[FI] Tietoliikennealan katsaus 2021-03

Ongelmat

10.3.2021 Euroopan suurimman pilvipalveluntarjoajan ranskalaisen OVH:n Strasbourgin konesalissa tapahtui tulipalo. Konesalikampuksella oli neljä salia, joista yksi tuhoutui täysin palossa ja muut kärsivät savuvahingoista. OVH:n CTO Octave Klaba on hoitanut esimerkillisesti avoimen tiedottamisen Twitterissä. Status-sivu kertoo pilvipalveluiden palautumisen tilanteen.

Korjaustoimet aloitettiin vauhdikkaasti ja 60 työntekijää kokosi tuhansia uusia palvelimia viikossa. Matkalla tuli kuitenkin yllätyksiä ja hidasteita, joten palautuminen ei ole edennyt odotetusti. Esim. hissiä ei saatu käyttöön ja kiireessä sattui virheitä, joita jouduttiin myöhemmin korjaamaan. Palvelimien puhdistaminen eteni kolme räkkiä päivässä.

Palon virallinen syy lienee edelleen epäselvä, mutta heti alussa syylliseksi epäiltiin UPS:ää, johon oli edellisenä päivänä tehty huoltoa. Saleissa oli tehty aiemmin myös virtaakaapelien vaihtoa. 1.4. tiloissa havaittiin jälleen savua ja UPS:sta löydettiin kärähtänyt suodatin.

Tapaus on herättänyt keskustelun palveluiden hajauttamisesta ja varmistamisesta sekä varmuuskopiointivastuusta. On hyvä muistaa, että pilvikin voi hajota ja pahimmassa Force Majeure -tapauksessa asiakasta ei edes hyvitetä katkoista. Pilvipalvelussa asiakas itse vastaa datasta ja sen varmistamisesta. Palvelun hajauttaminen eri fyysisiin sijainteihin on myös asiakkaan tehtävä. Forrest Brazeal muistuttaa meitä laulun sanoin varmuuskopioinnin merkityksestä.

Suomessa Nordean järjestelmäpäivitys ja konesalimuutto venyi kaksi päivää yli suunnitellun. Finanssivalvonta joutui puuttumaan poikkeuksellisen pitkään katkoon ja vaati Nordealta selvitystä asiasta. Samalla kyseenalaistettiin varautuvatko pankit tarpeeksi hyvin mahdollisiin häiriöihin. Maksutoiminnot ovat olennainen osa yhteiskuntainfraa ja myös lähes kaikki tunnnistauminen perustuu pankkipalveluihin.

Operaattorit ja 5G

5G-buumi yllätti Suomessa ja 99,8% väestöpeitto saataisiin aikaan kolmessa vuodessa. Traficomin mukaan nopea 5G on nyt saatavissa lähes 2 miljoonaan kotitalouteen Suomessa. Traficom päivitti mobiiliverkon saatavuustaulukkoa, josta selviää 4G/5G:n peitto kunnittain. Ficom julkaisi oman päivityksen laajakaistaliittymien tilastoista Suomessa ja Euroopassa. Myös maailmanlaajuisesti 5G:n tuleminen tapahtuu nopeammin kuin 4G:ssä.

Mm-aaltojen käyttö on alkanut Suomessa, vaikka päätelaitetuki vielä puuttuu. Telia testaa 26GHz:n taajuutta Helsingissä. Kaikki kolme operaattoria ovat ottaneet entisen 700MHz TV-taajuuden käyttöön.

5G:n myötä koko mobiilioperaattorin tekniikka mullistuu. 3GPP jaksaa yllättää. Se on hylännyt kaikki eksoottiset suljetut tekniikat ja valinnut pilvinatiivin API-rajapintoihin ja HTTP-liikenteeseen perustuvan mallin core-verkkoon. 5G-coressa puhutaankin kolmannen osapuolen alustasta, johon valmistajilla on ollut tunkua. Avoin alusta tuo mukanaan integrointimahdollisuuksia verkossa tarjottavilla palveluille, mutta voi olla myös painajainen yhteensovittamisen kannalta. 5G:n network slicingista onkin paljastunut jo tietoturvauhkia, jossa tieto voi vuotaa yksityisverkkojen välillä.

Operaattorien onkin päivitettävä operointimallit ja osaaminen tämän päivän IT-maailmaan. DevOps-periaatteet tulevat tutuiksi, mutta myös tekoälystä haetaan apua ja jopa liiketoimintaa. Yrityksiä kositaan mukaan kehittämään privaattiverkkojen ekosysteemiä.  Yritysverkko ja mobiiliverkko alkavat yhdistyä yhdeksi kokonaisuudeksi, jossa tekniikat sekoittuvat. Cisco tai Juniper voikin olla varteenotettava peluri yksityisverkoissa, koska ne osaavat perinteisen verkkopuolen hyvin. Myös Telecom Infra Project TIP on kasannut ryhmän kehittelemään ratkaisuja privaattiverkkojen houkutteleviin mahdollisuuksiin. 

Internettiin verrattuna operaattorin verkko edustaa suljettua verkkoa ja uhkaa verkon neutraliteettiä. Tekniikassa palataan takaisin kohti piirikytkentää, kun käyttäjille tarjotaan SLA-määritettyä kaistaa. Internetin parhaan yrityksen -pakettivälitys ja avoimuus jäävät unholaan. Aikoinaan internet voitti juuri välttämällä turhia lupauksia ja tarjoamalla avoimuuden kaikille toimijoille. Yrityksille mobiiliverkko on kuitenkin helpompi kuin “IT-säätämistä” vaativa wifi. Esim. ABB:lle tärkeää on yhteyden luotettavuus ja turvallisuus, etäprovisiointi ja monioperaattorimahdollisuus. Operaattori tarjoaa helpon kumppanuuden, jossa suljettu ja kalliimpi ratkaisu vastaa asiakkaan tarpeeseen helpommin kuin tee-se-itse-verkko. Tässä vähän yhteenvetoa ja vertailua wifin ja 5G:n väliltä. Mobiiliverkko tunkeutuu jatkossa huomaamatta monien laitteiden mukana käyttäjälle ja siinä piilee riski, että käyttäjä menettää kontrollin yhteyksiin ja niiden hallintaan.

