IP-RYHMÄLÄHETYS. Tietotekniikan koulutusohjelma

Ongelmallinen Ethernet

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Miska Sulander Jyväskylän yliopisto Atk keskus FUNET yhdistyksen vuosikokous

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Valopolkujen käyttö kampusverkoissa Parhaat käytännöt dokumentti

100 % Kaisu Keskinen Diat

Internet Protocol version 6. IPv6

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Future Internet. Markus Peuhkuri Funet tekniset päivät Aalto-yliopisto Tietoliikenne- ja tietoverkkotekniikan laitos

Tosiaikajärjestelmät Luento 8: Tietoliikenneverkkoja ja -protokollia. Tiina Niklander. Jane Liu: Real-time systems, luku 11 + artikkeleja

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

Opinnäytetyön Loppuseminaari

IPTV:n asettamat vaatimukset verkolle ja palvelun toteutus. Lauri Suleva TI07 Opinnäytetyö 2011

Kymenlaakson Ammattikorkeakoulu Elektroniikan koulutusohjelma / tietoliikennetekniikka Opinnäytetyö 2011 Tuomo Korja

FuturaPlan. Järjestelmävaatimukset

Johdanto. Multicast. Unicast. Broadcast. Protokollat. Multicast

Tietoliikenteen perusteet. Langaton linkki

Tietoliikenteen perusteet. Langaton linkki

Antti Vähälummukka 2010

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta MBone

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Aalto-yliopiston verkkopalveluiden arkkitehtuuri

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta


Luennon aiheet. S Tietoliikenneverkot. Mihin IP-kytkentää tarvitaan? Miltä verkko näyttää? Vuon määrittely. Vuon määrittely

6. Monilähetysreititys

Linux palomuurina (iptables) sekä squid-proxy

Yhdysliikennejärjestelyt suomessa sekä tekniikan kuvaus

Elisa Oyj Palvelukuvaus 1 (5) Elisa Yrityskaista Yritysasiakkaat versio 2.1. Elisa Yrityskaista

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

HP Networking. Martti Saramies, HP Networking, myynti

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

4 reititintyyppiä. AS:ien alueet. sisäinen reititin alueen sisäisiä. alueen reunareititin sekä alueessa että runkolinjassa

reitittimet käyttävät samaa reititysprotokollaa (intra-as protocol)

Sisältö. Linkkikerros ja sen laitteet Linkkikerroksen osoitteet (MAC-osoite) ARP (eli IP-MAC-mäppäys) ja kytkintaulu

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Yleinen ohjeistus Linux tehtävään

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Luennon runko. TLT-2600 Verkkotekniikan jatkokurssi. DNS: nimestä osoitteeksi. DNS: nimestä osoitteeksi (2)

Opinnäytetyön Loppuseminaari klo 10

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Yhteenveto. CSE-C2400 Tietokoneverkot

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

Redundanttisuus kontrolleripohjaisessa langattomassa lähiverkossa. Hakkarainen, Joni Vanhala, Pasi

reititystietojen vaihto linkkitilaviestejä säännöllisin väliajoin ja topologian muuttuessa

reititystietojen vaihto linkkitilaviestejä säännöllisin väliajoin ja topologian muuttuessa

OSPF:n toiminta. Välittäjäreititin. Hello-paketti. Hello-paketin kentät. Hello-paketin kentät jatkuvat. OSPF-sanomat hello naapurien selvillesaaminen

Verkkokerros ja Internet Protocol. kirja sivut

QoS Laboratorioharjoitus 2

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

Tietoliikenteen perusteet. Langaton linkki. Kurose, Ross: Ch 6.1, 6.2, 6.3. (ei: 6.2.1, ja 6.3.5)

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

4. Verkkokerros ja reitittimet

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

T Tietokoneverkot : Reititys sisäverkossa

Reititys. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL. Yhteyden jakaminen Reititys Kytkentä Internet-protokolla TCP, UDP

Langaton linkki. Langaton verkko. Tietoliikenteen perusteet. Sisältö. Linkkikerros. Langattoman verkon komponentit. Langattoman linkin ominaisuuksia

Internetin rakenteet sodassa - aseena ja uhrina samanaikaisesti. Jorma Mellin PJ, FICIX ry

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Liittymän vikadiagnosointi

Transkriptio:

Kampusverkon reunalaite Funet parhaat käytännöt dokumentti Tila: valmis Päiväys: 2.5.2011 Otsikko: Kampusverkon reunalaite Työryhmä: AccessFunet Laatijat: Kaisa Haapala, Jani Myyry, Janne Niemi, Janne Oksanen Omistaja: Jani Myyry/CSC Tyyppi: Parhaat käytännöt dokumentti Versionhallinta: Versio 0.1 Perusdokumentti Janne Niemi Versio 0.5 Kommentit lisätty (JO,JM,KH) Janne Niemi Versio 0.6 Korjauksia Janne Niemi Versio 0.7 Korjauksia, täydennyksiä Janne Oksanen Versio 0.8 Korjauksia, täydennyksiä Janne Oksanen, Jani Myyry Versio 0.9 Korjauksia, täydennyksiä Jani Myyry, Kaisa Haapala, Janne Oksanen Versio 0.95 Korjauksia Jani Myyry, Kaisa Haapala Versio 0.96 Korjauksia (TK) Jani Myyry Versio 0.97 Korjauksia kommenttien Jani Myyry pohjalta (PS) Versio 0.98 Muutettu dokumentin nimi Jani Myyry Sisällysluettelo 1. Johdanto... 2 2. Reunalaite... 2 2.1. Ominaisuudet... 2 2.2. Laitteistoarkkitehtuuri ja suojaukset... 3 2.3. Suorituskyky... 4 3. Reunalaitetyypit... 4 3.1. Reititin ja reitittävä kytkin... 4 3.2. Palomuuri... 5 4. Topologiaesimerkkejä... 5 5. Reititin tai reitittivä kytkin reunalaitteena... 6 5.1. Vahvuudet... 6 5.2. Heikkoudet... 7 6. Palomuuri reunalaitteena... 7 6.1. Vahvuudet... 7 6.2. Heikkoudet... 7 7. Reunalaitteen ominaisuudet... 8 7.1. Funet-pääyhteys... 8 7.2. Funet-varayhteys... 8 7.3. Multicast... 9 7.4. Valopolut... 9 7.5. Muut ominaisuudet... 9 7.5.1. Vikasietoisuus, kahdennetut komponentit... 9

7.5.2. Ylläpito- ja hallintaominaisuudet... 10 7.5.3. Laitteen tuki ja ohjelmistot... 10 7.5.4. Reunalaitteiden liittäminen kytkininfrastruktuuriin (Layer 2)... 10 7.5.5. Suojaukset kytkininfrastruktuurissa (Layer 2)... 10 8. Viitteet... 11 1. Johdanto Tähän dokumenttiin on kerätty kampusverkon reunalaitteen hankinnassa ja verkkoon liittämisessä huomioon otettavia asioita, sekä erilaisia topologiavaihtoehtoja hyvine ja huonoine puolineen. Dokumentin tarkoitus on auttaa Funet-jäseniä reunalaitehankintapäätöksissä tarjoamalla raamit reunalaitteen ominaisuuksista, jotka laitteessa olisi hyvä olla. Dokumentti ei ota kantaa reunalaitteen merkkiin eikä malliin. 2. Reunalaite Jokaisella organisaatiolla on aktiivinen verkkolaite, jonka kautta tietoliikenneyhteydet hoidetaan omasta verkosta maailmalle. Tätä aktiivista verkkolaitetta kutsutaan tässä dokumentissa nimellä kampusverkon reunalaite. Reunalaitteen tehtävää voivat hoitaa eri tyyppiset laitteet; useimmiten reunalaitteeksi on valittu reititin, reitittävä kytkin tai palomuuri. Reunalaitteilla on muutama perustehtävä, joita tarvitaan mahdollistamaan toimivat tietoliikenneyhteydet: 1. IP-paketinvälitys reititystietojen pohjalta (pakollinen) 2. Liikenteen suodatus, pääsylistat (pakollinen) infrastruktuurin suojaaminen (mm. osoiteväärennösten estäminen) reunalaitteen itsensä suojaaminen (pääsynhallinta, resurssien tuhlaamisen rajoittaminen) ei toivotun liikenteen suodatus eli palomuuraus (lisäominaisuus) 1. Reititystietojen vaihtaminen reititysprotokollilla (pakollinen varayhteyksien kanssa) 2. Liikenteen luokittelu ja priorisointi (hyödyllinen) 2.1. Ominaisuudet Verkkolaitteissa on valmistajasta riippuen vaihteleva määrä ominaisuuksia tuettuna, joissain laitteissa on tuettuna esimerkiksi dynaamiset reititysprotokollat ja toisissa ei. Ominaisuuksien pohjalta laite voi sopia reunalaitteeksi esimerkiksi varmentamattomalle yhteydelle mainiosti, mutta ei ole käyttökelpoinen varmennetuilla yhteyksillä dynaamisten reititysprotokollien tuen puuttumisen vuoksi. Perusvaatimus Funet-reunalaitteelle on tuki staattiselle unicast-reititykselle, jolloin reunalaitetta voidaan käyttää varmentamattoman Funet-yhteyden kanssa. Varmennettu Funet-yhteys vaatii reunalaitteelta tuen dynaamisille reititysprotokollille, erityisesti BGP:lle [RFC4271]. Kahdennettujen reunalaitteiden tapauksessa hyödyllinen on myös tuki sisäiselle reititysprotokollalle kuten OSPF [RFC2328] [RFC5340] tai IS-IS [RFC5308], jolloin laitteet voivat välittää reititystietoja keskenään. Multicast vaatii lisäksi tuen staattiselle tai BGP multicast-reititykselle

