[FI] Tietoliikennealan katsaus 2021-09

Ongelmat

Palvelunestohyökkäykset ovat kaataneet VoIP-palveluntarjoajien palveluita. Ensin VoIP.ms oli viikon alhaalla ja sen jälkeen monet muutkin palveluntarjoajat kuten Twilio, Accent, DialPad, Phone.com ja RingCentral kärsivät ongelmista. Revil-ryhmä on ollut esillä kiristysviestin vuoksi, mutta on epäselvää liittyvätkö häiriöt toisiinsa ja kuka iskujen takana on. Hyökkäykseen on käytetty mm. DNS- ja SNMP-vahvistusta ja hyökkäys vaikuttaa enemmän volumetriseltä kuin SIP-laitteisiin kohdistuvalta sovellushyökkäykseltä. VoIP-liikenne reitittyy internetissä ja rajapinnat ovat alttiina hyökkäyksille. SIP-protokollaa vastaan on helppo hyökätä. Vastaiskuna VoIP.ms siirsi DNS-palvelun ja webbisivun Cloudflaren DDoS-suojauksen taakse ja lisäsi CAPTCHA-varmennuksen palveluihin.

Operaattorit

Nokian vetäytyminen O-RAN -allianssista herätti epäilijät, laitevalmistajat ja median. Muutaman viikon jälkeen sopimuspuoli saatiin kuntoon ja Nokia palasi toimintaan mukaan. Epäilys kuitenkin jäi ja monet tahot ilmaisivat huolensa jatkosta. Nokia pelasi valtapeliä, testasi muita ja teki asian julkiseksi, mutta samassa junassa olivat myös Ericsson ja Samsung. Itse allianssi on ollut hiljaa. Strand Consult jopa nimesi koko O-RAN:n kiinalaisten juoneksi. O-RAN -allianssin rooli ja toimintatapa on herättänyt keskustelua. Allianssi ei ole WTO:n määritelmän mukainen standardointielin, kuten oikea standardointiorganisaatio 3GPP, ja allianssissa valta tuntuu olevan keskittynyt muutamalle harvalle jäsenelle. Toiminta kaipaisi läpinäkyvyyttä ja tasapuolisempia osallistumismahdollisuuksia kaikille jäsenille. O-RAN:n yksi opetus on, että kehitystä syntyy kun ajureina ovat käyttäjät eivätkä laitevalmistajat. Paras hyöty avoimesta koodista tulee kun sitä osataan käyttää tuotannossa.

USA on tärkeä markkina ja siksi isot valmistajat ovat varpaillaan kauppapolitiikan kanssa. Takavasemmalla Juniper liittyi vaivihkaa mukaan O-RAN -ekosysteemiin integroimalla RAN Intelligent Controllerin Intel FlexRAN alustaan. Juniper vielä miettii itse O-RAN -allianssiin liittymistä. RIC on siis yksi O-RAN:n keksinnöistä yhdessä pilvessä hostattavien keskitetyn kantataajuusosan Central Unitin (CU) ja hajautetun radioverkko-osan Distributed Unitin (DU) kanssa. RIC ohjaa CU:n ja DU:n välistä toimintaa. Intelin FlexRAN tai vähintään x86-alusta on käytännössä ainoa vaihtoehto O-RAN -alustaksi. Nvidia kuitenkin yrittää kaataa Intelin monopolin Arm-arkkitehtuuriin perustuvalla Bluefield-3 -DPU:lla, jossa on yhdistettynä grafiikkasuoritin ja verkkokortti. Arm on aiemmin päätynyt enemmän kiihdytyslaitteistoihin kuin monikäyttöiseen laskentaan, mutta nyt Nvidian Aerial yhdistää Bluefield-alustan ja sovelluskehitysympäristön kolmannen osapuolen integroitavuteen.

Yleisin tapa ottaa käyttöön O-RAN:ia on ostaa hostatut CU/DU-osat eri valmistajalta kuin RU-radioyksiköt. Näin ovat tehneet Rakuten ja Dish uusissa verkoissa, mutta vanhoissa verkoissa tilanne on mutkikkaampi. 5G-coressa ja -radioverkossa on kolmenlaisia alustoja: palvelimet, whitebox-verkkolaitteet ja perinteiset kytkin-reitittimet. Toimijat koostuvat uusista softapelureista, palvelinvalmistajista ja perinteisistä verkkolaitevalmistajista. Verkkolaitevalmistaja, jolla ei ole osaa 5G-maailmassa, on vaarassa pudota kelkasta. Cisco ja varsinkin Juniper ovat siinä mielessä hyvissä asemissa, että niillä on vahva jalansija, kokemusta ja riittävä tuoteportfolio. Optisen verkon laitevalmistaja Ciena osti itsensä mukaan IP-liikenteeseen ja 5G:hen Vyatta-hankinnna avulla. Vyatta on ollut hyvä ja pitkäaikainen avoimen koodin reititysohjelmisto, joka on toiminut taustalla ja ei ole koskaan oikein noussut kunniaansa. Tuote on siirtynyt Brocadelta AT&T:lle ja nyt Cienalle. Vaikka Ciena haluaa tehdä itsestään IP-reititystoimijan, tuskin tilanne Vyattan avulla olennaisesti muuttuu.

O-RAN ei ole operaattoreille helppo toteuttaa, joten ne aloittavat puhtaalta pöydältä pienemmän mittakaavan privaattiverkkoprojekteilla. Open Networking Foundation (ONF) on polkaissut käyntiin oman kaupallisen privaattiverkkotuotteensa. Ananki on ONF:n pari vuotta olemassa ollut Aether-alusta, jota operaattorit ovat käyttäneet. Yrityspuolella tilanne on kuitenkin eri ja siksi Ananki on pyöräytetty omaksi tuotteekseen. Ananki tähtää juuri teollisuusyrityksien privaattiverkkoihiin ja IoT-maailmaan, joissa arvostetaan käyttäjäkokemusta, helppoutta, tietoturvaa ja julkisen pilven integroitavuutta. Verizon antaa aina käytännönläheisiä kommentteja: monet privaattiverkkototeutukset ovat vielä vuosien päässä ja tällä hetkellä suurin käyttökohde on konenäkö, jossa kamerafiidi toimitetaan pilveen. 5G on nyt siirtymässä uuteen aikaan kun toisen sukupolven selvästi paremmat laitteet alkavat yleistyä ja uudet ominaisuudet tulevat paremmin esiin.

Dish avaa omaa verkon toteutustapaansa. Hybridimallissa CU-osa menee AWS:ään ja DU-osa pysyy Vmwaressa omalla alustalla. Mavenirin tekemä pilvinatiivi RAN-softa pyörii jo AWS:n EKS-palvelun päällä ja käyttää AWS:n CI/CD-työkaluja. Vmwarea ei ole julkisessa pilvessä, koska kolmannen osapuolen riippuvuuksia ja tuplakustannuksia halutaan välttää. Pilvessä käytetään vain pilven omia työkaluja kuten CI/CD, valvonta ja orkestrointi. Oma Vmware-alustakin on siirtymässä AWS:n Graviton2-palvelimiin ensi vuonna kun tarve Vmwaren välikerrokselle poistuu. DU:lla on kovat kovat mikrosekuntitason vasteaikavaatimukset ja siksi se siirtyy viimeiseksi pilveen.

Telefonica tekee uutta avointa ja automatisoitua verkkoaan IBM:n, Redhatin ja Juniperin kanssa. Palvelut pyörivät omissa konesaleissa kontteina Openshiftillä hallittuna ja IBM:n Cloud Pakilla automatisoituna. Verkkolaitteet ovat Juniperin QFX-sarjaa, joita hallitaan Apstralla. AT&T ulkoisti pilviteknologiansa Microsoftille, mutta julistaa nyt kuitenkin, että softa on heidän erottautumistekijänsä. Ericsson on aina toiminut operaattorien kautta, mutta voi joutua muuttamaan toimintamalliaan jos yritykset haluavatkin ostaa verkkonsa suoraan valmistajalta ilman välikäsiä. Yritysmarkkina näyttelee tärkeää roolia mobiiliverkkojen tulevaisuudessa. Ericssonin kilpailijoina ovat lähinnä Nokia ja amerikkalaiset internet-jätit.

Heliumista on alkanut tulla vakiintunut toimija telco-kentässä. Heliumiin perustuen Senet on julkistanut oman verkkonsa ja GigSky verkkopalvelunsa. FreedomFi toimittaa laitteita Helium-verkkoon ja on laajentamassa palvelua 5G-lähettimiin. 1500 dollarilla saa piensolun sisäkäyttöön ja sen peittoalue on noin kolme kertaa wifin peittoa suurempi. Useamman kilometrin kantaman ulkosolu on tulossa. Helium on siis yhteisöverkko, johon sisältyy tapa hyvittää käyttäjille heidän jakamastaan palvelusta. HNT on Heliumin kryptovaluutta, jolla maksuliikenne hoidetaan. Heliumissa on nyt 190000 LoRa-lähetintä ympäri maailmaa. Ennusteissa 5G solujen toimitusmäärät voisivat olla 2022 loppuun mennessä 40000 kappaletta, mikä olisi enemmän kuin Verizonilla. Käyttäjät tarvitsevat taajuuksille sopivan laitteen ja eSIM:n sujuvaa verkon vaihtoa varten. Virtuaalioperaattorit voisivat hyvin ottaa Heliumin mukaan omaan palveluunsa. Erikoista palvelussa on se, että nettisivulta voi katsoa mitä kukakin verkon jakaja tienaa.

Kiina-rintamalla USA vapautti Huawein talousjohtaja Meng Wanzhou kolmen vuoden jälkeen. Selvisi, että Mengillä oli seitsemän maan passit taskussaan, mikä ei tue Huawein vakuuttelua, että se olisi kaupallinen yhtiö ilman hallitussiteitä. Pari viime vuotta pakotteiden alla ollut Huaweille “normaalia”. Omien sanojen mukaan talossa ei ole ollut kaaosta, vaan yritys on entistä yhtenäisempi ja houkuttelee lahjakkuuksia. Kotimaan palkitsemiskäytännöt eivät enää riitä, vaan ne pitää sovittaa USA:n standardeihin, jotta kansainvälisistä kyvyistä voidaan kilpailla. Enää Huawei ei yritä käytää parhaita komponentteja, vaan tyytyy “sopiviin”, joilla on myös saatu kannattavuutta nostettua. Aiemmin Huawei seurasi standardeja, koska sillä ei ollut riittävää asiakaskuntaa takanaan, mutta jatkossa se aikoo luoda enemmän omia standardejaan. Ericsson päätti sulkea yhden viidestä Kiinan tutkimuskeskuksestaan, koska se häviää nopeasti markkinaosuuttaan kiinalaisvalmistajille. Tutkijat siirtyvät TietoEvrylle.

5G:n näkymistä kertoo GSMA:n Euroopan mobiilimarkkinaa luotaava raportti. Opensignalin mobiiliverkon käyttäjäkokemusmittausten tulokset on päivitetty.  Tefficientin Pohjoismaisen tilaston mukaan DNA:n 5G-verkon väestöpeitto on noussut yli 50% ohi Telian 47%:n peiton. Elisalla on hienoinen johtoasema. Telenorilla on vaikeuksia päästä pois Myanmarista kun armeijan juntta ei hyväksy omaisuuden myyntiä libanonilaiselle ryhmälle, jolla on kytköksiä Syyriaan, josta juntta taas ei tykkää. Kauppaan sisältyy 18 miljoonan tilaajan puhelutietojen siirto uudelle omistajalle. Tietojen päätyminen juntan käsiin olisi asiakkaille erittäin vaarallista. GDPR astuu tässäkin tapauksessa kuvaan ja Myanmarissa asti voidaan kiistellä sovelletaanko sitä vai ei.

Erillisverkkojen raportti teknologiatrendeistä antaa hyvän kuvan mitä modernin infran käyttöön liittyy. 5G tarvitsee kylkeensä hajautetun pilven, johon palvelut ja tieto sijoitetaan. Pilveen taas liittyy kysymyksiä tiedon käsittelystä ja suojauksesta. Viranomaiset tarvitsisivat omaa paikallista ja suojattua pilveä. Tiedon keskittämisen pohjalta voidaan käyttää tekoälyä tehostamaan toimintaa. Operatiivisessa toiminnassa lisätty todellisuus, kuten älylasit, on mahdollisuus. Satelliittiyhteydet antavat mahdollisuuden kattaviin liikkuviin palveluin. Satelliiteista saatava sijaintitieto ja aika ovat olennaisia lähes kaikelle toiminnalle. Koko ekosysteemi on muutoksessa monimutkaisempaan suuntaan, joten toimijoiden yhteistyötä ja kumppaniverkostoa tarvitaan.

Metaversestä eli keinotodellisuusmaailmoista unelmoidaan operaattorien tappajasovellusta. Historia on opettanut, että OTT-palvelut ja internet-jätit vievät palvelut ja operaattori jää kilpailemaan halvimmista datayhteyksistä. Facebook onkin ilmoittanut kehittävänsä Metaverseä, joka tulee olemaan kallis ja liiketoimintamalliltaan epäselvä. Konkreettisena tuotoksena on nyt astetta tyylikkäämmät Rayban-älylasit. Myös kiinalainen Nreal on tuonut markkinoille uudet älylasit, mutta tekniikka on edelleen kömpelöä. Käyttökokemukset Etelä-Koresta kertovat, että suosituin sovellus älylaseilla on streaming ja keksimääräinen käyttö on 49 minuuttia päivässä. Amazon ja Comcast taas ovat julkaisseet omat äly-TV -mallinsa. Äly-TV liittyy paremmin kokonaisekosysteemiin ja tuottaa mainos- ja sovellustuloja myös oman verkon ulkopuolella. Silti pelkän TV:n tuominen markkinoille ei riitä kovin pitkälle kuluttajien kosiskelussa.

Pilvi ja konesali

Operaattorit ovat tohinalla menossa julkiseen pilveen. Huawein uhka on nyt väistynyt, mutta seuraava valmistajaloukku odottaa julkisessa pilvessä. Pilvestä toiseen siirtymisessä on giganttiset kustannukset. Orange on varovainen pilveen sitoutumisessa, vaikka se on tehnyt yhteistyösopimuksen Googlen kanssa. Riskinhallinta tarkoittaa, että Orange yrittää välttää täyttä riippuvuutta Googlen tekoälystä rakentamalla omaa tekoälyä perinteisten kumppanien kanssa.  AWS on menettänyt merkittävän johtajan Charlie Bellin Microsoftille kun häntä ei nimetty AWS:n toimitusjohtajaksi. Azure on selkeästi tosissaan operaattoritoiminnassa, mutta myös yrityspalveluiden tuottamisessa. Azurella on nyt laaja ote markkinaan ja arvoketju paremmin hallussa kiihdyttääkseen 5G-muutosta.

Google aloitti 23 vuotta sitten ensimmäisellä räkillä palvelimia Santa Claran konesalissa. Vuonna 1998 reilu kahden neliön tilavuokra oli 4000$/kk ja megabitti maksoi 1200$/kk. Palvelimet olivat toimisto-pc:eitä, joihin oli liitetty ulkoiset levyt. Vasta seuraavana vuonna google.comin liikenne ylitti 2 Mbps. Räkin huipullahan istuu HP Procurve 4000M -kytkin, joita tuli vastaan 2000-luvun vaihteessa omassa työpaikassa jokaisessa kerrosjakamossa. Google on ollut Saksassa 20 vuotta ja nyt Frankfurtin alue saa laajennusta Hanaun tiloista ja Berliini kokonaan uuden Brandenburgin alueen. Googlen teknologiajohtaja Urs Höltzle on päättänyt siirtyä etätöihin Uuteen-Seelantiin, mikä on herättänyt närää työntekijöissä, joilla ei ole ollut samoja mahdollisuuksia etätöihin.

AWS:n liiketoimintaa on perattu ja selvitetty mitkä palvelut tuottavat eniten voittoa. Ensinnäkin AWS on voitollinen, toisin kuin esim. GCP tai Alibaba. AWS:n tuloista yli puolet tulee EC2-palvelusta. 80% tuotoista tulee 20% asiakkaista. Suurimmat marginaalit ovat kuitenkin pienillä asiakkailla, joita on 80% asiakkaista. Keskimäärin palveluiden kate on 60% luokkaa, suurimmillaan luultavasti S3- ja EBS-tallennuspalvelussa. S3:n hintaa ei ole kuulemma tiputettu sitten vuoden 2016. Samaa voi sanoa tiedonsiirtomaksuista. Bitin hinta on laskenut koko ajan, mutta tiedonsiirtohinta on pysynyt samana viimeiset kolme vuotta. AWS:n kehityksessä suurin ongelma on verkko ja viiveen vähennys on ollut koko ajan tärkein kehitystavoite. Verkon viiveen vaihtelua on optimoitu alusta alkaen jatkuvasti. Alkuun verkkolaitteiden skaalautumisessa oli ongelmia, koska muutostahti oli valtava. Nykyään muutoksia infraan tehdään miljoonia sekunnissa. Alun 300 ms viiveet ovat vaihtuneet alle 10 ms viiveisiin SmartNIC:ien avulla. Nykyään asiakas saa EC2-instanssin coreista 100% käyttöön eli teho on sama kuin rautapalvelimessa.

Pilvi on isojen massojen kisaa, missä pienen toimijan on vaikea pärjätä. Kilpaan bulkkipalvelusta ei kannata lähteä, mutta mahdollisuuksia on erikoistumisessa tiettyihin palveluihin tai markkinaan, ja esim. tietoturvassa ja yhteisön omistamisessa. Greylock on kartoittanut markkinaa ja pilvipalveluekosysteemiä. Amerikkakeskeinen pilvi-infra hiertää myös Eurooppaa. Euro-pilvet ovat marginaalisia ja menettävät koko ajan osuuttaan. Suurimpia toimijoita Euroopassa ovat Deutsche Telekom, OVH, SAP ja Orange. Jotkut ovat löytäneet oman niche-alueensa, jossa toimiminen on kannattavaa. Markkinatilanteen muutosta on vaikea kuvitella seuravaan viiteen vuoteen. T-System onkin liittoutunut Googlen kanssa tuodakseen itsenäisen pilven saksalaisten yritysten, terveydenhuoltoalan ja julkisen sektorin vaatimalle luottamuksellisen tiedon käsittelylle. Palvelun on määrä antaa käyttäjille täysi hallinta tietoon säilyttäen kuitenkin pilven tuomat edut. T-System vastaa pilvitiedon ja identiteetin hallinnasta, tiedon salauksesta ja Saksan GCP:n alustan hallinnasta.

Yksi surullinen tarina on IBM:n pilviseikkailu. IBM osti 2013 Softalyerin, jonka päällä piti IBM:n kruununjalokiveä Watsonia ajaa. Pilvialusta ei sopinut Watsonille eikä isoille perinteisille asiakkaillekaan, koska Softlayer oli keskittynyt pieniin asiakkaisiin ja tarjosi halpoja ja yksinkertaisia pilvipalveluita. Softlayerillä ei ollut VPC-ominaisuutta, jolla asiakas voi rakentaa oman virtuaalipilvensä. Asiakkaat pyysivät IBM:ää rakentamaan omien tarpeidensa mukaista infraa ja IBM teki asiakaslähtöistä kehitystä ilman ajatusta yleisestä palvelumallista. Äkkiä tajuttiin, että tämä ei toimi ja pilvi pitää rakentaa uudelleen. Kehitys jakautui kahteen leiriin, joista toinen rakensi pilveä puhtaalta pöydältä, mutta törmäsi skaalautuvuusongelmiin ja edelleen puuttuvaan VPC-ominaisuuteen. Pilvi ei ikinä valmistunut. Toinen ryhmä rakensi VPC-kykyistä pilveä Softlayerin pohjalta ja sai rinnalleen toisen kilpailevan projektin. IBM-pilvi saatiin vihdoin ulos 2019, mutta silloin oli jo liian myöhäistä. Tällä välin asiakkaat olivat oppineet kilpailuttamaan pilviä. Tarjous saatiin aina AWS:ltä ja seuraavista paikoista kilpailivat Azure, GCP ja IBM. Tuli selväksi, että IBM-pilvi ei ollut kilpailukykyinen. IBM-pilvessä on ollut viime vuosina laajoja häiriöitä, joita ei kuitenkaan ole julkisesti juurikaan huomattu, koska tärkeimmät palvelut pyörivät muualla.

Cloudflare taas on matkalla neljänneksi julkiseksi pilveksi ja yrittää tosissaan haastaa johtokolmikkoa. Tulossa on uusi R2-objektitallennuspalvelu, nimeltään “yhtä vähemmän kuin AWS S3”. Hinta tulee olemaan noin puolet S3:n hinnasta, mutta kirjoitussuorituskyvyssä jäädään alussa S3:sta jälkeen. Cloudflarella tiedonsiirtomaksuja ei peritä ulospäin suuntautuvasta liikenteestä. Cloudflare on julkistanut myös Offices-palvelun, jossa isot toimistorakennukset liitetään suoraan Cloudflaren verkkoon. Muualla toimistot voidaan liittää Cloudflaren edge-laitteen ja yhteyskumppanien avulla. Ensimmäisessä vaiheessa edge-laite tekee vain kytkentää verkkoon, mutta siihen on tulossa myös laskenta- ja tallennusominaisuuksia.

Pilven käyttäjät eivät useinkaan hyödynnä kustannusoptimointia, joka olisi suht helposti käytettävissä. Yrityksiltä jää 6 miljardia dollaria turhaa rahaa pilvipalveluihin vain, koska ne käyttävät on demand -hinnoiteltua palvelua. Pilvipalveluissa olisi jopa työkaluja kustannusoptimointiin, mutta yritykset eivät ilmeisesti tajua minkälaisista säästöistä voisi olla kyse. Kapasiteettia kannattaa ostaa etukäteen tai käyttää dynaamista skaalausta. Etukäteen ostamalla säästää jopa 70%. Myös erilaisia hinnoitteluita tiettyyn aikaan tai tietyssä paikassa voi yrittää hyödyntää. Monipilvi ei välttämättä ole joka pojan juttu, mutta pieni vähemmistö voisi säästää yli 60% valitsemalla sopivat palvelut eri pilvistä.

Sanonta pilvi on vain jonkun toisen palvelin, ei pidä oikeastaan paikkaansa. Pilvi on järkyttävän monimutkainen palvelukokonaisuus ja sitä on turha ajatella perinteisenä tietokoneena. Pilven ongelmatkin ovat yleensä paljon hienosävyisempiä ja monimutkaisempia kuin pelkkiä fyysisiä laitevikoja. Sovellukset pitää suunnitella kestämään yksittäisten pilvipalveluiden ongelmia. Lisäksi pilvialustaan pitää voida luottaa, mikä taas vaatii pilvitoimittajalta läpinäkyvyyttä. Pilven riskienhallinta on enemmän älykästä hallintaa kuin riskien välttelyä. Softatalot ovat auttaneet meitä siirtämään kaiken tiedon suljettuihin SaaS-palveluihin, mutta hajanaisen ja eristetyn tiedon käytössä onkin nyt ongelma. Tähän tarpeeseen on syntynyt uusi yrityssukupolvi, joka yrittää ratkaista datasiilojen yhdistämisen.

AWS on valinnut Ciliumin EKS-palvelun verkko- ja tietoturvaominaisuuksien oletustyökaluksi. Nyt kaikilla kolmella pilvellä on sama standardityökalu pilvinatiivien sovellusten verkkopalveluiden hallintaan. Prometheus-valvontaa saa nyt palveluna. ALB-sovelluskuormanjaon voi nyt yhdistää suoraan NLB-verkkokuormanjakoon. EC2-instanssien ulospäin menevä kaista on kasvatettu 5 Gbps:sta ylöspäin ja instanssi voi nyt käyttää puolet kokonaiskapasiteetista ulospäin menevälle liikenteelle. AWS:n hyödyntämiseen löytyy oppia blogeista: Introduction to Network Transformation on AWS – Part 1 ja Part 2, sekä Toni Pasasen VPC-introsta. Pilvessähän ei tunnetusti ole broadcastia tai multicastia, joten miten multicastia käyttävät palvelut kuten IPv6, DHCP tai HA toimivat pilvessä?

Azuren verkkoratkaisuista on julkaistu ilmainen 9,5 tunnin AZ-700 -kurssimateriaali. John Savillin kolmen tunnin videokurssi perehdyttää samaan aiheeseen.  Serttikoe on nyt myös avautunut: AZ-700: Designing and Implementing Microsoft Azure Networking Solutions.

Nextplatform on tehnyt vertailua palvelinten ja kytkinporttien myyntimääristä. Palvelin-corejen ja 10G-kytkinporttien määrän kasvu on hyvin samassa linjassa. Kun suorituskykyä verrataan, niin kytkimien tehot kasvavat nopeammin kuin palvelinten. 100G on nyt edullista ja 400G on jo olemassa. Tällä hetkellä verkon kapasiteetin kehityksen kannalta kaikki on hyvin. Koko käyttäjä-pilvi -yhteyden optimoimiseksi pitää myös katsoa middle mile -osuutta, joka muodostaa suurimman osan fyysisestä etäisyydestä. Operaattorien ja cloud on-rampien kanssa optimointia voi tehdä. Ciscon lupaama SD-WAN -integraatio Equinixin verkkoon on toteutunut. Equinixin asiakkaat voivat nyt portaalin kautta automaattisesti ottaa käyttöön SD-WAN -gatewayt ja muodostaa yhteydet käyttäjien, toimipisteiden ja pilvien välillä. Thousand Eyes valvoo yhteyksiä päästä päähän ja tekee jatkossa reittivalinnat yhteyksien laadun mukaan.

Cloudflarella tuli 11 vuotta täyteen ja sen kunniaksi juhlittiin vauhtiviikkoja. Laajentuminen on ollut huimaa. Nyt verkko on liitetty suoraan yli 10000 muuhun verkkoon. Vertailun vuoksi Googlen arvioidaan liittyvän 12000-15000 verkkoon. Cloudflaren oma verkko löytyy yli 250 kaupungista, 95% internetistä on alle 50 ms päässä ja 80% 20 ms:n päässä. 70% kapasiteetista muodostuu kahdenkeskisistä peerauksista ja 30% menee transitin kautta. Verkon teknologiassa hyödynnetään erilaisia älykkäitä mittaus- ja päätelmäalgoritmeja liikenteen nopeuttamiseen ja yhteyden laadun parantamiseen epäluotettavan internetin päällä. Cloudflare myös mittasi ja vertasi oman verkon suorituskykyä muihin CDN-toimijoihin. Käyttäjille näkyvyyttä tarjoaa verkkoyhteyksien analytiikka.

Suomessa Digita ilmoitti rakentavansa uuden konesalin Pasilan Ylen kampukselle, jossa on tarjolla maan parhaat yhteydet. Konesalikilpailu pääkaupunkiseudulla lisääntyy kun Digita saa vihdoin kunnollista modernia ja isoa tilaa vanhojen pienien kopperoiden tilalle. Equinix on rakennuttanut uuden runkokuidun Sinimäestä Pasilaan kytkien HE6/7-salit suoraan Pasilan yhteyspisteeseen.

Kyberturvallisuus

Fortinetin lähes 13000 laitteesta on vuotanut puoli miljoonaan VPN-tunnusta. Azuren Linux-koneiden halllinta-agentin OMIGOD-haavoittuvuus tuli julkisuuteen ja herätti hämmennystä kenen vastuulle se kuuluu. Asiakkaat eivät tienneet koko agentin olemassaolosta ja päivitys jäi kuitenkin käyttäjien vastuulle. Muutama päivä sekoiltiin korjausprosessin kanssa. Epäselvää oli mitä haavoittuvuus koski, ohjeen mukainen korjaus ei toiminut, haavoittuva agentti oli jaossa vielä päiviä julkistuksen jälkeen ja hetken päästä näkyikin jo hyväksikäyttöyrityksiä. Vmwaren vCenterissä oli jälleen vakava haavoittuvuus, jota käytettiin hyväksi. Internet-rajapinnassa ja oletusasetuksilla olevat asennukset ovat vaarassa. Myös Netgearin Smart Switch -sarjassa ja Sonicwallin SMA 100 -sarjassa on vakavia haavoittuvuuksia. Exchangen autodiscover-ominaisuus vuotaa tietoja kun kuuntelija saa haltuunsa sopivan autodiscover-domainin.

Uusi ennätyksellinen bottiverkko Meris on heräilemässä pitkän hiljaiselon jälkeen. Nimi tulee Latvian sanasta rutto. Kiristysiskuja on tehty kesästä lähtien mm. Venäjälle, Britteihin, USA:aan ja Uuteen Seelantiin. Verkossa on noin 250000 laitetta, jotka ovat tehokkaita verkkolaitteita. Mikrotikin laitteet on yhdistetty hyväksikäyttöön. Hyökkäysvoima on ennennäkemätön, Yandex on mitannut viimeisimmät lukemat 21,8 Mrps. Qratorin sivulla Meris botnet checkerillä voi tarkistaa kuuluuko ip-osoite bottiverkkoon.

Juniperin Netscreenin vuosien takainen vaiettu takaoviskandaali avautuu nyt hieman kun Bloomberg on penkonut asiaa. NSA oli vaatinut mm. Juniperia asentamaan tuotteisiinsa NSA-koodin. Koodin varasti kuitenkin Kiinaan linkitetty hakkeriryhmä, joka muutti koodia niin, että se saattoi purkaa salatun liikenteen. Koodi palautettiin takaisin omalla takaovella varustettuna ja kiinalaisilla oli pääsy laajasti eri organisaatioiden verkkoihin. Juniper ei ymmärtänyt mihin soppaan oli joutunut. Vasta kolmen vuoden jälkeen yhtiö tunnusti joitain yksityiskohtia, mutta tapaus on ollut hyvin salamyhkäinen ja selittää miksi USA on varpaisillaan kiinalaisten kanssa. Ehkäpä tästä oppina, että paras tapa puolustautua hyväksikäytöltä on olla tekemättä itse niitä.

Yritykset suhtautuvat eri tavalla hakkerointiin. Solarwindsin tapauksessa Microsoft oli itse uhrina ja valjasti 500 työntekijää tapauksen käsittelyyn ja yhteistyöhön eri tahojen kanssa. Brad Smith kertoo millainen kaaos Microsoftin sisällä oli. Solarwinds pienenä yhtiötä ei olisi millään itse voinut hoitaa tapausta, vaan tarvittiin isomman yhtiön kapasiteetti ja motiivit lähteä hoitamaan asiaa. Amazonia yritettiin saada mukaan kongressin kuulemiseen, mutta se kieltäytyi osallistumasta. Ohjelmistopaketoinnin avoin toimitusketjumääritys SPDX on stardardoitu ISO-standardiksi ISO/IEC 5962:2021. Lähtökohtana on ollut vakioida tapa luetteloida avoimen koodin komponentit ja lisenssit. SPDX antaa luotettavuutta ja läpinäkyvyyttä ohjelmistotuotantoon ja -jakeluun.

Supon kansallisen turvallisuuden katsaus kertoo Kiinan tiedustelupalveluiden halusta käyttää Suomen verkkoja vakoiluun. Myös infrastruktuurihankkeet ovat kiinnostaneet kiinalaisia. Yhteistyökuvioista ja yrityskaupoista on varoiteltu ja niiden valvontaa on lisätty. Myös Venäjä tekee laaja-alaista tiedustelua Suomessa. Muiden maiden tiedustelu koskee lähinnä omasta maasta lähtöisin olevia ihmisiä.

Yhä kehittyneemmät hyökkäystavat johtavat myös monimutkaisempien tietoturvatuotteiden käyttöön. Tietoturvaa rakennetaan usein ylhäältä alaspäin ja taklataan aina vain korkeamman tason ongelmia yhä hienommilla tavoilla. XDR ja muut kehittyneet tietoturvatuotteet voivat kuitenkin aiheuttaa enemmän ongelmia kuin hyötyä. Monesti organisaatiolla on jo riittävät tuotteet, jotka vain pitäisi ottaa kunnolla käyttöön ennen kuin ostetaan uusia hienompia tuotteita. Fortinet aikoo kouluttaa miljoona kyberasiantuntijaa erilaisilla koulutusohjelmillaan vastamaan paremmin nykypäivän vaatimuksiin.

SASE-rintamalla Barracuda Networks julkaisi “ainutkertaisen konseptin”, jossa asiakas voi pyörittää omaa virtualisoitua palvelua omassa pilvessään. Analyytikot julistivat tämän palvelun köyhän miehen SASE:ksi, joka ei varsinaisesti vastaa SASE:n määritelmää SaaS-palvelusta. Paloalto on yhdistänyt SD-WAN- ja SASE-palvelut yhdeksi Prisma SASE -palveluksi. Cloudgenixin SD-WAN on nyt integroitu SASE-pakettiin.

Mikä on SD-WAN:n ja SASE:n rooli? Kaikki alkaa yhdistyä SASE-termin alle. Kuitenkin monet kyseenalaistavat riittääkö pelkkä SASE vai tarvitaanko jotain muutakin, kuten vaikka EDR/XDR. Vastaus riippuu organisaatiosta. Tietoturva ei ole enää tekninen ongelma, vaan liiketoiminta- ja riskienhallintakysymys. Tutkimus on todennut, että 90% hyökkäyksistä johtuu ihmisten tekemistä virheistä. Siksi automatisointi on tärkein asia oli palvelu SD-WAN tai SASE. Palvelumielessä palveluntarjoaja joutuu huonoon asemaan jos se joutuu tarjoamaan useamman valmistajan ratkaisuja. Asiakkaat haluavat usein tietyn merkin, mutta palveluntarjoaja joutuu rakentamaan hallinnan ja integroinnin jokaiselle tuotteelle erikseen. Tämä johtaa vajavaisiin palveluihin ja on asiakkaan haitaksi.

Gartner on päivittänyt WAN Edge Infrastructure Magic Quadrantin. Sama kuusikko keikkuu kärjessä: Fortinet, Vmware, Versa, Paloalto, Cisco ja Silverpeak. Aruba on noussut uutena oikeaan yläkulmaan, jossa Fortinetin suoriutumiskyky on omaa luokkaansa. Juniper on edelleen ainoa visionääriluokan tuote. Hyvä teknologia kaatuu huonoon asiakaskokemukseen. Asiakkaita on kuitenkin yli 18000. Paloalto arvioitiin ominaisuuksiltaan parhaaksi. Kaikilla johtajilla on AI-kykyä, mutta sisältö vaihtelee. Tekoäly onkin tärkeä erottautumistekijä. Valmistajien liikkuminen nelikentällä kolmen vuoden ajalla näkyy animaatiosta. Haastajat Citrix ja Huawei pelaavat omilla markkinoillaan. Citrixin 1700 asiakasta on pieni määrä, vaikka tuote on yksi ominaisuuksiltaan laajimmista.

Gartner on myös arvioinut WAN Edgen ominaisuuksia. Ominaisuuksiltaan huonoimmat ovat Peplink, Nuage, Cradlepoint, Barracuda, Fatpipe, and Riverbed. Silti osa näistä valmistajista on löytänyt kolon itselleen. Yleisesti Gartner näkee maailman siirtyvän SD-WAN:sta SASE-arkkitehtuuriin ja internet-yhteyksiin. Automaatio ja tekoäly näyttelevät yhä suurempaa roolia operointipuolella. Myös Dell’Oro:n markkinatutkimuksen mukaan samat kuusi SD-WAN -markkinajohtajaa kahmivat 70% myynnistä. Tietoturvaominaisuudet ovat erottautumistekijä markkinassa ja perinteisten asiakasreitittimien myynti on vähentynyt selvästi SD-WAN -laitteiden yleistyttyä.

Forrester on arvioinut zero trust -valmistajia. Zscaler, Paloalto, Vmware, Appgate ja Perimeter 81 johtavat markkinaa. Zscaler ja Paloalto ovat selvät suosikit. Akamai ja Cloudflare saattavat olla kisan mustia hevosia. Akamai osti israelilaisen mikrosegmentointiyrityksen Guardicoren vahvistaakseen zero trust -alustaansa. Tietoturvan seuraavia yksisarvisia arvellaan olevan Deep Instinct, Bettercloud, Guardicore ja Swimlane. Orca jatkaa tappeluaan Paloaltoa vastaa läpinäkyyysohjelmallaan. Tuloskortille on listattu 26 valmistajaa ja niiden rajoitukset tuotearvioille ja muille lisenssiehdoille. Suurimmalla osalla valmistajia onkin varsin tiukat lisenssiehdot.

Etätyön myötä kotilaitteet ovat taas muotia. Paloalton Okyo Garde ja Fortinet-Linksysin HomeWRK ovat tietoturvaominaisuuksilla varustettuja kotireitittimiä. Kyse on yritysluokan toimintojen tuomisesta kotiin, mutta vaarana on yrityspolitiikan sekoittuminen kotikäyttöön. Käyttökokemus ei välttämättä ole optimaalinen. Itse tilasin aikoinaan F-securen Sense-reitittimen. Tuote myöhästyi julkaisussa noin vuoden ja tyylikään ulkonäön takaa paljastui oudosti käyttäytyvä laite, johon ei ollut mitään näkyvyyttä tai hallittavuutta. Lopetin purkin käytön kun kyllästyin epämääräisiin yhteyksien blokkailuihin ja palveluiden toimimattomuuteen, joihin ei itse voinut mitenkään vaikuttaa.

Nutanix on julkaissut uusia tietoturvaominaisuuksia AHV-hypervisoriinsa. Teemana on yksinkertaistaminen. Flow Networking -palvelun avulla käyttäjä voi tehdä virtuaalipilven, VPN-tunnelit ja automaattiset segmentointipolitiikat, ja sitä kautta auttaa zero trust -strategian toteuttamisessa. Lisänä on tulossa koneoppimiseen perustuvat politiikkaehdotukset ja Qualys-haavoittuvuushallinan tuoma havainnointi ja vaste.

API-rajapintojen välisen liikenteen merkitys kasvaa. Kalifornialais-israelilainen Neosec aikoo olla API-rajapintojen XDR analysoimalla API-liikennettä ja sen uhkia sekä automatisoimalla vastetta. SSH-rajapinta on alttiina hyökkäyksille, joten sen koventaminen on olennaista. Yksi tekniikka on porttikoputus, jolla ennen 22-portin avautumista pitää koputtaa tietty porttinumerosarja ikään kuin avainkoodina. Mysocket.io laajentunut nopeasti uusilla ominaisuuksilla sovelluspääsynhallinnan ympärille. Palvelu tarjoaa siis ilmaiseksi zero trust -mallista pilvinatiivia pääsynhallintaa.

Tekniikka ja operointi

Mikropalveluiden myötä API-gateway on tullut strategiseksi osaksi verkon arkkitehtuuria. Sopiva määrä API-rajapintoja mikropalveluihin on tällä hetkellä jossain 26-50 välillä ja kasvu luo painetta myös alemmille verkkokerroksille reititykseen, tietoturvaan ja hallintaan. Toinen ajan hengen tuotos on työnkulku, jota kaikki modernit IT-yritykset toistelevat.

Hashicorp on tehnyt omasta tutkimuksestaan johtopäätöksiä miksi ilmainen työkalu ei ole riittävä. Vaikka monet organisaatiot rakentavat avoimen koodin päälle, SaaS vetoaa erityisesti tietoturvaohjelmistoissa. Harva jaksaa kuitenkaan ihan alusta alkaen tehdä itse. Avoin koodi vaatii vastuunottoa ja pelisäännöt miten koodia hyödynnetään. Riskiä voi pienentää varsinkin ydintoiminnoissa kaupallisella tuotteella tai tuella. Organisaatiot ostavat tukea, vaatimustenmukaisuutta ja hallintaominaisuuksia. Rahalla saa nopeampaa etenemistä ja parempaa tuottavuutta. Yksilöt ovat tuottavimmillaan kun heille tarjotaan tietty valikoima tarpeeseen sopivia pilvipalveluita. Isossa organisaatiossa tämä ei tietenkään ole mitenkään yhtenäinen kenttä, vaan jokainen ryhmä saattaa vaatia omat tuotteensa.

Nautobot SoT-alusta on saanut ympärilleen sovellusekosysteemin, josta löytyy erilaisia laajennuksia perusalustan automaatiokykyjen laajentamiseksi. Nautobotin uusi ominaisuus on versionhallinta ja rollback. Ansible voi olla hankala vikatilanteissa. Koodin ajoon ja virhetilanteisiin on tarjolla erilaisia työkaluja, esim. lokia, konsolia ja debuggeria.

Verkkolaitteen sisäinen kahdennus on monimutkainen kokonaisuus erilaisia tekniikoita. Ivan Pepelnjak on esitellyt non-stop forwardingin (NSF), stateful switchoverin (SSO), graceful restartin (GR) ja sarja jatkuu. Vanhat ja viisaat ovat sitä mieltä, että oikea kahdennus tehdään kahdella itsenäisellä laitteella. Laitteen sisäiselle kahdennukselle on joskus tarvetta, mutta on hyvä tietää siihen liittyvä monimutkaisuus ja riippuvuudet. Moni asia voi mennä pieleen.

Nick Russo on julkaissut 12 videota BGP multihoming -tekniikoista. Tiesitkö, että AS65535 ei enää kuulukaan privaattialueeseen, vaan se on poistettu sieltä RFC7300:ssa vuonna 2014? Alue on nyt siis virallisesti 64512-65534. Syy poistoon on BGP:n tunnetuissa communityissä, jotka käyttävät 65535-alkuosaa. Poistamalla “broadcast-AS:n” muusta käytöstä, on haluttu suojella verkon operoijia omilta virheiltä ja vahingoilta. Point-to-point -linkeissä /31-osoitteistus on vakiintunut käytäntö, vaikka edelleen jotkut laitteet ja käyttäjät suostuvat vain /30-aliverkkoihin. /31-aliverkon käyttö on määritelty jo vuonna 2000 RFC3021:ssä, ja 0 ja 255 ovat aivan käypiä osoitteita maskin määräämissä paikoissa. Linkkiosoitteina voi käyttää monenlaista osoitetta: julkisia, privaatteja, CG-NAT -aluetta 100.64.0.0/10, link-local -osoitteita 169.255.0.0/16 tai numeroimattomia interfaceja. ISIS-naapuruus toimii jopa ilman IP-osoitetta pelkällä NSAP-loopbackillä.

Daniel Dib nosti esiin Ciscon enemmän tai vähemmän eksoottisen EVN-tekniikan (Easy Virtual Network), jolla voi vuotaa reitit helposti eri VRF:ien välillä ilman täyttä MPLS-BGP:tä tai VRF-liteä. Konfiguraatiossa reitit vain kopioidaan toisesta VRF:stä. Huhun mukaan tekniikka kuopattiin pois ACI:n tieltä, koska se olisi poistanut tarpeen SDN-ratkaisulle. Jos mietit underlay-verkon hyödyntämistä palveluille, mieti vielä. Tunnelointi on herkkä ja suojaamaton toiminto underlay-verkossa, joten sinne ei kannata ottaa asiakkaita tai käyttäjiä hääräämään mukaan. Palveluliikenne kuuluu overlay-verkkoon. Siinä mielessä operaattorinkin kannattaa ajaa internet yhdessä VRF:ssä eikä globaalitaulussa. 

MLAG tai MC-LAG tai vLAG tai VPC tai EVPN ei ole koskaan ollut yhteensopiva eri valmistajien kesken standardi-LACP -protokollasta huolimatta. Nyt Arrcus, yksi uusista kytkinsoftan valmistajista, on kehitellyt avoimen MLAG-ratkaisun, jolla eri laitteet voidaan liittää samaan MLAG-pariin. En ole varma onko tällaiselle tarvetta, ehkäpä EVPN-multihomingissa. Avoimen ratkaisun etuna on tietysti yksinkertaisuus, joustavuus ja skaalautuvuus. Collapsed Spine -malli on kuulemma suosittu pienissä ympäristöissä, mutta siinä ei varsinaisesti voi puhua fabricista, leafeista ja spineistä. Kyse on enemmän hybriditopologiasta, jossa sekoitetaan iloisesti toimintoja. Verkon toiminta on pienestä koostaan huolimatta monimutkaista ja laajennettavuus huono. Toinen malli on neljän kytkimen neliö, jossa on ristiin kytkemällä lisätty kapasiteettia ja kuormanjakoa. Yleisesti huonoin mahdollinen täysin kytketty topologia toimii neljällä laitteella, mutta laajennus ei enää järkevästi onnistu. Spine-leaf -fabric on seuraava askel kun kytkenmäärä kasvaa.

Merkittävä prosessoriarkkitehtuurin kehitysaskel 30 vuoteen on nanoPU, joka yhdistää verkkokortin ja CPU:n. RPC on myös olennainen keksintö modernissa tietotekniikassa ja nyt RPC-kutsujen viivettä on onnistuttu vähentämään yhdistämällä verkon ja CPU:n välinen väylä samaan prosessoriin. Nanopalveluiden eli pienten RPC-kutsujen viive lyhenee mikrosekuntitasolta nanosekunteihin. RISC-V -core voi käsitellä 118 miljoonaa RPC-kutsua sekunnissa. Netflix on kertonut miten se palvelee yhdellä palvelimella 400 Gbps -videoliikennettä. Keskustelua esityksen pitäjän kanssa aiheesta löytyy Redditistä.

Nokia on julkaissut uuden FP5-prosessorin 7750-reititinsarjaansa. Prosessorissa on hypätty 16 nm:stä 7 nm viivanleveyteen. Datapolku on täysin ohjelmoitava mikrokoodipäivityksillä. Eri piirejä on yhdistelty ja siksi virrankulutusta on saatu pienennettyä 75%. Kulutus ja suorituskyky on sama linjanopeudella käytetyistä ominaisuuksista riippumatta 0,1 W/Gb. FP5  tukee 800 Gbps -linjakortteja. Anysec tuo salauksen suoraan siirtokerrokselle ja Deepfield Defender -liikenneanalytiikkatyökalun voi integroida suoraan rautaan tekemään DDoS-pesuritoimintoa. Nokia kehittää omaa piiriään ja sen tuote sopii operaattoreille ja edge-reititin -kategoriaan, jossa tarvitaan palveluita. Mutta jos se yrittää kosiskella pilvijättejä, niin enpä usko menesteykseen, koska webbiskaalaajat operoivat suuret massansa yksinkertaisilla kytkimillä. 