5G-verkoissa on tehty nopeusennätyksiä kuluttajalaitteilla: Samsung 5,23 Gbps, Nokia 4,5 Gbps ja Rakuten 1,77 Gpbs. Avoin Open RAN on kerännyt tukijoita ja nyt taistellaan onko ASIC vai FPGA oikea tapa toteuttaa alusta. Massive MIMO on monimutkainen 64 lähetys- ja vastaanottoelementin antenni, joka vaatii raskasta laskentaa. Siksi suorituskyvyllä ja tehokkuudella on väliä. ASIC on tiettyyn toimintoon keskittyvä tehokas piiri, jolla saadaan huipputeho, energiankulutus alas ja laitteen koko pienemmäksi. FPGA tarjoaa laajemmat uudelleenohjelmoitavat toiminnot halvemmalla, mutta syö enemmän energiaa huonommalla suorituskyvyllä. 4G on perustunut enimmäkseen FPGA-ratkaisuihin, mutta 5G:tä lähestytään omilla SoC-piireillä, joiden kehittämiseen on investoitu paljon. SmartNIC-valmistaja Xilinx uskoo kuitenkin, että FPGA-ratkaisu riittää myös 5G:hen.

Nokia Bell Labsin Mikko Uusitalo vetää Euroopan 6G-aloitetta Hexa-X. Tulevaisuudessa mobiiliverkko sekoittaa koneet ja ihmiset yhteen digitaaliseen maailmaan, jolla on suuria yhteiskunnallisia ja taloudellisia vaikutuksia. Ensimmäinen julkaisu valottaa näitä visioita. Huippukorkeat terahertsin taajuudet mahdollistavat suuret datanopeudet, mutta niiden käyttö ei olisi niinkään laajakaistaan, vaan juuri ihmisen ja koneiden kommunikointiin lyhyellä etäisyydellä.

Satelliittilaajakaistassa Brittien broadcaster-infrasta vastaava Arqiva on tehnyt SpaceX:n kanssa sopimuksen maa-asemista ja maanpäällisestä kuituverkosta, joilla pyritään saamaan saaren haja-asutus kunnollisen laajakaistan pariin. Brittien konkurssilta pelastama Oneweb jatkaa satelliittiverkon rakentamista ja uskoo arktiseen alueen verkottamisen mahdollisuuksiin. Kuulemma kyselyä on tullut  myös Suomen pääministeriltä. Puolustussektorikin hakee hyötyä kaupallisista verkoista. Lockheed Martin ja Pentagon suunnittelevat molemmat 5G:n käyttöä kommunikointiratkaisujensa perustana.

Nokia

Nokia järjesti viikon mittaisen mediashown, jossa tuli asiaa laidasta laitaan. Verkko-Nokia on toistanut samoja Puhelin-Nokian johtamisvirheitä, joiden myötä yhtiö ajautui takamatkalle kilpailussa. Siilasmaa ja Suri ajoivat yhtiön toimintatavan jäykäksi ja monimutkaiseksi. Alcatel-Lucent -kauppa hiersi koko viiden vuoden ajan ja ajoi yhtiön kahteen leiriin, sisäisiin erimielisyyksiin, lisääntyneeseen byrokratiaan ja lopulta keskusjohtoiseksi. Tavoitteista tehtiin liian mahtipontisia ja tuotesuunnittelu ailahteli, mikä turhautti asiantuntijoita. Lundmarkin myötä alkoi siivous, joka kestää kolme vuotta. Sen verran Nokia on nyt muita jäljessä.

Parantumisohjelmassa leikattiin ensin 11000 työpaikkaa säätöjen hakemiseksi. Vähennykset kohdistuvat enimmäkseen Suomen ulkopuolelle. Nokian henkilöstö on vähentynyt 11% kahdessa vuodessa. Vähennykset liittyvät uuteen liiketoimintamalliin, jossa jokainen yksikkö vastaa omasta tuloksesta ja tekemisestä. Teknologiajohtajuus on Nokialle tärkeää ja siihen panostetaan nyt selvästi enemmän. Suoraviivainen, avoin ja tekniikasta kiinnostunut Lundmark on otettu hyvin vastaan talon sisällä.

Nokia ajautui ongelmiin oman kunnianhimoisen ReefShark-piirisarjan kanssa, koska valmistaja Intel ei pystynyt vastaamaan vaatimuksiin, ja suorituskyky ja kustannustehokkuus eivät olleet mitä piti. Nokia ei myöskään ollut hyvä ohjelmoimaan FPGA-piirejä. Nyt ReefShark on tuotenimi, jonka alla voi olla ASIC-, SoC- tai FPGA-piirejä käyttökohteen mukaan. Nokia on sopinut piirien kehityksestä myös Marvellin kanssa, mutta jatkaa yhteistyötä Intelin ja Broadcomin kanssa. Tänä vuonna tukiasemista 70% on SoC-pohjaisia ja 2022 loppuun mennessä FPGA-piireistä on päästy eroon tukiasemissa. Nokialla on jo ennestään hyvä osaaminen SoC-piireistä.

Nokia panostaa vahvasti pilveen ja avoimeen O-RAN-malliin, jolla se erottautuu muista perinteisesti kilpailijoistaan. Nokia näkee alan mullistuksen ja panostaa Network-as-a-Service -malliin. Pelkkä suorituskyvyn kasvattaminen ei enää riitä, vaan tarvitaan kehittyneempiä ohjelmistoja. Ilman joustavia ja ketteriä verkkoja ei 5G-kilvassa pärjää. Lopulta verkosta tulee kuin pilvipalvelu, jota ostetaan palveluna.

