Networking Industry Update 2021-05


A denial of service attack was performed against the Quad9 DNS, which disrupted the service on May 3, 2021 for approximately 90 minutes. The volumetric attack apparently used LDAP protocol reflection amplification. The attack did not reach the servers but caused network congestion.

Salesforce suffered a global service outage on May 11-12, 2021. The failure was due to a DNS change that the engineer had committed at once globally. The normal procedure would have been a gradual change, but for some reason, this person pushed the changes as an emergency change everywhere at the same time. The expert had been working at the company for many years and the used script was years old. More pain was added when revealed that server management had a dependence on the operation of DNS servers and normal server management was lost due to a DNS failure. The service’s status page page also did not work, and the company had to use its documentation pages, which aroused amusement. Word of problems rushed through social media to customers. The management threw this unfortunate engineer at the wolves and openly blamed one man. This led to some backlash in social media. Errors happen and the purpose is to learn from the error, make corrections, and improve performance. #hugops


There is a constant bustle around the public cloud. AWS is so far a pioneer and leader, involved in almost all implementations thanks to its wide range of services and strong telco community. However, other public clouds are involved in many and have hired managers for the telco business. Dish chose Oracle to implement network slicing and related control plane functions in the cloud. Vodafone is developing a data-crushing platform with Google and Telefonica is building edge services with Microsoft. The differences between the clouds will be reflected in how they manage cloud-native network functions. Google and Microsoft have their strengths and are expected to challenge AWS.

5G must be underpinned by a massive construction contract to upgrade the radio network, transmission network and mobile core. In Japan, Rakuten is lost with its plans and the actual number of base stations needed and construction costs have been unexpected. The size of the entire network is indicated by the fact that in Japan Softbank has 230,000 base stations in the 4G network, in small South Korea there are a total of 870,000 4G base stations and 166,000 5G base stations. China is estimated to have built 1.3 million 5G base stations by the end of this year, reaching only moderate coverage.

Silicon Valley’s startup Airwave is trying to solve the difficulty of dense construction. Airwave promises to prepare the base station sites ready for use. It is trying to be the Airbnb of sites, which searches for and prepares potential installation sites by obtaining permits and concluding contracts. Airwave will not provide equipment or build the site. It pays the few hundred renting fees back to the site owner. The operationnal model is largely the same as in the traditional mast and site business. Now we are moving to ever-larger numbers and more special destinations.

The value of 5G private networks is so hot that even component manufacturers want to get dividends and start making their own network devices. Foxconn and Siemens are planning to manufacture their own 5G products. For the time being, spectrum licenses are held by operators, but when spectrum is released or made available to all, the choice of 5G network providers may be different.

Old mobile networks have a long tail. The 3G networks, which have been in use for almost 20 years, are being shut down and historical relics are being revealed. In the U.S., 6 million alarm devices using the 3G network are threatening to fall off the network and have caused a dispute. Replacing devices is, of course, a tough task, but perhaps nowadays it would be natural to give devices a lifecycle upgrade after 10-15 years, rather than assuming that network technology stays the same forever. On the other hand, mobile networks could be backward compatible to some degree so that even older devices would work. There is a shortage of frequencies and they are needed for new services. T-Mobile and Dish continue the media war over how many customers there were on the soon-to-be-closed CDMA network, 900,000 or 4 million.

AT&T ends its adventure in the media world by outsourcing Warnermedia to a separate company with Discovery. AT&T bought TimeWarner five years ago for 85 billion and now got less than half of it back. With 43 billion revenue, it will get a boost to 5G and broadband construction. Earlier, Verizon announced the sale of its Verizon Media unit. Gone are the days when there was talk of triple/quad play and attracting consumers with media content. Doing business with content was harder than imagined. Attempts are still being made in Finland, although changes are already visible. DNA realized to soon give up pay-TV, but what about Elisa Viihde -Viaplay and Telia-Bonnier and the hockey league?

Operators don’t seem to learn but repeat the same mistakes over and over again. The background is the envy for OTT services and Internet companies. Crazy expansions and world adventures have been seen, even though the network has become a critical issue in our own society and daily life during this time. What if the wasted money had been put directly into network development? But somewhere that sales growth has to be sought. Telenor is withdrawing from Myanmar due to difficult conditions. The coup was too much and the 8-year attempt ends with a write-off of 780 million assets.

Access technologies are evolving and media attention is garnering 5G, which isn’t quite there yet. But DSL technology is also evolving. However, in Finland DNA announced that it would terminate the use of the “160-year-old telegraph network”, aka copper network, by 2025. Of course, mobile or fiber is a substituting technology. Nokia and Proximus have demoed symmetrical 25G fiber network in Antwerp, Belgium. Admittedly, it has more applications on the enterprise side and 5G backhaul than on home broadband.


The operators’ content business is waning, but Amazon is adding steam and buying MGM at a high cost. Amazon already has content through Amazon Studios, Prime Video, Audible, and Twitch. The purpose of the purchase is not entirely clear: did Amazon purchase MGM’s valuable catalog or will it invest and develop the studio? Probably both. Maybe we’ll finally see James Bond as a series. Amazon says companies need to identify when their business models no longer work. The economy of size is value when the price of content has risen out of hands. Amazon has also built an advertising or marketing business that is now thought to be as big as AWS.

For the cloud networkers, the good news is that AWS data billing has been removed between VPCs within the same Availability Zone. A more specific example of cloud usage is building network services using AWS’s Lambda functions. Paloalto has published a comprehensive implementation guide for using a firewall in a public cloud. It serves as a good guideline for all firewall deployments in the cloud.

Google has opened its Hamina data center extension for production and has been operating in Finland for 10 years now. According to a local interview, British and Irish workers have brought a nice added color to Hamina’s local pub culture by expanding beer selections.

Liberty Global and Digital Colony are joining forces with a development company that aims to bring 100 new edge data centers to Europe. Edge and low-latency application development has its special principles which include interesting concepts like offline applications, locality first, network optionality, and fencing. Thus, a global network and a small network latency may not be mandatory application requirements. More importantly, the operating models of the edge are still very vague. This is where the huge commercial potential lies.

Cloud networking is its own thing. The level of networking features varies and solutions are affected by varying features, compatibility, licensing, and costs of native and external virtual products. The industry has been dominated by non-network experts. Now the role of the cloud network architect has come up in the debate. Is that needed and what would be the role? In my opinion, the cloud is about the applications and the connections built for them. The network is built on and depending on the services of the cloud platform. The traditional networking and protocols have been left out, although the basic principles are certainly underlying. As the features of the cloud grow, so does the networking maturity. The cloud platform provides an underlay and the user builds the overlay to suit the applications and their own needs. Yes, a network-savvy designer is needed for this, as it is for all infrastructure and service design and building. Amid all the intricacies, the more complex environment you build, the harder it is to live with. I think with the cloud we will repeat the same mistakes that have been made in the past with the physical networks.

Gartner warns of mixing public clouds. Multi-cloud has little to offer if you start picking the best pieces from different platforms. The same could be said for a multivendor network. Mixing vendors and platforms usually produces more harm than good. Every different piece of hardware, software and feature comes at a price. So my own advice is to focus as much as possible on similar equipment, even if it costs a little more and comes with unnecessary capacity. The cost is small compared to what is spent on operational chores with different platforms.

In the SD-WAN/SASE field, middle mile mania continues. Fortinet, Paloalto, Versa and Vmware joins Google’s Network Connectivity Center and Megaport will build its own edge on Fortinet’s SD-WAN. Where are SD-WAN and SASE going? When the crowd returns to the office, SD-WAN will be in use again. SASE can act as an agent in the endpoint device, but there are many agentless devices that are easiest to tunnel to the cloud over the SD-WAN. However, SASE and its connectors are slowly eating the role of SD-WAN. The multi-cloud is beginning to merge with SASE, but this is the weakness in SASE that needs to be developed. This has been struck by companies like Aviatrix, Alkira, and Prosimo. Data and application processing, protection, routing, access control, etc. also need to be developed further. There are differences between manufacturers. Gartner’s recommendation is to choose a manufacturer that allows you to choose the appropriate method and location for inspection, routing, and logging.

According to a Masergy study, in five years, 92% of companies will use SD-WAN. Most companies use a hybrid model that combines their own environment and the public cloud. Private connection, such as MPLS, is still the prevailing practice for better performance and security. Most use a service provider and only 23% build the SD-WAN themselves. The main reasons for SD-WAN are efficiency, agility, and lower cost. The most important selection criteria for the solution are security and reliability.


The closing of the U.S. East Coast fuel distribution network due to ransomware was a precaution. It is known that the attack was to the IT system, perhaps to the production control system. The Darkside Group itself acknowledged that its job is to make money, not cause harm to society. A ransom of 5 million was paid to them when there was uncertainty about the scale of the attack and the company wanted to restore the service quickly. The recovery took less than a week.

Irish healthcare system underwent a similar incident. For safety’s sake, the entire system had to run down, even though the attack was on data, not operational treatment systems. The line between It and OT is blur when IT is an integral part of all operations. The attacker activities, mental landscape and business models are illuminated by a journalist who has infiltrated the criminal group. The victims have been carefully selected and the preparations have been well done. The attack usually occurs on a Friday night or weekend when staff is away from work.

Norwegian Volue has acted exemplarily openly in dealing with a cyberattack, when so many companies decide to close down and fail to deal with the issue. Volue has shared attack indicators and collaborated with the local CERT and police. It has provided detailed information on the situation on a daily basis and provided contact information for managers for further inquiries. Transparency protects the company, employees and customers, and creates faith in the company’s operations.

Finnish government ICT centre Valtori has confirmed that the Pulse Secure vulnerability has not been exploited or is unlikely to occur. Initially, false alarms due to a software error raised concerns about possible exploitation.

For the first time in history, the number of cloud security breaches exceeded the number of on-premises breaches. Now, 73% of cyber incidents will occur to external cloud resources. The number has bounced upwards in a year. However, there is no evidence that on-premises is safer. The biggest problems with the cloud are stolen credentials, configuration errors, and phishing. On on-premises by far the biggest and growing problem is ransomware. A total of 61% of the problems were related to credentials and only 3% were due to vulnerabilities. Sad but true: 20% of Internet interface vulnerabilities were more than ten years old. The same story is also told by a recent open-source risk analysis report: 91% of the code analyzed contained open source dependencies that had not been updated for two years. 85% of dependencies were more than four years old.

A fragmentation vulnerability has been found in the wifi standard that affects all wifi devices. A design flaw has been in the standard since 1997 and is fortunately difficult to exploit. The manufacturers have been preparing updates for 9 months together with the Wifi Alliance and ICASI. Now they have been published. A brief summary has been compiled on the ICASI website.

The name server Tsuname vulnerability could be used to generate a DDoS attack against another name server. Vmware prompts you to update a serious vulnerability for all Vcenter installations immediately. There is also a temporary workaround.

The Cisco switch may also be hijacked, as happened on the Init7 network. The switch configuration was replaced with propaganda text utilizing the Smart Install feature. The old vulnerability in Cisco Anyconnect and the critical vulnerabilities in SD-WAN vManage and Hyperflex has now been fixed. These are not known to have been exploited, according to Cisco.

In the age of micro-services, the security of containers is often questioned. Traditional methods can be used to attack a Kubernetes cluster: DNS spoofing, overlay networks, or the BGP process. The API is the future of the network and HTTP is the new TCP. The task of the network is to connect and separate, to protect micro-services. This requires visibility provided by a service mesh, such as even Istio or Envoy, on which Vmware’s Tanzu is also based. The service mesh is like a firewall, load balancer and application monitoring tool. However, the GRPC protocol has evolved so that it no longer needs a separate service mesh on its side, but can directly handle load balancing and service discovery. With gRPC, services can be extended directly to the control plane without a proxy.

The Finnish Defense Forces has published the first report on military intelligence and its content is an overview of operations, as might be expected. According to the report, foreign operations have been active in Finland. Local newspaper HS reports a shortage of technical experts that is not mentioned in the report. In the same context, the technical difficulty of monitoring traffic in a dynamically routed network is mentioned. The NSA has been spying on European politicians with the help of the Danish intelligence service in Operation Dunhammer during 2012-2014. Danish cables have been listened to and calls and messages have been collected. The Swedish and Danish defense industries have been spied also. Espionage of Finnish companies is real, according to a report by the Helsinki Chamber of Commerce.

The Finnish Transport and Communications Agency has drafted its own “Huawei framework”. The document only lists the components defined as critical for the communication network.


Technology standardization is sometimes misunderstood. The IETF is not a police or regulator that oversees or creates standards. It has no opinion or purpose on technical matters. The IETF is a volunteer working group that seeks consensus on issues and documents them. The draft can be written by anyone and from anywhere, as the example of Google’s Warren Kumar shows. If the draft has ended up as an RFC, it is already a good common view for further discussion. If further progress is made, the RFC will progress to the BCP (Best Common Practice) level or even the standard (STD). However, executing these different levels of standards is not monitored by anyone particular. The community collectively is only watching after and maybe giving disapproval.

After six years, QUIC has achieved RFC status with a number 9000. The definition is so comprehensive that it is divided into four different RFCs 8999-9002. QUIC does not include HTTP/3, the spec of which will come out later.

EVPN, that much praised standardized protocol, is not fully compatible between different vendors despite the standard. There are a lot of nuances, different implementations, and stages of development in the protocol, so it’s even surprising among manufacturers that something is made to work. EANTC has been conducting multivendor testing for several years. The emphasis is on the service provider world, where multivendor solutions have a place in certain use cases. On the enterprise side, multivendor EVPN-VXLAN has no place if you don’t want to make your life difficult and make protocol tuning your hobby. Maybe one day the development will be at the point where the manufacturers are really compatible. EVPN-VXLAN is also behind Cisco ACI as a somewhat unique implementation. A three-part (1, 2, 3) comparison charts ACI’s advantages over third-party EVPN solutions from technology to operation and cost to scalability.

A more in-depth story has been published about Telia Carrier’s new core architecture. It is based on Cisco 8000 series routers with Broadcom Jericho2 chips and Acacia 400G coherent optics. The network has been made simple and cost-effective. Colt is doing the same modernization with a similar configuration.

With the help of the Metamako, Arista is once again bringing the low-latency switching to a new level. Ten years ago it reached the level of 500 ns and it is now mainstream. The new 7130 switch makes an L1 switching, so a delay of 5 ns is achieved at the electrical level. With this method, the packets just can’t be processes on the switch. L2 switching takes place with a delay of less than 100 ns. Instead of an ASIC, the switching is made on an FPGA and the user can use the SwitchApp application to select the appropriate features to use from a few different profiles. Packet timestamping is extremely accurate at the 400 picosecond level.

One has only to wonder about Arista’s commitment to the HFT market, which is not so huge. The myths continue to be busted. Is a cut-through switching needed for anything anymore? The difference between store-and-forward switching once existed, but in practice today, cut-through is of little importance. Especially when it has many limiting factors that are certainly present in almost every network. Cut-through cannot be done when the speed changes or buffering is done at the gate. This means that cut-through will not work if the switch has line cards or more than one ASIC. In addition, there is certainly always a speed conversion between the access port and the uplink. So all that is left is a local port-to-port switching using compatible hardware in some niche use case. In any case, most applications do not see a difference between microseconds.

When traffic bursts, are buffers needed at the switch? Well, not exactly. Outbound traffic is a problem only if multiple ports feed bursty traffic to the same uplink or vice versa from the uplink to the server port. Instead of buffering and delay, it is probably better to drop the traffic in a controlled manner and let the modern TCP stack handle the problem quickly. Network Function Virtualization (NFV) has also been said to require buffering, but the arguments are as weak as in a data center network. The right place to do buffering is a WAN edge router.

It’s good to remember that applications use IP packets, bigger or smaller, more or less, and with different content. Audio or video, control signal, or monitoring information are just packets among others that the switch or router handles forward in the same way. It is time to declare the special networking requirements of the applications dead. Even ordinary and mediocre network infrastructure does its job just fine without any wonderful tuning. Just look that network topology and functions are right and the application stack works properly.

The switches use high-speed ​​CAM (Content-Addressable Memory) to store lookup tables. CAM uses data for retrieval unlike RAM. The search is also parallel and can be done in cycles. TCAM (Ternary CAM) is a type of memory commonly used in network devices that has a third “don’t care” state in addition to zero and one. Therefore, it is well suited for classifying packets when some of the data can be masked into “any” bits. TCAM is usually a fairly small-sized memory, so there is reason to be concerned about filling it up. Memory is allocated according to the used data. Network devices typically have different profiles that attempt to adjust resources, such as table sizes, to suit different use cases.

18 years ago, Alcatel bought Timetra and brought L2VPNs heavily into MPLS. Operators were enthusiastic about Alcatel devices and the SAM service provisioning tool. The MPLS hype turned into realism. Timetra’s Timos operating system later changed its name to SROS. 2015 Nokia acquired Alcatel-Lucent. Last year, Nokia launched a new operating system, SR Linux. It is the last change to Linux after Junos Evolved switched FreeBSD to Linux in 2018. Almost all network operating systems were originally Linux-based or, at the latest, have now moved to Linux, a neutral, open, and extensible platform. Many Network Operating Systems have a container version available, but surprisingly, Cumulus has not. But yes, it did still go inside Docker.

In wifi, many players have moved to a cloud-managed environment and access points have become independent without a centralized controller. The advantage of the controller has been a possibility to tunnel traffic to a central location and to concentrate operations in one location. Controller sizing and decentralization have become a problem. Can tunneling and standalone access points be combined? It depends. Many manufacturers seem to have a gateway feature that allows LAN access point traffic to be collected and forwarded to a central location.

The Telecom Infra Project (TIP) has launched an open Openwifi initiative that aims to bring open options for building wifi from a variety of pieces. In addition to hardware and software, Openwifi includes various features such as meshing, RRM, Passpoint, and Openroaming. There are more than 100 companies in the community. Whitebox vendor Edgecore has its own wifi product line and also participates in Openwifi. Aruba was the first to launch a Wifi6E access point. Wifi6E use cases include dense areas such as airports, stadiums, hospitals, and lecture halls. In Aruba’s strategy, the access point is an essential data collection element that feeds information about users and devices to the edge platform.

AT&T has tested Openroaming in the urban environment of Austin. The purpose is to show that wifi is capable to roam throughout the city automatically and safely. Openroaming is from Cisco, from where it moved last year to the Wireless Broadband Alliance (WBA). Passpoint is driven by the Wifi Alliance and it focuses more on local roaming. Openroaming then is largely built on top of Passpoint and is designed to provide greater mobility.

The current ways of connecting IoT devices are getting a challenger from Wirepass, which is a spinoff of the University of Tampere. The purpose of Wirepass is to launch a new communication protocol next year that will allow IoT devices to communicate with each other in a distributed manner without base stations. Wirepass Private 5G uses the free 1.9GHz frequency and familiar mobile technologies adapted to the DECT-2020 standard. This results in higher speeds than Zigbee can provide, more secure operation, and telco independent network.

The Zigbee Alliance, which has existed for 20 years as a name, is disappearing and is branding its operations under the new Connectivity Standards Alliance (CSA). The business is expanding, but Zigbee remains an important driving force. Project CHIP (Connected Home over IP) is now Matter, which aims to standardize the communication of smart home IoT devices. In June, Amazon will launch its Sidewalk network, which will connect all its Echo, Ring, and Tile devices via Bluetooth and 900 MHz frequency. Sidewalk is an alternative mesh network if wifi is not available. The feature is turned on automatically, but you can also turn it off.

An update has been made to the EU’s Galileo satellite navigation system, which now offers centimeter-level positioning.


Interesting psychological research says that under pressure a person thinks too complicatedly. The sprawling of thoughts is inherent and we solve problems by adding rather than removing something, although a simple solution to a problem is often best. In a stressful situation, a person easily ends up with easy and quick ways of thinking, and cannot first think of removing something off as an alternative.

The Go language is gaining popularity in general and also in network programmability alongside Python. Go is the right programming language for making programs. Python is used to process data. In network automation, it is beginning to be seen that the automated configuration generation may not have been the only thing to be solved. Creating a configuration takes a lot of time and effort to gather and verify data. Change is a multi-stage workflow and testing is needed in its various stages. At its best, automation can be a closed-loop workflow with a target state defined. The network is constantly tested and any deficiencies and faults detected are quickly corrected automatically. The same tool may not be suitable for automation and testing, but different programs must be used for different functions.

Automation difficulties are tackled with various tools. Jerikan combines the data source, Jinja2 templates, Gitlab, and Ansible. Merlin compiles network status information through a CLI or API. Pandas is a well-known Python data processing library, but networking people should also consider it because of Excel data, time series, and Batfish. As a reminder, here is a summary of Python tools for networking. Help with automation learning is provided by Packet Coders.

Ansible has been released. I have to say that Ansible is not the most clearest product. Many things raise questions: structure, versioning, dependencies, compatibility, fragmented documentation, purpose, etc. The release notes for the new version 4.0.0 can be found on Github. Ansible also tries to solve the workflow problem and synchronize the network state with collections and resource modules.

Network monitoring should operate more on business levels and produce more sophisticated information about the network and traffic. Cost information can be one upper-level parameter to monitor. It may be necessary to optimize traffic if the transported bytes cost. A little better tools and a combination of different sources are needed to dig up the information. Flow data is one versatile source for traffic tracking. Even Linux switchdevs can generate sflow uniformly from all platforms. Switches with Mellanox Spectrum chips can also be used to collect information about packet drops and their causes using What Just Happened (WJH) feature. When you throw the information into time series database and visualization tool, you will get good near real-time information about the behavior of packets. If you happen to use Cumulus Linux, you can use NetQ for monitoring, which is a handy tool for managing and monitoring your Cumulus network anyway.

On the commercial side, Juniper’s multi-vendor data center network management product Apstra was upgraded to version 4.0. Contrail has been discarded and Apstra is now offered by default for data center fabric management. New features include NSX-T 3.0 integration, Sonic support, and connection templates for connected devices. Apstra already supports Juniper, Cisco, Arista, and Cumulus. You can try Apstra for free by logging into Juniper vlabs.

In Europe, less attention has been paid to the NIS directive, which has been in use for a few years now. It has been intended, like the GDPR, to regulate important IT services and service providers, but the practice has stalled due to confusing practices and interpretations. Now NIS2 is trying to fix the situation by specifying more detailed level who the directive applies to. The list includes e.g. IXPs, CDNs, data centers, and DNS services. The goal is good, to get some discipline into poorly performing providers and services. This also means more bureaucracy and the threat of a fine if things don’t go well.

If you are interested in DNS data, here is a list of services where open zone data has been collected. Disney Streaming’s Hulu tells you how to build a large DNS infrastructure and service. Facebook will present how they run BGP in the data center. Facebook has also automated peering using PeeringDB for authentication and request validation.

