[FI] Tietoliikennealan katsaus 2021-04

Operaattorit

Suuri uutinen 5G-maailmasta oli kun amerikkalainen uuden polven operaattori Dish valitsi AWS:n pilvikumppanikseen. Dish rakentaa pilvinatiivin standalone 5G -Open RAN:n täysin julkiseen pilveen käyttäen AWS:n Local Zoneja ja Outposteja. Lähes kaikki muu kuin antennit ja kaapelit siirtyvät pilveen. AWS räätälöi alustaa tähän käyttötarkoitukseen ja pilven avulla palvelu saadaan hajautettua lähelle käyttäjiä ja viiveet alle 10 ms:n. Runkoverkkona edgen ja konesalin välillä käytetään AWS:n verkkoa. Pilven API-rajapinnat ja palveluvalikoima ruokkivat ja helpottavat palveluiden kehittämistä, ja sen toivotaan houkuttelevan yritysasiakkaita Dishin verkkoon.

Tämä on rohkea valinta ja ensimmäinen merkittävä askel kohti pilvioperaattoria sitten Rakutenin tekemän pioneerityön. Dish käytti 18 kk vertaillen eri infravaihtoehtoja ennen kuin päätyi AWS:ään. AWS on mukana yhteistyölinjalla eli kaikilla osapuolilla on opittavaa ja kehitettävää kokonaisuudessa. Lopulliset verkon parametrit hioutuvat yhteistyön ja ajan myötä. Dish haluaa pitää yhteistyökumppanien määrän pienenä ja arkkitehtuurin yksinkertaisena. AWS:n kautta Dish saa hyödyn AWS:n muista telco-kumppaneista ja asiantuntijapalveluista. Taustalla kuintekin pyörii paletti entisiä toimittajia ja teknologiavalintoja. Miten käy esim. Vmwaren, Mavenirin tai x86-alustojen?

AWS:n tuottama hyöty näkyy myös yksikkökustannuksissa. Analyytikkojen mukaan Dishin verkon yksikkökustannus pitäisi olla 25% Verizonin vastaavasta ja sillä pitäisi pystyä voittamaan merkittävä määrä asiakkaita. Kohderyhmänä ovat epäilemättä yritykset. Verkko alkaa rakentua tämän vuoden aikana Las Vegasista ja 20% väestöpeitto saavutetaan 2022. Möyhemmin on tarkoitus päästä 70% väestöpeittoon.

Tapaus on mielenkiintoinen uuden ajan esimerkki modernista operaattoritoiminnasta. Dish hyppää syvään päähän ja osittain tuntemattomaan. Mutta onhan se testannut tai arvioinut ratkaisuja jo pidempään. AWS on sitoutunut luultavasti täysillä, koska silläkin on iso tulevaisuus käsissä. Yhteistyökuvio on kiinnostava, koska valmista ei ole olemassa ja palvelu muotoutuu matkan varrella käytännön kautta. Tätä on moderni iteratiivinen kehitys. Molempien osapuolten on joustettava ja tehtävä kompromisseja, mutta lopputulos on luultavasti hyvä.

Historiasta muistuttaa se, että Dishillä on vanhastaan vielä 9 miljoonaa CDMA-palvelun tilajaa, jotka verkko-operaattori T-Mobile uhkaa heittää tyhjän päälle lopettaessaan CDMA-verkon tämän vuoden loppuun.

Mitä maksaa 5G-verkko? Yhdysvaltain hallitus on tilannut selvityksen mobiiliverkon hintakomponenteista ja FCC on julkaissut Widelityn tuottaman yksityiskohtaisen raportin hinnoista. Hinnasto sisältää satoja komponentteja ja kuvaa hyvin mikä on raudan ja asennustyön suhde verkossa. Esim. 50000 tilaajan 5G non-standalone EPC maksaa asennettuna 0,25-1,2M dollaria riippuen valmistajasta. Vertailua vaikeuttaa se, että isoilla ostajilla on omat alennushinnat ja valmistajien välillä on hintaeroja. Mielenkiintoinen on myös Nokian kommentti, että Open RAN -ratkaisu on saman hintainen kuin perinteinen valmistajan integroitu ratkaisu. Tämä on ollut havaittavissa myös kiinteissä verkoissa whitebox- ja disaggregaatiomalleissa. Hinta ei ole välttämättä merkittävin kilpailutekijä, vaan hyötyä on haettava esim. ominaisuuksista ja operointimalleista. Hintaa saa aina painettua alas isoilla ostomäärillä riippumatta ratkaisusta.

Nyt kun mastot on pitkälle ulkoistettu eri omistukseen, tulevaisuudessa myös verkkolaitteiden omistusmalli saattaa muuttua. Masto-operaattori voi hankkia verkkolaitteet ja vuokrata niitä eteenpäin verkko-operaattoreille. Jaettu investointi ja maksa käytöstä -malli houkuttavat. Kenties tämä vahvistaa entisestään infra- ja palveluoperaattorijakoa. Kaikessa IT:ssä näyttää muutenkin jatkuvan infran keskittyinen ja eriytyminen harvoille toimijoille.

Mikä ero 5G:n yksityisverkoilla ja network slicingilla? Yksityisverkko on enemmän itsenäinen ja staattinen kampusverkko, jossa on omat autentikointija autorisointipalvelut, ja jota yritys itse hallitsee. Yksityisverkko on yleensä rajattu alueellisesti esim. tehdaskampukselle, jossa perinteisesti on käytetty wifiä. Hinta on kallis, mutta tietoturvallisuus hyvä.

Network slicing on enemmän operaattorin hallitsema kokonaisuus, jossa jaetaan virtuaalinen dynaaminen siivu verkosta asiakkaan käyttöön. Network slice on IETF:n määritelmän mukaan päästä päähän ulottuva looginen topologia, jolla on palvelutasotavoite. Slicella on kuitenkin myös oma hallintakerros, jonka kautta asiakas voi operoida omaa osuuttaan. Network slicing vaatii 5G standalone coren, joita toistaiseksi on harvoilla. Verkko tukee noin “kourallisen” sliceja, joita fyysinen kapasiteetti rajoittaa. Resursseja ja ominaisuuksia voidaan kuitenkin jakaa dynaamisesti käytön mukaan. Mihin se sitten riittää, jää nähtäväksi. Verkko roamaa koko operaattoriverkon julkisen verkon alueella tarjoten kattavan WAN-ulottuvuuden. Hinta on edullisempi kuin yksityisverkossa. Network slicing ja NaaS on 5G:n odotettu tuleva rahastusmalli, jonka uskotaan olevan todellisuutta puolentoista vuoden päästä.