Nokia julkisti yhteistyösopimukset kaikkien kolmen ison pilven kanssa. Googlen kanssa kehitetään 5G-pilvialustaa, AWS:n kanssa asiakaslähtöisiä ratkaisuja ja cloud-RAN-alustaa, ja Azuren kanssa yritysten pilviratkaisuja. Suri uskoi kokonaisratkaisujen myyntiin, mutta nyt Nokia on nähnyt selvästi, että asiakkaat haluavat valita pakettinsa osat erikseen. Nokia keskittyy nyt oikeisiin asioihin ja tulevaisuus näyttää vahvalta, jos asiat hoidetaan kunnolla.

Pilvi, SASE ja Edge

AWS aloitti 15 vuotta sitten S3-palvelulla. Nyt S3 tallentaa 100 triljoonaa objektia (13000 objektia jokaista maailman henkilöä kohti) ja hoitaa kymmeniä miljoonia kyselyitä sekunnissa. Kestävyys oli suunniteltu palvelun ominaisuudeksi alun alkaen tarjoten 11 ysin käytettävyyden.

Ohjelmalliset underlay-yhteydet luirivat pilvipalveluihin ja pilvipelurit yrittävät ottaa osansa yhteysmarkkinasta. Heidän vahvuutenaan on olemassa oleva infra ja osaaminen ohjelmallisen NaaS-palvelun toteuttamisessa. NaaS-palvelulle olisi kysyntää, mutta perinteisten operaattorien on vaikea vastata tarpeeseen. MSP:n pitäisi pystyä tarjoamaan useampia ratkaisuja, jotta niistä löytyisi kullekin asiakkaalle sopiva. Monen erilaisen ratkaisun integroiminen ja orkestrointi taas on erittäin työlästä. Vastatakseen modernisoituvaan ICT-maailmaan, operaattorit joutuvat panostamaan enemmän IT- ja digiosastoihin, mitä Suomessa nähtiinkin vuosia sitten Elisan ja Telian kahmiessa pienempiä IT-taloja itselleen.

Google lisäsi palveluunsa Network Connectivity Centerin, jolla liikennettä voi kuljettaa Googlen runkoverkossa. SD-WAN- ja VPN-yhteydet voi hallita yhden näkymän kautta eri laitteiden kesken. Google myös liittoutui Ciscon kanssa tarjoten automaattista WAN-linkkien provisiointia Googlen verkossa. Mikä on Googlen verkko ja mihin se ulottuu?

Coudflaren hosting ja CDN-alusta laajenee jatkuvasti. Viime vuonna tulivat SASE-palvelut, nyt Cloudflare One -paketiin on lisätty Magic WAN ja Magic Firewall, joilla yritetään helpottaa yhteyksiä Cloudflaren palveluihin ja hallitun tietoturvapolitiikan toteuttamista. Integraatiot löytyvät Velocloudille ja Silverpeakille. Kuten Googlellakin, asiakas voi käyttää Cloudflaren runkoverkkoa omiin yhteyksiinsä ja tietysti pakettiin kuuluu keskitetty ohjauspaneeli. Muita omaan runkoverkkoonsa luottavia ovat mm. Cato ja Microsoft. Jos tämä suunta jatkuu, näyttää, että avoin internet kääntyykin pikku hiljaa suljettuihin verkkoihin, kuten on käynyt sisältöpalveluissa. Joka tapauksessa pilven myötä keskittyminen alkaa olla huipussaan, jonka jälkeen alkaa hajautuminen ja edgen tuleminen.

SASE:n matka on vasta alussa ja markkina on hajanainen. Gartnerin ennuste näyttää kovaa kasvua lähivuosille. Valinnoissa kannattaa olla tarkkana, koska kohta todennäköisesti alkaa valmistajien pudotuspeli ja yhdistyminen. Pilvialustojen voittokulku näyttää jatkuvan nyt myös yhteysmarkkinoilla kun sovellukset on saatu haalittua pilveen. Tietoturvaominaisuudet ovat tärkeitä ja SASE:n myötä niitä kulutetaan palveluna. Palveluiden hajanainen hinnoittelu alkaa lähentyä toisiaan.

SASE sijaitsee nimensäkin mukaan reunalla, mutta Benu on vienyt SASE-palvelut operaattorin reunalle BNG-keskittimeen. Idea tarjota palvelua laajakaistakeskittimessä lähellä käyttäjää, on loistava. Tosin samaa ajatusta on käytetty vuosikaudet CDN-palveluissa. SASE ja CDN ovatkin toistensa sisarukset. Voit ihmetellä näistä listoista pilven ja edgen trendejä, keksintöjä ja yrityksiä.

Azuren uusi ominaisuus Routing Preference antaa mahdollisuuden valita haluaako liikenteensä kuljettaa internetissä vai Microsoftin verkossa. Azuren Route Server helpottaa dynaamista reititystä pilvessä. Ivan Pepelnjak johdattaa syvemmälle Route Serverin käyttöön, toteutukseen ja konfigurointiin. Tästä johtopäätöksenä voidaan todeta, että pilvitietoliikenne monimutkaistuu koko ajan ja tarve osaaville tietoliikenneasiantuntijoille on edelleen olemassa.

AWS on kasvattanut Transit-GW:n ja VPN:n reittirajoja 5-10 kertaa suuremmiksi vastatakseen paremmin tarpeeseen. Kollegani Markku huomasi, että AWS käyttää verkossaan E-luokan osoitteita alueesta 240.0.0.0-255.255.255.255. Alue on allokoimaton ja varattu tulevaisuuden käyttöön. Varmaankin AWS:n motiivina on olla käyttämättä julkisia osoitteita sisäiseen infraan ja E-luokka ikään kuin näyttää julkiselta osoitteelta, vaikka se vain sisäisessä käytössä onkin. E-luokka ei reitity julkisesti ja monessa laitteessa se kuuluu martian-osoitteisiin, jotka tiputetaan automaattisesti. Oma arvaus kuitenkin on, että E-luokka tulee joskus vielä käyttöön ja internet-reititykseen. Sen verran pulaa IPv4-osoitteista on. Ja sitähän AWS:n E-luokan käyttökin tavallaan todistaa. Sillä välin voit katsoa elokuvan “The End” IPv4-osoitealueen täyttymisestä.