[RFC4760], PIM-SM [RFC4601] ja mahdollisesti PIM-SSM -tuen [RFC4607] sekä vastaavat protokollat lähiverkkoon päin (IGMPv2 tai IGMPv3 sekä MLDv2) [RFC5186]. Reunalaitteen tulisi pystyä tekemään myös ainakin perustason suodatusta osoiteväärennösten ja virhekonfiguraatioiden suodattamiseksi. Erityisesti omaan sisäverkkoon tarkoitettua liikennettä ei pitäisi päästää vuotamaan ulos, eikä ulkoa hyväksyä liikennettä oman osoiteavaruuden lähdeosoitteilla. Suodatuksista löytyy lisätietoja BCP 38 ja BCP 84 suosituksista [RFC2827] [RFC3704]. Myös reunalaitteen hallintaan pääsyä tulisi olla mahdollista rajoittaa ainakin lähdeosoitteen perusteella. Reunalaitteelta on hyvä löytyä myös tuki liikenteen luokittelulle ja priorisoinnille (QoS). Liikenteen luokittelulla ja priorisoinnilla voidaan suojata kriittistä liikennettä ylikuormitus- tai hyökkäystilanteissa [RFC4732]. Hyökkäysten torjunnassa hyödyllisiä ovat myös ominaisuudet, joilla liikenne hyökkääjien lähdeosoitteista tai liikenne kohteena olevaan palveluun voidaan estää reunalaitteissa, Funet-runkoverkossa tai jopa NORDUnetissä [RFC5635] [RFC5575]. Reunalaitteen ominaisuuksista löytyy tarkempi erittely kappaleessa 7. Reunalaitteen ominaisuudet. 2.2. Laitteistoarkkitehtuuri ja suojaukset Reunalaitteiden laitteistoarkkitehtuuri voi vaihdella laitteiston tyypistä, suorituskyvystä ja käyttötarkoituksesta riippuen. Tyypillisesti reunalaitteista voidaan eriyttää kolme toimintatasoa (kuva 1.): pakettiliikenteen välitystaso ( forwarding plane ), pakettiliikenteen hallintataso ( control plane ) ja verkkolaitteen ylläpitotaso ( management plane ). Kaikissa reunalaitteissa tosin eivät tasot ole erillisiä, vaan samat rautaresurssit kuten prosessori voivat hoitaa useampia tasoja. Pakettiliikenteen välitystaso hoitaa tärkeimmän tehtävän eli liikenteen välittämisen, suodattamisen sekä liikenteen luokittelun ja priorisoinnin ennalta määritettyjen sääntöjen pohjalta. Hallintataso kontrolloi välitystasoa määrittelemällä reititystietokannan (RIB) ja ylläpitämällä reititystietokannan pohjalta välitystietokannan (FIB) sääntöjä, joiden mukaan välitystaso toimii. Hallintataso hoitaa tyypillisesti mm. reititysprotokollat. Ylläpitotaso mahdollistaa reunalaitteen valvonnan ja ylläpidon tarjoamalla rajapinnat sekä ylläpitohenkilöstölle että valvontajärjestelmille.

