Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PROIDEA
Łukasz Bromirski - Cisco Systems
Language: Polish
Nowości w protokole BGP i optymalizacja routingu BGP na brzegu sieci
Zarejestruj się na kolejną edycję PLNOG: krakow.plnog.pl
Podczas prezentacji postaram się przybliżyć infrastrukture sieciową obecnie największego na świecie dostawcy treści czyli Akamai. Opowiem jak można budować sieć CDN (Content Delivery Network), i jak robimy to w Akamai. Przedstawie w jaki sposób użytkownicy korzystają z sieci Akamai. Pokaże trochę statystyk z ruchu internetowego na świecie jak i w Polsce, prezentując jak szybko "rośnie" Internet. W dużym stopniu skupie się na protokole BGP, opowiem jak używamy go w naszej sieci, przedstawie kilka case-studies związanych z inżynierią ruchu BGP w Akamai.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
Prezentacja dotycząca wydajnego przetwarzania ruchu IP na PC wygłoszona podczas IT Conference na WAT (http://itacademicday.azurewebsites.net/), listopad 2015.
(Polish only) Talk regarding effective IP traffic processing on x86 platforms, given at IT Academic Day / Military University of Technology in Warsaw, November 2015.
PLNOG14: Nowości w protokole BGP, optymalizacja routingu na brzegu sieci - Łu...PROIDEA
Łukasz Bromirski - Cisco Systems
Language: Polish
Nowości w protokole BGP i optymalizacja routingu BGP na brzegu sieci
Zarejestruj się na kolejną edycję PLNOG: krakow.plnog.pl
Podczas prezentacji postaram się przybliżyć infrastrukture sieciową obecnie największego na świecie dostawcy treści czyli Akamai. Opowiem jak można budować sieć CDN (Content Delivery Network), i jak robimy to w Akamai. Przedstawie w jaki sposób użytkownicy korzystają z sieci Akamai. Pokaże trochę statystyk z ruchu internetowego na świecie jak i w Polsce, prezentując jak szybko "rośnie" Internet. W dużym stopniu skupie się na protokole BGP, opowiem jak używamy go w naszej sieci, przedstawie kilka case-studies związanych z inżynierią ruchu BGP w Akamai.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
PLNOG 6: Piotr Wojciechowski - IPv6 - dwa kliknięcia i działa PROIDEA
IPv6 - dwa kliknięcia i działa
- Czy jesteśmy gotowi na IPv6?
- Jedno kliknięcie i działa - ale czy bezpiecznie?
- Kilka modeli wdrożenia IPv6 u operatora
- WLAN na konferencji PLNOG
PLNOG19 - Konrad Kulikowski - Segment Routing – okiem praktykaPROIDEA
W swojej prezentację przedstawię wady i zalety segment routingu oraz jak konfigurować go w sieci Brown Field we współpracy z LDP. Poruszę również temat: włączania TI-LFA, który zapewnia protekcję 100% prefixów bez względu na topologię sieci, uruchamiania serwera PCE i zestawiania sesji BGP-LS do PCE (Path Computation Element), konfiguracji tunneli SR z trasami definiowanymi explicit, dynamic, PCE, jak również Disjoint Node/Path/Srlg czy Metryki IGP/TE oraz przedstawię nowatorską technologię ODN (On Demand NextHop), a na koniec opowiem o nowym podejściu do definiowania tuneli SR tzw POLICY. Prezentacja będzie oparta na przykładach konfiguracji w systemach IOS XR i XE.
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PROIDEA
Piotr Okupski – technical director at the Association of Cable Television “TV-SAT 364″ in Lodz. A graduate of the University of Łódź, Faculty Informatics and Econometrics,MA in Computer Science and Econometrics. He started his work at ATMAN as NOC operator. He has over 11 years of experience as administrator of Linux systems, 9 years experience in network equipment – Cisco and Juniper. Since 2008 involved heavily in the network, STB and headend aspects of digital television (IPTV).
Topic of Presentation: Implementation of Wanguard software as a protection against DDOS attacks
Language: Polish
Abstract: The presentation will be about one of the cheapest commercial solutions to protect against DDOS attacks – Wanguard (http://www.andrisoft.com/software/wanguard). I will present the implementation of Remotely Triggered Blackhole Filtering (RTBF) using the BGP protocol with an example of BGP policy for Juniper MX. In addition to the overall system configuration examples I will also describe the important points like Linux tuning that are necessary to achieve high system performance at minimum cost. The presentation is directed to small and medium-sized operators.
Continuous Integration w konfiguracji urządzeń sieciowychDreamLab
Konfigurowanie urządzeń sieciowych można traktować jak pisanie kodu. To co programiści znają jako continous integration może być wykorzystane również w zarządzaniu siecią, nawet tak dużą jak w Grupie Onet-RAS Polska. Na PLNOG Piotr Pieprzycki przedstawilł model w jakim wprowadzamy w DreamLabie zmiany w naszym środowisku i z jakimi problemami zetknęliśmy się po drodze.
Similar to PLNOG 21: Krzysztof Toczyski - Wdrożenie_protokołu_IPv6_w_sieci_MPLSv4_jako_6VPE (18)
Continuous Integration w konfiguracji urządzeń sieciowych
PLNOG 21: Krzysztof Toczyski - Wdrożenie_protokołu_IPv6_w_sieci_MPLSv4_jako_6VPE
1. Wdrożenie protokołu IPv6 w sieci MPLSv4 jako 6VPE
Krzysztof Toczyski
Inżynier Sieciowy, KBTO Sp. z o.o.
2. www.plnog.pl
O mnie
• Inżynier/Administrator sieci WAN od ponad 10 lat
Specjalizacje:
• Protokoły: IP, MPLS, Routing (IS-IS, BGP)
• Obsługa systemów operacyjnych: głównie FreeBSD, trochę Linuxa
• Wirtualizacja: VMware
Sprzęt:
• Juniper
• Cisco
• Inne
Popełnione kiedyś certyfikaty:
• CCNA, CCSP, CCNP, CCIP, CCNP SP, CMNA
3. www.plnog.pl
Słownik
• IPv4 - Internet Protocol version 4
• IPv6 - Internet Protocol version 6
• MPLS - Multiprotocol Label Switching
• BGP - Border Gateway Protocol
• MP-BGP – Mulitiprotocol BGP
• 6VPE - IPv6 VPN Provider Edge Router
•VRF - Virtual routing and forwarding
• RR - Route Reflector
• RD - Route distinguisher
• PE - Provider Edge Router
• P - Provider Router
• LDP - Label Distribution Protocol
4. www.plnog.pl
O sieci IdM (część fizyczna)
W liczbach:
Ponad 3600km własnych światłowodów
5 ringów światłowodowych
6000 studni kablowych
Kilkaset punków dostępowych
Ok. 200 routerów szkieletowych
Podział na 2 szkielety
• 100G (A)
• 2 x 20G (2x10G) (B)
5. www.plnog.pl
O sieci IdM (część fizyczna) cd.
3 platformy sprzętowe dla sieci MPLS:
• Cisco ASR 9k
• Cisco ASR 9xx
• Juniper
6. www.plnog.pl
O sieci IdM (część logiczna)
Konfiguracja raczej standardowa ;)
Szkielet oparty na IPv4 (użyta adresacja prywatna)
Na tym uruchomiony:
• IS-IS
• MPLS
• BGP-MP
Do tego:
• MPLS-TE
• QoS
• L2VPN
• L3VPN
7. www.plnog.pl
O sieci IdM (część logiczna)
Podział jest na dwie sieci:
• CORE (dostaje full feed v4 i v6)
• Dystrybucja (dostaje defaulta v4 i v6)
Co jest innego:
Cały ruch Internetowy jest w osobnym VRFie, a nie w tablicy globalnej.
Wszystkie UPLINKi i klienci podpinani są do tego VRFa.
19. www.plnog.pl
Trochę teorii o 6VPE
IPv4
IPv4 MPLS
VPNv6 VPNv6
MP-BGP
LDP LDP
BGP VPN label
RD:Prefix ::FFFF:PE Label 1
MPLS label
PE P/PE NH Label 99
20. www.plnog.pl
Trochę teorii o 6VPE
• Otrzymujemy prefiks CE/Uplink
• PE instaluje trasę w VRFie i dodaje etykietę VPN
• Router PE rozgłasza trasę via MP-BGP z next hopem swojego interfejsu Lo (IPv4).
Modyfikuje go do postaci ::FFFF:IPv4
• Router PE rozgłasza przez LDP/IGP etykietę dla osiągnięcia next hopa
• Po stronie zdalnej router PE instaluje prefiks w odpowiednim VRFie
• Po tym znamy już trasę do prefiksu
21. www.plnog.pl
Co potrzebujemy do wdrożenia
1. Adresację IPv6
2. Skonfigurowane UPLINKI z innymi operatorami ISP
3. Skonfigurowane RR
4. Skonfigurowane routery PE
22. www.plnog.pl
Adresacja IPv6
Jak ją zdobyć?
• Jak jesteśmy LIRem wypełniamy wniosek na stronie RIPE i czekamy na pozytywną
odpowiedź .
„I am happy to confirm the approval of your request and that the RIPE NCC today
allocated the following prefix:
2001:db8::/32 to COMPANY (pl.COMPANY)”
• Jak nie jesteśmy LIRem to zgłaszamy się do swojego LIRa albo sami nim
zostajemy.
23. www.plnog.pl
UPLINKI
1. Zgłaszamy się do swoich dostawców łącz o
uruchomienie protokołu IPv6 na istniejących łączach
z protokołem BGP
2. Konfigurujemy IPv6 na naszych routerach
25. www.plnog.pl
Route Reflectory: polityki dla CORE
Wejściowa:
route-policy RP_RR_VPNV6_IN
pass
end-policy
Wyjściowa:
route-policy RP_RR_VPNV6_OUT
pass
end-policy
26. www.plnog.pl
Route Reflectory: polityki dla DYSTRUBUCJI
Wyjściowa:
route-policy RP_RR_DEFAULT_VPNV6_OUT
if destination in PXS_DEFAULTV6_ONLY then
pass
else
drop
endif
end-policy
Prefiks lista:
prefix-set
PXS_DEFAULTV6_ONLY
::/0
end-set
28. www.plnog.pl
Konfiguracja BGP na RR
Dodanie do obecnej konfiguracji BGP 6VPE dla RR
• router bgp 64512 neighbor-group CORE-RR address-family vpnv6
unicast route-policy RP_RR_VPNV6_IN in
• router bgp 64512 neighbor-group CORE-RR address-family vpnv6
unicast route-policy RP_RR_VPNV6_OUT out
Dodanie address-family vpnv6 do istniejących sesji BGP powoduje ich
chwilowe rozpięcie !!!
29. www.plnog.pl
Weryfikacja BGP na RR
#sh bgp vpnv6 unicast neighbors 172.31.11.1
BGP neighbor is 172.31.11.1
Remote AS 64512, local AS 64512, internal link
Remote router ID 172.31.11.1
BGP state = Established, up for 6w2d
…
Neighbor capabilities:
Route refresh: advertised (old + new) and received (old + new)
Graceful Restart (GR Awareness): received
4-byte AS: advertised and received
Address family VPNv4 Unicast: advertised and received
Address family VPNv6 Unicast: advertised and received
…
30. www.plnog.pl
Weryfikacja BGP na RR
For Address Family: VPNv6 Unicast
BGP neighbor version 29229838
…
Policy for incoming advertisements is RP_RR_VPNV6_IN
Policy for outgoing advertisements is RP_RR_VPNV6_OUT
54476 accepted prefixes, 2 are bestpaths
31. www.plnog.pl
Konfiguracja BGP na RR
Dodanie do obecnej konfiguracji BGP 6VPE dla routerów CORE
• router bgp 64512 neighbor-group CORE address-family vpnv6 unicast
route-policy RP_RR_VPNV6_IN in
• router bgp 64512 neighbor-group CORE address-family vpnv6 unicast
route-reflector-client
• router bgp 64512 neighbor-group CORE address-family vpnv6 unicast
route-policy RP_RR_VPNV6_OUT out
Dodanie address-family vpnv6 do istniejących sesji BGP powoduje ich chwilowe rozpięcie !!!
32. www.plnog.pl
Weryfikacja BGP na RR
#sh bgp vpnv6 unicast neighbors 172.31.1.1
BGP neighbor is 172.31.1.1
Remote AS 64512, local AS 64512, internal link
Remote router ID 172.31.1.1
Cluster ID 172.31.5.1
BGP state = Established, up for 6w4d
…
Neighbor capabilities:
Route refresh: advertised (old + new) and received (old + new)
Graceful Restart (GR Awareness): received
4-byte AS: advertised and received
Address family VPNv4 Unicast: advertised and received
Address family VPNv6 Unicast: advertised and received
…
33. www.plnog.pl
Weryfikacja BGP na RR
For Address Family: VPNv6 Unicast
BGP neighbor version 29234199
Update group: 0.5 Filter-group: 0.2 No Refresh request being
processed
Route-Reflector Client
…
Policy for incoming advertisements is RP_RR_VPNV6_IN
Policy for outgoing advertisements is RP_RR_VPNV6_OUT
14477 accepted prefixes, 2 are bestpaths
34. www.plnog.pl
Konfiguracja BGP na RR
Dodanie do obecnej konfiguracji BGP 6VPE dla routerów Dystrybucyjnych
• router bgp 64512 neighbor-group DISTRIBUTION address-family vpnv6
unicast route-policy RP_RR_VPNV6_IN in
• router bgp 64512 neighbor-group DISTRIBUTION address-family vpnv6
unicast route-reflector-client
• router bgp 64512 neighbor-group DISTRIBUTION address-family vpnv6
unicast route-policy RP_RR_DEFAULT_VPNV6_OUT out
Dodanie address-family vpnv6 do istniejących sesji BGP powoduje ich chwilowe rozpięcie !!!
35. www.plnog.pl
Weryfikacja BGP na RR
#sh bgp vpnv6 unicast neighbors 172.31.51.8
BGP neighbor is 172.31.51.8
Remote AS 64512, local AS 64512, internal link
Remote router ID 172.31.51.8
Cluster ID 172.31.5.1
BGP state = Established, up for 7w4d
…
Neighbor capabilities:
Route refresh: advertised (old + new) and received (old + new)
Graceful Restart (GR Awareness): received
4-byte AS: advertised and received
Address family VPNv4 Unicast: advertised and received
Address family VPNv6 Unicast: advertised and received
…
36. www.plnog.pl
Weryfikacja BGP na RR
For Address Family: VPNv6 Unicast
BGP neighbor version 29235303
Update group: 0.5 Filter-group: 0.2 No Refresh request being
processed
Route-Reflector Client
…
Policy for incoming advertisements is RP_RR_VPNV6_IN
Policy for outgoing advertisements is RP_RR_DEFAULT_VPNV6_OUT
2 accepted prefixes, 1 are bestpaths
37. www.plnog.pl
Routery CORE: polityki dla RR
Wejściowa:
route-policy RP_RR_VPNV6_IN
pass
end-policy
Wyjściowa:
route-policy RP_RR_VPNV6_OUT
pass
end-policy
38. www.plnog.pl
Konfiguracja BGP na CORE
Dodanie do obecnej konfiguracji BGP 6VPE
• router bgp 64512 neighbor-group CORE-RR address-family
vpnv6 unicast route-policy RP_RR_VPNV6_IN in
• router bgp 64512 neighbor-group CORE-RR address-family
vpnv6 unicast route-policy RP_RR_VPNV6_OUT out
Dodanie address-family vpnv6 do istniejących sesji BGP powoduje ich
chwilowe rozpięcie !!!
39. www.plnog.pl
Weryfikacja BGP na CORE
#sh bgp vpnv6 unicast neighbors 172.31.5.1
BGP neighbor is 172.31.5.1
Remote AS 64512, local AS 64512, internal link
Remote router ID 172.31.5.1
BGP state = Established, up for 6w4d
…
Neighbor capabilities:
Route refresh: advertised (old + new) and received (old + new)
Graceful Restart (GR Awareness): received
4-byte AS: advertised and received
Address family VPNv4 Unicast: advertised and received
Address family VPNv6 Unicast: advertised and received
…
40. www.plnog.pl
Weryfikacja BGP na CORE
For Address Family: VPNv6 Unicast
BGP neighbor version 74496124
…
Policy for incoming advertisements is RP_RR_VPNV6_IN
Policy for outgoing advertisements is RP_RR_VPNV6_OUT
54478 accepted prefixes, 54476 are bestpaths
43. www.plnog.pl
Weryfikacja L3VPN na CORE
BGP
BGP neighbor is 2001:db8::6:4513:0:45, vrf INTERNET
Remote AS 64513, local AS 64512, external link
Remote router ID 10.4.1.5
…
For Address Family: IPv6 Unicast
BGP neighbor version 72678402
Policy for incoming advertisements is RP_LX_AS64513 _GLOBAL_6_IN
Policy for outgoing advertisements is RP_LX_AS64513 _GLOBAL_6_OUT
37 accepted prefixes, 1 are bestpaths
44. www.plnog.pl
Konfiguracja BGP na DYSTRYBUCJI
Uruchomienie IPv6 na routerze
(config)#ipv6 unicast-routing
Dodanie do obecnej konfiguracji BGP 6VPE
router bgp 64512
address-family vpnv6
neighbor CORE-RR send-community extended
neighbor 172.31.5.1 activate
neighbor 172.31.11.1 activate
Dodanie address-family vpnv6 do istniejących sesji BGP powoduje ich chwilowe rozpięcie !!!
45. www.plnog.pl
Weryfikacja BGP na DYSTRYBUCJI
#show bgp vpnv6 unicast all neighbors 172.31.11.1
BGP neighbor is 172.31.11.1, remote AS 64512, internal link
Fall over configured for session
BFD is configured. BFD peer is Up. Using BFD to detect fast fallover (multi-hop).
Member of peer-group CORE-RR for session parameters
BGP version 4, remote router ID 172.31.11.1
BGP state = Established, up for 6w2d
…
Neighbor capabilities:
Route refresh: advertised and received(new)
Four-octets ASN Capability: advertised and received
Address family VPNv4 Unicast: advertised and received
Address family VPNv6 Unicast: advertised and received
48. www.plnog.pl
Konfiguracja L3VPN na DYSTRYBUCJI
BGP
router bgp 64512
!
address-family ipv6 vrf INTERNET
redistribute connected
redistribute static
49. www.plnog.pl
Jak to wygląda w tablicy routingu na CORE
#sh route vrf INTERNET ipv6
B 2001::/32
[200/0] via ::ffff:172.31.6.1 (nexthop in vrf default), 5w5d
B 2001:4:112::/48
[200/0] via ::ffff:172.31.6.1 (nexthop in vrf default), 3w5d
B 2001:5:8::/48
[200/0] via ::ffff:172.31.6.1 (nexthop in vrf default), 01:07:15
50. www.plnog.pl
Jak to wygląda w tablicy routingu na DYSTRYBUCJI
#sh ipv6 route vrf INTERNET
B ::/0 [200/0]
via 172.31.14.1%default, indirectly connected