Microsoft has opened fault data from its data center switches. The network appears to be reliable, but there are manufacturer-specific differences so that one brand is twice as fault-prone as the other. Microsoft doesn’t tell what devices it uses, but known vendors are at least Arista and Mellanox. Arista is probably doing just fine because Microsoft is such a big customer for Arista. But there were 46800 failures on the 180,000 switches during the three-month period. The overall availability was 98%, but with Sonic operating system, the availability increased to 99%. The failures were short, less than six minutes, or else the device died completely and had to be replaced. 32% were hardware failures, 27% power outages, and 17% software bugs.

Companies and products

Greg Ferro’s Enterprise IT Career Handbook provides guidance on coping in the IT industry. It gives you a good idea of ​​how the industry is changing and how to be involved successfully. The soft side is also a very important part of competence and coping today. With technical skills you can get in, but with soft skills you can go far. Having gone through quite a few interviews in the IT industry itself, it can be said that the the level of interviews is shockingly wide. Often a company tries to give a rosy picture of its own operation. Even in some large companies I could not have a clear picture about work despite long talks and a series of questions. Recruiters and interviewers would really have a lot to improve. Instead of technical details and gimmick questions, an interviewer should ask open-ended questions and have an interactive discussion. And first and foremost, the job description should be clear that the applicant knows where she/he is even applying.

Digitization has received some kind of boost during a pandemic. However, according to Sofigate’s study, digitalisation is more of a strategy-level talk than an act. Companies admit that they lack a clear direction to take the actions forward. The main reasons for poor performance are lack of skills and resources as well as resistance to change. In telework, Finland excels and becomes the number one in the EU with a 25% work-from-home share.

Over the years, know-how has run out of companies as a result of their own operations. Few places have good know-how and innovation left when everything is outsourced and purchased as a service. The experts have been driven out and the company’s role remains purchasing, marketing, housekeeping, contract management, and process rotation. Great, right? In North America, it has been asked who lost the local telecom manufacturing. Lucent and Nortel were driven into the arms of Europeans and Chinese leaving Americans without own telco vendors.

After all, Israel’s security sector is booming and there is no end in sight to success. Last year, 31% of the world’s cyber investment went to Israel. There are 443 active cybersecurity companies and 25% of them have been acquired or merged in the last six years. In March of this year alone, ten companies from Israel had risen to more than a billion valued unicorns.

Again Cisco has made series of acquisitions. Sedona was acquired to strengthen routed optical network management and Kenna Security vulnerability management. Socio Labs complements Webex on online platforms. Cisco has spoken in public about its intentions to bring manufacturing price increases for certain products into customer prices. Arista also has an unprecedented difficulty with manufacturing products. Paloalto instead keeps going with the help of software. Already 40% of firewall sales are software and the share is expected to grow steadily, although hardware is still a significant source of revenue.

Juniper has jumped into the SASE game in its own way. Security Director Cloud is a management portal for both network and security services that are slowly moving toward a complete SASE world. The services can be on your own network, in the cloud, or somewhere in between. The transition is slow and Juniper believes that own network services and hardware will remain for a long time to come. This operational challenge of a multi-service environment on transition is solved with a centralized management tool.

Extreme released the Copilot AIOps product to help network monitoring and troubleshooting. On the side of CloudIQ management, Copilot produces a baseline of the network and then it is able to pick up anomalies and draw conclusions from them. Familiar story from Aruba Central and Mist Marvis, for example. In addition, Extreme released the packet broker switch 9920, which is built on top of the P4 programmable Tofino2 circuit. The switch can be used to monitor and process network traffic efficiently. Extreme talks a lot about wanting to get involved in 5G environments. Let’s see if it works.


Internet Map 2021 depicts the largest Internet services on an ancient map, grouping them into countries and continents. The new updated submarine cable map has been released, with all 464 cables in the world and lots of statistics and information around submarine cables.

The market price of IPv4 addresses has risen sharply over the past year, reaching a new high of $ 36 per address.

Qrator Labs has released statistics on 2021 Q1 DDoS attacks and BGP disruptions. The large number of “disruptive ASs” attracts attention: of the approximately 100,000 registered AS numbers, almost 2% leak false routes each month and nearly 10% participate in BGP hijackings. Disruptions are usually small and local, with only a few major events per month. Internet routing disruptions and insecurity are also reflected in services and users, which often receive less attention behind availability. Routing attacks can reveal, for example, an anonymous user or encrypted traffic. Internet services and routing should therefore be better intertwined, rather than trying to operate as independent layers.

Therefore there is a need for RPKI. Comcast, the largest cable company in the USA, has joined the route validation. The work has been done on a long-term basis since 2014. BGP lies are a new concept to me. On the Internet, the AS path should tell the route of the packets, but the data path does not always match the expected AS path. The AS may intentionally modify the AS path, attract traffic to itself, and then forward the traffic in a different way, or the traffic may inadvertently be redirected out of the wrong place.

In the battle for broadband connections, BT’s Openreach has set the wind in British fiber installations are progressing faster than expected and at a lower cost. The target has been raised to 25 million homes by 2026. In Europe, fiber use varies greatly from country to country. Iceland, Spain Sweden is in the lead and Finland is also reasonably in average level.

Satellite race is a little surprising. There are enough competitors from the Western countries and China, and the confidence is high, in such a limited market and technically demanding and expensive implementation. There have also been more negative reviews of Starlink. The satellite connection has its limitations, there are interruptions and real-time interactive applications do not work. The antenna requires a line of sight to the satellite and the space is starting to be cramped and dangerous. A satellite connection is unequal because it restricts the use of certain applications. The net neutrality debate took place years ago in the context of mobile networks. Back then, the reason was administrative. Now, technical characteristics are emerging and differentiating regions geographically. Of course, satellite is better than nothing.

The study also revealed the ultimate reason why the Americans does not use the Internet. The reason is not the availability of the connection, the price, the device, or security threats. Simply people are not interested in using the internet.


RIPE82 offers a lot of presentations from the internet world. The NFD25 introduced products from Nokia, Aruba, Juniper, Vmware, Intel, Ipinfusion, Pathsolutions, and Arrcus. OARCH35 spoke on the DNS issues, which Geoff Huston wrote a summary of and made his assessment.

The main news of the RSA Conference has been compiled by SDxCentral:

It has been 10 years since the hacking of SecurID tokens and the NDAs have expired. Now the participants tell what happened in 2011. What is interesting is not so much the technical implementation of the hacking, but how it was handled and how it affected people. Big things were processed: the twist of secrecy and openness, paranoia and loss of trust, the end of innocence in the security industry, and the formation of the current operational landscape.

Epic hunting

The tail end of the transatlantic submarine cable Amitié was left in the winter for installation on the seabed. Now the end of the cable on the French coast has disappeared from its supposed location. Divers have been sent to the ocean to search for the cable tail end.

[FI] Tietoliikennealan katsaus 2021-05


Quad9-nimipalvelua vastaan tehtiin palvelunestohyökkäys, joka häiritsi palvelua 3.5.2021 noin 90 minuutin ajan. Volumetrisessä hyökkäyksessä käytettiin ilmeisesti LDAP-protokollan heijastusvahvistusta. Hyökkäys ei päässyt palvelimille asti, mutta aiheutti verkossa tukoksia.

Salesforce kärsi maailmanlaajuisesta palvelukatkosta 11.-12.5.2021. Vika johtui DNS-muutoksesta, jonka asiantuntija oli ajanut voimaan kerralla globaalisti. Normaali toimintatapa olisi ollut vaiheittainen muutos, mutta jostain syystä tämä henkilö ajoi muutokset hätämuutoksena kaikkialle samaan aikaan. Asiantuntija oli ollut töissä talossa jo monta vuotta ja ajettu skriptikin oli vuosia vanha. Tuskaa lisäsi, että palvelinhallinnassa paljastui riippuvuus DNS-palvelinten toimintaan ja DNS-vian vuoksi menetettiin palvelimien normaali hallinta. Palvelun nettitiedotus status-sivulla ei myöskään toiminut, vaan yritys joutui käyttämään dokumentaatiosivujaan, mikä herätti huvitusta. Sana ongelmista kiiri somen kautta asiakkaille. Johto heitti tämän epäonnisen asiantuntijan susille ja syytti avoimesti yhtä miestä. Tästä nousikin somessa vastareaktioita. Virheitä sattuu ja tarkoitus on oppia virheestä, tehdä korjauksia ja parantaa suoritusta. #hugops


Julkisen pilven ympärillä kuhisee jatkuvasti. AWS on toistaiseksi pioneeri ja valtias, joka on mukana melkein kaikissa toteutuksissa laajan palveluvalikoimansa ja vahvan telco-yhteisön ansiosta. Muut julkiset pilvet ovat kuitenkin mukana monessa ja ovatkin palkanneet johtajia telco-puolelle. Dish valitsi Oraclen pilven network slicingin ja siihen liittyvien control plane -toimintojen toteutuksiin. Vodafone kehittää Googlen kanssa datanmurskausalustaa ja Telefonica rakentaa edge-palveluita Microsoftin kanssa. Pilvien erot tulevat näkymään siinä miten ne hallitsevat pilvinatiivit verkkotoiminnot. Googlella ja Microsoftilla on omat vahvuutensa ja niiden oletetaan haastavan AWS:n tosissaan.

5G:n taustalla pitää tapahtua massiivinen rakennusurakka, jossa päivitetään radioverkko, siirtoverkko ja mobiilicore. Japanissa Rakuten on hukassa suunnitelmiensa kanssa ja todelliset tarvittavat tukiasemamäärät ja rakennuskustannukset ovat yllättäneet. Koko verkon koosta kertoo se, että Japanissa Softbankilla on 4G-verkossa 230000 tukiasemaa, pienessä Etelä-Koreassa on yhteensä 870000 4G-tukiasemaa ja 166000 5G-tukiasemaa. Kiinassa arvioidaan tämän vuoden loppuun mennessä rakennetun 1,3 miljoonaan 5G-tukiasemaa, jolla se yltää vain keskinkertaiseen kattavuuteen.

Tiheän rakentamisen hankaluutta yrittää ratkaista Piilaakson startup Airwave, joka lupaa hoitaa tukiasemapaikat valmiiksi käyttöä varten. Airwave yrittää olla saittien Airbnb, joka etsii ja valmistelee mahdolliset asennuspaikat hankkimalla luvat ja tekemällä sopimukset. Sen jälkeen se laittaa muut rakentamaan saitin valmiiksi ja tulouttaa saittipaikasta vuokraa muutaman satasen kuussa sen omistajalle. Toiminta on pitkälti samaa kuin perinteisessä masto- ja saittibisneksessä. Nyt vaan siirrytään yhä suurempiin määriin ja erikoisempiin kohteisiin.

5G-yksityisverkkojen arvo on niin kuuma, että myös suuret komponenttivalmistajat haluavat päästä osingoille ja alkavat valmistaa omia verkkolaitteita. Foxconn ja Siemens ovat aikeissa valmistaa omia 5G-tuotteitaan. Toistaiseksi taajuusluvat ovat operaattorien hallussa, mutta kun taajuudet vapautuvat tai tulevat kaikkien saataville, 5G-verkon tarjoajien kirjo voikin olla erilainen.

Vanhoilla mobiiliverkoilla on pitkä häntä. Kohta 20 vuotta käytössä olleita 3G-verkkoja aletaan sulkea ja verkoista paljastuu historiallisia jäänteitä. USA:ssa 3G-verkkoa käyttävät 6 miljoonaa hälytyslaitetta uhkaavat pudota verkosta ja ovat aiheuttaneet porun. Laitteiden vaihto on tietysti kova homma, mutta ehkä nykyaikana olisi luontevaa antaa laitteille elinkaaripäivitys 10-15 vuoden jälkeen, eikä olettaa, että verkkotekniikka pysyy ikuisesti samana. Toisaalta mobiiliverkot voisivat olla taaksepäin yhteensopivia jollain tasolle asti niin, että vanhatkin laitteet toimisivat. Taajuuksista on pulaa ja niitä tarvitaan uusiin käyttötarkoituksiin. T-Mobile ja Dish jatkavat mediasotaa ja kiistelyä montako asiakasta siellä CDMA-verkossa olikaan, 900000 vai 4 miljoonaa.

AT&T päättää seikkailunsa mediamaailmassa ulkoistaessaan Warnermedian omaksi yhtiöksi Discoveryn kanssa. AT&T osti TimeWarnerin viisi vuotta sitten 85 miljardilla ja sai siitä nyt alle puolet takaisin. 43 miljardin tuotolla se saa buustin 5G- ja laajakaistarakentamiseen. Aiemmin Verizon ilmoitti myyvänsä Verizon Media -yksikkönsä. Takana on aika, jolloin puhuttiin triple/quad playsta ja kuluttajien houkuttelemisesta mediasisältöjen avulla. Bisneksen teko sisällöillä olikin vaikeampaa kuin kuviteltiin. Suomessa vielä yritetään, vaikka muutoksia on jo näkyvissä. DNA tajusi luopua maksu-TV:stä hyvissä ajoin, mutta miten käy Elisa viihde -Viaplayn ja Telia-Bonnierin ja Liigan?

Operaattorit eivät tunnu oppivan, vaan toistavat samoja virheitä uudelleen ja uudelleen. Taustalla näkyy kateus OTT-palveluita ja internet-yhtiöitä kohtaan. Suuruudenhulluja laajentumisia ja maailmanseikkailuja on nähty, vaikka verkko on tässä ajassa muodostunut kriittiseksi asiaksi omassa yhteiskunnassa ja päivittäisessä elämässä. Mitä jos hassatut rahat olisi laitettu suoraan verkon kehitykseen? Mutta jostainhan se myynnin kasvu on haettava. Telenor vetäytyy Myanmarista vaikeiden olosuhteiden vuoksi. Vallankaappaus oli liikaa ja 8 vuoden yritys päättyy 780 miljoonan omaisuuden alaskirjaukseen.

Access-tekniikat kehittyvät ja mediahuomion kerää 5G, joka ei ole ihan vielä täällä. Mutta myös DSL-tekniikassa tapahtuu kehitystä. DNA kuitenkin ilmoitti lopettavansa “160-vuotiaan lennätinverkon” eli kupariverkon käytön 2025 mennessä. Tarjolle tulee tietenkin mobiilia tai kuitua. Nokia ja Proximus ovat demonneet symmetristä 25G-kuituverkkoa Belgian Antwerpenissä. Tosin sillä käyttökohteet ovat enemmän yrityspuolella ja 5G-backhaulissa kuin kotilaajakaistassa.


Operaattorien sisältöbisnes on kuihtumassa, mutta Amazon lisää höyryä ja ostaa MGM:n kovalla hinnalla. Amazonilla on jo ennestään sisältöä Amazon Studiosin, Prime Videon, Audiblen ja Twitchin kautta. Oston tarkoitus ei ole täysin selvillä: ostiko Amazon MGM:n arvokkaan katalogin vai aikooko se investoida ja kehittää studion toimintaa? Luultavasti molempia. Ehkä näemme vihdoin James Bondin sarjana. Amazon sanoo, että yritysten on tunnistettava milloin niiden liiketoimintamallit eivät enää toimi. Suuruuden ekonomia jyllää kun sisältöjen hinta on koko ajan noussut. Amazon on myös rakentanut mainonta- tai markkinointiliiketoimintaa, jonka nyt arvellaan hätyyttelevän AWS:n tuottoja.

Verkon osalta ilouutisia tuo se, että AWS:n datansiirtolaskutus on poistettu VPC:eiden välillä saman Availability Zonen sisällä. Erikoisempi esimerkki pilven käytöstä on verkkopalveluiden rakentaminen AWS:n Lambda-funktioiden avulla. Paloalto on julkaissut perusteellisen toteutusoppaan palomuurin käytöstä julkisessa pilvessä. Se toimii hyvänä yleisohjeena kaikille palomuureille ja pilville.

Google on avasi Haminan konesalinsa laajennusosan tuotantoon ja on toiminut Suomessa nyt 10 vuotta. Paikallisen haastattelun mukaan brittiläiset ja irlantilaiset työntekijät ovat tuoneet mukavaa lisäväriä Haminan paikalliseen pubikulttuuriin laajentamalla olutvalikoimia.

Liberty Global ja Digital Colony yhdistävät voimansa kehitysyhtiöön, jonka tarkoitus on tuottaa Eurooppaan 100 uutta edge-konesalia. Edgen pieniviiveisten sovellusten kehittämisessä on omat periaatteensa. Mielenkiintoisia periaatteita ovat mm. offline-sovellukset, paikallisuus ensin, verkon valinnaisuus ja rajaus. Globaali verkko ja verkon pieni viive eivät siis välttämättä ole vaatimuksia sovelluksen kannalta. Edgessä tärkeämpää on operointimallit, jotka ovat vielä hyvin epäselviä. Tässä onkin suuri kaupallinen potentiaali.

Pilvin tietoliikenne on oma juttunsa. Verkko-ominaisuuksien taso vaihtelee ja ulkopuolisten virtuaalituotteiden vaihtelevat ominaisuudet, yhteensopivuus, lisensointi ja kustannukset vaikuttavat ratkaisuihin. Alaa ovat hallinneet muut kuin verkkoasiantuntijat. Nyt pilviverkkoarkkitehdin rooli on noussut keskusteluun. Tarvitaanko sellaista ja mikä sen rooli nyt sitten olisi? Omasta mielestäni pilvessä on kyse sovelluksista ja niille tuotettavista yhteyksistä. Verkkoa tehdään pilvialustan palveluiden varaan ja niistä riippuen. Perinteinen verkkomaailma ja protokollat ovat jääneet pois, vaikka perusperiaatteet ovat toki taustalla. Kun pilven ominaisuudet kasvavat, myös verkkopuoli kypsyy ja monipuolistuu. Pilvialusta tarjoaa underlayn ja käyttäjä itse rakentaa sovellusten ja oman tarpeen mukaisen overlayn. Kyllä tähän joku verkkoasiaa ymmärtävä suunnittelija tarvitaan niin kuin kaikkeen infran ja palveluiden rakentamiseen. Muistutuksena vaan kaikkien hienouksien keskellä, että mitä monimutkaisempaa ympäristöä rakentaa, sitä hankalampi sen kanssa on elää. Luulenpa, että pilven kanssa toistetaan samat virheet, jotka on tehty aiemmin fyysisen verkon kanssa.

Gartner varoittaakin miksaamasta julkisia pilviä. Monipilvellä on vähän annettavaa jos aletaan poimia parhaita paloja eri alustoilta. Samaa voisi sanoa monivalmistajaverkosta. Valmistajien ja erilaisten laitteiden sekoittaminen tuottaa yleensä enemmän harmia kuin hyötyä. Jokaisella erilaisella raudalla, softalla ja ominaisuudella on hintansa. Joten oma neuvoni on keskittää mahdollisimman paljon samanlaisiin laitteisiin, vaikka maksaisi vähän enemmän ja tulisi turhaa kapasiteettia. Hinta on pieni verrattuna siihen mitä kuluu operatiivisiin askereisiin erilaisten ympäristöjen kanssa tusatessa.

SD-WAN/SASE-kentällä middle mile mania jatkuu. Fortinet, Paloalto, Versa ja Vmware liittyvät Googlen Network Connectivity Centeriin ja Megaport rakentaa oman edgensä Fortinetin SD-WAN:lla. Mihin SD-WAN ja SASE ovat menossa? Kun väki palaa toimistolle, SD-WAN:lle on taas käyttöä. SASE voi toimia agenttina päätelaitteessa, mutta on paljon agentittomia laitteita, jotka on helpointa tunneloida SD-WAN:n yli pilveen. SASE ja sen connectorit kuitenkin syövät pikkuhiljaa SD-WAN:n roolia. Monipilvi alkaa yhdistyä SASE:n kanssa, mutta siinä onkin SASE:n heikko kohta, joka kaipaa kehitystä. Tähän ovat iskeneet mm. Aviatrix, Alkira ja Prosimo. Myös datan ja sovelluksen käsittelyssä, suojaamisessa, reitittämisessä, pääsynhallinnassa, jne. on kehitettävää. Valmistajien välillä on eroja. Gartnerin suositus on valita valmistaja, joka antaa mahdollisuuden valita sopivan tavan ja paikan tarkistuksille, reititykselle ja lokitukselle.

Masergyn tutkimuksen mukaan viiden vuoden päästä SD-WAN:ia käyttää 92% yrityksistä. Suurin osa yrityksistä käyttää oman ympäristön ja julkisen pilven yhdistävää hybridimallia, mutta privaattiyhteys, esim. MPLS, on yhä vallitseva käytäntö paremman suorituskyvyn ja turvallisuuden takia. Suurin osa käyttää palveluntarjoajaa ja vain 23% rakentaa SD-WAN:n itse. Tärkeimmät syyt SD-WAN:lle ovat tehokkuus, ketteryys ja alhaisempi hinta. Tärkeimmät valintakriteerit ratkaisulle ovat turvallisuus ja luotettavuus.


USA:n itärannikon polttoainejakeluverkon sulkeminen lunnasohjelman takia oli varotoimi. Tiettävästi isku kohdistui IT-järjestelmään, kenties tuotannon ohjausjärjestelmään. Darkside ryhmä itsekin myönsi, että heidän tehtävänsä on tehdä rahaa, ei aiheuttaa harmia yhteiskunnalle. 5 miljoonan lunnasrahat heille maksettiin, kun hyökkäyksen laajuudesta ei ollut varmuutta ja palvelu haluttiin saada palautettua nopeasti. Palautuminen tapahtuikin alle viikossa.

Samanlainen kohtalo kävi Irlannin terveydenhuoltojärjestelmälle. Koko järjestelmä piti varmuuden vuoksi ajaa alas, vaikka hyökkäys kohdistui dataan, ei operatiivisiin hoitojärjestelmiin. Raja näissä on häilyvä kun IT on olennainen osa kaikkea toimintaa. Hyökkääjien toimintaa, mielenmaisemaa ja liiketoimintaa valottaa rikollisryhmään soluttautunut toimittaja. Uhrit ovat valikoituneet tarkkaan ja valmistelut on tehty hyvin. Hyökkäys tapahtuu yleensä perjantai-iltana tai viikonloppuna kun henkilökunta on pois töistä.

Norjalainen Volue on toiminut esimerkillisen avoimesti kyberiskun hoitamisessa, kun usein niin moni yritys sulkeutuu ja jättää asian hoitamatta. Volue on jakanut hyökkäystietoa ja tehnyt yhteistyötä paikallisen CERT:n ja poliisin kanssa. Se on tiedottanut yksityiskohtaisesti tilanteesta päivittäin ja antanut johtajien yhteystiedot lisäkyselyjä varten. Avoimuus suojelee yritystä, työntekijöitä ja asiakkaita, ja luo uskoa yrityksen toimintaan.

Valtori on vahvistanut, että Pulse Securen haavoittuvuutta ei käytetty hyväksi tai sen todennäköisyys on pieni. Alkuun ohjelmistovirheestä johtuneet väärät hälytykset aiheuttivat huolen mahdollisesta hyväksikäytöstä.