Juniper taas on palannut modulaariseen kytkimeen QFX5700, jolla voi yhdistellä sopivia nopeuksia 400 Gbps-nopeuteen saakka. 5RU:n kokoinen möhkäle on syönyt Trident 4:n ja Junos Evolvedin. Purkki näyttää samalta kuin 25 vuotta vanha HP Procurve 4000M. Apstra on hallinassa ja luotettavuuden ylläpitämisessä avainasemassa ja se erottaa Juniperin Ciscosta ja Aristasta. 400G kilpailu alkaa kuumentua ja myös optiikkaa on myynnissä esim. Flexopticsin 400G-ZR 12580 euron hintaan. Sivulta löytyy hyvät speksit ja käyttökohteet tälle optiikalle. Ciscon Acacia on debytoinut plugarilla, jolla voi siirtää 1,2 Tbps yhdessä aallonpituudessa. Tosin saatavuus on jossain vuoden 2023 keskivaiheilla. Pluribus tekee L1-kytkintä, joka on suunnattu labrakäyttöön ja miksei muuallekin. Hallittu “etäkaapelointi” helpottaa kytkentämuutoksia ja testaamista.

Moderneissa WDM-laitteissa on aika hämmästyttävän tarkkoja mittausominaisuuksia, joilla voi paikantaa kuidun vikakohdan metrin tarkkuudella. Valokuitua voi hyödyntää myös sensorina. Maan värähtelyt puristavat ja venyttävät kuitua, ja pulssin muutoksista voi valotutkalla havaita muutokset. Monitorointia voi tehdä välitaajuuksilla normaalin tiedonsiirron rinnalla ja tarkkuus on metriluokkaa.  Lämpötilan mittaus kuidulla on teollisuudessa arkipäivää. Liikenne- ja kaupunkisuunnittelijoita taas kiinnostaa mittaustekniikan anonyymius, koska mittauksen kohteita ei voi identifioida. Rajavalvonnassa kuitu toimii hyvin ja Briteissä kuitua käytetään rautateiden valvontaan. Eli kuitua kannattaa kaivaa maahan sen monikäyttöisyyden takia.

Kuituun ollaan lisäämässä quantum-salausta parempaa tiedon suojausta varten. BT testaa EU:lta lainaamalla QKD-järjestelmällä onttokuitutoteutustaan. Packet Pushersin haastattelussa on tohtori Joshua Slater selittää mikä on Quamtum Key Distribution. Optinen transistori lupaa 100-1000 kertaa nopeampaa ja virrankulutukselta olematonta kytkintä tulevaisuuden tietokoneisiin. Sama transistori voisi toimia myös tiedonsiirtokomponenttina ja laserin supervahvistimena. Ruotsalaiset taas ovat keksineet optisen vahvistimen, joka perustuu tunnettuun Kerr-efektiin. Häiriötön ja tehokas valovahvistin on nyt saatu pakattua millimetrin kokoiseen piiriin, mikä tekee siitä kustannustehokkaamman ja monikäyttöisemmän.

Trex on Ciscon realistinen liikennegeneraattori, jolla saa generoitua 200 Gbps tilallista L7-liikennettä. Sitä ajetaan avoimena koodina DPDK:n avulla palvelimessa. Youtubesta löytyy myös ohjevideosarja Trexistä. Valmiita pakettikaappauksia oikeasta liikenteestä löytyy Jeremy Stretchin Packetlife-sivulta. Siellä on myös hienoja cheat sheetejä protokollista, työkaluista ja teknologioista.

Verkon keskustelut siirtyvät yhä enemmän suljetuille alustoille ja videoformaattiin. Asioita ei enää blogata webbisivuille Googlen indeksoitaviksi niin kuin ennen vanhaan. Arvokkaan vertaistiedon löytäminen on yhä vaikeampaa jos emme kirjoita kokemuksia ylös. Ja jos kirjoitamme, niin muistakaa selkeä teksti, joka kunnioittaa lukijaa. Tekninen kirjoittaminen ei ole sanataidetta, vitsejä, tarinoita, jaarittelua tai muuta kikkailua.

Jos haluat antaa mielipiteesi NX-OS-, EOS- tai Junos-automaatiosta, täytä Juniper Automation Readiness Survey.

Yritykset

Viria, entinen Anvia, entinen Vaasan läänin puhelin, vaihtoi nimekseen Loihde ja listautuu ilman osakeantia pörssiin. Yrityksen arvo jää arvailujen varaan. Loihde yhdistää lukot, kyberit ja analytiikat saman katon alle. IT-talo Frendy on ostanut Wisdomicin, joista yhdessä muodostuu merkittävän kokoinen 220 osaajan IT-palveluyhtiö. SOTE-uudistuksessa on jo käytetty varmasti kymmeniä, jos ei satoja miljoonia, mutta nyt se työ todella alkaa. Tulevina vuosina on kova tarve saada riittävästi tekijöitä kaikkiin tarvittaviin muutostöihin. Valtio jakaa nyt hyvinvointialueille ICT-avustusta 440 miljoonaa euroa seuraavan viiden vuoden ajaksi.

Suomen Yrittäjien kyselyn mukaan monipaikkatyön suosio on laskussa. Nyt 32% yrityksistä aikoo lisätä monipaikkatyötä pysyvästi. Voihan olla, että etätyötä on jo lisätty ja se on nyt normi. Mitä isompi yritys, sitä enemmän monipaikkatyötä aiotaan kuitenkin lisätä. Pääkaupunkiseudulla innokkuus on selvästi kovempi. Psykologit suosittelevat kameran laittamista pois etäkokouksissa. Se vähentää väsymystä ja parantaa keskittymistä kun ei tarvitse stressata omasta esiintymisestä tai keskittyä muiden tarkkailuun.

Usein resurssien lisäys nähdään ratkaisuna työtilanteen parantumiseksi. Ongelma on kuitenkin yleensä töiden organisointi. Lisähenkilöt vain pahentavat tilannetta, kunnes heidän saadaan oikeasti integroitua mukaan hyötykäyttöön. Oikeat ongelmat, joihin pitäisi puuttuua, ovat kulttuurissa, luottamuksessa, ihmissuhteissa, luovuudessa, markkinoissa, jne. Jos palkataan lisää väkeä, pitää olla mietittynä miten uudet henkilöt liittyvät organisaatioon ja tekemiseen.

Teknologiateollisuuden työnantajayhdistyksen jäseniksi on hakenut 391 yritystä ja viimeisimpänä Nokia tuo mukaan 6300 työntekijäänsä. Teknologiateollisuuden osalta on vielä epävarmaa riittääkö jäsenmäärä yleissitovaan sopimukseen. Nykyiset työehtosopimukset ovat päättymässä marraskuun lopussa ja työtaisteluista odotetaan kaaosta. Työntekijöillä olisi neuvotteluvoimaa kun työvoimapula on aitoa. Ammattiliitot kuitenkin näyttävät ylpeilevän sillä miten huonosti jäsenillä menee. Tutkijan sanoin “työnantajien kenraalit käyvät vielä vanhoja sotia”.

Gartnerkin on nimennyt osaajapulan uusien teknologioiden käyttöönoton suurimmaksi esteeksi. Kustannukset ja tietoturva tulevat kaukana takana. Suurimmat ongelmat liittyvät järjestelmien automatisointiin. Operaattorit ovat tunnetusti suuren muutoksen äärellä. Telecom TV on laatinut digitalisaatio-ohjelman operaattoreille. Se sisältää asennemuutosta, osaamisen laajentamista ja kohdistamista uudelleen, lisäkouluttautumista, monimuotoisuuden huomioimista ja avoimuutta.

Nokian epäonnistumiseen palataan jälleen kun Kallasvuo kertoo oman versionsa uudessa kirjassa Puhelin soi öisin. Kallasvuon mukaan Nokia alkoi elää omaa elämäänsä kun erilaisia oma-aloitteisia näennäistekemisen hankkeita alkoi syntyä talon sisällä. Seurauksena päälliköiden määrä kasvoi ja alemman tason kehittämisohjelmia syntyi kuin sieniä sateella. Kehitys ei pysynyt linjassa liiketoimintastrategian kanssa, eikä tuottanut merkittäviä tuloksia. Kallasvuo yritti suoraviivaistaa päätöksentekoa, mutta ei siinä onnistunut. Toinen ongelma oli, että Nokia ei saanut suoritustason kykyjä palkatuksi töihin. Pelle pelottomat keksivät kyllä ideoita, mutta niiden vieminen tuotantoon ja kilpailukykyiseksi liiketoiminnaksi olisi vaatinut Piilaakso-tasoisia kykyjä.

Dockerin tarina on yksi esimerkki monista avoimen koodin kaupallistamiseen liittyvistä vaikeuksista. Docker yllätti käyttäjät ilmoittamalla lisenssimuutoksista, jotka astuivat voimaan saman tien. Yli 250 hengen asiakkaat joutuvat nyt ostamaan Business-tilauksen 21$/kk/käyttäjä. Docker kehittää Desktop-sovellustaan, josta kaikki tykkäävät. Yli puolet kehittäjistä käyttää Dockeria, joten kaupallinen potentiaali on suuri, mutta riittääkö se silti pelastamaan yhtiön vai kääntyykö se sitä itseään vastaan?

Juniper on lisännyt kampuksen EVPN-fabricin mukaan Mistin tekoälyhallintaan. Taustatekniikka on lainattu Apstralta ja sovitettu Mistin käyttöliittymään ja Marvis-avustajan käyttöön. Cisco on selitellyt softastrategiaansa investoijapäivillä. Softa on valittu linja, vaikka ulospäin ei juuri siltä vaikuta. Ciscon mukaan suurin osa softamyynnistä ei liity rautaan. Kumppanuuksia on solmittu julkisten pilvien kanssa ja kaikki tuotteet tehdään nyt pilvimalli edellä. Silti esim. tietoturvan kasvu laahaa jäljessä kilpailijoista Paloaltosta ja Fortinetistä. SecureX XDR-alustalla on 8000 asiakasta ja Kenna Securityn haavoittuvuushallinnan integrointi siihen jatkuu. Cisco vaihtoi security-osaston johtajan pilvitaustaiseen Shaila Shankariin. Vaikeus softaistumisessa saattaakin olla siinä miten tuoda kehittyneempiä ominaisuuksia perinteisen laitekäyttöjärjestelmän ja infrapalveluiden yläpuolelle. UCS-palvelimet oli unohdettu tapahtumassa, vaikka niissä saattaisi olla Ciscon mahdollisuus erottua muista valmistajista.  Ciscon kapasiteettilisensointi ASR/ISR-reitittimissä on herättänyt ihmetystä. Lisenssiä myydäänkin vain yhdensuuntaiseen liikenteeseen, vai miten se nyt oli? Käyttäjät ovat törmänneet ihmeellisiin suorituskykyongelmiin lisensseistä johtuen.

Arista on julkaissut tuoteportfolionsa perinteisen pahvilakanan sijaan digiposterina. Samaa toivoisin muiltakin valmistajilta. Yhden arkin tuotekortila olisi näppärä verrata laitteiden sisuksia ja ominaisuuksia. Pica8 on tunnettu hyökkäävästä asenteestaan Ciscoa kohti. Nyt Pica8:n AmpCon-kontrolleri haastaa DNA Centerin. Aloituspaketin kontrollerilla ja kymmenellä kytkimellä saa 13750 dollarilla.

Irtautumisesta huolimatta Dell pitää itsellään Vmwaren kehityshyödyt seuraavat viisi vuotta, mutta mitä jää käteen sen jälkeen? Vmware voi taas irtautumisen myötä paremmin tarjota ratkaisuja muille konesalitoimijoille, mikä hyödyttää esim. HPE:tä, Lenovoa, Ciscoa ja Netappia. Vmwaren strategiassa hajautunut infra, Tanzu-konttihallinta, operaattoribisnes ja tekoälyoperointi ovat keskeisessä roolissa. Dell aikoo tuoda CloudIQ AIOps-tuotteen koko konesalituotevalikoiman hallintaan palvelimista levyyn ja verkkoon. CloudIQ on vanha tuote, mutta se kehittyy asiakkaan viisiportaisen kehitysohjelman mukana kohti kehittyneempää suljetun silmukan automaatiota. Kolmannen osapuolen sovellukset integroituvat siihen myös. Verkonhallinnan ominaisuudet ovat tulossa lähikuukausina.

Zscalerin tulosjulkistus kertoo hurjasta 57% tuloskasvusta. Kauden kohokohdat olivat integraatiot Service Now:hun, NIST:n kumppanuus ja oma IoT-haittaohjelmatutkimuksen julkaisu. F5 on ostanut Threat Stackin pilviturvan buustaamiseksi. Suunnitelmissa on sovellus- ja API-suojauksen integrointi Threat Stackin tuotteeseen tietoturvanäkyvyyden parantamiseksi.

Konkurssiin ajatunut GTT on palannut takaisiin uudelleenjärjestelyn myötä. Verkot myytiin pois ja GTT jää palvelutoimittajaksi keskittyen isojen asiakkaiden valikoituihin palveluihin, joista ei saa kyllä mitään konkreettista irti. Jotain pilveen liittyvää ne ovat. Verkon puoli siirtyy uudelle yhtiölle nimeltä EXA, jolla on nyt perintönä yli 100000 km kuitua, kahdeksan merikaapelia, yli 300 colo-tilaa, 14 konesalia ja yli 400 työntekijää. Myös EXA keskittyy hyvin rajattuun asiakasryhmään ja palveluihin, joissa tarkoitus on olla erittäin hyvä. Verizon Media osti aikoinaan CDN-toimija Edgecastin ja nyt on taas aika palata omaksi Edgecast-yhtiöksi palvelemaan sisällöntuottajia. Yahoo on myös ostettu pois Verizon Medialta ja siitä tulee jälleen itsenäinen kuluttajainternet- ja digitaalimediayhtiö.

Komponettipulan taustat ovat jääneet vähän epäselviksi. Miten tähän tilanteeseen päädyttiin ja miten tästä eteenpäin? Varmaan ensimmäinen askel oli kun Huawei hamstrasi komponentteja valtavat määrät USA:n pakotteiden seurauksena. Sitten tule pandemia ja autovalmistus vetäytyi, mutta kuluttajakysyntä lähti nousuun. Yhtäkkiä autoalankin palasi kehiin patoutuneilla tarpeillaan. Myös pilvijätit ostivat tavaraa ennakkoon suuria määriä, mikä pahensi tilannetta. Piirien valmistus ei helppoa, sillä prosessi on tarkka ja siinä on 700 vaihetta. Kehittyneintä tekniikkaa valmistavat vain muutamat tehtaat. Tehtaissa sattui suht harvinaisia häiriöitä, mikä vaikutti tuotantokapasiteettiin. Pandemian myötä myös logistiikassa on isoja pullonkauloja. Yksittäinen laivan jumiutuminen kanavaan johti konttikaaokseen. Lentorahti kulkee suurimmaksi osaksi tavallisilla reittilennoilla, joiden kapasiteetti tippui yhtäkkiä murto-osaan. Valmistajat ovat yhtä mieltä siitä, että tilanne ei helpota vielä ensi vuonna, koska se kapasiteetti on jo myyty.

Eurooppa on nyt myös herännyt tilanteeseen ja EU aikoo luoda omavaraisen komponenttiekosysteemin. Helpommin sanottu kuin tehty. Piirivalmistuksessa on syytä erottaa suunnittelu ja valmistus. Suunnittelun lisääminen Euroopassa ja Suomessa olisi hyvin mahdollista. Nokian perintönä Suomessa on osaamista, mutta koulutus on avainasemassa. Euroopassa toimivat jo saksalainen Infineon, hollantilainen NXP ja italialais-ranskalainen ST Microelectronics. Infineon avasikin uuden tehtaan Itävaltaan. Tehdasinvestoinnit ovat älyttömän kalliita ja EU:n kaavailema viimeisin tekniikka on kaikista vaikeinta. Eurooppa ei pysty kilpailemaan Aasian ja USA:n kanssa. Japanissa on osaamista ja sama tilanne, joten siitä voisi löytyä sopiva kumppani.

Internet

Pandemian myötä kotiyhteyksien laatuun tai sen huonouteen on herätty. Kyselyssä yli puolet koki yhteyksien laadun huonontuneen ja tuskaili päivittäisten wifi-ongelmien kanssa. Pandemia-aikana wifiä on käytetty kotona normaalista poikkeavissa paikoissa, mikä selittää ongelmia. Ihmiset odottavat operaattorin ottavan vastuun wifi-kokemuksen parantamisessa ja wifin integroimisessa laajakaistaliittymään, ja ovat valmiita maksamaan lisää paremmasta kattavuudesta ja laadusta. Siispä palveluntarjoajat: kuluttaja odottaa nyt kokonaisvaltaista laadukasta ja toimintavarmaan kotipakettia.

Suomi on pysynyt pohjolan ykkösenä mobiilidatan käytössä. Dataa kuluu jo keskimäärin lähes 50 GB kuukaudessa. Mobiilidatan avulla voi vaikka mennä metsään etätöihin. Kiinan internet-sektorista on julkaistu oma raporttinsa. Se sisältää tietoa muuttuvasta teknologiakentästä, toimijoista, demografiasta, geopolitiikasta, regulaatiosta, yms. Mitä tapahtuu nopean kasvun jälkeen, on suuri kysymys.

Internet-esto on uusi autoritäärisyyden keino ja ihmisoikeuksien loukkaus. Viimeisen kymmenen vuoden aikana on rekisteröity 850 internet-katkoa, joista lähes kaikki ovat kuitenkin tapahtuneet viimeisen viiden vuoden aikana. Rajoittamisen keinoja ovat mm. liikenteen kuristaminen, IP-estot, mobiiliverkkojen sulkeminen, DNS-häirintä, DPI, jne. Internet-estoja on nähty myös länsimaissa esim. USA:n metroasemilla mellakoiden aikana. Estoja voi yrittää kiertää käyttämällä mesh-verkkoja, VPN-yhteyksiä ja välityspalvelimia. Applen IOS15 sisältää private relay -toiminnon. Se käyttää Akamain, Cloudflaren ja Fastlyn verkkojen välityspalvelimia QUIC:llä ja HTTP/3:lla. Myös IPv6 toimii. Quad9-nimipalvelu on joutunut Sony Musicin hampaisiin kun ei ole estänyt pääsyä piraattisivustolle. Koko oikeushaaste tuntuu hullulta ja Quad9 on saanutkin taakseen laajan internet-yhteisön tuen.

Kiina käy omanlaistansa sotaa Taiwanin rannikolla kaivamalla hiekat merenpohjasta. Kalat katoavat ja merikaapelit katkeilevat. Interaktiivinen merikaapelikartta on päivitetty sisältäen nyt 487 kaapelia. Kaapelit on myös visualisoitu pyörivälle maapallolle. Orange mainostaa olevansa maailman ainut operaattori, jolla on oma merenpohjan tutkimusalus. Monti on teknologinen helmi, joka kuvastaa vanhaa hyvää aikaa kun yrityksillä vielä oli kaikenlaisia omia välineitä. Scylla on uusi merikaapeli Brittein saarilta Hollantiin yli 20 vuoteen. Pituutta on vaivaiset 211 km ja kaapelissa on 96 paria ultra-alhaisen häviön SMF28-kuitua, joilla saadaan alhaisin bittikustannus. Välivahvistusta ei tarvita. Pohjanmeri on ollut perinteisesti vaikeaa aluetta merikaapeleille kovien virtausten, herkkäliikkeisen hiekkapohjan ja runsaan kalastuksen vuoksi. Nyt kaapeli aurataan löysästi maaston muotoja myötäillen CAPJET-tekniikalla kapeaan rakoon 2-3 metrin syvyyteen, jolloin kaapelilla on parempi kestävyys. Englannin kanaalin Eurotunnelissa ei ole koskaan nähty kuitukatkoa. Colt ja Getlink ovat tehneet 25-vuotisen sopimuksen, jolla tunnelikuidun kapasiteettia ja hyötykäyttöä päivitetään. Colt rakentaa oman IQ-verkkonsa 1998 rakennetun kuidun päälle seuraaviksi vuosikymmeniksi.

Taara on Googlen kehitysyhtiö, joka on jatkumoa Loon-ilmapalloprojektille. Taara tekee vapaan tilan optiikan siirtolinkkejä ja nyt tällainen on otettu käyttöön Congo-joen yli Brazzavilleen ja Kinshasan välillä. Matkaa on linnuntietä vain 4,8 km kun maateitse joen kiertämisestä matkaa tulisi 400 km. Optisella linkillä saadaan 20 Gbps -kapasiteetti noin parin kymmenen kilometrin matkalle.

Satelliitti- ja avaruudenvalloituskilpailu jatkuu. Amazon on valittanut FCC:lle Starlinkin rikkovan lupaehtoja. Samalla Starlink on ilmoittanut siirtyvänsä pois betatestauksesta oikeaan tuotantoon. EU on investoimassa Onewebiin. Kanadalainen Telesat voisi olla toinen EU:ta kiinnostava vaihtoehto. Myös AT&T on valinnut Onewebin yhteistyökumppanikseen, koska Onewebillä oli tarjota sopiva liiketoimintamalli. AT&T:llä 9 miljoonaa yritysasiakasta on 300 metrin päässä kuituverkosta, mutta silti satelliittia tarvitaan kuituverkon ulkopuolella. Tällä hetkellä maata kiertää n. 8000 satelliittia. Autovalmistajat ovat kiinnostuneita satelliittien mahdollisuuksista, koska 5G:tä joutuu odottamaan. Geely rakentaa omia satelliitteja autonomista ajoa varten. Meille verkkoihmisille satelliittiyhteys on oiva out-of-band -hallintayhteys, joka on erotettu muusta kiinteästä infrasta ja on saatavissa hankalammissakin paikoissa. Satelliittilaajakaistan markkinaa määrittelevät jatkossa tuotantokustannukset ja kannattavuus. Satelliittipuhelut tulevat yleistymään kun datayhteydet on saatu kuntoon. Applen puhelinjulkistuksen myötä huhumylly lähti jo käyntiin. Starlinkin kova pöhinä ruokkii kilpailua, yhteistyötä ja yhdistymisiä.

Tapahtumat

Networking Field Day 26:ssa esittelyitä pitivät Juniper, Arista, Netbeez, ZPE, Path Solutions, Cisco, Kentik ja Riverbed. Paljon mielenkiintoisia tuote-esityksiä siis.

NLNOG:n tapaamisen esitykset on katsottavissa. Esillä on kiinnostavaa asiaa päivän täydeltä.

Kuukauden demo

Cisco ja kumppanit ovat demonneet SD-WAN:ia ja Edge-ratkaisuja DTM-auton etäohjauksella. Kilpa-autolla ajettiin ilman kuljettajaa kierros Itävallan Spielbergin Red Bull Ringillä niin, että ohjaaja istui 60 kilomerin päässä Grazissa. Auton nopeus oli jopa 200 km/h, joten 20 ms viive vastaa yhden metrin matkaa. Yhteyden viiveen piti olla luokkaa 2-5 ms. Riedelin tekemässä verkossa ohjaajan ja auton välillä ensisijaisena linkkinä oli suora kuitu ja MPLS, toissijaisena linkkinä 5G. Catalyst 8300 toimi SD-WAN -laitteena WAN-linkeillä. Riedelillä on radalla oma IP mesh -radioverkko, jossa on kahdennetut radiolinkit autoon. Virtuaaliauton ajaminen ei ollut helppoa, esim. jarrutuntuma oli aivan erilainen. Verkottuneesta autosta saadaan samalla myös videoyhteys ja tietysti reaaliaikaista telemetriaa mekaanikoille ja kuljettajalle. Kisa-autojen lisäksi DTM näkee käyttökohteena myös automaattisen turva-auton. Ja auton äänimaisemassa sähköinen vinkuna on kuulemma laitettu uskottavaan kuntoon.

Design Decisions

Russ White created his own Rules of Network Design. It has great principles for thinking about design decisions. My blog on network design from 2017 gives practical tips on what has worked for me.


I have been designing networks and services for the last 15 years. Along the way, I have learned and created a workable strategy for network design, implementation, and development. By implementing these themes, I have been able to respond quickly and smoothly to the company’s ongoing networking needs, the demands of a fast-paced business initiatives, future uncertainty, and keeping network infrastructure and services up to date.

Don’t plan one solution

Right from the start, the most important thing: Always think about the whole picture. How does a single solution fit into the overall picture and how can you replicate the new solution to other needs? Rarely the solution now at hand is the only one, there will be probably more of the same. Don’t waste time and get frustrated by repeating the same design work over and over again. Think of a solution that can be replicated and reused right from a start. Try to leave the solution so open that it supports new use cases and extensibility as much as possible.

Look further

Think about where you are with this solution in a couple of years. As noted in the previous paragraph, the environment expands and disperses rapidly, even so much that you are beginning to lose control. See the picture of the environment in the near future and guide development and solutions towards it. How big has the environment expanded, how do traffic or user volumes grow, how are different things connected to the environment, and what new features can come along? You need a little fortune teller talent, but usually, you know something about what your organization does, what it needs, and what the direction is. Usually, things go according to the same formula as before. Always reserve room for growth and think about the expansion path in advance. This will make your life easier later.

Duplicate the same solution

Try to duplicate the same proven solution for many different environments and use cases. Often a particular solution works just fine, even if it is not specifically meant for that use or environment. In this way, you can apply common technologies to create new innovative solutions. It is useless to reinvent the wheel, the important thing is where and how you use the wheel. The same solution in many places usually greatly simplifies the operation and maintenance of services, and thereby also reduces operating costs.

Build modular

Divide the environment so that it consists of as independent interchangeable blocks as possible. This makes updating and changes easier when the entire environment doesn’t need to be renewed or changed at once. Modularity can also be implemented on a logical level, eg. in virtualization. Use multi-vendor supported standardized interfaces between modules and external parties. IP interface and routing is always a pretty bullet-proof choice having control point and measures to manage traffic properly.

Make continuous improvement

To keep the environment up to date, it needs to be constantly developed and updated. The bigger the environment, the harder the job. Update your network infra a little upfront so you don’t fall behind and increase your technical debt. The problem may be funding. How do you justify ongoing replacements? It’s probably easier for everyone to make smaller changes more often than a massive renewal project rarely. The modular design helps, so you can just replace one block at a time and keep investments moderate. Keep the big picture in mind and steer development in the desired direction. Manage the lifecycle of devices and systems, and plan and budget renewal needs for the next few years.

Be one step ahead

In a fast-changing world, you won’t survive without knowing what are your design options and their pros and cons. Keep track of industry developments and products so you know what are the right solutions to think about over the next few years to come. Apply those new ideas to your environment. When someone asks you to provide a solution, you have a few workable options in your pocket already. You may be even able to offer a solution directly, or at least you are on the right track which way to go with your design and testing.

Invest in new technology

Don’t buy old. Choose new products from fresh models with years of continuity and development cycle ahead. This often involves some technological risk and uncertainty. But don’t be too wary with new technology, otherwise you’ll be constantly lagging behind and it’s hard to catch up later. Newer technology usually provides better outcomes. Think about when you should start from a clean slate, throw old system away and build completely new one, rather than trying to reconcile new and old technology. Use well-known simple and loose standard interfaces for interconnections if needed.

Use common technology

Choosing commonly used vendors, device models, and technologies will make your life easier. Well-known vendors tend to have more resellers, support options, the broader community, and better product lifecycle estimates. The importance of the user community should not be underestimated. Many times, a large user base provides community support more easily, better, and faster than the vendor or reseller through official channel. Widely used De facto technology standards are usually emerging in the industry. Follow what and how others are doing things globally and choose the one that fits you best. Also, think about the whole picture. Technology is only a part of the solution and technically the best or fanciest choice is not always the winning solution.

Don’t be afraid of vendor-lockin

Small and medium-sized organizations don’t afford to use multivendor networking. It makes sense to choose one vendor for each function. If you use the same device model as much as possible, you will get a consistent network platform and it will be much easier to provide services and operate it. You can also make use of vendor-specific features and solutions without hesitation if the network or part of it is replaceable with other vendor and product later. Again the modular environment and standardized interfaces help here.

Make it simple enough

The old saying KISS (Keep it simple, stupid) has inflated and I am not a full supporter of it. Networks are complex distributed systems and need complex technology also. My instruction is to make well-functioning fault-tolerant solutions that is simple enough. Too simple or complicated is not beautiful, let alone functional. Avoid clumsiness, tuning and nerd-knobs. Find working, commonly used, and proven solutions to which is good enough.

Segment rationally

Segmentation is often a security issue, but in the network functionality it is worth considering through the failure cases. How is the potential failure reflected in the entire environment and what is the impact aka. blast radius? How do I ensure control and visibility in the event of a failure? Physical separation of devices is a balance between cost, manageability, and usability. Modularity and the use of IP interfaces help with the segmentation. Don’t put all the eggs in the same basket, or at least think of a backdoor if everything collapses.

Make redundant

Don’t miss the redundancy, or it will eventually bite you. Everything is fine just as long as everything works. Don’t believe others, but make everything redundant as far as possible to cover your back. Even small pre-identified and accepted risks often lead to a big fuss when services don’t work. In practice, amazing failures happen. You may not have been able to imagine what could go wrong. Proper decentralization and redundancy is an easy way to save services in a variety of failure cases. Think of a solution so that a single failure does not crash the end-to-end service. Physical separation is better than increasing the fault tolerance of a single device. Be sure to test the redundancy on service and application level.

Know your service

Finally, a reminder that networking people need know services and their features that are run in the network. Nobody else is often able to tell you things accurately enough. Network is the glue of the IT and networking people are usually the ones who understand the whole system from infrastructure to applications. Therefore networking people have the enormous potential to succeed in a converging environment of the future. The need to understand applications comes at the latest when a service layer problem needs to be resolved. There is always a fault in the network until proven otherwise. However, don’t make you a victim, but guide others through the secrets of networking. Knowledge is slowly spreading inside your organization and eventually pays off.

[FI] Suunnittelun salat

Russ White loi oman verkkosuunnittelun säännöstön. Siinä on erittäin hyvät perusteet ratkaisujen miettimiseen. Oma kirjoitukseni verkkosuunnittelusta vuodelta 2017 antaa käytännön vinkkejä siitä mikä on toiminut itsellä.


Olen suunnitellut verkkoja ja verkkopalveluita viimeiset 15 vuotta. Matkan varrella olen oppinut ja luonut toimivan käytännön strategian verkon suunnitteluun, toteutukseen ja kehitykseen. Näitä oppeja toteuttamalla olen pystynyt nopeasti ja ketterästi vastaamaan yrityksen jatkuviin tietoliikennetarpeisiin, nopeatempoisen liiketoiminnan vaatimuksiin, tulevaisuuden epävarmuuteen ja verkkoinfran ja -palveluiden ajantasalla pitämiseen.

Älä suunnittele yhtä ratkaisua

Heti alkuun tärkein asia: Mieti aina kokonaisuutta. Miten yksittäinen ratkaisu sopii kokonaiskuvaan ja miten voit monistaa uutta ratkaisua muihinkin tarpeisiin? Harvoin nyt käsillä oleva ratkaisu jää ainoaksi. Saman tapaisia tulee luultavasti lisää. Älä tee turhaa työtä tuskailemalla saman asian kanssa aina uudelleen, vaan mieti monistettava ratkaisu valmiiksi jo nyt. Yritä jättää ratkaisu niin avoimeksi, että se tukee uusia mahdollisuuksia ja laajennettavuutta parhaan mukaan.

Katso pidemmälle

Mieti missä olet tämän ratkaisun kanssa parin vuoden päästä. Kuten edellisessä kohdassa todettiin, ympäristö laajenee ja hajautuu nopeasti, jopa leviää käsiin. Näe kuva ympäristöstä lähitulevaisuudessa ja ohjaa kehitystä ja ratkaisuja sitä kohti. Miten isoksi ympäristö on paisunut, miten liikenne- tai käyttäjämäärät kasvavat, miten eri asioita liitetään ympäristöön ja mitä uusia ominaisuuksia siihen voi tulla? Tarvitset hieman ennustajan lahjoja, mutta yleensä tiedät jotakuinkin mitä yritys tekee ja mitkä ovat sen tarpeet ja suunta. Yleensä asiat menevät saman kaavan mukaan kuin ennekin. Varaa aina kasvunvaraa ja mieti laajennuspolkua jo etukäteen. Näin teet elämäsi helpommaksi myöhemmin.

Monista samaa ratkaisua

Yritä monistaa samaa hyväksi havaittua ratkaisua moneen eri ympäristöön ja käyttötarkoitukseen. Usein joku tietty ratkaisu toimii ihan hyvin, vaikka se ei olisi juuri tähän käyttöön tai ympäristöön tarkoitettukaan. Näin soveltamalla yleisistä teknologioista syntyy uusia luovia ratkaisuja. Pyörää on turha keksiä uudelleen, tärkeää on se missä ja miten sitä käytät. Sama ratkaisu monessa paikassa helpottaa yleensä huomattavasti palveluiden operointia ja ylläpitoa, ja sitä kautta myös alentaa käyttökustannuksia.

Rakenna modulaarista

Jaa ympäristö osiin niin, että se koostuu mahdollisimman itsenäisistä vaihdettavista palikoista. Näin päivittäminen ja muutokset ovat helpompia kun koko ympäristöä ei tarvitse uusia tai muuttaa kerralla. Modulaarisuus voi toteutua myös loogisella tasolla esim. virtualisoinnissa. Käytä modulien välillä ja ulkoisissa rajapinnoissa standardoituja ratkaisuja, joita kaikki valmistajat tukevat. IP-rajapinta ja reititys on aina melko pomminvarma valinta.

Tee jatkuvaa kehitystä

Jotta ympäristö pysyisi ajan tasalla, on sitä kehitettävä ja päivitettävä jatkuvasti. Mitä isompi ympäristö, sen kovempi tahti. Päivitä verkkoa hieman etukenossa, ettet jää jälkeen ja kasvata teknistä velkaa. Ongelmana saattaa olla rahoitus. Miten perustelet jatkuvat päivitykset? Todennäköisesti on kaikille helpompaa tehdä pienempiä muutoksia usein kuin massiivinen projekti harvoin. Modulaarinen rakenne auttaa tässä. Pidä kokonaiskuva mielessä ja ohjaa kehitystä toivottuun suuntaan. Hallitse järjestelmien elinkaarta ja suunnittele uusimistarpeet muutamaksi vuodeksi eteenpäin.

Ole aina askel edellä

Muuttuvassa nopeatempoisessa maailmassa et selviä muuten kuin olemalla hyvin perillä asioista ja ratkaisuista. Seuraa alan kehitystä ja asioita, niin tiedät mitkä ovat ne jutut ja ratkaisut, joita kannattaa miettiä seuraavien vuosien aikana. Sovella niistä ideoita omaan ympäristöösi. Kun joku pyytää sinulta jotain, sinulla on muutama toimiva vaihtoehto takataskussa valmiina. Osaat ehkä tarjota suorilta ratkaisua tai ainakin olet jäljillä mistä suunnasta ratkaisua kannattaa lähteä hakemaan.

Investoi uuteen tekniikkaan

Älä osta vanhaa. Valitse uudet tuotteet tuoreista malleista, joilla on jatkuvuutta ja kehityspolkua seuraavat vuodet. Tähän sisältyy monesti pieni teknologinen riski ja epävarmuus uudesta alustasta tai tekniikasta. Älä ole liian varovainen uusien asioiden kanssa, muuten jäät jatkuvasti jälkeen ja eroa on vaikea kuroa kiinni myöhemmin. Mieti milloin kannattaa aloittaa puhtaalta pöydältä ja ennemmin vaihtaa koko paketti uuteen, kuin yrittää sovittaa yhteen uutta ja vanhaa tekniikkaa. Käytä yhteenliittämiseen yksinkertaisia ja löyhiä standardirajapintoja.

Käytä yleistä teknologiaa

Jos valitset yleisesti käytetyt laitemerkit, -mallit ja teknologiat, teet elämästäsi helpompaa. Yleisesti käytetyille laitteille on laajemmin saatavilla jälleenmyyjiä, tukea ja jatkuvuutta Suomen kokoisessa pienessä maassa. Käyttäjäyhteisön merkitystä ei ole syytä väheksyä. Jossain tapauksissa laaja käyttäjäkunta antaa tukea helpommin, paremmin ja nopeammin kuin valmistaja tai jälleenmyyjä. Teknologioiden osalta alalla muodostuu nopeasti yleisesti käytettyjä De facto -standardeita. Seuraa mitä ja miten muut tekevät asioita maailmalla ja valitse näistä itsellesi sopiva. Mieti myös kokonaisuutta. Teknisesti paras ei ole aina paras ratkaisu.

Älä pelkää yhden valmistajan loukkua

Pienillä ja keskisuurilla toimijoilla ei ole järkeä pyörittää verkossaan erilaisia ja erimerkkisiä laitteita. On järkevää valita yksi laitemerkki kullekin osa-alueelle. Jos käytät samaa laitemallia, saat verkostasi yhdenmukaisen ja palveluiden tuottaminen on huomattavasti helpompaa. Voit myös surutta käyttää valmistajakohtaisia ratkaisuja jos verkko tai sen osa on sellainen, että voit vaihtaa sen kerralla toiseksi. Modulaarinen ympäristö ja standardoidut rajapinnat auttavat tähän.

Tee sopivan yksinkertaista

Vanha sanonta KISS (Keep it simple, stupid) on kokenut inflaation ja en ole täysin sen kannattaja. Oma ohjeeni on tehdä hyvin toimivia vikasietoisia ratkaisuja. Liian yksinkertainen tai monimutkainen ei ole kaunista, saati toimivaa. Vältä kömpelyyttä ja virityksiä. Löydä toimivat, yleisesti käytetyt ja hyväksi havaitut ratkaisut, joilla luovia keskitiellä.

Segmentoi järkevästi

Segmentointi on monesti tietoturva-asia, mutta verkon toimivuuden kannalta sitä kannattaa miettiä vikatapausten kannalta. Miten mahdollinen vika heijastuu koko ympäristöön ja mikä on sen vaikutus? Miten varmistan hallinnan ja näkyvyyden vikatilanteessa? Laitteiden fyysinen eriyttäminen on tasapainoilua kustannusten, hallittavuuden ja käytettävyyden kanssa. Modulaarisuus ja IP-rajapintojen käyttö auttaa segmentoinnissa. Älä kasaa ihan kaikkia marjoja samaan koriin, tai mieti ainakin valmiiksi joku takaportti jos kaikki räjähtää.

Kahdenna

Älä jätä kahdennusta pois, se osuu lopulta omaan nilkkaasi. Kaikki on hyvin juuri niin kauan kuin kaikki toimii. Älä usko muita, vaan tee kaikki kahdennettuna niin pitkälle kuin on mahdollista, jotta saat turvattua oman tonttisi. Pienistäkin ennakkoon tunnistetuista riskeistä nousee monesti iso haloo kun palvelut eivät toimi. Käytännössä tapahtuu ihmeellisiä asioita, joita et ole ehkä voinut kuvitellakaan. Kunnollinen hajautus ja varmistus on helppo tapa pelastaa palvelut erilaisissa vikatilanteissa. Mieti ratkaisu niin, että yksittäinen vika ei kaada palvelua. Fyysinen eriytys on parempi kuin yhden laitteen vikasietoisuuden kasvattaminen. Muista testata palveluiden kahdennus.

Tunne palvelusi

Lopuksi muistutus siitä, että loppupeleissä tietoliikenneihmisten täytyy tuntea verkossa liikkuvat palvelut ja niiden ominaisuudet, jotta he voivat suunnitella ja ylläpitää palveluita tukevaa verkkoympäristöä. Kukaan muu ei useinkaan pysty asioita sinulle riittävän tarkasti kertomaan.  Tietoliikenneihmiset ovatkin yleensä niitä, jotka ymmärtävät kokonaisuuden ja heillä on edellytyksiä menestyä konvergoituvassa ympäristössä. Sovelluksien ymmärtämisen tarve tulee eteen viimeistään silloin kun jotain palvelukerroksen ongelmaa pitää selvittää. Verkossa on aina ensin vika kunnes toisin todistetaan. Älä kuitenkaan heittäydy marttyyriksi, vaan opasta muita tietoliikenteen saloista. Tietotaito leviää hiljalleen ja se on kaikkien hyödyksi.

[FI] Tietoliikennealan katsaus 2021-06

Ongelmat

Kesäkuulle osui CDN-ongelmia oikein urakalla. Internet “romahti” 8.6.2021 kun Fastlyn globaali vika esti sisällönjakelun eri webbisivuille noin tunnin ajan. Fastly saattaa olla suurelle osalle tuntematon yritys, mutta se on pienestä koostaan huolimatta yksi isoista CDN:stä ja siksi vaikutus näkyi laajasti eri palveluissa. Fastly on teknisesti edistyksellinen open source -talo, jolla tosin on ollut ongelmia liiketoiminnan ja johtamisen kanssa. CDN-alusta perustuu Varnish cachen reverse proxy -malliin. Fastly itse käyttää kolmansia osapuolia hostaamaan omia palveluitaan.

Ongelma juonsi juurensa toukokuussa tuotantoon viedystä softasta, jossa oli bugi. Yksi asiakkaan tekemä muutos laukaisi bugin, joka rikkoi 85% Fastlyn alustasta. Muutos oli sinänsä ihan oikeanlainen, mutta vaikutus dramaattinen. Kaikesta kritiikistä ja mediahuomiosta huolimatta korjaus oli todella nopea: ongelma oli löydetty ja palvelu palautettu 49 minuutissa. Tästä pisteet Fastlyn operointikyvylle.

Ongelma oli herätys internetin ja pilven keskittymiselle. Mediassa luotiin jo kuvaa internetin tuhosta ja alettiin kysellä onko järkeä keskittää kaikki palvelut muutamalle isolle toimijalle. Tämän ongelman vaikutukset olivat osittain hämmentäviä ja hyvä muistutus siitä miten internet-palvelut nykyisin toimivat. Fastly esim. toimittaa Amazonin kuvat ja Twitterin emojit, jotka hävisivät käytöstä ongelman aikana. On palvelun käyttäjän vastuulla hajauttaa pilvipalvelu tai sisällönjakelu.

Akamai, toinen iso CDN, kärsi ongelmista 17.6.2021. Ongelma oli sen Prolexic DDoS-suojauspalvelussa, joka tiputti asiakasliikennettä noin neljän tunnin ajan. Vika johtui reititystaulun koon ylittymisestä. Vaikutus jäi kohtalaisen pieneksi, koska liikenne kääntyi joko automaattisesti tai manuaalisesti pois palvelusta, ja häiriö tapahtui USA:ssa yöaikaan. Kuitenkin mm. lentoyhtiöt ja pankit kärsivät ongelmista.

Ja vielä yksi pienempi CDN-toimija bunny.net kärsi DNS-ongelmista 22.6.2021. Nimipalveluun tehtiin normaali muutos, mutta homma lähti käsistä kun päivitys korruptoi tiedoston ja infra jäi luuppiin. Jälleen kerran palvelinten hallinta menetettiin ja infra jäi hallitsemattomasti väreilemään.

AWS joutui sulkemaan Frankfurtin Availability Zonen 10.6.2021 kolmeksi tunniksi kun konesalin jäähdytysjärjestelmä hajosi. Lämpötila nousi niin paljon, että laitteet alkoivat ajaa itsensä alas. Samalla palontorjuntajärjestelmä laukesi virheellisesti ja poisti konesalista hapen. Laitteistoja ei pystytty korjaamaan ennen kuin palokunta oli käynyt tarkistamassa ja tuulettamassa tilat. Sen vuoksi ongelma pitkittyi. AWS kytki viallisen palontorjuntajärjestelmän pois päältä toistaiseksi kunnes sen vika selviää.

Operaattorit

Ericsson Mobility Report 2021 julkaistiin ja sen mukaan 5G-verkkoon liittyy päivittäin miljoona uutta käyttäjää. Se tekee tekniikasta nopeimmin yleistyvän mobiilistandardin, mikä ei yhtään yllätä. 5G löytyy nyt 1662 kaupungista ja joka kolmannesta maasta. Mobiiliverkkojen datamäärät nousivat “normaalin” 46% vuodessa.  Kiinteää mobiililaajakaista (FWA) näyttää olevan valtavirran tuote, jota tarjoaa n. 90% 5G-operaattoreista. Kärjessä menevät USA ja Eurooppa, ja maat, joissa on paljon kuituystjonyss. Silti Ericssonia pelottaa kun Eurooppaa laahaa perässä 5G-keskitaajuuksilla. Tarvittaisiin tiheää peittoa, mutta bisnesintoa ei vielä löydy. Analysys Mason kuitenkin korostaa, että mm-aaltojen käytön hyödyt ovat 5-20 kertaa rakennuskustannuksia suuremmat.

Nokia kumppaneineen on pilotoinut jo pidempään 5G-verkon älypylväitä Espoon kampuksellaan ja nyt niitä on lisätty myös Otaniemeen, jonne voisi jatkossa tuoda nopean mm-aaltoverkon 200 pylväällä. Pilotissa ei ole löytynyt tappajasovellusta, mutta pylväistä muodostuu monikäyttöinen dataväylä. Lux Turrim -hankkeessa älypylväs on edennyt kohti kaupallista tuotetta. Pylvääseen integroituu tukiaseman lisäksi mm. antureita, kameroita, näyttöjä, tutkia, paikannusta ja lautausta. Pylväs on modulaarinen ja siksi muokattavissa sopivaksi erilaisiin ympäristöihin. Siihen voidaan lisätä ja poistaa erilaisia laitteita joustavasti. Myös rakentamiseen ja ylläpitoon on panostettu.