Oracle toi L2-verkot pilveen ja Ivan Pepelnjak käy läpi samat L2:n ongelmat, joita on yritetty ratkaista vuosikymmeniä.

Kyberturvallisuus

Huoltovarmuuskeskus on julkaissut ohjeita kyberturvan huomioimiseksi ICT-sopimuksissa ja PolAMK oppaan kyberrikostutkinnasta. Yritykset ilmoittavat huonosti kyberrikoksista poliisille ja ne punnitsevat tarkkaan haittoja ja hyötyjä. Pelkona saattaa olla mainehaitta, rikostutkinnan kuormitus tai uskon puute, että koko asiasta olisi mitään hyötyä. Lisäksi Suomessa on useita viranomaisia, joille pitäisi asiasta ilmoittaa. Supo vastaa kansallisista uhkista, Traficom luo tilannekuvaa ja auttaa selvityksessä, tietosuojavaltuutettu hoitaa henkilötietoloukkaukset.

Supo kertoi eduskunnan tietomurron takana olevan kiinalainen APT31-ryhmä, joka oli naamioinut hyökkäyksen tietoturvaohjelmiston päivitykseksi. Tiedustelupalveluiden kerrottiin käyttäneen hyökkäyksissä kotireitittimiä ja verkkotallentimia. Supoa on sanottu koiraksi, joka ei hauku. Nyt se nimesi ensimmäistä kertaa hieman kierrellen ja kaarrellen kiinalaiset hyökkäyksen tekijöiksi. Tiedustelu on Supon mielestä ongelmallista, koska turvallisuutta uhkaava toiminta viedään helposti kotirauhan suojaan, jonne tiedustelulla ei ole pääsyä. Samalla Supolta kysytään läpinäkyvyyttä tiedusteluun, jonka tuloksista ei ole kerrottu juuri mitään.

Ubiquitin tietomurto onkin pahempi kuin aiemmin näytti ja yhtiö on selvästi vähätellyt tapahtunutta. Hyökkääjät olivat saaneet pääkäyttäjätunnukset AWS:n tietokantaan, josta he saivat pääsyyn tarvittavia tietoja. Ainakin kaikki Ubiquitin salasanat kehotetaan päivittämään, ja hyvä käytäntö voisi olla myös poistaa kaikki käyttäjäprofiilit laitteista ja luoda ne uusilla salasanoilla. Tietysti laitteet pitää päivittää uusimpaan softaan ja etähallintaa kannattaa harkita poistettavaksi käytöstä ainakin väliaikaisesti.

F5 Big-IP 11.6-12.x ja Big-IQ 6-7.x oli neljä vakaa haavoittuvuutta, jotka pyydetiin päivittämään heti. Supermicron emolevyn Trickbot-haavoittuvuus vaikutti Pulse Securen PSA5000/7000-laitteisiin. Unixin GRUB2 boot loaderiin on julkaistu korjauksia vakavaa suojatun käynnistyksen BootHole-haavoittuvuutta vastaan. Päivitykset suositellaan asentamaan heti kun valmistajat tuovat ne omiin laitteisiinsa. Chrome blokkaa nyt selaimen pääsyn nyt myös TCP 554-porttiin estääkseen NAT Slipstream 2.0 -haavoittuvuuden käyttöä. Microsoft julkaisi erittäin vakavia DNS-komentosuoritushaavoittuvuuksia zonejen dynaamisissa päivityksissä. Vanhat NIST:n DNS-ohjeet pätevät edelleen. Pythonin PyPI-paketti-hallinnasta on poistettu 3653 haitallista pakettia. Paketit uivat helposti sitä kautta kehittäjien omiin projekteihin mukaan.

IBM:n raportin mukaan hyökkäykset kohdistuvat aiempaa enemmän Linuxiin ja sen myötä pilvisovelluksiin. Pilvessä laitteet ovat todennäköisemmin saavutettavissa ja pilvessä on tarjolla paljon kapasiteettia. Automaattisia työkaluja käytetään alttiiden kohteiden skannaamiseen ja kun kohde löytyy, se murretaan hetkessä. Kuka tahansa voi joutua uhriksi. Uusia rahastusmahdollisuuksia haetaan myös teollisuusautomaation ohjausjärjestelmistä, joiden takana liikkuvat isot rahat ja mahdolliset lunnaat.

Kanadalaisella Sierra Wirelesillä tapahtuikin kiristyshyökkäys, jossa henkilöstö ei päässyt käsiksi suunnittelu- ja valmistusjärjestelmiin. Vaikka IT- ja tuotantojärjestelmien välillä onkin selkeä erotus, tehtaat jouduttiin sulkemaan. Tiedotteen mukaan tuotteisiin ja verkkopalveluihin iskulla ei ollut vaikutusta.

Fortinet ja Linksys ovat lähteneet yhteistyöhön kotiverkkojen turvallisuuden nimissä. Fortinet on investoinut 75 miljoonaa dollaria Linksysin reititinratkaisujen kehittämiseen ja tavoitteena on ilmeisesti vahvistaa Linksysin laitteita Fortinetin tietoturvaosaamisella. Fortinet saa myös edustajan Linksysin hallitukseen. Toistaiseksi tämä on markkinamiesten sanahelinää ja nähtäväksi jää mitä yhteistyö poikii.

Huawein työpaikkailmoituksia käytettiin houkutuksena operaatio Diànxùnissa, jossa teleoperaattoreiden henkilöstöltä yritettiin saada tietoa 5G-asioista. Ainakin 23 operaattoria on joutunut aktiivisen kampanjan kohteeksi.

Amerikassa on vaadittu yrityksiltä ja valmistajilta parempaa läpinäkyvyyttä kyberriskien tiedostamiseen ja hallintaan, vaikka siihen ei laissa ole keinoja puuttua. Yritysten data on valmistajien armoilla ja näkyvyyttä käytäntöihin ei ole. CISA on ehdottanut yrityksille turvallisuusluokitusta, jotta kyberriskit voitaisiin nostaa esiin ja hallituksen päätettäväksi. Hallitukset näkevät kyberturvallisuuden tärkeäksi ja vaikuttavaksi asiaksi yritysten tulevaisuuden kannalta. Julkisten yhtiöiden osalta haluttaisiin saada enemmän konkreettista tietoa missä riskejä on ja miten niitä hallitaan. Esimerkiksi FireEye avasi toimintaansa ja otti riskin. Esimerkin voimalla toivotaan muidenkin lähtevän vapaaehtoisesti avoimempaan suuntaan.

Solarwinds raportoi oman hyökkäyksensä tutkimisen ja palautumisen maksaneen toistaiseksi 3,5 miljoonaa dollaria. Hinta on todella pieni jos vertaa sitä laajoihin vaikutuksiin, jotka koskevat muitakin yhtiöitä. Lisäkustannuksia toki odotetaan vielä paljon lisää ja mainehaittaa tuskin voi rahalla korvata. Toisaalta asia unohtuu ja homma jatkuu kuten ennenkin.

Erikoisempaa kybersuojelua harjoitetaan brittien voimin. Uusi kuninkaallinen monikäyttöinen valtamerilaiva alkaa partioida valtamerillä ja valvoa merikaapeleita 2024. Laivassa on kehittyneitä sensoreita ja se käyttää vedenalaisia droneja tietojen keräämiseen. Britit ja USA ovat huolestuneita Venäjän agressiivisesta operoinnista Atlantilla ja kuituihin kohdistuvista kasvavista riskeistä.

Tekniikka

Kaapeloinneissa uusin vihreä OM5-monimuotokuitu käyttää Shortwave Wavelenght Division Multiplexing -tekniikkaa. Epästandardilla SWDM-siirrolla saadaan 50 metriä lisää kantamaa, standardisiirrolla matka on sama kuin OM4:lla. OM5 ei tuo juurikaan mitään lisää ja suuremmilla nopeuksilla kuin 100G, kehitys menee joka tapauksessa yksimuotokuituun.

Kuparikaapeloinnissa yli kymmenen vuotta vanha Cat6A on pitänyt pintansa hyvin ja on säilyttänyt asemansa vallitsevana kaapelointistandardina myös uusissa asennuksissa. Standardoinnin uusin versio Cat8 nostaa kaistan 2 kHz:iin ja sillä saa 25-40 Gbps-siirtonopeuden 100 metrin matkalle. DSL-tekniikalla puhelinkaapelin yli suunnitellaan jo 1Tbps-nopeuksia. G.fastin jälkeen puhutaan Waveguidesta ja tekniikoista G.nlp, G.nest ja G.tdsl.

Langattomalla puolella Wifi7 802.11be-standardi pitäisi saada valmiiksi 2024, jolloin odotetaan myös laitteita myyntiin. Taajuuksiin on lisätty 6 Ghz, kaistanleveys on kasvanut 320 MHz:iin, modulaation on 4096-QAM ja kanavointi 16×16 MIMO, joilla päästään 30-46 Gbps-nopeuksiin. 6 GHz on käytössä jo Wifi6E:ssä ja taajuutta ollaan vapauttamassa EU:ssa. Saudi-Arabiassa tehdään maailman nopeinta wifiä avaamalla koko 6 GHz:n taajuusalue wifin käyttöön. 6 GHz ratkaisee monia wifin ongelmia, mutta tarkoittaa myös kantaman pienenemistä, jolloin verkoissa joudutaan herkemmin mesh-toteutuksiin.

Valmistelussa on myös wifin laajennus 802.11bf SENS, jonka avulla wifi-laitteet voivat mitata etäisyyttä, liikettä, suuntaa ja paikkaa käyttäen wifi-signaalia. IEEE:n standardiksi pyritään samaan aikaan 2024 Wifi7:n kanssa. Muitakin vastaavia tekniikoita on kehitteillä ja seurannassa oletetaan mullistavia sovelluksia, joista kaikki eivät välttämättä ole innoissaan. Seurannasta pitää olla mahdollisuus poistua.

Cisco ja Apple ovat tehneet yhteistyötä käyttäjäkokemuksen parantamiseksi jo vuodesta 2015. Nyt Fastlane+ lisää Wifi6-yhteyteen ennustettavan ajoituksen, jolla kuormittuneessa ympäristössä Apple-päätelaitteet ja Ciscon Catalyst -tukiasemat voivat neuvotella optimoidusta viiveestä. Taika tapahtuu käyttäjän tietämättä taustalla.

400G-optiikassa Infinera ajaa omia XR-optiikoitaan standardiksi. 400G-XR -optiikkaa käytetään PON-verkossa symmetriseen 400G-palveluun. Se on ainut koherentti suurilla nopeuksilla toimiva point-to-multipoint -teknologia, jossa hyödynnetään erikseen reititettäviä 25G-alikanavia. Infinera on testannut optiikkaansa kentällä monessa paikassa ja odottaa kaupallista käyttöönottoa ensi vuonna.

Ensi vuonna odotetaan myös 800G-optiikan tuloa kytkimiin ja porttitiheyden kasvua. Tästä seuraa ongelmia komponenttien integroinnissa. Yhteisapakatut optiikat etsivät vielä muotoaan.