Ensi kertaa historiassa pilven tietoturvaloukkausten määrä ylitti omissa tiloissa tapahtuvien määrän. Tänä vuonna 73% kyberiskuista tapahtuu ulkoisiin pilviresursseihin. Määrä on pompannut vuodessa huimasti ylöspäin. Mikään ei kuitenkaan osoita, että oma ympäristö olisi turvallisempi.

Suurimmat ongelmat pilven osalta ovat varastetut tunnukset, virhekonfiguraatiot ja tiedon kalastelu. Omissa ympäristöissä taas selkeästi suurin ja kasvava ongelma ovat lunnashaittaohjelmat. Kaikkiaan 61% ongelmista koski tunnuksia ja vain 3% johtui haavoittuvuuksista. Surullista, mutta totta: 20% internet-rajapinnan haavoittuvuuksista oli yli kymmenen vuotta vanhoja. Samaa tarinaa kertoo myös tuore avoimen koodin riskianalyysiraportti: 91% analysoiduista koodeista sisälsi avoimen koodin riippuvuuksia, joita ei ollut päivitetty kahteen vuoteen. 85% riippuvuuksista oli yli neljä vuotta vanhoja.

Wifi-standardista on löytynyt fragmentointihaavoittuvuus, joka vaikuttaa kaikkiin wifi-laitteisiin. Suunnitteluvirhe on ollut standardissa vuodesta 1997 ja sitä on onneksi vaikea hyväksikäyttää. Valmistajat ovat valmistelleet päivityksiä 9 kuukauden ajan yhdessä Wifi Alliancen ja ICASI:n kanssa. Nyt ne on julkaistu. ICASI:n sivulle on koottu lyhyt yhteenveto.

Nimipalvelimen Tsuname-haavoittuvuutta voidaan käyttää DDoS-hyökkäykseen toista nimipalvelinta vastaan. Vmware pyytää päivittämään kaikkia Vcenter-asennuksia koskevan vakavan haavoittuvuuden heti. Myös väliaikainen korjauskeino löytyy.

Cisco-kytkinkin voi joutua kaapatuksi, kuten kävi Init7:n verkossa. Kytkimen konfiguraatio oli korvattu propagandatekstillä hyväksikäyttäen Smart Install -ominaisuutta. Cisco Anyconnectin vanha haavoittuvuus ja SD-WAN vManagen ja Hyperflexin kriittiset haavoittuvuudet on nyt korjattu. Näitä ei ole Ciscon mukaan tiettävästi käytetty hyväksi.

Mikropalveluiden aikakaudella konttien tietoturvallisuus nousee usein esille. Kubernetes-klusterin hyökkäykseen voidaan käyttää perinteisiä menetelmiä: DNS spoofingia, overlay-verkkoja tai BGP-prosessia. API on verkon tulevaisuus ja HTTP on uusi TCP. Verkon tehtävänä on yhdistää ja erottaa eli suojata mikropalveluita. Tähän tarvitaan näkyvyyttä, jota tarjoaa keskeinen komponentti service mesh, kuten vaikka Istio tai Envoy, johon perustuu myös Vmwaren Tanzu. Service mesh on kuin palomuuri, kuormanjakaja ja sovellusvalvontatyökalu. GRPC-protokolla on kuitenkin kehittynyt niin, että se ei enää tarvitse erillistä service meshiä kylkeensä, vaan voi suoraan hoitaa kuormanjakoa ja palveluiden löytämistä. Palvelut voidaan gRPC:llä laajentaa suoraan hallintakerrokselle ilman proxyä.

Puolustusvoimat on julkaissut ensimmäisen raportin sotilastiedustelusta ja sen sisältö on yleiskuva toiminnasta, kuten saattoi odottaa. Raportin mukaan ulkomaiset toimivat ovat olleet aktiivisia Suomessa. HS uutisoi osaajapulasta, jota ei raportissa mainita. Samassa yhteydessä mainitaan seurannan tekniset vaikeudet dynaamisesti reitittyvässä verkossa. NSA on vakoillut eurooppalaisia poliitikkoja Tanskan tiedustelupalvelun avustamana operaatio Dunhammerissa vuosina 2012-2014. Tanskalaisia kaapeleita on kuunneltu ja sieltä on kerätty johtajien puheluita ja viestejä. Myös ruotsalaista ja tanskalaista puolustusteollisuutta on vakoiltu. Suomalaisten yritysten vakoilu on todellista, selviää Kauppakamarin selvityksestä.

Suomi on laatinut oman “Huawei-raaminsa” eli Traficomin määräyksen viestintäverkon kriittisistä osista. Määräys listaa viestintäverkon tärkeäksi määritellyt komponentit.


Teknologian standardointi on joskus ymmärretty väärin. IETF ei ole poliisi tai regulaattori, joka valvoo tai tekee standardeja. Sillä ei ole mielipidettä tai tavoitetta teknisten asioiden suhteen. IETF on vapaaehtoisten työryhmä, joka tavoittelee yhteisymmärrystä asioista ja dokumentoi ne. Draftin voi kirjoittaa kuka tahansa ja mistä hyvänsä, kuten Googlen Warren Kumarin esimerkki näyttää. Jos draft on päätynyt RFC:ksi, se on jo hyvä yhteinen näkemys jatkokeskustelulle. Jos asiassa päästään vielä eteenpäin, RFC etenee BCP-tasolle (Best Common Practice) tai jopa standardiksi (STD) asti. Näiden eritasoisten dokumenttien noudattamista ei kuitenkaan kukaan varsinaisesti valvo, vaan yhteisö katsoo toimijoiden perään kollektiivisesti.

Kuuden vuoden jälkeen QUIC on saavuttanut RFC-statuksen numerolla 9000. Määritys on niin kattava, että se on jaettu neljään eri RFC:hen 8999-9002. QUIC ei sisällä HTTP/3:sta, jonka speksi tulee ulos myöhemmin.

EVPN, tuo paljon puhuttu standardoitu protokolla, ei ole standardista huolimatta täysin yhteensopiva eri valmistajien kesken. Protokollassa on paljon nyansseja, erilaisia toteutustapoja ja kehitysvaiheita, joten valmistajien kesken on jopa yllättävää, että jotain saadaan toimimaan. EANTC on tehnyt kattavaa testausta jo useamman vuoden ajan eri valmistajien laitteiden kesken. Pääpaino on operaattorimaailmassa ja siellä monivalmistajaratkaisuilla onkin paikkansa rajatuissa käyttötapauksissa. Yrityspuolella monivalmistaja-EVPN-VXLAN:lla ei ole sijaa, jos ei sitten halua tehdä elämästään vaikeaa ja harrastaa asiaa perusteellisesti. Ehkä jonain päivänä kehitys on siinä pisteessä, että valmistajat ovat oikeasti yhteensopivia. EVPN-VXLAN on myös Cisco ACI:n taustalla hieman omanlaisena toteutuksena. Kolmiosainen (1, 2, 3) vertailu kartoittaa ACI:n etuja muiden valmistajien EVPN-ratkaisuihin nähden tekniikasta operointiin ja kustannuksista laajennettavuuteen.

Telia Carrierin uudesta runkoarkkitehtuurista on julkaistu perusteellisempi juttu. Se perustuu siis Cisco 8000-sarjan reitittimiin, joiden sisällä on Broadcom Jericho2-piiri, ja Acacian 400G-koherenttioptiikkaan, jolla saadaan optinen kerros selkiytettyä. Verkosta on tehty yksinkertainen ja kustannustehokas. Colt tekee samaa modernisointia samanlaisella kokoonpanolla.

Arista tuo hankkimansa Metamakon avustuksella jälleen pienen viiveen kytkennän uudelle tasolle. Kymmenen vuotta sitten päästiin 500 ns tasolle ja se on nyt valtavirtaa. Uusi 7130-kytkin tekee L1-kytkentää, joten sähköisellä tasolla päästään 5 ns viiveeseen. Tällä menetelmällä paketeille ei vain pysty kytkimessä tekemään mitään. L2-kytkentä tapahtuu alle 100 ns viivellä. ASIC:n sijaan kytkentä tehdään FPGA:lla ja käyttäjä voi SwitchApp-sovelluksen avulla valita sopivat ominaisuudet käyttöön muutamasta eri profiilista. Pakettien aikaleimaus on huipputarkkaa 400 pikosekunnin tasolla.

Täytyy vaan ihmetellä Aristan paneutumista HFT-markkinaan, joka ei nyt kuitenkaan niin valtavan suuri ole. Myyttien murtaminen jatkuu. Tarvitaanko cut-through -kytkentää enää mihinkään? Ero store-and-forward -kytkentään oli joskus olemassa, mutta käytännössä nykypäivänä cut-through:lla ei ole juuri merkitystä. Varsinkin kun sille on monta rajoittavaa tekijää, jotka varmasti ovat lähes joka verkossa. Cut-through:ta ei voi tehdä kun nopeus muuttuu tai portissa tehdään puskurointia. Tämä tarkoittaa siis, että cut-through ei toimi jos kytkimessä on linjakortteja tai useampi ASIC. Lisäksi access-portin ja uplinkin välillä on aika varmasti aina nopeusero. Jäljelle jää siis vain paikallinen portista-porttiin kytkentä sopivalla raudalla jossakin niche-käyttökohteessa. Joka tapauksessa suurin osa sovelluksista ei näe eroa mikrosekuntien välillä.

Kun liikenne purskahtelee, tarvitaanko kytkimessä puskureita? No eipä juuri. Ulospäin suuntautuva liikenne on ongelma vain jos useasta portista tulee purskeista liikennettä samaan uplinkiin tai päinvastoin uplinkistä palvelinporttiin. Puskuroinnin ja viiveen sijaan on luultavasti parempi tiputtaa liikennettä hallitusti ja antaa modernin TCP-pinon hoitaa ongelma. Verkkopalveluiden virtualisoinnin (NFV) on myös esitetty vaativan puskurointia, mutta perusteet ovat yhtä heppoiset kuin muutenkin konesaliverkossa. Oikea paikka tehdä puskurointia on WAN-reunan reititin.

On hyvä muistaa, että sovellukset käyttävät IP-paketteja, isompia tai pienempiä, enemmän tai vähemmän ja erilaisilla sisällöillä. Ääni tai videokuva, ohjaussignaali tai valvontatieto on paketteja muiden joukossa, jotka kytkin tai reititin hoitaa eteenpäin samalla tavalla. Eiköhän ole aika julistaa myös sovellusten erityisvaatimukset kuolleiksi. Tavallinen ja keskinkertainenkin verkkoinfra hoitaa asiansa ihan hyvin ilman ihmeempää virittelyä jos muuten topologia ja toiminnot ovat kohdallaan ja sovelluspino toimii järkevästi.

Kytkimissä käytetään nopeaa CAM-muistia (Content-Addressable Memory) tallentamaan hakutaulukoita. CAM käyttää dataa hakuun toisin kuin RAM. Haku on myös rinnakkainen ja se voidaan tehdä sykleissä. TCAM (Ternary CAM) on yleisesti verkkolaitteissa käytetty muistityyppi, jossa on nollan ja ykkösen lisäksi kolmas “älä välitä”-tila. Siksi se sopii hyvin pakettien luokitteluun kun osa tiedoista voidaan maskata any-biteiksi. TCAM on yleensä melko pienikokoinen muisti, joten sen täyttymisestä vähänkään laajemmassa käytössä on syytä olla huolissaan. Muistia allokoidaan käytetyn datan mukaan. Verkkolaitteissa on yleensä erilaisia profiileja, joilla resursseja, esim. taulujen kokoja, yritetään säätää sopiviksi eri käyttötarkoituksiin.

18 vuotta sitten Alcatel osti Timetran ja toi L2VPN:t vahvasti osaksi MPLS:ää. Operaattorit innostuivat Alcatelin laitteista ja SAM-palveluprovisiointityökalusta. MPLS-hype vaihtui realismiksi. Timetran Timos-käyttöjärjestelmä vaihtoi nimeä myöhemmin SROS:ksi. 2015 Nokia osti Alcatelin. Viime vuonna Nokialta tuli uusi käyttöjärjestelmä SR Linux, joka seurasi Junos Evolvedia, jossa FreeBSD vaihtui Linuxiin 2018. Lähes kaikki verkkokäyttöjärjestelmät ovat olleet alun perin Linux-pohjaisia tai viimeistään nyt siirtyneet Linuxiin, joka on neutraali, avoin ja laajennettava alusta. Monesta käyttöjärjestelmästä on myös saatavissa konttiversio, mutta yllättävä kyllä Cumuluksesta ei. Mutta kyllä se sinne Dockeriin kuitenkin meni.

Wifissä monet toimijat ovat siirtyneet pilvihallittavaan ympäristöön ja sen myötä tukiasemista on tullut itsenäisiä toimijoita ilman kontrolleria. Kontrollerin etu on ollut liikenteen tunnelointi keskuspaikkaan ja toimintojen keskitys yhteen paikkaan. Kontrollerin mitoituksesta ja hajautuksesta on tullut ongelma. Voiko tunnelointia ja itsenäisiä tukiasemia yhdistää? Se vähän riippuu. Monella valmistajalla tuntuu olevan myös gateway-toiminto, jolla LAN:n tukiasemaliikenne saadaan kerätty ja välitettyä keskitettyyn paikkaan.

Telecom Infra Project (TIP) on julkaissut avoimen Openwifi-aloitteen, jolla pyritään tuomaan avoimia vaihtoehtoja wifin rakentamiseen erilaisista palasista. Openwifiin sisältyy raudan ja softan lisäksi erilaisia ominaisuuksia kuten meshing, RRM, Passpoint ja Openroaming. Yhteisössä on yli 100 yritystä laidasta laitaan. Whitebox-valmistaja Edgecorella on oma wifi-tuotelinjansa ja se osallistuu myös Openwifiin. Aruba ehti tuoda ensimmäisenä markkinoille Wifi6E-tukiaseman. Käyttökohteina mainitaan tiheät peitot kuten lentoasemat, stadionit, sairaalat ja luentosalit. Aruban strategiassa tukiasema on olennainen datankeräyselementti, joka syöttää tietoa käyttäjistä ja laitteista edge-alustalle.

AT&T on testannut Openroamingia Austinin urbaaniympäristössä. Tarkoituksena on näyttää, että wifi saadaan roamaamaan koko kaupungin alueella automaattisesti ja turvallisesti. Openroaming on lähtöisin Ciscolta, josta se siirtyi viime vuonna Wireless Broadband Alliancelle (WBA). Passpoint on Wifi Alliancen vetämä enemmän paikalliseen roamingiin keskittyvä teknologia. Openroaming on suurimmaksi osaksi rakennettu Passpointin päälle ja sen tarkoitus on tarjota laajempaa liikkuvuutta.

IoT-maailman nykyiset yhteystavat ovat saamassa haastajan Wirepassista, joka on Tampereen Yliopiston spinoff. Wirepassin tarkoituksena on tuoda markkinoille ensi vuoden aikana uusi kommunikointiprotokolla, jolla IoT-laitteet voivat kommunikoida hajautetusti keskenään ilman tukiasemia. Wirepass Private 5G käyttää vapaata 1,9 GHz-taajuutta ja tuttuja mobiilitekniikoita sovitettuna DECT-2020 -standardiin. Näin saadaan Zigbeetä suurempi 3 Mbps -nopeus, varmempi toiminta ja itsenäinen verkko ilman operaattoria.

20 vuotta olemassa ollut Zigbee Alliance nimenä häviää ja se brändää toimintansa uuden Connectivity Standards Alliancen (CSA) alle. Toiminta laajenee, mutta Zigbee pysyy tärkeänä kantavana voimana. Project CHIP (Connected Home over IP) on nyt Matter, joka pyrkii standardoimaan älykodin IoT-laitteiden kommunikoinnin. Amazon käynnistää kesäkuussa Sidewalk-verkkonsa, joka muodostuu kaikkien sen Echo-, Ring- ja Tile-laitteiden välille Bluetoothilla ja 900 MHz:n taajuudella. Sidewalk on vaihtoehtoinen mesh-verkko jos wifiä ei ole tarjolla. Ominaisuus on päällä automaattisesti, mutta sen voi myös kytkeä pois.

EU:n Galileo-satelliittinavigointijärjestelmään on tehty päivitys, joka tarjoaa nyt senttimetriluokan paikannuksen.


Mielenkiintoinen psykologinen tutkimustulos kertoo, että paineen alla ihminen ajattelee liian vaikeasti. Ajatusten rönsyily on luontaista ja ratkaisemme ongelmia ennemmin lisäämällä kuin poistamalla jotain, vaikka yksinkertainen ratkaisu ongelmaan on usein paras. Kuormittavassa tilanteessa ihminen päätyy helposti helppoihin ja nopeisiin ajattelumalleihin, ja ei osaa ensimmäiseksi ajatella karsimista vaihtoehtona.

Go-kieli kasvattaa suosiotaan yleisesti ja myös verkon ohjelmoitavuudessa Pythonin rinnalla. Go on oikea ohjelmointikieli, jolla tehdään ohjelmia. Pythonia käytetään datan käsittelyyn. Verkon automaatiossa aletaan nähdä, että pelkkä konfiguraation automatisoiminen ei ehkä ollutkaan ainoa asia ratkaistavaksi. Konfiguraation luomisessa menee rutkasti aikaa ja vaivaa tietojen keräämiseen ja varmistamiseen. Muutos on monivaiheinen työnkulku ja testausta tarvitaan sen eri vaiheissa. Parhaimmillaan automaatio voi olla suljetun luupin työnkulku, jolle on määritetty tavoitetila. Verkkoa testataaan jatkuvasti ja huomatut puutteet ja viat korjataan nopeasti automaattisesti. Automaatioon ja testaukseen ei välttämättä sovi yksi ja sama työkalu, vaan eri toimintoihin joudutaan käyttämään eri ohjelmia.

Automaatiovaikeuksia taklataan erilaisilla työkaluilla. Jerikan yhdistää tietolähteen, Jinja2-tempatet, Gitlabin ja Ansiblen. Merlin kokoaa verkon tilatiedon CLI:n tai API:n kautta. Pandas on tunnettu Pythonin datankäsittelykrijasto, mutta verkkoihmistenkin kannattaisi huomioida se mm. Excel-datan, aikasarjojen ja Batfishin takia. Muistutuksena yhteenveto Python-työkaluista verkkokäyttöön. Automaation oppimiseen apua tarjoaa Packet Coders.

Ansiblesta on julkaista versio Täytyy sanoa, että Ansible ei ole sieltä selkeimmästä päästä. Moni asia herättää kysymyksiä: rakenne, versiointi, riippuvuudet, yhteensopivuus, hajanainen dokumentaatio, käyttötarkoitus, jne. Uuden version 4.0.0 release notes löytyy Githubista. Ansible yrittää myös ratkaista työnkulun ongelmaa ja verkon tilatiedon synkronointia kokoelmien ja resurssimodulien avulla.

Verkon valvonnassa pitäisi myös päästä enemmän liiketoimintatasolle ja tuottaa jalostuneempaa tietoa verkosta ja liikenteestä. Kustannustieto voi olla yksi ylemmän tason parametri, jota seurata. Liikennettä voi olla tarpeen optimoida jos siirretyt tavut maksavat. Tiedon kaivamiseen tarvitaankin jo vähän parempia välineitä ja eri lähteiden yhdistelyä. Flow-tieto on yksi monipuolinen lähde liikenteen seurantaan. Linuxin switchdevilläkin voi generoida sflowta yhdenmukaisesti kaikista alustoista. Mellanoxin Spectrum-piireillä varustetuista kytkimistä voi myös kerätä tietoa pakettien tippumisesta ja niiden syistä What Just Happened (WJH) -ominaisuuden avulla. Tiedon kun heittää aikasarjaan ja visualisointiin, niin saa hyvää lähes reaaliaikaista tietoa pakettien käytöksestä. Jos sattuu käyttämään Cumulus Linuxia, voi valvontaan käyttää NetQ:ta, joka on muutenkin näppärä työkalu Cumulus-verkon hallintaan ja valvontaan.

Kaupallisella puolella Juniperin monivalmistajakonesalihallintatuote Apstra päivittyi 4.0-versioon. Contrail on heitetty pois ja Apstraa tarjotaan nyt oletuksena konesalifabricin hallintaan. Uusina ominaisuuksina on NSX-T 3.0 -integraatio, Sonic-tuki ja yhteysmallit liitettäville laitteille. Ennestään Apstra tukee Juniperia, Ciscoa, Aristaa ja Cumulusta. Apstraa voi kokeilla ilmaiseksi kirjautumalla Juniper vlabsiin.

Euroopassa vähemmälle huomiolle on jäänyt NIS-direktiivi, joka on ollut voimassa muutaman vuoden. Sen tarkoituksena on ollut GDPR:n tapaan reguloida tärkeitä IT-palveluita ja palveluntarjoajia, mutta käytäntö on ollut lässähtänyt sekavien käytäntöjen ja tulkintojen vuoksi. Nyt NIS2 yrittää korjata tilanteen tarkentamalla keitä direktiivi koskee. Listalla on mm. IXP:t, CDN:t, konesalit ja nimipalvelut. Tarkoitus on hyvä eli saada jotain rotia huonossa jamassa oleviin toimijoihin ja palveluihin. Tämä tarkoittaa myös lisääntyvää byrokratiaa ja sakon uhkaa jos asiat eivät mene hyvin.

Jos DNS-data kiinnostaa, tässä on lueteltu palveluita, jonne on kerätty avointa zone-dataa. Disney Streamingin Hulu kertoo miten iso nimipalveluinfra ja -palvelu rakennetaan. Facebook puolestaan esitelmöi miten heillä ajetaan BGP:tä konesalissa. Facebook on myös automatioinut peerauksen käyttämällä PeeringDB:tä tunnistautumiseen ja pyynnön validointiin.

Microsoft on avannut dataa konesalikytkimiensä vioista. Verkko tuntuu olevan luotettava, mutta laitteissa on valmistajakohtaisia eroja niin, että toinen merkki on kaksi kertaa vikaherkempi kuin toinen. Microsoft ei kerro mitä laitteita se käyttää, mutta tietojen mukaan ainakin Aristan ja Mellanoxin kytkimiä. Arista varmaankin suoriutuu ihan hyvin, koska Microsoft on niin iso asiakas Aristalle. Mutta itse häiriöitä oli kolmen kuukauden jakson aikana 180000 kytkimessä 4681. Käytettävyys oli kaikkiaan 98%, mutta omalla Sonic-käyttöjärjestelmällä käytettävyys nousi 99%:iin. Katkot olivat lyhyitä alle kuusi minuuttia tai sitten laite kuoli kokonaan ja täytyi vaihtaa. 32% oli laitevikoja, 27% sähkökatkoja ja 17% softabugeja.