Suomessa DNA:n ja Telian yhteisverkko laajenee koillisesta Raahe-Loviisa -linjalle kattaen jatkossa yli puolet Suomen pinta-alasta. Väestöpeitto kaksinkertaistuu kolmivuotisen rakennusprojektin aikana. Samalla Huawei potkitaan pois verkosta ja Nokia tulee tilalle.

Elisa on lopettanut 10M- ja 30M -VDSL-liittymien myynnin pienkiinteistöihin ja vuokraverkon alueella liittymiä on irtisanottu. 50M- ja 100M-liittymiä myydään edelleen kun se on teknisesti mahdollista eli DSLAM on muutaman sadan metrin etäisyydellä kiinteistöstä. ADSL:ää on ajettu alas jo pari vuotta. Korvaavana tekniikkana tarjotaan mobiiliverkkoa.

Kiinteä mobiililaajakaista onkin kiinnostava palvelu. Kuidun on oletettu olevan takuuvarma toteutustapa tulevaisuuden suhteen, mutta hinnan ja saatavuuden puolesta viisari on alkanut kääntyä mobiililaajakaistan puoleen. Syynä on osaltaan operaattorien kova mainonta, mutta myös kuluttajat ovat kiinnostuneita. Ominaisuuksiltaan kuitu on toki eri tasolla kuin mobiili, mutta mobiili riittää hyvin peruskuluttajalle. Kokemukset 5G-laajakaistasta osoittavat nopeuden seilaavan huippunopeuden ja sen kymmenesosan välillä, mutta vasteajat on hyviä. Sekä sijainnilla että antennien sijoituspaikalla on merkitystä. Jatko näyttää miten käyttäjämäärän kehitys vaikuttaa palvelunlaatuun.

USA:ssa kokemukset T-Mobilen kiinteästä 5G-laajakaistasta (fixed wireless access FWA) ovat vastaavanlaisia. Taustalla pyörii kysymyksiä riittääkö verkon kapasiteetti ja vastaako se kysyntään? T-Mobile sanoo myyvänsä vain olemassa olevaa kapasiteettia. Tavoitteena on kattaa 70% asiakkaista. Joka tapauksessa kiinteän laajakaistan tuotto on huono verrattuna mobiililiittymään, jossa T-Mobile tekee 40-kertaisen tuloksen gigatavua kohden.

Uplink-kapasiteetti on suurin huolenaihe varsinkin nyt etätyöaikana. Nykyinen downlink-uplink -suhde 10:1 ei vastaa tarvetta, joka muutamassa vuodessa on siirtynyt 5:1-suhteeseen. Comscopen tutkimuksen mukaan uplinkin kapasiteetin päivitys on unohdettu viimeiset kymmenen vuotta. Kaista on niin ahdas, että siinä ei ole paljon liikkumavaraa. Viime vuonna downlink/uplink-suhde oli huipussaan 15:1 ja on siitä hieman laskenut 12:1-tasolle.

Verizoninkin mukaan kiinteä mobiililaajakaista ei ole kuidun tasoa, mutta riittää hyvin käyttäjille. Hyvänä itsekritiikkinä Verizon esittää parannusta mainontaan, jossa annetaan väärä kuva mobiiliverkon nopeudesta ja luotettavuudesta. Kuituoperaattorit taas korostavat kuidun hyötyä mm. kapasiteetin symmetrisyydessä ja luotettavuudessa. Lumenin strategiana on kuidun kohdistaminen urbaanialueille, joissa kattavuushuiput ovat jo 40% tasolla. Todellisuudessa laajakaistan toteutustapa riippuukin alueesta ja sen ominaisuuksista. Kuitu ja mobiili toimivat varmasti rinnakkain tarjoten hieman erilaisia yhteyksiä tarpeesta ja saatavuudesta riippuen. Satelliitti ei varsinaisesti kilpaile näiden kanssa vaan tarjoaa vaihtoehdon syrjäisemmillä alueilla.

Kaapeliverkossa nopeudet kasvavat useamman gigabitin nopeuksiin. DOCSIS3.1-takniikalla on saatu 2,2Gbps ja DOCSIS4.0 Full Duplex -tekniikalla symmetrinen 4 Gbps kenttätesteissä.

Sitten vähän hinta- ja nopeusdataa liittymistä: Mitä maksaa 1GB mobiilidataa 230 eri maassa? Entä mikä on laajakaistan hinta Euroopassa suhteessa palkkatasoon? Ookla Speedtest indexit Suomen osalta näyttävät, että mobiilidata on suhteellisen tasalaatuista ja suuremmat erot ovatkin kiinteässä verkossa. Keskimäärin nopein kiinteä oli Telia ja nopein mobiili DNA. OpenVaultin laajakaistatutkimus nosti esiin kuinka upstream-kapasiteetin käyttö on kasvanut 63% viime vuonna. Pandemia ja etätyö muutti kapasiteetin käytön luultavasti pysyvästi ja nyt taajuuteen perustuvat siirtotavat ovat hätää kärsimässä kun kapasiteettia pitää allokoida uudelleen vähistä taajuusvarannoista.

Muussa verkkotekniikassa Verizon rakentaa erikoistarkkaa paikannusjärjestelmää sataan USA:n suuripaan kaupunkiin. Hyper Precise Location HPL parantaa nykyistä 3-9 metrin paikannustarkkuutta senttimetrin tasolle ja se tukee myös pystysuoraa ulottuvuutta. Tarkalla paikannuksella valmistaudutaan esim. autonomisiin ajokkeihin ja lennokkeihin sekä automaattisiin operaatioihin.

