Verein zur Förderung eines deutschen Forschungsnetzes Bericht aus dem NOC 18. - 19. Oktober 2005, DFN GS Stuttgart, Lindenspürstraße 32, 70176 Stuttgart
Personalia! Irmhild Lemke hat das aus privaten Gründen (Heirat, Umzug) verlassen " Ersatz: Frank Schröder (seit 15.8.05), Vertragslaufzeit 1 Jahr! Teilzeit: Peter Heiligers, Bettina Kauth " jeweils 2 Tage/Woche! Vollzeit:, Thilo Scholpp, Robert Stoy, Hubert Waibel (Leitung GS Stuttgart)! Kann im Zusammenhang mit der X-WiN Inbetriebnahme zu personellen Engpässen führen " bitte haben Sie Verständnis, falls Anfragen nicht gleich bearbeitet werden...
GWiN Topologie Peering / Upstream Telia Hansenet Cable & Wireless T-Online 2.5 Gbit/s 622 Mbit/s HH H 155 Mbit/s B 1 Gbit/s UUnet B-CIX DE-CIX 1 DE-CIX 2 Arcor GC Géant 1 Gbit/s 2.5 Gbit/s 10 Gbit/s UUnet,... Abovenet 1 Gbit/s 1 Gbit/s 1 Gbit/s 155 Mbit/s 1 Gbit/s K KA 622 Mbit/s T-Online E F S ER M 155 Mbit/s 622 Mbit/s T-Online L STM-16, 2.5 Gbit/s STM-64, 10.0 Gbit/s 622 Mbit/s Cable & Wireless T-Online
Ausfälle (1)! Erlangen 1.6.2005 " Routerausfall aufgrund eines DDoS 1. Verkehr kommt rein Gigabit Ethernet 3. Pakete werden ingress gedroppt Linecard IN (Engine3) Cisco 12000 2. Backpressure Switchfabric Linecard OUT (Engine0) STM-1 Überlast Problem: Ingress werden beliebige Pakete gedroppt! d.h. auch OSPF hello, andere Anwender,... => Ausfall des Routers Workaround : Limitierung mit CoS zwischen Linecard IN und Switchfabric
Ausfälle (2)! AR-Göttingen2, 10.8.2005 " Trigger: DDoS? " Eingangsinterface verwirft beliebig Pakete " keine Besserung trotz mehrfacher Reloads des Routers " Prio1 Service Request bei Cisco " fast 10h Fehlersuche " Ursache bis heute nicht bekannt " nach Reload mit neuem IOS war das Problem verschwunden
Peerings/GN2! Was hat sich geändert? " Packetexchange weggefallen zu teuer " Géant2 (GN2) 10 Gbps Ethernet in Frankfurt ab ende Oktober GN2 PoP befindet sich wie wir auch bei InterXion neue Verbindungen lassen sich in kürzester Zeit schalten geringe Kosten für local loop GN2 basiert auf SDH über WDM Router: Juniper SDH, DWDM: Alcatel Zugang zu Diensten in GN2 MPLS Dienste IP Premium, weitere Dienste» siehe folgende Slides (Dank an Otto Kreiter, DANTE)
Security update! Einführung von 'receive ACLs' " Verfügbar auf Cisco 12000 " Filtert Pakete zum Route-Prozessor eine Art 'Firewall' für den Router " relativ aufwändiger rekursiver Prozess, die richtigen Einträge zu finden " Projekt in Zusammenarbeit mit Cisco durchgeführt
188.1./16! Nutzung von 188.1/16 " Verbindungen zwischen WiN Geräten " Verbindungen local loop zu den Anwendern " aus Sicherheitsgründen: Filter, die nur bestimmte Dienste zulassen " d.h. bitte setzen Sie keine Dienste (telnet, Tunnel, etc.) auf diesen Adressen auf! Es gibt keine Gewähr, dass diese Dienste funktionieren 188.1/16
X-WiN! Ausstattung neue Standorte " Kassel, Marburg, Giessen, Jena, Göttingen, Greifswald, Münster, Bremen " Vorerst: Einsatz von Cisco 7609 WS-X6748-GE-TX board für intra-pop Verbindungen SUP720-3BXL Supervisor Engine ONS bzw. SIP-400/600 für Anwenderanschlüsse WAN Ports: Puffer, Features,... evtl. Ablösung durch andere Platform in ca. 1 Jahr! Anschlüsse mit Ethernet " kein IP unnumbered mehr! kein PPP über Ethernet Adressen für diese Verbindung aus 188.1/16
Anwender auf CRs! Umwandlung CRs zu ARs " keine klare Trennung mehr Core? Access " immer mehr Anwender mit GE und mehr " auf Dauer zu teuer, hierfür einen eigenen Router aufzustellen " Anschlüsse bis E3 nach wie vor auf vorgelagertem Router " Nachteile: häufiger IOS Upgrades auf zentralen Netzkomponenten häufiger Konfigurationsänderungen auf zentralen Netzkomponenten " Vorteile: günstiger ein SPOF weniger " Vorteile überwiegen Nachteile
IPv6! Übergabe des IPv6 Dienstes von JOIN Münster an das NOC " Projekt an der Uni Münster lief aus " Betrieb des 6WiN jetzt " Details und weiteres Vorgehen: Vortrag im IPv6 Forum Das Wichtigste in Kürze: Abbau E3 Infrastruktur zwischen 6WiN Routern. Beginn: Oktober 05 Wird durch L2 VPN Vollvermaschung (EoMPLS) über das WiN ersetzt Mittelfristig: Dual Stack im X-WiN
Projekte! MUPBED Projekt implementiert " L2 VPN über MPLS Punkt-zu-Punkt Verbindungen Ethernet VLANs " inter-domain 5 NRNs und Géant beiteiligt " Ziel: Tests von Signalisierungsprotokollen auf Layer2, High- Speed Ethernetverbindungen über WAN,... " www.ist-mupbed.org
Kontakt " E-Mail: noc@noc.dfn.de " Hotline: + 49 (0)711 / 633 14 112 Montag Freitag: 08:30 Uhr bis 18:00 Uhr (an Arbeitstagen des Landes BaWü) " Internet: http://www.noc.dfn.de # Trouble Tickets # Wartungsmeldungen # Hinweise zur Konfiguration (Router, Interface, ) # u. v. m.
Fragen