Yritykset ja tuotteet

Ohjeita IT-alalla selviämiseen antaa Greg Ferro kirjassaan Enterprise IT Career Handbook. Siitä saa hyvän kuvan miten ala muuttuu ja miten luovia mukana menestyksekkäästi. Myös pehmeä puoli on nykypäivänä erittäin tärkeä osa osaamista ja pärjäämistä. Tekniikan osaamisella pääsee sisään, mutta pehmeillä taidoilla pitkälle. IT-alan haastatteluja itsekin aika monta läpikäyneenä voi sanoa, että haastattelujen tasoero on järkyttävän suuri. Usein yritys yrittää antaa ruusuisen kuvan omasta toiminnastaan. Joissakin isoissakin yrityksissä en ole saanut kysymyksien jälkeenkään selvää kuvaa mitä siellä oikein tehdään ja miten. Rekrytoijilla ja haastattelijoilla olisi tosi paljon parannettavaa. Teknisten detaljien ja kikkakysymysten sijaan voisi kysellä avoimia kysymyksiä ja keskustella vuorovaikutteisesti. Ja ihan ensimmäiseksi pitäisi saada työnkuva selväksi, että hakija tietää mihin edes on hakemassa.

Digitalisaatio on saanut jonkinlaisen buustin pandemia-aikana. Sofigaten tutkimuksen mukaan kuitenkin digitalisaatio on enemmän strategiatason höpinää kuin tekoja. Yritykset myöntävät, että niiltä puuttuu selkeä suunta viedä asiaa eteenpäin. Pääsyynä huonoon suoriutumiseen ovat osaamisen ja resurssien puute sekä muutosvastarinta. Etätöissä Suomi kyllä loistaa ja pääsee EU:n ykköseksi 25% etätyöosuudellaan.

Yrityksistä on vuosien mittaan valunut pois osaaminen yritysten oman toiminnan seurauksena. Harvassa paikassa on enää hyvää osaamista ja innovointia kun kaikki on ulkoistettua ja ostopalvelua. Osaajat on ajettu ulos ja yrityksen rooliksi jää ostaminen, markkinointi, taloudenhoito, sopimushallinta ja prosessinpyöritys. Hienoa, eikö? Pohjois-Amerikassa on kyselty kuka hävitti paikallisen telecom-valmistuksen. Lucent ja Nortel ajettiin eurooppalaisten ja kiinalaisten syliin ja Amerikka jäi muiden varaan.

Israelin tietoturvasektori sentään kukoistaa ja menestykselle ei näy loppua. Viime vuonna 31% maailman kyberinvestoinneista meni Israeliin. Aktiivisia kyberturvayhtiöitä on 443 ja 25% niistä on ostettu tai sulautettu viimeisen kuuden vuoden aikana. Pelkästään tämän vuoden maaliskuun aikana kymmenen Israelista lähtöisin olevaan yritystä oli noussut yli miljardin arvoisiksi yksisarviseksi.

Cisco on tehnyt urakalla yritysostoja. Sedona hankittiin vahvistamaan reititetyn optisen verkon hallintaa ja Kenna Security haavoittuvuushallintaa. Socio Labs täydentää Webexiä online-alustoissa. Cisco on puhunut julkisuudessa aikeistaan tuoda tiettyjen tuotteiden valmistuksen hinnankorotukset asiakashintoihin. Myös Aristalla on ennennäkemättömän vaikeaa tuotteiden valmistuksen kanssa. Paloalto sen sijaan porskuttaa softan avulla. Jo 40% palomuurimyynnistä on softaa ja osuuden oletetaan kasvavan tasaisesti, vaikka rautalaitteet ovatkin edelleen merkittävä tulonlähde.

Juniper on hypännyt mukaan SASE-peliin omalla tavallaan. Security Director Cloud on hallintaportaali sekä verkko- että tietoturvapalveluihin, jotka liikkuvat hitaasti kohti täydellistä SASE-maailmaa. Palvelut voivat olla omassa verkossa, pilvessä tai jossain välillä. Siirtyminen on hidasta ja Juniper uskoo, että oman verkon palvelut ja rauta pysyvät mukana vielä pitkään. Tätä siirtymisajan monipalveluympäristön operointihaastetta ratkotaan keskitetyllä hallintatyökalulla.

Extreme julkaisi Copilot -AIOps-tuotteen, jonka tarkoituksena on helpottaa verkon valvontaa ja viankorjausta. CloudIQ-hallinnan kyljessä Copilot tuottaa normaalikuvaa verkon toiminnasta ja sen jälkeen se osaa poimia poikkeamat ja tehdä niistä päätelmiä. Tuttua huttua esim. Aruba Centralista ja Mistin Marvikselta. Lisäksi Extreme julkaisi Packet Broker -kytkimen 9920, joka on rakennettu P4-ohjelmoitavan Tofino2-piirin päälle. Kytkimellä voidaan monitoroida ja käsitellä verkkoliikennettä tehokkaasti. Extreme puhuu kovasti haluavansa päästä mukaan 5G-ympäristöihin. Saa nähdä onnistuuko se.


Internet-kartta 2021 kuvaa suurimmat internet-palvelut vanhan ajan kartalle ryhmitellen ne maiksi ja maanosiksi. Merikaapelikartasta on julkaistu uusi päivitys, jossa kaikki maailman 464 kaapelia ja paljon statistiikkaa ja infoa merikaapelien ympäriltä.

Ipv4-osoitteiden markkinahinta on noussut reippaasti viime vuoden aikana ja saavuttanut uuden huipun 36 dollaria osoitteelta.

Qrator Labs on julkaissut tilastoja 2021 Q1:n DDoS-hyökkäsyksistä ja BGP-häiriöistä. Huomiota herättää “häiriö-AS:ien” suuri määrä: noin 100000 rekisteröidystä AS-numerosta melkein 2% vuotaa kuukausittain vääriä reittejä ja lähes 10% osallistuu BGP-kaappauksiin. Häiriöt ovat yleensä pieniä ja paikallisia, isoja tapahtumia on vain muutamia kuukaudessa. Internet-reitityksen häiriöt ja turvattomuus heijastuvat myös palveluihin ja käyttäjiin, mikä jää usein vähemmälle huomiolle käytettävyyden taakse. Reitityshyökkäyksillä voi paljastaa esim. anomyymin käyttäjän tai salatun liikenteen. Internet-palveluiden ja reitityksen pitäisikin paremmin kohdata ja toimia ristiin, eikä yrittää toimia itsenäisinä kerroksina.

RPKI:lle on siis tarvetta. USA:n suurin kaapeliyhtiö Comcast on liittynyt mukaan reittien validointiin. Työtä on tehty pitkäjänteisesti vuodesta 2014 lähtien. BGP-valheet on minulle uusi käsite. Internetissä AS-polun pitäisi kertoa pakettien reitin, mutta datapolku ei aina täsmääkään AS-polkuun. AS voi tahallisesti muokata AS-polkua, houkutella liikennettä itseensä ja välittää sen jälkeen liikenteen eri tavalla eteenpäin, tai liikenne voi tahattomasti ohjautua väärästä paikasta ulos.

Laajakaistayhteyksien taistossa BT:n Openreach on pannut tuulemaan Britannian kuituasennuksissa ja homma etenee odotettua nopeammin ja alemmilla kustannuksilla. Tavoitetta on nostettu 25 miljoonaan kotiin vuoteen 2026 mennessä. Euroopassa kuidun käyttö on hyvin vaihtelevaa maittain. Islanti, Espanja Ruotsi ovat kärjessä ja Suomikin on ihan kohtuullisesti keskikahinoissa.

Satelliittikilpa herättää hieman ihmetystä. Kilpailijoita riittää länsimaista ja Kiinasta, ja usko on kova kuitenkin niin rajallisessa markkinassa ja teknisesti vaativassa ja kalliissa toteutuksessa. Starlinkistäkin on saatu negatiivisempia arvioita. Satelliittiyhteydellä on omat rajoitteensa, katkoja esiintyy ja reaaliaikainteraktiiviset sovellukset eivät toimi. Antenni vaatii näköyhteyden satelliittiin ja avaruudessa alkaa olla ahdasta ja vaarallista. Satelliittiyhteys on eriarvoinen, koska se rajoittaa tiettyjen sovellusten käyttöä. Verkkoneutraliteettikeskustelu käytiin vuosia sitten mobiiliverkkojen yhteydessä. Silloin syy oli hallinnollinen. Nyt tekniset ominaisuudet nousevat esille ja eriarvoistavat maantieteellisesti alueita. Tietysti satelliiti on parempi kuin ei mitään.

Loppupeleissä selvisi myös miksi amerikkalainen ei käytä internettiä. Syy ei ole yhteyden saatavuus, hinta, päätelaite tai tietoturvauhat. Yksinkertaisesti internetin käyttö ei vain kiinnosta.


RIPE82 tarjoaa paljon esityksiä internet-maailmasta. NFD25 esitteli Nokian, Aruban, Juniperin, Vmwaren, Intelin, Ipinfusionin, Pathsolutionsin ja Arrcusin tuotteita. OARCH35 puhui DNS-asiaa, josta Geoff Huston kirjoitteli yhteenvedon ja lausui oman arvionsa.

RSA Conferencen tärkeimmät uutiset on koonnut SDxCentral:

SecurID-tokenien hakkeroinnista on kulunut 10 vuotta ja vaitiolosopimus on umpeutunut. Nyt osalliset kertovat mitä 2011 tapahtui. Mielenkiintoista ei ole niinkään hakkeroinnin tekninen toteutus, vaan se miten asia hoidettiin ja miten se vaikutti ihmisiin. Isoja asioita käytiin läpi: salailun ja avoimuuden kädenvääntö, vainoharhaisuus ja luottamuksen menetys, tietoturva-alan viattomuuden loppu ja nykyisen toimintakentän muotoutuminen.

Kuukauden metsästysretki

Atlantin ylittävän Amitié-merikaapelin pää oli talvella jätetty merenpohjaan tulevaa asennusta varten. Nyt kaapelin pää Ranskan rannikolla onkin kadonnut oletetusta sijainnista. Sukeltajat on lähetetty paikalle etsimään kaapelin päätä

Networking Industry Update 2021-04


The big news from the 5G world was when new generation operator Dish chose AWS as its cloud partner. Dish is building a fully cloud-based standalone 5G Open RAN into a public cloud using AWS Local Zones and Outposts. Almost everything other than antennas and cables moves to the cloud. AWS will customize the platform for this purpose and edge platforms allow the service to be distributed close to users with delays of less than 10 ms. The AWS network is used as the backbone network between edge and data center. The cloud’s APIs and range of services facilitate service development, and it is hoped to attract business customers to Dish’s network.

This is a bold move and the first significant step towards a cloud-native operator since the pioneering work done by Rakuten. Dish spent 18 months comparing different options before ending up in AWS. AWS is involved in joint development, which means all parties have something new to learn and develop. The final network parameters will take shape over cooperation and time. Dish wants to keep the number of partners small and the architecture simple. Through AWS, Dish benefits from AWS’s other telco partners and expert services. In the background, however, there is a palette of former suppliers and technology choices. What happens to Vmware, Mavenir or x86 platforms, for example?

The benefit generated by AWS is also reflected in unit costs. Analyst says Dish’s network unit cost should be 25% of Verizon’s equivalent and should be able to win a significant number of customers. The target group is undoubtedly enterprises. The network building will begin this year from Las Vegas and 20% population coverage will be achieved by 2022. Later, 70% of population coverage is targeted.

The case is an interesting new world example of the modern operator. Dish jumps deep into the unknown. On the other hand, it has been testing or evaluating solutions for a long time. AWS is probably fully committed because it also has a big future in its hands. The cooperation pattern is interesting because there are no ready-made solutions and the service is formed along the way through practice. This is a modern iterative development. Both sides need to be flexible and compromise, but the result is probably good.

Recalling history, Dish still has 9 million CDMA subscribers, which network operator T-Mobile threatens to throw out when it shuts down its CDMA network by the end of this year.

What does a 5G network cost? The U.S. government has commissioned a report on mobile network pricing components and the FCC has released a detailed pricing report produced by Widelity. The price list contains hundreds of components and describes well the relationship between hardware and installation work. For example, a 50,000 subscriber 5G non-standalone EPC will cost $ 0.25-1.2M installed, depending on the manufacturer. The comparison is hampered by the fact that large buyers have their own discount prices and there are price differences between manufacturers. Also interesting is Nokia’s comment that the Open RAN solution is priced the same as the traditional manufacturer’s integrated solution. This has also been observed in fixed networks in whitebox and disaggregation models. Price is not necessarily the most significant competitive factor, but benefits must be sought from features and operating models, for example. The price can always be pushed down with large purchase quantities, regardless of the solution.

Now that masts have been largely outsourced to different ownership, the ownership model of network equipment may also change in the future. The mast operator can acquire network equipment and lease it on to network operators. The split investment and pay-off model are attractive. Perhaps this will further strengthen the division of infrastructure and service operators. In all IT, there seems to be the trend that infrastructure concentrates on few focused actors anyway.

What is the difference between 5G private networks and network slicing? A private network is a more independent and static campus network with its own authentication and authorization services managed by the company itself. The private network is usually limited regionally, for example to a factory campus where wifi has traditionally been used. The price is expensive, but the security is good.

Network slicing is a more operator-controlled entity that shares a virtual dynamic slice of the network for customer use. The network slice is defined by the IETF as an end-to-end logical topology with a service level objective. However, Slice also has its own management layer through which the customer can operate their own slice. Network slicing requires 5G standalone core, which so far are rare. The network supports a “handful” of slices that are limited by physical capacity. However, resources and features can be allocated dynamically according to usage. What it is then remains to be seen. The network roams throughout the public network area of ​​the operator network, providing a comprehensive WAN dimension. The price is cheaper than in a private network. Network slicing and NaaS is 5G’s future monetizing model, expected to be a reality in a year and a half.

In Finland, the joint network of DNA and Telia will expand from the northeast to the Raahe-Loviisa line, covering more than half of Finland’s area in the future. Population coverage will double during the three-year construction project. At the same time, Huawei will be replaced by Nokia.

Elisa has stopped selling 10M and 30M VDSL subscriptions to small properties and the subscriptions in the rental network have been terminated. 50M and 100M subscriptions will continue to be sold when technically possible, meaning that the DSLAM is a few hundred meters from the property. ADSL has been down for a couple of years. A mobile network is offered as a replacement technology.

Fixed mobile broadband is an interesting service. Fiber has been assumed to be future proof, but in terms of price and availability, the market has begun to turn to mobile broadband. This is partly due to the heavy advertising of mobile operators, but consumers are also interested. Of course, the fiber has a different level of properties than mobile, but mobile is well enough for the basic consumer. Experience with 5G broadband shows a speed sailing between top speed and a tenth of it, but response times are good. Both the geographical location and the location of the antennas matter. It remains to be seen how the growing number of users affects the quality of service.

In the US, the experience with T-Mobile’s fixed wireless access FWA is similar. Underlying questions are about whether the network has enough capacity and will it meet the demand? T-Mobile says it will only sell existing capacity. The goal is to cover 70% of customers. In any case, the fixed broadband’s return is poor compared to a mobile subscription where T-Mobile makes 40 times the profit per gigabyte.

Uplink capacity is a major concern, especially now during telecommuting. The current downlink-uplink ratio of 10:1 does not meet the need that has shifted to a 5:1 ratio in a few years. According to a Comscope study, uplink capacity upgrades have been forgotten for the past ten years. The uplink capacity is so limited that there is not much room for bursting or growing. Last year, the downlink/uplink ratio peaked at 15:1 and has fallen slightly to 12:1.

Even Verizon says fixed mobile broadband is not a fiber-like service, but it is well enough for users. As good self-criticism, Verizon is proposing an improvement in advertising that misrepresents the speed and reliability of the mobile network. Fiber operators, on the other hand, emphasize the benefits of fiber, like capacity symmetry and reliability. Lumen’s strategy is to target fiber to urban areas where coverage peaks are already at 40% level. In reality, the way broadband is implemented depends on the region and its characteristics. Fiber and mobile will certainly work in parallel, offering slightly different connections depending on need and availability. Satellite does not actually compete with these but offers an alternative in more remote areas.

In a cable network, speeds increase to multi-gigabit speeds. The DOCSIS3.1 technology has obtained 2.2Gbps and the DOCSIS4.0 Full Duplex technology has achieved symmetrical 4Gbps in field tests.

Then a little price and speed data for subscriptions: What does 1GB of mobile data cost in 230 different countries? And what is the price of broadband in Europe compared to income? The Ookla Speedtest index for Finland shows that mobile data is relatively homogeneous and there are actually larger differences in the fixed networks. On average, the fastest fixed was Telia and the fastest mobile DNA. An OpenVault broadband study highlighted how upstream capacity utilization has increased by 63% last year. The pandemic and teleworking probably changed the use of capacity permanently and now frequency-based transmission methods are in distress when capacity needs to be reallocated from scarce frequency reserves.

In other network technology, Verizon is building a high-precision positioning system for one hundred major cities in the United States. Hyper Precise Location HPL improves the current 3-9 meter positioning accuracy to the centimeter level and also supports the vertical dimension. Precise positioning prepares for autonomous vehicles and drones as well as automatic operations, for example.

The US ATSC 3.0 TV standard includes support for IP traffic and multicast. Synthesis Cloud is planning a nationwide broadcast network and CDN on top of it, which would reduce the amount of unicast traffic on the networks. The problem is the high cost of building a separate network. More likely, 5G broadcasting will break through in the coming years and TV broadcasting can be transmitted over the same existing 5G infrastructure.

Cloud and SASE

There are new AWS releases for Macsec support in 10G / 100G Direct Connect. VPC Reachability Analyzer automates connectivity checks and problem detection between two devices within a VPC. Route 53 Resolver DNS FW adds firewall into the DNS service. The availability of Transit GW Connect is expanding in Europe. According to experiences, AWS Transit GW will be up and running in 1.5 minutes, while it will take 15 minutes to install from Azure’s corresponding Virtual Hub. Similarly, setting up a VNET / VPC connection in AWS takes less than a minute, while in Azure it takes 3-15 minutes.

A common design tip is to know the weak points of the cloud. Everything breaks down sometimes, so you should understand the single points of failure and avoid them. The problem is that whenever you remove a failure point, it adds complexity and cost. In other words, the goal would be to seek a suitable tolerable risk in which the business is running at a sufficient level. It is not IT’s own complete house of cards that is being built, but rather you should accept certain shortcomings and be satisfied with a good enough solution.

In the U.S., a man was planning to blow up the Internet by installing a bomb in an AWS Virginia data center. However, the FBI caught the man when he tried to buy explosives from a cover agent. The man received 20 years in prison. There is a persistent myth in the media that 70% of Internet traffic passes through Northern Virginia. This cannot be true. Although there is a lot of cloud capacity in the area, the amount is about 30-40% of everything. Only 9% of North American data centers are in Northern Virginia and only 23% of the world’s Internet capacity is even connected to the US.

With cloud services, the term “middle mile” has entered the market. What is it? It is a new segment that connects the company to the cloud but differs from the traditional operator WAN. The segment includes all operators and services that provide cloud connections directly or indirectly. SD-WAN is one part of this segment, but so is the IXP, private connections, or other connections of service providers. Greg Ferro describes well how the corporate network has evolved into a complex tangle with distributed cloud services and workforce and what kind of things companies need to ponder.

How do colo providers position themselves in this world of hybrid cloud? Equinix operates more than 200 data centers around the world and defines itself as an integrator that provides services to help customers use cloud services. Ouch, the hybrid cloud and the edge are full of terrible jargon that doesn’t reveal much concrete. Equinix can provide centralized already available connections to cloud services and bring the cloud services closer to the customer through its regional data centers. Equinix relies heavily on partner services to which it integrates its own technology.

Snarky statements have been extracted from the Linux Foundation’s State of the Edge report. If operators invest in a telco-edge, they need to be shown money and offered low-hanging fruits in six months. What even is the edge? The scale is wild, there can be a 9 magnitude difference between the smallest and largest implementation. Hardware is edge’s nasty thing. The best space, electricity, and connectivity are in data centers, but data centers generally do not provide cloud-level services. Much of the data produced by edge don’t even end up in the cloud. A good point is also that edge is also very much about operating a new kind of environment and providing a service.

When services are in the cloud, the network should also be able to cooperate with cloud-native applications. Cisco has initiated a software project to build a cloud-based SD-WAN (CN-WAN). Today, the SD-WAN is a separate component that sails in the dark without realizing anything about the applications. The goal is to make a reference implementation of how Kubernetes application metadata could control and optimize network traffic.

Oracle will sign up late to the SASE game, as it did with the public cloud. But it will still be one of the first public cloud SASE providers. The tactic is to use partners and invest heavily in the SASE portion in particular. In addition to previous partners Zscaler and Paloalto, Checkpoint’s Quantum Edge firewall feature has now been added. Oracle’s Talari SD-WAN can take advantage of Checkpoint’s firewall software. The OCI cloud already has SWG, CASB, and ZTNA features, complemented by a partner firewall feature. The distinguishing factor is how OCI can integrate session-level protocols such as SBC and SIP into SASE. The question then is who uses these protocols in the cloud or at all? Oracle seems to be a quite conservative platform itself or has its own genre of conservative clients to serve.

Vmware also packages remote tools into Anywhere Workspace. Versa Titan positions itself as a lightweight SASE product for small businesses which can be on-demand. 600 students have graduated from the Cato SASE certification and the certification can be completed free on the web.


The White House officially named the Russians the perpetrators of the Solarwinds attack. The Chinese took advantage of Pulse Secure’s critical zero-day vulnerability. The target was the partners of the US Defense Administration, but also Finnish government ICT centre Valtori. The attacks began as early as August 2020 and were found by FireEye earlier this year. Pulse vulnerability exposure can be checked with a published tool. The vulnerability can be temporarily blocked and a fix has now been released.

Another big attack happened in January to the Codecov software testing company but was discovered not until April. Codecov itself is a small 35-person company, but it has 29,000 customers with large and significant application vendors. Hashicorp, known for its infrastructure code tools, has recently registered among the victims. Malicious code may have been entered into Hashicorp’s programs, but no indications have been found. In this case, too, Codecov has heard its credit for poor security practices. The Bash Uploader uses the Bash script and Curl to upload the user’s CI environment variables, that is, all IDs, keys, and tokens, unencrypted to the Codecov service, and in this case also to the attacker’s server. Initially, the attacker entered Codecov’s service, apparently using leaked credentials during the Docker image creation process.

The Cisco Small Office Router RV series has a critical vulnerability, but it is no longer being fixed as equipment has dropped out of support and users are encouraged to upgrade to newer models. Cisco SD-WAN vManage also has a critical vulnerability that needs to be fixed. Users of FortiOS servers are warned of attacks by state actors. The Cring ransomware strikes industrial companies using a vulnerability in FortiVPN. There are several vulnerabilities in Aruba’s Clearpass Policy Manager that have been patched.