USA:n ATSC 3.0 -TV-standardi sisältää tuen IP-liikenteelle ja multicastille. Synthesis Cloud suunnittelee sen päälle maanlaajuista lähetysverkkoa ja CDN:ää, joka vähentäisi unicast-liikenteen määrää verkoissa. Ongelmana on erillisen verkon rakentamisen kalleus. Todennäköisempää on, että 5G-broadcasting lyö läpi tulevina vuosina ja TV-lähetys voidaan välittää saman olemassa olevan 5G-infran kautta.

Pilvi ja SASE

AWS:n uusia julkistuksia on Macsec 10G/100G Direct Connect -yhteyksille. VPC Reachability Analyzer automatisoi yhteystason tarkistukset ja ongelmien havainnoinnin kahden VPC:n sisällä olevan laitteen välillä. Route 53 Resolver DNS FW tuo palomuurauksen DNS-palveluun. Transit GW Connectin saatavuus laajenee Euroopassa. Kuuleman mukaan AWS Transit GW asentuu käyttöön 1,5 minuutissa kun kun Azuren vastaavalta Virtual Hubilta kestää asentua 15 minuuttia. Samoin VNET/VPC-yhteyden luominen kestää Aws:ssa alle minuutin kun Azuressa se kestää 3-15 minuuttia.

Yleisenä suunnitteluvinkkinä on, että tunne pilvesi heikot kohdat. Kaikki hajoaa joskus, siksi pitäisi ymmärtää yhden pisteen vikakohdat ja välttää niitä. Ongelmana on, että aina kun poistaa vikapisteen, se lisää monimutkaisuutta ja kustannuksia. Eli tavoitteena olisi hakea sopivan siedettävää riskiä, jossa liiketoiminta pyörii riittävällä tasolla. Ei rakenneta IT:n omaa täydellistä korttitaloa, vaan hyväksytään tietyt puutteet ja ollaan tyytyväisiä riittävän hyvään.

USA:ssa mies aikoi räjäyttää internetin asentamalla pommin AWS:n Virginian konesaliin. FBI kuitenkin nappasi miehen kiinni kun hän yritti ostaa peiteagentilta räjähteitä. Mies sai 20 vuotta vankeutta. Mediassa elää sitkeästi myytti, että 70% internet-liikenteestä kulkee Pohjois-Virginian kautta. Tämä ei voi pitää paikkaansa. Vaikka alueelle onkin paljon pilvikapasiteettia, määrä on n. 30-40% kaikesta. Vain 9% Pohjois-Amerikan konesaleista on Pohjois-Virginiassa ja vain 23% maailman internet-kapasiteetista edes kytkeytyy USA:han.

Pilvipalveluiden myötä markkinoille on tullut termi “middle mile“. Mikä se on? Kyse on uudesta segmentistä, joka yhdistää yrityksen pilveen, mutta erottautuu operaattori-WAN:sta. Segmenttiin kuuluvat siis kaikki toimijat ja palvelut, jotka tarjoavat pilviyhteyksiä suoraan tai välillisesti. SD-WAN on yksi osa tätä segmenttiä, mutta niin myös internetin yhdysliikennepiste, yksityiset yhteydet tai muut palveluntarjoajien yhteydet. Greg Ferro kuvaa hyvin miten yritysverkko on kehittynyt pilvipalveluiden myötä monimutkaiseksi vyyhdeksi ja minkälaisten asioiden parissa yritysten on painittava.

Miten colo-tarjoajat asettuvat tähän hybridipilvimaailmaan? Equinix pyörittää yli 200 konesalia ympäri maailman ja määrittelee itsensä integraattoriksi, joka tuottaa palveluita auttamaan asiakkaita käyttämään pilvipalveluita. Auts, hybridipilvi ja edge ovat täynnä hirvittävää jargonia, josta ei paljon konkretia avaudu. Equinix voi siis tarjota keskitettyjä valmiita yhteyksiä pilvipalveluihin ja tuoda pilvipalvelu lähemmäksi asiakasta alueelliseen konesaliinsa. Equinix luottaa vahvasti kumppaneiden palveluihin, joihin se yhdistää omaa teknologiaansa.

Linux Foundationin State of the Edge -raportista on poimittu nasevia lausuntoja. Jos operaattorit investoivat telco-edgeen, heille pitää näyttää raha ja tarjota helpot hedelmät puolessa vuodessa. Mikä edes on edge? Skaala on hurja, pienimmän ja isoimman toteutuksen välillä voi olla 9 magnitudin ero. Rauta on edgen ikävä asia. Paras tila, sähkö ja yhdistettävyys on konesaleissa, mutta konesali eivät yleensä tarjoa pilvitason palveluita. Moni edgen tuottama data ei edes päädy pilveen. Hyvä pointti on myös se, että edgessä on kyse myös hyvin paljon uudenlaisen toimintaympäristön operoinnista ja palvelun tuottamisesta.

Kun pilvessä ollaan, myös verkon pitäisi pystyä elämään yhdessä pilvinatiivien sovellusten kanssa. Cisco on aloittanut softaprojektin, jossa rakennetaan pilvinatiivi SD-WAN (CN-WAN). Nykyisellään SD-WAN on erillinen komponentti, joka seilaa pimeässä tajuamatta sovelluksista mitään. Tavoitteena on tehdä mallitoteutus miten Kubernetes-sovellusten metadata voisi ohjata ja optimoida verkon liikennettä.

Oracle ilmoittautuu mukaan SASE-peliin jälkijunassa kuten julkiseen pilveenkin, mutta se on kuitenkin yksi ensimmäisistä julkisen pilven SASE-tarjoajista. Taktiikkana on käyttää kumppaneita ja panostaa vahvasti erityisesti SASE-osuuteen. Aiempien kumppanien Zscalerin ja Paloalton lisäksi nyt on lisätty myös Checkpointin Quantum Edge -palomuuritoiminto. Oraclen Talari SD-WAN voi hyödyntää Checkpointin muurisoftaa. OCI-pilvessä on ennestään SWG-, CASB- ja ZTNA -ominaisuudet, joita kumppanilta tuleva palomuuritoiminto täydentää. Erottava tekijä on se miten OCI voi integroida sessiotason protokollat kuten SBC:n ja SIP:n SASE:een. Kukahan näitä protokollia sitten käyttää pilvimaailmassa? Oracle taitaa olla itse melko konservatiivinen tai sillä on oma konservatiivinen asiakaskuntansa.

