Versions Compared

Old Version 101

changes.mady.by.user Marko Memonen

Saved on

compared with

New Version Current

changes.mady.by.user Antti Ristimäki

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

IP-yhteyksien toteuttamiseen käytetään tällä hetkellä joko 1G, 10G  tai 100G Ethernet-liitäntöjä. Pää- ja lisäyhteys ilman varmistusta toteutetaan pääasiallisesti hyödyntäen staattista reititystä. Varmistettujen yhteyksien osalta käytetään BGP-protokollaa. IP-yhteys tarjoaa automaattisesti tuen IPv4- ja IPv6-protokollille sekä tarvittaessa myös IPv4- ja IPv6-multicastille. Funetilla on myös tarjolla IPv6-siirtymäpalveluita helpottamaan IPv6-protokollan käyttöönottoa.

IP-yhteyspalveluun voidaan tietyissä tilanteissa liittää erityisjärjestelyjä esim. opetus- tai tutkimuslaitteistojen suorien yhteyksien toteuttamiseksi organisaatioiden välillä.

Yhteydet kotimaisen organisaatioiden välillä kulkevat vain Suomessa. Vakavissa vikatilanteissa myös kotimaan liikenne voi varareitittyä Ruotsin kautta. Kansainväliset yhteydet hyödyntävät järjestelmiä, jotka ovat Suomen ulkopuolella.

VLAN-kehystys

Funet-yhteyksillä käytetään lähtökohtaisesti aina VLAN-kehystystä, sillä se tekee mahdollisten uusien loogisten erillisyhteyksien toteuttamisen myöhemmin joustavaksi. Vain erittäin painavista syistä Funet-yhteys voidaan toteuttaa ns. untagged-moodissa eli ilman VLAN-kehystystä.

IP-osoitteet

Lähtökohtaisesti Funet allokoi organisaation käyttöön tarvittavan määrän julkisia IPv4- ja/tai IPv6-osoitteita Funetin ns. Provider Aggregatable osoiteavaruudesta. IPv6:n osalta organisaatiolle allokoidaan lähtökohtaisesti aina yksi /48-osoiteavaruus.

Funetin kautta voidaan reitittää myös organisaation omia ns. Provider Independent -osoiteavaruuksia.

Funet-runkoverkon ja jäsenorganisaation välisten point-to-point-linkkien IP-verkot tulevat lähtökohtaisesti Funetilta ja niissä pyritään käyttämään aina /31- ja /127-aliverkkoja.

MTU

Funet-verkko tukee myös jumbo-kehysten välittämistä. Mikäli jäsenorganisaation sisäverkossa tuetaan jumbo-kehyksiä, suositellaan sisäverkon IP MTU -arvoksi 9000 tavua, jonka kokoisen paketin voidaan taata välittyvän fragmentoitumatta ainakin Funet-verkossa ja suurella todennäköisyydellä myös Funetin ja muiden tutkimusverkkojen välillä. Ethernet MTU:ta asetettaessa on otettava lisäksi huomioon Ethernet-kehystyksen aiheuttama overhead mukaan lukien mahdolliset VLAN-tagit.

...

Suosituksena on, että asiakas mainostaa sekä pää- että varayhteydellä reittejään identtisillä metriikoilla eikä aseta Funetin mainostamiin reitteihin erisuuruista local-preferencea pää- ja varayhteydellä, jolloin aktiivisen reitin valinta voidaan tehdä Funetin reitittimissä. Normaalisti reitinvalinta tehdään MED-attribuutin perusteella, mutta esimerkiksi huoltotilanteissa Funetin reitittimissä asetetaan asiakkaan mainostamille reiteille normaalista poikkeava local-preference ja asiakkaan suuntaan voidaan mainostaa reitit ns. AS-prependattuna. Tällä tavoin voidaan siirtää liikenne hallitusti pois kumpaankin suuntaan huollettavalta linkiltä Funetin toimesta.

Pää- ja varayhteyttä voidaan käyttää myös active/active-tyyppisesti, jolloin kumpikin yhteys on aktiivinen ja liikenne reitittyy aina lähimmästä liittymästä ulos/sisään.

BGP-reititetyillä yhteyksillä Funet mainostaa oletuksena vain default-reitin asiakkaalle. Tarvittaessa on myös mahdollista saada BGP:lla täysi internet-reittitaulu, mutta mikäli sille ei ole mitään perusteltua tarvetta, sitä ei suositella. Default-reitin lisäksi Funet-runkoverkosta voidaan mainostaa asiakkaalle myös ns. more specific -reittejä, mikäli niille on perusteltua tarvetta. Tällaisista erityistarpeista kannattaa keskustella erikseen Funetin kanssa.


Excerpt

BGP communityt

Alla luetellut BGP-communityt ovat Funet-jäsenorganisaatioiden ja muiden asiakkaiden käytettävissä. Funet-jäsenorganisaatioiden toiveiden mukaan Funet-runkoverkkoon voidaan toteuttaa myös muihin communityihin perustuvia toiminnallisuuksia.

BGP-reittimainostusten kontrollointi:

1741:300Reitti mainostetaan yhdysliikennepisteissä (FICIX, TREX) vain suomalaisille operaattoreille sekä ulkomaisille sisällöntarjoajille.  Communitylla ei kuitenkaan ole vaikutusta Funetin PA-osoiteavaruuksista lohkottujen verkkojen mainostuksiin.

...

large:1741:0:

...

$ASN$

...

Reittiä ei mainosteta naapurille $ASN. Tällä tavalla voidaan selektiivisesti estää oman prefiksin mainostaminen esimerkiksi tietylle Funetin peerille. Huom, tämä community on ns. BGP Large Community, kts. RFC8092)
large:1741:0:2603Reittiä ei mainosteta NORDUnetiin eli Funet-verkon transit-verkolle
large:1741:0:0Reittiä ei mainosteta millekään Funetin peerille, ainoastaan NORDUnetiin. Tämäkin on BGP Large Community.
large:1741:1741:11 x AS-prepend Funetista ulospäin mainostettaessa
large:1741:1741:22 x AS-prepend Funetista ulospäin mainostettaessa

Huomionarvoista on, että yllä mainitut BGP-reittimainostusten leviämiseen vaikuttavat communityt ovat käytännössä sovellettavissa vain ns. Provider Independent (PI) osoiteavaruuksiin, sillä ne reitittyvät itsenäisesti Internetissä. Suurimmalla osalla jäsenorganisaatioista on käytössä Funetin Provider Aggregatable (PA) osoiteavaruuksista allokoituja IP-verkkoja, jotka mainostuvat Internetiin Funetin aggregaattireittien (esim. 193.166.0.0/15, 86.50.0.0/16) mukana, eikä yksittäisten tarkempien reittien BGP-mainostuksia pysty näin ollen rajoittamaan.


Blackhole-communityt esim. DDoS-hyökkäysten mitigointiin:

1741:666Remotely Triggered Blackhole (RTBH). Kaikki kyseiseen prefiksiin kohdistuva liikenne menee discardiin
1741:999Osittainen RTBH. Kyseiseen prefiksiin kohdistuva liikenne menee discardiin NORDUnetissa ja NORDUnetin transit-operaattoreilla, mutta Funetin sisältä sekä Funetin FICIX/TREX-naapureilta liikenne toimii normaalisti

Blackhole-communityjen hyödyntämismahdollisuudesta on sovittava etukäteen Funetin kanssa. Lähtökohtaisesti blackhole-reitin on oltava maskin pituudeltaan /32 (IPv4) tai /128 (IPv6).



Käyttöönotto

Palvelun käyttöönottamiseksi ota yhteyttä Funet NOC:iin: Yhteystiedot.

...

Erillismaksulliset vara- ja lisäyhteydet sekä lisäkäyttäjät: katso hinnasto (vaatii sisäänkirjautumista).

Tilastot

...

grouphttps://tt.eduuni.fi/groups/funet#funet-users, https://tt.eduuni.fi/groups/funet#funet-staff, https://tt.eduuni.fi/groups/funet#funet-admin, @csc.fi
Note

Tämän osa sivun sisällöstä näkyy vain tarvittavat lisäkäyttöoikeudet omaaville, sisäänkirjautuneille käyttäjille; lisätietoja sivulta Tietoa info.funet.fi-palvelusta.

...

grouphttps://tt.eduuni.fi/groups/funet#funet-users, https://tt.eduuni.fi/groups/funet#funet-staff, https://tt.eduuni.fi/groups/funet#funet-admin, @csc.fi

...

...

Ohjeet

Funet tarjoaa tarvittaessa apua sekä staattisen reitityksen että varayhteyksien vaatiman BGP-reitityksen konfiguroimiseen. Saatavilla on myös valmiita konfigurointimalleja varayhteyksiä varten Ciscon (IOS) ja Juniperin (Junos) reitittimille sekä yhden että kahden reunalaitteen malleihin. Yhdellä reunalaitteella voidaan varmistaa kuituyhteydet Funetin runkoverkkoon ja kahdella reunalaitteella myös itse reitittimet. Kahdennetun reunalaitteen mallissa tarvitaan myös jokin kahdennusta tukeva protokolla (esim. VRRP tai HSRP) lähiverkkoon päin.

...

Funet ratkoo meille tietoon saatettuja yhteyksien suorituskykyyn liittyviä ongelmia ja epäilyjä (ns. PERT-toiminta).

...