Namewreck vulnerabilities have been identified in the DNS implementation of the FreeBSD TCP/IP protocol stack and affect a wide range of millions of IoT and IT/OT devices. The study found that many manufacturers have difficulty interpreting DNS standards and the same error was present in most of their products. This raises the question of why the standard is written so poorly and vaguely that half of the implementations are faulty.

The world’s most dangerous botnet Emotet removal from contaminated machines was activated on April 25 as a result of international cooperation between authorities. According to Cloudflare Q1 statistics, the highest number of DDoS attacks were targeted to service providers. The rising trend was the use of the QUIC protocol per Jenkins and Teamspeak3 servers. There are few large attacks and 97% of cases are smaller than 1 Mpps or less than 500 Mbps. The duration of attacks was also less than an hour in 90% of cases. Akamai talks about a fairly unknown attack using the DCCP protocol, which in practice is rather rare because the protocol is not commonly used. There are an estimated 20 million routing loops on the Internet in almost one in three AS domains. It’s just because the packet bounces between two routers when routes point in opposite directions. However, depending on the TTL of the packet, they can act as more or less amplifying DDoS attacks. By using 6 Mbps of UDP base traffic, the 10G link can be filled up and 60 Mbps is enough to fill the 100G link. Routing errors should be corrected by each operator and there are also free tools for detection.

According to the Verizon Mobile Security Index, businesses continue to fail in the basics. These include changing the default password, encrypting data, restricting access, and regular security testing. According to a SANS study, the concerns about accidental cloud misconfiguration increase, but in reality, less than half of those concerned have actually made a mistake. The number is still large and reflects the impact of agile changes in complex environments.

Equipping a smart factory with sensors and controls exposes it to threats. According to a study by Trend Micro, 61% have suffered from security problems in smart factories and 43% have suffered downtime due to attacks for several days. Development is ongoing and joint guidance and cooperation would be the most effective way to raise standards and prevent risks.

Microsoft has released the open-source cyber-attack simulator CyberBattleSim, which it uses to illustrate how AI can analyze and prevent attacks.

All devices connected to the Internet are exposed to threats and therefore devices usually need to be hardened in some way. The protection of Mikrotik RouterOS and the hardening of the devices are thoroughly covered in the video and presentation. Linux runs in the background of many devices and hardening it is complex and hard work. In the disaggregation model and open-source environments, hardening usually has to be done by yourself. The user can outsource the hardening work to a vendor, who will handle the it in their own way. However, it does not remove the user’s responsibility for the vulnerability of the infrastructure. While the work is outsourced to the manufacturer, some features are abandoned. This tradeoff is good to keep in mind.


Do low latency switches really matter? I have never understood what it means to shave nanoseconds in the world of High Frequency Trading. In HFT, everything from applications to the operating system and infrastructure is certainly optimized, but really, what ten or a hundred nanoseconds can affect in the whole system? At least for us mortals, it is irrelevant, because there is always far more delay in the infra-application layers than in the network switching. The transmission delay over long distances still matters.

Low latency switches are advertised for storage traffic use, but losslessness is also important for disk protocols, so even large buffer switches are profiled for storage switching. Fast switching and buffering are opposite, and in general, buffering is considered worse in TCP traffic than quickly dropping packets. Let the protocol handle retransmission quickly. It can now be officially said that FCoE is dead. No one is marketing it anymore and the user experience turned out to be bad.

Rumors say AWS is designing its own switch ASIC and is also expected to happen. AWS, like many others, has a commercial difficulty with Broadcom and the pressure for another solution is strong. Old Broadcom introduced merchant silicon to the market and committed customers to the products. According to speculation, the “New Broadcom” brought by Avago wants to price products more aggressively and benefit from the bottomless wallet of hyperscalers. Something about the scale tells the fact that a typical cloud data center has 100,000 servers that require about 4,000-6,000 switch ASICs. In total, AWS could have 480,000-720,000 switch ASICs on its own network. With this scale, you can easily justify more cost-effective solutions and own product development. AWS makes its own network operating system and can port it to any platform. However, designing ASICs is a very special job and AWS also needs outside help. Speculation is to use the people of Annapurna Labs acquired in 2015 or buy Xsight Labs or Innovium.

Cisco has many different network operating systems, a little too many. Here’s an explanation of them all using the cows.

Openflow wasn’t a real success, but it led us to new kinds of things. Centralized management and APIs were the main contributions to the subsequent development. The development of Openflow started with the control plane, but it also resulted in the programmability of the data plane and later a common P4 language. There was also pressure to make the configuration interface programmable and it resulted in gNMI, which replaces the traditional CLI. Nevertheless, Openflow created SDN and good interfaces opened new possibilities of fully software-based networks.

New concepts have been introduced to building networking lab. Containerlab is a platform for container-based network devices where you can quickly set up a virtual network. The platform can also boot traditional virtual machines. Netsim-tools is a virtual lab setup code based on Ivan Pepelnjak’s work on Vagrant, Libvirt and Ansible. It can be used to quickly create your own topology based on the descriptive YAML files. Support for routing protocols and manufacturers is quite comprehensive.

Once again, x86 hardware has got grand performance numbers using VPP: 1 Tbps and a billion packets per second on the server. VPP is an open-source version of Cisco’s Vector Packet Processing technology that can run high-performance packet forwarding on x86 hardware. So what do you do with this? VPP can be used to build powerful software-based network and security functions such as firewall, VPN tunneling, SD-WAN, or SASE.

According to statistics, 100G is now the most popular speed in data centers. The number of 100G ports shipped exceeded the number of 10G ports. Arista grabs nearly 40% of the cumulative branded switch shipments and Cisco takes 40% of the profits, respectively.

Interesting information from Japanese operators says that cosmic rays cause 30,000 to 40,000 network failures a year in Japan. The failure occurs when cosmic rays meet atmospheric oxygen and nitrogen, releasing neutrons that collide with electronics, corrupting them. Many of these soft failures are corrected on their own after a while with protective devices, but in more serious cases, the devices also might get crash and can cause bigger problems. The number of problems, of course, increases as the number of electronics and dependence on it increases. Finding the causes of the problems and inventing the means of resistance is difficult because the disturbances are not reproducible.

Telia Carrier’s podcast series has a lot of good topics and guests that give you an idea of ​​where the networking industry is going and how the world is changing. In Episode 11, the guest is Tom Hollinsworth discussing about everything related to networking.

In protocol development, Microsoft has improved the QUIC protocol and got its speed more than quadrupled to 8 Gbps. What is the usage of HTTP/3 and QUIC and are they really faster? Daniel Stenberg gives some answers to slightly obscure questions on his blog. At the same time, this Curl developer got his code on Mars with a Nasa helicopter. Before that, there was a stupid episode when the developer had to prove Nasa where and how the open-source program was developed.

A good Twitter thread on MTU issues will find out what’s involved in this complex matter.

Companies and products

Arista is looking for a broader market position with a holistic view. The campus was the first opening to a wider market, Cloudvision management sought to automate networks, the capabilities of switches were expanded to meet routing needs, and now security features enhance the use and usefulness of products. Although Arista is a software company, its products are based on powerful hardware. Arista is not going to join the fashionable subscription-based licensing model. The aim is to expand the customer base and thereby reduce dependence on Microsoft and Facebook.

Better visibility has been added to Cloudvision management through analytics extracted from telemetry data. Artificial intelligence seeks to learn anomalies and perform automatic corrections. The management model based on wifi has been extended to the entire network. The Studios feature brings workspaces that create workflows for different purposes. The workflow abstracts configuration changes using a data model, which helps to manage larger changes and improves the quality of changes and user experience. Cloudvision has expanded from data center use to a network-wide tool and is now available in both on-premises and SaaS versions.

Arista’s danger is to combine all possible functions and different applications into one product. Cloudvision can get lost to its own complexity. One all-encompassing management product may operate in the SMB sector, but small businesses are not Arista’s target group. For larger ones, it has often been proven that the customer wants to choose good and suitable components for network, management and security separately.

Arista also introduces the seven-level ACE certification program. The lowest levels require five days of training and only the top two levels can be obtained by simply passing a practical test. The training tries to emphasize good solution practices instead of just knob information. The program also attempts to match certification levels to different job roles.

Juniper surprised with the good performance of the operator business, but the Mist AI enterprise solutions have also sold well. The share of the software sell has been significant and Juniper now has software to offer for all product families. The acquisitions of 128T, Apstra and Netrounds have been good and Juniper is in the best position in terms of credible technology and automation strategy. The problem, however, is that Juniper doesn’t know how to execute and bring out this good story better. Compared to Cisco sales and marketing, Juniper’s story is lukewarm coffee.

Cisco has worked hard to move from hardware to software and solutions, and it has worked. Cisco’s strategy is to bring all products as SaaS model for purchase under the Cisco Plus concept. The first one is Cisco Plus Hybrid Cloud service which includes servers and storage with on-demand billing, support services and flexible design and installation services. The first NaaS service will be Cisco Plus Umbrella, or SASE service later this year.

Cisco has also teamed up with Appdynamics and Thousaneyes to combine application and network visibility. Appdynamics’ SaaS service is now more widely available from the AWS cloud.

Prosimo, the new company of Viptela’s founders, focuses on integrating the infrastructure into multi-cloud applications. The new category is called Application Experience Infrastructure AXI. The product optimizes application and user communication and combines infrastructure management, SLA and security into one entity. Sounds very similar to what multi-cloud applications do in general.

The paths between Dell and Vmware will finally differ when Dell sells its most profitable part Vmware, which it bought in 2016. So now one of the largest technology acquisitions of all time is being canceled. The strategic partnership remains, but Vmware can better execute its own vision. Dell will pay off its debts. Outside the change is hardly visible.

Semiconductor shortage

The difficulty of getting chips is now beginning to show in reality. The delivery time for Qualcom’s wifi6 chips is said to be 40-64 weeks. Broadband operators have router availability problems and they are running out of stock of devices. Getting new equipment is starting to delay deliveries and network building.

In addition, the graphics processors used to mine cryptocurrency consume capacity from component fabrication and delivery. Even custom-built chips are already being made for mining. Prices are rising and in Finland, local resellers Telia and Gigantti have already canceled graphics card orders.

The common view of the manufacturers is that the component shortage could last until 2023. Intel’s investment in the Arizona plants will not help much. Anyway, capacity building is slow and there is no quick fix. Nvidia has a slightly brighter view already next year.


The updated NIST RPKI Monitor provides statistics on the situation of RPKI usage on the Internet. There are a few risks associated with the use of RPKI, which can be addressed also.

The appearance of millions of Pentagon IP addresses on Internet routing just after Trump step down was widely surprised. It turned out that the addresses had been given to an outside company, Global Resource Systems, which, vaguely expressed, that they pilot the development of cybersecurity. AS80003 advertised 175 million addresses, making it the second-largest AS in the world after China Telecom.

RIPE Labs is once again investigating whether the internet is routing around the failure. The case was the LINX outage in London. Coincidentally, breaks in large IXPs appear to occur every three years. In any case, after the fault, the routing is confused for a while but quickly moves to alternate routes that use mainly mutual peerings. The RIPE stat monitoring service turned 10 years old. It is a handy tool for tracking internet routing.

Internet BGP routes can also get stuck when the router for some reason misses a route withdraw. BGP zombies are being shown in the study more than one day in a sample of 27 prefixes. In some BGP implementations, the interaction between the hold timer and the TCP window becomes a problem. The proposal is to add a second timer to the BGP that could notify the neighbor that the peering should be shut down.

Major projects are underway in submarine cables. For Europe, EllaLink from Portugal to Brazil and CrossChannel Fiber from Paris to London under the English Channel are significant. Content providers are big cable owners and builders. They make them for themselves, but also sell to others or are partners in the cables of others. Here is a list of all submarine cables from content providers (Amazon, Facebook, Google and Microsoft). The Australian Bureau of Meteorology would like to have a submarine cable to Antarctica because satellite capacity is causing problems for research activities. The problem with the cable, however, is the icebergs.

IoT craze can be read in the Reddit discussion, where it was found that the LG dryer generates more than 1 GB of traffic per day to AWS. There seemed to be no clear reason for the traffic.


Awesome Network Automation is a collection of information about network automation. Version 1.0 of the Nautobot SoT and automation platform has been released. Ansible modules and documentation are also available. Here is one good example of using the open-source Batfish verification program to analyze network configurations. Batfish was able to dig up and combine vlans, prefixes, sites, and device hostnames from the network for entry into the Netbox.

Single Pane of Glass SPoG products have evoked emotions in the community. Manufacturers began to ease the complexity of management by bringing single-view products that would be easy to manage and monitor the network at a glance. But networks, environments, and operations are becoming more and more complex, and the usability of a single pane is starting to be poor. Therefore, it must be accepted that we have more point tools that are good for a particular need. The overall solution can be the integration of different products or views, which in turn requires manufacturers’ support for the integration interfaces, as well as the user’s own integration expertise and work. Here is a good wish list for a suitable tool that manufacturers should read carefully so that the product does not become SPiN (Single Pain in Network).

Management products move toward abstraction, where the actual configuration is faded into the background and the user defines the target state (intent). Abstraction can be used to better support a variety of devices and manufacturers, as well as to define workflows and orchestration more broadly. But at the same time, it requires standardization and a better definition of network functions and features.

Coordination of project work is also an important issue that requires development because the organizational work already takes more time than development itself. Software code and applications are playing an increasingly important role, and at the same time, the number of both code and developers are expanding enormously. Especially in open-source development, the effort has to be put into how to organize development work efficiently so that the products are of high quality and reliable to use.

The gaming company Roblox has built an impressive probe monitoring into its own network to detect packet losses and latency. Now, 100 million measurements per minute are made on the network, and agents can be used to find very accurately breaks lasting under one second and packet loss for one path at the level of one in 6,000 packets per minute.

MLB has opened its automation and monitoring tools and practices of the media network used in its baseball stadium productions. MLB has traditional SNMP monitoring but also a new Kentik flow analysis platform running in the cloud. In addition to the network, the environment includes a multi-cloud environment which connectivity can be tracked too. Data collected from different sources and through different methods are combined into a common modern observation platform, where the information is enriched and business-specific metadata is added to it. A good point is the importance of business as a unifying driver between different IT functions. One team is responsible for the entire IT stack and the most important is the top-down commitment to aligned business goals. This needs also the change of mindset and collaboration skills. Good tools make it easier to practice at work. Jeremy Schulman’s advice on building your own tools is to think of yourself as an expense. Buy a commercial product when it’s available, only do it yourself when you absolutely must.


Cisco Live was held online, and as a result of signing up, I found myself reluctantly joined a mailing list of at least ten partners. Here is the Cisco Live aggregate provided by SDxCentral:

NSDI ’21 technical sessions have a lot of research information and relevant issues to think about in network design and implementation.

The Technical Exploration Forum of the Ethernet Alliance has discussed the development of Ethernet. Next, the look is on the 800G and 1.6T specs, but the power and cooling limits come up. Faster 224/448G lane speeds require co-packaged optics, which in turn means adding optical circuits to the devices and the arrival of new smaller cables and connectors. 400G took 4 years to develop and the new speeds still require a lot of development and testing and might be still 5-6 years away. Due to communication bottlenecks, the distributed network again seems to be collapsing back into fewer layers and boxes. The next few years will see more use of co-packaged optics (CoPO) in switches.

Epic name

IBM named its spin-off infrastructure company Newco as Kyndryl and redeemed its place in the list of worst-named companies. The name is pronounced “Kindril”, which doesn’t sound as bad as written and pronounced in Finnish with y. The name is based on the words kinship and tendrils. Quite descriptive things for an IT service company, right? The letter Y is associated with real partnership and growth, which better matches the company’s mission. Kyndryl is also known as a Warcraft hunter character.

[FI] Tietoliikennealan katsaus 2021-04


Suuri uutinen 5G-maailmasta oli kun amerikkalainen uuden polven operaattori Dish valitsi AWS:n pilvikumppanikseen. Dish rakentaa pilvinatiivin standalone 5G -Open RAN:n täysin julkiseen pilveen käyttäen AWS:n Local Zoneja ja Outposteja. Lähes kaikki muu kuin antennit ja kaapelit siirtyvät pilveen. AWS räätälöi alustaa tähän käyttötarkoitukseen ja pilven avulla palvelu saadaan hajautettua lähelle käyttäjiä ja viiveet alle 10 ms:n. Runkoverkkona edgen ja konesalin välillä käytetään AWS:n verkkoa. Pilven API-rajapinnat ja palveluvalikoima ruokkivat ja helpottavat palveluiden kehittämistä, ja sen toivotaan houkuttelevan yritysasiakkaita Dishin verkkoon.

Tämä on rohkea valinta ja ensimmäinen merkittävä askel kohti pilvioperaattoria sitten Rakutenin tekemän pioneerityön. Dish käytti 18 kk vertaillen eri infravaihtoehtoja ennen kuin päätyi AWS:ään. AWS on mukana yhteistyölinjalla eli kaikilla osapuolilla on opittavaa ja kehitettävää kokonaisuudessa. Lopulliset verkon parametrit hioutuvat yhteistyön ja ajan myötä. Dish haluaa pitää yhteistyökumppanien määrän pienenä ja arkkitehtuurin yksinkertaisena. AWS:n kautta Dish saa hyödyn AWS:n muista telco-kumppaneista ja asiantuntijapalveluista. Taustalla kuintekin pyörii paletti entisiä toimittajia ja teknologiavalintoja. Miten käy esim. Vmwaren, Mavenirin tai x86-alustojen?

AWS:n tuottama hyöty näkyy myös yksikkökustannuksissa. Analyytikkojen mukaan Dishin verkon yksikkökustannus pitäisi olla 25% Verizonin vastaavasta ja sillä pitäisi pystyä voittamaan merkittävä määrä asiakkaita. Kohderyhmänä ovat epäilemättä yritykset. Verkko alkaa rakentua tämän vuoden aikana Las Vegasista ja 20% väestöpeitto saavutetaan 2022. Möyhemmin on tarkoitus päästä 70% väestöpeittoon.

Tapaus on mielenkiintoinen uuden ajan esimerkki modernista operaattoritoiminnasta. Dish hyppää syvään päähän ja osittain tuntemattomaan. Mutta onhan se testannut tai arvioinut ratkaisuja jo pidempään. AWS on sitoutunut luultavasti täysillä, koska silläkin on iso tulevaisuus käsissä. Yhteistyökuvio on kiinnostava, koska valmista ei ole olemassa ja palvelu muotoutuu matkan varrella käytännön kautta. Tätä on moderni iteratiivinen kehitys. Molempien osapuolten on joustettava ja tehtävä kompromisseja, mutta lopputulos on luultavasti hyvä.

Historiasta muistuttaa se, että Dishillä on vanhastaan vielä 9 miljoonaa CDMA-palvelun tilajaa, jotka verkko-operaattori T-Mobile uhkaa heittää tyhjän päälle lopettaessaan CDMA-verkon tämän vuoden loppuun.

Mitä maksaa 5G-verkko? Yhdysvaltain hallitus on tilannut selvityksen mobiiliverkon hintakomponenteista ja FCC on julkaissut Widelityn tuottaman yksityiskohtaisen raportin hinnoista. Hinnasto sisältää satoja komponentteja ja kuvaa hyvin mikä on raudan ja asennustyön suhde verkossa. Esim. 50000 tilaajan 5G non-standalone EPC maksaa asennettuna 0,25-1,2M dollaria riippuen valmistajasta. Vertailua vaikeuttaa se, että isoilla ostajilla on omat alennushinnat ja valmistajien välillä on hintaeroja. Mielenkiintoinen on myös Nokian kommentti, että Open RAN -ratkaisu on saman hintainen kuin perinteinen valmistajan integroitu ratkaisu. Tämä on ollut havaittavissa myös kiinteissä verkoissa whitebox- ja disaggregaatiomalleissa. Hinta ei ole välttämättä merkittävin kilpailutekijä, vaan hyötyä on haettava esim. ominaisuuksista ja operointimalleista. Hintaa saa aina painettua alas isoilla ostomäärillä riippumatta ratkaisusta.

Nyt kun mastot on pitkälle ulkoistettu eri omistukseen, tulevaisuudessa myös verkkolaitteiden omistusmalli saattaa muuttua. Masto-operaattori voi hankkia verkkolaitteet ja vuokrata niitä eteenpäin verkko-operaattoreille. Jaettu investointi ja maksa käytöstä -malli houkuttavat. Kenties tämä vahvistaa entisestään infra- ja palveluoperaattorijakoa. Kaikessa IT:ssä näyttää muutenkin jatkuvan infran keskittyinen ja eriytyminen harvoille toimijoille.

Mikä ero 5G:n yksityisverkoilla ja network slicingilla? Yksityisverkko on enemmän itsenäinen ja staattinen kampusverkko, jossa on omat autentikointija autorisointipalvelut, ja jota yritys itse hallitsee. Yksityisverkko on yleensä rajattu alueellisesti esim. tehdaskampukselle, jossa perinteisesti on käytetty wifiä. Hinta on kallis, mutta tietoturvallisuus hyvä.

Network slicing on enemmän operaattorin hallitsema kokonaisuus, jossa jaetaan virtuaalinen dynaaminen siivu verkosta asiakkaan käyttöön. Network slice on IETF:n määritelmän mukaan päästä päähän ulottuva looginen topologia, jolla on palvelutasotavoite. Slicella on kuitenkin myös oma hallintakerros, jonka kautta asiakas voi operoida omaa osuuttaan. Network slicing vaatii 5G standalone coren, joita toistaiseksi on harvoilla. Verkko tukee noin “kourallisen” sliceja, joita fyysinen kapasiteetti rajoittaa. Resursseja ja ominaisuuksia voidaan kuitenkin jakaa dynaamisesti käytön mukaan. Mihin se sitten riittää, jää nähtäväksi. Verkko roamaa koko operaattoriverkon julkisen verkon alueella tarjoten kattavan WAN-ulottuvuuden. Hinta on edullisempi kuin yksityisverkossa. Network slicing ja NaaS on 5G:n odotettu tuleva rahastusmalli, jonka uskotaan olevan todellisuutta puolentoista vuoden päästä.

Suomessa DNA:n ja Telian yhteisverkko laajenee koillisesta Raahe-Loviisa -linjalle kattaen jatkossa yli puolet Suomen pinta-alasta. Väestöpeitto kaksinkertaistuu kolmivuotisen rakennusprojektin aikana. Samalla Huawei potkitaan pois verkosta ja Nokia tulee tilalle.

Elisa on lopettanut 10M- ja 30M -VDSL-liittymien myynnin pienkiinteistöihin ja vuokraverkon alueella liittymiä on irtisanottu. 50M- ja 100M-liittymiä myydään edelleen kun se on teknisesti mahdollista eli DSLAM on muutaman sadan metrin etäisyydellä kiinteistöstä. ADSL:ää on ajettu alas jo pari vuotta. Korvaavana tekniikkana tarjotaan mobiiliverkkoa.

Kiinteä mobiililaajakaista onkin kiinnostava palvelu. Kuidun on oletettu olevan takuuvarma toteutustapa tulevaisuuden suhteen, mutta hinnan ja saatavuuden puolesta viisari on alkanut kääntyä mobiililaajakaistan puoleen. Syynä on osaltaan operaattorien kova mainonta, mutta myös kuluttajat ovat kiinnostuneita. Ominaisuuksiltaan kuitu on toki eri tasolla kuin mobiili, mutta mobiili riittää hyvin peruskuluttajalle. Kokemukset 5G-laajakaistasta osoittavat nopeuden seilaavan huippunopeuden ja sen kymmenesosan välillä, mutta vasteajat on hyviä. Sekä sijainnilla että antennien sijoituspaikalla on merkitystä. Jatko näyttää miten käyttäjämäärän kehitys vaikuttaa palvelunlaatuun.

USA:ssa kokemukset T-Mobilen kiinteästä 5G-laajakaistasta (fixed wireless access FWA) ovat vastaavanlaisia. Taustalla pyörii kysymyksiä riittääkö verkon kapasiteetti ja vastaako se kysyntään? T-Mobile sanoo myyvänsä vain olemassa olevaa kapasiteettia. Tavoitteena on kattaa 70% asiakkaista. Joka tapauksessa kiinteän laajakaistan tuotto on huono verrattuna mobiililiittymään, jossa T-Mobile tekee 40-kertaisen tuloksen gigatavua kohden.

Uplink-kapasiteetti on suurin huolenaihe varsinkin nyt etätyöaikana. Nykyinen downlink-uplink -suhde 10:1 ei vastaa tarvetta, joka muutamassa vuodessa on siirtynyt 5:1-suhteeseen. Comscopen tutkimuksen mukaan uplinkin kapasiteetin päivitys on unohdettu viimeiset kymmenen vuotta. Kaista on niin ahdas, että siinä ei ole paljon liikkumavaraa. Viime vuonna downlink/uplink-suhde oli huipussaan 15:1 ja on siitä hieman laskenut 12:1-tasolle.

Verizoninkin mukaan kiinteä mobiililaajakaista ei ole kuidun tasoa, mutta riittää hyvin käyttäjille. Hyvänä itsekritiikkinä Verizon esittää parannusta mainontaan, jossa annetaan väärä kuva mobiiliverkon nopeudesta ja luotettavuudesta. Kuituoperaattorit taas korostavat kuidun hyötyä mm. kapasiteetin symmetrisyydessä ja luotettavuudessa. Lumenin strategiana on kuidun kohdistaminen urbaanialueille, joissa kattavuushuiput ovat jo 40% tasolla. Todellisuudessa laajakaistan toteutustapa riippuukin alueesta ja sen ominaisuuksista. Kuitu ja mobiili toimivat varmasti rinnakkain tarjoten hieman erilaisia yhteyksiä tarpeesta ja saatavuudesta riippuen. Satelliitti ei varsinaisesti kilpaile näiden kanssa vaan tarjoaa vaihtoehdon syrjäisemmillä alueilla.

Kaapeliverkossa nopeudet kasvavat useamman gigabitin nopeuksiin. DOCSIS3.1-takniikalla on saatu 2,2Gbps ja DOCSIS4.0 Full Duplex -tekniikalla symmetrinen 4 Gbps kenttätesteissä.

Sitten vähän hinta- ja nopeusdataa liittymistä: Mitä maksaa 1GB mobiilidataa 230 eri maassa? Entä mikä on laajakaistan hinta Euroopassa suhteessa palkkatasoon? Ookla Speedtest indexit Suomen osalta näyttävät, että mobiilidata on suhteellisen tasalaatuista ja suuremmat erot ovatkin kiinteässä verkossa. Keskimäärin nopein kiinteä oli Telia ja nopein mobiili DNA. OpenVaultin laajakaistatutkimus nosti esiin kuinka upstream-kapasiteetin käyttö on kasvanut 63% viime vuonna. Pandemia ja etätyö muutti kapasiteetin käytön luultavasti pysyvästi ja nyt taajuuteen perustuvat siirtotavat ovat hätää kärsimässä kun kapasiteettia pitää allokoida uudelleen vähistä taajuusvarannoista.

Muussa verkkotekniikassa Verizon rakentaa erikoistarkkaa paikannusjärjestelmää sataan USA:n suuripaan kaupunkiin. Hyper Precise Location HPL parantaa nykyistä 3-9 metrin paikannustarkkuutta senttimetrin tasolle ja se tukee myös pystysuoraa ulottuvuutta. Tarkalla paikannuksella valmistaudutaan esim. autonomisiin ajokkeihin ja lennokkeihin sekä automaattisiin operaatioihin.

USA:n ATSC 3.0 -TV-standardi sisältää tuen IP-liikenteelle ja multicastille. Synthesis Cloud suunnittelee sen päälle maanlaajuista lähetysverkkoa ja CDN:ää, joka vähentäisi unicast-liikenteen määrää verkoissa. Ongelmana on erillisen verkon rakentamisen kalleus. Todennäköisempää on, että 5G-broadcasting lyö läpi tulevina vuosina ja TV-lähetys voidaan välittää saman olemassa olevan 5G-infran kautta.

Pilvi ja SASE

AWS:n uusia julkistuksia on Macsec 10G/100G Direct Connect -yhteyksille. VPC Reachability Analyzer automatisoi yhteystason tarkistukset ja ongelmien havainnoinnin kahden VPC:n sisällä olevan laitteen välillä. Route 53 Resolver DNS FW tuo palomuurauksen DNS-palveluun. Transit GW Connectin saatavuus laajenee Euroopassa. Kuuleman mukaan AWS Transit GW asentuu käyttöön 1,5 minuutissa kun kun Azuren vastaavalta Virtual Hubilta kestää asentua 15 minuuttia. Samoin VNET/VPC-yhteyden luominen kestää Aws:ssa alle minuutin kun Azuressa se kestää 3-15 minuuttia.

Yleisenä suunnitteluvinkkinä on, että tunne pilvesi heikot kohdat. Kaikki hajoaa joskus, siksi pitäisi ymmärtää yhden pisteen vikakohdat ja välttää niitä. Ongelmana on, että aina kun poistaa vikapisteen, se lisää monimutkaisuutta ja kustannuksia. Eli tavoitteena olisi hakea sopivan siedettävää riskiä, jossa liiketoiminta pyörii riittävällä tasolla. Ei rakenneta IT:n omaa täydellistä korttitaloa, vaan hyväksytään tietyt puutteet ja ollaan tyytyväisiä riittävän hyvään.

USA:ssa mies aikoi räjäyttää internetin asentamalla pommin AWS:n Virginian konesaliin. FBI kuitenkin nappasi miehen kiinni kun hän yritti ostaa peiteagentilta räjähteitä. Mies sai 20 vuotta vankeutta. Mediassa elää sitkeästi myytti, että 70% internet-liikenteestä kulkee Pohjois-Virginian kautta. Tämä ei voi pitää paikkaansa. Vaikka alueelle onkin paljon pilvikapasiteettia, määrä on n. 30-40% kaikesta. Vain 9% Pohjois-Amerikan konesaleista on Pohjois-Virginiassa ja vain 23% maailman internet-kapasiteetista edes kytkeytyy USA:han.

Pilvipalveluiden myötä markkinoille on tullut termi “middle mile“. Mikä se on? Kyse on uudesta segmentistä, joka yhdistää yrityksen pilveen, mutta erottautuu operaattori-WAN:sta. Segmenttiin kuuluvat siis kaikki toimijat ja palvelut, jotka tarjoavat pilviyhteyksiä suoraan tai välillisesti. SD-WAN on yksi osa tätä segmenttiä, mutta niin myös internetin yhdysliikennepiste, yksityiset yhteydet tai muut palveluntarjoajien yhteydet. Greg Ferro kuvaa hyvin miten yritysverkko on kehittynyt pilvipalveluiden myötä monimutkaiseksi vyyhdeksi ja minkälaisten asioiden parissa yritysten on painittava.

Miten colo-tarjoajat asettuvat tähän hybridipilvimaailmaan? Equinix pyörittää yli 200 konesalia ympäri maailman ja määrittelee itsensä integraattoriksi, joka tuottaa palveluita auttamaan asiakkaita käyttämään pilvipalveluita. Auts, hybridipilvi ja edge ovat täynnä hirvittävää jargonia, josta ei paljon konkretia avaudu. Equinix voi siis tarjota keskitettyjä valmiita yhteyksiä pilvipalveluihin ja tuoda pilvipalvelu lähemmäksi asiakasta alueelliseen konesaliinsa. Equinix luottaa vahvasti kumppaneiden palveluihin, joihin se yhdistää omaa teknologiaansa.

Linux Foundationin State of the Edge -raportista on poimittu nasevia lausuntoja. Jos operaattorit investoivat telco-edgeen, heille pitää näyttää raha ja tarjota helpot hedelmät puolessa vuodessa. Mikä edes on edge? Skaala on hurja, pienimmän ja isoimman toteutuksen välillä voi olla 9 magnitudin ero. Rauta on edgen ikävä asia. Paras tila, sähkö ja yhdistettävyys on konesaleissa, mutta konesali eivät yleensä tarjoa pilvitason palveluita. Moni edgen tuottama data ei edes päädy pilveen. Hyvä pointti on myös se, että edgessä on kyse myös hyvin paljon uudenlaisen toimintaympäristön operoinnista ja palvelun tuottamisesta.

Kun pilvessä ollaan, myös verkon pitäisi pystyä elämään yhdessä pilvinatiivien sovellusten kanssa. Cisco on aloittanut softaprojektin, jossa rakennetaan pilvinatiivi SD-WAN (CN-WAN). Nykyisellään SD-WAN on erillinen komponentti, joka seilaa pimeässä tajuamatta sovelluksista mitään. Tavoitteena on tehdä mallitoteutus miten Kubernetes-sovellusten metadata voisi ohjata ja optimoida verkon liikennettä.

Oracle ilmoittautuu mukaan SASE-peliin jälkijunassa kuten julkiseen pilveenkin, mutta se on kuitenkin yksi ensimmäisistä julkisen pilven SASE-tarjoajista. Taktiikkana on käyttää kumppaneita ja panostaa vahvasti erityisesti SASE-osuuteen. Aiempien kumppanien Zscalerin ja Paloalton lisäksi nyt on lisätty myös Checkpointin Quantum Edge -palomuuritoiminto. Oraclen Talari SD-WAN voi hyödyntää Checkpointin muurisoftaa. OCI-pilvessä on ennestään SWG-, CASB- ja ZTNA -ominaisuudet, joita kumppanilta tuleva palomuuritoiminto täydentää. Erottava tekijä on se miten OCI voi integroida sessiotason protokollat kuten SBC:n ja SIP:n SASE:een. Kukahan näitä protokollia sitten käyttää pilvimaailmassa? Oracle taitaa olla itse melko konservatiivinen tai sillä on oma konservatiivinen asiakaskuntansa.

Myös Vmware paketoi etätyökalut Anywhere Workspace -kokonaisuuteen. Versa Titan positioi itsensä pienyritysten helpoksi SASE-tuotteeksi, jolle selvästi voi olla kysyntää. Cato SASE-sertifioinnista on valmistunut 600 oppilasta ja sertifioinnin voi suorittaa ilmaiseksi verkossa.


Valkoinen talo nimesi virallisesti venäläiset Solarwinds-iskun tekijöiksi. Kiinalaiset käyttivät Pulse Securen kriittistä nollapäivähaavoittuvuutta hyväkseen. Kohteeksi joutuivat USA:n puolustushallinnon kumppanit, mutta myös Suomessa Valtori. Hyökkäykset alkoivat jo elokuussa 2020 ja FireEye löysi ne myöhemmin tämän vuoden alussa. Pulsen haavoittuvuuteen on työkalu, jolla voi analysoida onko itse altistunut. Haavoittuvuutta voi väliaikaisesti estää ja nyt on julkaistu myös lopullinen korjaus.

Toinen iso isku tapahtui Codecov-softatestausfirmaan jo tammikuussa, mutta se löydettiin vasta huhtikuussa. Codecov on itse pieni 35 hengen firma, mutta sillä on 29000 asiakasta, joissa on mukana isoja ja merkittäviä sovellustoimittajia. Viimeisimpänä uhrien joukkoon on ilmoittautunut Hashicorp, joka tunnetaan infrastruktuurikoodityökaluista. Ohjelmiin on voitu syöttää haitallista koodia, mutta tutkimuksissa ei ole löytynyt viitteitä siitä. Tässäkin tapauksessa Codecov on saanut kuulla kunniansa surkeista ohjelmista, joissa on heikko tietoturva. Bash Uploader lataa nimensä mukaan Bash-skriptillä ja curl-ohjelmalla käyttäjän CI-ympäristömuuttujat eli kaikki tunnukset, avaimet ja tokenit salaamattomina Codecovin palveluun, ja tässä tapauksessa myös hyökkääjän palvelimeen. Alun perin hyökkääjä pääsi Codecovin palveluun sisään ilmeisesti Docker imagen luomissa vuotaneiden tunnusten avulla.

Ciscon pientoimistoreitittimien RV-sarjassa on kriittinen haavoittuvuus, mutta sitä ei enää korjata, koska laitteet ovat pudonneet tuesta ja käyttäjiä kannustetaan päivittämään uudempiin malleihin. Myös Cisco SD-WAN vManagessa on kriittinen haavoittuvuus, johon on korjaus. FortiOS-palvelimien käyttäjiä varoitetaan valtiollisten toimijoiden hyökkäyksiltä. Cring-lunnasvaatimusohjelma iskee teollisuusyrityksiin käyttäen FortiVPN:n haavoittuvuutta. Aruban Clearpass Policy Managerissa on useita haavoittuvuuksia, joihin on julkaistu korjaus.

FreeBSD:n TCP/IP-protokollapinon DNS-toteutuksesta on löytynyt Namewreck-haavoittuvuuksia ja se vaikuttaa laajasti miljooniin IOT- ja IT/OT-laitteisiin. Tutkimuksen yhteydessä huomattiin, että monilla valmistajilla on vaikeuksia tulkita DNS-standardeja ja sama virhe oli suurimmalla osalla omissa tuotteissaan. Tämä herättää kysymyksen miksi standardi on kirjoitettu niin huonosti ja epäselvästi, että puolet toteutuksista on viallisia.

Maailman vaarallisin bottiverkko Emotetin poisto saastuneista koneista aktivoitui 25.4. kansainvälisen viranomaisyhteistyön tuloksena. Cloudflaren tilaston mukaan DDoS-hyökkäyksiä tehtiin alkuvuonna eniten operaattoreita kohti. Nousevia kohteista olivat QUIC-protokollan käyttö Jenkins- ja Teamspeak3-palvelimia kohti. Isoja hyökkäyksiä on määrällisesti vähän ja 97% tapauksista on pienempiä alle 1 Mpps tai alle 500 Mbps. Myös hyökkäysten kesto oli 90% tapauksista alle tunnin. Akamai kertoo melko tuntemattomasta DCCP-protokollaa hyödyntävästä hyökkäyksestä, joka käytännössä on aika pienen piirin riesa, koska protokolla ei ole laajemmin käytössä. Internetissä on arviolta 20 miljoonaan reititysluuppia lähes joka kolmannessa AS-domainissa. Kyse on vaan siitä, että paketti pomppii edes takaisin kahden reitittimen välillä kun reitit osoittavat vastakkaisiin suuntiin. Kuitenkin paketin TTL:stä riippuen ne toimivat enemmän tai vähemmän voimistavina DDoS-hyökkäyksinä. Jo 6 Mbps UDP-pohjaliikennettä luuppaamalla saadaan 10G-linkki täyteen ja 60 Mbps riittää tukkimaan 100G-linkin. Reititysvirheet tulisi jokaisen operaattorin korjata ja havainnointiin on myös ilmaisia työkaluja.

Verizonin Mobile Security Indexin mukaan yritykset epäonnistuvat edelleen perusasioissa. Näitähän ovat siis oletussalasanan muuttaminen, datan salaus, pääsyn rajoitus ja säännöllinen tietoturvatestaus. SANS:n tutkimuksen mukaan pilven yhteydessä huoli vahingossa tehdystä väärästä konfiguraatiosta kasvaa, mutta todellisuudessa vain alle puolet huolestuneista on todellisuudessa tehnyt virheen. Määrä on silti iso ja kuvastaa mikä vaikutus kiireessä tehdyillä muutoksilla monimutkaisissa ympäristöissä on.

Älytehtaan varustaminen antureilla ja ohjauksella altistaa sen uhkille. Trend Micron tutkimuksen mukaan 61% on kärsinyt tietoturvaongelmista älytehtaissa ja 43% iskujen aiheuttamat seisokit ovat kestäneet useamman päivän. Kehitys on kesken ja yhteinen ohjeistus ja yhteistyö olisi tehokkain tapa nostaa tasoa ja ehkäistä riskejä.

Microsoft on julkaissut avoimen lähdekoodin kyberhyökkäyssimulaattorin CyberBattleSimin, jolla se yrittää havainnollistaa miten tekoäly voi analysoida ja estää hyökkäyksiä.

Kaikki internetiin kytketyt laitteet altistuvat uhkille ja siksi verkkolaitteet pitää yleensä jollain tapaa koventaa. Mikrotik RouterOS:n suojaamista ja laitteiden kovennusta käydään perusteellisesti läpi videolla ja esityksessä. Linux pyörii monen laitteen taustalla ja sen koventaminen on monimutkaista ja kovaa työtä. Disaggregaatiomallissa ja avoimen lähdekoodin ympäristöissä kovennus pitää yleensä tehdä itse. Käyttäjä voi ulkoistaa kovennuksen verkkolaitevalmistajalle, joka hoitaa asian omalla tavallaan. Se ei kuitenkaan poista käyttäjän vastuuta infran haavoittuvuudesta. Samalla kun työ ulkoistetaan valmistajalle, luovutaan osasta ominaisuuksia. Tämä kompromissi on hyvä pitää mielessä.


Onko pienen viiveen kytkimillä oikeasti mitään väliä? En ole koskaan ymmärtänyt mitä High Frequency Trading -maailmassa nanosekuntien viilaaminen merkitsee. HFT:ssä kaikki sovelluksista käyttöjärjestelmään ja infraan on varmasti optimoitua, mutta oikeasti, mitä kymmenen tai sata nanosekuntia lisää voi vaikuttaa kokonaisuuteen? Meillä kuolevaisilla se onkin merkityksetöntä, koska infra-sovellus -kokonaisuudessa on aina reilusti enemmän viivettä kuin kytkennässä. Siirtoviiveellä pitkillä etäisyyksillä on silti jo merkitystä.

Low latency -kytkimiä mainostetaan levyliikenteen käyttöön, mutta levyprotokollille myös häviöttömyys on tärkeää, joten ison puskurin kytkimiäkin profiloidaan storage-kytkentään. Nopea kytkentä ja puskurointi ovat ristiriidassa keskenään ja yleisesti ottaen puskurointia pidetään TCP-liikenteessä pahempana kuin pakettien nopeaa tiputtamista. Protokolla hoitaa uudelleenlähetyksen nopeasti. Nyt voi virallisesti sanoa, että FCoE on kuollut ja kuopattu. Kukaan ei sitä enää markkinoi ja käyttökokemukset osoittautuivat huonoiksi. 

Huhut kertovat, että AWS on suunnittelemassa omaa kytkin-ASIC:iä ja sen odotetaan myös toteutuvan. AWS:llä kuten monella muullakin on Broadcomin kanssa kauppapoliittisesti hankalaa ja paine muuhun ratkaisuun on kova. Vanha Broadcom toi markkinoilla merchant siliconin ja sitoutti asiakkaat tuotteisiin. Spekulaatioiden mukaan Avagon mukanaan tuoma “Uusi Broadcom” haluaa hinnoitella tuotteet agressiivisemmin ja hyötyä hyperskaalaajien pohjattomasta lompakosta. Skaalasta kertoo jotain se, että tyypillisessä pilvikonesalissa on 100000 palvelinta, jotka vaativat n. 4000-6000 kytkin-ASIC:iä. Kokonaisuudessaan AWS:llä voisi olla 480000-720000 kytkin-ASIC:iä omassa verkossaan. Tällä massalla voi helposti perustella kustannustehokkaat ratkaisut ja omat tuotekehityksen. AWS tekee omaa verkkokäyttöjärjestelmää ja voi portata sen mihin alustaan tahansa. Raudan suunnittelu on kuitenkin pienen piirin puuhaa ja siihen AWS:kin tarvitsee ulkopuolista apua. Spekuloinneissa on käyttää 2015 ostetun Annapurna Labsin porukkaa tai ostaa Xsight Labs tai Innovium.

Ciscolla on monta erilaista verkkokäyttöjärjestelmää, vähän liiankin monta. Tässä selitys kaikista lehmien avulla.

Openflow ei ollut varsinainen menestys, mutta se johti meidät uudenlaisten asioiden äärelle. Keskistetty hallinta ja API-rajapinnat olivat tärkein anti myöhemmälle kehitykselle. Openflow:n kehitys lähti control planen kehittämisestä, mutta siitä seurasikin myös data planen ohjelmoitavuus ja myöhemmin yhteinen P4-kieli. Painetta oli myös tehdä konfigurointirajapinta ohjelmoitavaksi ja siitä syntyi gNMI, joka korvaa perinteistä CLI:tä. Openflow loi kaikesta huomimatta SDN:n, jossa hyvillä rajapinnoilla saadaan aikaan täysin ohjelmallinen verkko ja sitä kautta aivan uusia käyttömahdollisuuksia.

Verkkolabran rakennukseen on tullut uusia konsepteja. Containerlab on konttipohjaisiiin verkkolaitteisiin tarkoitettu alusta, jossa voi nopeasti pystyttää virtuaaliverkon. Alusta voi myös käynnistä perinteisiä virtuaalikoneita. Netsim-tools on Ivan Pepelnjakin Vagrantiiin, Libvirtiin ja Ansibleen perustuva virtuaalilabran pystytyskoodi, jolla voi luoda nopeasti oman topologian YAML-tiedostojen kuvauksen perusteella. Reititysprotokollien ja valmistajien tuki on kattava.

Taas kerran x86-raudalla on saatu muhkeita lukemia käyttäen VPP:tä: 1 Tbps ja miljardi pakettia sekunnissa palvelimella. VPP on avoimen koodin versio on Ciscon Vector Packet Processing -teknologiasta, jolla voidaan ajaa kovan suorituskyvyn paketinvälitystä x86-raudassa. Mitä tällä sitten tekee? VPP:llä voi rakentaa tehokkaita softapohjaisia verkko- ja tietoturvatoimintoja kuten palomuurausta, VPN-tunnelointia, SD-WAN:ia tai SASE:a.

Tilaston mukaan 100G on nyt konesaleissa suosituin nopeus. Toimitettujen 100G-porttien määrä ylitti 10G-porttien määrän. Arista nappaa lähes 40% osuuden kumulatiivisista brändi-kytkinten toimitusmääristä ja Cisco vastaavasti 40% voitoista.