Myös Vmware paketoi etätyökalut Anywhere Workspace -kokonaisuuteen. Versa Titan positioi itsensä pienyritysten helpoksi SASE-tuotteeksi, jolle selvästi voi olla kysyntää. Cato SASE-sertifioinnista on valmistunut 600 oppilasta ja sertifioinnin voi suorittaa ilmaiseksi verkossa.

Kyberturvallisuus

Valkoinen talo nimesi virallisesti venäläiset Solarwinds-iskun tekijöiksi. Kiinalaiset käyttivät Pulse Securen kriittistä nollapäivähaavoittuvuutta hyväkseen. Kohteeksi joutuivat USA:n puolustushallinnon kumppanit, mutta myös Suomessa Valtori. Hyökkäykset alkoivat jo elokuussa 2020 ja FireEye löysi ne myöhemmin tämän vuoden alussa. Pulsen haavoittuvuuteen on työkalu, jolla voi analysoida onko itse altistunut. Haavoittuvuutta voi väliaikaisesti estää ja nyt on julkaistu myös lopullinen korjaus.

Toinen iso isku tapahtui Codecov-softatestausfirmaan jo tammikuussa, mutta se löydettiin vasta huhtikuussa. Codecov on itse pieni 35 hengen firma, mutta sillä on 29000 asiakasta, joissa on mukana isoja ja merkittäviä sovellustoimittajia. Viimeisimpänä uhrien joukkoon on ilmoittautunut Hashicorp, joka tunnetaan infrastruktuurikoodityökaluista. Ohjelmiin on voitu syöttää haitallista koodia, mutta tutkimuksissa ei ole löytynyt viitteitä siitä. Tässäkin tapauksessa Codecov on saanut kuulla kunniansa surkeista ohjelmista, joissa on heikko tietoturva. Bash Uploader lataa nimensä mukaan Bash-skriptillä ja curl-ohjelmalla käyttäjän CI-ympäristömuuttujat eli kaikki tunnukset, avaimet ja tokenit salaamattomina Codecovin palveluun, ja tässä tapauksessa myös hyökkääjän palvelimeen. Alun perin hyökkääjä pääsi Codecovin palveluun sisään ilmeisesti Docker imagen luomissa vuotaneiden tunnusten avulla.

Ciscon pientoimistoreitittimien RV-sarjassa on kriittinen haavoittuvuus, mutta sitä ei enää korjata, koska laitteet ovat pudonneet tuesta ja käyttäjiä kannustetaan päivittämään uudempiin malleihin. Myös Cisco SD-WAN vManagessa on kriittinen haavoittuvuus, johon on korjaus. FortiOS-palvelimien käyttäjiä varoitetaan valtiollisten toimijoiden hyökkäyksiltä. Cring-lunnasvaatimusohjelma iskee teollisuusyrityksiin käyttäen FortiVPN:n haavoittuvuutta. Aruban Clearpass Policy Managerissa on useita haavoittuvuuksia, joihin on julkaistu korjaus.

FreeBSD:n TCP/IP-protokollapinon DNS-toteutuksesta on löytynyt Namewreck-haavoittuvuuksia ja se vaikuttaa laajasti miljooniin IOT- ja IT/OT-laitteisiin. Tutkimuksen yhteydessä huomattiin, että monilla valmistajilla on vaikeuksia tulkita DNS-standardeja ja sama virhe oli suurimmalla osalla omissa tuotteissaan. Tämä herättää kysymyksen miksi standardi on kirjoitettu niin huonosti ja epäselvästi, että puolet toteutuksista on viallisia.

Maailman vaarallisin bottiverkko Emotetin poisto saastuneista koneista aktivoitui 25.4. kansainvälisen viranomaisyhteistyön tuloksena. Cloudflaren tilaston mukaan DDoS-hyökkäyksiä tehtiin alkuvuonna eniten operaattoreita kohti. Nousevia kohteista olivat QUIC-protokollan käyttö Jenkins- ja Teamspeak3-palvelimia kohti. Isoja hyökkäyksiä on määrällisesti vähän ja 97% tapauksista on pienempiä alle 1 Mpps tai alle 500 Mbps. Myös hyökkäysten kesto oli 90% tapauksista alle tunnin. Akamai kertoo melko tuntemattomasta DCCP-protokollaa hyödyntävästä hyökkäyksestä, joka käytännössä on aika pienen piirin riesa, koska protokolla ei ole laajemmin käytössä. Internetissä on arviolta 20 miljoonaan reititysluuppia lähes joka kolmannessa AS-domainissa. Kyse on vaan siitä, että paketti pomppii edes takaisin kahden reitittimen välillä kun reitit osoittavat vastakkaisiin suuntiin. Kuitenkin paketin TTL:stä riippuen ne toimivat enemmän tai vähemmän voimistavina DDoS-hyökkäyksinä. Jo 6 Mbps UDP-pohjaliikennettä luuppaamalla saadaan 10G-linkki täyteen ja 60 Mbps riittää tukkimaan 100G-linkin. Reititysvirheet tulisi jokaisen operaattorin korjata ja havainnointiin on myös ilmaisia työkaluja.

Verizonin Mobile Security Indexin mukaan yritykset epäonnistuvat edelleen perusasioissa. Näitähän ovat siis oletussalasanan muuttaminen, datan salaus, pääsyn rajoitus ja säännöllinen tietoturvatestaus. SANS:n tutkimuksen mukaan pilven yhteydessä huoli vahingossa tehdystä väärästä konfiguraatiosta kasvaa, mutta todellisuudessa vain alle puolet huolestuneista on todellisuudessa tehnyt virheen. Määrä on silti iso ja kuvastaa mikä vaikutus kiireessä tehdyillä muutoksilla monimutkaisissa ympäristöissä on.