Samsung sai merkittävän läpimurron kun Vodafone valitse sen laitetoimittajakseen osissa Brittein saarta. Samsungin Open RAN -kitti on ensimmäinen kaupallinen toteutus Euroopassa ja asennetaan 2500 haja-asutussaitille. Samsung on nyt uskottava toimija ja jatkosopimuksia varmasti tulee muitakin, vaikka takamatkaa Nokiaan ja Ericssoniin onkin paljon.

Open RAN:n taustalla käydään suoritinkisaa Intelin ja Armin välillä ja vedetään mattoa kilpailijoiden alta. Intelille pitkään rakentuneesta monopolista halutaan päästä eroon. Pienemmät valmistajat lisensoivat Armin teknologiaa ja yrittävät päästä mukaan sitä kautta. Open RAN takaa avoimet rajapinnat ja sen myötä avautuu mahdollisuus vaihtoehtoihin Intelin rinnalla. Taistelu energiatehokkuudesta ei suoraan käänny Armin eduksi, vaikka Intelin puolella ovat olleet puolijohdepula ja kauppasota. Rakutenin mukaan Open RAN olisi 40% halvempi kuin perinteinen ratkaisu, mutta RAN on vain pieni osa verkon hintaa. Rakuten on noussut kampanjaan, jossa se aikoo paljastaa komponenttivalmistajien tarkkaan varjellut hinnat, joissa sen mukaan on reippaasti ilmaa. Myös telco-ohjelmistot ovat sen mukaan täysin viallisia ja eivät vastaa nykypäivän vaatimuksia. Pilvialusta ei voi korjata huonoa softaa, vaan tarvittaisiin elastista softaa, jota voidaan kokonaisvaltaisesti orkestroida.

Suurimmat valmistajat Open RAN:ssa ovat Parallel Wireless, Altiostar, Intel ja Mavenir, kaikki uusia nimiä Intelia lukuunottamatta. Listalla on kyllä myös perinteisiä nimiä. Mavenir taas parjaa pilvialustoja, jotka rajoittavat joustavuutta ja imevät rahat itselleen. Mavenirin taktiikkana on pysyä neutraalina pilvialustoille ja tuoda verkkokerros mukaan pilveen, jolloin koko paketti on pilvinatiivi ja sen myötä toimivampi. 5G onkin kokonainen ekosysteemi, johon kuuluu operaattori, verkon laitteet ja softa, pilvi, sovellukset ja käyttäjät. EdgeQ tuo ensimmäisenä markkinoille chipset-as-a-service -mallin ja muuttaa hinnoitteluperiaatteet niin, että O-RAN:n ominaisuuksia voi ottaa käyttöön tarpeen mukaan ja maksaa vain käytetyistä ominaisuuksista.

Nokian Reefshark SoC-piireihin perustuvat Airscale-tukiasematuotteet on julkaistu ja nyt ne näyttävät voimansa. Tehoa riittää mutta virrankulutus on pientä, koko on saatu pieneksi mutta samassa yksikössä voi ajaa kaikkia radiotekniikoita rinnakkain. Speksien mukaan tukiasema voi hoitaa 90000 käyttäjää, 288 solua ja välittää 84Gbps-liikennettä. Paljon kapasiteettia vievä L1- ja L2-prosessointi on erotettu omiin yksiköihin, kun L3 ja siirto-osuus tehdään samassa pizzaboxissa. 

Oikea 5G etenee hitaasti. Elisa otti käyttöön ensimmäisenä Pohjoismaissa ja toisena Euroopassa kaupallisen 5G standalone -verkon, joka toimii itsenäisesti ilman 4G:tä. Ericsson, DT ja Samsung tekivät maailman ensimmäisen 5G network slicing -testin, jossa verkosta viipaloitiin päästä päähän oma VR-pelaamisen optimoitu pala. Kalmar on alkanut kehittää modernia 5G-yksityisverkkoa yhdessä Telian, Nokia ja Digitan kanssa. Kalmarilla on Tampereella maailman suurin satama-automaation testikenttä, jossa se voi testata 5G-verkon käyttöä ja palveluita.

Telia pysyy velkaisena, vaikka omaisuutta on myyty alan tyyliin. Nyt Suomen ja Norjan mastoista myydään 49% infrasijoittajille Brookfieldille ja Alectalle 722 miljoonalla eurolla. Telian velka on kasvanut jo 2,5 kertaiseksi tuottoihin nähden. Telialle oli omat seikkailunsa Euraasiassa ja niistä päästiin hitaasti eroon. Myynti ei vedä ja tulos putosi 15%. Telia Carrier on nyt täysin irtaantunut Teliasta 25 vuoden yhteiselon jälkeen. Telia Carrier voi nyt keskittyä omaan alaansa omilla 530 työnkijällä.

GSMA yhdessä kuuden operaattorin kanssa on testannut lohkoketjua roamaussopimusten tekemisessä. Tekniikasta on lyötynyt potentiaalia nopeaan, läpinäkyvään ja luotettavaan automatisoituun sopimusten tekoon.

Pilvi

Telco-pilven ympärillä kuhisee. Ensimmäisenä suuren julkistuksen tehnyt Dish aikoo ajaa Nokian 5G standalone corea AWS:ssä. Homma on suunnitteluasteella ja mitään ei ole vielä aktiivisena. Telefonica on aivan kintereillä mutta Dishiä seurataan, koska se on uusi puhtaalta pöydältä aloittava operaattori. Dish kertoi myös ostavansa Dellin Telecom Kittiä, johon kuuluu Open RAN -teknologiaa, SmartNIC:t, automaatio ja micro-edgejen hostaus. Azure on esitellyt jatkokehitellyn yksityis-edgensä, jolla operaattori tai integraattori voi yhdistellä mobiiliverkon komponentteja, pilvipalvelua ja yhteyksiä isoille yrityksille tarjottavaksi palveluksi.

Suurin julkistus tuli AT&T:ltä, joka siirtää 5G core-teknologian Azureen. Azure for Operators saa kovan buustin ja 100 asiantuntijaa AT&T:ltä. AT&T on valinnut saman strategian kuin Dish ja se on softaan keskittyminen. Alustat voidaan ulkoistaa ne tehokkaammin hoitaville. AWS keskustelee omien sanojensa mukaan kaikkien operaattorien kanssa ja haluaa kääntää capex-intensiivisen mallin joustavaan opex-malliin. Google on kumppanoitunut Ericssonin kanssa ja Oracle positioinut itsensä mobiilicoren aivoiksi, jonka vahvuutena on ohjauskerros. Hyvä huomata, että myös AWS-taloksi profiloitunut Dish aikoo ottaa Oraclen funktioita käyttöön.

Pilven osalta onkin herännyt keskustelu onko operaattorien syytä päästää pilvilohikäärmeet omaan puutarhaansa, vaikka pilvijätit voivatkin tiputtaa infrakustannuksia alas nopeammin kuin kukaan muu. Pilvi on kustannusparadoksi, kirjoittavat Sarah Wang ja Martin Casado. Laskelmat ja mielipiteet ovat herättäneet paljon tunteita puolesta ja vastaan, ja Casado joutui selventämään asioita. Pilvi on hyvä paikka aloitella ja kasvattaa toimintaa ketterästi, mutta jossain vaiheessa kustannukset pompsahtavat ja saattavat muuttua kestämättömiksi. Isojen yritysten lasku on hyvinkin 2-4 kertaa suurempi pilvessä kuin omassa infrassa. Toisaalta pilven kustannus on vain 5-6% koko IT:n budjetista. Joustavuudella, palveluilla ja osaamisella on tietenkin hintansa, mutta missä on se kipupiste?

Pilvijätit keräävät 30% voitot ja pilvi ei ole enää vallankumouksellinen juttu niin kuin viisi vuotta sitten. Pilvestä omaan infraa palaaminen on kuitenkin hyvin vaikeaa ja sitä pitää tosissaan haluta ja valmistella etukäteen. Oman  konesalin pyörittäminen ei ole järkevää, mutta tähän on hyviä vaihtohetoja colo-palveluista ja pilvihinnoitellusta infrasta, jota saa esim. HPE:ltä, Delliltä ja Ciscolta palveluna. Pilven myötä osaamisen katoaminen on myös iso juttu, jolle on vaikea laskea hintaa ja nähdä vaikutuksia pidemmällä aikavälillä. Jos IT-palvelut merkitsevät yritykselle jotain, on parasta tehdä niin kuin hyperskaalaajat tekevät: ottaaa kohtalo, kustannukset ja hallinta omiin käsiin.

Bruce Schneier puhuu asiaa pilven turvallisuuden motiiveista. Pilvikilpailu jättää tietoturvan pääosin ulkopuoliseksi ja käyttäjän asiaksi. Tietoturva ei ole kilpailuvaltti, eikä varsinkaan hintakilpailun osalta. Pilven tietoturvatasosta ja mekaniikasta on vaikea tai mahdoton saada selkoa. Palveluiden taustalla on usein kompromisseja, joiden vaikutuksia on mahdoton arvioida. Pilvi on erittäin monimutkainen kokonaisuus ja monimutkaisuus on tietoturvan pahin vastus. Katse kääntyy pilvifirmojen johtoon. Jos omaa intoa tilanteen parantamiseen ei löydy, pitää ulkopuolelta lisätä sääntelyä ja selkeitä pelisääntöjä.

Edgen pitäisi tuoda nopeutta pilvipalveluihin, mutta todellisuudessa alle 40 ms:n alle on vaikea päästä. Luvattu 10 ms viive on vain haave tulevaisuudessa. Briteissä Vodafonen ja AWS:n testeissä on päästy keskimäärin hyvään 15 ms viiveeseen. Käytännössähän kaikki riippuu maantieteestä. USA:ssa Lumen sanoo kattavansa 98% yrityksistä 5 ms:n viiveellä, joka on aika erilainen lukema. Sen perusteella pilvipalvelut ovat nyt viivemielessä realistisia lähes joka käyttöön.

Interconnection-tilastot Q1/2021 on julkaistu. Edge laajenee: Google on lisännyt 20 uutta kumppania sen verkkoekosysteemiin ja Cloudflare on laajentanut ulottuvuuttaan konesalikumppaniensa kautta yli 1600 paikkaan. Azure Express Route Global Reachin datansiirtohintaa on pudotettu 50%. AWS Direct Connectia saa nyt myös satelliitista. SES tarjoaa pilviyhteydet sen GEO- ja MEO-satelliiteista. Jos et tiennyt, AWS:llä on oma avaruusyksikkönsä, joka on toiminut vuoden verran. Se keskittyy lähinnä puolustussektorin tarpeisiin, mutta resursseja voi hyödyntää kuka tahansa.

AWS on poistanut NAT-GW:n riippuvuuden internet-gw:stä, jolloin nattia voi tehdä myös yksityisesti muualla. AWS on myös julkaissut paikannuspalvelun, jolla voi tuoda maantiedettä mukaan palveluihin. Käytännön vinkkejä AWS-palveluiden suunnitteluun: miten välttää verkon sudenkuopat ja miten hallita isoa verkkoa pilvessä.

Kyberturvallisuus

Valtioneuvosto julkaisi kyberturvallisuuden kehittämisohjelman, jolla pyritään parantamaan yhteiskunnan digiturvallisuutta ja tuottamaan kasvua. Ohjelma keskittyy neljään alueeseen: osaaminen kehittäminen, yhteistyö, kotimainen kyberteollisuus ja kansallinen kybervalmius. Suomen hajanainen kyberpuolustus nähdään uhkana. Lainsäädäntö rajoittaa tiedonvaihtoa ja yhtenäisen kuvan muodostaminen ja kokonaisjohtaminen on hankalaa. Yrityksille ei voi määrätä samaa kyberturvan tasoa, koska jokainen vastaa itse omista asioistaan ja kustannuksista. EU aikoo perustaa oman kyberturvallisuusyksikkönsä torjumaan lisääntyviä iskuja. ENISA:n toiminta laajenee Brysseliin, jonne keskitetään yhteistyöyksikkö. Samoin kuin Suomessa, Euroopan tasolla pitää pystyä lisäämään tiedonvaihtoa, erityisesti tiedon jakamista.

CERT-FI on liittynyt mukaan Have I Been Pawned -palveluun tarjoten paikallista näkyvyyttä tietomurtoihin.

Lunnashaittaohjelmat ovat lisääntyneet rajusti, mutta omaan kohtaloonsa voi vaikuttaa. Mediassa esillä olleilla uhreilla on kaikilla ollut selkeitä puutteita omassa ympäristössään tai käytännöissään. Hyökkääjät iskevät helppoihin kohteisiin ja perusasioilla voi pienentää riskiä merkittävästi. Tärkeimpänä on salasanat ja vähimmän oikeuden periaate. Lisäksi antivirustuotteella ei tee enää mitään vaan se pitää päivittää EDR-tuotteeseen. 5G-verkon käyttö pahentaa entisestään älytehtaiden ja kampusverkkojen uhkakuvia ja hyökkäyspinta-alaa. Trend Micro esittää skenaarioita mitä uusi tekniikka tuo tullessaan.

Pari juttua kertovat siitä miten hyökkääjät toimivat: Talos: Interview with a LockBit ransomware operator ja  Quick Look: Two Weeks with a Russian Ransomware Cell. Hyökkäystavat voi esittää myös OSI-mallin mukaan. Kybervakuutusten suosio on noussut ja hyökkäyksiä on paljon, siksi hinnatkin ovat lähteneet kovaan nousuun ja vakuutusehtoja joudutaan tarkastamaan. Vakuutus on huono tapa hoitaa riskin ulkoistus, koska se ei kannusta yritystä tekemään mitään parannuksia omaan ympäristöönsä. Samalla siinä ruokitaan hyökkäjiä maksamalla lunnaita. Rikollisten rahoittaminen on hiukan kyseenalainen liiketoimintamalli.

Pelko myy, mutta myös pelottomana esiintyminen. Pelottomuus vaikuttaa ihmisten käyttäytymiseen, koska ihminen ei halua olla vainoharhainen ja sanomme monesti myös, että meillä ei ole mitään menetettävää. Miten sitten ihmiset saataisiin pohtimaan riskiä järkevästi tunteiden sijaan? Automaattinen tietoturva voisi opettaa ihmiset siihen jokapäiväisessä elämässä. Yksinkertaisemmat ratkaisut toimivat kenties paremmin ja tekniikalla pelottelu tulisi lopettaa.

Onko tietoturvapuolella avoimuutta? Ei, koska ei tarvitse olla avoin. Open XDR esiintyy joidenkin valmistajien puheissa, mutta avoimuus ja yhteensopivuus voi tarkoittaa mitä tahansa. Avoimuus voi olla yhteensopivuutta kolmansien osapuolien kanssa, mutta vain valmistajan omilla integroitumisehdoilla. Avoimuus voi olla API-rajapinta, jota kuka tahansa voi käyttää. Laajennettavuuden kautta yhden tuotteen aukkoja voi peittää toisella tuotteella ja kasata keskitetyn näkymän eri tuotteiden tuottamaan tietoon. Mielleyhtymiä avoimeen lähdekoodiin on täysin virheellinen. Parempi olisikin puhua hybridi-XDR:stä, koska tietoturvapuolella avoimuus ja standardit ovat harvinaisia. Natiivi-XDR:ssä onkin kyse valmistajan omien tuotteiden priorisoinnista avoimuuden sijaan.

Splunk on yksi tuotteista, joka haluaa pysytellä valmistajariippumattomana. Spunk Security Cloud voi kerätä tietonsa mistä tahansa ja käsitellä sitä SIEM- ja SOAR-toiminnoillaan. Splunk on laajentanut tietoturvapalettiaan vuosien ajan ja kävi nyt ostomassa TruStar-analytiikkayhtiön ja sai Silverlakelta miljardin sijoituksen. Splunk on aina ollut tunnettu sen ekosysteemistään ja applikaatioistaan, joita alustalle voi asentaa.

Cato MDR 2.0 tuo havainnointipalvelun Caton SASE-käyttäjille saman tien ilman lisälaitteita. Näkyvyys saadaan sen omasta verkosta ja tieto on käytettävissä heti. Tietoa pureksitaan tekoälyn voimin. Palvelutiskiltä annetaan henkilökohtainen asiantuntija, johon voi olla aina yhteydessä. Palveluun kuuluu myös tietoturva-arviointi perustuen yli 70 tunnettuun käytäntöön, joihin asiakkaan ympäristöä verrataan.

HPE Project Aurora siirtää zero trustin ajatusta infratasolle. Aurorassa luottamus lähtee komponenttitasolta, jossa kaikki infran osat varmistetaan. Se miten tämä malli liittyy sovellustason zero trustiin, onkin sitten hämärämpi tarina. Sovelluspuolella HPE on luottanut SASE-kumppaniinsa Zscaleriin.

Vmware haluaa johtavaksi tietoturvataloksi kilpailemaan Paloalton ja Ciscon kanssa. Vmwaren tietoturva-asiakkaiden määrä kasvoi 50% ja on nyt lähes 30000. Laajentumista on tehty runsain yritysostoin. XDR on sen seuraava aluevaltaus. Mikrosegmentointiyritys Illumio ratsastaa zero trustilla ja sai 225 M$ rahoituksen Thomas Bravolta. Yhtiö aikoo käyttää rahat tuotekehitykseen, asiakaskokemuksen parantamiseen ja kumppaniverkoston rakentamiseen. Kumpa vaan nämä investoijat eivät ajaisi yrityksiä Solarwindindsin ja vastaavien tilanteeseen.

Ciscon Smart Install -ominaisuutta on käytetty laajemmin hyväksi ainakin 100 organisaatiossa toukokuun aikana. Haktivistit ovat laittaneet internet-rajapinnassa olevat laitteet hakemaan konfiguraatiotiedoston TFTP:llä omalta palvelimelta ja korvanneet konfiguraation länsimaalaisvastaisella manifestilla. Toisessa Cisco-tapauksessa ASA- ja FTD-palomuureja vastaan on yrittetty hyökätä kun haavoittuuvuutta hyväksikäyttävä esimerkkikoodi julkaistiin netissä.

DNS-hosting -palveluista on löytynyt haavoittuvuus, joka vuotaa nimikyselytietoa ulos. Itsepalveluna rekisteröitävän uuden zonen voi luoda oikean nimipalvelimen nimellä. Sen jälkeen väärä nimipalvelin näkee käyttäjien nimikyselyt.  Korjaus tähän oli pieni ja helppo. AWS Route53 onkin korjattu jo helmikuussa, mutta ainakin kahteen muuhun palveluun ei ole korjausta vielä tehty.

Linuxin Polkit oikeuksien korotus -bugiin julkaistiin päivitys. Bugi löytyi vasta seitsemän vuoden jälkeen, mutta jakeluissa se ei ole ollut mukana kuin vasta viime aikoina. Suositut RHEL8, Fedora21, Ubuntu20.04 ja Debian on syytä päivittää, koska haavoittuvuutta on erityisen helppo käyttää.

Tekniikka

Nick McKeown tarjoaa katsauksen verkkoihin ja niiden tulevaisuuteen juttutuokiossa Greg Ferron kanssa. Tarinaa riittää, mutta ehkä yleisenä havaintona, että hyperskaalaajat vetävät kehitystä eteenpäin, tekniikka yhdistyy ja näennäisesti yksinkertaistuu abstraktoinnin kautta. Toisaalta datan käsittely eriytyy CPU:n, DPU:n, Smartnicin ja ohjelmoitavan verkon kesken. Verkon tilan tarkistus on kehittyvä alue, jolla on vasta vähän toimijoita. Varmistus on myös osa kyberturvaa ja verkon luotettavuutta, johon uusin Pronto-projekti tähtää. McKeown nimitettiin Intelin Verkko- ja Edge-yksikön johtajaksi tultuaan taloon Barefoot Networksin yritysoston kautta. Organisaatiomuutoksien avulla Intelin on tarkoitus vahvistaa kriittisten liiketoiminta-alueiden suoriutumiskykyä.

Underlayn automaatinen provisointi on mukana RIFT-protokollassa, mutta uutena ominaisuutena siihen on lisätty myös overlayn automaattiprovisiointi Auto-EVPN. Tällä vältetään EVPN:n “parametrisirkus” ja saadaan stardardoitu malli miten sopivat parametrit johdetaan kytkinten rooleista. Tarvitaan siis vain kytkinten asennus ja kaapelointi, sen jälkeen verkko konfiguroi itsensä. Ominaisuus on tulossa Juniperin MX-sarjaan. IP Journal esittelee tarkemmin RIFT:n automaattista reittien aggregointia ja disaggregointia. Disaggregoinnilla mainostetaan tarkemmat reitit, joilla korjataan vialliset polut houkuttelemalla liikenne toisaalle.

Scion on tulevaisuuden internet-verkko, joka perustuu puhtaalta pöydältä mietittyyn turvallisuuteen, luotettavuuteen ja suorituskykyyn. Scionissa liikenteen käyttämät polut voidaan määritellä kuten Segment Routingissa ilman BGP:n rajoitteita. Liikenne käyttää rinnakkaisia polkuja, joita ei voi kaapata, ja liikenne kulkee aina luotettua reittiä haluttujen AS:ien läpi. Reitittimet eivät tarvitse isoja reittitauluja, mutta pakettien salaus aiheuttaa osalle laitteista käsittelyongelmia. Projekti on lähtöisin ETH Zurichin tutkimuksesta ja arkkitehtuuria on kaupallistettu Anapaya:n kautta. Ongelma vaan on täysin uuden teknologian yleistyminen, vaikka se onkin yhteensopiva nykyisen mallin kanssa. Anapayalla on selittäviä blogeja Scionista: So you want to know about SCION – part 1, part 2, part 3, Scion vs. SR, FAQ.

Marvellin Octeon 10 DPU:ta voi käyttää verkkotoimintojen kiihdyttämiseen esim. edge-kytkennässä, reitittimissä, palomuureissa tai SD-WAN:ssa. Kiihdytettäviä ominaisuuksia ovat Macsec, VXLAN, MPLS, GRE, IPSec, TLS,  flow, telemetria ja aikaleimaus. Octeon 10 on tasapainotettu tehon ja kustannusten kesken niin, että se sopii 1-100Gbps-liikenteelle kohtuullisella 10-60W teholla. Ekosysteemi on avoin Linux kernelin ympärillä toimiva SDK.

MSA-ryhmittymä on tutkinut miten QSFP-DD-optiikan lämpötilat saadan pidettyä kurissa. Modulien ja jäähdytyslevyjen suunnittelulla voidaan yhden modulin 30 W:n lämpöteho imeä hallitusti 32-porttisesta 1RU:n kytkimestä. Toisaalla taas Ayar Labs demosi 1 Tbps optista siirtoa 64-kanavalla piiriltä toiselle SuperNova-valonlähteen avulla.

Ethernet Alliance on saanut valmiiksi IEEE 802.3cu-standardin, jolla naulataan yksikuituinen toteutus 100G-kanavanopeudella vakioratkaisuksi 100G- ja 400G-linkeissä. Yksikuituinen toteutus on tehokkaampi kustannuksien, tiheyden ja lämmönkäsittelyn osalta. 100G-kupariportti on myös tulossa 802.3ck-standardilla. DWDM:n yli ajettava 80 km 100G-koherenttioptiikka on standardissa 802.3ct ja vastava 400G on 802.3cw.

Kuidussa etsitään viiveettömämpää ja tehokkaampaa siirtotapaa ontosta kuidusta. BT, Mavenir ja Lumenisity ovat testanneet hollow core -kuitua (HCF) ja saaneet tiputettua viiveen puoleen perinteisen kuidun siirtoviiveestä. Ontto kuitu muodostuu lasiputkesta, jonka sisällä on ilmaa, ja valo kulkee ilmassa nopeammin kuin lasissa. Ontto kuitu on ollut olemassa jo 20 vuotta, mutta sen vaimennus on ollut liian suurta. Nyt vaimennusta on saatu puristettua alas uusilla tuotantomenetelmillä. Onton kuidun kyky minimoida kromaatinen dispersio antaa mahdollisuuden aja enemmän aallonpituuksia yhdessä kuidussa. Samalla DSP:n tarve poistuu ja lähettimistä tulee yksinkertaisempia ja halvempia. Erityisesti hyperskaalaajat ovat kiinnostuneita tavasta tiputtaa viivettä laajentuvien Availability Zonejen välillä. Testissä kokeillaan myös erikoisempi sovelluksia kuten Quantum Key Distributionia.

Toisessa testissä Cienan kanssa Lumenisity on demonnut 45x400G-linkin ajamista ontossa kuidussa yli 1000 km matkan.  Myös vapaan tilan optiikat tekevät paluuta 20 vuoden jälkeen kiinalaistestissä. Free Space Optics (FSO) käyttää lasersignaalia, jolla siirrettiin tietoa kahden rakennuksen välillä parin kilometrin matkan. Huawei teki siirtonopeusennätyksen yhdellä tavallisella yksimuotokuidulla ja yhdellä aallonpituudella siirtäen 1,66 Tbps 96,5 km päähän.

Sovelluspuolella Extended Berkeley Packet Filter (eBPF) on ollut viime vuodet kova juttu. Sen avulla Linuxin kernelissä voidaan ajaa ohjelmia suojatusti ja tehokkaasti. Erityisesti tietoliikenne, tietoturva ja monitorointi ovat hyviä käyttökohteita. Express Data Path (XDP) on eBPF:ää hyödyntävä tehokas väylä pakettien käsittelyyn. Cilium on suosittu avoimen lähdekoodin projekti, joka tuo eBPF:n hyödyt pilvinatiiviin Kubernetes-käyttöön. EBPF:n saa jopa Windowsille. Käyttökohteista ja hyödyistä esimerkkinä vaikka miten Netflix kerää massoittain TCP-flow -tietoa lähes reaaliajassa ja minimaalisella kuormituksella.

Snapchat-sovelluksen toiminnalle http-liikenne on kriittistä. Verkon viive voi olla pitkä verrattuna muihin sovelluksen paikallisiin operaatioihin. Viivettä voidaan lyhentää pienentämällä kyselyiden kokoa, vähentämällä turhaa tiedon synkronointia, käyttämällä CDN:iä ja QUIC-protokollaa, joka on ollut mukana Snapissä parin vuoden ajan. Facebook on pyytänyt lupaa testata “konvergoitua langatonta siirtoa”, jonka oletetaan tarkoittavan yhdistettyä wifiä ja mobiiliverkkoa.

Operointi

Suomen ensimmäinen Ciscon DevNet Professional -sertifikaatin on suorittanut Elisan Sami keski-Kasari. Tietoliikenneasiantuntijan työkalut ovat muuttuneet radikaalisti kymmenessä vuodessa ja nyt kaivataan enemmän järjestelmäosaamista, Linuxia, ohjelmointia, integrointeja, API-rajapintojen käyttöä, pilveä, mikropalveluita, jne. Moni tietoliikenneihminen rakenteleekin hyviä juttuja, joista esimerkkinä vaikka ja Michael Schönin ACI:n chatops ja John Capobiancon verkon hakukone Elastisearchilla, jota voi vielä rikastaa Kibanan visualisoinneilla.

Tcpdump on jokamiehen työkalu, mutta aina niin hankala kun pitäisi muistaa sopivat taikaloitsut liikenteen kaappaamiseen. Samassa blogissa on vinkkejä muistakin Linuxin työkaluista. Mitä oikeastaan ovat ping ja traceroute, ja mitä ne kertovat, vai kertovatko mitään?

Verkon automaatio ja integrointi on paljon muutakin kuin koodaamista ja konfiguraation luomista. Todellinen kustannus tulee erilaisista laitteista ja tiedon lähteistä, joilla jokaisella on eri tietomalli. Mitä näitä nyt on:  SNMP MIB, Flow, syslog, AAA, BGP, CLI, YANG, jne. Tieto pitäisi erottaa konfiguraatiosta, mihin YANG-malli on hyvä yritys.

Automaatiotuotteissa Terraform on saavuttanut 1.0-version. Vastaava tuntemattomampi tuote on Pulumi, joka yhteensopiva Terraformin kanssa, mutta tarjoaa paremman ohjelmoitavuuden eri kielillä. Grafanasta on julkaistu 8.0-versio.

Verkon tilan varmistus on ollut Forward Networksin leipälaji. Nyt toimintoja laajennetaan tietoturvapuolelle, koska samalla verkosta kerätyllä datalla ja pienellä lisätyöllä voidaan kattaa myös tietoturvaosuutta. Fortinet tehostaa SOC:n automaatiota AIOps-toiminnoilla. FortiMonitor tuo Security Fabriciin käyttäjäkokemuksen valvonnan ja FortiAIOps automatisoi Fabricin hallintaa tekoälyn avulla.

Nykyisissä tekoälytyökaluissa on hyvä muistaa manipuloinnin ja vääristymisen mahdollisuus, josta F-secure muistuttaa. Juttu koskee lähinnä suositusalgoritmejä, mutta miksei samantapaisia vaikutusmahdollisuuksia, tahallisesti tai tahattomasti, voisi esiintyä muissakin tekoälykoneissa ja ympäristöissä.

Automaatio on tullut vahvasti osaksi operaattoriverkon operointia. Operaattorien henkilöstömäärät ovat pienentyneet hurjasti viiden vuoden aikana, vaikka lähtötilannekin oli ylimitoitettu. Pandemian aikana on myös selvinnyt, että ihmiset ovat ongelma, koska verkko toimii paremmin ilman ihmisiä. Operaattorit rakentavat nyt automaattioperointia pilven malliin ja hurkimmat ennusteet veikkaavat 75% henkilöstövähennytksiä. Rakuten on hyvä esimerkki miten operaattoriverkko pyörii 175 ihmisellä kun vastaava henkilöstömäärä perinteisellä operaattorilla on kymmenkertainen. Elisa on on tehnyt automaatiotyötä pitkään ja jopa tehnyt siitä ulos myytävän Elisa Automate -tuotteen.

Pieni kiva ele operaattorilta on laittaa huoltotyöilmoitukseen mukaan kalenterikutsu, jolla kalenterimerkinnän saa helposti suoraan kalenteriin enempiä kellonaikojen ja aikavyöhykkeiden kanssa taistelematta. Kaikki asiakkaat eivät käytä koneluettavaa tekstiformaattia.

Yritykset

Telia on voittanut Cinian kilpailussa Valtionhallinnon VY-verkon uudistuksessa ja jatkaa palvelun toimittamista seuraavatkin 10 vuotta. Tietojen mukaan hinta ratkaisi ja Telian tarjous oli selvästi halvempi kuin Cinian. Hyshys-hankkeesta ei paljon tietoa heru. Valtori mainitsee palveluiden jatkuvuuden ja saataavuuden tärkeimmiksi kriteereiksi, mutta myös kustannustehokkuus oli tärkeä asia ostajalle. Hinnat tietenkin tippuivat entisestä sopimuksesta, vai olivatko ne sittenkin yksikkökustannukset?

Valtti Kumppanit eli entinen Data Center Finland osti pienen tietoliikennetalo Ironnetin, joka on toiminut pari vuosikymmentä. Hinta oli 4,3 M€ ja Valtti sai tietoliikennevahvistukseksi 12 henkilöä. IT-talo Netum listautui pörssiin. Yhtiön liikevaihto oli 17,5 M€ ja markkina-arvo oli 36,8 M€. Osakeanti ylimerkittiin 7,4-kertaisesti ja omistajien määrä nousi yli 6000:een. Netum sai listautumisesta 8 M€ bruttovarat. Oulun kaupunki ulkoistaa ICT-palveluita Istekille. Kapasiteetti- ja loppukäyttäjäpalvelut siirtyvät 1.9.2021 osaksi Istekkiä vieden mukanaan 26 asiantuntijaa.

Equinix ilmoitti satsaavansa isoihin xScale-konesaleihin, joista yksi olisi tulossa Suomeen. Helsinki tai pääkaupunkiseutu on mukana isojen Euro-hubien rinnalla. Xscale-salit oli kohdistettu isoille pilvitoimijoille, joten ehkä Suomeenkin saadaan uutta pilvi-infraa lähiaikoina.

Laitemyynti piristyy nyt kuivan kauden jälkeen. Kaikilla osa-alueilla on nähtävissä kasvua ja tason odotetaan asettuvan pandemiaa edeltävälle ajalle. Järeämmän pään ison marginaalin ja pienen volyymin operaattorilaitteissa toimitusvaikeuksia ei niinkään ole, vaan valmistajat pystyvät suunnittelemaan ja järjestelemään komponenttivarannot hyvin. Seitsemän valmistajaa muodostaa 80% koko markkinasta ja Huawei vetelee edelleen omilla lukemillaan. Konesalikytkimissä nähtiin kovin pyrähdys sitten alkuvuoden 2018. Komponenttipulan hintavaikutukset voivat alkaa näkyä enemmän, nyt Arista ilmoitti nostavansa tuotteiden hintoja. 60% porteista on nyt vähintään 25G-nopeuksisia. Kampuskytkentämarkkinassa on näkynyt eniten yritysten epäröinti investoinneissa. Kysyntä on tallella ja patoutunutta, vaikka paluu toimistolle on epävarmaa ja laitteita voi saada vasta vuoden päästä. Wifi-segementissä kasvu on ollut kovaa. Nyt olisi optimaalinen aika päivittää verkkoa kun toimistot ovat vielä tyhjinä, jos vain laitteita saisi.

Komponenttipula johtaa todennäköisesti myös huijausyrityksiin, joita odotetaan näkyvän enemmän puolen vuoden sisällä. Ongelma on eriytyisesti pienen volyymin valmistajissa, joiden toimitusketju ei ole vakiintunut. Jakelijoilla on iso rooli markkinassa ja eritysiesti kolmannen osapuolen jakelijoiden kanssa pitää olla tarkkana mitä tilaa ja saa.

Ciscon softaistuminen kaipaa osaamista, jota talosta puuttuu. Uuden avoimen koodin osaston johtoon on palkattu entinen Vmwaren ja Cloud-Native Computing Foundationin veteraani Stephen Augustus. Tarkoitus on rakentaa avoimen koodin yhteisiö ja avustaa asiakkaita koko pinon laajuisissa digitalisaatiotavoitteissa.

Ciscon on päivittänyt DNA Centerin 2.2.2-versioon. Nyt ThounsandEyes-valvontatuote on integroitu osaksi DNA Centeriä. ThousandEyes-agentti pyörii suoraan Catalyst 9000 -kytkimissä ja tekoälykäsittely tekee ennustavaa analytiikkaa. Wifi-suunnittelua ja seurantaa varten Ekahaun kartat voi integroida DNA Centeriin. Myös tietoturvatoimintoja on lisätty ja operointia pyritty helpottamaan. SD-access on ollut vaikea ottaa käyttöön ja yleensäkin tuotteiden käyttö on jäänyt puolitiehen kun ominaisuuksien hyödyntäminen vaatisi täysin puhdasta käyttöönottoa. No, nyt SDA:han voi siirtyä häiritsemättä olemassa olevia käyttäjiä. Saavutus sekin!

Aruban on myös panostanut tekoälyoperointiin Central-pilvihallinnassa kuten kilpailijat Mist, Meraki ja Extreme. Aruban mukaan ongelmia ei vieläkään havaita ajoissa, vaan ne häiritsevät käyttäjäkokemusta. Tekoälyn uskotaan pystyvän korjaamaan ongelmat automaattisesti kunhan peruslinja on opittu. Aruba lisää IoT-laitteiden valvontaa ja hallintaa Centraliin ja tuo myyntiin ensimmäisen rugged-kytkimen CX4100i. Aruban Silverpeakin perustuvalla Edge Services -tuotelinja on nyt yli 100000 asiakasta ja yli miljardi kytkettyä laitetta. 150 asiakasta tulee päivittäin lisää. Aika vaikuttavia lukuja.

Paluu toimistoille on alkanut. Cisco ilmoitti palauttavansa hitaasti 1.7. alkaen n. 5-10% työtekijöistä takaisin toimistoille. Nokia muuttaa työtapojaan joustavammiksi ja ensi vuoden alusta työntekijät voivat työskennellä kolme päivää viikossa etänä. Toimistoja muutetaan monimuotoisemmiksi. Muutokset perustuvat työtekijöille tehdyn kyselyn tuloksiin. Etätyössä 91% arvioi tuottavuuden olevan parempi, mutta myös 81% haluaa tavata kollegoita toimistolla. Google sopeuttaa palkkansa työpaikan sijaintia vastaavaksi. Kalliissa kaupungeissa saa parempaa palkkaa, mutta jos haluaa muuttaa halvempaan paikkaan, palkastakin joutuu tinkimään.

Britanniassa pientoimistot nähdään potentiaalisina asiakkaina kun 5-7 hengen yritykset muodostavat 95% maan yksityisyrityksistä. Pienyrityksien tukeminen nähdään myös keinona toipua pandemiasta. BT on perustanut uuden SOHO-yksikön, joka tarjoaa toimivan toimistopaketin kiinteään hintaan ja kehittelee päälle lisäpalveluita. Virgin Media O2 tarjoaa ilmaisen kapasiteettipäivityksen pienyrityksille.

Microsoft lisää ilmaisen kevyt-Vision suurimpaan osaan O365-paketteja. Webbi-Visio sisältää pääominaisuudet kuvien luomiseen. Nähtäväksi jää mihin se riittää.

Internet

ARIN testaa RPKI-infran vikasietoisuutta yllätystestillä heinäkuun aikana. Katko kestää puoli tuntia. Prosessin mukaan kun repository on alhaalla, käytetään välimuistissa olevaa tietoa ja yritetään 10 minuutin päästä uudelleen. Katkon ei pitäisi vaikuttaa yhteyksien toimintaan.

Mikä on muuttunut IPv6-tilanteessa sitten viime vuoden? RIPE:n tilastoissa Suomi on noussut hieman sijalle 7. Suuria muutoksia ei ole koko maailman tasollakaan. Tilastosta selviää kuitenkin hieman yllättäviä faktoja IPv6:n käyttöasteesta maittain.

Euro-IX:n raportti internet-yhdysliikennepisteistä viime vuodelta kertoo kasvusta ja alustojen kehittymisestä. IXP-määrän kasvu on ollut pitkään tasaista ja aivan viime vuosina käyrä on ollut jyrkässä nousussa. Euroopan suurimmat IXP:t ovat DE-CIX Frankfurt, AMS-IX, LINX LON1. Niissä on noin 800-1000 liitettyä AS-numeroa. Välitetty liikenne kasvoi selvästi pandemian aikana. Laitealustoissa on kiva nähdä vaihtelua. Cumulus on tullut viidenneksi suosituimmaksi alustaksi perinteisten merkkien rinnalle.

Italian Namex on ottanut Cumuluksen ja Mellanox-kytkimet käyttöön ja kertoo kehityksestä blogissaan. Pystyttämiseen luotiin oma Ansible-malli ja iteroinnin kautta muotoutui myös oma tietomalli. IP fabric on vakaa ja Cumulus integroituu hyvin saman talon Mellanoxin kytkimiin. Cumuluksessa on toki Linuxin omat erikoisuutensa kuten ACL:ien toteutus, mutta käyttöjärjestelmä pystyy tarjoamaan paljon helposti käsiteltävää tietoa alustasta.

Venäjä on jatkanut VPN-tuotteiden kieltoja. Nyt Opera VPN ja VyprVPN on luokiteltu laittomiksi. VPN-valmistajia vaadittiin jo 2019 kytkeytymään valtion tietokantaan, joka estäisi halutut webbipalvelut käyttäjiltä. Kymmenestä tuotteesta vain Kaspersky suostui vaatimuksiin. Applen iCloud Private Relay on köyhän miehen VPN-palvelu. Se takaa, että kaikki laitteelta lähtevä Safarin http-iikenne on salattu ja kierrätetty kahden välityspalvelin kautta. IP ja sijainti häivytetään, mutta lyhyemmän ketjun palvelu ei ole yhtä tehokas kuin Tor.

Cinian lobaama arktinen kaapelihanke on saanut takapakkia kun Megafonin japanilaiskumppanilla on rahoitusvaikeuksia. Megafonin aloittamat merenpohjatutkimukset keskeytetään toistaiseksi. Asiantuntijoiden mukaan oli selvää, että pandemian, toimitushäiriöiden ja yli 10% kallistuneiden hintojen takia projektia oli tarkistettava. Alkuperäinen hinta-arvio oli 1,2 miljardia euroa. Myös lisääntynyt kilpailu alueella vaikuttaa asiaan. Matkan varrella Siperiassa ei ole paljon kytkettäviä asiakkaita, joten Japanin vetäytyminen projektista vaikuttaa liiketoimintamahdollisuuksiin olennaisesti. Tilalle on löydettävä muita aasialaisia kumppaneita. Cinia uskoo kuitenkin hankkeen etenemiseen, vaikka Venäjä ajaa myös toista Polar Express -maakaapelihanketta Venäjän läpi.

Myös Tyynenmeren Itä-Micronesian merikaapelihanke on keskeytetty epäiltyjen kiinalaissuhteiden vuoksi. Yksi tarjous oli 20% kilpailijoita halvempi ja Maailmanpankki tuomitsi kaikki tarjoukset epäkelvoiksi, joten hanke kaatui siihen. Tyynimeri on poliittisesti herkkää aluetta ja USA:lla on vahva vaikutus alueen toimintoihin. Euroopassakin on herätty valtapolitiikkaan ja EU:lta puuttuvaan strategiaan voittaa liiketoimintaa ulkomailta ja suojella omaa infrastruktuuria.

Länsi-Afrikan rannikolla Congo-joen suulla tapahtui tammikuussa vedenalainen maanvyöry, joka jatkui kaksi päivää. Atlantin pohjan vyöry oli massiivinen ja vaikutti yli 1000 km alueella. Sitä ei ehkä olisi huomattu jos se ei olisi rikkonut kahta merikaapelia. Asia tuli julkisuuteen vasta nyt kun mittausdata saatiin palautettua ja analysoitua sensoreista. Tammikuun jälkeenkin alueella on ollut muita kaapelikatkoja.

Suomessa Valokuitunen sai 300 M€ rahoituksen rakentaakseen 10000 yhteyttä vuodessa yhteensä 200000 kotitaloudelle taajama-alueilla.

Starlink toi sähköä MWC-tapahtumaan. Muskin mukaan yhtiö tarvitsee 20-30 miljardia dollaria satelliittiverkon rakentamiseksi lopulliseen muotoon. Maailmanlaajuinen kattavuus saadaan jo nyt elokuussa napa-alueita lukuunottamatta. Nykyinen käyttäjäterminaalilaitteisto maksaa käyttäjille 500$ ja yhtiö tekee sillä tappiota. Musk haluaa saada terminaalin hinnan alas ja käyttäjähinnan puolitettua. Koville investoinneille pitää löytyä maksajia ja neuvotteluja käydään mm. lentoyhtiöiden ja liikkuvien ajoneuvojen osalta.

Erillisverkot on pohtinut voisiko LEO-satelliitteja käyttää viranomaisverkossa ja esitellyt Onewebin verkkoa kotimaisille turvallisuustoimijoille. Globaalilla pienen viiveen verkolla voisi olla käyttöä turvallisuuspuolella Virven rinnalla.

Amazonin Sidewalk otettiin USA:ssa käyttöön. Sidewalk suunniteltiin tietoturvamielessä kunnolla ja malliksi IoT-laitteille. Alun epäilyt hälvenevät nopeasti kun asia unohtuu ja hyödyt tulevat esiin. Privacy and Security Whitepaper valottaa taustatekniikkaa. Palvelu käyttää vain 80 kbps kaistaa jasiirtää enimmillään 500 MB tietoa kuukaudessa. Jotkut operaattorit ovat pahoittaneet mielensä, koska palvelu käyttää heidän verkkoaan luvattomasti ja niin ei saa tehdä.

Etelä-Koreassa Netflix on hävinnyt oikeustaistelun operaattorimaksuja vastaan. Tämä on ensimmäinen tapaus maailmassa, jossa OTT-toimija on pakotettu neuvottelemaan siirtohinnoista laajakaistaoperaattorin kanssa ja maksamaan käytetystä kaistasta. Netflix kuitenkin veti rajaa, että sille ei ole toimitetta internettiä tai muuta palvelua paikallisoperaattorilta. Korealaiset isot alustapalvelut maksavat operaattorille 62 miljoonaa dollaria vuodessa ja sama odottaa kansainvälisiä toimijoita. Joka tapauksessa käyttäjät kärsivät kun kasvaneet kulut lisätään asiakashintoihin.

Disney+ testaa Verizonin Open Caching -välitystä parantaakseen asiakkaiden streaming-kokemusta. Välityspalvelimet viedään verkon reunoille mahdollisimman lähelle käyttäjää kuten Netflix on tehnyt Open Connect -laitteillaan. Välityspalvelu tulee myös Verizonin langattomaan verkkoon. Open caching on Streaming Video Alliancen työryhmä, jossa kehitetään avointa videojakelua. Disney+ on Verizonin ensimmäinen käyttäjä ja heti kärkeen yksi suurimmista.

Lumen integroi mediapalvelunsa verkkoon. Verkon käyttäjä voi tuottaa suoraan verkon reunalta videostreamia, joka enkoodataan ja siirretään pilveen käsiteltäväksi, ja sieltä eteenpäin jakeluun. Ominaisuus ei vaadi lisälaitteita ja sen voi laitta päälle ja pois tarpeen mukaan.

Tapahtumat

Mobile World Congress saatiin kuitenkin pidettyä Barcelonassa, vaikkakin laihemmalla osallistujamäärällä kuin odotettiin. Paikalle vaivautui 20000 ihmistä tavoitellun 40000 vierailijan ja normaalin 110000 vieraan sijaan. Ericssonin ständin napannut TelcoDR-konsultti Danielle Royston oli tyytyväinen omaan pilvipöhinäänsä. Pilvi oli yksi kuumista aiheista 5G:n, kyberturvallisuuden, hiilineutraaliuden ja sukupuolitasa-arvon kanssa.

Nanog82 oli jälleen täynnä internet- ja operaattoriasiaa. Lisa21-konferenssi esitteli operatiivista toimintaa ja Hashiconf Europe infra-automaation maailmaa. RSA-konferenssin videot ja Pycon US:n videot on julkaistu.

Ilmaisia rekisteröitymistä vaativia tapahtumia kesäkuussa olivat: Sharkfest ja Grafanaconline.

Kuukauden temppu

USA:n neljänneksi suurin kaapelioperaattori Altice päätti tiputtaa kaapeliliittymien upload-nopeuksia rajusti. Hinta ei muuttunut, mutta kapasiteetista lähti pahimmillaan 86%. Onneksi vain uusista liittymistä. 100M-liittymään saa jatkossa vain 5M-uploadin, joka ei nykypäivänä oikein riitä. Muutoksen syy ei ollut tekninen, vaan ajoituksen perusteella todennäköisesti enemmän kaupallinen ja poliittinen. Hakiko Altice yhteistä rintamaa kaapelioperaattoreiden kesken? Altice tiputti nopeuksia, vaikka muut operaattorit olisivat voineet nostaa nopeuksia järkevälle tasolle. Pandemien aikaisessa upload-kriisissä monet ovat päivittäneet liittymiään nopeammaksi ja operaattorit ovat hyötyneet tästä. Altice itse sanoo, että kuitu tuo symmetriset nopeudet, mutta se ei tarkoita, että kuitu olisi kaapeliasiakkaiden saatavilla. Kaapelioperaattorit myös kiusaavat teoreettisilla nopeuksilla, joita tulevaisuuden DOCSIS-päivityksillä olisi saatavissa, sitten kun verkkopäivitykset joskus tehtäisiin.

Networking Industry Update 2021-05

Outages

A denial of service attack was performed against the Quad9 DNS, which disrupted the service on May 3, 2021 for approximately 90 minutes. The volumetric attack apparently used LDAP protocol reflection amplification. The attack did not reach the servers but caused network congestion.

Salesforce suffered a global service outage on May 11-12, 2021. The failure was due to a DNS change that the engineer had committed at once globally. The normal procedure would have been a gradual change, but for some reason, this person pushed the changes as an emergency change everywhere at the same time. The expert had been working at the company for many years and the used script was years old. More pain was added when revealed that server management had a dependence on the operation of DNS servers and normal server management was lost due to a DNS failure. The service’s status page page also did not work, and the company had to use its documentation pages, which aroused amusement. Word of problems rushed through social media to customers. The management threw this unfortunate engineer at the wolves and openly blamed one man. This led to some backlash in social media. Errors happen and the purpose is to learn from the error, make corrections, and improve performance. #hugops

Telecom

There is a constant bustle around the public cloud. AWS is so far a pioneer and leader, involved in almost all implementations thanks to its wide range of services and strong telco community. However, other public clouds are involved in many and have hired managers for the telco business. Dish chose Oracle to implement network slicing and related control plane functions in the cloud. Vodafone is developing a data-crushing platform with Google and Telefonica is building edge services with Microsoft. The differences between the clouds will be reflected in how they manage cloud-native network functions. Google and Microsoft have their strengths and are expected to challenge AWS.

5G must be underpinned by a massive construction contract to upgrade the radio network, transmission network and mobile core. In Japan, Rakuten is lost with its plans and the actual number of base stations needed and construction costs have been unexpected. The size of the entire network is indicated by the fact that in Japan Softbank has 230,000 base stations in the 4G network, in small South Korea there are a total of 870,000 4G base stations and 166,000 5G base stations. China is estimated to have built 1.3 million 5G base stations by the end of this year, reaching only moderate coverage.

Silicon Valley’s startup Airwave is trying to solve the difficulty of dense construction. Airwave promises to prepare the base station sites ready for use. It is trying to be the Airbnb of sites, which searches for and prepares potential installation sites by obtaining permits and concluding contracts. Airwave will not provide equipment or build the site. It pays the few hundred renting fees back to the site owner. The operationnal model is largely the same as in the traditional mast and site business. Now we are moving to ever-larger numbers and more special destinations.

The value of 5G private networks is so hot that even component manufacturers want to get dividends and start making their own network devices. Foxconn and Siemens are planning to manufacture their own 5G products. For the time being, spectrum licenses are held by operators, but when spectrum is released or made available to all, the choice of 5G network providers may be different.

Old mobile networks have a long tail. The 3G networks, which have been in use for almost 20 years, are being shut down and historical relics are being revealed. In the U.S., 6 million alarm devices using the 3G network are threatening to fall off the network and have caused a dispute. Replacing devices is, of course, a tough task, but perhaps nowadays it would be natural to give devices a lifecycle upgrade after 10-15 years, rather than assuming that network technology stays the same forever. On the other hand, mobile networks could be backward compatible to some degree so that even older devices would work. There is a shortage of frequencies and they are needed for new services. T-Mobile and Dish continue the media war over how many customers there were on the soon-to-be-closed CDMA network, 900,000 or 4 million.

AT&T ends its adventure in the media world by outsourcing Warnermedia to a separate company with Discovery. AT&T bought TimeWarner five years ago for 85 billion and now got less than half of it back. With 43 billion revenue, it will get a boost to 5G and broadband construction. Earlier, Verizon announced the sale of its Verizon Media unit. Gone are the days when there was talk of triple/quad play and attracting consumers with media content. Doing business with content was harder than imagined. Attempts are still being made in Finland, although changes are already visible. DNA realized to soon give up pay-TV, but what about Elisa Viihde -Viaplay and Telia-Bonnier and the hockey league?

Operators don’t seem to learn but repeat the same mistakes over and over again. The background is the envy for OTT services and Internet companies. Crazy expansions and world adventures have been seen, even though the network has become a critical issue in our own society and daily life during this time. What if the wasted money had been put directly into network development? But somewhere that sales growth has to be sought. Telenor is withdrawing from Myanmar due to difficult conditions. The coup was too much and the 8-year attempt ends with a write-off of 780 million assets.

Access technologies are evolving and media attention is garnering 5G, which isn’t quite there yet. But DSL technology is also evolving. However, in Finland DNA announced that it would terminate the use of the “160-year-old telegraph network”, aka copper network, by 2025. Of course, mobile or fiber is a substituting technology. Nokia and Proximus have demoed symmetrical 25G fiber network in Antwerp, Belgium. Admittedly, it has more applications on the enterprise side and 5G backhaul than on home broadband.

Cloud

The operators’ content business is waning, but Amazon is adding steam and buying MGM at a high cost. Amazon already has content through Amazon Studios, Prime Video, Audible, and Twitch. The purpose of the purchase is not entirely clear: did Amazon purchase MGM’s valuable catalog or will it invest and develop the studio? Probably both. Maybe we’ll finally see James Bond as a series. Amazon says companies need to identify when their business models no longer work. The economy of size is value when the price of content has risen out of hands. Amazon has also built an advertising or marketing business that is now thought to be as big as AWS.

For the cloud networkers, the good news is that AWS data billing has been removed between VPCs within the same Availability Zone. A more specific example of cloud usage is building network services using AWS’s Lambda functions. Paloalto has published a comprehensive implementation guide for using a firewall in a public cloud. It serves as a good guideline for all firewall deployments in the cloud.

Google has opened its Hamina data center extension for production and has been operating in Finland for 10 years now. According to a local interview, British and Irish workers have brought a nice added color to Hamina’s local pub culture by expanding beer selections.

Liberty Global and Digital Colony are joining forces with a development company that aims to bring 100 new edge data centers to Europe. Edge and low-latency application development has its special principles which include interesting concepts like offline applications, locality first, network optionality, and fencing. Thus, a global network and a small network latency may not be mandatory application requirements. More importantly, the operating models of the edge are still very vague. This is where the huge commercial potential lies.

Cloud networking is its own thing. The level of networking features varies and solutions are affected by varying features, compatibility, licensing, and costs of native and external virtual products. The industry has been dominated by non-network experts. Now the role of the cloud network architect has come up in the debate. Is that needed and what would be the role? In my opinion, the cloud is about the applications and the connections built for them. The network is built on and depending on the services of the cloud platform. The traditional networking and protocols have been left out, although the basic principles are certainly underlying. As the features of the cloud grow, so does the networking maturity. The cloud platform provides an underlay and the user builds the overlay to suit the applications and their own needs. Yes, a network-savvy designer is needed for this, as it is for all infrastructure and service design and building. Amid all the intricacies, the more complex environment you build, the harder it is to live with. I think with the cloud we will repeat the same mistakes that have been made in the past with the physical networks.

Gartner warns of mixing public clouds. Multi-cloud has little to offer if you start picking the best pieces from different platforms. The same could be said for a multivendor network. Mixing vendors and platforms usually produces more harm than good. Every different piece of hardware, software and feature comes at a price. So my own advice is to focus as much as possible on similar equipment, even if it costs a little more and comes with unnecessary capacity. The cost is small compared to what is spent on operational chores with different platforms.

In the SD-WAN/SASE field, middle mile mania continues. Fortinet, Paloalto, Versa and Vmware joins Google’s Network Connectivity Center and Megaport will build its own edge on Fortinet’s SD-WAN. Where are SD-WAN and SASE going? When the crowd returns to the office, SD-WAN will be in use again. SASE can act as an agent in the endpoint device, but there are many agentless devices that are easiest to tunnel to the cloud over the SD-WAN. However, SASE and its connectors are slowly eating the role of SD-WAN. The multi-cloud is beginning to merge with SASE, but this is the weakness in SASE that needs to be developed. This has been struck by companies like Aviatrix, Alkira, and Prosimo. Data and application processing, protection, routing, access control, etc. also need to be developed further. There are differences between manufacturers. Gartner’s recommendation is to choose a manufacturer that allows you to choose the appropriate method and location for inspection, routing, and logging.

According to a Masergy study, in five years, 92% of companies will use SD-WAN. Most companies use a hybrid model that combines their own environment and the public cloud. Private connection, such as MPLS, is still the prevailing practice for better performance and security. Most use a service provider and only 23% build the SD-WAN themselves. The main reasons for SD-WAN are efficiency, agility, and lower cost. The most important selection criteria for the solution are security and reliability.

Cybersecurity

The closing of the U.S. East Coast fuel distribution network due to ransomware was a precaution. It is known that the attack was to the IT system, perhaps to the production control system. The Darkside Group itself acknowledged that its job is to make money, not cause harm to society. A ransom of 5 million was paid to them when there was uncertainty about the scale of the attack and the company wanted to restore the service quickly. The recovery took less than a week.

Irish healthcare system underwent a similar incident. For safety’s sake, the entire system had to run down, even though the attack was on data, not operational treatment systems. The line between It and OT is blur when IT is an integral part of all operations. The attacker activities, mental landscape and business models are illuminated by a journalist who has infiltrated the criminal group. The victims have been carefully selected and the preparations have been well done. The attack usually occurs on a Friday night or weekend when staff is away from work.

Norwegian Volue has acted exemplarily openly in dealing with a cyberattack, when so many companies decide to close down and fail to deal with the issue. Volue has shared attack indicators and collaborated with the local CERT and police. It has provided detailed information on the situation on a daily basis and provided contact information for managers for further inquiries. Transparency protects the company, employees and customers, and creates faith in the company’s operations.

Finnish government ICT centre Valtori has confirmed that the Pulse Secure vulnerability has not been exploited or is unlikely to occur. Initially, false alarms due to a software error raised concerns about possible exploitation.

For the first time in history, the number of cloud security breaches exceeded the number of on-premises breaches. Now, 73% of cyber incidents will occur to external cloud resources. The number has bounced upwards in a year. However, there is no evidence that on-premises is safer. The biggest problems with the cloud are stolen credentials, configuration errors, and phishing. On on-premises by far the biggest and growing problem is ransomware. A total of 61% of the problems were related to credentials and only 3% were due to vulnerabilities. Sad but true: 20% of Internet interface vulnerabilities were more than ten years old. The same story is also told by a recent open-source risk analysis report: 91% of the code analyzed contained open source dependencies that had not been updated for two years. 85% of dependencies were more than four years old.

A fragmentation vulnerability has been found in the wifi standard that affects all wifi devices. A design flaw has been in the standard since 1997 and is fortunately difficult to exploit. The manufacturers have been preparing updates for 9 months together with the Wifi Alliance and ICASI. Now they have been published. A brief summary has been compiled on the ICASI website.

The name server Tsuname vulnerability could be used to generate a DDoS attack against another name server. Vmware prompts you to update a serious vulnerability for all Vcenter installations immediately. There is also a temporary workaround.

The Cisco switch may also be hijacked, as happened on the Init7 network. The switch configuration was replaced with propaganda text utilizing the Smart Install feature. The old vulnerability in Cisco Anyconnect and the critical vulnerabilities in SD-WAN vManage and Hyperflex has now been fixed. These are not known to have been exploited, according to Cisco.

In the age of micro-services, the security of containers is often questioned. Traditional methods can be used to attack a Kubernetes cluster: DNS spoofing, overlay networks, or the BGP process. The API is the future of the network and HTTP is the new TCP. The task of the network is to connect and separate, to protect micro-services. This requires visibility provided by a service mesh, such as even Istio or Envoy, on which Vmware’s Tanzu is also based. The service mesh is like a firewall, load balancer and application monitoring tool. However, the GRPC protocol has evolved so that it no longer needs a separate service mesh on its side, but can directly handle load balancing and service discovery. With gRPC, services can be extended directly to the control plane without a proxy.

The Finnish Defense Forces has published the first report on military intelligence and its content is an overview of operations, as might be expected. According to the report, foreign operations have been active in Finland. Local newspaper HS reports a shortage of technical experts that is not mentioned in the report. In the same context, the technical difficulty of monitoring traffic in a dynamically routed network is mentioned. The NSA has been spying on European politicians with the help of the Danish intelligence service in Operation Dunhammer during 2012-2014. Danish cables have been listened to and calls and messages have been collected. The Swedish and Danish defense industries have been spied also. Espionage of Finnish companies is real, according to a report by the Helsinki Chamber of Commerce.

The Finnish Transport and Communications Agency has drafted its own “Huawei framework”. The document only lists the components defined as critical for the communication network.

Technology

Technology standardization is sometimes misunderstood. The IETF is not a police or regulator that oversees or creates standards. It has no opinion or purpose on technical matters. The IETF is a volunteer working group that seeks consensus on issues and documents them. The draft can be written by anyone and from anywhere, as the example of Google’s Warren Kumar shows. If the draft has ended up as an RFC, it is already a good common view for further discussion. If further progress is made, the RFC will progress to the BCP (Best Common Practice) level or even the standard (STD). However, executing these different levels of standards is not monitored by anyone particular. The community collectively is only watching after and maybe giving disapproval.

After six years, QUIC has achieved RFC status with a number 9000. The definition is so comprehensive that it is divided into four different RFCs 8999-9002. QUIC does not include HTTP/3, the spec of which will come out later.

EVPN, that much praised standardized protocol, is not fully compatible between different vendors despite the standard. There are a lot of nuances, different implementations, and stages of development in the protocol, so it’s even surprising among manufacturers that something is made to work. EANTC has been conducting multivendor testing for several years. The emphasis is on the service provider world, where multivendor solutions have a place in certain use cases. On the enterprise side, multivendor EVPN-VXLAN has no place if you don’t want to make your life difficult and make protocol tuning your hobby. Maybe one day the development will be at the point where the manufacturers are really compatible. EVPN-VXLAN is also behind Cisco ACI as a somewhat unique implementation. A three-part (1, 2, 3) comparison charts ACI’s advantages over third-party EVPN solutions from technology to operation and cost to scalability.

A more in-depth story has been published about Telia Carrier’s new core architecture. It is based on Cisco 8000 series routers with Broadcom Jericho2 chips and Acacia 400G coherent optics. The network has been made simple and cost-effective. Colt is doing the same modernization with a similar configuration.

With the help of the Metamako, Arista is once again bringing the low-latency switching to a new level. Ten years ago it reached the level of 500 ns and it is now mainstream. The new 7130 switch makes an L1 switching, so a delay of 5 ns is achieved at the electrical level. With this method, the packets just can’t be processes on the switch. L2 switching takes place with a delay of less than 100 ns. Instead of an ASIC, the switching is made on an FPGA and the user can use the SwitchApp application to select the appropriate features to use from a few different profiles. Packet timestamping is extremely accurate at the 400 picosecond level.

One has only to wonder about Arista’s commitment to the HFT market, which is not so huge. The myths continue to be busted. Is a cut-through switching needed for anything anymore? The difference between store-and-forward switching once existed, but in practice today, cut-through is of little importance. Especially when it has many limiting factors that are certainly present in almost every network. Cut-through cannot be done when the speed changes or buffering is done at the gate. This means that cut-through will not work if the switch has line cards or more than one ASIC. In addition, there is certainly always a speed conversion between the access port and the uplink. So all that is left is a local port-to-port switching using compatible hardware in some niche use case. In any case, most applications do not see a difference between microseconds.

When traffic bursts, are buffers needed at the switch? Well, not exactly. Outbound traffic is a problem only if multiple ports feed bursty traffic to the same uplink or vice versa from the uplink to the server port. Instead of buffering and delay, it is probably better to drop the traffic in a controlled manner and let the modern TCP stack handle the problem quickly. Network Function Virtualization (NFV) has also been said to require buffering, but the arguments are as weak as in a data center network. The right place to do buffering is a WAN edge router.

It’s good to remember that applications use IP packets, bigger or smaller, more or less, and with different content. Audio or video, control signal, or monitoring information are just packets among others that the switch or router handles forward in the same way. It is time to declare the special networking requirements of the applications dead. Even ordinary and mediocre network infrastructure does its job just fine without any wonderful tuning. Just look that network topology and functions are right and the application stack works properly.

The switches use high-speed ​​CAM (Content-Addressable Memory) to store lookup tables. CAM uses data for retrieval unlike RAM. The search is also parallel and can be done in cycles. TCAM (Ternary CAM) is a type of memory commonly used in network devices that has a third “don’t care” state in addition to zero and one. Therefore, it is well suited for classifying packets when some of the data can be masked into “any” bits. TCAM is usually a fairly small-sized memory, so there is reason to be concerned about filling it up. Memory is allocated according to the used data. Network devices typically have different profiles that attempt to adjust resources, such as table sizes, to suit different use cases.

18 years ago, Alcatel bought Timetra and brought L2VPNs heavily into MPLS. Operators were enthusiastic about Alcatel devices and the SAM service provisioning tool. The MPLS hype turned into realism. Timetra’s Timos operating system later changed its name to SROS. 2015 Nokia acquired Alcatel-Lucent. Last year, Nokia launched a new operating system, SR Linux. It is the last change to Linux after Junos Evolved switched FreeBSD to Linux in 2018. Almost all network operating systems were originally Linux-based or, at the latest, have now moved to Linux, a neutral, open, and extensible platform. Many Network Operating Systems have a container version available, but surprisingly, Cumulus has not. But yes, it did still go inside Docker.

In wifi, many players have moved to a cloud-managed environment and access points have become independent without a centralized controller. The advantage of the controller has been a possibility to tunnel traffic to a central location and to concentrate operations in one location. Controller sizing and decentralization have become a problem. Can tunneling and standalone access points be combined? It depends. Many manufacturers seem to have a gateway feature that allows LAN access point traffic to be collected and forwarded to a central location.

The Telecom Infra Project (TIP) has launched an open Openwifi initiative that aims to bring open options for building wifi from a variety of pieces. In addition to hardware and software, Openwifi includes various features such as meshing, RRM, Passpoint, and Openroaming. There are more than 100 companies in the community. Whitebox vendor Edgecore has its own wifi product line and also participates in Openwifi. Aruba was the first to launch a Wifi6E access point. Wifi6E use cases include dense areas such as airports, stadiums, hospitals, and lecture halls. In Aruba’s strategy, the access point is an essential data collection element that feeds information about users and devices to the edge platform.

AT&T has tested Openroaming in the urban environment of Austin. The purpose is to show that wifi is capable to roam throughout the city automatically and safely. Openroaming is from Cisco, from where it moved last year to the Wireless Broadband Alliance (WBA). Passpoint is driven by the Wifi Alliance and it focuses more on local roaming. Openroaming then is largely built on top of Passpoint and is designed to provide greater mobility.

The current ways of connecting IoT devices are getting a challenger from Wirepass, which is a spinoff of the University of Tampere. The purpose of Wirepass is to launch a new communication protocol next year that will allow IoT devices to communicate with each other in a distributed manner without base stations. Wirepass Private 5G uses the free 1.9GHz frequency and familiar mobile technologies adapted to the DECT-2020 standard. This results in higher speeds than Zigbee can provide, more secure operation, and telco independent network.

The Zigbee Alliance, which has existed for 20 years as a name, is disappearing and is branding its operations under the new Connectivity Standards Alliance (CSA). The business is expanding, but Zigbee remains an important driving force. Project CHIP (Connected Home over IP) is now Matter, which aims to standardize the communication of smart home IoT devices. In June, Amazon will launch its Sidewalk network, which will connect all its Echo, Ring, and Tile devices via Bluetooth and 900 MHz frequency. Sidewalk is an alternative mesh network if wifi is not available. The feature is turned on automatically, but you can also turn it off.

An update has been made to the EU’s Galileo satellite navigation system, which now offers centimeter-level positioning.

Operation

Interesting psychological research says that under pressure a person thinks too complicatedly. The sprawling of thoughts is inherent and we solve problems by adding rather than removing something, although a simple solution to a problem is often best. In a stressful situation, a person easily ends up with easy and quick ways of thinking, and cannot first think of removing something off as an alternative.

The Go language is gaining popularity in general and also in network programmability alongside Python. Go is the right programming language for making programs. Python is used to process data. In network automation, it is beginning to be seen that the automated configuration generation may not have been the only thing to be solved. Creating a configuration takes a lot of time and effort to gather and verify data. Change is a multi-stage workflow and testing is needed in its various stages. At its best, automation can be a closed-loop workflow with a target state defined. The network is constantly tested and any deficiencies and faults detected are quickly corrected automatically. The same tool may not be suitable for automation and testing, but different programs must be used for different functions.

Automation difficulties are tackled with various tools. Jerikan combines the data source, Jinja2 templates, Gitlab, and Ansible. Merlin compiles network status information through a CLI or API. Pandas is a well-known Python data processing library, but networking people should also consider it because of Excel data, time series, and Batfish. As a reminder, here is a summary of Python tools for networking. Help with automation learning is provided by Packet Coders.

Ansible 4.0.0.0 has been released. I have to say that Ansible is not the most clearest product. Many things raise questions: structure, versioning, dependencies, compatibility, fragmented documentation, purpose, etc. The release notes for the new version 4.0.0 can be found on Github. Ansible also tries to solve the workflow problem and synchronize the network state with collections and resource modules.

Network monitoring should operate more on business levels and produce more sophisticated information about the network and traffic. Cost information can be one upper-level parameter to monitor. It may be necessary to optimize traffic if the transported bytes cost. A little better tools and a combination of different sources are needed to dig up the information. Flow data is one versatile source for traffic tracking. Even Linux switchdevs can generate sflow uniformly from all platforms. Switches with Mellanox Spectrum chips can also be used to collect information about packet drops and their causes using What Just Happened (WJH) feature. When you throw the information into time series database and visualization tool, you will get good near real-time information about the behavior of packets. If you happen to use Cumulus Linux, you can use NetQ for monitoring, which is a handy tool for managing and monitoring your Cumulus network anyway.

On the commercial side, Juniper’s multi-vendor data center network management product Apstra was upgraded to version 4.0. Contrail has been discarded and Apstra is now offered by default for data center fabric management. New features include NSX-T 3.0 integration, Sonic support, and connection templates for connected devices. Apstra already supports Juniper, Cisco, Arista, and Cumulus. You can try Apstra for free by logging into Juniper vlabs.

In Europe, less attention has been paid to the NIS directive, which has been in use for a few years now. It has been intended, like the GDPR, to regulate important IT services and service providers, but the practice has stalled due to confusing practices and interpretations. Now NIS2 is trying to fix the situation by specifying more detailed level who the directive applies to. The list includes e.g. IXPs, CDNs, data centers, and DNS services. The goal is good, to get some discipline into poorly performing providers and services. This also means more bureaucracy and the threat of a fine if things don’t go well.

If you are interested in DNS data, here is a list of services where open zone data has been collected. Disney Streaming’s Hulu tells you how to build a large DNS infrastructure and service. Facebook will present how they run BGP in the data center. Facebook has also automated peering using PeeringDB for authentication and request validation.

Microsoft has opened fault data from its data center switches. The network appears to be reliable, but there are manufacturer-specific differences so that one brand is twice as fault-prone as the other. Microsoft doesn’t tell what devices it uses, but known vendors are at least Arista and Mellanox. Arista is probably doing just fine because Microsoft is such a big customer for Arista. But there were 46800 failures on the 180,000 switches during the three-month period. The overall availability was 98%, but with Sonic operating system, the availability increased to 99%. The failures were short, less than six minutes, or else the device died completely and had to be replaced. 32% were hardware failures, 27% power outages, and 17% software bugs.

Companies and products

Greg Ferro’s Enterprise IT Career Handbook provides guidance on coping in the IT industry. It gives you a good idea of ​​how the industry is changing and how to be involved successfully. The soft side is also a very important part of competence and coping today. With technical skills you can get in, but with soft skills you can go far. Having gone through quite a few interviews in the IT industry itself, it can be said that the the level of interviews is shockingly wide. Often a company tries to give a rosy picture of its own operation. Even in some large companies I could not have a clear picture about work despite long talks and a series of questions. Recruiters and interviewers would really have a lot to improve. Instead of technical details and gimmick questions, an interviewer should ask open-ended questions and have an interactive discussion. And first and foremost, the job description should be clear that the applicant knows where she/he is even applying.

Digitization has received some kind of boost during a pandemic. However, according to Sofigate’s study, digitalisation is more of a strategy-level talk than an act. Companies admit that they lack a clear direction to take the actions forward. The main reasons for poor performance are lack of skills and resources as well as resistance to change. In telework, Finland excels and becomes the number one in the EU with a 25% work-from-home share.

Over the years, know-how has run out of companies as a result of their own operations. Few places have good know-how and innovation left when everything is outsourced and purchased as a service. The experts have been driven out and the company’s role remains purchasing, marketing, housekeeping, contract management, and process rotation. Great, right? In North America, it has been asked who lost the local telecom manufacturing. Lucent and Nortel were driven into the arms of Europeans and Chinese leaving Americans without own telco vendors.

After all, Israel’s security sector is booming and there is no end in sight to success. Last year, 31% of the world’s cyber investment went to Israel. There are 443 active cybersecurity companies and 25% of them have been acquired or merged in the last six years. In March of this year alone, ten companies from Israel had risen to more than a billion valued unicorns.

Again Cisco has made series of acquisitions. Sedona was acquired to strengthen routed optical network management and Kenna Security vulnerability management. Socio Labs complements Webex on online platforms. Cisco has spoken in public about its intentions to bring manufacturing price increases for certain products into customer prices. Arista also has an unprecedented difficulty with manufacturing products. Paloalto instead keeps going with the help of software. Already 40% of firewall sales are software and the share is expected to grow steadily, although hardware is still a significant source of revenue.

Juniper has jumped into the SASE game in its own way. Security Director Cloud is a management portal for both network and security services that are slowly moving toward a complete SASE world. The services can be on your own network, in the cloud, or somewhere in between. The transition is slow and Juniper believes that own network services and hardware will remain for a long time to come. This operational challenge of a multi-service environment on transition is solved with a centralized management tool.

Extreme released the Copilot AIOps product to help network monitoring and troubleshooting. On the side of CloudIQ management, Copilot produces a baseline of the network and then it is able to pick up anomalies and draw conclusions from them. Familiar story from Aruba Central and Mist Marvis, for example. In addition, Extreme released the packet broker switch 9920, which is built on top of the P4 programmable Tofino2 circuit. The switch can be used to monitor and process network traffic efficiently. Extreme talks a lot about wanting to get involved in 5G environments. Let’s see if it works.

Internet

Internet Map 2021 depicts the largest Internet services on an ancient map, grouping them into countries and continents. The new updated submarine cable map has been released, with all 464 cables in the world and lots of statistics and information around submarine cables.

The market price of IPv4 addresses has risen sharply over the past year, reaching a new high of $ 36 per address.

Qrator Labs has released statistics on 2021 Q1 DDoS attacks and BGP disruptions. The large number of “disruptive ASs” attracts attention: of the approximately 100,000 registered AS numbers, almost 2% leak false routes each month and nearly 10% participate in BGP hijackings. Disruptions are usually small and local, with only a few major events per month. Internet routing disruptions and insecurity are also reflected in services and users, which often receive less attention behind availability. Routing attacks can reveal, for example, an anonymous user or encrypted traffic. Internet services and routing should therefore be better intertwined, rather than trying to operate as independent layers.

Therefore there is a need for RPKI. Comcast, the largest cable company in the USA, has joined the route validation. The work has been done on a long-term basis since 2014. BGP lies are a new concept to me. On the Internet, the AS path should tell the route of the packets, but the data path does not always match the expected AS path. The AS may intentionally modify the AS path, attract traffic to itself, and then forward the traffic in a different way, or the traffic may inadvertently be redirected out of the wrong place.

In the battle for broadband connections, BT’s Openreach has set the wind in British fiber installations are progressing faster than expected and at a lower cost. The target has been raised to 25 million homes by 2026. In Europe, fiber use varies greatly from country to country. Iceland, Spain Sweden is in the lead and Finland is also reasonably in average level.

Satellite race is a little surprising. There are enough competitors from the Western countries and China, and the confidence is high, in such a limited market and technically demanding and expensive implementation. There have also been more negative reviews of Starlink. The satellite connection has its limitations, there are interruptions and real-time interactive applications do not work. The antenna requires a line of sight to the satellite and the space is starting to be cramped and dangerous. A satellite connection is unequal because it restricts the use of certain applications. The net neutrality debate took place years ago in the context of mobile networks. Back then, the reason was administrative. Now, technical characteristics are emerging and differentiating regions geographically. Of course, satellite is better than nothing.

The study also revealed the ultimate reason why the Americans does not use the Internet. The reason is not the availability of the connection, the price, the device, or security threats. Simply people are not interested in using the internet.

Events

RIPE82 offers a lot of presentations from the internet world. The NFD25 introduced products from Nokia, Aruba, Juniper, Vmware, Intel, Ipinfusion, Pathsolutions, and Arrcus. OARCH35 spoke on the DNS issues, which Geoff Huston wrote a summary of and made his assessment.

The main news of the RSA Conference has been compiled by SDxCentral:

It has been 10 years since the hacking of SecurID tokens and the NDAs have expired. Now the participants tell what happened in 2011. What is interesting is not so much the technical implementation of the hacking, but how it was handled and how it affected people. Big things were processed: the twist of secrecy and openness, paranoia and loss of trust, the end of innocence in the security industry, and the formation of the current operational landscape.

Epic hunting

The tail end of the transatlantic submarine cable Amitié was left in the winter for installation on the seabed. Now the end of the cable on the French coast has disappeared from its supposed location. Divers have been sent to the ocean to search for the cable tail end.

[FI] Tietoliikennealan katsaus 2021-05

Ongelmat

Quad9-nimipalvelua vastaan tehtiin palvelunestohyökkäys, joka häiritsi palvelua 3.5.2021 noin 90 minuutin ajan. Volumetrisessä hyökkäyksessä käytettiin ilmeisesti LDAP-protokollan heijastusvahvistusta. Hyökkäys ei päässyt palvelimille asti, mutta aiheutti verkossa tukoksia.

Salesforce kärsi maailmanlaajuisesta palvelukatkosta 11.-12.5.2021. Vika johtui DNS-muutoksesta, jonka asiantuntija oli ajanut voimaan kerralla globaalisti. Normaali toimintatapa olisi ollut vaiheittainen muutos, mutta jostain syystä tämä henkilö ajoi muutokset hätämuutoksena kaikkialle samaan aikaan. Asiantuntija oli ollut töissä talossa jo monta vuotta ja ajettu skriptikin oli vuosia vanha. Tuskaa lisäsi, että palvelinhallinnassa paljastui riippuvuus DNS-palvelinten toimintaan ja DNS-vian vuoksi menetettiin palvelimien normaali hallinta. Palvelun nettitiedotus status-sivulla ei myöskään toiminut, vaan yritys joutui käyttämään dokumentaatiosivujaan, mikä herätti huvitusta. Sana ongelmista kiiri somen kautta asiakkaille. Johto heitti tämän epäonnisen asiantuntijan susille ja syytti avoimesti yhtä miestä. Tästä nousikin somessa vastareaktioita. Virheitä sattuu ja tarkoitus on oppia virheestä, tehdä korjauksia ja parantaa suoritusta. #hugops

Operaattorit

Julkisen pilven ympärillä kuhisee jatkuvasti. AWS on toistaiseksi pioneeri ja valtias, joka on mukana melkein kaikissa toteutuksissa laajan palveluvalikoimansa ja vahvan telco-yhteisön ansiosta. Muut julkiset pilvet ovat kuitenkin mukana monessa ja ovatkin palkanneet johtajia telco-puolelle. Dish valitsi Oraclen pilven network slicingin ja siihen liittyvien control plane -toimintojen toteutuksiin. Vodafone kehittää Googlen kanssa datanmurskausalustaa ja Telefonica rakentaa edge-palveluita Microsoftin kanssa. Pilvien erot tulevat näkymään siinä miten ne hallitsevat pilvinatiivit verkkotoiminnot. Googlella ja Microsoftilla on omat vahvuutensa ja niiden oletetaan haastavan AWS:n tosissaan.

5G:n taustalla pitää tapahtua massiivinen rakennusurakka, jossa päivitetään radioverkko, siirtoverkko ja mobiilicore. Japanissa Rakuten on hukassa suunnitelmiensa kanssa ja todelliset tarvittavat tukiasemamäärät ja rakennuskustannukset ovat yllättäneet. Koko verkon koosta kertoo se, että Japanissa Softbankilla on 4G-verkossa 230000 tukiasemaa, pienessä Etelä-Koreassa on yhteensä 870000 4G-tukiasemaa ja 166000 5G-tukiasemaa. Kiinassa arvioidaan tämän vuoden loppuun mennessä rakennetun 1,3 miljoonaan 5G-tukiasemaa, jolla se yltää vain keskinkertaiseen kattavuuteen.

Tiheän rakentamisen hankaluutta yrittää ratkaista Piilaakson startup Airwave, joka lupaa hoitaa tukiasemapaikat valmiiksi käyttöä varten. Airwave yrittää olla saittien Airbnb, joka etsii ja valmistelee mahdolliset asennuspaikat hankkimalla luvat ja tekemällä sopimukset. Sen jälkeen se laittaa muut rakentamaan saitin valmiiksi ja tulouttaa saittipaikasta vuokraa muutaman satasen kuussa sen omistajalle. Toiminta on pitkälti samaa kuin perinteisessä masto- ja saittibisneksessä. Nyt vaan siirrytään yhä suurempiin määriin ja erikoisempiin kohteisiin.

5G-yksityisverkkojen arvo on niin kuuma, että myös suuret komponenttivalmistajat haluavat päästä osingoille ja alkavat valmistaa omia verkkolaitteita. Foxconn ja Siemens ovat aikeissa valmistaa omia 5G-tuotteitaan. Toistaiseksi taajuusluvat ovat operaattorien hallussa, mutta kun taajuudet vapautuvat tai tulevat kaikkien saataville, 5G-verkon tarjoajien kirjo voikin olla erilainen.

Vanhoilla mobiiliverkoilla on pitkä häntä. Kohta 20 vuotta käytössä olleita 3G-verkkoja aletaan sulkea ja verkoista paljastuu historiallisia jäänteitä. USA:ssa 3G-verkkoa käyttävät 6 miljoonaa hälytyslaitetta uhkaavat pudota verkosta ja ovat aiheuttaneet porun. Laitteiden vaihto on tietysti kova homma, mutta ehkä nykyaikana olisi luontevaa antaa laitteille elinkaaripäivitys 10-15 vuoden jälkeen, eikä olettaa, että verkkotekniikka pysyy ikuisesti samana. Toisaalta mobiiliverkot voisivat olla taaksepäin yhteensopivia jollain tasolle asti niin, että vanhatkin laitteet toimisivat. Taajuuksista on pulaa ja niitä tarvitaan uusiin käyttötarkoituksiin. T-Mobile ja Dish jatkavat mediasotaa ja kiistelyä montako asiakasta siellä CDMA-verkossa olikaan, 900000 vai 4 miljoonaa.

AT&T päättää seikkailunsa mediamaailmassa ulkoistaessaan Warnermedian omaksi yhtiöksi Discoveryn kanssa. AT&T osti TimeWarnerin viisi vuotta sitten 85 miljardilla ja sai siitä nyt alle puolet takaisin. 43 miljardin tuotolla se saa buustin 5G- ja laajakaistarakentamiseen. Aiemmin Verizon ilmoitti myyvänsä Verizon Media -yksikkönsä. Takana on aika, jolloin puhuttiin triple/quad playsta ja kuluttajien houkuttelemisesta mediasisältöjen avulla. Bisneksen teko sisällöillä olikin vaikeampaa kuin kuviteltiin. Suomessa vielä yritetään, vaikka muutoksia on jo näkyvissä. DNA tajusi luopua maksu-TV:stä hyvissä ajoin, mutta miten käy Elisa viihde -Viaplayn ja Telia-Bonnierin ja Liigan?

Operaattorit eivät tunnu oppivan, vaan toistavat samoja virheitä uudelleen ja uudelleen. Taustalla näkyy kateus OTT-palveluita ja internet-yhtiöitä kohtaan. Suuruudenhulluja laajentumisia ja maailmanseikkailuja on nähty, vaikka verkko on tässä ajassa muodostunut kriittiseksi asiaksi omassa yhteiskunnassa ja päivittäisessä elämässä. Mitä jos hassatut rahat olisi laitettu suoraan verkon kehitykseen? Mutta jostainhan se myynnin kasvu on haettava. Telenor vetäytyy Myanmarista vaikeiden olosuhteiden vuoksi. Vallankaappaus oli liikaa ja 8 vuoden yritys päättyy 780 miljoonan omaisuuden alaskirjaukseen.

Access-tekniikat kehittyvät ja mediahuomion kerää 5G, joka ei ole ihan vielä täällä. Mutta myös DSL-tekniikassa tapahtuu kehitystä. DNA kuitenkin ilmoitti lopettavansa “160-vuotiaan lennätinverkon” eli kupariverkon käytön 2025 mennessä. Tarjolle tulee tietenkin mobiilia tai kuitua. Nokia ja Proximus ovat demonneet symmetristä 25G-kuituverkkoa Belgian Antwerpenissä. Tosin sillä käyttökohteet ovat enemmän yrityspuolella ja 5G-backhaulissa kuin kotilaajakaistassa.

Pilvi

Operaattorien sisältöbisnes on kuihtumassa, mutta Amazon lisää höyryä ja ostaa MGM:n kovalla hinnalla. Amazonilla on jo ennestään sisältöä Amazon Studiosin, Prime Videon, Audiblen ja Twitchin kautta. Oston tarkoitus ei ole täysin selvillä: ostiko Amazon MGM:n arvokkaan katalogin vai aikooko se investoida ja kehittää studion toimintaa? Luultavasti molempia. Ehkä näemme vihdoin James Bondin sarjana. Amazon sanoo, että yritysten on tunnistettava milloin niiden liiketoimintamallit eivät enää toimi. Suuruuden ekonomia jyllää kun sisältöjen hinta on koko ajan noussut. Amazon on myös rakentanut mainonta- tai markkinointiliiketoimintaa, jonka nyt arvellaan hätyyttelevän AWS:n tuottoja.

Verkon osalta ilouutisia tuo se, että AWS:n datansiirtolaskutus on poistettu VPC:eiden välillä saman Availability Zonen sisällä. Erikoisempi esimerkki pilven käytöstä on verkkopalveluiden rakentaminen AWS:n Lambda-funktioiden avulla. Paloalto on julkaissut perusteellisen toteutusoppaan palomuurin käytöstä julkisessa pilvessä. Se toimii hyvänä yleisohjeena kaikille palomuureille ja pilville.

Google on avasi Haminan konesalinsa laajennusosan tuotantoon ja on toiminut Suomessa nyt 10 vuotta. Paikallisen haastattelun mukaan brittiläiset ja irlantilaiset työntekijät ovat tuoneet mukavaa lisäväriä Haminan paikalliseen pubikulttuuriin laajentamalla olutvalikoimia.

Liberty Global ja Digital Colony yhdistävät voimansa kehitysyhtiöön, jonka tarkoitus on tuottaa Eurooppaan 100 uutta edge-konesalia. Edgen pieniviiveisten sovellusten kehittämisessä on omat periaatteensa. Mielenkiintoisia periaatteita ovat mm. offline-sovellukset, paikallisuus ensin, verkon valinnaisuus ja rajaus. Globaali verkko ja verkon pieni viive eivät siis välttämättä ole vaatimuksia sovelluksen kannalta. Edgessä tärkeämpää on operointimallit, jotka ovat vielä hyvin epäselviä. Tässä onkin suuri kaupallinen potentiaali.

Pilvin tietoliikenne on oma juttunsa. Verkko-ominaisuuksien taso vaihtelee ja ulkopuolisten virtuaalituotteiden vaihtelevat ominaisuudet, yhteensopivuus, lisensointi ja kustannukset vaikuttavat ratkaisuihin. Alaa ovat hallinneet muut kuin verkkoasiantuntijat. Nyt pilviverkkoarkkitehdin rooli on noussut keskusteluun. Tarvitaanko sellaista ja mikä sen rooli nyt sitten olisi? Omasta mielestäni pilvessä on kyse sovelluksista ja niille tuotettavista yhteyksistä. Verkkoa tehdään pilvialustan palveluiden varaan ja niistä riippuen. Perinteinen verkkomaailma ja protokollat ovat jääneet pois, vaikka perusperiaatteet ovat toki taustalla. Kun pilven ominaisuudet kasvavat, myös verkkopuoli kypsyy ja monipuolistuu. Pilvialusta tarjoaa underlayn ja käyttäjä itse rakentaa sovellusten ja oman tarpeen mukaisen overlayn. Kyllä tähän joku verkkoasiaa ymmärtävä suunnittelija tarvitaan niin kuin kaikkeen infran ja palveluiden rakentamiseen. Muistutuksena vaan kaikkien hienouksien keskellä, että mitä monimutkaisempaa ympäristöä rakentaa, sitä hankalampi sen kanssa on elää. Luulenpa, että pilven kanssa toistetaan samat virheet, jotka on tehty aiemmin fyysisen verkon kanssa.

Gartner varoittaakin miksaamasta julkisia pilviä. Monipilvellä on vähän annettavaa jos aletaan poimia parhaita paloja eri alustoilta. Samaa voisi sanoa monivalmistajaverkosta. Valmistajien ja erilaisten laitteiden sekoittaminen tuottaa yleensä enemmän harmia kuin hyötyä. Jokaisella erilaisella raudalla, softalla ja ominaisuudella on hintansa. Joten oma neuvoni on keskittää mahdollisimman paljon samanlaisiin laitteisiin, vaikka maksaisi vähän enemmän ja tulisi turhaa kapasiteettia. Hinta on pieni verrattuna siihen mitä kuluu operatiivisiin askereisiin erilaisten ympäristöjen kanssa tusatessa.

SD-WAN/SASE-kentällä middle mile mania jatkuu. Fortinet, Paloalto, Versa ja Vmware liittyvät Googlen Network Connectivity Centeriin ja Megaport rakentaa oman edgensä Fortinetin SD-WAN:lla. Mihin SD-WAN ja SASE ovat menossa? Kun väki palaa toimistolle, SD-WAN:lle on taas käyttöä. SASE voi toimia agenttina päätelaitteessa, mutta on paljon agentittomia laitteita, jotka on helpointa tunneloida SD-WAN:n yli pilveen. SASE ja sen connectorit kuitenkin syövät pikkuhiljaa SD-WAN:n roolia. Monipilvi alkaa yhdistyä SASE:n kanssa, mutta siinä onkin SASE:n heikko kohta, joka kaipaa kehitystä. Tähän ovat iskeneet mm. Aviatrix, Alkira ja Prosimo. Myös datan ja sovelluksen käsittelyssä, suojaamisessa, reitittämisessä, pääsynhallinnassa, jne. on kehitettävää. Valmistajien välillä on eroja. Gartnerin suositus on valita valmistaja, joka antaa mahdollisuuden valita sopivan tavan ja paikan tarkistuksille, reititykselle ja lokitukselle.

Masergyn tutkimuksen mukaan viiden vuoden päästä SD-WAN:ia käyttää 92% yrityksistä. Suurin osa yrityksistä käyttää oman ympäristön ja julkisen pilven yhdistävää hybridimallia, mutta privaattiyhteys, esim. MPLS, on yhä vallitseva käytäntö paremman suorituskyvyn ja turvallisuuden takia. Suurin osa käyttää palveluntarjoajaa ja vain 23% rakentaa SD-WAN:n itse. Tärkeimmät syyt SD-WAN:lle ovat tehokkuus, ketteryys ja alhaisempi hinta. Tärkeimmät valintakriteerit ratkaisulle ovat turvallisuus ja luotettavuus.

Kyberturvallisuus

USA:n itärannikon polttoainejakeluverkon sulkeminen lunnasohjelman takia oli varotoimi. Tiettävästi isku kohdistui IT-järjestelmään, kenties tuotannon ohjausjärjestelmään. Darkside ryhmä itsekin myönsi, että heidän tehtävänsä on tehdä rahaa, ei aiheuttaa harmia yhteiskunnalle. 5 miljoonan lunnasrahat heille maksettiin, kun hyökkäyksen laajuudesta ei ollut varmuutta ja palvelu haluttiin saada palautettua nopeasti. Palautuminen tapahtuikin alle viikossa.

Samanlainen kohtalo kävi Irlannin terveydenhuoltojärjestelmälle. Koko järjestelmä piti varmuuden vuoksi ajaa alas, vaikka hyökkäys kohdistui dataan, ei operatiivisiin hoitojärjestelmiin. Raja näissä on häilyvä kun IT on olennainen osa kaikkea toimintaa. Hyökkääjien toimintaa, mielenmaisemaa ja liiketoimintaa valottaa rikollisryhmään soluttautunut toimittaja. Uhrit ovat valikoituneet tarkkaan ja valmistelut on tehty hyvin. Hyökkäys tapahtuu yleensä perjantai-iltana tai viikonloppuna kun henkilökunta on pois töistä.

Norjalainen Volue on toiminut esimerkillisen avoimesti kyberiskun hoitamisessa, kun usein niin moni yritys sulkeutuu ja jättää asian hoitamatta. Volue on jakanut hyökkäystietoa ja tehnyt yhteistyötä paikallisen CERT:n ja poliisin kanssa. Se on tiedottanut yksityiskohtaisesti tilanteesta päivittäin ja antanut johtajien yhteystiedot lisäkyselyjä varten. Avoimuus suojelee yritystä, työntekijöitä ja asiakkaita, ja luo uskoa yrityksen toimintaan.

Valtori on vahvistanut, että Pulse Securen haavoittuvuutta ei käytetty hyväksi tai sen todennäköisyys on pieni. Alkuun ohjelmistovirheestä johtuneet väärät hälytykset aiheuttivat huolen mahdollisesta hyväksikäytöstä.

Ensi kertaa historiassa pilven tietoturvaloukkausten määrä ylitti omissa tiloissa tapahtuvien määrän. Tänä vuonna 73% kyberiskuista tapahtuu ulkoisiin pilviresursseihin. Määrä on pompannut vuodessa huimasti ylöspäin. Mikään ei kuitenkaan osoita, että oma ympäristö olisi turvallisempi.

Suurimmat ongelmat pilven osalta ovat varastetut tunnukset, virhekonfiguraatiot ja tiedon kalastelu. Omissa ympäristöissä taas selkeästi suurin ja kasvava ongelma ovat lunnashaittaohjelmat. Kaikkiaan 61% ongelmista koski tunnuksia ja vain 3% johtui haavoittuvuuksista. Surullista, mutta totta: 20% internet-rajapinnan haavoittuvuuksista oli yli kymmenen vuotta vanhoja. Samaa tarinaa kertoo myös tuore avoimen koodin riskianalyysiraportti: 91% analysoiduista koodeista sisälsi avoimen koodin riippuvuuksia, joita ei ollut päivitetty kahteen vuoteen. 85% riippuvuuksista oli yli neljä vuotta vanhoja.

Wifi-standardista on löytynyt fragmentointihaavoittuvuus, joka vaikuttaa kaikkiin wifi-laitteisiin. Suunnitteluvirhe on ollut standardissa vuodesta 1997 ja sitä on onneksi vaikea hyväksikäyttää. Valmistajat ovat valmistelleet päivityksiä 9 kuukauden ajan yhdessä Wifi Alliancen ja ICASI:n kanssa. Nyt ne on julkaistu. ICASI:n sivulle on koottu lyhyt yhteenveto.

Nimipalvelimen Tsuname-haavoittuvuutta voidaan käyttää DDoS-hyökkäykseen toista nimipalvelinta vastaan. Vmware pyytää päivittämään kaikkia Vcenter-asennuksia koskevan vakavan haavoittuvuuden heti. Myös väliaikainen korjauskeino löytyy.

Cisco-kytkinkin voi joutua kaapatuksi, kuten kävi Init7:n verkossa. Kytkimen konfiguraatio oli korvattu propagandatekstillä hyväksikäyttäen Smart Install -ominaisuutta. Cisco Anyconnectin vanha haavoittuvuus ja SD-WAN vManagen ja Hyperflexin kriittiset haavoittuvuudet on nyt korjattu. Näitä ei ole Ciscon mukaan tiettävästi käytetty hyväksi.

Mikropalveluiden aikakaudella konttien tietoturvallisuus nousee usein esille. Kubernetes-klusterin hyökkäykseen voidaan käyttää perinteisiä menetelmiä: DNS spoofingia, overlay-verkkoja tai BGP-prosessia. API on verkon tulevaisuus ja HTTP on uusi TCP. Verkon tehtävänä on yhdistää ja erottaa eli suojata mikropalveluita. Tähän tarvitaan näkyvyyttä, jota tarjoaa keskeinen komponentti service mesh, kuten vaikka Istio tai Envoy, johon perustuu myös Vmwaren Tanzu. Service mesh on kuin palomuuri, kuormanjakaja ja sovellusvalvontatyökalu. GRPC-protokolla on kuitenkin kehittynyt niin, että se ei enää tarvitse erillistä service meshiä kylkeensä, vaan voi suoraan hoitaa kuormanjakoa ja palveluiden löytämistä. Palvelut voidaan gRPC:llä laajentaa suoraan hallintakerrokselle ilman proxyä.

Puolustusvoimat on julkaissut ensimmäisen raportin sotilastiedustelusta ja sen sisältö on yleiskuva toiminnasta, kuten saattoi odottaa. Raportin mukaan ulkomaiset toimivat ovat olleet aktiivisia Suomessa. HS uutisoi osaajapulasta, jota ei raportissa mainita. Samassa yhteydessä mainitaan seurannan tekniset vaikeudet dynaamisesti reitittyvässä verkossa. NSA on vakoillut eurooppalaisia poliitikkoja Tanskan tiedustelupalvelun avustamana operaatio Dunhammerissa vuosina 2012-2014. Tanskalaisia kaapeleita on kuunneltu ja sieltä on kerätty johtajien puheluita ja viestejä. Myös ruotsalaista ja tanskalaista puolustusteollisuutta on vakoiltu. Suomalaisten yritysten vakoilu on todellista, selviää Kauppakamarin selvityksestä.

Suomi on laatinut oman “Huawei-raaminsa” eli Traficomin määräyksen viestintäverkon kriittisistä osista. Määräys listaa viestintäverkon tärkeäksi määritellyt komponentit.

Tekniikka

Teknologian standardointi on joskus ymmärretty väärin. IETF ei ole poliisi tai regulaattori, joka valvoo tai tekee standardeja. Sillä ei ole mielipidettä tai tavoitetta teknisten asioiden suhteen. IETF on vapaaehtoisten työryhmä, joka tavoittelee yhteisymmärrystä asioista ja dokumentoi ne. Draftin voi kirjoittaa kuka tahansa ja mistä hyvänsä, kuten Googlen Warren Kumarin esimerkki näyttää. Jos draft on päätynyt RFC:ksi, se on jo hyvä yhteinen näkemys jatkokeskustelulle. Jos asiassa päästään vielä eteenpäin, RFC etenee BCP-tasolle (Best Common Practice) tai jopa standardiksi (STD) asti. Näiden eritasoisten dokumenttien noudattamista ei kuitenkaan kukaan varsinaisesti valvo, vaan yhteisö katsoo toimijoiden perään kollektiivisesti.

Kuuden vuoden jälkeen QUIC on saavuttanut RFC-statuksen numerolla 9000. Määritys on niin kattava, että se on jaettu neljään eri RFC:hen 8999-9002. QUIC ei sisällä HTTP/3:sta, jonka speksi tulee ulos myöhemmin.

EVPN, tuo paljon puhuttu standardoitu protokolla, ei ole standardista huolimatta täysin yhteensopiva eri valmistajien kesken. Protokollassa on paljon nyansseja, erilaisia toteutustapoja ja kehitysvaiheita, joten valmistajien kesken on jopa yllättävää, että jotain saadaan toimimaan. EANTC on tehnyt kattavaa testausta jo useamman vuoden ajan eri valmistajien laitteiden kesken. Pääpaino on operaattorimaailmassa ja siellä monivalmistajaratkaisuilla onkin paikkansa rajatuissa käyttötapauksissa. Yrityspuolella monivalmistaja-EVPN-VXLAN:lla ei ole sijaa, jos ei sitten halua tehdä elämästään vaikeaa ja harrastaa asiaa perusteellisesti. Ehkä jonain päivänä kehitys on siinä pisteessä, että valmistajat ovat oikeasti yhteensopivia. EVPN-VXLAN on myös Cisco ACI:n taustalla hieman omanlaisena toteutuksena. Kolmiosainen (1, 2, 3) vertailu kartoittaa ACI:n etuja muiden valmistajien EVPN-ratkaisuihin nähden tekniikasta operointiin ja kustannuksista laajennettavuuteen.

Telia Carrierin uudesta runkoarkkitehtuurista on julkaistu perusteellisempi juttu. Se perustuu siis Cisco 8000-sarjan reitittimiin, joiden sisällä on Broadcom Jericho2-piiri, ja Acacian 400G-koherenttioptiikkaan, jolla saadaan optinen kerros selkiytettyä. Verkosta on tehty yksinkertainen ja kustannustehokas. Colt tekee samaa modernisointia samanlaisella kokoonpanolla.

Arista tuo hankkimansa Metamakon avustuksella jälleen pienen viiveen kytkennän uudelle tasolle. Kymmenen vuotta sitten päästiin 500 ns tasolle ja se on nyt valtavirtaa. Uusi 7130-kytkin tekee L1-kytkentää, joten sähköisellä tasolla päästään 5 ns viiveeseen. Tällä menetelmällä paketeille ei vain pysty kytkimessä tekemään mitään. L2-kytkentä tapahtuu alle 100 ns viivellä. ASIC:n sijaan kytkentä tehdään FPGA:lla ja käyttäjä voi SwitchApp-sovelluksen avulla valita sopivat ominaisuudet käyttöön muutamasta eri profiilista. Pakettien aikaleimaus on huipputarkkaa 400 pikosekunnin tasolla.

Täytyy vaan ihmetellä Aristan paneutumista HFT-markkinaan, joka ei nyt kuitenkaan niin valtavan suuri ole. Myyttien murtaminen jatkuu. Tarvitaanko cut-through -kytkentää enää mihinkään? Ero store-and-forward -kytkentään oli joskus olemassa, mutta käytännössä nykypäivänä cut-through:lla ei ole juuri merkitystä. Varsinkin kun sille on monta rajoittavaa tekijää, jotka varmasti ovat lähes joka verkossa. Cut-through:ta ei voi tehdä kun nopeus muuttuu tai portissa tehdään puskurointia. Tämä tarkoittaa siis, että cut-through ei toimi jos kytkimessä on linjakortteja tai useampi ASIC. Lisäksi access-portin ja uplinkin välillä on aika varmasti aina nopeusero. Jäljelle jää siis vain paikallinen portista-porttiin kytkentä sopivalla raudalla jossakin niche-käyttökohteessa. Joka tapauksessa suurin osa sovelluksista ei näe eroa mikrosekuntien välillä.

Kun liikenne purskahtelee, tarvitaanko kytkimessä puskureita? No eipä juuri. Ulospäin suuntautuva liikenne on ongelma vain jos useasta portista tulee purskeista liikennettä samaan uplinkiin tai päinvastoin uplinkistä palvelinporttiin. Puskuroinnin ja viiveen sijaan on luultavasti parempi tiputtaa liikennettä hallitusti ja antaa modernin TCP-pinon hoitaa ongelma. Verkkopalveluiden virtualisoinnin (NFV) on myös esitetty vaativan puskurointia, mutta perusteet ovat yhtä heppoiset kuin muutenkin konesaliverkossa. Oikea paikka tehdä puskurointia on WAN-reunan reititin.

On hyvä muistaa, että sovellukset käyttävät IP-paketteja, isompia tai pienempiä, enemmän tai vähemmän ja erilaisilla sisällöillä. Ääni tai videokuva, ohjaussignaali tai valvontatieto on paketteja muiden joukossa, jotka kytkin tai reititin hoitaa eteenpäin samalla tavalla. Eiköhän ole aika julistaa myös sovellusten erityisvaatimukset kuolleiksi. Tavallinen ja keskinkertainenkin verkkoinfra hoitaa asiansa ihan hyvin ilman ihmeempää virittelyä jos muuten topologia ja toiminnot ovat kohdallaan ja sovelluspino toimii järkevästi.

Kytkimissä käytetään nopeaa CAM-muistia (Content-Addressable Memory) tallentamaan hakutaulukoita. CAM käyttää dataa hakuun toisin kuin RAM. Haku on myös rinnakkainen ja se voidaan tehdä sykleissä. TCAM (Ternary CAM) on yleisesti verkkolaitteissa käytetty muistityyppi, jossa on nollan ja ykkösen lisäksi kolmas “älä välitä”-tila. Siksi se sopii hyvin pakettien luokitteluun kun osa tiedoista voidaan maskata any-biteiksi. TCAM on yleensä melko pienikokoinen muisti, joten sen täyttymisestä vähänkään laajemmassa käytössä on syytä olla huolissaan. Muistia allokoidaan käytetyn datan mukaan. Verkkolaitteissa on yleensä erilaisia profiileja, joilla resursseja, esim. taulujen kokoja, yritetään säätää sopiviksi eri käyttötarkoituksiin.

18 vuotta sitten Alcatel osti Timetran ja toi L2VPN:t vahvasti osaksi MPLS:ää. Operaattorit innostuivat Alcatelin laitteista ja SAM-palveluprovisiointityökalusta. MPLS-hype vaihtui realismiksi. Timetran Timos-käyttöjärjestelmä vaihtoi nimeä myöhemmin SROS:ksi. 2015 Nokia osti Alcatelin. Viime vuonna Nokialta tuli uusi käyttöjärjestelmä SR Linux, joka seurasi Junos Evolvedia, jossa FreeBSD vaihtui Linuxiin 2018. Lähes kaikki verkkokäyttöjärjestelmät ovat olleet alun perin Linux-pohjaisia tai viimeistään nyt siirtyneet Linuxiin, joka on neutraali, avoin ja laajennettava alusta. Monesta käyttöjärjestelmästä on myös saatavissa konttiversio, mutta yllättävä kyllä Cumuluksesta ei. Mutta kyllä se sinne Dockeriin kuitenkin meni.

Wifissä monet toimijat ovat siirtyneet pilvihallittavaan ympäristöön ja sen myötä tukiasemista on tullut itsenäisiä toimijoita ilman kontrolleria. Kontrollerin etu on ollut liikenteen tunnelointi keskuspaikkaan ja toimintojen keskitys yhteen paikkaan. Kontrollerin mitoituksesta ja hajautuksesta on tullut ongelma. Voiko tunnelointia ja itsenäisiä tukiasemia yhdistää? Se vähän riippuu. Monella valmistajalla tuntuu olevan myös gateway-toiminto, jolla LAN:n tukiasemaliikenne saadaan kerätty ja välitettyä keskitettyyn paikkaan.

Telecom Infra Project (TIP) on julkaissut avoimen Openwifi-aloitteen, jolla pyritään tuomaan avoimia vaihtoehtoja wifin rakentamiseen erilaisista palasista. Openwifiin sisältyy raudan ja softan lisäksi erilaisia ominaisuuksia kuten meshing, RRM, Passpoint ja Openroaming. Yhteisössä on yli 100 yritystä laidasta laitaan. Whitebox-valmistaja Edgecorella on oma wifi-tuotelinjansa ja se osallistuu myös Openwifiin. Aruba ehti tuoda ensimmäisenä markkinoille Wifi6E-tukiaseman. Käyttökohteina mainitaan tiheät peitot kuten lentoasemat, stadionit, sairaalat ja luentosalit. Aruban strategiassa tukiasema on olennainen datankeräyselementti, joka syöttää tietoa käyttäjistä ja laitteista edge-alustalle.

AT&T on testannut Openroamingia Austinin urbaaniympäristössä. Tarkoituksena on näyttää, että wifi saadaan roamaamaan koko kaupungin alueella automaattisesti ja turvallisesti. Openroaming on lähtöisin Ciscolta, josta se siirtyi viime vuonna Wireless Broadband Alliancelle (WBA). Passpoint on Wifi Alliancen vetämä enemmän paikalliseen roamingiin keskittyvä teknologia. Openroaming on suurimmaksi osaksi rakennettu Passpointin päälle ja sen tarkoitus on tarjota laajempaa liikkuvuutta.

IoT-maailman nykyiset yhteystavat ovat saamassa haastajan Wirepassista, joka on Tampereen Yliopiston spinoff. Wirepassin tarkoituksena on tuoda markkinoille ensi vuoden aikana uusi kommunikointiprotokolla, jolla IoT-laitteet voivat kommunikoida hajautetusti keskenään ilman tukiasemia. Wirepass Private 5G käyttää vapaata 1,9 GHz-taajuutta ja tuttuja mobiilitekniikoita sovitettuna DECT-2020 -standardiin. Näin saadaan Zigbeetä suurempi 3 Mbps -nopeus, varmempi toiminta ja itsenäinen verkko ilman operaattoria.

20 vuotta olemassa ollut Zigbee Alliance nimenä häviää ja se brändää toimintansa uuden Connectivity Standards Alliancen (CSA) alle. Toiminta laajenee, mutta Zigbee pysyy tärkeänä kantavana voimana. Project CHIP (Connected Home over IP) on nyt Matter, joka pyrkii standardoimaan älykodin IoT-laitteiden kommunikoinnin. Amazon käynnistää kesäkuussa Sidewalk-verkkonsa, joka muodostuu kaikkien sen Echo-, Ring- ja Tile-laitteiden välille Bluetoothilla ja 900 MHz:n taajuudella. Sidewalk on vaihtoehtoinen mesh-verkko jos wifiä ei ole tarjolla. Ominaisuus on päällä automaattisesti, mutta sen voi myös kytkeä pois.

EU:n Galileo-satelliittinavigointijärjestelmään on tehty päivitys, joka tarjoaa nyt senttimetriluokan paikannuksen.

Operointi

Mielenkiintoinen psykologinen tutkimustulos kertoo, että paineen alla ihminen ajattelee liian vaikeasti. Ajatusten rönsyily on luontaista ja ratkaisemme ongelmia ennemmin lisäämällä kuin poistamalla jotain, vaikka yksinkertainen ratkaisu ongelmaan on usein paras. Kuormittavassa tilanteessa ihminen päätyy helposti helppoihin ja nopeisiin ajattelumalleihin, ja ei osaa ensimmäiseksi ajatella karsimista vaihtoehtona.

Go-kieli kasvattaa suosiotaan yleisesti ja myös verkon ohjelmoitavuudessa Pythonin rinnalla. Go on oikea ohjelmointikieli, jolla tehdään ohjelmia. Pythonia käytetään datan käsittelyyn. Verkon automaatiossa aletaan nähdä, että pelkkä konfiguraation automatisoiminen ei ehkä ollutkaan ainoa asia ratkaistavaksi. Konfiguraation luomisessa menee rutkasti aikaa ja vaivaa tietojen keräämiseen ja varmistamiseen. Muutos on monivaiheinen työnkulku ja testausta tarvitaan sen eri vaiheissa. Parhaimmillaan automaatio voi olla suljetun luupin työnkulku, jolle on määritetty tavoitetila. Verkkoa testataaan jatkuvasti ja huomatut puutteet ja viat korjataan nopeasti automaattisesti. Automaatioon ja testaukseen ei välttämättä sovi yksi ja sama työkalu, vaan eri toimintoihin joudutaan käyttämään eri ohjelmia.

Automaatiovaikeuksia taklataan erilaisilla työkaluilla. Jerikan yhdistää tietolähteen, Jinja2-tempatet, Gitlabin ja Ansiblen. Merlin kokoaa verkon tilatiedon CLI:n tai API:n kautta. Pandas on tunnettu Pythonin datankäsittelykrijasto, mutta verkkoihmistenkin kannattaisi huomioida se mm. Excel-datan, aikasarjojen ja Batfishin takia. Muistutuksena yhteenveto Python-työkaluista verkkokäyttöön. Automaation oppimiseen apua tarjoaa Packet Coders.

Ansiblesta on julkaista versio 4.0.0.0. Täytyy sanoa, että Ansible ei ole sieltä selkeimmästä päästä. Moni asia herättää kysymyksiä: rakenne, versiointi, riippuvuudet, yhteensopivuus, hajanainen dokumentaatio, käyttötarkoitus, jne. Uuden version 4.0.0 release notes löytyy Githubista. Ansible yrittää myös ratkaista työnkulun ongelmaa ja verkon tilatiedon synkronointia kokoelmien ja resurssimodulien avulla.

Verkon valvonnassa pitäisi myös päästä enemmän liiketoimintatasolle ja tuottaa jalostuneempaa tietoa verkosta ja liikenteestä. Kustannustieto voi olla yksi ylemmän tason parametri, jota seurata. Liikennettä voi olla tarpeen optimoida jos siirretyt tavut maksavat. Tiedon kaivamiseen tarvitaankin jo vähän parempia välineitä ja eri lähteiden yhdistelyä. Flow-tieto on yksi monipuolinen lähde liikenteen seurantaan. Linuxin switchdevilläkin voi generoida sflowta yhdenmukaisesti kaikista alustoista. Mellanoxin Spectrum-piireillä varustetuista kytkimistä voi myös kerätä tietoa pakettien tippumisesta ja niiden syistä What Just Happened (WJH) -ominaisuuden avulla. Tiedon kun heittää aikasarjaan ja visualisointiin, niin saa hyvää lähes reaaliaikaista tietoa pakettien käytöksestä. Jos sattuu käyttämään Cumulus Linuxia, voi valvontaan käyttää NetQ:ta, joka on muutenkin näppärä työkalu Cumulus-verkon hallintaan ja valvontaan.

Kaupallisella puolella Juniperin monivalmistajakonesalihallintatuote Apstra päivittyi 4.0-versioon. Contrail on heitetty pois ja Apstraa tarjotaan nyt oletuksena konesalifabricin hallintaan. Uusina ominaisuuksina on NSX-T 3.0 -integraatio, Sonic-tuki ja yhteysmallit liitettäville laitteille. Ennestään Apstra tukee Juniperia, Ciscoa, Aristaa ja Cumulusta. Apstraa voi kokeilla ilmaiseksi kirjautumalla Juniper vlabsiin.

Euroopassa vähemmälle huomiolle on jäänyt NIS-direktiivi, joka on ollut voimassa muutaman vuoden. Sen tarkoituksena on ollut GDPR:n tapaan reguloida tärkeitä IT-palveluita ja palveluntarjoajia, mutta käytäntö on ollut lässähtänyt sekavien käytäntöjen ja tulkintojen vuoksi. Nyt NIS2 yrittää korjata tilanteen tarkentamalla keitä direktiivi koskee. Listalla on mm. IXP:t, CDN:t, konesalit ja nimipalvelut. Tarkoitus on hyvä eli saada jotain rotia huonossa jamassa oleviin toimijoihin ja palveluihin. Tämä tarkoittaa myös lisääntyvää byrokratiaa ja sakon uhkaa jos asiat eivät mene hyvin.

Jos DNS-data kiinnostaa, tässä on lueteltu palveluita, jonne on kerätty avointa zone-dataa. Disney Streamingin Hulu kertoo miten iso nimipalveluinfra ja -palvelu rakennetaan. Facebook puolestaan esitelmöi miten heillä ajetaan BGP:tä konesalissa. Facebook on myös automatioinut peerauksen käyttämällä PeeringDB:tä tunnistautumiseen ja pyynnön validointiin.

Microsoft on avannut dataa konesalikytkimiensä vioista. Verkko tuntuu olevan luotettava, mutta laitteissa on valmistajakohtaisia eroja niin, että toinen merkki on kaksi kertaa vikaherkempi kuin toinen. Microsoft ei kerro mitä laitteita se käyttää, mutta tietojen mukaan ainakin Aristan ja Mellanoxin kytkimiä. Arista varmaankin suoriutuu ihan hyvin, koska Microsoft on niin iso asiakas Aristalle. Mutta itse häiriöitä oli kolmen kuukauden jakson aikana 180000 kytkimessä 4681. Käytettävyys oli kaikkiaan 98%, mutta omalla Sonic-käyttöjärjestelmällä käytettävyys nousi 99%:iin. Katkot olivat lyhyitä alle kuusi minuuttia tai sitten laite kuoli kokonaan ja täytyi vaihtaa. 32% oli laitevikoja, 27% sähkökatkoja ja 17% softabugeja.

Yritykset ja tuotteet

Ohjeita IT-alalla selviämiseen antaa Greg Ferro kirjassaan Enterprise IT Career Handbook. Siitä saa hyvän kuvan miten ala muuttuu ja miten luovia mukana menestyksekkäästi. Myös pehmeä puoli on nykypäivänä erittäin tärkeä osa osaamista ja pärjäämistä. Tekniikan osaamisella pääsee sisään, mutta pehmeillä taidoilla pitkälle. IT-alan haastatteluja itsekin aika monta läpikäyneenä voi sanoa, että haastattelujen tasoero on järkyttävän suuri. Usein yritys yrittää antaa ruusuisen kuvan omasta toiminnastaan. Joissakin isoissakin yrityksissä en ole saanut kysymyksien jälkeenkään selvää kuvaa mitä siellä oikein tehdään ja miten. Rekrytoijilla ja haastattelijoilla olisi tosi paljon parannettavaa. Teknisten detaljien ja kikkakysymysten sijaan voisi kysellä avoimia kysymyksiä ja keskustella vuorovaikutteisesti. Ja ihan ensimmäiseksi pitäisi saada työnkuva selväksi, että hakija tietää mihin edes on hakemassa.

Digitalisaatio on saanut jonkinlaisen buustin pandemia-aikana. Sofigaten tutkimuksen mukaan kuitenkin digitalisaatio on enemmän strategiatason höpinää kuin tekoja. Yritykset myöntävät, että niiltä puuttuu selkeä suunta viedä asiaa eteenpäin. Pääsyynä huonoon suoriutumiseen ovat osaamisen ja resurssien puute sekä muutosvastarinta. Etätöissä Suomi kyllä loistaa ja pääsee EU:n ykköseksi 25% etätyöosuudellaan.

Yrityksistä on vuosien mittaan valunut pois osaaminen yritysten oman toiminnan seurauksena. Harvassa paikassa on enää hyvää osaamista ja innovointia kun kaikki on ulkoistettua ja ostopalvelua. Osaajat on ajettu ulos ja yrityksen rooliksi jää ostaminen, markkinointi, taloudenhoito, sopimushallinta ja prosessinpyöritys. Hienoa, eikö? Pohjois-Amerikassa on kyselty kuka hävitti paikallisen telecom-valmistuksen. Lucent ja Nortel ajettiin eurooppalaisten ja kiinalaisten syliin ja Amerikka jäi muiden varaan.

Israelin tietoturvasektori sentään kukoistaa ja menestykselle ei näy loppua. Viime vuonna 31% maailman kyberinvestoinneista meni Israeliin. Aktiivisia kyberturvayhtiöitä on 443 ja 25% niistä on ostettu tai sulautettu viimeisen kuuden vuoden aikana. Pelkästään tämän vuoden maaliskuun aikana kymmenen Israelista lähtöisin olevaan yritystä oli noussut yli miljardin arvoisiksi yksisarviseksi.

Cisco on tehnyt urakalla yritysostoja. Sedona hankittiin vahvistamaan reititetyn optisen verkon hallintaa ja Kenna Security haavoittuvuushallintaa. Socio Labs täydentää Webexiä online-alustoissa. Cisco on puhunut julkisuudessa aikeistaan tuoda tiettyjen tuotteiden valmistuksen hinnankorotukset asiakashintoihin. Myös Aristalla on ennennäkemättömän vaikeaa tuotteiden valmistuksen kanssa. Paloalto sen sijaan porskuttaa softan avulla. Jo 40% palomuurimyynnistä on softaa ja osuuden oletetaan kasvavan tasaisesti, vaikka rautalaitteet ovatkin edelleen merkittävä tulonlähde.

Juniper on hypännyt mukaan SASE-peliin omalla tavallaan. Security Director Cloud on hallintaportaali sekä verkko- että tietoturvapalveluihin, jotka liikkuvat hitaasti kohti täydellistä SASE-maailmaa. Palvelut voivat olla omassa verkossa, pilvessä tai jossain välillä. Siirtyminen on hidasta ja Juniper uskoo, että oman verkon palvelut ja rauta pysyvät mukana vielä pitkään. Tätä siirtymisajan monipalveluympäristön operointihaastetta ratkotaan keskitetyllä hallintatyökalulla.

Extreme julkaisi Copilot -AIOps-tuotteen, jonka tarkoituksena on helpottaa verkon valvontaa ja viankorjausta. CloudIQ-hallinnan kyljessä Copilot tuottaa normaalikuvaa verkon toiminnasta ja sen jälkeen se osaa poimia poikkeamat ja tehdä niistä päätelmiä. Tuttua huttua esim. Aruba Centralista ja Mistin Marvikselta. Lisäksi Extreme julkaisi Packet Broker -kytkimen 9920, joka on rakennettu P4-ohjelmoitavan Tofino2-piirin päälle. Kytkimellä voidaan monitoroida ja käsitellä verkkoliikennettä tehokkaasti. Extreme puhuu kovasti haluavansa päästä mukaan 5G-ympäristöihin. Saa nähdä onnistuuko se.

Internet

Internet-kartta 2021 kuvaa suurimmat internet-palvelut vanhan ajan kartalle ryhmitellen ne maiksi ja maanosiksi. Merikaapelikartasta on julkaistu uusi päivitys, jossa kaikki maailman 464 kaapelia ja paljon statistiikkaa ja infoa merikaapelien ympäriltä.

Ipv4-osoitteiden markkinahinta on noussut reippaasti viime vuoden aikana ja saavuttanut uuden huipun 36 dollaria osoitteelta.

Qrator Labs on julkaissut tilastoja 2021 Q1:n DDoS-hyökkäsyksistä ja BGP-häiriöistä. Huomiota herättää “häiriö-AS:ien” suuri määrä: noin 100000 rekisteröidystä AS-numerosta melkein 2% vuotaa kuukausittain vääriä reittejä ja lähes 10% osallistuu BGP-kaappauksiin. Häiriöt ovat yleensä pieniä ja paikallisia, isoja tapahtumia on vain muutamia kuukaudessa. Internet-reitityksen häiriöt ja turvattomuus heijastuvat myös palveluihin ja käyttäjiin, mikä jää usein vähemmälle huomiolle käytettävyyden taakse. Reitityshyökkäyksillä voi paljastaa esim. anomyymin käyttäjän tai salatun liikenteen. Internet-palveluiden ja reitityksen pitäisikin paremmin kohdata ja toimia ristiin, eikä yrittää toimia itsenäisinä kerroksina.

RPKI:lle on siis tarvetta. USA:n suurin kaapeliyhtiö Comcast on liittynyt mukaan reittien validointiin. Työtä on tehty pitkäjänteisesti vuodesta 2014 lähtien. BGP-valheet on minulle uusi käsite. Internetissä AS-polun pitäisi kertoa pakettien reitin, mutta datapolku ei aina täsmääkään AS-polkuun. AS voi tahallisesti muokata AS-polkua, houkutella liikennettä itseensä ja välittää sen jälkeen liikenteen eri tavalla eteenpäin, tai liikenne voi tahattomasti ohjautua väärästä paikasta ulos.

Laajakaistayhteyksien taistossa BT:n Openreach on pannut tuulemaan Britannian kuituasennuksissa ja homma etenee odotettua nopeammin ja alemmilla kustannuksilla. Tavoitetta on nostettu 25 miljoonaan kotiin vuoteen 2026 mennessä. Euroopassa kuidun käyttö on hyvin vaihtelevaa maittain. Islanti, Espanja Ruotsi ovat kärjessä ja Suomikin on ihan kohtuullisesti keskikahinoissa.

Satelliittikilpa herättää hieman ihmetystä. Kilpailijoita riittää länsimaista ja Kiinasta, ja usko on kova kuitenkin niin rajallisessa markkinassa ja teknisesti vaativassa ja kalliissa toteutuksessa. Starlinkistäkin on saatu negatiivisempia arvioita. Satelliittiyhteydellä on omat rajoitteensa, katkoja esiintyy ja reaaliaikainteraktiiviset sovellukset eivät toimi. Antenni vaatii näköyhteyden satelliittiin ja avaruudessa alkaa olla ahdasta ja vaarallista. Satelliittiyhteys on eriarvoinen, koska se rajoittaa tiettyjen sovellusten käyttöä. Verkkoneutraliteettikeskustelu käytiin vuosia sitten mobiiliverkkojen yhteydessä. Silloin syy oli hallinnollinen. Nyt tekniset ominaisuudet nousevat esille ja eriarvoistavat maantieteellisesti alueita. Tietysti satelliiti on parempi kuin ei mitään.

Loppupeleissä selvisi myös miksi amerikkalainen ei käytä internettiä. Syy ei ole yhteyden saatavuus, hinta, päätelaite tai tietoturvauhat. Yksinkertaisesti internetin käyttö ei vain kiinnosta.

Tapahtumat

RIPE82 tarjoaa paljon esityksiä internet-maailmasta. NFD25 esitteli Nokian, Aruban, Juniperin, Vmwaren, Intelin, Ipinfusionin, Pathsolutionsin ja Arrcusin tuotteita. OARCH35 puhui DNS-asiaa, josta Geoff Huston kirjoitteli yhteenvedon ja lausui oman arvionsa.

RSA Conferencen tärkeimmät uutiset on koonnut SDxCentral:

SecurID-tokenien hakkeroinnista on kulunut 10 vuotta ja vaitiolosopimus on umpeutunut. Nyt osalliset kertovat mitä 2011 tapahtui. Mielenkiintoista ei ole niinkään hakkeroinnin tekninen toteutus, vaan se miten asia hoidettiin ja miten se vaikutti ihmisiin. Isoja asioita käytiin läpi: salailun ja avoimuuden kädenvääntö, vainoharhaisuus ja luottamuksen menetys, tietoturva-alan viattomuuden loppu ja nykyisen toimintakentän muotoutuminen.

Kuukauden metsästysretki

Atlantin ylittävän Amitié-merikaapelin pää oli talvella jätetty merenpohjaan tulevaa asennusta varten. Nyt kaapelin pää Ranskan rannikolla onkin kadonnut oletetusta sijainnista. Sukeltajat on lähetetty paikalle etsimään kaapelin päätä

Networking Industry Update 2021-04

Telcos

The big news from the 5G world was when new generation operator Dish chose AWS as its cloud partner. Dish is building a fully cloud-based standalone 5G Open RAN into a public cloud using AWS Local Zones and Outposts. Almost everything other than antennas and cables moves to the cloud. AWS will customize the platform for this purpose and edge platforms allow the service to be distributed close to users with delays of less than 10 ms. The AWS network is used as the backbone network between edge and data center. The cloud’s APIs and range of services facilitate service development, and it is hoped to attract business customers to Dish’s network.

This is a bold move and the first significant step towards a cloud-native operator since the pioneering work done by Rakuten. Dish spent 18 months comparing different options before ending up in AWS. AWS is involved in joint development, which means all parties have something new to learn and develop. The final network parameters will take shape over cooperation and time. Dish wants to keep the number of partners small and the architecture simple. Through AWS, Dish benefits from AWS’s other telco partners and expert services. In the background, however, there is a palette of former suppliers and technology choices. What happens to Vmware, Mavenir or x86 platforms, for example?

The benefit generated by AWS is also reflected in unit costs. Analyst says Dish’s network unit cost should be 25% of Verizon’s equivalent and should be able to win a significant number of customers. The target group is undoubtedly enterprises. The network building will begin this year from Las Vegas and 20% population coverage will be achieved by 2022. Later, 70% of population coverage is targeted.

The case is an interesting new world example of the modern operator. Dish jumps deep into the unknown. On the other hand, it has been testing or evaluating solutions for a long time. AWS is probably fully committed because it also has a big future in its hands. The cooperation pattern is interesting because there are no ready-made solutions and the service is formed along the way through practice. This is a modern iterative development. Both sides need to be flexible and compromise, but the result is probably good.

Recalling history, Dish still has 9 million CDMA subscribers, which network operator T-Mobile threatens to throw out when it shuts down its CDMA network by the end of this year.

What does a 5G network cost? The U.S. government has commissioned a report on mobile network pricing components and the FCC has released a detailed pricing report produced by Widelity. The price list contains hundreds of components and describes well the relationship between hardware and installation work. For example, a 50,000 subscriber 5G non-standalone EPC will cost $ 0.25-1.2M installed, depending on the manufacturer. The comparison is hampered by the fact that large buyers have their own discount prices and there are price differences between manufacturers. Also interesting is Nokia’s comment that the Open RAN solution is priced the same as the traditional manufacturer’s integrated solution. This has also been observed in fixed networks in whitebox and disaggregation models. Price is not necessarily the most significant competitive factor, but benefits must be sought from features and operating models, for example. The price can always be pushed down with large purchase quantities, regardless of the solution.

Now that masts have been largely outsourced to different ownership, the ownership model of network equipment may also change in the future. The mast operator can acquire network equipment and lease it on to network operators. The split investment and pay-off model are attractive. Perhaps this will further strengthen the division of infrastructure and service operators. In all IT, there seems to be the trend that infrastructure concentrates on few focused actors anyway.

What is the difference between 5G private networks and network slicing? A private network is a more independent and static campus network with its own authentication and authorization services managed by the company itself. The private network is usually limited regionally, for example to a factory campus where wifi has traditionally been used. The price is expensive, but the security is good.

Network slicing is a more operator-controlled entity that shares a virtual dynamic slice of the network for customer use. The network slice is defined by the IETF as an end-to-end logical topology with a service level objective. However, Slice also has its own management layer through which the customer can operate their own slice. Network slicing requires 5G standalone core, which so far are rare. The network supports a “handful” of slices that are limited by physical capacity. However, resources and features can be allocated dynamically according to usage. What it is then remains to be seen. The network roams throughout the public network area of ​​the operator network, providing a comprehensive WAN dimension. The price is cheaper than in a private network. Network slicing and NaaS is 5G’s future monetizing model, expected to be a reality in a year and a half.

In Finland, the joint network of DNA and Telia will expand from the northeast to the Raahe-Loviisa line, covering more than half of Finland’s area in the future. Population coverage will double during the three-year construction project. At the same time, Huawei will be replaced by Nokia.

Elisa has stopped selling 10M and 30M VDSL subscriptions to small properties and the subscriptions in the rental network have been terminated. 50M and 100M subscriptions will continue to be sold when technically possible, meaning that the DSLAM is a few hundred meters from the property. ADSL has been down for a couple of years. A mobile network is offered as a replacement technology.

Fixed mobile broadband is an interesting service. Fiber has been assumed to be future proof, but in terms of price and availability, the market has begun to turn to mobile broadband. This is partly due to the heavy advertising of mobile operators, but consumers are also interested. Of course, the fiber has a different level of properties than mobile, but mobile is well enough for the basic consumer. Experience with 5G broadband shows a speed sailing between top speed and a tenth of it, but response times are good. Both the geographical location and the location of the antennas matter. It remains to be seen how the growing number of users affects the quality of service.

In the US, the experience with T-Mobile’s fixed wireless access FWA is similar. Underlying questions are about whether the network has enough capacity and will it meet the demand? T-Mobile says it will only sell existing capacity. The goal is to cover 70% of customers. In any case, the fixed broadband’s return is poor compared to a mobile subscription where T-Mobile makes 40 times the profit per gigabyte.

Uplink capacity is a major concern, especially now during telecommuting. The current downlink-uplink ratio of 10:1 does not meet the need that has shifted to a 5:1 ratio in a few years. According to a Comscope study, uplink capacity upgrades have been forgotten for the past ten years. The uplink capacity is so limited that there is not much room for bursting or growing. Last year, the downlink/uplink ratio peaked at 15:1 and has fallen slightly to 12:1.

Even Verizon says fixed mobile broadband is not a fiber-like service, but it is well enough for users. As good self-criticism, Verizon is proposing an improvement in advertising that misrepresents the speed and reliability of the mobile network. Fiber operators, on the other hand, emphasize the benefits of fiber, like capacity symmetry and reliability. Lumen’s strategy is to target fiber to urban areas where coverage peaks are already at 40% level. In reality, the way broadband is implemented depends on the region and its characteristics. Fiber and mobile will certainly work in parallel, offering slightly different connections depending on need and availability. Satellite does not actually compete with these but offers an alternative in more remote areas.

In a cable network, speeds increase to multi-gigabit speeds. The DOCSIS3.1 technology has obtained 2.2Gbps and the DOCSIS4.0 Full Duplex technology has achieved symmetrical 4Gbps in field tests.

Then a little price and speed data for subscriptions: What does 1GB of mobile data cost in 230 different countries? And what is the price of broadband in Europe compared to income? The Ookla Speedtest index for Finland shows that mobile data is relatively homogeneous and there are actually larger differences in the fixed networks. On average, the fastest fixed was Telia and the fastest mobile DNA. An OpenVault broadband study highlighted how upstream capacity utilization has increased by 63% last year. The pandemic and teleworking probably changed the use of capacity permanently and now frequency-based transmission methods are in distress when capacity needs to be reallocated from scarce frequency reserves.

In other network technology, Verizon is building a high-precision positioning system for one hundred major cities in the United States. Hyper Precise Location HPL improves the current 3-9 meter positioning accuracy to the centimeter level and also supports the vertical dimension. Precise positioning prepares for autonomous vehicles and drones as well as automatic operations, for example.

The US ATSC 3.0 TV standard includes support for IP traffic and multicast. Synthesis Cloud is planning a nationwide broadcast network and CDN on top of it, which would reduce the amount of unicast traffic on the networks. The problem is the high cost of building a separate network. More likely, 5G broadcasting will break through in the coming years and TV broadcasting can be transmitted over the same existing 5G infrastructure.

Cloud and SASE

There are new AWS releases for Macsec support in 10G / 100G Direct Connect. VPC Reachability Analyzer automates connectivity checks and problem detection between two devices within a VPC. Route 53 Resolver DNS FW adds firewall into the DNS service. The availability of Transit GW Connect is expanding in Europe. According to experiences, AWS Transit GW will be up and running in 1.5 minutes, while it will take 15 minutes to install from Azure’s corresponding Virtual Hub. Similarly, setting up a VNET / VPC connection in AWS takes less than a minute, while in Azure it takes 3-15 minutes.

A common design tip is to know the weak points of the cloud. Everything breaks down sometimes, so you should understand the single points of failure and avoid them. The problem is that whenever you remove a failure point, it adds complexity and cost. In other words, the goal would be to seek a suitable tolerable risk in which the business is running at a sufficient level. It is not IT’s own complete house of cards that is being built, but rather you should accept certain shortcomings and be satisfied with a good enough solution.

In the U.S., a man was planning to blow up the Internet by installing a bomb in an AWS Virginia data center. However, the FBI caught the man when he tried to buy explosives from a cover agent. The man received 20 years in prison. There is a persistent myth in the media that 70% of Internet traffic passes through Northern Virginia. This cannot be true. Although there is a lot of cloud capacity in the area, the amount is about 30-40% of everything. Only 9% of North American data centers are in Northern Virginia and only 23% of the world’s Internet capacity is even connected to the US.

With cloud services, the term “middle mile” has entered the market. What is it? It is a new segment that connects the company to the cloud but differs from the traditional operator WAN. The segment includes all operators and services that provide cloud connections directly or indirectly. SD-WAN is one part of this segment, but so is the IXP, private connections, or other connections of service providers. Greg Ferro describes well how the corporate network has evolved into a complex tangle with distributed cloud services and workforce and what kind of things companies need to ponder.

How do colo providers position themselves in this world of hybrid cloud? Equinix operates more than 200 data centers around the world and defines itself as an integrator that provides services to help customers use cloud services. Ouch, the hybrid cloud and the edge are full of terrible jargon that doesn’t reveal much concrete. Equinix can provide centralized already available connections to cloud services and bring the cloud services closer to the customer through its regional data centers. Equinix relies heavily on partner services to which it integrates its own technology.

Snarky statements have been extracted from the Linux Foundation’s State of the Edge report. If operators invest in a telco-edge, they need to be shown money and offered low-hanging fruits in six months. What even is the edge? The scale is wild, there can be a 9 magnitude difference between the smallest and largest implementation. Hardware is edge’s nasty thing. The best space, electricity, and connectivity are in data centers, but data centers generally do not provide cloud-level services. Much of the data produced by edge don’t even end up in the cloud. A good point is also that edge is also very much about operating a new kind of environment and providing a service.

When services are in the cloud, the network should also be able to cooperate with cloud-native applications. Cisco has initiated a software project to build a cloud-based SD-WAN (CN-WAN). Today, the SD-WAN is a separate component that sails in the dark without realizing anything about the applications. The goal is to make a reference implementation of how Kubernetes application metadata could control and optimize network traffic.

Oracle will sign up late to the SASE game, as it did with the public cloud. But it will still be one of the first public cloud SASE providers. The tactic is to use partners and invest heavily in the SASE portion in particular. In addition to previous partners Zscaler and Paloalto, Checkpoint’s Quantum Edge firewall feature has now been added. Oracle’s Talari SD-WAN can take advantage of Checkpoint’s firewall software. The OCI cloud already has SWG, CASB, and ZTNA features, complemented by a partner firewall feature. The distinguishing factor is how OCI can integrate session-level protocols such as SBC and SIP into SASE. The question then is who uses these protocols in the cloud or at all? Oracle seems to be a quite conservative platform itself or has its own genre of conservative clients to serve.

Vmware also packages remote tools into Anywhere Workspace. Versa Titan positions itself as a lightweight SASE product for small businesses which can be on-demand. 600 students have graduated from the Cato SASE certification and the certification can be completed free on the web.

Cyber​​security

The White House officially named the Russians the perpetrators of the Solarwinds attack. The Chinese took advantage of Pulse Secure’s critical zero-day vulnerability. The target was the partners of the US Defense Administration, but also Finnish government ICT centre Valtori. The attacks began as early as August 2020 and were found by FireEye earlier this year. Pulse vulnerability exposure can be checked with a published tool. The vulnerability can be temporarily blocked and a fix has now been released.

Another big attack happened in January to the Codecov software testing company but was discovered not until April. Codecov itself is a small 35-person company, but it has 29,000 customers with large and significant application vendors. Hashicorp, known for its infrastructure code tools, has recently registered among the victims. Malicious code may have been entered into Hashicorp’s programs, but no indications have been found. In this case, too, Codecov has heard its credit for poor security practices. The Bash Uploader uses the Bash script and Curl to upload the user’s CI environment variables, that is, all IDs, keys, and tokens, unencrypted to the Codecov service, and in this case also to the attacker’s server. Initially, the attacker entered Codecov’s service, apparently using leaked credentials during the Docker image creation process.

The Cisco Small Office Router RV series has a critical vulnerability, but it is no longer being fixed as equipment has dropped out of support and users are encouraged to upgrade to newer models. Cisco SD-WAN vManage also has a critical vulnerability that needs to be fixed. Users of FortiOS servers are warned of attacks by state actors. The Cring ransomware strikes industrial companies using a vulnerability in FortiVPN. There are several vulnerabilities in Aruba’s Clearpass Policy Manager that have been patched.

Namewreck vulnerabilities have been identified in the DNS implementation of the FreeBSD TCP/IP protocol stack and affect a wide range of millions of IoT and IT/OT devices. The study found that many manufacturers have difficulty interpreting DNS standards and the same error was present in most of their products. This raises the question of why the standard is written so poorly and vaguely that half of the implementations are faulty.

The world’s most dangerous botnet Emotet removal from contaminated machines was activated on April 25 as a result of international cooperation between authorities. According to Cloudflare Q1 statistics, the highest number of DDoS attacks were targeted to service providers. The rising trend was the use of the QUIC protocol per Jenkins and Teamspeak3 servers. There are few large attacks and 97% of cases are smaller than 1 Mpps or less than 500 Mbps. The duration of attacks was also less than an hour in 90% of cases. Akamai talks about a fairly unknown attack using the DCCP protocol, which in practice is rather rare because the protocol is not commonly used. There are an estimated 20 million routing loops on the Internet in almost one in three AS domains. It’s just because the packet bounces between two routers when routes point in opposite directions. However, depending on the TTL of the packet, they can act as more or less amplifying DDoS attacks. By using 6 Mbps of UDP base traffic, the 10G link can be filled up and 60 Mbps is enough to fill the 100G link. Routing errors should be corrected by each operator and there are also free tools for detection.

According to the Verizon Mobile Security Index, businesses continue to fail in the basics. These include changing the default password, encrypting data, restricting access, and regular security testing. According to a SANS study, the concerns about accidental cloud misconfiguration increase, but in reality, less than half of those concerned have actually made a mistake. The number is still large and reflects the impact of agile changes in complex environments.

Equipping a smart factory with sensors and controls exposes it to threats. According to a study by Trend Micro, 61% have suffered from security problems in smart factories and 43% have suffered downtime due to attacks for several days. Development is ongoing and joint guidance and cooperation would be the most effective way to raise standards and prevent risks.

Microsoft has released the open-source cyber-attack simulator CyberBattleSim, which it uses to illustrate how AI can analyze and prevent attacks.

All devices connected to the Internet are exposed to threats and therefore devices usually need to be hardened in some way. The protection of Mikrotik RouterOS and the hardening of the devices are thoroughly covered in the video and presentation. Linux runs in the background of many devices and hardening it is complex and hard work. In the disaggregation model and open-source environments, hardening usually has to be done by yourself. The user can outsource the hardening work to a vendor, who will handle the it in their own way. However, it does not remove the user’s responsibility for the vulnerability of the infrastructure. While the work is outsourced to the manufacturer, some features are abandoned. This tradeoff is good to keep in mind.

Technology

Do low latency switches really matter? I have never understood what it means to shave nanoseconds in the world of High Frequency Trading. In HFT, everything from applications to the operating system and infrastructure is certainly optimized, but really, what ten or a hundred nanoseconds can affect in the whole system? At least for us mortals, it is irrelevant, because there is always far more delay in the infra-application layers than in the network switching. The transmission delay over long distances still matters.

Low latency switches are advertised for storage traffic use, but losslessness is also important for disk protocols, so even large buffer switches are profiled for storage switching. Fast switching and buffering are opposite, and in general, buffering is considered worse in TCP traffic than quickly dropping packets. Let the protocol handle retransmission quickly. It can now be officially said that FCoE is dead. No one is marketing it anymore and the user experience turned out to be bad.

Rumors say AWS is designing its own switch ASIC and is also expected to happen. AWS, like many others, has a commercial difficulty with Broadcom and the pressure for another solution is strong. Old Broadcom introduced merchant silicon to the market and committed customers to the products. According to speculation, the “New Broadcom” brought by Avago wants to price products more aggressively and benefit from the bottomless wallet of hyperscalers. Something about the scale tells the fact that a typical cloud data center has 100,000 servers that require about 4,000-6,000 switch ASICs. In total, AWS could have 480,000-720,000 switch ASICs on its own network. With this scale, you can easily justify more cost-effective solutions and own product development. AWS makes its own network operating system and can port it to any platform. However, designing ASICs is a very special job and AWS also needs outside help. Speculation is to use the people of Annapurna Labs acquired in 2015 or buy Xsight Labs or Innovium.

Cisco has many different network operating systems, a little too many. Here’s an explanation of them all using the cows.

Openflow wasn’t a real success, but it led us to new kinds of things. Centralized management and APIs were the main contributions to the subsequent development. The development of Openflow started with the control plane, but it also resulted in the programmability of the data plane and later a common P4 language. There was also pressure to make the configuration interface programmable and it resulted in gNMI, which replaces the traditional CLI. Nevertheless, Openflow created SDN and good interfaces opened new possibilities of fully software-based networks.

New concepts have been introduced to building networking lab. Containerlab is a platform for container-based network devices where you can quickly set up a virtual network. The platform can also boot traditional virtual machines. Netsim-tools is a virtual lab setup code based on Ivan Pepelnjak’s work on Vagrant, Libvirt and Ansible. It can be used to quickly create your own topology based on the descriptive YAML files. Support for routing protocols and manufacturers is quite comprehensive.

Once again, x86 hardware has got grand performance numbers using VPP: 1 Tbps and a billion packets per second on the server. VPP is an open-source version of Cisco’s Vector Packet Processing technology that can run high-performance packet forwarding on x86 hardware. So what do you do with this? VPP can be used to build powerful software-based network and security functions such as firewall, VPN tunneling, SD-WAN, or SASE.

According to statistics, 100G is now the most popular speed in data centers. The number of 100G ports shipped exceeded the number of 10G ports. Arista grabs nearly 40% of the cumulative branded switch shipments and Cisco takes 40% of the profits, respectively.

Interesting information from Japanese operators says that cosmic rays cause 30,000 to 40,000 network failures a year in Japan. The failure occurs when cosmic rays meet atmospheric oxygen and nitrogen, releasing neutrons that collide with electronics, corrupting them. Many of these soft failures are corrected on their own after a while with protective devices, but in more serious cases, the devices also might get crash and can cause bigger problems. The number of problems, of course, increases as the number of electronics and dependence on it increases. Finding the causes of the problems and inventing the means of resistance is difficult because the disturbances are not reproducible.

Telia Carrier’s podcast series has a lot of good topics and guests that give you an idea of ​​where the networking industry is going and how the world is changing. In Episode 11, the guest is Tom Hollinsworth discussing about everything related to networking.

In protocol development, Microsoft has improved the QUIC protocol and got its speed more than quadrupled to 8 Gbps. What is the usage of HTTP/3 and QUIC and are they really faster? Daniel Stenberg gives some answers to slightly obscure questions on his blog. At the same time, this Curl developer got his code on Mars with a Nasa helicopter. Before that, there was a stupid episode when the developer had to prove Nasa where and how the open-source program was developed.

A good Twitter thread on MTU issues will find out what’s involved in this complex matter.

Companies and products

Arista is looking for a broader market position with a holistic view. The campus was the first opening to a wider market, Cloudvision management sought to automate networks, the capabilities of switches were expanded to meet routing needs, and now security features enhance the use and usefulness of products. Although Arista is a software company, its products are based on powerful hardware. Arista is not going to join the fashionable subscription-based licensing model. The aim is to expand the customer base and thereby reduce dependence on Microsoft and Facebook.

Better visibility has been added to Cloudvision management through analytics extracted from telemetry data. Artificial intelligence seeks to learn anomalies and perform automatic corrections. The management model based on wifi has been extended to the entire network. The Studios feature brings workspaces that create workflows for different purposes. The workflow abstracts configuration changes using a data model, which helps to manage larger changes and improves the quality of changes and user experience. Cloudvision has expanded from data center use to a network-wide tool and is now available in both on-premises and SaaS versions.

Arista’s danger is to combine all possible functions and different applications into one product. Cloudvision can get lost to its own complexity. One all-encompassing management product may operate in the SMB sector, but small businesses are not Arista’s target group. For larger ones, it has often been proven that the customer wants to choose good and suitable components for network, management and security separately.

Arista also introduces the seven-level ACE certification program. The lowest levels require five days of training and only the top two levels can be obtained by simply passing a practical test. The training tries to emphasize good solution practices instead of just knob information. The program also attempts to match certification levels to different job roles.

Juniper surprised with the good performance of the operator business, but the Mist AI enterprise solutions have also sold well. The share of the software sell has been significant and Juniper now has software to offer for all product families. The acquisitions of 128T, Apstra and Netrounds have been good and Juniper is in the best position in terms of credible technology and automation strategy. The problem, however, is that Juniper doesn’t know how to execute and bring out this good story better. Compared to Cisco sales and marketing, Juniper’s story is lukewarm coffee.

Cisco has worked hard to move from hardware to software and solutions, and it has worked. Cisco’s strategy is to bring all products as SaaS model for purchase under the Cisco Plus concept. The first one is Cisco Plus Hybrid Cloud service which includes servers and storage with on-demand billing, support services and flexible design and installation services. The first NaaS service will be Cisco Plus Umbrella, or SASE service later this year.

Cisco has also teamed up with Appdynamics and Thousaneyes to combine application and network visibility. Appdynamics’ SaaS service is now more widely available from the AWS cloud.

Prosimo, the new company of Viptela’s founders, focuses on integrating the infrastructure into multi-cloud applications. The new category is called Application Experience Infrastructure AXI. The product optimizes application and user communication and combines infrastructure management, SLA and security into one entity. Sounds very similar to what multi-cloud applications do in general.

The paths between Dell and Vmware will finally differ when Dell sells its most profitable part Vmware, which it bought in 2016. So now one of the largest technology acquisitions of all time is being canceled. The strategic partnership remains, but Vmware can better execute its own vision. Dell will pay off its debts. Outside the change is hardly visible.

Semiconductor shortage

The difficulty of getting chips is now beginning to show in reality. The delivery time for Qualcom’s wifi6 chips is said to be 40-64 weeks. Broadband operators have router availability problems and they are running out of stock of devices. Getting new equipment is starting to delay deliveries and network building.

In addition, the graphics processors used to mine cryptocurrency consume capacity from component fabrication and delivery. Even custom-built chips are already being made for mining. Prices are rising and in Finland, local resellers Telia and Gigantti have already canceled graphics card orders.

The common view of the manufacturers is that the component shortage could last until 2023. Intel’s investment in the Arizona plants will not help much. Anyway, capacity building is slow and there is no quick fix. Nvidia has a slightly brighter view already next year.

Internet

The updated NIST RPKI Monitor provides statistics on the situation of RPKI usage on the Internet. There are a few risks associated with the use of RPKI, which can be addressed also.

The appearance of millions of Pentagon IP addresses on Internet routing just after Trump step down was widely surprised. It turned out that the addresses had been given to an outside company, Global Resource Systems, which, vaguely expressed, that they pilot the development of cybersecurity. AS80003 advertised 175 million addresses, making it the second-largest AS in the world after China Telecom.

RIPE Labs is once again investigating whether the internet is routing around the failure. The case was the LINX outage in London. Coincidentally, breaks in large IXPs appear to occur every three years. In any case, after the fault, the routing is confused for a while but quickly moves to alternate routes that use mainly mutual peerings. The RIPE stat monitoring service turned 10 years old. It is a handy tool for tracking internet routing.

Internet BGP routes can also get stuck when the router for some reason misses a route withdraw. BGP zombies are being shown in the study more than one day in a sample of 27 prefixes. In some BGP implementations, the interaction between the hold timer and the TCP window becomes a problem. The proposal is to add a second timer to the BGP that could notify the neighbor that the peering should be shut down.

Major projects are underway in submarine cables. For Europe, EllaLink from Portugal to Brazil and CrossChannel Fiber from Paris to London under the English Channel are significant. Content providers are big cable owners and builders. They make them for themselves, but also sell to others or are partners in the cables of others. Here is a list of all submarine cables from content providers (Amazon, Facebook, Google and Microsoft). The Australian Bureau of Meteorology would like to have a submarine cable to Antarctica because satellite capacity is causing problems for research activities. The problem with the cable, however, is the icebergs.

IoT craze can be read in the Reddit discussion, where it was found that the LG dryer generates more than 1 GB of traffic per day to AWS. There seemed to be no clear reason for the traffic.

Operation

Awesome Network Automation is a collection of information about network automation. Version 1.0 of the Nautobot SoT and automation platform has been released. Ansible modules and documentation are also available. Here is one good example of using the open-source Batfish verification program to analyze network configurations. Batfish was able to dig up and combine vlans, prefixes, sites, and device hostnames from the network for entry into the Netbox.

Single Pane of Glass SPoG products have evoked emotions in the community. Manufacturers began to ease the complexity of management by bringing single-view products that would be easy to manage and monitor the network at a glance. But networks, environments, and operations are becoming more and more complex, and the usability of a single pane is starting to be poor. Therefore, it must be accepted that we have more point tools that are good for a particular need. The overall solution can be the integration of different products or views, which in turn requires manufacturers’ support for the integration interfaces, as well as the user’s own integration expertise and work. Here is a good wish list for a suitable tool that manufacturers should read carefully so that the product does not become SPiN (Single Pain in Network).

Management products move toward abstraction, where the actual configuration is faded into the background and the user defines the target state (intent). Abstraction can be used to better support a variety of devices and manufacturers, as well as to define workflows and orchestration more broadly. But at the same time, it requires standardization and a better definition of network functions and features.

Coordination of project work is also an important issue that requires development because the organizational work already takes more time than development itself. Software code and applications are playing an increasingly important role, and at the same time, the number of both code and developers are expanding enormously. Especially in open-source development, the effort has to be put into how to organize development work efficiently so that the products are of high quality and reliable to use.

The gaming company Roblox has built an impressive probe monitoring into its own network to detect packet losses and latency. Now, 100 million measurements per minute are made on the network, and agents can be used to find very accurately breaks lasting under one second and packet loss for one path at the level of one in 6,000 packets per minute.

MLB has opened its automation and monitoring tools and practices of the media network used in its baseball stadium productions. MLB has traditional SNMP monitoring but also a new Kentik flow analysis platform running in the cloud. In addition to the network, the environment includes a multi-cloud environment which connectivity can be tracked too. Data collected from different sources and through different methods are combined into a common modern observation platform, where the information is enriched and business-specific metadata is added to it. A good point is the importance of business as a unifying driver between different IT functions. One team is responsible for the entire IT stack and the most important is the top-down commitment to aligned business goals. This needs also the change of mindset and collaboration skills. Good tools make it easier to practice at work. Jeremy Schulman’s advice on building your own tools is to think of yourself as an expense. Buy a commercial product when it’s available, only do it yourself when you absolutely must.

Events

Cisco Live was held online, and as a result of signing up, I found myself reluctantly joined a mailing list of at least ten partners. Here is the Cisco Live aggregate provided by SDxCentral:

NSDI ’21 technical sessions have a lot of research information and relevant issues to think about in network design and implementation.

The Technical Exploration Forum of the Ethernet Alliance has discussed the development of Ethernet. Next, the look is on the 800G and 1.6T specs, but the power and cooling limits come up. Faster 224/448G lane speeds require co-packaged optics, which in turn means adding optical circuits to the devices and the arrival of new smaller cables and connectors. 400G took 4 years to develop and the new speeds still require a lot of development and testing and might be still 5-6 years away. Due to communication bottlenecks, the distributed network again seems to be collapsing back into fewer layers and boxes. The next few years will see more use of co-packaged optics (CoPO) in switches.

Epic name

IBM named its spin-off infrastructure company Newco as Kyndryl and redeemed its place in the list of worst-named companies. The name is pronounced “Kindril”, which doesn’t sound as bad as written and pronounced in Finnish with y. The name is based on the words kinship and tendrils. Quite descriptive things for an IT service company, right? The letter Y is associated with real partnership and growth, which better matches the company’s mission. Kyndryl is also known as a Warcraft hunter character.

[FI] Tietoliikennealan katsaus 2021-04

Operaattorit

Suuri uutinen 5G-maailmasta oli kun amerikkalainen uuden polven operaattori Dish valitsi AWS:n pilvikumppanikseen. Dish rakentaa pilvinatiivin standalone 5G -Open RAN:n täysin julkiseen pilveen käyttäen AWS:n Local Zoneja ja Outposteja. Lähes kaikki muu kuin antennit ja kaapelit siirtyvät pilveen. AWS räätälöi alustaa tähän käyttötarkoitukseen ja pilven avulla palvelu saadaan hajautettua lähelle käyttäjiä ja viiveet alle 10 ms:n. Runkoverkkona edgen ja konesalin välillä käytetään AWS:n verkkoa. Pilven API-rajapinnat ja palveluvalikoima ruokkivat ja helpottavat palveluiden kehittämistä, ja sen toivotaan houkuttelevan yritysasiakkaita Dishin verkkoon.

Tämä on rohkea valinta ja ensimmäinen merkittävä askel kohti pilvioperaattoria sitten Rakutenin tekemän pioneerityön. Dish käytti 18 kk vertaillen eri infravaihtoehtoja ennen kuin päätyi AWS:ään. AWS on mukana yhteistyölinjalla eli kaikilla osapuolilla on opittavaa ja kehitettävää kokonaisuudessa. Lopulliset verkon parametrit hioutuvat yhteistyön ja ajan myötä. Dish haluaa pitää yhteistyökumppanien määrän pienenä ja arkkitehtuurin yksinkertaisena. AWS:n kautta Dish saa hyödyn AWS:n muista telco-kumppaneista ja asiantuntijapalveluista. Taustalla kuintekin pyörii paletti entisiä toimittajia ja teknologiavalintoja. Miten käy esim. Vmwaren, Mavenirin tai x86-alustojen?

AWS:n tuottama hyöty näkyy myös yksikkökustannuksissa. Analyytikkojen mukaan Dishin verkon yksikkökustannus pitäisi olla 25% Verizonin vastaavasta ja sillä pitäisi pystyä voittamaan merkittävä määrä asiakkaita. Kohderyhmänä ovat epäilemättä yritykset. Verkko alkaa rakentua tämän vuoden aikana Las Vegasista ja 20% väestöpeitto saavutetaan 2022. Möyhemmin on tarkoitus päästä 70% väestöpeittoon.

Tapaus on mielenkiintoinen uuden ajan esimerkki modernista operaattoritoiminnasta. Dish hyppää syvään päähän ja osittain tuntemattomaan. Mutta onhan se testannut tai arvioinut ratkaisuja jo pidempään. AWS on sitoutunut luultavasti täysillä, koska silläkin on iso tulevaisuus käsissä. Yhteistyökuvio on kiinnostava, koska valmista ei ole olemassa ja palvelu muotoutuu matkan varrella käytännön kautta. Tätä on moderni iteratiivinen kehitys. Molempien osapuolten on joustettava ja tehtävä kompromisseja, mutta lopputulos on luultavasti hyvä.

Historiasta muistuttaa se, että Dishillä on vanhastaan vielä 9 miljoonaa CDMA-palvelun tilajaa, jotka verkko-operaattori T-Mobile uhkaa heittää tyhjän päälle lopettaessaan CDMA-verkon tämän vuoden loppuun.

Mitä maksaa 5G-verkko? Yhdysvaltain hallitus on tilannut selvityksen mobiiliverkon hintakomponenteista ja FCC on julkaissut Widelityn tuottaman yksityiskohtaisen raportin hinnoista. Hinnasto sisältää satoja komponentteja ja kuvaa hyvin mikä on raudan ja asennustyön suhde verkossa. Esim. 50000 tilaajan 5G non-standalone EPC maksaa asennettuna 0,25-1,2M dollaria riippuen valmistajasta. Vertailua vaikeuttaa se, että isoilla ostajilla on omat alennushinnat ja valmistajien välillä on hintaeroja. Mielenkiintoinen on myös Nokian kommentti, että Open RAN -ratkaisu on saman hintainen kuin perinteinen valmistajan integroitu ratkaisu. Tämä on ollut havaittavissa myös kiinteissä verkoissa whitebox- ja disaggregaatiomalleissa. Hinta ei ole välttämättä merkittävin kilpailutekijä, vaan hyötyä on haettava esim. ominaisuuksista ja operointimalleista. Hintaa saa aina painettua alas isoilla ostomäärillä riippumatta ratkaisusta.

Nyt kun mastot on pitkälle ulkoistettu eri omistukseen, tulevaisuudessa myös verkkolaitteiden omistusmalli saattaa muuttua. Masto-operaattori voi hankkia verkkolaitteet ja vuokrata niitä eteenpäin verkko-operaattoreille. Jaettu investointi ja maksa käytöstä -malli houkuttavat. Kenties tämä vahvistaa entisestään infra- ja palveluoperaattorijakoa. Kaikessa IT:ssä näyttää muutenkin jatkuvan infran keskittyinen ja eriytyminen harvoille toimijoille.

Mikä ero 5G:n yksityisverkoilla ja network slicingilla? Yksityisverkko on enemmän itsenäinen ja staattinen kampusverkko, jossa on omat autentikointija autorisointipalvelut, ja jota yritys itse hallitsee. Yksityisverkko on yleensä rajattu alueellisesti esim. tehdaskampukselle, jossa perinteisesti on käytetty wifiä. Hinta on kallis, mutta tietoturvallisuus hyvä.

Network slicing on enemmän operaattorin hallitsema kokonaisuus, jossa jaetaan virtuaalinen dynaaminen siivu verkosta asiakkaan käyttöön. Network slice on IETF:n määritelmän mukaan päästä päähän ulottuva looginen topologia, jolla on palvelutasotavoite. Slicella on kuitenkin myös oma hallintakerros, jonka kautta asiakas voi operoida omaa osuuttaan. Network slicing vaatii 5G standalone coren, joita toistaiseksi on harvoilla. Verkko tukee noin “kourallisen” sliceja, joita fyysinen kapasiteetti rajoittaa. Resursseja ja ominaisuuksia voidaan kuitenkin jakaa dynaamisesti käytön mukaan. Mihin se sitten riittää, jää nähtäväksi. Verkko roamaa koko operaattoriverkon julkisen verkon alueella tarjoten kattavan WAN-ulottuvuuden. Hinta on edullisempi kuin yksityisverkossa. Network slicing ja NaaS on 5G:n odotettu tuleva rahastusmalli, jonka uskotaan olevan todellisuutta puolentoista vuoden päästä.

Suomessa DNA:n ja Telian yhteisverkko laajenee koillisesta Raahe-Loviisa -linjalle kattaen jatkossa yli puolet Suomen pinta-alasta. Väestöpeitto kaksinkertaistuu kolmivuotisen rakennusprojektin aikana. Samalla Huawei potkitaan pois verkosta ja Nokia tulee tilalle.

Elisa on lopettanut 10M- ja 30M -VDSL-liittymien myynnin pienkiinteistöihin ja vuokraverkon alueella liittymiä on irtisanottu. 50M- ja 100M-liittymiä myydään edelleen kun se on teknisesti mahdollista eli DSLAM on muutaman sadan metrin etäisyydellä kiinteistöstä. ADSL:ää on ajettu alas jo pari vuotta. Korvaavana tekniikkana tarjotaan mobiiliverkkoa.

Kiinteä mobiililaajakaista onkin kiinnostava palvelu. Kuidun on oletettu olevan takuuvarma toteutustapa tulevaisuuden suhteen, mutta hinnan ja saatavuuden puolesta viisari on alkanut kääntyä mobiililaajakaistan puoleen. Syynä on osaltaan operaattorien kova mainonta, mutta myös kuluttajat ovat kiinnostuneita. Ominaisuuksiltaan kuitu on toki eri tasolla kuin mobiili, mutta mobiili riittää hyvin peruskuluttajalle. Kokemukset 5G-laajakaistasta osoittavat nopeuden seilaavan huippunopeuden ja sen kymmenesosan välillä, mutta vasteajat on hyviä. Sekä sijainnilla että antennien sijoituspaikalla on merkitystä. Jatko näyttää miten käyttäjämäärän kehitys vaikuttaa palvelunlaatuun.

USA:ssa kokemukset T-Mobilen kiinteästä 5G-laajakaistasta (fixed wireless access FWA) ovat vastaavanlaisia. Taustalla pyörii kysymyksiä riittääkö verkon kapasiteetti ja vastaako se kysyntään? T-Mobile sanoo myyvänsä vain olemassa olevaa kapasiteettia. Tavoitteena on kattaa 70% asiakkaista. Joka tapauksessa kiinteän laajakaistan tuotto on huono verrattuna mobiililiittymään, jossa T-Mobile tekee 40-kertaisen tuloksen gigatavua kohden.

Uplink-kapasiteetti on suurin huolenaihe varsinkin nyt etätyöaikana. Nykyinen downlink-uplink -suhde 10:1 ei vastaa tarvetta, joka muutamassa vuodessa on siirtynyt 5:1-suhteeseen. Comscopen tutkimuksen mukaan uplinkin kapasiteetin päivitys on unohdettu viimeiset kymmenen vuotta. Kaista on niin ahdas, että siinä ei ole paljon liikkumavaraa. Viime vuonna downlink/uplink-suhde oli huipussaan 15:1 ja on siitä hieman laskenut 12:1-tasolle.

Verizoninkin mukaan kiinteä mobiililaajakaista ei ole kuidun tasoa, mutta riittää hyvin käyttäjille. Hyvänä itsekritiikkinä Verizon esittää parannusta mainontaan, jossa annetaan väärä kuva mobiiliverkon nopeudesta ja luotettavuudesta. Kuituoperaattorit taas korostavat kuidun hyötyä mm. kapasiteetin symmetrisyydessä ja luotettavuudessa. Lumenin strategiana on kuidun kohdistaminen urbaanialueille, joissa kattavuushuiput ovat jo 40% tasolla. Todellisuudessa laajakaistan toteutustapa riippuukin alueesta ja sen ominaisuuksista. Kuitu ja mobiili toimivat varmasti rinnakkain tarjoten hieman erilaisia yhteyksiä tarpeesta ja saatavuudesta riippuen. Satelliitti ei varsinaisesti kilpaile näiden kanssa vaan tarjoaa vaihtoehdon syrjäisemmillä alueilla.

Kaapeliverkossa nopeudet kasvavat useamman gigabitin nopeuksiin. DOCSIS3.1-takniikalla on saatu 2,2Gbps ja DOCSIS4.0 Full Duplex -tekniikalla symmetrinen 4 Gbps kenttätesteissä.

Sitten vähän hinta- ja nopeusdataa liittymistä: Mitä maksaa 1GB mobiilidataa 230 eri maassa? Entä mikä on laajakaistan hinta Euroopassa suhteessa palkkatasoon? Ookla Speedtest indexit Suomen osalta näyttävät, että mobiilidata on suhteellisen tasalaatuista ja suuremmat erot ovatkin kiinteässä verkossa. Keskimäärin nopein kiinteä oli Telia ja nopein mobiili DNA. OpenVaultin laajakaistatutkimus nosti esiin kuinka upstream-kapasiteetin käyttö on kasvanut 63% viime vuonna. Pandemia ja etätyö muutti kapasiteetin käytön luultavasti pysyvästi ja nyt taajuuteen perustuvat siirtotavat ovat hätää kärsimässä kun kapasiteettia pitää allokoida uudelleen vähistä taajuusvarannoista.

Muussa verkkotekniikassa Verizon rakentaa erikoistarkkaa paikannusjärjestelmää sataan USA:n suuripaan kaupunkiin. Hyper Precise Location HPL parantaa nykyistä 3-9 metrin paikannustarkkuutta senttimetrin tasolle ja se tukee myös pystysuoraa ulottuvuutta. Tarkalla paikannuksella valmistaudutaan esim. autonomisiin ajokkeihin ja lennokkeihin sekä automaattisiin operaatioihin.

USA:n ATSC 3.0 -TV-standardi sisältää tuen IP-liikenteelle ja multicastille. Synthesis Cloud suunnittelee sen päälle maanlaajuista lähetysverkkoa ja CDN:ää, joka vähentäisi unicast-liikenteen määrää verkoissa. Ongelmana on erillisen verkon rakentamisen kalleus. Todennäköisempää on, että 5G-broadcasting lyö läpi tulevina vuosina ja TV-lähetys voidaan välittää saman olemassa olevan 5G-infran kautta.

Pilvi ja SASE

AWS:n uusia julkistuksia on Macsec 10G/100G Direct Connect -yhteyksille. VPC Reachability Analyzer automatisoi yhteystason tarkistukset ja ongelmien havainnoinnin kahden VPC:n sisällä olevan laitteen välillä. Route 53 Resolver DNS FW tuo palomuurauksen DNS-palveluun. Transit GW Connectin saatavuus laajenee Euroopassa. Kuuleman mukaan AWS Transit GW asentuu käyttöön 1,5 minuutissa kun kun Azuren vastaavalta Virtual Hubilta kestää asentua 15 minuuttia. Samoin VNET/VPC-yhteyden luominen kestää Aws:ssa alle minuutin kun Azuressa se kestää 3-15 minuuttia.

Yleisenä suunnitteluvinkkinä on, että tunne pilvesi heikot kohdat. Kaikki hajoaa joskus, siksi pitäisi ymmärtää yhden pisteen vikakohdat ja välttää niitä. Ongelmana on, että aina kun poistaa vikapisteen, se lisää monimutkaisuutta ja kustannuksia. Eli tavoitteena olisi hakea sopivan siedettävää riskiä, jossa liiketoiminta pyörii riittävällä tasolla. Ei rakenneta IT:n omaa täydellistä korttitaloa, vaan hyväksytään tietyt puutteet ja ollaan tyytyväisiä riittävän hyvään.

USA:ssa mies aikoi räjäyttää internetin asentamalla pommin AWS:n Virginian konesaliin. FBI kuitenkin nappasi miehen kiinni kun hän yritti ostaa peiteagentilta räjähteitä. Mies sai 20 vuotta vankeutta. Mediassa elää sitkeästi myytti, että 70% internet-liikenteestä kulkee Pohjois-Virginian kautta. Tämä ei voi pitää paikkaansa. Vaikka alueelle onkin paljon pilvikapasiteettia, määrä on n. 30-40% kaikesta. Vain 9% Pohjois-Amerikan konesaleista on Pohjois-Virginiassa ja vain 23% maailman internet-kapasiteetista edes kytkeytyy USA:han.

Pilvipalveluiden myötä markkinoille on tullut termi “middle mile“. Mikä se on? Kyse on uudesta segmentistä, joka yhdistää yrityksen pilveen, mutta erottautuu operaattori-WAN:sta. Segmenttiin kuuluvat siis kaikki toimijat ja palvelut, jotka tarjoavat pilviyhteyksiä suoraan tai välillisesti. SD-WAN on yksi osa tätä segmenttiä, mutta niin myös internetin yhdysliikennepiste, yksityiset yhteydet tai muut palveluntarjoajien yhteydet. Greg Ferro kuvaa hyvin miten yritysverkko on kehittynyt pilvipalveluiden myötä monimutkaiseksi vyyhdeksi ja minkälaisten asioiden parissa yritysten on painittava.

Miten colo-tarjoajat asettuvat tähän hybridipilvimaailmaan? Equinix pyörittää yli 200 konesalia ympäri maailman ja määrittelee itsensä integraattoriksi, joka tuottaa palveluita auttamaan asiakkaita käyttämään pilvipalveluita. Auts, hybridipilvi ja edge ovat täynnä hirvittävää jargonia, josta ei paljon konkretia avaudu. Equinix voi siis tarjota keskitettyjä valmiita yhteyksiä pilvipalveluihin ja tuoda pilvipalvelu lähemmäksi asiakasta alueelliseen konesaliinsa. Equinix luottaa vahvasti kumppaneiden palveluihin, joihin se yhdistää omaa teknologiaansa.

Linux Foundationin State of the Edge -raportista on poimittu nasevia lausuntoja. Jos operaattorit investoivat telco-edgeen, heille pitää näyttää raha ja tarjota helpot hedelmät puolessa vuodessa. Mikä edes on edge? Skaala on hurja, pienimmän ja isoimman toteutuksen välillä voi olla 9 magnitudin ero. Rauta on edgen ikävä asia. Paras tila, sähkö ja yhdistettävyys on konesaleissa, mutta konesali eivät yleensä tarjoa pilvitason palveluita. Moni edgen tuottama data ei edes päädy pilveen. Hyvä pointti on myös se, että edgessä on kyse myös hyvin paljon uudenlaisen toimintaympäristön operoinnista ja palvelun tuottamisesta.

Kun pilvessä ollaan, myös verkon pitäisi pystyä elämään yhdessä pilvinatiivien sovellusten kanssa. Cisco on aloittanut softaprojektin, jossa rakennetaan pilvinatiivi SD-WAN (CN-WAN). Nykyisellään SD-WAN on erillinen komponentti, joka seilaa pimeässä tajuamatta sovelluksista mitään. Tavoitteena on tehdä mallitoteutus miten Kubernetes-sovellusten metadata voisi ohjata ja optimoida verkon liikennettä.

Oracle ilmoittautuu mukaan SASE-peliin jälkijunassa kuten julkiseen pilveenkin, mutta se on kuitenkin yksi ensimmäisistä julkisen pilven SASE-tarjoajista. Taktiikkana on käyttää kumppaneita ja panostaa vahvasti erityisesti SASE-osuuteen. Aiempien kumppanien Zscalerin ja Paloalton lisäksi nyt on lisätty myös Checkpointin Quantum Edge -palomuuritoiminto. Oraclen Talari SD-WAN voi hyödyntää Checkpointin muurisoftaa. OCI-pilvessä on ennestään SWG-, CASB- ja ZTNA -ominaisuudet, joita kumppanilta tuleva palomuuritoiminto täydentää. Erottava tekijä on se miten OCI voi integroida sessiotason protokollat kuten SBC:n ja SIP:n SASE:een. Kukahan näitä protokollia sitten käyttää pilvimaailmassa? Oracle taitaa olla itse melko konservatiivinen tai sillä on oma konservatiivinen asiakaskuntansa.

Myös Vmware paketoi etätyökalut Anywhere Workspace -kokonaisuuteen. Versa Titan positioi itsensä pienyritysten helpoksi SASE-tuotteeksi, jolle selvästi voi olla kysyntää. Cato SASE-sertifioinnista on valmistunut 600 oppilasta ja sertifioinnin voi suorittaa ilmaiseksi verkossa.

Kyberturvallisuus

Valkoinen talo nimesi virallisesti venäläiset Solarwinds-iskun tekijöiksi. Kiinalaiset käyttivät Pulse Securen kriittistä nollapäivähaavoittuvuutta hyväkseen. Kohteeksi joutuivat USA:n puolustushallinnon kumppanit, mutta myös Suomessa Valtori. Hyökkäykset alkoivat jo elokuussa 2020 ja FireEye löysi ne myöhemmin tämän vuoden alussa. Pulsen haavoittuvuuteen on työkalu, jolla voi analysoida onko itse altistunut. Haavoittuvuutta voi väliaikaisesti estää ja nyt on julkaistu myös lopullinen korjaus.

Toinen iso isku tapahtui Codecov-softatestausfirmaan jo tammikuussa, mutta se löydettiin vasta huhtikuussa. Codecov on itse pieni 35 hengen firma, mutta sillä on 29000 asiakasta, joissa on mukana isoja ja merkittäviä sovellustoimittajia. Viimeisimpänä uhrien joukkoon on ilmoittautunut Hashicorp, joka tunnetaan infrastruktuurikoodityökaluista. Ohjelmiin on voitu syöttää haitallista koodia, mutta tutkimuksissa ei ole löytynyt viitteitä siitä. Tässäkin tapauksessa Codecov on saanut kuulla kunniansa surkeista ohjelmista, joissa on heikko tietoturva. Bash Uploader lataa nimensä mukaan Bash-skriptillä ja curl-ohjelmalla käyttäjän CI-ympäristömuuttujat eli kaikki tunnukset, avaimet ja tokenit salaamattomina Codecovin palveluun, ja tässä tapauksessa myös hyökkääjän palvelimeen. Alun perin hyökkääjä pääsi Codecovin palveluun sisään ilmeisesti Docker imagen luomissa vuotaneiden tunnusten avulla.

Ciscon pientoimistoreitittimien RV-sarjassa on kriittinen haavoittuvuus, mutta sitä ei enää korjata, koska laitteet ovat pudonneet tuesta ja käyttäjiä kannustetaan päivittämään uudempiin malleihin. Myös Cisco SD-WAN vManagessa on kriittinen haavoittuvuus, johon on korjaus. FortiOS-palvelimien käyttäjiä varoitetaan valtiollisten toimijoiden hyökkäyksiltä. Cring-lunnasvaatimusohjelma iskee teollisuusyrityksiin käyttäen FortiVPN:n haavoittuvuutta. Aruban Clearpass Policy Managerissa on useita haavoittuvuuksia, joihin on julkaistu korjaus.

FreeBSD:n TCP/IP-protokollapinon DNS-toteutuksesta on löytynyt Namewreck-haavoittuvuuksia ja se vaikuttaa laajasti miljooniin IOT- ja IT/OT-laitteisiin. Tutkimuksen yhteydessä huomattiin, että monilla valmistajilla on vaikeuksia tulkita DNS-standardeja ja sama virhe oli suurimmalla osalla omissa tuotteissaan. Tämä herättää kysymyksen miksi standardi on kirjoitettu niin huonosti ja epäselvästi, että puolet toteutuksista on viallisia.

Maailman vaarallisin bottiverkko Emotetin poisto saastuneista koneista aktivoitui 25.4. kansainvälisen viranomaisyhteistyön tuloksena. Cloudflaren tilaston mukaan DDoS-hyökkäyksiä tehtiin alkuvuonna eniten operaattoreita kohti. Nousevia kohteista olivat QUIC-protokollan käyttö Jenkins- ja Teamspeak3-palvelimia kohti. Isoja hyökkäyksiä on määrällisesti vähän ja 97% tapauksista on pienempiä alle 1 Mpps tai alle 500 Mbps. Myös hyökkäysten kesto oli 90% tapauksista alle tunnin. Akamai kertoo melko tuntemattomasta DCCP-protokollaa hyödyntävästä hyökkäyksestä, joka käytännössä on aika pienen piirin riesa, koska protokolla ei ole laajemmin käytössä. Internetissä on arviolta 20 miljoonaan reititysluuppia lähes joka kolmannessa AS-domainissa. Kyse on vaan siitä, että paketti pomppii edes takaisin kahden reitittimen välillä kun reitit osoittavat vastakkaisiin suuntiin. Kuitenkin paketin TTL:stä riippuen ne toimivat enemmän tai vähemmän voimistavina DDoS-hyökkäyksinä. Jo 6 Mbps UDP-pohjaliikennettä luuppaamalla saadaan 10G-linkki täyteen ja 60 Mbps riittää tukkimaan 100G-linkin. Reititysvirheet tulisi jokaisen operaattorin korjata ja havainnointiin on myös ilmaisia työkaluja.

Verizonin Mobile Security Indexin mukaan yritykset epäonnistuvat edelleen perusasioissa. Näitähän ovat siis oletussalasanan muuttaminen, datan salaus, pääsyn rajoitus ja säännöllinen tietoturvatestaus. SANS:n tutkimuksen mukaan pilven yhteydessä huoli vahingossa tehdystä väärästä konfiguraatiosta kasvaa, mutta todellisuudessa vain alle puolet huolestuneista on todellisuudessa tehnyt virheen. Määrä on silti iso ja kuvastaa mikä vaikutus kiireessä tehdyillä muutoksilla monimutkaisissa ympäristöissä on.

Älytehtaan varustaminen antureilla ja ohjauksella altistaa sen uhkille. Trend Micron tutkimuksen mukaan 61% on kärsinyt tietoturvaongelmista älytehtaissa ja 43% iskujen aiheuttamat seisokit ovat kestäneet useamman päivän. Kehitys on kesken ja yhteinen ohjeistus ja yhteistyö olisi tehokkain tapa nostaa tasoa ja ehkäistä riskejä.

Microsoft on julkaissut avoimen lähdekoodin kyberhyökkäyssimulaattorin CyberBattleSimin, jolla se yrittää havainnollistaa miten tekoäly voi analysoida ja estää hyökkäyksiä.

Kaikki internetiin kytketyt laitteet altistuvat uhkille ja siksi verkkolaitteet pitää yleensä jollain tapaa koventaa. Mikrotik RouterOS:n suojaamista ja laitteiden kovennusta käydään perusteellisesti läpi videolla ja esityksessä. Linux pyörii monen laitteen taustalla ja sen koventaminen on monimutkaista ja kovaa työtä. Disaggregaatiomallissa ja avoimen lähdekoodin ympäristöissä kovennus pitää yleensä tehdä itse. Käyttäjä voi ulkoistaa kovennuksen verkkolaitevalmistajalle, joka hoitaa asian omalla tavallaan. Se ei kuitenkaan poista käyttäjän vastuuta infran haavoittuvuudesta. Samalla kun työ ulkoistetaan valmistajalle, luovutaan osasta ominaisuuksia. Tämä kompromissi on hyvä pitää mielessä.

Tekniikka

Onko pienen viiveen kytkimillä oikeasti mitään väliä? En ole koskaan ymmärtänyt mitä High Frequency Trading -maailmassa nanosekuntien viilaaminen merkitsee. HFT:ssä kaikki sovelluksista käyttöjärjestelmään ja infraan on varmasti optimoitua, mutta oikeasti, mitä kymmenen tai sata nanosekuntia lisää voi vaikuttaa kokonaisuuteen? Meillä kuolevaisilla se onkin merkityksetöntä, koska infra-sovellus -kokonaisuudessa on aina reilusti enemmän viivettä kuin kytkennässä. Siirtoviiveellä pitkillä etäisyyksillä on silti jo merkitystä.

Low latency -kytkimiä mainostetaan levyliikenteen käyttöön, mutta levyprotokollille myös häviöttömyys on tärkeää, joten ison puskurin kytkimiäkin profiloidaan storage-kytkentään. Nopea kytkentä ja puskurointi ovat ristiriidassa keskenään ja yleisesti ottaen puskurointia pidetään TCP-liikenteessä pahempana kuin pakettien nopeaa tiputtamista. Protokolla hoitaa uudelleenlähetyksen nopeasti. Nyt voi virallisesti sanoa, että FCoE on kuollut ja kuopattu. Kukaan ei sitä enää markkinoi ja käyttökokemukset osoittautuivat huonoiksi. 

Huhut kertovat, että AWS on suunnittelemassa omaa kytkin-ASIC:iä ja sen odotetaan myös toteutuvan. AWS:llä kuten monella muullakin on Broadcomin kanssa kauppapoliittisesti hankalaa ja paine muuhun ratkaisuun on kova. Vanha Broadcom toi markkinoilla merchant siliconin ja sitoutti asiakkaat tuotteisiin. Spekulaatioiden mukaan Avagon mukanaan tuoma “Uusi Broadcom” haluaa hinnoitella tuotteet agressiivisemmin ja hyötyä hyperskaalaajien pohjattomasta lompakosta. Skaalasta kertoo jotain se, että tyypillisessä pilvikonesalissa on 100000 palvelinta, jotka vaativat n. 4000-6000 kytkin-ASIC:iä. Kokonaisuudessaan AWS:llä voisi olla 480000-720000 kytkin-ASIC:iä omassa verkossaan. Tällä massalla voi helposti perustella kustannustehokkaat ratkaisut ja omat tuotekehityksen. AWS tekee omaa verkkokäyttöjärjestelmää ja voi portata sen mihin alustaan tahansa. Raudan suunnittelu on kuitenkin pienen piirin puuhaa ja siihen AWS:kin tarvitsee ulkopuolista apua. Spekuloinneissa on käyttää 2015 ostetun Annapurna Labsin porukkaa tai ostaa Xsight Labs tai Innovium.

Ciscolla on monta erilaista verkkokäyttöjärjestelmää, vähän liiankin monta. Tässä selitys kaikista lehmien avulla.

Openflow ei ollut varsinainen menestys, mutta se johti meidät uudenlaisten asioiden äärelle. Keskistetty hallinta ja API-rajapinnat olivat tärkein anti myöhemmälle kehitykselle. Openflow:n kehitys lähti control planen kehittämisestä, mutta siitä seurasikin myös data planen ohjelmoitavuus ja myöhemmin yhteinen P4-kieli. Painetta oli myös tehdä konfigurointirajapinta ohjelmoitavaksi ja siitä syntyi gNMI, joka korvaa perinteistä CLI:tä. Openflow loi kaikesta huomimatta SDN:n, jossa hyvillä rajapinnoilla saadaan aikaan täysin ohjelmallinen verkko ja sitä kautta aivan uusia käyttömahdollisuuksia.

Verkkolabran rakennukseen on tullut uusia konsepteja. Containerlab on konttipohjaisiiin verkkolaitteisiin tarkoitettu alusta, jossa voi nopeasti pystyttää virtuaaliverkon. Alusta voi myös käynnistä perinteisiä virtuaalikoneita. Netsim-tools on Ivan Pepelnjakin Vagrantiiin, Libvirtiin ja Ansibleen perustuva virtuaalilabran pystytyskoodi, jolla voi luoda nopeasti oman topologian YAML-tiedostojen kuvauksen perusteella. Reititysprotokollien ja valmistajien tuki on kattava.

Taas kerran x86-raudalla on saatu muhkeita lukemia käyttäen VPP:tä: 1 Tbps ja miljardi pakettia sekunnissa palvelimella. VPP on avoimen koodin versio on Ciscon Vector Packet Processing -teknologiasta, jolla voidaan ajaa kovan suorituskyvyn paketinvälitystä x86-raudassa. Mitä tällä sitten tekee? VPP:llä voi rakentaa tehokkaita softapohjaisia verkko- ja tietoturvatoimintoja kuten palomuurausta, VPN-tunnelointia, SD-WAN:ia tai SASE:a.

Tilaston mukaan 100G on nyt konesaleissa suosituin nopeus. Toimitettujen 100G-porttien määrä ylitti 10G-porttien määrän. Arista nappaa lähes 40% osuuden kumulatiivisista brändi-kytkinten toimitusmääristä ja Cisco vastaavasti 40% voitoista.

Mielenkiintoinen tieto japanilaisoperaattoreilta kertoo, että kosmiset säteet aiheuttavat Japanissa 30000-40000 verkon toimintahäiriötä vuodessa. Häiriö tapahtuu kun kosmiset säteet kohtaavat ilmakehän hapen ja typen, ja vapauttavat neutroneita, jotka törmäävät elektroniikkaan korruptoiden ne. Monet häiriöistä korjautuvat hetken päästä itsekseen suojalaitteiden avulla, mutta vakavammissa tapauksissa laitteet myös jumiutuvat ja voivat aiheuttaa isompia ongelmia. Ongelmien määrä tietysti lisääntyy kun elektroniikan määrä ja riippuvuus siitä kasvaa. Ongelmien syiden löytäminen ja vastustuskeinojen keksiminen on vaikeaa, koska häiriöt eivät ole toistettavissa.

Telia Carrierin podcast-sarjassa on paljon hyviä aiheita ja vieraita, joista saa näkemystä missä tietoliikenteessä mennään ja miten maailma muuttuu. Jaksossa 11 vieraana on Tom Hollinsworth ja keskustelua vähän kaikesta verkkoihin liittyvästä.

Protokollakehityksessä Microsoft on hionut QUIC-protokollaa ja saanut sen nopeuden nostettua yli nelinkertaiseksi 8 Gbps:iin. Missä HTTP/3 ja QUIC sitten menevät käytön osalta ja ovatko ne oikeasti nopeampia? Daniel Stenberg antaa joitakin vastauksia blogissaan hieman epäselviin kysymyksiin. Samalla tämä curlin kehittäjä sai koodinsa Marsiin Nasan helikopterin mukana. Ennen sitä tapahtui tökerö episodi kun Nasalle piti todistella missä ja miten avoimen koodin ohjelmaa on kehitetty.

Hyvä Twitter-ketju MTU-asioista selvittää mitä tähän monimutkaiseen asiaan liittyy.

Yritykset ja tuotteet

Arista etsii laajempaa markkina-asemaa holistisella näkemyksellä. Kampus oli ensimmäinen avaus laajempaan markkinaan, Cloudvision-hallinta pyrki automatisoimaan verkot, kytkimien ominaisuuksia laajennettiin reititystarpeisiin ja nyt tietoturvaominaisuuksilla tehostetaan tuotteiden käyttöä ja hyödyllisyyttä. Vaikka Arista on ohjelmistotalo, sen tuotteet perustuvat tehokkaaseen rautaan. Arista ei aio lähteä mukaan muodikkaaseen tilauspohjaiseen lisenssimalliin. Asiakaspohjaa pyritään laajentamaan ja sen myötä riippuvuutta Microsoftista ja Facebookista vähentämään.

Cloudvision-hallintaan on lisätty parempaa näkyvyyttä telemetriatiedosta louhitun analytiikan avulla. Tekoäly pyrkii oppimaan poikkeamat ja suorittamaan automaattiset korjaukset. Wifistä lähtenyt hallintamalli on laajentunut koko verkon käyttöön. Studios-ominaisuus tuo mukanaan työtilat, joilla luodaan työnkulkuja erilaisiin tarkoituksiin. Työnkulku abstraktoi konfiguraation muutokset datamallin avulla, mikä helpottaa kokonaisuuden hallinnassa ja parantaa muutosten laatua ja käyttäjäkokemusta. Cloudvision on laajentunut konesalikäytöstä koko verkon laajuiseksi työkaluksi ja on nyt saatavana sekä onpremises- ja SaaS-versiona.

Aristan vaaranpaikkana on kasata kaikki mahdolliset toiminnot ja eri käyttökohteet yhteen tuotteeseen. Cloudvision voi sortua omaan monimutkaisuuteensa. Yksi kaikenkattava hallintatuote voi toimia SMB-sektorilla, mutta pienyritykset eivät ole varsinaisesti Aristan kohderyhmää. Isompien osalta monesti on todistettu, että asiakas haluaa valita erikseen hyvät ja itselle sopivat komponentit verkkoon, hallintaan ja tietoturvaan.

Arista lähtee mukaan sertifiointiin seitsemäntasoisella ACE-ohjelmalla. Alimmilla tasoilla vaaditaan viiden päivän koulutus ja vain kaksi ylintä tasoa voi saada pelkällä käytännön kokeen läpäisemisellä. Koulutuksessa koitetaan painottaa hyviä ratkaisukäytäntöjä pelkän nippelitiedon sijaan. Ohjelma myös yrittää kohdistaa sertifiointitasot erilaisiin työrooleihin.

Juniper yllätti hyvällä operaattoriliiketoiminnan tuloksella, mutta myös yrityspuolen Mist-tekoälyratkaisut ovat myyneet hyvin. Softan osuus on ollut merkittävä ja Juniperilla löytyy nyt hyvin softaa kaikkiin tuoteperheisiin. Yritysostokset 128T, Apstra ja Netrounds ovat olleet hyviä ja Juniper on mitä parhaimmissa asemissa uskottavan teknologian ja automatisointistrategian osalta. Ongelmana kuitenkin on se, että Juniper ei osaa toimia ja tuoda hyvää tarinaansa paremmin esille. Ciscon myyntiin ja markkinointiin verrattuna Juniperin tarina on haaleaa kahvia.

Cisco on vahvasti yrittänyt siirtyä raudasta softaan ja ratkaisuihin, ja se on toiminut. Ciscon strategiana on tuoda kaikki tuotteet SaaS-mallina ostettaviksi Cisco Plus -konseptin alla. Liikkeelle on lähdetty Cisco Plus Hybrid Cloud -palvelulla, joka sisältää käytön mukaisella laskutuksella palvelimia ja storagea, tukipalveluita ja joustavasti suunnittelu- ja asennuspalveluita. Ensimmäinen NaaS-palvelu on Cisco Plus Umbrella eli SASE-palvelu myöhemmin tänä vuonna.

Cisco on myös lyönyt yhteen Appdynamicsin ja Thousaneyesin yhdistäen sovellus ja verkkonäkyvyyden. Appdynamicsin SaaS-palvelua saa nyt laajemmin AWS:n pilvestä.

Viptelan perustajien uusi yritys Prosimo keskittyy integroimaan infrakerroksen monipilven sovelluksiin. Uusi kategoria on nimeltään Application Experience Infrastructure AXI. Tuote optimoi sovellusten ja käyttäjien kommunikointia, ja yhdistää infran hallinnan, SLA:n ja tietoturvan yhdeksi kokonaisuudeksi. Kuulostaa kovin samalta mitä monipilvisovellukset yleensäkin tekevät.

Dellin ja Vmwaren tiet eroavat vihdoin kun Dell myy parhaiten kannattavan osansa Vmwaren, jonka se osti 2016. Nyt siis perutaan yksi kaikkien aikojen suurin teknologiayrityskauppa. Strateginen kumppanuus pysyy, mutta Vmware voi paremmin toteuttaa omaa visiotaan. Dell maksaa pois velkojaan. Ulospäin muutos tuskin juurikaan näkyy.

Puolijohdepula

Sirujen saannin vaikeus alkaa nyt näkyä toden teolla. Qualcomin wifi6-sirujen toimitusajaksi sanotaan 40-64 viikkoa. Laajakaistaoperaattoreilla reititinten saatavuusongelmat tyhjentävät varastoja ja uusien laitteiden saaminen alkaa viivästyttää toimituksia ja verkon rakentamista.

Lisäksi kryptovaluutan louhintaan käytetyt grafiikkaprosessorit syövät kapasiteettia GPU-valmistuksesta ja -toimituksista. Louhintaan valmistetaan jo jopa omia piirejä. Hinnat ovat nousussa ja Suomessakin Telia ja Gigantti ovat jo peruneet näytönohjaintilauksia.

Valmistajien yhteinen näkemys on, että komponenttipula saattaa kestää vuoteen 2023. Intelin panostus Arizonan tehtaisiin ei paljon auta. Muutenkin kapasiteetin lisääminen on hidasta ja siitä ei ole nopeaa apua. Nvidialla on hieman valoisampi näkymä jo ensi vuodelle.

Internet

Päivittynyt NIST RPKI Monitor tarjoaa statistiikkaa RPKI:n tilanteesta internetissä. RPKI:n käyttöön liittyy muutamia riskin paikkoja, joiden välttämiseen löytyy ratkaisuja.

Miljoonien Pentagonin ip-osoitteiden ilmestyminen internetin reititykseen heti Trumpin astuttua virasta ihmetytti laajasti. Selvisi, että osoitteet oli annettu ulkopuoliselle yritykselle Global Resource Systemsille, joka teki niillä epämääräisesti ilmaistuna kyberturvallisuuden kehityksen pilotointia. AS80003 mainosti 175 miljoonaa osoitetta, jolla se on toiseksi suurin AS koko maailmassa China Telecomin jälkeen.

RIPE Labs tutki jälleen reitittääkö internet vikakohdan ohi. Tapauksena oli LINX:n katko Lontoossa. Sattumoisin isojen IXP:eiden katkot näyttävät esiintyvän kolmen vuoden välein. Joka tapauksessa vian jälkeen reititys on hetken sekaisin, mutta siirtyy nopeasti varareiteille, jotka käyttävät pääasiassa kahdenvälisiä peerauksia. RIPE stat -monitorointipalvelu täytti 10 vuotta. Se on näppärä työkalua internet-reitityksen seurantaan.

Internetin BGP-reitit voivat myös jäädä jumiin kun reititin jostain syystä missaa reitin poisvetämisen. Puhutaan BGP zombeista, joita tutkimuksessa näkyi yli yksi päivässä 27 prefixin otannassa. Joissakin BGP-toteutuksissa hold timerin ja TCP-ikkunan yhteisvaikutuksesta tulee ongelma. Ehdotuksena on lisätä BGP:hen toinen ajastin, joka voisi ilmoittaa naapurille, että peeraus pitää laittaa alas.

Merikaapeleissa on meneillään suuria hankkeita. Euroopan osalta merkittäviä ovat EllaLink Portugalista Brasiliaan ja CrossChannel Fibre Pariisista Lontooseen Englannin kanaalin ali. Sisällöntuottajat ovat isoja kaapelien omistajia ja rakentajia. He tekevät niitä itselleen, mutta myyvät myös muille tai ovat osakkaana muiden kaapelissa. Tässä lista kaikista sisältötuottajien (Amazon, Facebook, Google ja Microsoft) merikaapeleista. Australian ilmatieteenlaitos haluaisi saada merikaapelin Antarktikselle, koska satelliittikapasiteetti aiheuttaa ongelmia tutkimustoiminnalle. Ongelmana kaapelille on kuitenkin jäävuoret.

IoT-hulluutta voi lukea Reddit-keskustelusta, jossa todettiin LG:n kuivaimen generoivan yli 1 GB liikennettä päivässä AWS:ään. Selvää syytä liikennöintiin ei tainnut löytyä.

Operointi

Awesome Network Automation on kokoelma tietoa verkon automatisoinnista. Nautobot SoT- ja automaatioalustasta on julkaistu 1.0-versio. Siihen on myös saatavissa Ansible-modulit ja dokumentointi. Tässä yksi hyvä esimerkki avoimen koodin Batfish-verifiointiohjelman käytöstä verkon konfiguraatioiden analysointiin. Batfishillä saatiin kaivettua ja yhdisteltyä verkosta vlanit, prefixit, saitit ja laitteiden host-nimet Netboxiin syöttämistä varten.

Yhden näkymän hallintatuotteet (Single Pane of Glass SPoG) ovat herättäneet yhteisössä tunteita. Valmistajat alkoivat helpottaa hallintaähkyä ja monimutkaisuutta tuomalla yhden näkymän tuotteita, joista hallinta ja valvonta olisi helppoa yhdellä silmäyksellä. Mutta verkot, ympäristöt ja toimintatavat ovat muuttuvat koko ajan yhä monimutkaisemmiksi, ja yhden näkymän käyttökelpoisuus alkaa olla huono. Siispä on hyväksyttävä, että meillä on enemmän pistemäisiä työkaluja, jotka ovat hyviä tiettyyn tarpeeseen. Kokonaisratkaisu voi olla eri tuotteiden tai näkymien integrointi, mikä taas vaatii valmistajien tuen rajapinnoille ja lisäksi omaa integrointiosaamista ja -tekemistä. Tässä hyvä toivelista sopivasta näkymästä, jota valmistajien kannatta lukea tarkasti, jottei tuotteesta tulee SPiN (Single Pain in Network).

Hallintatuotteet siirtyvät kohti abstraktointia, jossa varsinainen konfiguraatio häivytetään taka-alalle ja käyttäjä määrittelee tavoitetilan (intent). Abstraktoinnin avulla voidaan paremmin tukea erilaisia laitteita ja valmistajia sekä määritellä työnkulkuja ja orkestrointia laajemmin. Mutta samalla se vaatii verkon toimintojen ja ominaisuuksien vakioimista ja parempaa määrittelyä.

Myös projektityön koordinointi on merkittävä kehitystä vaativa asia, koska töiden organisointiin menee jo enemmän aikaa kuin itse kehitykseen. Softakoodi ja sen käyttökohteet ovat yhä tärkeämmässä asemassa ja samalla sekä koodin että kehittäjien määrä paisuu valtavasti. Varsinkin avoimen koodin kehityksessä tärkeäksi asiaksi muodostuu  miten tuotteiden kehitystyö saadaan organisoitua tehokkaasti niin, että tuotteista saadaan laadukkaita ja toimintavarmoja.

Pelialusta Roblox on rakentanut omaan verkkoonsa vaikuttavan probe-valvonnan, jolla havainnoidaan pakettihäviöitä ja viivettä. Nyt verkossa tehdään 100 miljoonaa mittausta minuutissa ja agenttien avulla voidaan löytää hyvin tarkasti jopa alle sekunnin mittaiset katkot ja pakettihäviöt yhden polun osalta tasolla yksi 6000 paketista minuutissa.

MLB on esitellyt omaa baseballin stadiontuotannoissaan käytettävän mediaverkkonsa automaatiota ja hallintaa. MLB:llä on perinteistä SNMP-valvontaa mutta myös uusi Kentikin flow-analysointialusta, jota ajetaan pilvessä. Ympäristöön kuuluu verkon lisäksi monipilviympäristö, jonka yhteyksistä saadaan myös dataa. Eri lähteistä ja eri menetelmien kautta koottu data yhdistetään yhteiseen moderniin havainnointialustaan, jossa tietoa rikastetaan ja siihen liitetään liiketoiminnan mukainen metadata. Hyvä pointti on liiketoiminnan merkitys yhdistävänä tekijänä eri osakokonaisuuksien välillä. Yksi tiimi on vastuussa koko IT-ketjusta ja tärkeintä on juuri ylhäältä sitouttaminen liiketoimitatavoitteisiin, ajatustavan muutos ja yhteistyö. Hyvät välineet helpottavat käytännön työssä. Omien työkalujen rakentamisesta Jeremy Schulmanin neuvo on ajatella itseään kustannuksena. Osta kaupallinen tuote kun sopiva on, rakenna itse vain kun on ihan pakko.

Tapahtumat

Cisco Live pidettiin verkossa ja rekisteröitymisen seurauksena olen huomannut haluamattani liittyneeni ainakin kymmenen yhteistyökumppanin postituslistalle. Cisco Liven koottu anti SDxCentralin tarjoamana:

NSDI ’21 -teknisissä sessioissa on paljon tutkimustietoa ja asiaa verkkojen suunnitteluun ja toteutukseen liittyen.

Ethernet-allianssin Technical Exploration Forumissa on käsitelty ethernetin kehitystä. Seuraavaksi katseet ovat 800G- ja 1,6T-spekseissä, mutta vastaan tulevat teho- ja jäähdytysrajat. Nopeammat 224/448G serdes-linjanopeudet vaatinevat yhteispakattua optiikkaa, mikä taas tarkoittaa optiikkapiirien lisäämistä laitteisiin ja uusien pienempien kaapelien ja liittimien tuloa. 400G:n kehitys kesti 4 vuotta ja uudet kovemmat nopeudet vaativat vielä paljon kehitystä ja testausta ja voivat olla vasta 5-6 vuoden päässä. Tiedonsiirron pullonkaulojen takia hajautunut verkko näyttää jälleen kasautuvan takaisin päin vähempiin kerroksiin ja kytkimiin. Jo lähivuosina voidaan nähdä enemmän yhteispakattujen optiikoiden (CoPO) käyttöä kytkimissä.

Kuukauden nimi

IBM nimesi itsestään erotetun Newco-infrayhtiönsä Kyndryliksi ja lunasti paikkansa huonoiten nimettyjen yhtiöiden sarjassa. Nimi lausutaan “Kindril”, joka ei kuulosta niin pahalta kuin kirjoitettuna ja Suomeksi y:llä lausuttuna. Nimen taustalla ovat sanat kinship ja tendrils eli sukulaisuus ja kärhö. Varsin kuvaavia asioita IT-palveluyhtiölle, eikö? Y kirjaimena yhdistyy todelliseen kumppanuuteen ja kasvuun, mikä osuu paremmin yrityksen toimialaan. Kyndryl tunnetaan myös Warcraftin metsästäjähahmona.

Networking Industry Update 2021-03

Problems

On March 10, 2021, a fire broke out in the Strasbourg data center of the French OVH, Europe’s largest cloud service provider. The DC campus had four rooms, one of which was completely destroyed by fire and the others suffered from smoke damage. OVH’s CTO Octave Klaba has set a great example of open and detailed communication on Twitter. The Status page tells you how cloud services are recovering.

Repairs were initiated quickly and 60 employees assembled thousands of new servers a week. However, there were surprises and slowdowns along the way, so the recovery has not progressed as expected. For example, the elevator could not be used and errors occurred in a hurry, which had to be corrected later. Cleaning the servers progressed three racks a day.

The official cause of the fire may still be unclear, but the UPS, which had been serviced the previous day, was suspected to be at fault. Power cables were also replaced lately. Again, 1.4. smoke was detected on the premises and a burnt filter was found in the UPS.

The case has sparked a debate about decentralization and availability of services as well as responsibility for backup. It’s good to remember that even a cloud can break down, and in the worst case of Force Majeure, the customer isn’t even reimbursed for the outages. In the cloud service, the customer is responsible for the data and its backup. Decentralizing the service to different physical locations is also the customer’s job. Forrest Brazeal reminds us with the lyrics of the song about the importance of backup.

In Finland, Nordea’s system upgrade and data center migration took two days longer than planned. The Financial Supervision Authority had to intervene for an exceptionally long break and demanded an investigation from Nordea. At the same time, it was questioned whether banks were sufficiently prepared for possible disruptions. Payment functions are an integral part of the society’s infrastructure and also almost all identification is based on banking services.

Telcos and 5G

The 5G boom surprised Finland and 99.8% population coverage would be achieved in three years. According to Traficom, The Finnish Transport and Communication Agency, high-speed 5G is now available to almost 2 million households in Finland. Traficom updated the mobile network availability table, which shows 4G / 5G coverage by the municipality. Ficom, The Finnish Federation for Communications and Teleinformatics, published its own update on broadband subscription statistics in Finland and Europe. Also globally, 5G is coming faster than 4G.

The use of mm-waves has started in Finland, although terminal support is still lacking. Telia is testing the 26 GHz frequency in Helsinki. All three operators have adopted the former 700MHz TV frequency.

With 5G, the entire technology of the mobile operator will be revolutionized. 3GPP manages to surprise. It has abandoned all exotic closed technologies and opted for a cloud-based model based on APIs and HTTP traffic for the core network. 5G core platform is now more of a third-party platform, which the manufacturers have been opting in. An open platform brings integration opportunities for online services, but can also be a nightmare for coordination. 5G’s network slicing has already revealed security threats where information can leak between private networks.

Operators need to update their operating models and skills in today’s IT world. DevOps principles are becoming familiar, but AI is also being sought for help and even business. Companies are involved in developing the ecosystem of private networks. The corporate network and the mobile network are beginning to merge into a single entity where technologies mix. Cisco or Juniper may be a viable player in private networks because they know the traditional network-side well. Telecom Infra Project TIP has also assembled a group to develop solutions for the attractive possibilities of private networks.

Compared to the Internet, an operator’s network represents a closed network and threatens network neutrality. The technology goes back to circuit switching when users are offered an SLA-defined dedicated bandwidth. The Internet’s best-effort service and openness to everyone will be forgotten. Once Internet won by avoiding unnecessary promises and providing openness to all parties. For businesses, however, a mobile network is easier than wifi, which requires “IT adjustment.” For example, connection reliability and security, remote provisioning and multi-operator capability are important to ABB. The operator offers an easy partnership where a closed and more expensive solution meets the customer’s need more easily than a do-it-yourself network. Here is a little summary and comparison between wifi and 5G. In the future, the mobile network will infiltrate the user unnoticed with many devices and there is a risk that the user will lose control over the connections and their management.

5G networks have set speed records on consumer devices: Samsung 5.23 Gbps, Nokia 4.5 Gbps, Rakuten 1.77 Gpbs. Open RAN has amassed supporters and now the battle is whether ASIC or FPGA is the right way to implement the platform. Massive MIMO is a complex antenna for 64 transmitting and receiving elements that require heavy computation. Therefore, performance and efficiency matter. An ASIC is an efficient circuit focused on a specific function, which reduces peak power, energy consumption, and device size. The FPGA offers wider reprogrammable functions at a lower cost but consumes more energy with poorer performance. 4G is mostly based on FPGA solutions, but 5G is approached with its own SoC circuits, much of which has been invested in. However, SmartNIC maker Xilinx believes the FPGA solution will suffice for 5G as well.

Nokia Bell Labs’ Mikko Uusitalo is leading the European 6G initiative Hexa-X. In the future, the mobile network will mix machines and people into one digital world with major social and economic implications. The first publication sheds light on these visions. The ultra-high terahertz frequencies allow for high data rates, but their use would not be so much for broadband, but for human-machine communication over short distances.

In satellite broadband, Arqiva, the British broadcaster infrastructure provider, has contracted with SpaceX for ground stations and a terrestrial fiber network aimed at getting the island’s sparsely populated areas with decent broadband. Saved from bankruptcy by the British Government, Oneweb continues to build a satellite network and believes in the Arctic area networking potential. The Prime Minister of Finland is overheard to asked for service. The defense sector is also seeking to benefit from commercial networks. Lockheed Martin and the Pentagon are both planning to use 5G as the basis for their communications solutions.

Nokia

Nokia hosted a week-long media show that came to the fore. Network-Nokia has repeated the same management mistakes of Phone-Nokia, which put the company back in the competition. Siilasmaa and Suri made the company’s operating method rigid and complex. The Alcatel-Lucent deal rubbed through the entire five years and drove the company into two camps, internal disagreements, increased bureaucracy and eventually centralization. The goals were made too grandiose and the product design fluctuated, which frustrated the experts. With Lundmark, cleaning began and is going to last three years. That’s how far Nokia is now behind others.

The improvement program cut 11,000 jobs to save costs and adjust the organization. The reductions are mostly outside Finland. Nokia’s personnel has decreased by 11% in two years. The reductions relate to a new business model in which each unit is responsible for its own results and performance. Technology leadership is important to Nokia, and much more is now being invested in it. The straightforward, open and technology-minded Lundmark has been well received inside the house.

Nokia ran into problems with its ambitious ReefShark chipset because manufacturer Intel was unable to meet the requirements and performance and cost-effectiveness were not what it was supposed to be. Nokia was also not good at programming FPGAs. Now ReefShark is a product name under which there can be ASIC, SoC or FPGA circuits depending on the application. Nokia has also agreed on circuit development with Marvell, but will continue to work with Intel and Broadcom. This year, 70% of base stations will be SoC-based and by the end of 2022, FPGA circuits will have been eliminated in base stations. Nokia already has good knowledge of SoC circuits.

Nokia is investing heavily in the cloud and open O-RAN model, which sets it apart from other traditional competitors. Nokia sees a revolution in the industry and is investing in the Network-as-a-Service model. Simply increasing performance is no longer enough, more sophisticated software is needed. Without flexible and agile networks, 5G will not succeed. Eventually, the web becomes like a cloud service purchased as a service.

Nokia announced partnership agreements with all three big clouds. A 5G cloud platform is being developed with Google. Customer-centric solutions and a cloud RAN platform are being developed with AWS. Enterprise cloud solutions are being developed with Azure. Suri believed in selling total solutions, but now Nokia has clearly seen that customers want to choose parts of their packages separately. Nokia is now focusing on the right things and the future looks strong if things are taken care of properly.

Cloud, Edge, SASE

AWS started 15 years ago with S3. Now S3 stores 100 trillion objects (13,000 objects for every person in the world) and handles tens of millions of queries per second. Durability was designed as a feature of the service from the beginning, providing 11 nines usability.

Programmatic underlay connections are lurking in cloud services and cloud players are trying to take their share of the connection market. Their strength is the existing infrastructure and expertise in implementing a software NaaS service. There would be demand for NaaS, but it is difficult for traditional telcos to meet the need. The MSP should be able to offer multiple solutions to find the right fit for each customer’s needs. Integrating and orchestrating many different solutions, on the other hand, is very laborious. In order to respond to the modernizing ICT world, telcos will have to invest more in IT and digital departments, which was seen in Finland years ago when Elisa and Telia grabbed smaller IT houses for themselves.

Google added a Network Connectivity Center to its service, which allows traffic to be carried on Google’s backbone network. SD-WAN and VPN connections can be managed through a single view between different devices. Google also allied with Cisco to provide automatic provisioning of WAN links on the Google network. Here’s what is the Google Network and what does it cover.

Cloudflare’s hosting and CDN platform is constantly expanding. SASE services came last year, now Magic WAN and Magic Firewall have been added to the Cloudflare One package in an attempt to facilitate connections to Cloudflare services and implement a managed security policy. Integrations can be found for Velocloud and Silverpeak. Like Google, the customer can use the Cloudflare backbone for their own connections and of course, the package includes a centralized control panel. Others who trust their own backbone network are e.g. Cato and Microsoft. If this trend continues, it seems that the open internet is turning a little while into closed networks, as has happened in content services. In any case, with the cloud, concentration begins to peak, after which disintegration and the edge begin to emerge.

SASE’s journey is just beginning and the market is fragmented. Gartner’s forecast shows strong growth for the next few years. You should be careful in your choices, as the vendor dropoff and mergers are likely to start soon. The triumph of cloud platforms now seems to continue in the connectivity market as applications have moved into the cloud. Security features are important and with SASE they are consumed as a service. Fragmented pricing of services is beginning to converge.

As the name implies, SASE is on the edge, but Benu has taken SASE services to the operator’s edge in the BNG. The idea of ​​providing service on a broadband termination point close to the user is great. Admittedly, the same idea has been used for years in CDN services. SASE and CDN are each other’s siblings. You can marvel at these lists of cloud and edge trends, inventions and companies.

Azure’s new Routing Preference feature allows you to choose whether you want to transport your traffic over the Internet or Microsoft’s backbone. Azure Route Server facilitates dynamic routing in the cloud. Ivan Pepelnjak delves deeper into the operation, implementation, and configuration of Route Server. In conclusion, cloud communications are becoming increasingly complex and the need for skilled networking experts still exists.

AWS has increased the route limits of Transit-GW and VPN 5-10 times larger to better meet the need. My colleague Markku noticed that AWS uses E-class addresses from 240.0.0.0-255.255.255.255 range in its network. The area is unallocated and reserved for future use. Probably the motive of AWS is not to use public addresses on the internal infrastructure and the E-Class seems to look like a public address, even if it is only for internal use. The E-Class is not routed publicly and on many devices, it belongs to martian addresses that are dropped automatically. My own guess, however, is that the E-Class will someday be used for internet routing. There is such a shortage of IPv4 addresses. And that’s what AWS’s E-Class use kind of proves. In the meantime, you can watch the movie “The End” about the IPv4 address range filling.

Oracle brought L2 networks to the cloud and Ivan Pepelnjak goes through the same L2 problems that have been tried to solve for decades.

Cybersecurity

The Finnish Security of Supply Center has published guidelines for taking cybersecurity into account in ICT agreements and the Police University College published a guide on cybercrime investigation. It appears that companies poorly report cybercrime to the police and carefully weigh the pros and cons. Fear may include reputational damage, the burden of criminal investigation, or a lack of belief that the whole thing would be of any use. In addition, there are several authorities in Finland that should be notified. Supo, the Finnish Security and Intelligence Service, is responsible for national threats. Traficom, The Finnish Transport and Communication Agency, creates situational awareness and assists in the investigation. The data protection officer handles personal data breaches.

Supo said the Chinese APT31 group was behind the Finnish Parliament hacking disguising the attack as an update to the security software. Intelligence services were reported to have used home routers and NAS devices in the attacks. Supo has been said to be a dog that does not bark. Now, for the first time, it named the Chinese as perpetrators of the attack, slightly twisting and curving. In Supo’s opinion, the intelligence is problematic, because the activities that threaten security are easily taken to the shelter of the home peace, to which the intelligence does not have access. At the same time, Supo is asked to provide transparency to surveillance results of which have been told almost nothing.

Ubiquiti’s hacking is worse than earlier appeared and the company has clearly downplayed what happened. The attackers had obtained root credentials from the AWS database, from which they obtained more access credential information. At least all Ubiquiti passwords should be updated, and it could also be a good practice to delete all user profiles from devices and create them with new passwords. Of course, the devices must be upgraded to the latest software and disabling remote management, at least temporarily, should be considered.

The F5 Big-IP 11.6-12.x and Big-IQ 6-7.x were four critical vulnerabilities that were requested to be updated immediately. The Trickbot vulnerability on the Supermicro motherboard affected Pulse Secure’s PSA5000 / 7000 devices. Fixes have been released for the Unix GRUB2 boot loader against a severe BootHole vulnerability in secure boot. It is recommended that updates be installed as soon as manufacturers bring them to their devices. Chrome is now also blocking browser access to TCP port 554 to prevent the use of the NAT Slipstream 2.0 vulnerability. Microsoft released very serious DNS command execution vulnerabilities in dynamic zone updates. The old NIST DNS instructions are still valid. 3653 malicious packages have been removed from Python’s PyPI package manager. The packages easily swim through it to the developers’ own projects.

According to an IBM report, the attacks target more Linux and thus cloud applications. In the cloud, devices are more likely to be available and there is a lot of capacity available in the cloud. Automatic tools are used to scan vulnerable objects and if something is found, it is broken instantly. Anyone can fall victim. New financing opportunities are also being sought from industrial automation control systems, behind which big money and possible ransoms move.

Indeed, a blackmail attack took place in the Canadian Sierra Wireless, in which personnel couldn’t access the design and manufacturing IT systems. Although there was a clear distinction between IT and production systems, factories had to be closed. According to the release, products and online services were not affected by the attack.

Fortinet and Linksys have entered into a partnership for home network security. Fortinet has invested $ 75 million in the development of Linksys routers and the goal is apparently to strengthen Linksys devices with Fortinet security expertise. Fortinet will also be appointed to the Linksys board. So far, this is a buzzword for marketers, and it remains to be seen what the collaboration will be.

Huawei’s job postings were used as bait in Operation Diànxùn, which sought information from telecom operators ’staff on 5G issues. At least 23 operators have been the target of an active campaign.

In the USA, companies and manufacturers have been required to be more transparent in their awareness and management of cyber risks, although there are no legal means to address it. Corporate data is at the mercy of manufacturers and there is no visibility into practices. CISA has proposed a security rating for companies so that cyber risks can be highlighted and decided by the board. Boards see cybersecurity as an important and influential issue for the future of companies. In the case of public companies, there would be a need for more concrete information on where the risks are and how they are managed. For example, FireEye opened its operations and took a risk. By the example, it is hoped that others will voluntarily go in a more open direction.

Solarwinds reports that the investigation and recovery of its own attack have so far cost $ 3.5 million. The price is really low if you compare it to the extensive effects that apply to other companies as well. Of course, many more costs are expected and reputational damage can hardly be offset by money. On the other hand, the matter is forgotten and the business continues as before.

Very special cybersecurity is being practiced by the Britts. The new royal multi-purpose ocean vessel will begin patrolling the oceans and monitoring submarine cables by 2024. The ship will have advanced sensors and will use underwater drones to collect data. The British and US governments are concerned about Russia’s aggressive operations in the Atlantic Ocean and the growing risks to the fibers.

Technology

For cabling, the latest green OM5 multimode fiber uses Shortwave Wavelength Division Multiplexing technology. Non-standard SWDM transmission provides 50 meters more range, standard transmission has the same distance as OM4. OM5 does little more and at speeds higher than 100G, the development goes to single-mode fiber anyway.

In copper cabling, the Cat6A, which is more than ten years old has maintained its position as the prevailing cabling standard even in new installations. The latest version of the standardization, the Cat8, raises the band to 2 kHz and provides a transfer rate of 25-40 Gbps for a distance of 100 meters. With DSL technology, 1Tbps speeds are already being planned over the telephone cable. After G.fast, we talk about Waveguide and the techniques G.nlp, G.nest and G.tdsl.

On the wireless side, the Wifi7 802.11be standard should be completed by 2024, when equipment is also expected to go on sale. 6 GHz has been added to the frequencies, the bandwidth has been increased to 320 MHz, the modulation is 4096-QAM and the channelization is 16×16 MIMO to reach speeds of 30-46 Gbps. 6 GHz is already in use in Wifi6E and the frequency is being released in the EU. Saudi Arabia is making the world’s fastest wifi by opening up the entire 6 GHz frequency band to wifi use. 6 GHz solves many wifi problems, but also means reduced range, making networks more susceptible to mesh implementations. Also in preparation is the 802.11bf SENS wifi extension, which allows wifi devices to measure distance, movement, direction and location using a wifi signal. The IEEE standard is intended to coincide with 2024 Wifi7. Other similar technologies are being developed and monitoring assumes revolutionary applications, not all of which may be excited. It must be possible to leave the monitoring.

Cisco and Apple have been working together to improve the user experience since 2015. Now Fastlane + adds predictable scheduling to your Wifi6 connection, allowing Apple terminals and Cisco Catalyst access points to negotiate an optimized latency in a congested network. The magic takes place in the background without the user’s knowledge.

In 400G optics, Infinera drives its own XR optics as standard. 400G-XR optics are used in a PON network for symmetric 400G service. It is the only coherent high-speed point-to-multipoint technology that utilizes separately routable 25G subchannels. Infinera has tested its optics in the field in many locations and expects commercial deployment next year.

Next year is expected to bring 800G optics to the switches and port density will also increase. This results in problems with component integration. Co-packaged optics are still looking for their shape.

Cisco introduced new members to the Silicon One family with peak speeds of 25.6Tbps. The advantage of Silicon One is flexibility and consistency. There are nine different models in the family for different uses. However, all the models have the same architecture and features available to be deployed per use case.

SmartNICs have taken their place in cloud acceleration. They can lighten the load on the CPU and increase the efficiency of, for example, networking, storage or machine learning. SmarNICs are usually FPGA-based cards suitable for the PCIe slot but tightly integrated with hardware. The Xilinx Alveo SN1000 card offers 100Mpps with less than 3 us delay and 4 million stateful sessions with less than 75 W consumption. Netronome Agilio LX competes at the corresponding scale.

New vNOG presentations have been released. David Roy talks about Junos inline monitoring. The purpose is to stream traffic data out of the device in IPFIX format and outsource more complex data processing to the receiver. Data can be collected from a flow or mirror with the granularity of a firewall filter, either sampled or 1: 1. So what does flow collector contain and how does it work? An example is Flowhouse. With the Linux 5.13 kernel, packet sampling adds performance metrics to the flow information. Thus, Sflow can generate real-time telemetry information about packet delays and port queue lengths. Aaron Glenn introduces what is a P4 programmable forwarding plane and what can be done with it. Cisco’s Fred Cuiller explains how to merge two large ISP networks.

While the world is becoming more and more dependent on electronics, a large solar flare could destroy much of the Earth’s electronics. Nasa estimates that the probability of a major flare this decade is 12%. The flares occur in 11-year cycles and the most recent began at the end of 2019. Scientists detect the flare with an 8-minute delay and it hits the ground within 17 to 36 hours, so it’s hard to imagine that protection would be possible in today’s world.

Open Source

In The Hedge podcast, Daniel Teycheney discusses open source in networking. As with commercial products, open-source developers need feedback and experience with the code. The user does not have to bear a bad conscience about free products but can provide valuable feedback that can be used to make products better. It’s the users that make products robust.

The London Internet exchange LINX has been using disaggregation with Edgecore switches and IP Infusion’s NOS for several years. Now the model expands to the Manchester point. LINX has taken a good attitude and acted professionally in bringing disaggregation into a production-critical environment. This story is nice to follow.

Typically, the switch ASIC is configured through the manufacturer’s SDK. However, the SDK limits the features and performance of the operating system. In recent years, attempts have been made to run a new way to run the network operating system NOS directly in the Linux kernel. However, switchdev and kernel APIs have not become common among manufacturers, and only one ASIC manufacturer has written a driver that works with switchdev.

Microsoft’s Sonic has garnered popularity among manufacturers and support is surprisingly wide. Sonic seems to be the future de facto standard in open networks. Even Gartner has come to the prediction that by 2025, 40% of more than 200 switch data centers would be run on Sonic. Sonic is even expected to be a standard operating system similar to Linux, which would be a welcoming backbone in a fragmented disaggregation field.

IPSec-VPN is a bloated heavy protocol family that has been accompanied by an open and free Wireguard application and protocol in recent years. This application is also running in the Linux kernel and now BSD and pfSense are included also. Operating system support is extensive from Windows to Mac OS and Android to iOS. VPN tunneling can be used to make different topologies routed and bridged. The technology is light and efficient: in comparison, the Wireguard code is only 1% of the code in IPSec and OpenVPN. Only ChaCha20 encryption is used for encryption. Wireguard simplifies and makes connection setup easier.

Companies

The Finnish Association of IT sector Employees has published the results of the labor market survey. The average salary for full-time work is € 4,414 / month, and the largest increase, an average of € 600, is obtained by changing jobs. Salary in the Helsinki Metropolitan Area is on average 19%, or € 757 / month higher than elsewhere in Finland.

Just as the platform economy workers began to be included in employment relationships, the Technology Industries of Finland, one of Finland’s largest unions, decided to withdraw from general collective agreements. The purpose of the “labor market bomb” is to increase local bargaining in the workplace. The member companies are very different and have their own needs, justifying the solution. In the future, members of the Technology Industry will agree on matters locally and a new association of Technology Industry Employers will be established for companies related to the Convention.

The electronics industry and the circuit shortage are plagued by surprising chains of influence. Circuit manufacturing requires a lot of water, but Taiwan is plagued by drought and water use will have to be limited. The same has been heard from German factories. The drought, on the other hand, is due to climate change, which no longer brings typhoons to Taiwan as often as before.

Broadcom’s order backlog this year is 90% full when the normal level would be about 25%. Delivery times have been at their worst for 8 months. Huawei has succeeded in developing its own HiSilicon circuit, but manufacturer TSMC imposes restrictions on availability. Huawei’s most successful part is the enterprise unit, which makes a difference to the telecom sector. Compensatory development has been directed at the cloud, software and other ICT sectors.

Cisco and Huawei hold the top spot in Dell’Oro’s enterprise network equipment market statistics for last year. Cisco’s 40% market share is on its own, and the next Huawei will just get a double-digit share of 10%. The statistics include everything from wired networks to wifi and from WAN to security devices. Therefore, Paloalto and Fortinet, who take places 4 and 5, are surprising on the same leg as Aruba. In general, sales of the campus and data center network decreased and router and data security were on the rise with the sale of software and licenses. Wifi remained flat.

Arista has hijacked about half of the leak from Cisco and the rest has gone to whitebox manufacturers. Microsoft and Facebook have been Arista’s biggest customers, but cut purchases last year. Arista’s customer base has grown from 1,100 to 7,200 in ten years. HPE, on the other hand, has fared better than expected, with Aruba and SD-WAN acting as drivers of digital change. Aruba Central’s cloud management has also strengthened Aruba’s position, but the integration of Silver Peak is an important area for development to take advantage of the additional features it brings. Aruba changed Central’s licensing model and raised prices as the cost increase brought about by the cloud infrastructure. Aruba Central has been running in AWS, but now it is also possible to get it from Azure. In addition, the Microsoft collaboration brought Aruba IoT Transport to Azure, which allows IoT devices to be connected to the cloud via an access point or a controller-based IoT hub.

Fortinet buys ShieldX to protect multi-cloud infrastructure. The Orca Security, founded by former Checkpoint employees, is attacking Paloalto and plans to defeat its customers for itself. The promise is truly functional and comprehensive cloud security. The relationship between the companies has embarked on its own career when Orca angered Paloalto by publishing a product comparison video. Paloalto responded with a threatening legal challenge and the soup was ready. Since then, public posts have been exchanged through blogs.

Equinix has introduced a new data center solution based on factory-built modules. Modules can be used to build capacity in smaller units and to produce energy flexibly in different ways. The model will be tested for the first time in Bordeaux, France. Equinix is the clear leader in recent Interconnection market statistics, which shows that Equinix has a total of 392,000 connections. Digital Realty and Megaport follows.

Internet

Russia has tried to incite the uncooperative Twitter. At first, Twitter traffic was slowed, but the effects hit other Internet traffic more broadly. Rostelecom had blocked all of Twitter’s abbreviated t.co domains, but someone had a bad day with the regex, and all domains containing t.co were blocked, including e.g. microsoft.com and reddit.com. Internet traffic in Russia dropped by 24%. The next step was to block the entire use of Twitter if the malicious content does not leave the service.

Blogs recall 2014 when the size of the routing table exceeded 512,000 routes and routers crashed due to lack of memory. The routing table size is now expected to exceed one million routes at approximately the end of 2023. Before that, there will be a full 128,000 routes in the IPv6 table. Now the table sizes are in the order of IPv4 860,000 and IPv6 109,000. In IPv4, the number of /24 prefixes is growing steadily and is now already 60%. For current routers, the size of the table is unlikely to be a bigger problem if the device is designed for peering and has enough RAM.

On the RPKI front, Lumen (formerly CenturyLink, formerly Level3), one of the largest tier-1 operators, has introduced RPKI validation of routes. Qrator Labs explains the difference between a BGP route leak and a BGP hijack. And what RPKI and ROA really matter.

The U.S. DoD has made a plan to sell all 13 Class A IPv4 addresses it owns. Yes, the package has a juicy market value to finance other projects and activities.

In Asia, the trade war is building a capacity wall as the U.S. has forced large producers of submarine cable capacity to put their Pacific projects on hold. Australia has done the same in the past. Facebook has planned two cables for Echo and Bitfrost from the west coast of the US to Indonesia and Singapore. However, cable capacity delays do not have a significant impact on the economy, but may feed local capacity concentrations in, for example, Japan and Taiwan.

An interesting question for fiber investors: how long does fiber last? Fiber manufacturers do not give fibers a lifespan. In practice, it can be seen that the fibers of the 1980s are starting to age. Since then, manufacturing methods, quality, and processing have evolved considerably, and newer fibers no longer have the same problems. Unofficially, researchers have stated that the fiber should last 75 years or more.

Operation

We, network engineers, are all in the same boat, so being empathetic is important. It makes no sense to joke or laugh at the problems and harms of others because one day the shit hits your own fan. Rather, you should sympathize with others and try to be helpful, understanding, and encouraging. Hugops has found a place especially in big and serious cases like the OVH fire, but why not also in every case where people need support.

We keep arguing about complexity, but for good reason. Why does the network always owns and solves everyone else’s problems and fulfill the wildest desires? Experts themselves make networks complex and cumbersome, even if less is enough for business. It’s time to say no and move features where they belong. Keep the network neat and simple. Then maybe automation can succeed.

Cisco has signed an agreement to integrate Terraform’s cloud service into its own Intersight multi-cloud management tool. Terraform’s IaC tools are available as a SaaS through Cisco Intersight.

Running lab devices in your own environment is easy as long as you can download an image from somewhere. Ethan Banks has compiled a list and instructions. For some manufacturers, it is easy (Arista, Cumulus, Aruba), for others more difficult (Cisco, Juniper).

At the level of abstraction, network validation and testing is a difficult and multifaceted topic.

Events

Microsoft Ignite introduced a bunch of announcements. CTO Mark Russinovich gave a broad Datacenter presentation. At time 19:17, WAN will be traversed: more than 130,000 km of fiber, more than 180 edge sites, 149,000 RPKI-signed routes, to connect Azure Orbital space devices to Azure. At time 27:46 a few words about network management. At time 42:04, visions and crazy images of liquid cooling. At time 56:10 chaos testing with Chaos Studio.

A different event IETF110 was again held virtually and all sessions can be found on Youtube. Videos provide a strange experience of following the work of working groups and long sessions on all possible topics.

MWC Barcelona, ​​scheduled for June, has suffered a drop in attendance. Of the big ones, only Verizon has confirmed participation, the others have canceled one after another. The tenacious cloud consultant planned to use the money to rent an Ericsson booth and proclaim the good news of the public cloud in his own “Cloud City” booth. The German broadband congress Angacom has also been virtualized this year and will be retried in person next year.

Epic Despair

The Finnish branch of an international company was hit by a disaster, in which the whole service built on top of the ERP system, broke down. DNS had also been baked into the ERP system, and when it stopped working, the entire service stopped exists. The recovery seemed to be a desperate battle of a few people against the ballast of history. Let this be an example of technical debt and its consequences.

[FI] Tietoliikennealan katsaus 2021-03

Ongelmat

10.3.2021 Euroopan suurimman pilvipalveluntarjoajan ranskalaisen OVH:n Strasbourgin konesalissa tapahtui tulipalo. Konesalikampuksella oli neljä salia, joista yksi tuhoutui täysin palossa ja muut kärsivät savuvahingoista. OVH:n CTO Octave Klaba on hoitanut esimerkillisesti avoimen tiedottamisen Twitterissä. Status-sivu kertoo pilvipalveluiden palautumisen tilanteen.

Korjaustoimet aloitettiin vauhdikkaasti ja 60 työntekijää kokosi tuhansia uusia palvelimia viikossa. Matkalla tuli kuitenkin yllätyksiä ja hidasteita, joten palautuminen ei ole edennyt odotetusti. Esim. hissiä ei saatu käyttöön ja kiireessä sattui virheitä, joita jouduttiin myöhemmin korjaamaan. Palvelimien puhdistaminen eteni kolme räkkiä päivässä.

Palon virallinen syy lienee edelleen epäselvä, mutta heti alussa syylliseksi epäiltiin UPS:ää, johon oli edellisenä päivänä tehty huoltoa. Saleissa oli tehty aiemmin myös virtaakaapelien vaihtoa. 1.4. tiloissa havaittiin jälleen savua ja UPS:sta löydettiin kärähtänyt suodatin.

Tapaus on herättänyt keskustelun palveluiden hajauttamisesta ja varmistamisesta sekä varmuuskopiointivastuusta. On hyvä muistaa, että pilvikin voi hajota ja pahimmassa Force Majeure -tapauksessa asiakasta ei edes hyvitetä katkoista. Pilvipalvelussa asiakas itse vastaa datasta ja sen varmistamisesta. Palvelun hajauttaminen eri fyysisiin sijainteihin on myös asiakkaan tehtävä. Forrest Brazeal muistuttaa meitä laulun sanoin varmuuskopioinnin merkityksestä.

Suomessa Nordean järjestelmäpäivitys ja konesalimuutto venyi kaksi päivää yli suunnitellun. Finanssivalvonta joutui puuttumaan poikkeuksellisen pitkään katkoon ja vaati Nordealta selvitystä asiasta. Samalla kyseenalaistettiin varautuvatko pankit tarpeeksi hyvin mahdollisiin häiriöihin. Maksutoiminnot ovat olennainen osa yhteiskuntainfraa ja myös lähes kaikki tunnnistauminen perustuu pankkipalveluihin.

Operaattorit ja 5G

5G-buumi yllätti Suomessa ja 99,8% väestöpeitto saataisiin aikaan kolmessa vuodessa. Traficomin mukaan nopea 5G on nyt saatavissa lähes 2 miljoonaan kotitalouteen Suomessa. Traficom päivitti mobiiliverkon saatavuustaulukkoa, josta selviää 4G/5G:n peitto kunnittain. Ficom julkaisi oman päivityksen laajakaistaliittymien tilastoista Suomessa ja Euroopassa. Myös maailmanlaajuisesti 5G:n tuleminen tapahtuu nopeammin kuin 4G:ssä.

Mm-aaltojen käyttö on alkanut Suomessa, vaikka päätelaitetuki vielä puuttuu. Telia testaa 26GHz:n taajuutta Helsingissä. Kaikki kolme operaattoria ovat ottaneet entisen 700MHz TV-taajuuden käyttöön.

5G:n myötä koko mobiilioperaattorin tekniikka mullistuu. 3GPP jaksaa yllättää. Se on hylännyt kaikki eksoottiset suljetut tekniikat ja valinnut pilvinatiivin API-rajapintoihin ja HTTP-liikenteeseen perustuvan mallin core-verkkoon. 5G-coressa puhutaankin kolmannen osapuolen alustasta, johon valmistajilla on ollut tunkua. Avoin alusta tuo mukanaan integrointimahdollisuuksia verkossa tarjottavilla palveluille, mutta voi olla myös painajainen yhteensovittamisen kannalta. 5G:n network slicingista onkin paljastunut jo tietoturvauhkia, jossa tieto voi vuotaa yksityisverkkojen välillä.

Operaattorien onkin päivitettävä operointimallit ja osaaminen tämän päivän IT-maailmaan. DevOps-periaatteet tulevat tutuiksi, mutta myös tekoälystä haetaan apua ja jopa liiketoimintaa. Yrityksiä kositaan mukaan kehittämään privaattiverkkojen ekosysteemiä.  Yritysverkko ja mobiiliverkko alkavat yhdistyä yhdeksi kokonaisuudeksi, jossa tekniikat sekoittuvat. Cisco tai Juniper voikin olla varteenotettava peluri yksityisverkoissa, koska ne osaavat perinteisen verkkopuolen hyvin. Myös Telecom Infra Project TIP on kasannut ryhmän kehittelemään ratkaisuja privaattiverkkojen houkutteleviin mahdollisuuksiin. 

Internettiin verrattuna operaattorin verkko edustaa suljettua verkkoa ja uhkaa verkon neutraliteettiä. Tekniikassa palataan takaisin kohti piirikytkentää, kun käyttäjille tarjotaan SLA-määritettyä kaistaa. Internetin parhaan yrityksen -pakettivälitys ja avoimuus jäävät unholaan. Aikoinaan internet voitti juuri välttämällä turhia lupauksia ja tarjoamalla avoimuuden kaikille toimijoille. Yrityksille mobiiliverkko on kuitenkin helpompi kuin “IT-säätämistä” vaativa wifi. Esim. ABB:lle tärkeää on yhteyden luotettavuus ja turvallisuus, etäprovisiointi ja monioperaattorimahdollisuus. Operaattori tarjoaa helpon kumppanuuden, jossa suljettu ja kalliimpi ratkaisu vastaa asiakkaan tarpeeseen helpommin kuin tee-se-itse-verkko. Tässä vähän yhteenvetoa ja vertailua wifin ja 5G:n väliltä. Mobiiliverkko tunkeutuu jatkossa huomaamatta monien laitteiden mukana käyttäjälle ja siinä piilee riski, että käyttäjä menettää kontrollin yhteyksiin ja niiden hallintaan.

5G-verkoissa on tehty nopeusennätyksiä kuluttajalaitteilla: Samsung 5,23 Gbps, Nokia 4,5 Gbps ja Rakuten 1,77 Gpbs. Avoin Open RAN on kerännyt tukijoita ja nyt taistellaan onko ASIC vai FPGA oikea tapa toteuttaa alusta. Massive MIMO on monimutkainen 64 lähetys- ja vastaanottoelementin antenni, joka vaatii raskasta laskentaa. Siksi suorituskyvyllä ja tehokkuudella on väliä. ASIC on tiettyyn toimintoon keskittyvä tehokas piiri, jolla saadaan huipputeho, energiankulutus alas ja laitteen koko pienemmäksi. FPGA tarjoaa laajemmat uudelleenohjelmoitavat toiminnot halvemmalla, mutta syö enemmän energiaa huonommalla suorituskyvyllä. 4G on perustunut enimmäkseen FPGA-ratkaisuihin, mutta 5G:tä lähestytään omilla SoC-piireillä, joiden kehittämiseen on investoitu paljon. SmartNIC-valmistaja Xilinx uskoo kuitenkin, että FPGA-ratkaisu riittää myös 5G:hen.

Nokia Bell Labsin Mikko Uusitalo vetää Euroopan 6G-aloitetta Hexa-X. Tulevaisuudessa mobiiliverkko sekoittaa koneet ja ihmiset yhteen digitaaliseen maailmaan, jolla on suuria yhteiskunnallisia ja taloudellisia vaikutuksia. Ensimmäinen julkaisu valottaa näitä visioita. Huippukorkeat terahertsin taajuudet mahdollistavat suuret datanopeudet, mutta niiden käyttö ei olisi niinkään laajakaistaan, vaan juuri ihmisen ja koneiden kommunikointiin lyhyellä etäisyydellä.

Satelliittilaajakaistassa Brittien broadcaster-infrasta vastaava Arqiva on tehnyt SpaceX:n kanssa sopimuksen maa-asemista ja maanpäällisestä kuituverkosta, joilla pyritään saamaan saaren haja-asutus kunnollisen laajakaistan pariin. Brittien konkurssilta pelastama Oneweb jatkaa satelliittiverkon rakentamista ja uskoo arktiseen alueen verkottamisen mahdollisuuksiin. Kuulemma kyselyä on tullut  myös Suomen pääministeriltä. Puolustussektorikin hakee hyötyä kaupallisista verkoista. Lockheed Martin ja Pentagon suunnittelevat molemmat 5G:n käyttöä kommunikointiratkaisujensa perustana.

Nokia

Nokia järjesti viikon mittaisen mediashown, jossa tuli asiaa laidasta laitaan. Verkko-Nokia on toistanut samoja Puhelin-Nokian johtamisvirheitä, joiden myötä yhtiö ajautui takamatkalle kilpailussa. Siilasmaa ja Suri ajoivat yhtiön toimintatavan jäykäksi ja monimutkaiseksi. Alcatel-Lucent -kauppa hiersi koko viiden vuoden ajan ja ajoi yhtiön kahteen leiriin, sisäisiin erimielisyyksiin, lisääntyneeseen byrokratiaan ja lopulta keskusjohtoiseksi. Tavoitteista tehtiin liian mahtipontisia ja tuotesuunnittelu ailahteli, mikä turhautti asiantuntijoita. Lundmarkin myötä alkoi siivous, joka kestää kolme vuotta. Sen verran Nokia on nyt muita jäljessä.

Parantumisohjelmassa leikattiin ensin 11000 työpaikkaa säätöjen hakemiseksi. Vähennykset kohdistuvat enimmäkseen Suomen ulkopuolelle. Nokian henkilöstö on vähentynyt 11% kahdessa vuodessa. Vähennykset liittyvät uuteen liiketoimintamalliin, jossa jokainen yksikkö vastaa omasta tuloksesta ja tekemisestä. Teknologiajohtajuus on Nokialle tärkeää ja siihen panostetaan nyt selvästi enemmän. Suoraviivainen, avoin ja tekniikasta kiinnostunut Lundmark on otettu hyvin vastaan talon sisällä.

Nokia ajautui ongelmiin oman kunnianhimoisen ReefShark-piirisarjan kanssa, koska valmistaja Intel ei pystynyt vastaamaan vaatimuksiin, ja suorituskyky ja kustannustehokkuus eivät olleet mitä piti. Nokia ei myöskään ollut hyvä ohjelmoimaan FPGA-piirejä. Nyt ReefShark on tuotenimi, jonka alla voi olla ASIC-, SoC- tai FPGA-piirejä käyttökohteen mukaan. Nokia on sopinut piirien kehityksestä myös Marvellin kanssa, mutta jatkaa yhteistyötä Intelin ja Broadcomin kanssa. Tänä vuonna tukiasemista 70% on SoC-pohjaisia ja 2022 loppuun mennessä FPGA-piireistä on päästy eroon tukiasemissa. Nokialla on jo ennestään hyvä osaaminen SoC-piireistä.

Nokia panostaa vahvasti pilveen ja avoimeen O-RAN-malliin, jolla se erottautuu muista perinteisesti kilpailijoistaan. Nokia näkee alan mullistuksen ja panostaa Network-as-a-Service -malliin. Pelkkä suorituskyvyn kasvattaminen ei enää riitä, vaan tarvitaan kehittyneempiä ohjelmistoja. Ilman joustavia ja ketteriä verkkoja ei 5G-kilvassa pärjää. Lopulta verkosta tulee kuin pilvipalvelu, jota ostetaan palveluna.

Nokia julkisti yhteistyösopimukset kaikkien kolmen ison pilven kanssa. Googlen kanssa kehitetään 5G-pilvialustaa, AWS:n kanssa asiakaslähtöisiä ratkaisuja ja cloud-RAN-alustaa, ja Azuren kanssa yritysten pilviratkaisuja. Suri uskoi kokonaisratkaisujen myyntiin, mutta nyt Nokia on nähnyt selvästi, että asiakkaat haluavat valita pakettinsa osat erikseen. Nokia keskittyy nyt oikeisiin asioihin ja tulevaisuus näyttää vahvalta, jos asiat hoidetaan kunnolla.

Pilvi, SASE ja Edge

AWS aloitti 15 vuotta sitten S3-palvelulla. Nyt S3 tallentaa 100 triljoonaa objektia (13000 objektia jokaista maailman henkilöä kohti) ja hoitaa kymmeniä miljoonia kyselyitä sekunnissa. Kestävyys oli suunniteltu palvelun ominaisuudeksi alun alkaen tarjoten 11 ysin käytettävyyden.

Ohjelmalliset underlay-yhteydet luirivat pilvipalveluihin ja pilvipelurit yrittävät ottaa osansa yhteysmarkkinasta. Heidän vahvuutenaan on olemassa oleva infra ja osaaminen ohjelmallisen NaaS-palvelun toteuttamisessa. NaaS-palvelulle olisi kysyntää, mutta perinteisten operaattorien on vaikea vastata tarpeeseen. MSP:n pitäisi pystyä tarjoamaan useampia ratkaisuja, jotta niistä löytyisi kullekin asiakkaalle sopiva. Monen erilaisen ratkaisun integroiminen ja orkestrointi taas on erittäin työlästä. Vastatakseen modernisoituvaan ICT-maailmaan, operaattorit joutuvat panostamaan enemmän IT- ja digiosastoihin, mitä Suomessa nähtiinkin vuosia sitten Elisan ja Telian kahmiessa pienempiä IT-taloja itselleen.

Google lisäsi palveluunsa Network Connectivity Centerin, jolla liikennettä voi kuljettaa Googlen runkoverkossa. SD-WAN- ja VPN-yhteydet voi hallita yhden näkymän kautta eri laitteiden kesken. Google myös liittoutui Ciscon kanssa tarjoten automaattista WAN-linkkien provisiointia Googlen verkossa. Mikä on Googlen verkko ja mihin se ulottuu?

Coudflaren hosting ja CDN-alusta laajenee jatkuvasti. Viime vuonna tulivat SASE-palvelut, nyt Cloudflare One -paketiin on lisätty Magic WAN ja Magic Firewall, joilla yritetään helpottaa yhteyksiä Cloudflaren palveluihin ja hallitun tietoturvapolitiikan toteuttamista. Integraatiot löytyvät Velocloudille ja Silverpeakille. Kuten Googlellakin, asiakas voi käyttää Cloudflaren runkoverkkoa omiin yhteyksiinsä ja tietysti pakettiin kuuluu keskitetty ohjauspaneeli. Muita omaan runkoverkkoonsa luottavia ovat mm. Cato ja Microsoft. Jos tämä suunta jatkuu, näyttää, että avoin internet kääntyykin pikku hiljaa suljettuihin verkkoihin, kuten on käynyt sisältöpalveluissa. Joka tapauksessa pilven myötä keskittyminen alkaa olla huipussaan, jonka jälkeen alkaa hajautuminen ja edgen tuleminen.

SASE:n matka on vasta alussa ja markkina on hajanainen. Gartnerin ennuste näyttää kovaa kasvua lähivuosille. Valinnoissa kannattaa olla tarkkana, koska kohta todennäköisesti alkaa valmistajien pudotuspeli ja yhdistyminen. Pilvialustojen voittokulku näyttää jatkuvan nyt myös yhteysmarkkinoilla kun sovellukset on saatu haalittua pilveen. Tietoturvaominaisuudet ovat tärkeitä ja SASE:n myötä niitä kulutetaan palveluna. Palveluiden hajanainen hinnoittelu alkaa lähentyä toisiaan.

SASE sijaitsee nimensäkin mukaan reunalla, mutta Benu on vienyt SASE-palvelut operaattorin reunalle BNG-keskittimeen. Idea tarjota palvelua laajakaistakeskittimessä lähellä käyttäjää, on loistava. Tosin samaa ajatusta on käytetty vuosikaudet CDN-palveluissa. SASE ja CDN ovatkin toistensa sisarukset. Voit ihmetellä näistä listoista pilven ja edgen trendejä, keksintöjä ja yrityksiä.

Azuren uusi ominaisuus Routing Preference antaa mahdollisuuden valita haluaako liikenteensä kuljettaa internetissä vai Microsoftin verkossa. Azuren Route Server helpottaa dynaamista reititystä pilvessä. Ivan Pepelnjak johdattaa syvemmälle Route Serverin käyttöön, toteutukseen ja konfigurointiin. Tästä johtopäätöksenä voidaan todeta, että pilvitietoliikenne monimutkaistuu koko ajan ja tarve osaaville tietoliikenneasiantuntijoille on edelleen olemassa.

AWS on kasvattanut Transit-GW:n ja VPN:n reittirajoja 5-10 kertaa suuremmiksi vastatakseen paremmin tarpeeseen. Kollegani Markku huomasi, että AWS käyttää verkossaan E-luokan osoitteita alueesta 240.0.0.0-255.255.255.255. Alue on allokoimaton ja varattu tulevaisuuden käyttöön. Varmaankin AWS:n motiivina on olla käyttämättä julkisia osoitteita sisäiseen infraan ja E-luokka ikään kuin näyttää julkiselta osoitteelta, vaikka se vain sisäisessä käytössä onkin. E-luokka ei reitity julkisesti ja monessa laitteessa se kuuluu martian-osoitteisiin, jotka tiputetaan automaattisesti. Oma arvaus kuitenkin on, että E-luokka tulee joskus vielä käyttöön ja internet-reititykseen. Sen verran pulaa IPv4-osoitteista on. Ja sitähän AWS:n E-luokan käyttökin tavallaan todistaa. Sillä välin voit katsoa elokuvan “The End” IPv4-osoitealueen täyttymisestä.

Oracle toi L2-verkot pilveen ja Ivan Pepelnjak käy läpi samat L2:n ongelmat, joita on yritetty ratkaista vuosikymmeniä.

Kyberturvallisuus

Huoltovarmuuskeskus on julkaissut ohjeita kyberturvan huomioimiseksi ICT-sopimuksissa ja PolAMK oppaan kyberrikostutkinnasta. Yritykset ilmoittavat huonosti kyberrikoksista poliisille ja ne punnitsevat tarkkaan haittoja ja hyötyjä. Pelkona saattaa olla mainehaitta, rikostutkinnan kuormitus tai uskon puute, että koko asiasta olisi mitään hyötyä. Lisäksi Suomessa on useita viranomaisia, joille pitäisi asiasta ilmoittaa. Supo vastaa kansallisista uhkista, Traficom luo tilannekuvaa ja auttaa selvityksessä, tietosuojavaltuutettu hoitaa henkilötietoloukkaukset.

Supo kertoi eduskunnan tietomurron takana olevan kiinalainen APT31-ryhmä, joka oli naamioinut hyökkäyksen tietoturvaohjelmiston päivitykseksi. Tiedustelupalveluiden kerrottiin käyttäneen hyökkäyksissä kotireitittimiä ja verkkotallentimia. Supoa on sanottu koiraksi, joka ei hauku. Nyt se nimesi ensimmäistä kertaa hieman kierrellen ja kaarrellen kiinalaiset hyökkäyksen tekijöiksi. Tiedustelu on Supon mielestä ongelmallista, koska turvallisuutta uhkaava toiminta viedään helposti kotirauhan suojaan, jonne tiedustelulla ei ole pääsyä. Samalla Supolta kysytään läpinäkyvyyttä tiedusteluun, jonka tuloksista ei ole kerrottu juuri mitään.

Ubiquitin tietomurto onkin pahempi kuin aiemmin näytti ja yhtiö on selvästi vähätellyt tapahtunutta. Hyökkääjät olivat saaneet pääkäyttäjätunnukset AWS:n tietokantaan, josta he saivat pääsyyn tarvittavia tietoja. Ainakin kaikki Ubiquitin salasanat kehotetaan päivittämään, ja hyvä käytäntö voisi olla myös poistaa kaikki käyttäjäprofiilit laitteista ja luoda ne uusilla salasanoilla. Tietysti laitteet pitää päivittää uusimpaan softaan ja etähallintaa kannattaa harkita poistettavaksi käytöstä ainakin väliaikaisesti.

F5 Big-IP 11.6-12.x ja Big-IQ 6-7.x oli neljä vakaa haavoittuvuutta, jotka pyydetiin päivittämään heti. Supermicron emolevyn Trickbot-haavoittuvuus vaikutti Pulse Securen PSA5000/7000-laitteisiin. Unixin GRUB2 boot loaderiin on julkaistu korjauksia vakavaa suojatun käynnistyksen BootHole-haavoittuvuutta vastaan. Päivitykset suositellaan asentamaan heti kun valmistajat tuovat ne omiin laitteisiinsa. Chrome blokkaa nyt selaimen pääsyn nyt myös TCP 554-porttiin estääkseen NAT Slipstream 2.0 -haavoittuvuuden käyttöä. Microsoft julkaisi erittäin vakavia DNS-komentosuoritushaavoittuvuuksia zonejen dynaamisissa päivityksissä. Vanhat NIST:n DNS-ohjeet pätevät edelleen. Pythonin PyPI-paketti-hallinnasta on poistettu 3653 haitallista pakettia. Paketit uivat helposti sitä kautta kehittäjien omiin projekteihin mukaan.

IBM:n raportin mukaan hyökkäykset kohdistuvat aiempaa enemmän Linuxiin ja sen myötä pilvisovelluksiin. Pilvessä laitteet ovat todennäköisemmin saavutettavissa ja pilvessä on tarjolla paljon kapasiteettia. Automaattisia työkaluja käytetään alttiiden kohteiden skannaamiseen ja kun kohde löytyy, se murretaan hetkessä. Kuka tahansa voi joutua uhriksi. Uusia rahastusmahdollisuuksia haetaan myös teollisuusautomaation ohjausjärjestelmistä, joiden takana liikkuvat isot rahat ja mahdolliset lunnaat.

Kanadalaisella Sierra Wirelesillä tapahtuikin kiristyshyökkäys, jossa henkilöstö ei päässyt käsiksi suunnittelu- ja valmistusjärjestelmiin. Vaikka IT- ja tuotantojärjestelmien välillä onkin selkeä erotus, tehtaat jouduttiin sulkemaan. Tiedotteen mukaan tuotteisiin ja verkkopalveluihin iskulla ei ollut vaikutusta.

Fortinet ja Linksys ovat lähteneet yhteistyöhön kotiverkkojen turvallisuuden nimissä. Fortinet on investoinut 75 miljoonaa dollaria Linksysin reititinratkaisujen kehittämiseen ja tavoitteena on ilmeisesti vahvistaa Linksysin laitteita Fortinetin tietoturvaosaamisella. Fortinet saa myös edustajan Linksysin hallitukseen. Toistaiseksi tämä on markkinamiesten sanahelinää ja nähtäväksi jää mitä yhteistyö poikii.

Huawein työpaikkailmoituksia käytettiin houkutuksena operaatio Diànxùnissa, jossa teleoperaattoreiden henkilöstöltä yritettiin saada tietoa 5G-asioista. Ainakin 23 operaattoria on joutunut aktiivisen kampanjan kohteeksi.

Amerikassa on vaadittu yrityksiltä ja valmistajilta parempaa läpinäkyvyyttä kyberriskien tiedostamiseen ja hallintaan, vaikka siihen ei laissa ole keinoja puuttua. Yritysten data on valmistajien armoilla ja näkyvyyttä käytäntöihin ei ole. CISA on ehdottanut yrityksille turvallisuusluokitusta, jotta kyberriskit voitaisiin nostaa esiin ja hallituksen päätettäväksi. Hallitukset näkevät kyberturvallisuuden tärkeäksi ja vaikuttavaksi asiaksi yritysten tulevaisuuden kannalta. Julkisten yhtiöiden osalta haluttaisiin saada enemmän konkreettista tietoa missä riskejä on ja miten niitä hallitaan. Esimerkiksi FireEye avasi toimintaansa ja otti riskin. Esimerkin voimalla toivotaan muidenkin lähtevän vapaaehtoisesti avoimempaan suuntaan.

Solarwinds raportoi oman hyökkäyksensä tutkimisen ja palautumisen maksaneen toistaiseksi 3,5 miljoonaa dollaria. Hinta on todella pieni jos vertaa sitä laajoihin vaikutuksiin, jotka koskevat muitakin yhtiöitä. Lisäkustannuksia toki odotetaan vielä paljon lisää ja mainehaittaa tuskin voi rahalla korvata. Toisaalta asia unohtuu ja homma jatkuu kuten ennenkin.

Erikoisempaa kybersuojelua harjoitetaan brittien voimin. Uusi kuninkaallinen monikäyttöinen valtamerilaiva alkaa partioida valtamerillä ja valvoa merikaapeleita 2024. Laivassa on kehittyneitä sensoreita ja se käyttää vedenalaisia droneja tietojen keräämiseen. Britit ja USA ovat huolestuneita Venäjän agressiivisesta operoinnista Atlantilla ja kuituihin kohdistuvista kasvavista riskeistä.

Tekniikka

Kaapeloinneissa uusin vihreä OM5-monimuotokuitu käyttää Shortwave Wavelenght Division Multiplexing -tekniikkaa. Epästandardilla SWDM-siirrolla saadaan 50 metriä lisää kantamaa, standardisiirrolla matka on sama kuin OM4:lla. OM5 ei tuo juurikaan mitään lisää ja suuremmilla nopeuksilla kuin 100G, kehitys menee joka tapauksessa yksimuotokuituun.

Kuparikaapeloinnissa yli kymmenen vuotta vanha Cat6A on pitänyt pintansa hyvin ja on säilyttänyt asemansa vallitsevana kaapelointistandardina myös uusissa asennuksissa. Standardoinnin uusin versio Cat8 nostaa kaistan 2 kHz:iin ja sillä saa 25-40 Gbps-siirtonopeuden 100 metrin matkalle. DSL-tekniikalla puhelinkaapelin yli suunnitellaan jo 1Tbps-nopeuksia. G.fastin jälkeen puhutaan Waveguidesta ja tekniikoista G.nlp, G.nest ja G.tdsl.

Langattomalla puolella Wifi7 802.11be-standardi pitäisi saada valmiiksi 2024, jolloin odotetaan myös laitteita myyntiin. Taajuuksiin on lisätty 6 Ghz, kaistanleveys on kasvanut 320 MHz:iin, modulaation on 4096-QAM ja kanavointi 16×16 MIMO, joilla päästään 30-46 Gbps-nopeuksiin. 6 GHz on käytössä jo Wifi6E:ssä ja taajuutta ollaan vapauttamassa EU:ssa. Saudi-Arabiassa tehdään maailman nopeinta wifiä avaamalla koko 6 GHz:n taajuusalue wifin käyttöön. 6 GHz ratkaisee monia wifin ongelmia, mutta tarkoittaa myös kantaman pienenemistä, jolloin verkoissa joudutaan herkemmin mesh-toteutuksiin.

Valmistelussa on myös wifin laajennus 802.11bf SENS, jonka avulla wifi-laitteet voivat mitata etäisyyttä, liikettä, suuntaa ja paikkaa käyttäen wifi-signaalia. IEEE:n standardiksi pyritään samaan aikaan 2024 Wifi7:n kanssa. Muitakin vastaavia tekniikoita on kehitteillä ja seurannassa oletetaan mullistavia sovelluksia, joista kaikki eivät välttämättä ole innoissaan. Seurannasta pitää olla mahdollisuus poistua.

Cisco ja Apple ovat tehneet yhteistyötä käyttäjäkokemuksen parantamiseksi jo vuodesta 2015. Nyt Fastlane+ lisää Wifi6-yhteyteen ennustettavan ajoituksen, jolla kuormittuneessa ympäristössä Apple-päätelaitteet ja Ciscon Catalyst -tukiasemat voivat neuvotella optimoidusta viiveestä. Taika tapahtuu käyttäjän tietämättä taustalla.

400G-optiikassa Infinera ajaa omia XR-optiikoitaan standardiksi. 400G-XR -optiikkaa käytetään PON-verkossa symmetriseen 400G-palveluun. Se on ainut koherentti suurilla nopeuksilla toimiva point-to-multipoint -teknologia, jossa hyödynnetään erikseen reititettäviä 25G-alikanavia. Infinera on testannut optiikkaansa kentällä monessa paikassa ja odottaa kaupallista käyttöönottoa ensi vuonna.

Ensi vuonna odotetaan myös 800G-optiikan tuloa kytkimiin ja porttitiheyden kasvua. Tästä seuraa ongelmia komponenttien integroinnissa. Yhteisapakatut optiikat etsivät vielä muotoaan.

Cisco esitteli uusia jäseniä Silicon One -perheeseen, jonka huippuvauhdit ovat 25,6Tbps. Silicon Onen etuna on joustavuus ja yhdenmukaisuus. Perheessä on yhdeksän eri piiriä eri  käyttökohteisiin. Kuitenkin  sarjalla on yksi ja sama arkkitehtuuri ja ominaisuudet, joista otetaan tarpeen mukaan käyttöön sopivat.

SmartNIC:t ovat ottaneet paikkansa pilvikiihdytyksessä. Ne voivat helpottaa CPU:n kuormaa ja tehostaa esim. verkon, tallennuksen tai koneoppimisen töitä. SmarNIC:t ovat yleensä FPGA-pohjaisia PCIe-paikaan sopivia kortteja, mutta tiukasti integroituja raudan kanssa.  Xilinxin Alveo SN1000 -kortti tarjoaa 100Mpps alle 3 us viivellä ja 4 miljoonaa tilallista sessiota alle 75 W:n kulutuksella. Netronome Agilio LX kilpailee vastaavassa sarjassa.

Uusia vNOG-esityksiä on julkaistu. David Roy kertoo Junos Inline-monitoroinnista. Tarkoituksena on striimata liikennedataa ulos laitteesta IPFIX-formaatissa ja ulkoistaa monimutkaisemmat datankäsittelyt vastaanottopäähän. Dataa saa kerättyä flow:sta tai mirrorista firewall-filtterin tarkuudella joko samplattuna tai 1:1. Mitä sitten flow collector sisältää ja miten se toimii? Esimerkkinä Flowhouse. Linuxin 5.13 kernelin myötä pakettien samplaus lisää flow-tietoon suorituskykymetriikkaa. Sflow voi siis tuottaa reaaliaikaista telemetriatietoa pakettien viiveistä ja porttien jonon pituuksista. Aaron Glenn esittelee mikä on P4-ohjelmoitava välityskerros ja mitä sillä voi tehdä. Ciscon Fred Cuiller kertoo miten kaksi isoa operaattoriverkkoa yhdistetään.

Samalla kun maailma on enemmän ja enemmän riippuvainen elektroniikasta, iso aurinkopurkaus saattaa tuhota suuren osan maapallon elektroniikasta. Nasa arvioi, että ison purkauksen todennäköisyys tällä vuosikymmenellä on 12%. Purkaukset tapahtuvat 11 vuoden sykleissä ja viimeisin alkoi 2019 lopussa. Tutkijat havaitsevat purkauksen 8 minuutin viiveellä ja maahan purkaus iskee 17-36 tunnin kuluessa, joten on vaikea kuvitella, että suojautuminen onnistuisi nykymaailmassa.

Avoin lähdekoodi

The Hedge -podcastissa Daniel Teycheney keskustelee avoimesta koodista verkkotuotteissa. Kuten kaupallisissa tuotteissakin, avoimen koodin kehittäjät kaipaavat palautetta ja kokemuksia koodista. Käyttäjän ei tarvitse kantaa huonoa omaatuntoa ilmaisista tuotteista, vaan voi antaa arvokasta palautetta, jonka pohjalta tuotteista voidaan tehdä parempia. Käyttäjät luovat tuotteista luotettavia.

Lontoon yhdysliikennepiste LINX on käyttänyt jo useamman vuoden disaggregointia Edgecoren kytkimillä ja IP Infusionin NOS:lla. Nyt malli laajenee Manchesterin pisteeseen. LINX on ottanut hyvän asenteen ja toiminut ammattimaisesti disaggregoinnin tuomisessa tuotantokriittiseen ympäristöön. Tätä tarinaa on kiva seurata.

Yleensä kytkin-ASIC konfiguroidaan valmistajan SDK:n kautta. SDK kuitenkin rajoittaa käyttöjärjestelmän ominaisuuksia ja suorituskykyä. Viime vuosina on yritetty uutta tapaa, jolla verkkokäyttöjärjestelmä NOS saataisiin ajettua suoraan Linuxin kernelissä. Switchdev ja kernel-API:t eivät ole kuitenkaan yleistyneet valmistajien keskuudessa ja vain yksi ASIC-valmistaja on kirjoittanut switchdevin kanssa toimivan ajurin.

Microsoftin Sonic on kerännyt suosioita valmistajien keskuudessa ja tuki sille löytyy yllättävän monesta raudasta. Sonic näyttää olevan tuleva de facto -standardi avoimissa verkoissa. Jopa Gartner on yltynyt ennustamaan, että 2025 40% yli 200 kytkimen konesaleista ajettaisiin Sonicilla. Sonicista odotetaan jopa Linuxia vastaavaa standardikäyttöjärjestelmää, mikä olisi hajanaisessa kentässä mukava selkänoja.

IPSec-VPN on pöhöttynyt raskas protokollaperhe, jonka rinnalle on noussut viime vuosina avoin ja ilmainen Wireguard-sovellus ja -protokolla. Tämäkin sovellus ajetaan Linuxin kernelissä ja nyt myös BSD ja sen mukana pfSense on tullut mukaan. Käyttöjärjestelmätuki on laaja Windowsista Mac OS:ään ja Androidista IOS:iin. VPN-tunneloinnilla voidaan tehdä reititettyjä ja siltaavia erilaisia topologioita. Teknologia on kevyt ja tehokas: vertailussa Wireguardin koodi on vain 1% IPSecin ja OpenVPN:n koodimäärästä. Salaukseen käytetään ainoastaan ChaCha20-salausta. Wireguard yksinkertaistaa ja helpottaa yhteyksien muodostusta.

Yritykset

Tietoala on julkaissut työmarkkinatutkimuksen tulokset. Keskimääräinen kokoaikatyön palkka on 4414 €/kk ja suurimman korotuksen, keskimäärin 600€, saa vaihtamalla työpaikkaa. Pääkaupunkiseudulla palkat ovat keskimäärin 19% eli 757 €/kk suuremmat kuin muualla Suomessa.

Juuri kun alustatalouden toimijoita on alettu saada työsuhteiden piiriin, Suomen suurimpiin liittoihin kuuluva Teknologiateollisuus päätti irtautua yleisistä työehtosopimuksista. “Työmarkkinapommin” tarkoituksena on lisätä paikallista sopimista työpaikoilla. Jäsenyritykset ovat hyvin erilaisia ja niillä on omat tarpeensa, perustellaan ratkaisua. Jatkossa Teknologiateollisuuden jäsenet sopivat asioista paikallisesti ja yleissopimukseen liittyville yrityksille perustetaan uusi liitto Teknologiateollisuuden työnantajat.

Elektroniikkateollisuutta ja piiripulaa vaivaavat yllättävät vaikutusketjut. Piirivalmistuksessa tarvitaan runsaasti vettä, mutta Taiwania vaivaa kuivuus ja veden käyttöä joudutaan rajoittamaan. Samaa on kuultu Saksan tehtailta. Kuivuus taas johtuu ilmastonmuutoksesta, joka ei tuo enää taifuuneja Taiwanille niin usein kuin ennen.

Broadcomin tämän vuoden tilauskanta on 90% täynnä kun normaalitaso olisi n. 25%. Toimitusajat ovat venähtäneet pahimmallaan 8 kuukaudeksi. Huawei on onnistunut kehittämään omaa HiSilicon-piiriään, mutta valmistaja TSMC aiheuttaa rajoituksia saatavuuteen. Huaweilla parhaiten menestyy Enterprise-yksikkö, joka tekee pesäeroa telecom-sektoriin. Kompensoivaa kehitystä on suunnattu pilveen, ohjelmistoihin ja muuhun ICT-sektoriin.

Cisco ja Huawei pitävät kärkipaikkaa Dell’Oron yritysverkkolaitemarkkinatilastossa viime vuodelta. Ciscon 40% markkinaosuus on omilla lukemillaan ja perässä seuraava Huawei saa juuri kaksinumeroisen osuuden 10%:lla. Tilasto sisältää kaikki lankaverkoista wifiin ja WAN:sta tietoturvalaitteisiin. Siksi yllättävät sijat 4-5 ottava Paloalto ja Fortinet samalla osuudella kuin Aruba. Yleisesti kampus- ja konesaliverkon myynti väheni ja reititin- ja tietoturva olivat ohjelmistojen ja lisenssien myynnin myötä nousussa. Wifi pysyi tasaisena.

Arista on kaapannut noin puolet Ciscolta vuotavasta kaupasta ja loput ovat menneet whitebox-valmistajille. Microsoft ja Facebook ovat olleet Aristan suurimmat asiakkaat, mutta leikkasivat ostoja viime vuonna. Aristan asiakaskanta on nousset kymmenessä vuodessa 1100:sta 7200:aan. HPE:llä sen sijaan on mennyt odotettu paremmin Aruban ja SD-WAN:n toimiessa digitalisaation muutosvetureina. Myös Aruba Central pilvihallinta on vahvistanut Aruban asemaa mutta Silver Peakin integrointi on tärkeä kehityskohde, jotta sen tuomat lisäominaisuudet saadaan käyttöön. Aruba muutti Centralin lisensointimallia ja nosti hintoja alustan tuoman kulukasvun myötä. Aruba Central on pyörinyt AWS:ssä, mutta nyt alusta on mahdollista saada myös Azuresta. Lisäksi Microsoft-yhteistyö toi Azureen Aruba IoT Transportin, jolla IoT-laitteet voi yhdistää tukiaseman tai kontrollisen IoT-hubin kautta pilveen.

Fortinet ostaa monipilven infran suojakseen erikoituneen ShieldX:n. Isrealilainen entisten Checkpointin työntekijöiden perustama Orca Security hyökkää Paloaltoa vastaan ja aikoo voittaa sen asiakkaita itselleen. Lupauksena on oikeasti toimiva ja kattava pilvitietoturva. Yritysten välinen suhde on lähtenyt omalle uralleen kun Orca suututti Paloalton julkaisemalla tuotteiden vertailuvideon. Paloalto vastasi uhkaamalla oikeushaasteella ja soppa oli valmis. Sen jälkeen on vaihdettu julkisia viestejä blogien kautta.

Equinix on esitellyt uuden konesaliratkaisun, joka perustuu tehtaalla rakennettuihin moduleihin. Moduleilla voidaan rakentaa kapasiteettia pienemmissä yksiköissä ja energiaa voidaan tuottaa joustavasti eri tavoille. Ensi kertaa mallia kokeillaan Ranskassa Bordeauxissa. Equinix on omilla lukemillaan selvänä johtajana tuoreessa Interconnection-markkinatilastossa, josta selviää, että Equinixilla on yhteensä 392000 yhteyskytkentää. Digital Realty ja Megaport seuraavat perässä.

Internet

Venäjä on yrittänyt suitsia yhteistyöhalutonta Twitteriä. Ensin Twitterin liikennettä hidastettiin, mutta vaikutukset osuivatkin laajemmin muuhun internet-liikenteeseen. Rostelecom oli blokannut kaikki Twitterin lyhennetyt t.co-domainit, mutta joltain meni regexit pieleen ja kaikki t.co sisältävät domainit blokattiin, sisältäen mm. microsoft.com ja reddit.com. Venäjän internet-liikenne dippasi 24%. Seuraava vaihe oli estää koko Twitterin käyttö jos haitallinen sisältö ei poistu palvelusta.

Blogeissa on muisteltu vuotta 2014 kun reititystaulun koko ylitti 512000 reittiä ja reitittimiä kaatui muistinpuutteeseen. Nyt odotetaan reititystaulun koon ylittävän miljoona reittiä suunnilleen vuoden 2023 lopussa. Ennen sitä tulee IPv6-taulussa täyteen 128000 reittiä. Nyt taulujen koot ovat luokkaa IPv4 860000 ja IPv6 109000. IPv4:ssa /24 prefixien määrä kasvaa tasaisesti ja on nyt jo 60%. Nykyisten reitittimien kannalta taulun koosta tuskin tulee isompia ongelmia jos laite on tarkoitettu peeraukseen ja siinä on riittävästi RAM:ia.

RPKI-rintamalla Lumen (entinen CenturyLink, entinen Level3), yksi isoimmista tier-1 -operaattoreista, on ottanut käyttöön reittien RPKI-validoinnin. Qrator Labs selittää mitä eroa on BGP route leakilla ja BGP hijackillä. Ja mitä RPKI:llä ja ROA:lla on oikeastaan merkitystä.

USA:n DoD on tehnyt suunnitelman myydä kaikki omistamansa 13 A-luokkaa IPv4-osoitteita. Paketilla on kyllä messevä markkina-arvo rahoittaa muita projekteja ja toimintaa.

Aasiassa kauppasota rakentaa kapasiteettimuuria kun USA on pakottanut isot merikaapelikapasiteetin tuottajat pistämään Tyynenmeren hankkeensa jäihin. Myös Australia on toiminut aiemmin samoin. Facebookilla on ollut suunnitteilla kaksi kaapelia Echo ja Bitfrost USA:n länsirannikolta Indonesiaan ja Singaporeen. Kaapelikapasiteetin viivästykset eivät kuitenkaan merkittävästi vaikuta talouteen, mutta saattavat kyllä ruokkia paikallisia kapasiteettikeskittymiä esim. Japanissa ja Taiwanissa.

Mielenkiintoinen kysymys kuituinvestoijille: kuinka kauan kuitu kestää? Kuituvalmistajat eivät anna kuiduille elinikää. Käytännössä näkyy, että 1980-luvun kuidut alkavat ikääntyä. Noista ajoista valmistusmenetelmät, laatu ja käsittely ovat kehittynyt huomattavasti, ja samoja ongelmia ei uudemmilla kuiduilla enää ole. Epävirallisesti tutkijat ovat todenneet, että kuidun pitäisi kestää 75 vuotta tai enemmän.

Operointi

Olemme kaikki verkkojen ja palveluiden ylläpitäjät samassa veneessä, joten on empatia on tärkeää. Toisten ongelmille ja vahingoille ei ole järkeä ilkkua tai nauraa, koska jonain päivänä pilkka osuu omaan nilkkaan. Ennemmin kannattaa sympata toisia ja yrittää olla avulias, ymmärtäväinen ja kannustava. Hugops on saanut sijaa varsinkin isoissa ja vakavissa tapauksissa kuten OVH:n tulipalo, mutta miksei myös pienemmissä ongelmissa ja pulmissa.

Monimutkaisuudesta jaksetaan aina jankuttaa, mutta ihan syystä. Miksi verkon aina annetaan omia ja hoitaa kaikkien muiden ongelmat ja toteuttaa villeimmät toiveet? Asiantuntijat itse tekevät verkoista monimutkaisia ja hankalia, vaikka liiketoiminnalle riittäisi vähempikin. On aika sanoa ei ja hoitaa asiat siellä minne ne kuuluvat. Pidetään verkko siistinä ja yksinkertaisena. Sitten ehkä automatisointikin voi onnistua.

Cisco on tehnyt sopimuksen Terraformin pilvipalvelun liittämisestä sen omaan Intersight-monipilvihallintaan. Ciscon Intersightin kautta saa käyttöön Terraformin IaC-työkalut SaaS-palveluna.

Erilaisten laitteiden pyörittäminen omassa ympäristössä tai labrassa on helppoa kunhan saisi ladattua imagen jostain. Ethan Banks on keräänyt listan ja ohjeet. Toisilla valmistajilla se on helppoa (Arista, Cumulus, Aruba), toisilla vaikeampaa (Cisco, Juniper).

Abstraktoinnin tasolla verkon validointi ja testaus on vaikea ja monisyinen asia.

Tapahtumat

Microsoft Ignitessä saatiin kasa julkistuksia. CTO Mark Russinovich piti laajan Datacenter-esityksen. Ajassa 19:17 käydään läpi WAN: yli 130000 km kuitua, yli 180 edge-saittia, 149000 RPKI-allekirjoitettua reittiä, Azure Orbital avaruuslaitteiden kytkemiseksi Azureen. Ajassa 27:46 muutama sana verkonhallinnasta. Ajassa 42:04 visioita ja hullunkurisia kuvia nestejäähdytyksestä. Ajassa 56:10 Chaos Studio Azuren kaaostestaamiseen.

Erilainen tapahtuma IETF110 pidettiin jälleen virtuaalisena ja kaikki sessiot löytyvät Youtubesta. Se tarjoaa oudon kokemuksen seurata työryhmien toimintaa ja pitkiä istuntoja kaikista mahdollisista aiheista.

Kesäkuulle ajoitettu MWC Barcelona on kärsinyt osallistujakadon. Isoista vain Verizon on vahvistanut osallistuvansa, muut ovat peruneet yksi toisensa jälkeen. Sinnikäs pilvikonsultti aikoi käyttää rahaa vuokratakseen Ericssonin ständin ja julistaakseen julkisen pilven ilosanomaa omassa “Cloud Cityssään”. Myös Saksan laajakaistakongressi Angacom on virtualisoitu tältä vuodelta ja ensi vuonna yritetään uudelleen paikan päällä.

Kuukauden epätoivo

Erään ulkomaisen yrityksen Suomen konttoria kohtasi katastrofi, jossa ERP-järjestelmän päälle itse kyhätty palvelukokonaisuus hajosi. Myös DNS oli leivottu sisään ERP-järjestelmään, ja kun se lakkasi toimimasta, koko palvelu poistui maailmankartalta. Palautuminen tuntui olevan muutaman ihmisen epätoivoinen taistelu historian painolastia vastaan. Käyköön tämä esimerkkinä teknisestä velasta ja sen seurauksista.