Kuva 1. reunalaitteen toimintatasot Moderneissa reunalaitteissa toimintatasot ovat eriytettyjä ja suojattuja toisiltaan, jolloin häiriöt voidaan rajata ja laitteiston suorituskykyä optimoida tehtävän mukaan. Pakettiliikenteen välitystasolla käytetään tyypillisesti tehtävään optimoituja piirejä, jolloin laitteiston kuormitus ei merkittävästi vaikuta reunalaitteen toimintaan myöskään silloin, kun liikenneprofiili ei ole optimaalisin kuten esimerkiksi hajautetussa palvelunestohyökkäyksessä usein on. Eriyttämällä välitystaso muista tasoista [RFC3654] voidaan hallinta- ja ylläpitotasot suojata [CPP] hyväksymään vain tarvittava liikenne kuten reititysprotokollien sessiot tai ylläpitoyhteydet määrätyistä lähdeosoitteista. Huomioitavaa on, että kaikissa laitteissa eriyttämistä ja suojaamista ei ole mahdollista tehdä ja välitystasolla ei välttämättä ole tehtävään optimoitua laitteistoa. Näissä laitteissa tyypillisesti on merkittävästi suurempi riski toiminnan häiriöihin. 2.3. Suorituskyky Reunalaitteen suorituskykyä arvioitaessa on syytä ottaa huomioon liitäntänopeuksien (esim. 1 Gbps tai 10 Gbps) ohella myös laitteen suorituskyky käsiteltäessä IP-paketteja. Pakettiliikenteen suorituskykyä mitataan yleisesti pakettien välityskyvyllä per sekunti (pps). Häiriöttömän toiminnan varmistamiseksi reunalaitteen tulisi suoriutua pakettien välityksestä liitäntöjen määrittämällä nopeudella millä tahansa liikenneprofiililla. Esimerkiksi 1 Gbps liikennenopeus minimipakettikoolla (huomioiden pienin Ethernet-kehys ja tauko kehyksien välissä) tarkoittaa noin 1,5 Mpps. Vastaavasti 10 Gbps liikennenopeus tarkoittaa noin 15 Mpps (Taulukko 1). Suorituskykyyn voi vaikuttaa myös liikenteeseen kohdistetut suodatukset, jolloin ohjeellinen nopeus voi pienentyä, erityisesti laitteistoissa joissa ei ole optimoituja piirejä välitystasolla. Samoin IPv6:lla suorityskyky ei ole välttämättä sama johtuen optimoitujen piirien toteutustekniikasta. Pahimmassa tapauksessa IPv6 on toteutettu laitteistoon jälkikäteen ilman laitteiston tarjoamaan tukea optimoituun paketinvälitykseen, jolloin IPv6- suorituskyky voi olla marginaalinen IPv4-suorituskykyyn verrattuna.

Nopeus / Ethernetkehyksen koko 64 tavua 64/1518 tavua (50%/50%) 1518 tavua 9018 tavua 100 Mbps 149 kpps 15,4 kpps 8,13 kpps 1,39 kpps 1 Gbps 1488 kpps 154 kpps 81,3 kpps 13,9 kpps 10 Gbps 14881 kpps 1541 kpps 813 kpps 139 kpps 100 Gbps 148810 kpps 15413 kpps 8127 kpps 1386 kpps Taulukko 1: Ethernet-kehyskokojen vaikutus paketinvälityksen suorituskykyvaatimuksiin 3. Reunalaitetyypit 3.1. Reititin ja reitittävä kytkin Nykyaikaiset reitittimet on suunniteltu välittämään, suodattamaan ja luokittelemaan IPpaketteja linjanopeudella liikenneprofiilista riippumatta. Tämä ominaisuus saavutetaan hyödyntämällä paketinvälityksessä tehtävään suunniteltuja piirejä, koska normaaliin palvelinkäyttöön suunnitellut laitteistot ja suorittimet eivät pysty hoitamaan nopeiden linjanopeuksien vaatimia pakettimääriä. Samoin reitittimissä usein on tyypillisesti eriytetty hallintataso paketinvälitystasosta, jolloin liikennemäärät eivät vaikuta laitteiston muuhun toimintaan kuten reititysprotokolliin ja laitteen valvontaan tai hallintaan. Reitittävät kytkimet ovat tyypillisesti vastaavanlaisia reitittimien kanssa, erona on hieman suppeampi ominaisuusvalikoima ja kytkinpuolen korostaminen teknisissä ratkaisuissa. 3.2. Palomuuri Palomuuri on laite, jonka ensisijainen tehtävä on suodattaa liikennettä, tyypillisesti tilallisesti ja mahdollisesti ottaen huomioon myös muuta liikenteen sisältöä protokolla-, osoite- ja porttitietojen ohella. Palomuurit voivat toissijaisesti toimia myös reitittävinä laitteistoina, jolloin palomuureja voidaan hyödyntää reunalaitteina. Palomuurien ero reitittimiin on yleisesti suorituskyky ja toiminta verkon häiriötilanteissa: palomuurit harvoin pystyvät hoitamaan liikennemääriä linjanopeudella liikenneprofiilista riippumatta, koska palomuureissa on rajallisia resursseja kuten yhteyksien tilataulun koko, joita voidaan ylikuormittaa. Lisäksi palomuureissa ei ole tyypillisesti eriytetty pakettiliikenteen välitystasoa hallintatasosta, vaan häiriöt välitystasolla näkyvät hallintatasolla ja päinvastoin. 4. Topologiaesimerkkejä Funet-reunalaitteen osalta esitetään kaksi erilaista topologiavaihtoehtoa, joista toinen on toteutettu reitittimillä tai reitittävillä kytkimillä ja toinen palomuureilla. Malleissa käytetään muutamaa samaa peruskomponenttia: Funet-verkko, runkoverkko, johon organisaatio kytkeytyy reunalaitteella DMZ, ulospäin Internettiin näkyvät verkot, tyypillisesti palvelimille ja tarve vain tilattomalle suodatukselle R&E-verkko, opetus- ja tutkimuskäyttöön tarkoitetut verkot, joissa tarjotaan nopeampia liitäntöjä tai vapaampaa käyttöä