Älytehtaan varustaminen antureilla ja ohjauksella altistaa sen uhkille. Trend Micron tutkimuksen mukaan 61% on kärsinyt tietoturvaongelmista älytehtaissa ja 43% iskujen aiheuttamat seisokit ovat kestäneet useamman päivän. Kehitys on kesken ja yhteinen ohjeistus ja yhteistyö olisi tehokkain tapa nostaa tasoa ja ehkäistä riskejä.

Microsoft on julkaissut avoimen lähdekoodin kyberhyökkäyssimulaattorin CyberBattleSimin, jolla se yrittää havainnollistaa miten tekoäly voi analysoida ja estää hyökkäyksiä.

Kaikki internetiin kytketyt laitteet altistuvat uhkille ja siksi verkkolaitteet pitää yleensä jollain tapaa koventaa. Mikrotik RouterOS:n suojaamista ja laitteiden kovennusta käydään perusteellisesti läpi videolla ja esityksessä. Linux pyörii monen laitteen taustalla ja sen koventaminen on monimutkaista ja kovaa työtä. Disaggregaatiomallissa ja avoimen lähdekoodin ympäristöissä kovennus pitää yleensä tehdä itse. Käyttäjä voi ulkoistaa kovennuksen verkkolaitevalmistajalle, joka hoitaa asian omalla tavallaan. Se ei kuitenkaan poista käyttäjän vastuuta infran haavoittuvuudesta. Samalla kun työ ulkoistetaan valmistajalle, luovutaan osasta ominaisuuksia. Tämä kompromissi on hyvä pitää mielessä.

Tekniikka

Onko pienen viiveen kytkimillä oikeasti mitään väliä? En ole koskaan ymmärtänyt mitä High Frequency Trading -maailmassa nanosekuntien viilaaminen merkitsee. HFT:ssä kaikki sovelluksista käyttöjärjestelmään ja infraan on varmasti optimoitua, mutta oikeasti, mitä kymmenen tai sata nanosekuntia lisää voi vaikuttaa kokonaisuuteen? Meillä kuolevaisilla se onkin merkityksetöntä, koska infra-sovellus -kokonaisuudessa on aina reilusti enemmän viivettä kuin kytkennässä. Siirtoviiveellä pitkillä etäisyyksillä on silti jo merkitystä.

Low latency -kytkimiä mainostetaan levyliikenteen käyttöön, mutta levyprotokollille myös häviöttömyys on tärkeää, joten ison puskurin kytkimiäkin profiloidaan storage-kytkentään. Nopea kytkentä ja puskurointi ovat ristiriidassa keskenään ja yleisesti ottaen puskurointia pidetään TCP-liikenteessä pahempana kuin pakettien nopeaa tiputtamista. Protokolla hoitaa uudelleenlähetyksen nopeasti. Nyt voi virallisesti sanoa, että FCoE on kuollut ja kuopattu. Kukaan ei sitä enää markkinoi ja käyttökokemukset osoittautuivat huonoiksi. 

Huhut kertovat, että AWS on suunnittelemassa omaa kytkin-ASIC:iä ja sen odotetaan myös toteutuvan. AWS:llä kuten monella muullakin on Broadcomin kanssa kauppapoliittisesti hankalaa ja paine muuhun ratkaisuun on kova. Vanha Broadcom toi markkinoilla merchant siliconin ja sitoutti asiakkaat tuotteisiin. Spekulaatioiden mukaan Avagon mukanaan tuoma “Uusi Broadcom” haluaa hinnoitella tuotteet agressiivisemmin ja hyötyä hyperskaalaajien pohjattomasta lompakosta. Skaalasta kertoo jotain se, että tyypillisessä pilvikonesalissa on 100000 palvelinta, jotka vaativat n. 4000-6000 kytkin-ASIC:iä. Kokonaisuudessaan AWS:llä voisi olla 480000-720000 kytkin-ASIC:iä omassa verkossaan. Tällä massalla voi helposti perustella kustannustehokkaat ratkaisut ja omat tuotekehityksen. AWS tekee omaa verkkokäyttöjärjestelmää ja voi portata sen mihin alustaan tahansa. Raudan suunnittelu on kuitenkin pienen piirin puuhaa ja siihen AWS:kin tarvitsee ulkopuolista apua. Spekuloinneissa on käyttää 2015 ostetun Annapurna Labsin porukkaa tai ostaa Xsight Labs tai Innovium.

Ciscolla on monta erilaista verkkokäyttöjärjestelmää, vähän liiankin monta. Tässä selitys kaikista lehmien avulla.

Openflow ei ollut varsinainen menestys, mutta se johti meidät uudenlaisten asioiden äärelle. Keskistetty hallinta ja API-rajapinnat olivat tärkein anti myöhemmälle kehitykselle. Openflow:n kehitys lähti control planen kehittämisestä, mutta siitä seurasikin myös data planen ohjelmoitavuus ja myöhemmin yhteinen P4-kieli. Painetta oli myös tehdä konfigurointirajapinta ohjelmoitavaksi ja siitä syntyi gNMI, joka korvaa perinteistä CLI:tä. Openflow loi kaikesta huomimatta SDN:n, jossa hyvillä rajapinnoilla saadaan aikaan täysin ohjelmallinen verkko ja sitä kautta aivan uusia käyttömahdollisuuksia.

Verkkolabran rakennukseen on tullut uusia konsepteja. Containerlab on konttipohjaisiiin verkkolaitteisiin tarkoitettu alusta, jossa voi nopeasti pystyttää virtuaaliverkon. Alusta voi myös käynnistä perinteisiä virtuaalikoneita. Netsim-tools on Ivan Pepelnjakin Vagrantiiin, Libvirtiin ja Ansibleen perustuva virtuaalilabran pystytyskoodi, jolla voi luoda nopeasti oman topologian YAML-tiedostojen kuvauksen perusteella. Reititysprotokollien ja valmistajien tuki on kattava.

Taas kerran x86-raudalla on saatu muhkeita lukemia käyttäen VPP:tä: 1 Tbps ja miljardi pakettia sekunnissa palvelimella. VPP on avoimen koodin versio on Ciscon Vector Packet Processing -teknologiasta, jolla voidaan ajaa kovan suorituskyvyn paketinvälitystä x86-raudassa. Mitä tällä sitten tekee? VPP:llä voi rakentaa tehokkaita softapohjaisia verkko- ja tietoturvatoimintoja kuten palomuurausta, VPN-tunnelointia, SD-WAN:ia tai SASE:a.

Tilaston mukaan 100G on nyt konesaleissa suosituin nopeus. Toimitettujen 100G-porttien määrä ylitti 10G-porttien määrän. Arista nappaa lähes 40% osuuden kumulatiivisista brändi-kytkinten toimitusmääristä ja Cisco vastaavasti 40% voitoista.

Mielenkiintoinen tieto japanilaisoperaattoreilta kertoo, että kosmiset säteet aiheuttavat Japanissa 30000-40000 verkon toimintahäiriötä vuodessa. Häiriö tapahtuu kun kosmiset säteet kohtaavat ilmakehän hapen ja typen, ja vapauttavat neutroneita, jotka törmäävät elektroniikkaan korruptoiden ne. Monet häiriöistä korjautuvat hetken päästä itsekseen suojalaitteiden avulla, mutta vakavammissa tapauksissa laitteet myös jumiutuvat ja voivat aiheuttaa isompia ongelmia. Ongelmien määrä tietysti lisääntyy kun elektroniikan määrä ja riippuvuus siitä kasvaa. Ongelmien syiden löytäminen ja vastustuskeinojen keksiminen on vaikeaa, koska häiriöt eivät ole toistettavissa.

Telia Carrierin podcast-sarjassa on paljon hyviä aiheita ja vieraita, joista saa näkemystä missä tietoliikenteessä mennään ja miten maailma muuttuu. Jaksossa 11 vieraana on Tom Hollinsworth ja keskustelua vähän kaikesta verkkoihin liittyvästä.

Protokollakehityksessä Microsoft on hionut QUIC-protokollaa ja saanut sen nopeuden nostettua yli nelinkertaiseksi 8 Gbps:iin. Missä HTTP/3 ja QUIC sitten menevät käytön osalta ja ovatko ne oikeasti nopeampia? Daniel Stenberg antaa joitakin vastauksia blogissaan hieman epäselviin kysymyksiin. Samalla tämä curlin kehittäjä sai koodinsa Marsiin Nasan helikopterin mukana. Ennen sitä tapahtui tökerö episodi kun Nasalle piti todistella missä ja miten avoimen koodin ohjelmaa on kehitetty.

Hyvä Twitter-ketju MTU-asioista selvittää mitä tähän monimutkaiseen asiaan liittyy.

Yritykset ja tuotteet

Arista etsii laajempaa markkina-asemaa holistisella näkemyksellä. Kampus oli ensimmäinen avaus laajempaan markkinaan, Cloudvision-hallinta pyrki automatisoimaan verkot, kytkimien ominaisuuksia laajennettiin reititystarpeisiin ja nyt tietoturvaominaisuuksilla tehostetaan tuotteiden käyttöä ja hyödyllisyyttä. Vaikka Arista on ohjelmistotalo, sen tuotteet perustuvat tehokkaaseen rautaan. Arista ei aio lähteä mukaan muodikkaaseen tilauspohjaiseen lisenssimalliin. Asiakaspohjaa pyritään laajentamaan ja sen myötä riippuvuutta Microsoftista ja Facebookista vähentämään.

Cloudvision-hallintaan on lisätty parempaa näkyvyyttä telemetriatiedosta louhitun analytiikan avulla. Tekoäly pyrkii oppimaan poikkeamat ja suorittamaan automaattiset korjaukset. Wifistä lähtenyt hallintamalli on laajentunut koko verkon käyttöön. Studios-ominaisuus tuo mukanaan työtilat, joilla luodaan työnkulkuja erilaisiin tarkoituksiin. Työnkulku abstraktoi konfiguraation muutokset datamallin avulla, mikä helpottaa kokonaisuuden hallinnassa ja parantaa muutosten laatua ja käyttäjäkokemusta. Cloudvision on laajentunut konesalikäytöstä koko verkon laajuiseksi työkaluksi ja on nyt saatavana sekä onpremises- ja SaaS-versiona.

Aristan vaaranpaikkana on kasata kaikki mahdolliset toiminnot ja eri käyttökohteet yhteen tuotteeseen. Cloudvision voi sortua omaan monimutkaisuuteensa. Yksi kaikenkattava hallintatuote voi toimia SMB-sektorilla, mutta pienyritykset eivät ole varsinaisesti Aristan kohderyhmää. Isompien osalta monesti on todistettu, että asiakas haluaa valita erikseen hyvät ja itselle sopivat komponentit verkkoon, hallintaan ja tietoturvaan.

Arista lähtee mukaan sertifiointiin seitsemäntasoisella ACE-ohjelmalla. Alimmilla tasoilla vaaditaan viiden päivän koulutus ja vain kaksi ylintä tasoa voi saada pelkällä käytännön kokeen läpäisemisellä. Koulutuksessa koitetaan painottaa hyviä ratkaisukäytäntöjä pelkän nippelitiedon sijaan. Ohjelma myös yrittää kohdistaa sertifiointitasot erilaisiin työrooleihin.

Juniper yllätti hyvällä operaattoriliiketoiminnan tuloksella, mutta myös yrityspuolen Mist-tekoälyratkaisut ovat myyneet hyvin. Softan osuus on ollut merkittävä ja Juniperilla löytyy nyt hyvin softaa kaikkiin tuoteperheisiin. Yritysostokset 128T, Apstra ja Netrounds ovat olleet hyviä ja Juniper on mitä parhaimmissa asemissa uskottavan teknologian ja automatisointistrategian osalta. Ongelmana kuitenkin on se, että Juniper ei osaa toimia ja tuoda hyvää tarinaansa paremmin esille. Ciscon myyntiin ja markkinointiin verrattuna Juniperin tarina on haaleaa kahvia.

Cisco on vahvasti yrittänyt siirtyä raudasta softaan ja ratkaisuihin, ja se on toiminut. Ciscon strategiana on tuoda kaikki tuotteet SaaS-mallina ostettaviksi Cisco Plus -konseptin alla. Liikkeelle on lähdetty Cisco Plus Hybrid Cloud -palvelulla, joka sisältää käytön mukaisella laskutuksella palvelimia ja storagea, tukipalveluita ja joustavasti suunnittelu- ja asennuspalveluita. Ensimmäinen NaaS-palvelu on Cisco Plus Umbrella eli SASE-palvelu myöhemmin tänä vuonna.

Cisco on myös lyönyt yhteen Appdynamicsin ja Thousaneyesin yhdistäen sovellus ja verkkonäkyvyyden. Appdynamicsin SaaS-palvelua saa nyt laajemmin AWS:n pilvestä.

Viptelan perustajien uusi yritys Prosimo keskittyy integroimaan infrakerroksen monipilven sovelluksiin. Uusi kategoria on nimeltään Application Experience Infrastructure AXI. Tuote optimoi sovellusten ja käyttäjien kommunikointia, ja yhdistää infran hallinnan, SLA:n ja tietoturvan yhdeksi kokonaisuudeksi. Kuulostaa kovin samalta mitä monipilvisovellukset yleensäkin tekevät.

Dellin ja Vmwaren tiet eroavat vihdoin kun Dell myy parhaiten kannattavan osansa Vmwaren, jonka se osti 2016. Nyt siis perutaan yksi kaikkien aikojen suurin teknologiayrityskauppa. Strateginen kumppanuus pysyy, mutta Vmware voi paremmin toteuttaa omaa visiotaan. Dell maksaa pois velkojaan. Ulospäin muutos tuskin juurikaan näkyy.

Puolijohdepula

Sirujen saannin vaikeus alkaa nyt näkyä toden teolla. Qualcomin wifi6-sirujen toimitusajaksi sanotaan 40-64 viikkoa. Laajakaistaoperaattoreilla reititinten saatavuusongelmat tyhjentävät varastoja ja uusien laitteiden saaminen alkaa viivästyttää toimituksia ja verkon rakentamista.

Lisäksi kryptovaluutan louhintaan käytetyt grafiikkaprosessorit syövät kapasiteettia GPU-valmistuksesta ja -toimituksista. Louhintaan valmistetaan jo jopa omia piirejä. Hinnat ovat nousussa ja Suomessakin Telia ja Gigantti ovat jo peruneet näytönohjaintilauksia.

Valmistajien yhteinen näkemys on, että komponenttipula saattaa kestää vuoteen 2023. Intelin panostus Arizonan tehtaisiin ei paljon auta. Muutenkin kapasiteetin lisääminen on hidasta ja siitä ei ole nopeaa apua. Nvidialla on hieman valoisampi näkymä jo ensi vuodelle.

Internet

Päivittynyt NIST RPKI Monitor tarjoaa statistiikkaa RPKI:n tilanteesta internetissä. RPKI:n käyttöön liittyy muutamia riskin paikkoja, joiden välttämiseen löytyy ratkaisuja.

Miljoonien Pentagonin ip-osoitteiden ilmestyminen internetin reititykseen heti Trumpin astuttua virasta ihmetytti laajasti. Selvisi, että osoitteet oli annettu ulkopuoliselle yritykselle Global Resource Systemsille, joka teki niillä epämääräisesti ilmaistuna kyberturvallisuuden kehityksen pilotointia. AS80003 mainosti 175 miljoonaa osoitetta, jolla se on toiseksi suurin AS koko maailmassa China Telecomin jälkeen.

RIPE Labs tutki jälleen reitittääkö internet vikakohdan ohi. Tapauksena oli LINX:n katko Lontoossa. Sattumoisin isojen IXP:eiden katkot näyttävät esiintyvän kolmen vuoden välein. Joka tapauksessa vian jälkeen reititys on hetken sekaisin, mutta siirtyy nopeasti varareiteille, jotka käyttävät pääasiassa kahdenvälisiä peerauksia. RIPE stat -monitorointipalvelu täytti 10 vuotta. Se on näppärä työkalua internet-reitityksen seurantaan.

Internetin BGP-reitit voivat myös jäädä jumiin kun reititin jostain syystä missaa reitin poisvetämisen. Puhutaan BGP zombeista, joita tutkimuksessa näkyi yli yksi päivässä 27 prefixin otannassa. Joissakin BGP-toteutuksissa hold timerin ja TCP-ikkunan yhteisvaikutuksesta tulee ongelma. Ehdotuksena on lisätä BGP:hen toinen ajastin, joka voisi ilmoittaa naapurille, että peeraus pitää laittaa alas.

Merikaapeleissa on meneillään suuria hankkeita. Euroopan osalta merkittäviä ovat EllaLink Portugalista Brasiliaan ja CrossChannel Fibre Pariisista Lontooseen Englannin kanaalin ali. Sisällöntuottajat ovat isoja kaapelien omistajia ja rakentajia. He tekevät niitä itselleen, mutta myyvät myös muille tai ovat osakkaana muiden kaapelissa. Tässä lista kaikista sisältötuottajien (Amazon, Facebook, Google ja Microsoft) merikaapeleista. Australian ilmatieteenlaitos haluaisi saada merikaapelin Antarktikselle, koska satelliittikapasiteetti aiheuttaa ongelmia tutkimustoiminnalle. Ongelmana kaapelille on kuitenkin jäävuoret.

IoT-hulluutta voi lukea Reddit-keskustelusta, jossa todettiin LG:n kuivaimen generoivan yli 1 GB liikennettä päivässä AWS:ään. Selvää syytä liikennöintiin ei tainnut löytyä.

Operointi

Awesome Network Automation on kokoelma tietoa verkon automatisoinnista. Nautobot SoT- ja automaatioalustasta on julkaistu 1.0-versio. Siihen on myös saatavissa Ansible-modulit ja dokumentointi. Tässä yksi hyvä esimerkki avoimen koodin Batfish-verifiointiohjelman käytöstä verkon konfiguraatioiden analysointiin. Batfishillä saatiin kaivettua ja yhdisteltyä verkosta vlanit, prefixit, saitit ja laitteiden host-nimet Netboxiin syöttämistä varten.

Yhden näkymän hallintatuotteet (Single Pane of Glass SPoG) ovat herättäneet yhteisössä tunteita. Valmistajat alkoivat helpottaa hallintaähkyä ja monimutkaisuutta tuomalla yhden näkymän tuotteita, joista hallinta ja valvonta olisi helppoa yhdellä silmäyksellä. Mutta verkot, ympäristöt ja toimintatavat ovat muuttuvat koko ajan yhä monimutkaisemmiksi, ja yhden näkymän käyttökelpoisuus alkaa olla huono. Siispä on hyväksyttävä, että meillä on enemmän pistemäisiä työkaluja, jotka ovat hyviä tiettyyn tarpeeseen. Kokonaisratkaisu voi olla eri tuotteiden tai näkymien integrointi, mikä taas vaatii valmistajien tuen rajapinnoille ja lisäksi omaa integrointiosaamista ja -tekemistä. Tässä hyvä toivelista sopivasta näkymästä, jota valmistajien kannatta lukea tarkasti, jottei tuotteesta tulee SPiN (Single Pain in Network).

Hallintatuotteet siirtyvät kohti abstraktointia, jossa varsinainen konfiguraatio häivytetään taka-alalle ja käyttäjä määrittelee tavoitetilan (intent). Abstraktoinnin avulla voidaan paremmin tukea erilaisia laitteita ja valmistajia sekä määritellä työnkulkuja ja orkestrointia laajemmin. Mutta samalla se vaatii verkon toimintojen ja ominaisuuksien vakioimista ja parempaa määrittelyä.

Myös projektityön koordinointi on merkittävä kehitystä vaativa asia, koska töiden organisointiin menee jo enemmän aikaa kuin itse kehitykseen. Softakoodi ja sen käyttökohteet ovat yhä tärkeämmässä asemassa ja samalla sekä koodin että kehittäjien määrä paisuu valtavasti. Varsinkin avoimen koodin kehityksessä tärkeäksi asiaksi muodostuu  miten tuotteiden kehitystyö saadaan organisoitua tehokkaasti niin, että tuotteista saadaan laadukkaita ja toimintavarmoja.

Pelialusta Roblox on rakentanut omaan verkkoonsa vaikuttavan probe-valvonnan, jolla havainnoidaan pakettihäviöitä ja viivettä. Nyt verkossa tehdään 100 miljoonaa mittausta minuutissa ja agenttien avulla voidaan löytää hyvin tarkasti jopa alle sekunnin mittaiset katkot ja pakettihäviöt yhden polun osalta tasolla yksi 6000 paketista minuutissa.

MLB on esitellyt omaa baseballin stadiontuotannoissaan käytettävän mediaverkkonsa automaatiota ja hallintaa. MLB:llä on perinteistä SNMP-valvontaa mutta myös uusi Kentikin flow-analysointialusta, jota ajetaan pilvessä. Ympäristöön kuuluu verkon lisäksi monipilviympäristö, jonka yhteyksistä saadaan myös dataa. Eri lähteistä ja eri menetelmien kautta koottu data yhdistetään yhteiseen moderniin havainnointialustaan, jossa tietoa rikastetaan ja siihen liitetään liiketoiminnan mukainen metadata. Hyvä pointti on liiketoiminnan merkitys yhdistävänä tekijänä eri osakokonaisuuksien välillä. Yksi tiimi on vastuussa koko IT-ketjusta ja tärkeintä on juuri ylhäältä sitouttaminen liiketoimitatavoitteisiin, ajatustavan muutos ja yhteistyö. Hyvät välineet helpottavat käytännön työssä. Omien työkalujen rakentamisesta Jeremy Schulmanin neuvo on ajatella itseään kustannuksena. Osta kaupallinen tuote kun sopiva on, rakenna itse vain kun on ihan pakko.

Tapahtumat

Cisco Live pidettiin verkossa ja rekisteröitymisen seurauksena olen huomannut haluamattani liittyneeni ainakin kymmenen yhteistyökumppanin postituslistalle. Cisco Liven koottu anti SDxCentralin tarjoamana:

NSDI ’21 -teknisissä sessioissa on paljon tutkimustietoa ja asiaa verkkojen suunnitteluun ja toteutukseen liittyen.

Ethernet-allianssin Technical Exploration Forumissa on käsitelty ethernetin kehitystä. Seuraavaksi katseet ovat 800G- ja 1,6T-spekseissä, mutta vastaan tulevat teho- ja jäähdytysrajat. Nopeammat 224/448G serdes-linjanopeudet vaatinevat yhteispakattua optiikkaa, mikä taas tarkoittaa optiikkapiirien lisäämistä laitteisiin ja uusien pienempien kaapelien ja liittimien tuloa. 400G:n kehitys kesti 4 vuotta ja uudet kovemmat nopeudet vaativat vielä paljon kehitystä ja testausta ja voivat olla vasta 5-6 vuoden päässä. Tiedonsiirron pullonkaulojen takia hajautunut verkko näyttää jälleen kasautuvan takaisin päin vähempiin kerroksiin ja kytkimiin. Jo lähivuosina voidaan nähdä enemmän yhteispakattujen optiikoiden (CoPO) käyttöä kytkimissä.

Kuukauden nimi

IBM nimesi itsestään erotetun Newco-infrayhtiönsä Kyndryliksi ja lunasti paikkansa huonoiten nimettyjen yhtiöiden sarjassa. Nimi lausutaan “Kindril”, joka ei kuulosta niin pahalta kuin kirjoitettuna ja Suomeksi y:llä lausuttuna. Nimen taustalla ovat sanat kinship ja tendrils eli sukulaisuus ja kärhö. Varsin kuvaavia asioita IT-palveluyhtiölle, eikö? Y kirjaimena yhdistyy todelliseen kumppanuuteen ja kasvuun, mikä osuu paremmin yrityksen toimialaan. Kyndryl tunnetaan myös Warcraftin metsästäjähahmona.

Leave a Reply