Cisco esitteli uusia jäseniä Silicon One -perheeseen, jonka huippuvauhdit ovat 25,6Tbps. Silicon Onen etuna on joustavuus ja yhdenmukaisuus. Perheessä on yhdeksän eri piiriä eri  käyttökohteisiin. Kuitenkin  sarjalla on yksi ja sama arkkitehtuuri ja ominaisuudet, joista otetaan tarpeen mukaan käyttöön sopivat.

SmartNIC:t ovat ottaneet paikkansa pilvikiihdytyksessä. Ne voivat helpottaa CPU:n kuormaa ja tehostaa esim. verkon, tallennuksen tai koneoppimisen töitä. SmarNIC:t ovat yleensä FPGA-pohjaisia PCIe-paikaan sopivia kortteja, mutta tiukasti integroituja raudan kanssa.  Xilinxin Alveo SN1000 -kortti tarjoaa 100Mpps alle 3 us viivellä ja 4 miljoonaa tilallista sessiota alle 75 W:n kulutuksella. Netronome Agilio LX kilpailee vastaavassa sarjassa.

Uusia vNOG-esityksiä on julkaistu. David Roy kertoo Junos Inline-monitoroinnista. Tarkoituksena on striimata liikennedataa ulos laitteesta IPFIX-formaatissa ja ulkoistaa monimutkaisemmat datankäsittelyt vastaanottopäähän. Dataa saa kerättyä flow:sta tai mirrorista firewall-filtterin tarkuudella joko samplattuna tai 1:1. Mitä sitten flow collector sisältää ja miten se toimii? Esimerkkinä Flowhouse. Linuxin 5.13 kernelin myötä pakettien samplaus lisää flow-tietoon suorituskykymetriikkaa. Sflow voi siis tuottaa reaaliaikaista telemetriatietoa pakettien viiveistä ja porttien jonon pituuksista. Aaron Glenn esittelee mikä on P4-ohjelmoitava välityskerros ja mitä sillä voi tehdä. Ciscon Fred Cuiller kertoo miten kaksi isoa operaattoriverkkoa yhdistetään.

Samalla kun maailma on enemmän ja enemmän riippuvainen elektroniikasta, iso aurinkopurkaus saattaa tuhota suuren osan maapallon elektroniikasta. Nasa arvioi, että ison purkauksen todennäköisyys tällä vuosikymmenellä on 12%. Purkaukset tapahtuvat 11 vuoden sykleissä ja viimeisin alkoi 2019 lopussa. Tutkijat havaitsevat purkauksen 8 minuutin viiveellä ja maahan purkaus iskee 17-36 tunnin kuluessa, joten on vaikea kuvitella, että suojautuminen onnistuisi nykymaailmassa.

Avoin lähdekoodi

The Hedge -podcastissa Daniel Teycheney keskustelee avoimesta koodista verkkotuotteissa. Kuten kaupallisissa tuotteissakin, avoimen koodin kehittäjät kaipaavat palautetta ja kokemuksia koodista. Käyttäjän ei tarvitse kantaa huonoa omaatuntoa ilmaisista tuotteista, vaan voi antaa arvokasta palautetta, jonka pohjalta tuotteista voidaan tehdä parempia. Käyttäjät luovat tuotteista luotettavia.

Lontoon yhdysliikennepiste LINX on käyttänyt jo useamman vuoden disaggregointia Edgecoren kytkimillä ja IP Infusionin NOS:lla. Nyt malli laajenee Manchesterin pisteeseen. LINX on ottanut hyvän asenteen ja toiminut ammattimaisesti disaggregoinnin tuomisessa tuotantokriittiseen ympäristöön. Tätä tarinaa on kiva seurata.

Yleensä kytkin-ASIC konfiguroidaan valmistajan SDK:n kautta. SDK kuitenkin rajoittaa käyttöjärjestelmän ominaisuuksia ja suorituskykyä. Viime vuosina on yritetty uutta tapaa, jolla verkkokäyttöjärjestelmä NOS saataisiin ajettua suoraan Linuxin kernelissä. Switchdev ja kernel-API:t eivät ole kuitenkaan yleistyneet valmistajien keskuudessa ja vain yksi ASIC-valmistaja on kirjoittanut switchdevin kanssa toimivan ajurin.

Microsoftin Sonic on kerännyt suosioita valmistajien keskuudessa ja tuki sille löytyy yllättävän monesta raudasta. Sonic näyttää olevan tuleva de facto -standardi avoimissa verkoissa. Jopa Gartner on yltynyt ennustamaan, että 2025 40% yli 200 kytkimen konesaleista ajettaisiin Sonicilla. Sonicista odotetaan jopa Linuxia vastaavaa standardikäyttöjärjestelmää, mikä olisi hajanaisessa kentässä mukava selkänoja.

IPSec-VPN on pöhöttynyt raskas protokollaperhe, jonka rinnalle on noussut viime vuosina avoin ja ilmainen Wireguard-sovellus ja -protokolla. Tämäkin sovellus ajetaan Linuxin kernelissä ja nyt myös BSD ja sen mukana pfSense on tullut mukaan. Käyttöjärjestelmätuki on laaja Windowsista Mac OS:ään ja Androidista IOS:iin. VPN-tunneloinnilla voidaan tehdä reititettyjä ja siltaavia erilaisia topologioita. Teknologia on kevyt ja tehokas: vertailussa Wireguardin koodi on vain 1% IPSecin ja OpenVPN:n koodimäärästä. Salaukseen käytetään ainoastaan ChaCha20-salausta. Wireguard yksinkertaistaa ja helpottaa yhteyksien muodostusta.

Yritykset

Tietoala on julkaissut työmarkkinatutkimuksen tulokset. Keskimääräinen kokoaikatyön palkka on 4414 €/kk ja suurimman korotuksen, keskimäärin 600€, saa vaihtamalla työpaikkaa. Pääkaupunkiseudulla palkat ovat keskimäärin 19% eli 757 €/kk suuremmat kuin muualla Suomessa.

Juuri kun alustatalouden toimijoita on alettu saada työsuhteiden piiriin, Suomen suurimpiin liittoihin kuuluva Teknologiateollisuus päätti irtautua yleisistä työehtosopimuksista. “Työmarkkinapommin” tarkoituksena on lisätä paikallista sopimista työpaikoilla. Jäsenyritykset ovat hyvin erilaisia ja niillä on omat tarpeensa, perustellaan ratkaisua. Jatkossa Teknologiateollisuuden jäsenet sopivat asioista paikallisesti ja yleissopimukseen liittyville yrityksille perustetaan uusi liitto Teknologiateollisuuden työnantajat.

Elektroniikkateollisuutta ja piiripulaa vaivaavat yllättävät vaikutusketjut. Piirivalmistuksessa tarvitaan runsaasti vettä, mutta Taiwania vaivaa kuivuus ja veden käyttöä joudutaan rajoittamaan. Samaa on kuultu Saksan tehtailta. Kuivuus taas johtuu ilmastonmuutoksesta, joka ei tuo enää taifuuneja Taiwanille niin usein kuin ennen.

Broadcomin tämän vuoden tilauskanta on 90% täynnä kun normaalitaso olisi n. 25%. Toimitusajat ovat venähtäneet pahimmallaan 8 kuukaudeksi. Huawei on onnistunut kehittämään omaa HiSilicon-piiriään, mutta valmistaja TSMC aiheuttaa rajoituksia saatavuuteen. Huaweilla parhaiten menestyy Enterprise-yksikkö, joka tekee pesäeroa telecom-sektoriin. Kompensoivaa kehitystä on suunnattu pilveen, ohjelmistoihin ja muuhun ICT-sektoriin.

Cisco ja Huawei pitävät kärkipaikkaa Dell’Oron yritysverkkolaitemarkkinatilastossa viime vuodelta. Ciscon 40% markkinaosuus on omilla lukemillaan ja perässä seuraava Huawei saa juuri kaksinumeroisen osuuden 10%:lla. Tilasto sisältää kaikki lankaverkoista wifiin ja WAN:sta tietoturvalaitteisiin. Siksi yllättävät sijat 4-5 ottava Paloalto ja Fortinet samalla osuudella kuin Aruba. Yleisesti kampus- ja konesaliverkon myynti väheni ja reititin- ja tietoturva olivat ohjelmistojen ja lisenssien myynnin myötä nousussa. Wifi pysyi tasaisena.

Arista on kaapannut noin puolet Ciscolta vuotavasta kaupasta ja loput ovat menneet whitebox-valmistajille. Microsoft ja Facebook ovat olleet Aristan suurimmat asiakkaat, mutta leikkasivat ostoja viime vuonna. Aristan asiakaskanta on nousset kymmenessä vuodessa 1100:sta 7200:aan. HPE:llä sen sijaan on mennyt odotettu paremmin Aruban ja SD-WAN:n toimiessa digitalisaation muutosvetureina. Myös Aruba Central pilvihallinta on vahvistanut Aruban asemaa mutta Silver Peakin integrointi on tärkeä kehityskohde, jotta sen tuomat lisäominaisuudet saadaan käyttöön. Aruba muutti Centralin lisensointimallia ja nosti hintoja alustan tuoman kulukasvun myötä. Aruba Central on pyörinyt AWS:ssä, mutta nyt alusta on mahdollista saada myös Azuresta. Lisäksi Microsoft-yhteistyö toi Azureen Aruba IoT Transportin, jolla IoT-laitteet voi yhdistää tukiaseman tai kontrollisen IoT-hubin kautta pilveen.

Fortinet ostaa monipilven infran suojakseen erikoituneen ShieldX:n. Isrealilainen entisten Checkpointin työntekijöiden perustama Orca Security hyökkää Paloaltoa vastaan ja aikoo voittaa sen asiakkaita itselleen. Lupauksena on oikeasti toimiva ja kattava pilvitietoturva. Yritysten välinen suhde on lähtenyt omalle uralleen kun Orca suututti Paloalton julkaisemalla tuotteiden vertailuvideon. Paloalto vastasi uhkaamalla oikeushaasteella ja soppa oli valmis. Sen jälkeen on vaihdettu julkisia viestejä blogien kautta.

Equinix on esitellyt uuden konesaliratkaisun, joka perustuu tehtaalla rakennettuihin moduleihin. Moduleilla voidaan rakentaa kapasiteettia pienemmissä yksiköissä ja energiaa voidaan tuottaa joustavasti eri tavoille. Ensi kertaa mallia kokeillaan Ranskassa Bordeauxissa. Equinix on omilla lukemillaan selvänä johtajana tuoreessa Interconnection-markkinatilastossa, josta selviää, että Equinixilla on yhteensä 392000 yhteyskytkentää. Digital Realty ja Megaport seuraavat perässä.

Internet

Venäjä on yrittänyt suitsia yhteistyöhalutonta Twitteriä. Ensin Twitterin liikennettä hidastettiin, mutta vaikutukset osuivatkin laajemmin muuhun internet-liikenteeseen. Rostelecom oli blokannut kaikki Twitterin lyhennetyt t.co-domainit, mutta joltain meni regexit pieleen ja kaikki t.co sisältävät domainit blokattiin, sisältäen mm. microsoft.com ja reddit.com. Venäjän internet-liikenne dippasi 24%. Seuraava vaihe oli estää koko Twitterin käyttö jos haitallinen sisältö ei poistu palvelusta.

Blogeissa on muisteltu vuotta 2014 kun reititystaulun koko ylitti 512000 reittiä ja reitittimiä kaatui muistinpuutteeseen. Nyt odotetaan reititystaulun koon ylittävän miljoona reittiä suunnilleen vuoden 2023 lopussa. Ennen sitä tulee IPv6-taulussa täyteen 128000 reittiä. Nyt taulujen koot ovat luokkaa IPv4 860000 ja IPv6 109000. IPv4:ssa /24 prefixien määrä kasvaa tasaisesti ja on nyt jo 60%. Nykyisten reitittimien kannalta taulun koosta tuskin tulee isompia ongelmia jos laite on tarkoitettu peeraukseen ja siinä on riittävästi RAM:ia.

RPKI-rintamalla Lumen (entinen CenturyLink, entinen Level3), yksi isoimmista tier-1 -operaattoreista, on ottanut käyttöön reittien RPKI-validoinnin. Qrator Labs selittää mitä eroa on BGP route leakilla ja BGP hijackillä. Ja mitä RPKI:llä ja ROA:lla on oikeastaan merkitystä.

USA:n DoD on tehnyt suunnitelman myydä kaikki omistamansa 13 A-luokkaa IPv4-osoitteita. Paketilla on kyllä messevä markkina-arvo rahoittaa muita projekteja ja toimintaa.

Aasiassa kauppasota rakentaa kapasiteettimuuria kun USA on pakottanut isot merikaapelikapasiteetin tuottajat pistämään Tyynenmeren hankkeensa jäihin. Myös Australia on toiminut aiemmin samoin. Facebookilla on ollut suunnitteilla kaksi kaapelia Echo ja Bitfrost USA:n länsirannikolta Indonesiaan ja Singaporeen. Kaapelikapasiteetin viivästykset eivät kuitenkaan merkittävästi vaikuta talouteen, mutta saattavat kyllä ruokkia paikallisia kapasiteettikeskittymiä esim. Japanissa ja Taiwanissa.

Mielenkiintoinen kysymys kuituinvestoijille: kuinka kauan kuitu kestää? Kuituvalmistajat eivät anna kuiduille elinikää. Käytännössä näkyy, että 1980-luvun kuidut alkavat ikääntyä. Noista ajoista valmistusmenetelmät, laatu ja käsittely ovat kehittynyt huomattavasti, ja samoja ongelmia ei uudemmilla kuiduilla enää ole. Epävirallisesti tutkijat ovat todenneet, että kuidun pitäisi kestää 75 vuotta tai enemmän.

Operointi

Olemme kaikki verkkojen ja palveluiden ylläpitäjät samassa veneessä, joten on empatia on tärkeää. Toisten ongelmille ja vahingoille ei ole järkeä ilkkua tai nauraa, koska jonain päivänä pilkka osuu omaan nilkkaan. Ennemmin kannattaa sympata toisia ja yrittää olla avulias, ymmärtäväinen ja kannustava. Hugops on saanut sijaa varsinkin isoissa ja vakavissa tapauksissa kuten OVH:n tulipalo, mutta miksei myös pienemmissä ongelmissa ja pulmissa.

Monimutkaisuudesta jaksetaan aina jankuttaa, mutta ihan syystä. Miksi verkon aina annetaan omia ja hoitaa kaikkien muiden ongelmat ja toteuttaa villeimmät toiveet? Asiantuntijat itse tekevät verkoista monimutkaisia ja hankalia, vaikka liiketoiminnalle riittäisi vähempikin. On aika sanoa ei ja hoitaa asiat siellä minne ne kuuluvat. Pidetään verkko siistinä ja yksinkertaisena. Sitten ehkä automatisointikin voi onnistua.

Cisco on tehnyt sopimuksen Terraformin pilvipalvelun liittämisestä sen omaan Intersight-monipilvihallintaan. Ciscon Intersightin kautta saa käyttöön Terraformin IaC-työkalut SaaS-palveluna.

Erilaisten laitteiden pyörittäminen omassa ympäristössä tai labrassa on helppoa kunhan saisi ladattua imagen jostain. Ethan Banks on keräänyt listan ja ohjeet. Toisilla valmistajilla se on helppoa (Arista, Cumulus, Aruba), toisilla vaikeampaa (Cisco, Juniper).

Abstraktoinnin tasolla verkon validointi ja testaus on vaikea ja monisyinen asia.

Tapahtumat

Microsoft Ignitessä saatiin kasa julkistuksia. CTO Mark Russinovich piti laajan Datacenter-esityksen. Ajassa 19:17 käydään läpi WAN: yli 130000 km kuitua, yli 180 edge-saittia, 149000 RPKI-allekirjoitettua reittiä, Azure Orbital avaruuslaitteiden kytkemiseksi Azureen. Ajassa 27:46 muutama sana verkonhallinnasta. Ajassa 42:04 visioita ja hullunkurisia kuvia nestejäähdytyksestä. Ajassa 56:10 Chaos Studio Azuren kaaostestaamiseen.

Erilainen tapahtuma IETF110 pidettiin jälleen virtuaalisena ja kaikki sessiot löytyvät Youtubesta. Se tarjoaa oudon kokemuksen seurata työryhmien toimintaa ja pitkiä istuntoja kaikista mahdollisista aiheista.

Kesäkuulle ajoitettu MWC Barcelona on kärsinyt osallistujakadon. Isoista vain Verizon on vahvistanut osallistuvansa, muut ovat peruneet yksi toisensa jälkeen. Sinnikäs pilvikonsultti aikoi käyttää rahaa vuokratakseen Ericssonin ständin ja julistaakseen julkisen pilven ilosanomaa omassa “Cloud Cityssään”. Myös Saksan laajakaistakongressi Angacom on virtualisoitu tältä vuodelta ja ensi vuonna yritetään uudelleen paikan päällä.

Kuukauden epätoivo

Erään ulkomaisen yrityksen Suomen konttoria kohtasi katastrofi, jossa ERP-järjestelmän päälle itse kyhätty palvelukokonaisuus hajosi. Myös DNS oli leivottu sisään ERP-järjestelmään, ja kun se lakkasi toimimasta, koko palvelu poistui maailmankartalta. Palautuminen tuntui olevan muutaman ihmisen epätoivoinen taistelu historian painolastia vastaan. Käyköön tämä esimerkkinä teknisestä velasta ja sen seurauksista.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: