Comments
Description
Transcript
DNS SPC
Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Meeting Consorzio NAMEX – Roma 12 aprile 2007 Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.) 1 Qualified EXchange Network La società Gli obiettivi La rete I servizi Gli sviluppi futuri Pag 2 La Società Consortile QXN Società Consortile per Azioni Costituzione: 10 luglio 2006 I Soci: (60%) (10%) (5%) (25%) Possibili futuri Soci : i Fornitori di servizi di connettività che: Siano iscritti negli elenchi di cui all’art 11 del D.Lgs. 42/2005 Abbiano sottoscritto contratti di fornitura di servizi di connettività con la PA >= 1 M€ Abbiano sottoscritto l’accordo parasociale Pag 3 Gli obiettivi Progettazione, Realizzazione, Esercizio ed Evoluzione della rete QXN di interconnessione tra le reti di tutti i Fornitori SPC Accesso ai servizi erogati da QXN (housing, porte di accesso, banda garantita) da parte di tutti i Fornitori SPC Medesime condizioni di accesso ai servizi sia ai Soci che agli altri Fornitori SPC Pag 4 La centralità della Rete Network : QXN Pag 5 La centralità della QXN • Centralità nella gestione • Centralità nella tecnologia e nei servizi • Centralità nella sicurezza • Centralità negli sviluppi Pag 6 La centralità nella gestione La SC-QXN, attraverso il funzionamento dei suoi organi societari (CdA e Comitato Tecnico), costituisce un punto fondamentale di confronto ed aggregazione fra i Soci, con la partecipazione del CNIPA, ed al tempo stesso di coordinamento tra i fornitori SPC, costituendo quindi uno strumento di controllo e governo a disposizione del CNIPA, il quale, data la natura “multifornitore” del SPC, ha la necessità di svolgere una costante ed attenta azione di presidio e di indirizzo. Pag 7 La centralità nella tecnologia e nei servizi Il ruolo centrale della QXN è insito nel fatto che essa costituisce un elemento nodale che abilita lo scambio di flussi informativi tra tutti i soggetti afferenti al SPC (i Fornitori SPC e le Amministrazioni Centrali e Locali), assicurando elevati livelli di qualità, sicurezza ed affidabilità di servizio. Al riguardo è da osservare che le reti dei primi Fornitori SPC, gli aggiudicatari della gara e soci di QXN, sono caratterizzate da tecnologie, qualità di servizi e strategie di sviluppo differenti fra loro ed è solo la presenza della QXN che ne consente un’efficace integrazione, realizzando di fatto virtualmente un’unica rete nell’ambito del SPC che assicura la fornitura di servizi di qualità uniforme alle PA utilizzatrici finali. Pag 8 La centralità nella sicurezza SC-QXN ha realizzato gli impianti della rete QXN presso i siti del MIX (Milano) e Namex (Roma), curando specificamente gli aspetti di sicurezza in conformità con quanto previsto dal Capitolato Tecnico di Gara: • per la sicurezza fisica dei siti • per la sicurezza tecnica degli impianti, installando apparecchiature specializzate per proteggere il traffico dal rischio di intrusioni Pag 9 La centralità negli sviluppi La QXN ben si presta inoltre per la realizzazione al suo interno di nuovi servizi centralizzati da mettere a disposizione delle Pubbliche Amministrazioni. Un primo caso, d’intesa con il CNIPA, è stato già realizzato. Si tratta del servizio DNS SPC : tutti gli indirizzi di rete sono presenti nel sistema DNS che è parte integrante della QXN. Pag 10 I servizi offerti (1) • Interconnessione OPA Interconnessione OPO (solo tra Fastweb e gli altri fornitori assegnatari della Gara SPC) DNS SPC Generazione tempo ufficiale SPC Network Operation Center (sistema federato di DNS) (NTP server) (Gestione dei servizi con presidio dedicato h.24x365) DNS= Domain Name System NTP= Network Time Protocol Pag 11 Traffico gestito dalla QXN •Infranet – tra PA differenti che aderiscono al contratto SPC (modalità OPA*), con fornitori SPC (Q-ISP) differenti; •Intranet – tra sedi di una stessa PA, in parte direttamente connesse al Q-ISP assegnatario di riferimento della PA (Wind / B.T./ T.I.) ed in parte connesse in modalità OPO* sulla rete del Q-ISP aggiudicatario (FASTWEB); •Traffico da e verso RUPA (attraverso il PIR), al fine di consentire la comunicazione tra le PA già migrate su SPC con le rimanenti ancora attestate alla RUPA OPA = Offerta per le Amministrazioni OPO = Offerta per gli Operatori Pag 12 I servizi offerti – Interconnessione OPA PA 3 PA m www.pa2.it Rete Fornitore SPC A NODO QXN ROMA BRqxn NODO QXN MILANO BRqxn www.pa2.it BRqxn BRqxn INTERNET Rete Fornitore SPC B www.pa2.it PA 1 PA 2 www.pa2.it Pag 13 Servizi Offerti – Interconnessione OPO RM-BRqxn1 QXN ROMA VLAN1 IP subnet1 (/30) VPN PA1 (clt QISP) Sedi in OPO RM-Bropo-FW VLAN2 IP subnet2 (/30) RM-BRopo-QISP RM-BRqxn2 VPN PA1 (clt QISP) FW VPN PA1 (clt QISP) Sedi in OPA VPN PA1 QISP(clt QISP) MI-BRqxn1 VLAN3 IP subnet3 (/30) MI-BRopo-FW VLAN4 IP subnet4 (/30) MI-BRqxn2 MI-BRopo-QISP QXN MILANO Pag 14 L’architettura della rete (1) Due nodi - Roma e Milano - interconnessi con link trasmissivi ad alta velocità (2x100 Mbps SDH, scalabili fino a 1 Gbps) ed affidabilità (ridondanza di apparati e differenziazione dei percorsi trasmissivi) Ogni nodo è composto: una coppia di router Cisco 7609 (BRqxn – Border Routers QXN) interconnessi tra loro e verso la coppia di BRqxn del nodo remoto; un sistema di sonde (Cisco 2811) per la rilevazione dei parametri di qualità della rete (One Way Delay, Packet Loss); sistemi di Firewall e Intrusion Detection System a protezione della sicurezza logica delle informazioni che transitano attraverso la QXN infrastrutture (rack) per housing degli apparati dei fornitori Gli apparati (BR – Border Routers) con cui i fornitori SPC interconnettono le proprie reti alla QXN sono colocati in housing all’interno delle infrastrutture (rack) predisposte da SC-QXN nei due nodi di Roma e Milano Pag 15 L’architettura della rete (2) PA 1 PA m INTERNET INTERNET Rete Fornitore SPC A BRqxn RUPA AS QXN = 41407 BRqxn Range IP: 195.3.160.0/24 195.3.161.0/24 195.3.162.0/24 195.3.163.0/24 PIR BRqxn BRqxn NODO QXN ROMA NODO QXN MILANO Rete Fornitore SPC B PA n PA 1 PA 2 Pag 16 Le caratteristiche della QXN Nodi dislocati presso i NAP (Neutral Access Point) di Roma (NAMEX) e Milano (MIX) Elevati livelli di Sicurezza (fisica e logica) della rete Service Level Agreement (SLA) Disponibilità = 99,99% Tempo di attraversamento della rete (OWD) <= 20 Ms Percentuale di Perdita di pacchetti (PL) <= 0,05% Regole tecniche per l’interconnessione alla rete dei Q-ISP Piano di realizzazione: pronto al collaudo entro aprile2007 Avvio esercizio prevedibile da giugno 2007 Pag 17 Routing sulla QXN • Simmetricità del traffico che attraversa la QXN • Ciascun Q-ISP deve garantire che il traffico generato o diretto verso una PA (o un gruppo di PA) attestata sulla propria rete venga consegnato/ricevuto sempre presso un unico nodo QXN (es. Roma o Milano). • Impiego di Communities per definire la priorità degli annunci BGP dei prefissi delle PA sulla QXN • Bilancianciamento del traffico • all’interno di ciascun nodo del QXN tra BRqx e la coppia di BRQXN; • Il traffico proveniente dalla rete del Q-ISP viene bilanciato (per sessione) dal BRqx su entrambi i BRQXN di ciascun nodo • Routing BGP • Internal BGP fully-meshed tra i 4 BRQXN distribuiti sui due nodi di Roma e Milano; • External BGP tra i BRQXN e i BRQx di ciascun Q-ISP; • l’AS del QXN funge da transito per gli AS dei Q-ISP afferenti al QXN; • ciascun Q-ISP si presenterà verso QXN con il proprio AS Pag 18 Routing sulla QXN • Communities BGP • Per determinare univocamente verso quale BRqx debba essere instradato il traffico proveniente dalla rete QXN (originato dalle PA afferenti agli altri Provider), i BRqx di ciascun Q-ISP devono annunciare i propri aggregati con communities diverse, determinandone univocamente il percorso preferenziale. • Indispensabili per garantire la simmetria del traffico all’interno della QXN. • Utilizzate all’interno dei nodi QXN con il seguente formato: ASn_QXN:LP • Dove: •ASn_QXN corrisponde all’AS number del QXN (AS 41407). •LP corrisponde al valore della Local Preference settata all’interno del QXN per l’annuncio specifico (LP = 130; LP = 120; LP = 110). • community 41407:130 = Setta la LP a 130 all’interno del QXN • community 41407:120 = Setta la LP a 120 all’interno del QXN • community 41407:110 = Setta la LP a 110 all’interno del QXN • community 41407:100 = Setta la LP a 100 all’interno del QXN • no community = DROP del traffico • I Q-ISP hanno visibilità delle communities associate agli annunci provenienti dagli altri QISP tramite QXN, poiché quest’ultima gira senza modificare le communities BGP ricevute. Pag 19 Routing sulla QXN – interconnessione OPA PA 1 Prefix sede PA1 LP130 Prefix sede PA1 LP110 Prefix sede PA1 LP120 Rete Fornitore SPC A X BRqxn Prefix sede PA1 LP100 BRqxn X NODO QXN ROMA BRqxn NODO QXN MILANO BRqxn X X Prefix sede PA2 LP100 Rete Fornitore SPC B Prefix sede PA2 LP110 Prefix sede PA2 LP120 Prefix sede PA2 LP130 PA 2 Pag 20 Routing sulla QXN – scenari di fault (interconnessione OPA) • Funzionamento normale • Ciascun nodo QXN funge da master per un pool di reti (aggregati /24 o meno specifici) e da backup o eventualmente Disaster Recovery per altre. • Il traffico proveniente da ciascun Q-ISP è bilanciato dai BRQx verso entrambi i BRQXN, i quali, lo instradano verso il BRQx di destinazione. • Indisponibilità dell’intero nodo QXN principale • Tutto il traffico Infranet, tra due o più PA afferenti a Q-ISP differenti, passa sul nodo QXN secondario. • Il reinstradamento del traffico è soggetto ai tempi di convergenza dei backbone di ciascun Provider. • Guasto di entrambi i BRQx del Q-ISPA afferenti al nodo QXN principale • Il traffico in uscita dal Q-ISPA, previa riconvergenza del routing BGP intra Provider, è reinstradato verso i BRQx attestati al nodo QXN di backup e, da questi, è bilanciato verso la coppia di BRQXN; • il traffico in uscita dagli altri Q-ISP, destinato alle PA assegnate al Q-ISPA, segue il percorso normale fino alla coppia di BRQXN del nodo principale, in funzione della soluzione di bilanciamento Intra-Provider scelta; da questi, è instradato verso la coppia di BRQXN sul nodo di backup, i quali lo inoltrano sul BRQx di destinazione. Pag 21 Routing sulla QXN – scenari di fault -(interconnessione OPA) (2) • Guasto di un BRQXN • Il traffico viene instradato dai BRQx verso l’altro BRQXN, senza alcuna riconvergenza. • Guasto di un BRQx del Q-ISPA • solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è bilanciato sulla coppia di BRQXN, i quali, inoltrano sul BRQx di destinazione. • Guasto di un link tra il BRQx del Q-ISPA un BRQXN • Il traffico in uscita dal Q-ISPA, che attraversa il BRQx affetto dal disservizio, è instradato solo verso il BRQXN raggiungibile, senza alcuna riconvergenza; • il traffico in uscita dal Q-ISPA, che attraversa l’altro BRQx, non è in alcun modo affetto da tale disservizio. • Guasto contemporaneo del BRQx del Q-ISPA e di un BRQXN • solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è inoltrato verso l’unico BRQXN disponibile, il quale lo inoltra verso il BRQx di destinazione. Pag 22 Servizi Offerti – Interconnessione OPO RM-BRqxn1 QXN ROMA VLAN1 IP subnet1 (/30) VPN PA1 (clt QISP) Sedi in OPO RM-Bropo-FW VLAN2 IP subnet2 (/30) RM-BRopo-QISP RM-BRqxn2 VPN PA1 (clt QISP) FW VPN PA1 (clt QISP) Sedi in OPA VPN PA1 QISP(clt QISP) MI-BRqxn1 VLAN3 IP subnet3 (/30) MI-BRopo-FW VLAN4 IP subnet4 (/30) MI-BRqxn2 MI-BRopo-QISP QXN MILANO Pag 23 Routing sulla QXN – interconnessione OPO • Il fornitori SPC si interconnettono alla QXN mediante apparati denominati BRopo che possono essere, o meno, fisicamente distinti dai BRqx utilizzati per l’interconnessione OPA; • I BRopo utilizzano porte di interconnessione alla QXN fisicamente distinte da quelle utilizzate per l’interconnessione OPA • L’interconnessione tra i BRopo di ciascun QISP assegnatario (Wind, British Telecom, Telecom Italia) e il BRopo del Q-ISP aggiudicatario (FastWeb) non è diretta, ma realizzata tramite i BRqxn della rete QXN, utilizzando sempre tecnologia Ethernet. I BRqxn operano ai fini OPO come L2 switches. • Il collegamento è configurato in modalità trunk (IEEE 802.1q) per il trasporto di un numero di VLAN pari al numero di PA che richiedono connettività Intranet in accordo con l’offerta OPO. • Tale modalità di interconnessione offre la possibilità di monitoraggio e visibilità del traffico OPO da parte CNIPA ai fini della misurazione degli SLA, oltre a delimitare univocamente il confine di ciascun operatore alla porta del BRqxn. Pag 24 Routing sulla QXN - Interconnessione OPO Nodo principale di interconnessione RM-BRqxn1 QXN ROMA X VLAN1 IP subnet1 (/30) RM-Bropo-FW PA1 (clt QISP) VPN1 -Sede A (in opo) VLAN2 IP subnet2 (/30) RM-BRopo-QISP X PA1 (clt QISP) VPN1 - Sede B RM-BRqxn2 FW QISP MI-BRqxn1 VLAN3 IP subnet3 (/30) MI-BRopo-FW VLAN4 IP subnet4 (/30) MI-BRopo-QISP VLAN 1-2-3-4 : assegnate da QXN IPsubnet 1-2-3-4: assegnate da QISP Nodo di back-up di interconnessione MI-BRqxn2 QXN MILANO Pag 25 Architettura di rete – network & SLA management Sonda Sonda Sonda Sonda Sonda Sonda Sonda Sonda Pag 26 Sistema di misurazione SLA Pag 27 Il DNS SPC • E’ un sistema federato di DNS costituito da: •DNS delle PA connesse ad SPC •DNS dei fornitori SPC •DNS QXN • L’obiettivo è quello di fare in modo che tutto il traffico inerente alla risoluzione dei domini delle PA appartenenti ad SPC resti confinato all’interno di SPC stesso. • In questo modo si assicura un elevato livello di sicurezza alle applicazioni che le PA intendono esporre solo in ambito SPC (es. protocollo informatico) e che utilizzano domini e/o host che non devono essere raggiunti, nè debbono essere visibili da soggetti esterni ad SPC. Pag 28 DNS SPC – il modello di funzionamento • I singoli DNS delle PA, interni o in hosting presso l’operatore (QISP), • replicano tutte le proprie zone verso un DNS (DNS QISP dedicato alle PA) che i QISP mettono a disposizione per le PA a loro collegate • sono configurati per avere come forwarder il DNS che il rispettivo QISP ha dedicato alle PA •I DNS istituzionali dei QISP espongono le zone “pubbliche”delle PA su Internet •I DNS dei QISP dedicati alle PA • • • • sono slave dei DNS delle PA afferenti al QISP sono autoritativi per tutti i domini delle PA afferenti al QISP replicano tutte le zone delle PA di loro pertinenza sul DNS QXN sono configurati per avere il DNS QXN come forwarder •Il DNS QXN: • È slave di tutti i DNS dei QISP dedicati alle PA • E’ autoritativo per tutti i domini di tutte le PA connesse ad SPC • È collegato via Internet ai root nameserver per permettere la risoluzione dei domini non appartenenti a PA connesse ad SPC (ma non risponde a query provenienti da Internet) •Tutte le query DNS generate da una PA rimangono così confinate nell’ambito SPC ed in particolare interessano il DNS QXN se: • sono relative alla risoluzione di un dominio di PA connesse ad altri QISP; • sono relative a domini non SPC. Pag 29 DNS SPC – il modello di funzionamento (2) Internet DNS QISP1 DNS QISP2 ISP 1 DNS_QISP1_PA (dedicato alle PA) DNS_QXN Slave QXN DNS_QISP2_PA (dedicato alle PA) ISP 2 DNS PA DNS PA Consultazione Consultazionewww www.google.it PA 1 DNS PA Query DNS client internet www.PA1.it PA 1 PA 2 Risoluzione www.google.it www.PA1.it Query DNS client per PA 3www.google.it per www.PA1.it PA 3 Replica zone Replica zone PA esposte su Internet Pag 30 Gli utilizzatori dei servizi • Attuali • Fornitori assegnatari della Gara SPC (BT, TI, Wind, Fastweb) • CG-SPC • Prossimi • NIV • Centro Coop. Applicazione • Futuri • Fornitori di servizi di connettività e sicurezza qualificati e certificati (elenchi art. 11 DL 42/2005) • Estensione dell’accesso alle PAL ed alle Reti Territoriali (QCN : Qualified Community Networks) Pag 31