Kampus, tavanomaiset työasemaverkot tai vain sisäiseen käyttöön tarkoitetut palvelinverkot, mahdollisesti tilallinen suodatus Ensimmäisessä vaihtoehdossa (Kuva 2) reunalaitteena toimii joko reititin tai reitittävä kytkin, johon on Funet-verkon liitännät kytketään. Reitittimiin kytketään myös DMZ ja R&Everkot sekä tavanomaiset Kampus-verkot, mahdollisesti palomuurattuina. Ratkaisussa DMZ:n ja R&E-verkkojen mahdolliset suojaukset hoidetaan reunalla olevien reitittimien tilattomilla pääsylistoilla. Kuva 2: reititin reunalaitteena Toisessa vaihtoehdossa (Kuva 3) reunalaitteen tehtäviä hoitavat reitittävät palomuurit. Aiemman esimerkin mukaisesti DMZ, R&E-verkot ja Kampus-verkot kytketään näihin palomuureihin. Kaikkien verkkojen ja palveluiden liikenteen suodatus ja välitys hoidetaan näiden palomuurien avulla.

Kuva 3: palomuuri reunalaitteena Sivutoimipisteiden yhteydet liittyvät Kampus-verkkoon ja ne ovat osa organisaation sisäverkkoa, joten niitä ei erikseen käsitellä tässä dokumentissa. Kuvissa sivutoimipisteet ovat mukana auttamassa hahmottamaan niiden liittymistä topologiaan. Molemmilla malleilla on omat hyvät ja huonot puolensa. Mallien eroavaisuuksia on pyritty avaamaan tarkemmin seuraavassa kappaleessa, jotta ominaisuuksien avulla olisi helpompi tehdä valinta jompaan kumpaan tai lähteä etsimään jotain toista ratkaisua. 5. Reititin tai reitittivä kytkin reunalaitteena 5.1. Vahvuudet suorituskyky tyypillisesti liitäntänopeuksia vastaava, myös paketinkäsittelykyky 10GE laajasti tarjolla, skaalautuvuus 40GE/100GE saatavilla ominaisuusvalikoima tyypillisesti laaja reitititysprotokollat multicast tilattomat suodatukset (pääsylistat) suorituskykyyn vaikuttamatta kahdennus ja varayhteydet helppo toteuttaa tilattomuuden vuoksi vähemmän teknisiä rajoituksia R&E-verkkoja ajatellen (esim. suorituskyky, ominaisuustuen laajuus, aikaisempi tuki uusille ominaisuuksille) varsin tyypillisesti eriytetty ja toisiltaan suojattu pakettiliikenteen välitystaso ja hallinta/ylläpitotasot palvelunestohyökkäykset eivät vaikuta koko organisaation toimintaan. Jos Funetyhteyden kaista riittää, koko organisaatio ei putoa Internetistä hyökkäyksen kohteen toiminta voi häiriintyä 5.2. Heikkoudet tarjolla ainoastaan tilaton suodatus (pääsylistat) erillinen tarve palomuurille, jos tilallinen suodatus vaaditaan (politiikat) 6. Palomuuri reunalaitteena 6.1. Vahvuudet yksi laite voi hoitaa reunalaitteen ja tilallisen palomuurin tehtävän saatavilla integroituja graafisia hallintajärjestelmiä saatavilla IDS/IPS-toimintoja

6.2. Heikkoudet suorituskyky tyypillisesti liitäntänopeus hyvissä olosuhteissa, erityisesti paketinkäsittelykyky rajallinen 1GE saatavilla, 10GE haasteellinen tai erittäin kallista, 40GE/100GE ei saatavilla ominaisuusvalikoima vaihtelee valmistajan mukaan tuki reititysprotokollille harvinainen IPv6-tuki olematon tai puutteellinen multicast-tuki olematon tai puutteellinen suodatusten määrä vaikuttaa suorituskykyyn erityisesti palomuureissa, joissa ei ole optimoituja piirejä kahdennukset ja varayhteydet vaativat tilojen synkronoinnin palomuurien välillä voi olla rajoitteita R&E-verkoille, erityisesti suorituskyky ja tuen puuttuminen moderneille teknologioille harvoissa palomuureissa eriytetty pakettiliikenteen välitystaso hallinta- ja ylläpitotasoista palvelunestohyökkäykset voivat vaikuttaa koko organisaation toimintaan, jos paketinvälityskyky tai yhteyksien määrä ylittyvät hyökkäys pysähtyy reunalaitteseen, kohde voi toimia, mutta ulkoyhteydet eivät Varayhteyttä varten voidaan reunalaite kahdentaa tai vikasietoisuus voidaan tehdä modulaarisen reunalaitteen sisällä kahdentamalla tärkeimmät komponentit. Varayhteys saattaa olla järkevää hankkia vaikkei reunalaitetta olisikaan kahdennettu, varsinkin sellaisessa tapauksessa missä Funetin kuituverkon liityntäpisteestä on pitkä matka lähimpään Funetin reitittimeen. Kuitukatkon todennäköisyys on verrannollinen kuituyhteyden pituuteen ja katkon korjaamisessa voi pahimmillaan mennä päiviä. Reunalaitteen vaihtaminen tai korjaaminen tapahtuvat usein saman päivän sisällä. Vasteaikaan vaikuttavat laitteen huoltosopimukset sekä käytettävissä olevat henkilö- ja varaosaresurssit. 7. Reunalaitteen ominaisuudet Funet-verkkoon kytkeytyminen tarkoittaa muutamaa pakollista vaatimusta reunalaitteelta, jotta liikennöinti on mahdollista. Samalla tavoin varayhteyden käyttöönotto tarkoittaa lisävaatimuksia erityisesti reititysprotokollien osalta. Näiden ohella osa Funetin palveluista voi vaatia lisäominaisuuksia reunalaitteilta. Osa ominaisuuksista on toiminnan varmistamiseen, suojautumiseen, valvontaan, lokitukseen ja hallintaan liittyviä, jotka eivät ole pakollisia, mutta voivat olla silti hyödyllisiä. 7.1. Funet-pääyhteys Funet-pääyhteyttä varten laitteessa on oltava seuraavat ominaisuudet: IPv4 unicast-reititys (pakollinen) IPv6 unicast-reititys [RFC2460] (pakollinen)

o IPv4-osoitteet loppuivat IANA:lta alkuvuodesta 2011 o Palvelutason säilyttämiseksi paketinvälitys tehtävä raudalla tai yhtenevällä suorituskyvyllä IPv4:n kanssa 1 GE tai 10 GE liitännät [IEEE802.3] (pakollinen) o Kuituportteja yksi kappale Funet-kytkentään, mielellään vaihdettava optiikka o Liitäntätyyppi riippuen tarvittavasta tiedonsiirtokapasiteetista o Joissain tapauksissa tuki värillisille CWDM tai DWDM-optiikoille [CWDM] [DWDM] 7.2. Funet-varayhteys Funet-varayhteyttä varten vaaditaan Funet-pääyhteyden ominaisuuksien ohella seuraavat: BGPv4 [RFC4271] (pakollinen) o IPv4 ja IPv6 -reititystietojen vaihtaminen o Multicastin osalta katso erillinen kohta MBGP:stä OSPF/OSPFv3 [RFC2328] [RFC5340] tai IS-IS [RFC5308] (hyödyllinen) o Useamman Funet-reunalaitteen ja sisäverkon reitittimen kytkemiseen varmennetusti HSRP/VRRP [RFC5798] (lisäominaisuus) o Kampuslähiverkkoon päin, jos kahdennetut reunalaitteet o Mahdollistaa liikenteen siirtymisen varareitille virtuaalisen yhdyskäytäväosoitteen avulla 1 GE tai 10 GE -liitännät (pakollinen) o Kuituportteja yksi kappale Funet-kytkentään ja vähintään yksi kappale reunalaitteiden yhdistämiseen o Liitäntätyyppi riippuen tarvittavasta tiedonsiirtokapasiteetista o Joissain tapauksissa tuki värillisille optiikoille (CWDM tai DWDM) 7.3. Multicast Multicastia (esim. Funet IPTV) varten tarvitaan seuraavia ominaisuuksia: Staattinen multicast-reititys tai MBGP [RFC4760] (pakollinen) o Riippuen varareititystarpeesta, joko staattinen tai dynaaminen multicast-reititys PIM-SM [RFC4601] (pakollinen) o IPv4 ja IPv6 ASM multicast reititykseen Funettiin ja muihin reunalaitteisiin päin, signaloi aktiiviset lähettäjät ja vastaanottajat RP:lle o Tuki IPv6 Embedded-RP:lle [RFC3956] IGMPv2 / MLDv1 [RFC2236] [RFC2710] (pakollinen) o IPv4 ja IPv6 ASM multicastia varten lähiverkkoon päin, ylläpitää ja välittää lähettäjien ja vastaanottajien tilatietoja o Kytkimissä tarvitaan IGMP snooping ja MLD snooping [RFC4541], jotta liikenne ei kaikuisi kaikkiin portteihin. PIM-SSM [RFC4607], IGMPv3 / MLDv2 [RFC3376] [RFC3810] [RFC5186] (lisäominaisuus) o Vastaavasti SSM-multicastia varten reunalaitteisiin ja IGMPv3/MLDv2 snooping kytkimiin MSDP [RFC3618] [RFC4611] (lisäominaisuus) o IPv4 globaalien multicast-lähetysten mainostamiseen o Funetin MSDP-palvelu myös käytössä

o o Anycast RP MSDP:llä tai PIM:llä [RFC4610] (lisäominaisuus) RP:n kahdentamiseen PIM/MSDP/IGMP/MLD-protokollien pääsylistat (lisäominaisuus) Multicast-ryhmätietojen suodatukseen 7.4. Valopolut Jokaiselle valopolulle tarvitaan oma portti (1 GE tai 10 GE) Tyypillisesti tarvitaan tuki CWDM-optiikalle (1 GE tai 10 GE) [CWDM] CWDM-optiikkaa tarvitaan jos hyödynnetään olemassa olevia kuitupareja (Funetliitäntä). o Kuitupareille asennetaan passiiviset CWDM-muksit. 7.5. Muut ominaisuudet Reunalaitteissa on myös syytä ottaa huomioon seuraavia ominaisuuksia: 7.5.1. Vikasietoisuus, kahdennetut komponentit o o virtalähteet (vähintään kaksi, laitteen oltava toimintakykyinen toisen rikkouduttua) tuuletinmoduulit reititysmoduuli katkoton toiminta reititysmoduulin häiriötilanteessa (vaihto toiselle reititysmoduulile) katkottomat päivitykset hot-swap -ominaisuus komponentteja vaihdettaessa 7.5.2. Ylläpito- ja hallintaominaisuudet Salattu ylläpitoyhteys (SSH) Lokien lähetys ulkoiselle syslog-palvelimelle SNMPv3 verkonvalvontarajapinta 64-bittiset porttilaskurit (32-bittiset pyörähtävät helposti ympäri) IPFix/NetFlow/sFlow tai vastaava IP-liikenteen lokitus ja analysointiominaisuus Eristetty hallintayhteys omasta VLAN:sta tai fyysisestä portista Portin/VLANin liikenteen peilaus (Port Mirroring/Span port) porttiin tai verkon yli. Mahdollisuus tallentaa täydellinen konfiguraatio ASCII-tiedostoon 7.5.3. Laitteen tuki ja ohjelmistot Huoltosopimukset ja vasteajat häiriötilanteissa Tuki ohjelmistopäivityksille, roadmap tulevaisuuden ominaisuuksille Valmistajan tuki häiriötilanteissa (puhelin, sähköposti, web, paikallinen edustaja) Lisenssit, ylimääräiset ominaisuuskohtaiset lisenssit Tuki laitevalmistajariippumattomille optiikoille

7.5.4. Reunalaitteiden liittäminen kytkininfrastruktuuriin (Layer 2) Linkkien kahdentaminen o LAG, LACP-protokollalla [IEEE802.1AX] o MLAG, MC-LAG tai vastaava, aggregointi useampaan fyysiseen laitteeseen o Spanning Tree (802.1d) linkkien varmistamiseen Rapid STP [IEEE802.1D] Multiple STP [IEEE802.1Q] Virtual LAN (VLAN) -tuki [IEEE802.1Q] 7.5.5. Suojaukset kytkininfrastruktuurissa (Layer 2) DHCP snooping o Estää pyynnöt ns. rosvo -DHCP palvelimille, kuten vahingossa verkkoon laitetuille ADSL-purkeille tai WLAN-tukiasemille. o Pitää kirjaa mihin porttiin koneet on kytketty. o Varmistaa, että laite käyttää ainoastaan DHCP-palvelimen sille antamia IPosoitteita. IPv6 RA Guard ja DHCPv6 snooping [RFC6105] o Estää ylimääräiset IPv6 Router Advertisement -mainostukset. o Voidaan toteuttaa myös suodattamalla kytkimissä porttipohjaisesti rogue RA-viestit sekä DHCPv6 -palvelimet. Port security o Portti voidaan lukita toimivaksi vain tietyille MAC-osoitteille. o 802.1X porttikohtainen todentautuminen ARP inspection/ip source guard o Keino varmistaa, että liikennöivä IP-osoite kuuluu oikealle laitteelle. L2 pääsylistat o Pääsylistat kytkinporteissa Private VLAN-tuki 8. Viitteet [RFC2236] RFC 2236, Internet Group Management Protocol, Version 2, http://tools.ietf.org/html/rfc2236 [RFC2328] RFC 2328, OSPF Version 2, http://tools.ietf.org/html/rfc2328 [RFC2460] RFC 2460, Internet Protocol, Version 6 (IPv6) Specification, http://tools.ietf.org/html/rfc2460 [RFC2710] RFC 2710, Multicast Listener Discovery (MLD) for IPv6, http://tools.ietf.org/html/rfc2710 [RFC2827] BCP 38, RFC 2827, Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, http://tools.ietf.org/html/rfc2827 [RFC3376] RFC 3376, Internet Group Management Protocol, Version 3, http://tools.ietf.org/html/rfc3376

[RFC3618] RFC 3618, Multicast Source Discovery Protocol (MSDP), http://tools.ietf.org/html/rfc3618 [RFC3654] RFC 3654, Requirements for Separation of IP Control and Forwarding, http://tools.ietf.org/html/rfc3654 [RFC3704] BCP 84, RFC 3704, Ingress Filtering for Multihomed Networks, http://tools.ietf.org/html/rfc3704 [RFC3810] RFC 3810, Multicast Listener Discovery Version 2 (MLDv2) for IPv6, http://tools.ietf.org/html/rfc3376 [RFC3956] RFC 3956, Embedding the Rendezvous Point (RP) Address in and IPv6 Multicast Address, http://tools.ietf.org/html/rfc3956 [RFC4271] RFC 4271, A Border Gateway Protocol 4 (BGP-4), http://tools.ietf.org/html/rfc4271 [RFC4541] RFC 4541, Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches, http://tools.ietf.org/html/rfc4541 [RFC4601] RFC 4601, Protocol Independent Multicast - Sparse Mode (PIM-SM): Protocol Specification (Revised), http://tools.ietf.org/html/rfc4601 [RFC4607] RFC 4607, Source-Specific Multicast for IP, http://tools.ietf.org/html/rfc4607 [RFC4610] RFC 4610, Anycast-RP Using Protocol Independent Multicast (PIM), http://tools.ietf.org/html/rfc4610 [RFC4611] RFC 4611, Multicast Source Discovery Protocol (MSDP) Deployment Scenarios, http://tools.ietf.org/html/rfc4611 [RFC4732] RFC 4732, Internet Denial-of-Service Considerations, http://tools.ietf.org/html/rfc4732 [RFC4760] RFC 4760, Multiprotocol Extensions for BGP-4, http://tools.ietf.org/html/rfc4760 [RFC5186] RFC 5186, Internet Group Management Protocol Version 3 (IGMPv3) / Multicast Listener Discovery Version 2 (MLDv2) and Multicast Routing Protocol Interaction, http://tools.ietf.org/html/rfc5186 [RFC5308] RFC 5308, Routing IPv6 with IS-IS, http://tools.ietf.org/html/rfc5308 [RFC5340] RFC 5340, OSPF for IPv6, http://tools.ietf.org/html/rfc5340 [RFC5575] RFC 5575, Dissemination of Flow Specification Rules, http://tools.ietf.org/search/rfc5575 [RFC5635] RFC 5635, Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (urpf), http://tools.ietf.org/html/rfc5635

[RFC5798] RFC 5798, Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6, http://tools.ietf.org/html/rfc5798 [RFC6105] RFC 6105, IPv6 Router Advertisement Guard, http://tools.ietf.org/html/rfc6105 [CPP] IETF Draft, draft-ietf-opsec-protect-control-plane-06, Protecting The Router Control Plane, http://tools.ietf.org/html/draft-ietf-opsec-protect-control-plane-06 [IEEE802.1AX] IEEE 802.1AX-2008, IEEE Standard for Local and Metropolitan Area Networks - Link Aggregation, http://standards.ieee.org/getieee802/download/802.1ax- 2008.pdf [IEEE802.1D] IEEE 802.1D-2004, IEEE Standard for Local and Metropolitan Area Networks - Media Access Control (MAC) Bridges, http://standards.ieee.org/getieee802/download/802.1d-2004.pdf [IEEE802.1Q] IEEE 802.1Q-2005, IEEE Standard for Local and Metropolitan Area Networks Virtual Bridged Local Area Networks, http://standards.ieee.org/getieee802/download/802.1q-2005.pdf [IEEE802.3] IEEE 802.3-2008, IEEE Standard for Information technology-specific requirements - Part 3: Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications, http://standards.ieee.org/about/get/802/802.3.html [CWDM] Wavelength-division multiplexing Coarse WDM, http://en.wikipedia.org/wiki/wavelength-division_multiplexing#coarse_wdm [DWDM] Wavelength-division multiplexing Dense WDM, http://en.wikipedia.org/wiki/wavelength-division_multiplexing#dense_wdm

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute