Muut työtilat
(klikkaa kuvaa suuremmaksi)
Funet-pääyhteys sisältyy Funet-jäsenmaksuun, muuten katso Hinnoittelu
Kuvaus
IP-yhteys on Funet-jäsenyyteen kuuluva peruspalvelu, jolla jäsenorganisaatio saa käyttöönsä nopeat yhteydet Internetiin ja maailmanlaajuisiin tutkimusverkkoihin. Myös muita IP-yhteyksiä tutkimuskäyttöön ja erikoistarpeisiin voidaan järjestää. Jäsenorganisaation pääyhteys kytketään lähimpään Funet-verkon reitittimeen sijainnista riippuen joko suoraan tai Funetin DWDM-siirtojärjestelmän kautta. Pääyhteyden varmistamiseksi tarjolla on varayhteys, jolla jäsenorganisaation IP-yhteys voidaan varmistaa niin, että mahdolliset kuitukatkot tai muut häiriöt verkossa eivät katkaise yhteyksiä ulospäin. Lisäyhteyden avulla jäsenorganisaation etätoimipiste voidaan liittää Funetin IP-runkoverkkoon ja tarvittaessa kytkeä sen kautta osaksi jäsenorganisaation sisäverkkoa. IP-lisäyhteyden vaihtoehtona ovat suosiota kasvattaneet valopolut, joilla etätoimipiste voidaan liittää suoraan päätoimipaikan sisäverkkoon dedikoidulla siirtokapasiteetilla.
IP-yhteyksien toteuttamiseen käytetään tällä hetkellä joko 1G, 10G tai 100G Ethernet-liitäntöjä. Pää- ja lisäyhteys ilman varmistusta toteutetaan pääasiallisesti hyödyntäen staattista reititystä. Varmistettujen yhteyksien osalta käytetään BGP-protokollaa. IP-yhteys tarjoaa automaattisesti tuen IPv4- ja IPv6-protokollille.
IP-yhteyspalveluun voidaan tietyissä tilanteissa liittää erityisjärjestelyjä esim. opetus- tai tutkimuslaitteistojen suorien yhteyksien toteuttamiseksi organisaatioiden välillä.
Yhteydet kotimaisen organisaatioiden välillä kulkevat vain Suomessa. Vakavissa vikatilanteissa myös kotimaan liikenne voi varareitittyä Ruotsin kautta. Kansainväliset yhteydet hyödyntävät järjestelmiä, jotka ovat Suomen ulkopuolella.
VLAN-kehystys
Funet-yhteyksillä käytetään lähtökohtaisesti aina VLAN-kehystystä, sillä se tekee mahdollisten uusien loogisten erillisyhteyksien toteuttamisen myöhemmin joustavaksi. Vain erittäin painavista syistä Funet-yhteys voidaan toteuttaa ns. untagged-moodissa eli ilman VLAN-kehystystä.
IP-osoitteet
Lähtökohtaisesti Funet allokoi organisaation käyttöön tarvittavan määrän julkisia IPv4- ja/tai IPv6-osoitteita Funetin ns. Provider Aggregatable osoiteavaruudesta. IPv6:n osalta organisaatiolle allokoidaan lähtökohtaisesti aina yksi /48-osoiteavaruus.
Funetin kautta voidaan reitittää myös organisaation omia ns. Provider Independent -osoiteavaruuksia.
Funet-runkoverkon ja jäsenorganisaation välisten point-to-point-linkkien IP-verkot tulevat lähtökohtaisesti Funetilta ja niissä pyritään käyttämään aina /31- ja /127-aliverkkoja.
MTU
Funet-verkko tukee myös jumbo-kehysten välittämistä. Mikäli jäsenorganisaation sisäverkossa tuetaan jumbo-kehyksiä, suositellaan sisäverkon IP MTU -arvoksi 9000 tavua, jonka kokoisen paketin voidaan taata välittyvän fragmentoitumatta ainakin Funet-verkossa ja suurella todennäköisyydellä myös Funetin ja muiden tutkimusverkkojen välillä. Ethernet MTU:ta asetettaessa on otettava lisäksi huomioon Ethernet-kehystyksen aiheuttama overhead mukaan lukien mahdolliset VLAN-tagit.
Funet-runkoreitittimen ja jäsenorganisaation reunareitittimen välisellä point-to-point -linkillä suositellaan aina käytettävän vähintään 9000 tavun IP MTU:ta, mikäli jäsenorganisaation reunalaite sitä tukee, vaikka sisäverkossa ei käytettäisikään jumbo-kehyksiä. Mikäli jumbo-kehyksiä halutaan ajaa erilaisten IP-tunneleiden läpi, voidaan Funet-yhteyden IP MTU:ta tarvittaessa kasvattaa sen verran, että tunneleiden sisällä voidaan edelleen välittää 9000 tavun kokoisia IP-paketteja. Point-to-point -linkeillä on kuitenkin ensiarvoisen tärkeää, että linkin kumpaankin päähän on konfiguroitu sama IP MTU. Mikäli Funetin ja jäsenorganisaation välillä ei ole erikseen sovittu jumbo-MTU:n käytöstä, on IP MTU oletuksena 1500 tavua ja Ethernet MTU joko 1514 tavua (ilman VLAN-taggausta) tai 1518 tavua (VLAN-taggauksella). Ethernet MTU:t eivät sisällä CRC-tarkistussummaa.
Quality of Service, QoS
Funet-verkkoon saapuva liikenne luokitellaan verkon reunalla IP DSCP-kentän arvon perusteella johonkin seuraavista liikenneluokista:
- DSCP 0x00/be (ToS 0x00): Best-Effort
- DSCP 0x08/cs1 (ToS 0x20): Less than Best-Effort (LBE)
Muiden DSCP-arvojen käyttöä ei ole määritelty Funet-verkossa ja ne voidaan ylikirjoittaa runkoverkossa. Oletusarvoisesti (tilanne 05/2015) muilla DSCP-arvoilla merkityt paketit luokitellaan Best-Effort-liikenneluokkaan, mutta DSCP-arvojen käyttö voi muuttua tulevaisuudessa. Mikäli DSCP-kentän arvoa ei ole mahdollista asettaa jäsenorganisaation verkossa, voidaan liikenne ohjata haluttuun luokkaan myös Funet-verkon reunalla jäsenorganisaation pyynnöstä esimerkiksi lähde-/kohdeosoitteiden, protokollan, porttien yms. perusteella.
LBE-liikenne välitetään Funet-runkoverkossa normaalia liikennettä alhaisemmalla prioriteetilla, joten ohjaamalla ei-kriittinen liikenne LBE-luokkaan voidaan varmistaa, ettei se pääse häiritsemään muuta liikennettä. LBE-liikenneluokka soveltuu hyvin esimerkiksi backup-eräajoihin ja ei-kiireellisiin tiedon massasiirtoihin. Ruuhkattomassa tilanteessa LBE-liikenteen kokema palvelunlaatu ei oleellisesti poikkea Best-Effort-liikenteestä, mutta ruuhkatilanteessa LBE-liikenne saa Best-Effort-liikennettä vähemmän kapasiteettia.
Best-Effort-liikenne välitetään Funet-runkoverkossa normaalina liikenteenä ilman erityisiä priorisointeja. Funet-runkoverkon sisällä Best-Effort-liikenteen laatu pyritään pitämään korkealla huolehtimalla runkoyhteyksien riittävästä kapasiteetista. Jäsenorganisaatioiden Funet-liityntäyhteyksillä Best-Effort-liikennettä saatetaan kuitenkin ruuhkatilanteissa joutua pudottamaan tai jonottamaan, mikä aiheuttaa liikenteelle hetkellisesti pakettihävikkiä ja/tai ylimääräistä latenssia. Yhteyksien käyttöasteita seurataan ja jatkuvasti ruuhkautuville yhteyksille suositellaan tehtävän kapasiteettipäivitys.
Edellä kuvattujen Best-Effort- ja LBE-liikenneluokkien lisäksi Funet-verkossa on käytössä mm. erillinen liikenneluokka latenssille ja sen vaihtelulle kriittisen liikenteen välittämiseen. Tässä luokassa välitetään vain Funetin erityisesti määrittelemä liikenne, joten käyttöönotosta on sovittava erikseen Funetin kanssa.
IP-varayhteydet
IP-yhteyksien varmentamisessa käytetään lähtökohtaisesti eBGP-rajapintaa Funetin ja asiakkaan reitittimien välillä. Funetin AS-numero on 1741 ja asiakas voi käyttää omaa julkista AS-numeroaan, jos sellainen on, tai muussa tapauksessa Funetin määrittelemää ns. privaatti-AS-numeroa. Myös 32-bittiset AS-numerot ovat tuettuna.
Suosituksena on, että asiakas mainostaa sekä pää- että varayhteydellä reittejään identtisillä metriikoilla eikä aseta Funetin mainostamiin reitteihin erisuuruista local-preferencea pää- ja varayhteydellä, jolloin aktiivisen reitin valinta voidaan tehdä Funetin reitittimissä. Normaalisti reitinvalinta tehdään MED-attribuutin perusteella, mutta esimerkiksi huoltotilanteissa Funetin reitittimissä asetetaan asiakkaan mainostamille reiteille normaalista poikkeava local-preference ja asiakkaan suuntaan voidaan mainostaa reitit ns. AS-prependattuna. Tällä tavoin voidaan siirtää liikenne hallitusti pois kumpaankin suuntaan huollettavalta linkiltä Funetin toimesta.
Pää- ja varayhteyttä voidaan käyttää myös active/active-tyyppisesti, jolloin kumpikin yhteys on aktiivinen ja liikenne reitittyy aina lähimmästä liittymästä ulos/sisään.
BGP-reititetyillä yhteyksillä Funet mainostaa oletuksena vain default-reitin asiakkaalle. Tarvittaessa on myös mahdollista saada BGP:lla täysi internet-reittitaulu, mutta mikäli sille ei ole mitään perusteltua tarvetta, sitä ei suositella. Default-reitin lisäksi Funet-runkoverkosta voidaan mainostaa asiakkaalle myös ns. more specific -reittejä, mikäli niille on perusteltua tarvetta. Tällaisista erityistarpeista kannattaa keskustella erikseen Funetin kanssa.
Alla luetellut BGP-communityt ovat Funet-jäsenorganisaatioiden ja muiden asiakkaiden käytettävissä. Funet-jäsenorganisaatioiden toiveiden mukaan Funet-runkoverkkoon voidaan toteuttaa myös muihin communityihin perustuvia toiminnallisuuksia. BGP-reittimainostusten kontrollointi: Huomionarvoista on, että yllä mainitut BGP-reittimainostusten leviämiseen vaikuttavat communityt ovat käytännössä sovellettavissa vain ns. Provider Independent (PI) osoiteavaruuksiin, sillä ne reitittyvät itsenäisesti Internetissä. Suurimmalla osalla jäsenorganisaatioista on käytössä Funetin Provider Aggregatable (PA) osoiteavaruuksista allokoituja IP-verkkoja, jotka mainostuvat Internetiin Funetin aggregaattireittien (esim. 193.166.0.0/15, 86.50.0.0/16) mukana, eikä yksittäisten tarkempien reittien BGP-mainostuksia pysty näin ollen rajoittamaan. Blackhole-communityt esim. DDoS-hyökkäysten mitigointiin: Blackhole-communityjen hyödyntämismahdollisuudesta on sovittava etukäteen Funetin kanssa. Lähtökohtaisesti blackhole-reitin on oltava maskin pituudeltaan /32 (IPv4) tai /128 (IPv6).BGP communityt
1741:300 Reitti mainostetaan yhdysliikennepisteissä (FICIX, TREX) vain suomalaisille operaattoreille sekä ulkomaisille sisällöntarjoajille. Communitylla ei kuitenkaan ole vaikutusta Funetin PA-osoiteavaruuksista lohkottujen verkkojen mainostuksiin. large:1741:0:$ASN$ Reittiä ei mainosteta naapurille $ASN. Tällä tavalla voidaan selektiivisesti estää oman prefiksin mainostaminen esimerkiksi tietylle Funetin peerille. Huom, tämä community on ns. BGP Large Community, kts. RFC8092) large:1741:0:2603 Reittiä ei mainosteta NORDUnetiin eli Funet-verkon transit-verkolle large:1741:0:0 Reittiä ei mainosteta millekään Funetin peerille, ainoastaan NORDUnetiin. Tämäkin on BGP Large Community. large:1741:1741:1 1 x AS-prepend Funetista ulospäin mainostettaessa large:1741:1741:2 2 x AS-prepend Funetista ulospäin mainostettaessa 1741:666 Remotely Triggered Blackhole (RTBH). Kaikki kyseiseen prefiksiin kohdistuva liikenne menee discardiin 1741:999 Osittainen RTBH. Kyseiseen prefiksiin kohdistuva liikenne menee discardiin NORDUnetissa ja NORDUnetin transit-operaattoreilla, mutta Funetin sisältä sekä Funetin FICIX/TREX-naapureilta liikenne toimii normaalisti
Käyttöönotto
Palvelun käyttöönottamiseksi ota yhteyttä Funet NOC:iin: Yhteystiedot.
CSC toteuttaa Funet-jäsenyyteen kuuluvan pääyhteyden (mukaanlukien yhteyteen tarvittava kuituyhteys) jäseneksi liittymisen yhteydessä. Varayhteys ja lisäyhteys ovat jokaisen jäsenen tarjolla olevia palveluita, joita voi tilata ottamalla yhteyttä Funetiin. Funet selvittää vara- ja lisäyhteyksien tarvitsemat liitäntäkuituyhteydet ja voi myös tarvittaessa kilpailuttaa ja hankkia lisäkuituyhteydet, jos yhteysvälillä ei ole kuituyhteyttä tai liitäntäkuituyhteys halutaan varmistaa myös toista reittiä pitkin.
IP-yhteyden toteuttamiseksi tarvitsee jokainen Funet-jäsen itselleen reitityskykyisen reunalaitteen. Jos IP-yhteys varmistetaan varayhteydellä, tarvitaan reunalaitteeseen tuki BGP-protokollalle. BGP-reitityksessä käytetään oletusarvoisesti Funetin määrittelemää privaatti-AS-numeroa, ellei organisaatiolla ole omaa julkista AS-numeroa. Varmistamattoman pääyhteyden tapauksessa riittää tuki staattisille reiteille. Reunalaitteen hankintaa varten on olemassa erillinen suositus reunalaitteista. Oman reunalaitteen voi myös korvata hyödyntämällä Funetin reititinpalvelua.
Lisäohjeita löytyy tämän sivun Ohjeet-kohdasta.
Hinnoittelu
Funet-pääyhteys liitäntäkuituyhteyksineen kuuluu Funet-jäsenyyteen automaattisesti ilman lisäkustannuksia.
Erillismaksulliset vara- ja lisäyhteydet sekä lisäkäyttäjät: katso hinnasto (vaatii sisäänkirjautumista).
Tilastot
Ohjeet
Funet tarjoaa tarvittaessa apua sekä staattisen reitityksen että varayhteyksien vaatiman BGP-reitityksen konfiguroimiseen. Yhdellä reunalaitteella voidaan varmistaa kuituyhteydet Funetin runkoverkkoon ja kahdella reunalaitteella myös itse reitittimet. Kahdennetun reunalaitteen mallissa tarvitaan myös jokin kahdennusta tukeva protokolla (esim. VRRP tai HSRP) lähiverkkoon päin.
Funet ratkoo meille tietoon saatettuja yhteyksien suorituskykyyn liittyviä ongelmia ja epäilyjä (ns. PERT-toiminta).
Reititinteknologialla toteutettavien erityisjärjestelyjen (virtuaalikytkin, MPLS-VPN) osalta kysy Funet-asiantuntijoilta toteutusvaihtoehdoista, saatavuudesta ja soveltuvuudesta.