Mielenkiintoinen tieto japanilaisoperaattoreilta kertoo, että kosmiset säteet aiheuttavat Japanissa 30000-40000 verkon toimintahäiriötä vuodessa. Häiriö tapahtuu kun kosmiset säteet kohtaavat ilmakehän hapen ja typen, ja vapauttavat neutroneita, jotka törmäävät elektroniikkaan korruptoiden ne. Monet häiriöistä korjautuvat hetken päästä itsekseen suojalaitteiden avulla, mutta vakavammissa tapauksissa laitteet myös jumiutuvat ja voivat aiheuttaa isompia ongelmia. Ongelmien määrä tietysti lisääntyy kun elektroniikan määrä ja riippuvuus siitä kasvaa. Ongelmien syiden löytäminen ja vastustuskeinojen keksiminen on vaikeaa, koska häiriöt eivät ole toistettavissa.

Telia Carrierin podcast-sarjassa on paljon hyviä aiheita ja vieraita, joista saa näkemystä missä tietoliikenteessä mennään ja miten maailma muuttuu. Jaksossa 11 vieraana on Tom Hollinsworth ja keskustelua vähän kaikesta verkkoihin liittyvästä.

Protokollakehityksessä Microsoft on hionut QUIC-protokollaa ja saanut sen nopeuden nostettua yli nelinkertaiseksi 8 Gbps:iin. Missä HTTP/3 ja QUIC sitten menevät käytön osalta ja ovatko ne oikeasti nopeampia? Daniel Stenberg antaa joitakin vastauksia blogissaan hieman epäselviin kysymyksiin. Samalla tämä curlin kehittäjä sai koodinsa Marsiin Nasan helikopterin mukana. Ennen sitä tapahtui tökerö episodi kun Nasalle piti todistella missä ja miten avoimen koodin ohjelmaa on kehitetty.

Hyvä Twitter-ketju MTU-asioista selvittää mitä tähän monimutkaiseen asiaan liittyy.

Yritykset ja tuotteet

Arista etsii laajempaa markkina-asemaa holistisella näkemyksellä. Kampus oli ensimmäinen avaus laajempaan markkinaan, Cloudvision-hallinta pyrki automatisoimaan verkot, kytkimien ominaisuuksia laajennettiin reititystarpeisiin ja nyt tietoturvaominaisuuksilla tehostetaan tuotteiden käyttöä ja hyödyllisyyttä. Vaikka Arista on ohjelmistotalo, sen tuotteet perustuvat tehokkaaseen rautaan. Arista ei aio lähteä mukaan muodikkaaseen tilauspohjaiseen lisenssimalliin. Asiakaspohjaa pyritään laajentamaan ja sen myötä riippuvuutta Microsoftista ja Facebookista vähentämään.

Cloudvision-hallintaan on lisätty parempaa näkyvyyttä telemetriatiedosta louhitun analytiikan avulla. Tekoäly pyrkii oppimaan poikkeamat ja suorittamaan automaattiset korjaukset. Wifistä lähtenyt hallintamalli on laajentunut koko verkon käyttöön. Studios-ominaisuus tuo mukanaan työtilat, joilla luodaan työnkulkuja erilaisiin tarkoituksiin. Työnkulku abstraktoi konfiguraation muutokset datamallin avulla, mikä helpottaa kokonaisuuden hallinnassa ja parantaa muutosten laatua ja käyttäjäkokemusta. Cloudvision on laajentunut konesalikäytöstä koko verkon laajuiseksi työkaluksi ja on nyt saatavana sekä onpremises- ja SaaS-versiona.

Aristan vaaranpaikkana on kasata kaikki mahdolliset toiminnot ja eri käyttökohteet yhteen tuotteeseen. Cloudvision voi sortua omaan monimutkaisuuteensa. Yksi kaikenkattava hallintatuote voi toimia SMB-sektorilla, mutta pienyritykset eivät ole varsinaisesti Aristan kohderyhmää. Isompien osalta monesti on todistettu, että asiakas haluaa valita erikseen hyvät ja itselle sopivat komponentit verkkoon, hallintaan ja tietoturvaan.

Arista lähtee mukaan sertifiointiin seitsemäntasoisella ACE-ohjelmalla. Alimmilla tasoilla vaaditaan viiden päivän koulutus ja vain kaksi ylintä tasoa voi saada pelkällä käytännön kokeen läpäisemisellä. Koulutuksessa koitetaan painottaa hyviä ratkaisukäytäntöjä pelkän nippelitiedon sijaan. Ohjelma myös yrittää kohdistaa sertifiointitasot erilaisiin työrooleihin.

Juniper yllätti hyvällä operaattoriliiketoiminnan tuloksella, mutta myös yrityspuolen Mist-tekoälyratkaisut ovat myyneet hyvin. Softan osuus on ollut merkittävä ja Juniperilla löytyy nyt hyvin softaa kaikkiin tuoteperheisiin. Yritysostokset 128T, Apstra ja Netrounds ovat olleet hyviä ja Juniper on mitä parhaimmissa asemissa uskottavan teknologian ja automatisointistrategian osalta. Ongelmana kuitenkin on se, että Juniper ei osaa toimia ja tuoda hyvää tarinaansa paremmin esille. Ciscon myyntiin ja markkinointiin verrattuna Juniperin tarina on haaleaa kahvia.

Cisco on vahvasti yrittänyt siirtyä raudasta softaan ja ratkaisuihin, ja se on toiminut. Ciscon strategiana on tuoda kaikki tuotteet SaaS-mallina ostettaviksi Cisco Plus -konseptin alla. Liikkeelle on lähdetty Cisco Plus Hybrid Cloud -palvelulla, joka sisältää käytön mukaisella laskutuksella palvelimia ja storagea, tukipalveluita ja joustavasti suunnittelu- ja asennuspalveluita. Ensimmäinen NaaS-palvelu on Cisco Plus Umbrella eli SASE-palvelu myöhemmin tänä vuonna.

Cisco on myös lyönyt yhteen Appdynamicsin ja Thousaneyesin yhdistäen sovellus ja verkkonäkyvyyden. Appdynamicsin SaaS-palvelua saa nyt laajemmin AWS:n pilvestä.

Viptelan perustajien uusi yritys Prosimo keskittyy integroimaan infrakerroksen monipilven sovelluksiin. Uusi kategoria on nimeltään Application Experience Infrastructure AXI. Tuote optimoi sovellusten ja käyttäjien kommunikointia, ja yhdistää infran hallinnan, SLA:n ja tietoturvan yhdeksi kokonaisuudeksi. Kuulostaa kovin samalta mitä monipilvisovellukset yleensäkin tekevät.

Dellin ja Vmwaren tiet eroavat vihdoin kun Dell myy parhaiten kannattavan osansa Vmwaren, jonka se osti 2016. Nyt siis perutaan yksi kaikkien aikojen suurin teknologiayrityskauppa. Strateginen kumppanuus pysyy, mutta Vmware voi paremmin toteuttaa omaa visiotaan. Dell maksaa pois velkojaan. Ulospäin muutos tuskin juurikaan näkyy.


Sirujen saannin vaikeus alkaa nyt näkyä toden teolla. Qualcomin wifi6-sirujen toimitusajaksi sanotaan 40-64 viikkoa. Laajakaistaoperaattoreilla reititinten saatavuusongelmat tyhjentävät varastoja ja uusien laitteiden saaminen alkaa viivästyttää toimituksia ja verkon rakentamista.

Lisäksi kryptovaluutan louhintaan käytetyt grafiikkaprosessorit syövät kapasiteettia GPU-valmistuksesta ja -toimituksista. Louhintaan valmistetaan jo jopa omia piirejä. Hinnat ovat nousussa ja Suomessakin Telia ja Gigantti ovat jo peruneet näytönohjaintilauksia.

Valmistajien yhteinen näkemys on, että komponenttipula saattaa kestää vuoteen 2023. Intelin panostus Arizonan tehtaisiin ei paljon auta. Muutenkin kapasiteetin lisääminen on hidasta ja siitä ei ole nopeaa apua. Nvidialla on hieman valoisampi näkymä jo ensi vuodelle.


Päivittynyt NIST RPKI Monitor tarjoaa statistiikkaa RPKI:n tilanteesta internetissä. RPKI:n käyttöön liittyy muutamia riskin paikkoja, joiden välttämiseen löytyy ratkaisuja.

Miljoonien Pentagonin ip-osoitteiden ilmestyminen internetin reititykseen heti Trumpin astuttua virasta ihmetytti laajasti. Selvisi, että osoitteet oli annettu ulkopuoliselle yritykselle Global Resource Systemsille, joka teki niillä epämääräisesti ilmaistuna kyberturvallisuuden kehityksen pilotointia. AS80003 mainosti 175 miljoonaa osoitetta, jolla se on toiseksi suurin AS koko maailmassa China Telecomin jälkeen.

RIPE Labs tutki jälleen reitittääkö internet vikakohdan ohi. Tapauksena oli LINX:n katko Lontoossa. Sattumoisin isojen IXP:eiden katkot näyttävät esiintyvän kolmen vuoden välein. Joka tapauksessa vian jälkeen reititys on hetken sekaisin, mutta siirtyy nopeasti varareiteille, jotka käyttävät pääasiassa kahdenvälisiä peerauksia. RIPE stat -monitorointipalvelu täytti 10 vuotta. Se on näppärä työkalua internet-reitityksen seurantaan.

Internetin BGP-reitit voivat myös jäädä jumiin kun reititin jostain syystä missaa reitin poisvetämisen. Puhutaan BGP zombeista, joita tutkimuksessa näkyi yli yksi päivässä 27 prefixin otannassa. Joissakin BGP-toteutuksissa hold timerin ja TCP-ikkunan yhteisvaikutuksesta tulee ongelma. Ehdotuksena on lisätä BGP:hen toinen ajastin, joka voisi ilmoittaa naapurille, että peeraus pitää laittaa alas.

Merikaapeleissa on meneillään suuria hankkeita. Euroopan osalta merkittäviä ovat EllaLink Portugalista Brasiliaan ja CrossChannel Fibre Pariisista Lontooseen Englannin kanaalin ali. Sisällöntuottajat ovat isoja kaapelien omistajia ja rakentajia. He tekevät niitä itselleen, mutta myyvät myös muille tai ovat osakkaana muiden kaapelissa. Tässä lista kaikista sisältötuottajien (Amazon, Facebook, Google ja Microsoft) merikaapeleista. Australian ilmatieteenlaitos haluaisi saada merikaapelin Antarktikselle, koska satelliittikapasiteetti aiheuttaa ongelmia tutkimustoiminnalle. Ongelmana kaapelille on kuitenkin jäävuoret.

IoT-hulluutta voi lukea Reddit-keskustelusta, jossa todettiin LG:n kuivaimen generoivan yli 1 GB liikennettä päivässä AWS:ään. Selvää syytä liikennöintiin ei tainnut löytyä.


Awesome Network Automation on kokoelma tietoa verkon automatisoinnista. Nautobot SoT- ja automaatioalustasta on julkaistu 1.0-versio. Siihen on myös saatavissa Ansible-modulit ja dokumentointi. Tässä yksi hyvä esimerkki avoimen koodin Batfish-verifiointiohjelman käytöstä verkon konfiguraatioiden analysointiin. Batfishillä saatiin kaivettua ja yhdisteltyä verkosta vlanit, prefixit, saitit ja laitteiden host-nimet Netboxiin syöttämistä varten.

Yhden näkymän hallintatuotteet (Single Pane of Glass SPoG) ovat herättäneet yhteisössä tunteita. Valmistajat alkoivat helpottaa hallintaähkyä ja monimutkaisuutta tuomalla yhden näkymän tuotteita, joista hallinta ja valvonta olisi helppoa yhdellä silmäyksellä. Mutta verkot, ympäristöt ja toimintatavat ovat muuttuvat koko ajan yhä monimutkaisemmiksi, ja yhden näkymän käyttökelpoisuus alkaa olla huono. Siispä on hyväksyttävä, että meillä on enemmän pistemäisiä työkaluja, jotka ovat hyviä tiettyyn tarpeeseen. Kokonaisratkaisu voi olla eri tuotteiden tai näkymien integrointi, mikä taas vaatii valmistajien tuen rajapinnoille ja lisäksi omaa integrointiosaamista ja -tekemistä. Tässä hyvä toivelista sopivasta näkymästä, jota valmistajien kannatta lukea tarkasti, jottei tuotteesta tulee SPiN (Single Pain in Network).

Hallintatuotteet siirtyvät kohti abstraktointia, jossa varsinainen konfiguraatio häivytetään taka-alalle ja käyttäjä määrittelee tavoitetilan (intent). Abstraktoinnin avulla voidaan paremmin tukea erilaisia laitteita ja valmistajia sekä määritellä työnkulkuja ja orkestrointia laajemmin. Mutta samalla se vaatii verkon toimintojen ja ominaisuuksien vakioimista ja parempaa määrittelyä.

Myös projektityön koordinointi on merkittävä kehitystä vaativa asia, koska töiden organisointiin menee jo enemmän aikaa kuin itse kehitykseen. Softakoodi ja sen käyttökohteet ovat yhä tärkeämmässä asemassa ja samalla sekä koodin että kehittäjien määrä paisuu valtavasti. Varsinkin avoimen koodin kehityksessä tärkeäksi asiaksi muodostuu  miten tuotteiden kehitystyö saadaan organisoitua tehokkaasti niin, että tuotteista saadaan laadukkaita ja toimintavarmoja.

Pelialusta Roblox on rakentanut omaan verkkoonsa vaikuttavan probe-valvonnan, jolla havainnoidaan pakettihäviöitä ja viivettä. Nyt verkossa tehdään 100 miljoonaa mittausta minuutissa ja agenttien avulla voidaan löytää hyvin tarkasti jopa alle sekunnin mittaiset katkot ja pakettihäviöt yhden polun osalta tasolla yksi 6000 paketista minuutissa.

MLB on esitellyt omaa baseballin stadiontuotannoissaan käytettävän mediaverkkonsa automaatiota ja hallintaa. MLB:llä on perinteistä SNMP-valvontaa mutta myös uusi Kentikin flow-analysointialusta, jota ajetaan pilvessä. Ympäristöön kuuluu verkon lisäksi monipilviympäristö, jonka yhteyksistä saadaan myös dataa. Eri lähteistä ja eri menetelmien kautta koottu data yhdistetään yhteiseen moderniin havainnointialustaan, jossa tietoa rikastetaan ja siihen liitetään liiketoiminnan mukainen metadata. Hyvä pointti on liiketoiminnan merkitys yhdistävänä tekijänä eri osakokonaisuuksien välillä. Yksi tiimi on vastuussa koko IT-ketjusta ja tärkeintä on juuri ylhäältä sitouttaminen liiketoimitatavoitteisiin, ajatustavan muutos ja yhteistyö. Hyvät välineet helpottavat käytännön työssä. Omien työkalujen rakentamisesta Jeremy Schulmanin neuvo on ajatella itseään kustannuksena. Osta kaupallinen tuote kun sopiva on, rakenna itse vain kun on ihan pakko.


Cisco Live pidettiin verkossa ja rekisteröitymisen seurauksena olen huomannut haluamattani liittyneeni ainakin kymmenen yhteistyökumppanin postituslistalle. Cisco Liven koottu anti SDxCentralin tarjoamana:

NSDI ’21 -teknisissä sessioissa on paljon tutkimustietoa ja asiaa verkkojen suunnitteluun ja toteutukseen liittyen.

Ethernet-allianssin Technical Exploration Forumissa on käsitelty ethernetin kehitystä. Seuraavaksi katseet ovat 800G- ja 1,6T-spekseissä, mutta vastaan tulevat teho- ja jäähdytysrajat. Nopeammat 224/448G serdes-linjanopeudet vaatinevat yhteispakattua optiikkaa, mikä taas tarkoittaa optiikkapiirien lisäämistä laitteisiin ja uusien pienempien kaapelien ja liittimien tuloa. 400G:n kehitys kesti 4 vuotta ja uudet kovemmat nopeudet vaativat vielä paljon kehitystä ja testausta ja voivat olla vasta 5-6 vuoden päässä. Tiedonsiirron pullonkaulojen takia hajautunut verkko näyttää jälleen kasautuvan takaisin päin vähempiin kerroksiin ja kytkimiin. Jo lähivuosina voidaan nähdä enemmän yhteispakattujen optiikoiden (CoPO) käyttöä kytkimissä.

Kuukauden nimi

IBM nimesi itsestään erotetun Newco-infrayhtiönsä Kyndryliksi ja lunasti paikkansa huonoiten nimettyjen yhtiöiden sarjassa. Nimi lausutaan “Kindril”, joka ei kuulosta niin pahalta kuin kirjoitettuna ja Suomeksi y:llä lausuttuna. Nimen taustalla ovat sanat kinship ja tendrils eli sukulaisuus ja kärhö. Varsin kuvaavia asioita IT-palveluyhtiölle, eikö? Y kirjaimena yhdistyy todelliseen kumppanuuteen ja kasvuun, mikä osuu paremmin yrityksen toimialaan. Kyndryl tunnetaan myös Warcraftin metsästäjähahmona.

Networking Industry Update 2021-03


On March 10, 2021, a fire broke out in the Strasbourg data center of the French OVH, Europe’s largest cloud service provider. The DC campus had four rooms, one of which was completely destroyed by fire and the others suffered from smoke damage. OVH’s CTO Octave Klaba has set a great example of open and detailed communication on Twitter. The Status page tells you how cloud services are recovering.

Repairs were initiated quickly and 60 employees assembled thousands of new servers a week. However, there were surprises and slowdowns along the way, so the recovery has not progressed as expected. For example, the elevator could not be used and errors occurred in a hurry, which had to be corrected later. Cleaning the servers progressed three racks a day.

The official cause of the fire may still be unclear, but the UPS, which had been serviced the previous day, was suspected to be at fault. Power cables were also replaced lately. Again, 1.4. smoke was detected on the premises and a burnt filter was found in the UPS.

The case has sparked a debate about decentralization and availability of services as well as responsibility for backup. It’s good to remember that even a cloud can break down, and in the worst case of Force Majeure, the customer isn’t even reimbursed for the outages. In the cloud service, the customer is responsible for the data and its backup. Decentralizing the service to different physical locations is also the customer’s job. Forrest Brazeal reminds us with the lyrics of the song about the importance of backup.

In Finland, Nordea’s system upgrade and data center migration took two days longer than planned. The Financial Supervision Authority had to intervene for an exceptionally long break and demanded an investigation from Nordea. At the same time, it was questioned whether banks were sufficiently prepared for possible disruptions. Payment functions are an integral part of the society’s infrastructure and also almost all identification is based on banking services.

Telcos and 5G

The 5G boom surprised Finland and 99.8% population coverage would be achieved in three years. According to Traficom, The Finnish Transport and Communication Agency, high-speed 5G is now available to almost 2 million households in Finland. Traficom updated the mobile network availability table, which shows 4G / 5G coverage by the municipality. Ficom, The Finnish Federation for Communications and Teleinformatics, published its own update on broadband subscription statistics in Finland and Europe. Also globally, 5G is coming faster than 4G.

The use of mm-waves has started in Finland, although terminal support is still lacking. Telia is testing the 26 GHz frequency in Helsinki. All three operators have adopted the former 700MHz TV frequency.

With 5G, the entire technology of the mobile operator will be revolutionized. 3GPP manages to surprise. It has abandoned all exotic closed technologies and opted for a cloud-based model based on APIs and HTTP traffic for the core network. 5G core platform is now more of a third-party platform, which the manufacturers have been opting in. An open platform brings integration opportunities for online services, but can also be a nightmare for coordination. 5G’s network slicing has already revealed security threats where information can leak between private networks.

Operators need to update their operating models and skills in today’s IT world. DevOps principles are becoming familiar, but AI is also being sought for help and even business. Companies are involved in developing the ecosystem of private networks. The corporate network and the mobile network are beginning to merge into a single entity where technologies mix. Cisco or Juniper may be a viable player in private networks because they know the traditional network-side well. Telecom Infra Project TIP has also assembled a group to develop solutions for the attractive possibilities of private networks.

Compared to the Internet, an operator’s network represents a closed network and threatens network neutrality. The technology goes back to circuit switching when users are offered an SLA-defined dedicated bandwidth. The Internet’s best-effort service and openness to everyone will be forgotten. Once Internet won by avoiding unnecessary promises and providing openness to all parties. For businesses, however, a mobile network is easier than wifi, which requires “IT adjustment.” For example, connection reliability and security, remote provisioning and multi-operator capability are important to ABB. The operator offers an easy partnership where a closed and more expensive solution meets the customer’s need more easily than a do-it-yourself network. Here is a little summary and comparison between wifi and 5G. In the future, the mobile network will infiltrate the user unnoticed with many devices and there is a risk that the user will lose control over the connections and their management.

5G networks have set speed records on consumer devices: Samsung 5.23 Gbps, Nokia 4.5 Gbps, Rakuten 1.77 Gpbs. Open RAN has amassed supporters and now the battle is whether ASIC or FPGA is the right way to implement the platform. Massive MIMO is a complex antenna for 64 transmitting and receiving elements that require heavy computation. Therefore, performance and efficiency matter. An ASIC is an efficient circuit focused on a specific function, which reduces peak power, energy consumption, and device size. The FPGA offers wider reprogrammable functions at a lower cost but consumes more energy with poorer performance. 4G is mostly based on FPGA solutions, but 5G is approached with its own SoC circuits, much of which has been invested in. However, SmartNIC maker Xilinx believes the FPGA solution will suffice for 5G as well.

Nokia Bell Labs’ Mikko Uusitalo is leading the European 6G initiative Hexa-X. In the future, the mobile network will mix machines and people into one digital world with major social and economic implications. The first publication sheds light on these visions. The ultra-high terahertz frequencies allow for high data rates, but their use would not be so much for broadband, but for human-machine communication over short distances.

In satellite broadband, Arqiva, the British broadcaster infrastructure provider, has contracted with SpaceX for ground stations and a terrestrial fiber network aimed at getting the island’s sparsely populated areas with decent broadband. Saved from bankruptcy by the British Government, Oneweb continues to build a satellite network and believes in the Arctic area networking potential. The Prime Minister of Finland is overheard to asked for service. The defense sector is also seeking to benefit from commercial networks. Lockheed Martin and the Pentagon are both planning to use 5G as the basis for their communications solutions.


Nokia hosted a week-long media show that came to the fore. Network-Nokia has repeated the same management mistakes of Phone-Nokia, which put the company back in the competition. Siilasmaa and Suri made the company’s operating method rigid and complex. The Alcatel-Lucent deal rubbed through the entire five years and drove the company into two camps, internal disagreements, increased bureaucracy and eventually centralization. The goals were made too grandiose and the product design fluctuated, which frustrated the experts. With Lundmark, cleaning began and is going to last three years. That’s how far Nokia is now behind others.

The improvement program cut 11,000 jobs to save costs and adjust the organization. The reductions are mostly outside Finland. Nokia’s personnel has decreased by 11% in two years. The reductions relate to a new business model in which each unit is responsible for its own results and performance. Technology leadership is important to Nokia, and much more is now being invested in it. The straightforward, open and technology-minded Lundmark has been well received inside the house.

Nokia ran into problems with its ambitious ReefShark chipset because manufacturer Intel was unable to meet the requirements and performance and cost-effectiveness were not what it was supposed to be. Nokia was also not good at programming FPGAs. Now ReefShark is a product name under which there can be ASIC, SoC or FPGA circuits depending on the application. Nokia has also agreed on circuit development with Marvell, but will continue to work with Intel and Broadcom. This year, 70% of base stations will be SoC-based and by the end of 2022, FPGA circuits will have been eliminated in base stations. Nokia already has good knowledge of SoC circuits.

Nokia is investing heavily in the cloud and open O-RAN model, which sets it apart from other traditional competitors. Nokia sees a revolution in the industry and is investing in the Network-as-a-Service model. Simply increasing performance is no longer enough, more sophisticated software is needed. Without flexible and agile networks, 5G will not succeed. Eventually, the web becomes like a cloud service purchased as a service.

Nokia announced partnership agreements with all three big clouds. A 5G cloud platform is being developed with Google. Customer-centric solutions and a cloud RAN platform are being developed with AWS. Enterprise cloud solutions are being developed with Azure. Suri believed in selling total solutions, but now Nokia has clearly seen that customers want to choose parts of their packages separately. Nokia is now focusing on the right things and the future looks strong if things are taken care of properly.

Cloud, Edge, SASE

AWS started 15 years ago with S3. Now S3 stores 100 trillion objects (13,000 objects for every person in the world) and handles tens of millions of queries per second. Durability was designed as a feature of the service from the beginning, providing 11 nines usability.

Programmatic underlay connections are lurking in cloud services and cloud players are trying to take their share of the connection market. Their strength is the existing infrastructure and expertise in implementing a software NaaS service. There would be demand for NaaS, but it is difficult for traditional telcos to meet the need. The MSP should be able to offer multiple solutions to find the right fit for each customer’s needs. Integrating and orchestrating many different solutions, on the other hand, is very laborious. In order to respond to the modernizing ICT world, telcos will have to invest more in IT and digital departments, which was seen in Finland years ago when Elisa and Telia grabbed smaller IT houses for themselves.

Google added a Network Connectivity Center to its service, which allows traffic to be carried on Google’s backbone network. SD-WAN and VPN connections can be managed through a single view between different devices. Google also allied with Cisco to provide automatic provisioning of WAN links on the Google network. Here’s what is the Google Network and what does it cover.

Cloudflare’s hosting and CDN platform is constantly expanding. SASE services came last year, now Magic WAN and Magic Firewall have been added to the Cloudflare One package in an attempt to facilitate connections to Cloudflare services and implement a managed security policy. Integrations can be found for Velocloud and Silverpeak. Like Google, the customer can use the Cloudflare backbone for their own connections and of course, the package includes a centralized control panel. Others who trust their own backbone network are e.g. Cato and Microsoft. If this trend continues, it seems that the open internet is turning a little while into closed networks, as has happened in content services. In any case, with the cloud, concentration begins to peak, after which disintegration and the edge begin to emerge.

SASE’s journey is just beginning and the market is fragmented. Gartner’s forecast shows strong growth for the next few years. You should be careful in your choices, as the vendor dropoff and mergers are likely to start soon. The triumph of cloud platforms now seems to continue in the connectivity market as applications have moved into the cloud. Security features are important and with SASE they are consumed as a service. Fragmented pricing of services is beginning to converge.

As the name implies, SASE is on the edge, but Benu has taken SASE services to the operator’s edge in the BNG. The idea of ​​providing service on a broadband termination point close to the user is great. Admittedly, the same idea has been used for years in CDN services. SASE and CDN are each other’s siblings. You can marvel at these lists of cloud and edge trends, inventions and companies.

Azure’s new Routing Preference feature allows you to choose whether you want to transport your traffic over the Internet or Microsoft’s backbone. Azure Route Server facilitates dynamic routing in the cloud. Ivan Pepelnjak delves deeper into the operation, implementation, and configuration of Route Server. In conclusion, cloud communications are becoming increasingly complex and the need for skilled networking experts still exists.

AWS has increased the route limits of Transit-GW and VPN 5-10 times larger to better meet the need. My colleague Markku noticed that AWS uses E-class addresses from range in its network. The area is unallocated and reserved for future use. Probably the motive of AWS is not to use public addresses on the internal infrastructure and the E-Class seems to look like a public address, even if it is only for internal use. The E-Class is not routed publicly and on many devices, it belongs to martian addresses that are dropped automatically. My own guess, however, is that the E-Class will someday be used for internet routing. There is such a shortage of IPv4 addresses. And that’s what AWS’s E-Class use kind of proves. In the meantime, you can watch the movie “The End” about the IPv4 address range filling.

Oracle brought L2 networks to the cloud and Ivan Pepelnjak goes through the same L2 problems that have been tried to solve for decades.


The Finnish Security of Supply Center has published guidelines for taking cybersecurity into account in ICT agreements and the Police University College published a guide on cybercrime investigation. It appears that companies poorly report cybercrime to the police and carefully weigh the pros and cons. Fear may include reputational damage, the burden of criminal investigation, or a lack of belief that the whole thing would be of any use. In addition, there are several authorities in Finland that should be notified. Supo, the Finnish Security and Intelligence Service, is responsible for national threats. Traficom, The Finnish Transport and Communication Agency, creates situational awareness and assists in the investigation. The data protection officer handles personal data breaches.

Supo said the Chinese APT31 group was behind the Finnish Parliament hacking disguising the attack as an update to the security software. Intelligence services were reported to have used home routers and NAS devices in the attacks. Supo has been said to be a dog that does not bark. Now, for the first time, it named the Chinese as perpetrators of the attack, slightly twisting and curving. In Supo’s opinion, the intelligence is problematic, because the activities that threaten security are easily taken to the shelter of the home peace, to which the intelligence does not have access. At the same time, Supo is asked to provide transparency to surveillance results of which have been told almost nothing.

Ubiquiti’s hacking is worse than earlier appeared and the company has clearly downplayed what happened. The attackers had obtained root credentials from the AWS database, from which they obtained more access credential information. At least all Ubiquiti passwords should be updated, and it could also be a good practice to delete all user profiles from devices and create them with new passwords. Of course, the devices must be upgraded to the latest software and disabling remote management, at least temporarily, should be considered.

The F5 Big-IP 11.6-12.x and Big-IQ 6-7.x were four critical vulnerabilities that were requested to be updated immediately. The Trickbot vulnerability on the Supermicro motherboard affected Pulse Secure’s PSA5000 / 7000 devices. Fixes have been released for the Unix GRUB2 boot loader against a severe BootHole vulnerability in secure boot. It is recommended that updates be installed as soon as manufacturers bring them to their devices. Chrome is now also blocking browser access to TCP port 554 to prevent the use of the NAT Slipstream 2.0 vulnerability. Microsoft released very serious DNS command execution vulnerabilities in dynamic zone updates. The old NIST DNS instructions are still valid. 3653 malicious packages have been removed from Python’s PyPI package manager. The packages easily swim through it to the developers’ own projects.

According to an IBM report, the attacks target more Linux and thus cloud applications. In the cloud, devices are more likely to be available and there is a lot of capacity available in the cloud. Automatic tools are used to scan vulnerable objects and if something is found, it is broken instantly. Anyone can fall victim. New financing opportunities are also being sought from industrial automation control systems, behind which big money and possible ransoms move.

Indeed, a blackmail attack took place in the Canadian Sierra Wireless, in which personnel couldn’t access the design and manufacturing IT systems. Although there was a clear distinction between IT and production systems, factories had to be closed. According to the release, products and online services were not affected by the attack.

Fortinet and Linksys have entered into a partnership for home network security. Fortinet has invested $ 75 million in the development of Linksys routers and the goal is apparently to strengthen Linksys devices with Fortinet security expertise. Fortinet will also be appointed to the Linksys board. So far, this is a buzzword for marketers, and it remains to be seen what the collaboration will be.

Huawei’s job postings were used as bait in Operation Diànxùn, which sought information from telecom operators ’staff on 5G issues. At least 23 operators have been the target of an active campaign.

In the USA, companies and manufacturers have been required to be more transparent in their awareness and management of cyber risks, although there are no legal means to address it. Corporate data is at the mercy of manufacturers and there is no visibility into practices. CISA has proposed a security rating for companies so that cyber risks can be highlighted and decided by the board. Boards see cybersecurity as an important and influential issue for the future of companies. In the case of public companies, there would be a need for more concrete information on where the risks are and how they are managed. For example, FireEye opened its operations and took a risk. By the example, it is hoped that others will voluntarily go in a more open direction.

Solarwinds reports that the investigation and recovery of its own attack have so far cost $ 3.5 million. The price is really low if you compare it to the extensive effects that apply to other companies as well. Of course, many more costs are expected and reputational damage can hardly be offset by money. On the other hand, the matter is forgotten and the business continues as before.

Very special cybersecurity is being practiced by the Britts. The new royal multi-purpose ocean vessel will begin patrolling the oceans and monitoring submarine cables by 2024. The ship will have advanced sensors and will use underwater drones to collect data. The British and US governments are concerned about Russia’s aggressive operations in the Atlantic Ocean and the growing risks to the fibers.


For cabling, the latest green OM5 multimode fiber uses Shortwave Wavelength Division Multiplexing technology. Non-standard SWDM transmission provides 50 meters more range, standard transmission has the same distance as OM4. OM5 does little more and at speeds higher than 100G, the development goes to single-mode fiber anyway.

In copper cabling, the Cat6A, which is more than ten years old has maintained its position as the prevailing cabling standard even in new installations. The latest version of the standardization, the Cat8, raises the band to 2 kHz and provides a transfer rate of 25-40 Gbps for a distance of 100 meters. With DSL technology, 1Tbps speeds are already being planned over the telephone cable. After, we talk about Waveguide and the techniques G.nlp, G.nest and G.tdsl.

On the wireless side, the Wifi7 802.11be standard should be completed by 2024, when equipment is also expected to go on sale. 6 GHz has been added to the frequencies, the bandwidth has been increased to 320 MHz, the modulation is 4096-QAM and the channelization is 16×16 MIMO to reach speeds of 30-46 Gbps. 6 GHz is already in use in Wifi6E and the frequency is being released in the EU. Saudi Arabia is making the world’s fastest wifi by opening up the entire 6 GHz frequency band to wifi use. 6 GHz solves many wifi problems, but also means reduced range, making networks more susceptible to mesh implementations. Also in preparation is the 802.11bf SENS wifi extension, which allows wifi devices to measure distance, movement, direction and location using a wifi signal. The IEEE standard is intended to coincide with 2024 Wifi7. Other similar technologies are being developed and monitoring assumes revolutionary applications, not all of which may be excited. It must be possible to leave the monitoring.

Cisco and Apple have been working together to improve the user experience since 2015. Now Fastlane + adds predictable scheduling to your Wifi6 connection, allowing Apple terminals and Cisco Catalyst access points to negotiate an optimized latency in a congested network. The magic takes place in the background without the user’s knowledge.

In 400G optics, Infinera drives its own XR optics as standard. 400G-XR optics are used in a PON network for symmetric 400G service. It is the only coherent high-speed point-to-multipoint technology that utilizes separately routable 25G subchannels. Infinera has tested its optics in the field in many locations and expects commercial deployment next year.

Next year is expected to bring 800G optics to the switches and port density will also increase. This results in problems with component integration. Co-packaged optics are still looking for their shape.

Cisco introduced new members to the Silicon One family with peak speeds of 25.6Tbps. The advantage of Silicon One is flexibility and consistency. There are nine different models in the family for different uses. However, all the models have the same architecture and features available to be deployed per use case.

SmartNICs have taken their place in cloud acceleration. They can lighten the load on the CPU and increase the efficiency of, for example, networking, storage or machine learning. SmarNICs are usually FPGA-based cards suitable for the PCIe slot but tightly integrated with hardware. The Xilinx Alveo SN1000 card offers 100Mpps with less than 3 us delay and 4 million stateful sessions with less than 75 W consumption. Netronome Agilio LX competes at the corresponding scale.

New vNOG presentations have been released. David Roy talks about Junos inline monitoring. The purpose is to stream traffic data out of the device in IPFIX format and outsource more complex data processing to the receiver. Data can be collected from a flow or mirror with the granularity of a firewall filter, either sampled or 1: 1. So what does flow collector contain and how does it work? An example is Flowhouse. With the Linux 5.13 kernel, packet sampling adds performance metrics to the flow information. Thus, Sflow can generate real-time telemetry information about packet delays and port queue lengths. Aaron Glenn introduces what is a P4 programmable forwarding plane and what can be done with it. Cisco’s Fred Cuiller explains how to merge two large ISP networks.

While the world is becoming more and more dependent on electronics, a large solar flare could destroy much of the Earth’s electronics. Nasa estimates that the probability of a major flare this decade is 12%. The flares occur in 11-year cycles and the most recent began at the end of 2019. Scientists detect the flare with an 8-minute delay and it hits the ground within 17 to 36 hours, so it’s hard to imagine that protection would be possible in today’s world.

Open Source

In The Hedge podcast, Daniel Teycheney discusses open source in networking. As with commercial products, open-source developers need feedback and experience with the code. The user does not have to bear a bad conscience about free products but can provide valuable feedback that can be used to make products better. It’s the users that make products robust.

The London Internet exchange LINX has been using disaggregation with Edgecore switches and IP Infusion’s NOS for several years. Now the model expands to the Manchester point. LINX has taken a good attitude and acted professionally in bringing disaggregation into a production-critical environment. This story is nice to follow.

Typically, the switch ASIC is configured through the manufacturer’s SDK. However, the SDK limits the features and performance of the operating system. In recent years, attempts have been made to run a new way to run the network operating system NOS directly in the Linux kernel. However, switchdev and kernel APIs have not become common among manufacturers, and only one ASIC manufacturer has written a driver that works with switchdev.

Microsoft’s Sonic has garnered popularity among manufacturers and support is surprisingly wide. Sonic seems to be the future de facto standard in open networks. Even Gartner has come to the prediction that by 2025, 40% of more than 200 switch data centers would be run on Sonic. Sonic is even expected to be a standard operating system similar to Linux, which would be a welcoming backbone in a fragmented disaggregation field.

IPSec-VPN is a bloated heavy protocol family that has been accompanied by an open and free Wireguard application and protocol in recent years. This application is also running in the Linux kernel and now BSD and pfSense are included also. Operating system support is extensive from Windows to Mac OS and Android to iOS. VPN tunneling can be used to make different topologies routed and bridged. The technology is light and efficient: in comparison, the Wireguard code is only 1% of the code in IPSec and OpenVPN. Only ChaCha20 encryption is used for encryption. Wireguard simplifies and makes connection setup easier.


The Finnish Association of IT sector Employees has published the results of the labor market survey. The average salary for full-time work is € 4,414 / month, and the largest increase, an average of € 600, is obtained by changing jobs. Salary in the Helsinki Metropolitan Area is on average 19%, or € 757 / month higher than elsewhere in Finland.

Just as the platform economy workers began to be included in employment relationships, the Technology Industries of Finland, one of Finland’s largest unions, decided to withdraw from general collective agreements. The purpose of the “labor market bomb” is to increase local bargaining in the workplace. The member companies are very different and have their own needs, justifying the solution. In the future, members of the Technology Industry will agree on matters locally and a new association of Technology Industry Employers will be established for companies related to the Convention.

The electronics industry and the circuit shortage are plagued by surprising chains of influence. Circuit manufacturing requires a lot of water, but Taiwan is plagued by drought and water use will have to be limited. The same has been heard from German factories. The drought, on the other hand, is due to climate change, which no longer brings typhoons to Taiwan as often as before.

Broadcom’s order backlog this year is 90% full when the normal level would be about 25%. Delivery times have been at their worst for 8 months. Huawei has succeeded in developing its own HiSilicon circuit, but manufacturer TSMC imposes restrictions on availability. Huawei’s most successful part is the enterprise unit, which makes a difference to the telecom sector. Compensatory development has been directed at the cloud, software and other ICT sectors.

Cisco and Huawei hold the top spot in Dell’Oro’s enterprise network equipment market statistics for last year. Cisco’s 40% market share is on its own, and the next Huawei will just get a double-digit share of 10%. The statistics include everything from wired networks to wifi and from WAN to security devices. Therefore, Paloalto and Fortinet, who take places 4 and 5, are surprising on the same leg as Aruba. In general, sales of the campus and data center network decreased and router and data security were on the rise with the sale of software and licenses. Wifi remained flat.

Arista has hijacked about half of the leak from Cisco and the rest has gone to whitebox manufacturers. Microsoft and Facebook have been Arista’s biggest customers, but cut purchases last year. Arista’s customer base has grown from 1,100 to 7,200 in ten years. HPE, on the other hand, has fared better than expected, with Aruba and SD-WAN acting as drivers of digital change. Aruba Central’s cloud management has also strengthened Aruba’s position, but the integration of Silver Peak is an important area for development to take advantage of the additional features it brings. Aruba changed Central’s licensing model and raised prices as the cost increase brought about by the cloud infrastructure. Aruba Central has been running in AWS, but now it is also possible to get it from Azure. In addition, the Microsoft collaboration brought Aruba IoT Transport to Azure, which allows IoT devices to be connected to the cloud via an access point or a controller-based IoT hub.

Fortinet buys ShieldX to protect multi-cloud infrastructure. The Orca Security, founded by former Checkpoint employees, is attacking Paloalto and plans to defeat its customers for itself. The promise is truly functional and comprehensive cloud security. The relationship between the companies has embarked on its own career when Orca angered Paloalto by publishing a product comparison video. Paloalto responded with a threatening legal challenge and the soup was ready. Since then, public posts have been exchanged through blogs.

Equinix has introduced a new data center solution based on factory-built modules. Modules can be used to build capacity in smaller units and to produce energy flexibly in different ways. The model will be tested for the first time in Bordeaux, France. Equinix is the clear leader in recent Interconnection market statistics, which shows that Equinix has a total of 392,000 connections. Digital Realty and Megaport follows.


Russia has tried to incite the uncooperative Twitter. At first, Twitter traffic was slowed, but the effects hit other Internet traffic more broadly. Rostelecom had blocked all of Twitter’s abbreviated domains, but someone had a bad day with the regex, and all domains containing were blocked, including e.g. and Internet traffic in Russia dropped by 24%. The next step was to block the entire use of Twitter if the malicious content does not leave the service.

Blogs recall 2014 when the size of the routing table exceeded 512,000 routes and routers crashed due to lack of memory. The routing table size is now expected to exceed one million routes at approximately the end of 2023. Before that, there will be a full 128,000 routes in the IPv6 table. Now the table sizes are in the order of IPv4 860,000 and IPv6 109,000. In IPv4, the number of /24 prefixes is growing steadily and is now already 60%. For current routers, the size of the table is unlikely to be a bigger problem if the device is designed for peering and has enough RAM.

On the RPKI front, Lumen (formerly CenturyLink, formerly Level3), one of the largest tier-1 operators, has introduced RPKI validation of routes. Qrator Labs explains the difference between a BGP route leak and a BGP hijack. And what RPKI and ROA really matter.

The U.S. DoD has made a plan to sell all 13 Class A IPv4 addresses it owns. Yes, the package has a juicy market value to finance other projects and activities.

In Asia, the trade war is building a capacity wall as the U.S. has forced large producers of submarine cable capacity to put their Pacific projects on hold. Australia has done the same in the past. Facebook has planned two cables for Echo and Bitfrost from the west coast of the US to Indonesia and Singapore. However, cable capacity delays do not have a significant impact on the economy, but may feed local capacity concentrations in, for example, Japan and Taiwan.

An interesting question for fiber investors: how long does fiber last? Fiber manufacturers do not give fibers a lifespan. In practice, it can be seen that the fibers of the 1980s are starting to age. Since then, manufacturing methods, quality, and processing have evolved considerably, and newer fibers no longer have the same problems. Unofficially, researchers have stated that the fiber should last 75 years or more.


We, network engineers, are all in the same boat, so being empathetic is important. It makes no sense to joke or laugh at the problems and harms of others because one day the shit hits your own fan. Rather, you should sympathize with others and try to be helpful, understanding, and encouraging. Hugops has found a place especially in big and serious cases like the OVH fire, but why not also in every case where people need support.

We keep arguing about complexity, but for good reason. Why does the network always owns and solves everyone else’s problems and fulfill the wildest desires? Experts themselves make networks complex and cumbersome, even if less is enough for business. It’s time to say no and move features where they belong. Keep the network neat and simple. Then maybe automation can succeed.

Cisco has signed an agreement to integrate Terraform’s cloud service into its own Intersight multi-cloud management tool. Terraform’s IaC tools are available as a SaaS through Cisco Intersight.

Running lab devices in your own environment is easy as long as you can download an image from somewhere. Ethan Banks has compiled a list and instructions. For some manufacturers, it is easy (Arista, Cumulus, Aruba), for others more difficult (Cisco, Juniper).

At the level of abstraction, network validation and testing is a difficult and multifaceted topic.


Microsoft Ignite introduced a bunch of announcements. CTO Mark Russinovich gave a broad Datacenter presentation. At time 19:17, WAN will be traversed: more than 130,000 km of fiber, more than 180 edge sites, 149,000 RPKI-signed routes, to connect Azure Orbital space devices to Azure. At time 27:46 a few words about network management. At time 42:04, visions and crazy images of liquid cooling. At time 56:10 chaos testing with Chaos Studio.

A different event IETF110 was again held virtually and all sessions can be found on Youtube. Videos provide a strange experience of following the work of working groups and long sessions on all possible topics.

MWC Barcelona, ​​scheduled for June, has suffered a drop in attendance. Of the big ones, only Verizon has confirmed participation, the others have canceled one after another. The tenacious cloud consultant planned to use the money to rent an Ericsson booth and proclaim the good news of the public cloud in his own “Cloud City” booth. The German broadband congress Angacom has also been virtualized this year and will be retried in person next year.

Epic Despair

The Finnish branch of an international company was hit by a disaster, in which the whole service built on top of the ERP system, broke down. DNS had also been baked into the ERP system, and when it stopped working, the entire service stopped exists. The recovery seemed to be a desperate battle of a few people against the ballast of history. Let this be an example of technical debt and its consequences.

[FI] Tietoliikennealan katsaus 2021-03


10.3.2021 Euroopan suurimman pilvipalveluntarjoajan ranskalaisen OVH:n Strasbourgin konesalissa tapahtui tulipalo. Konesalikampuksella oli neljä salia, joista yksi tuhoutui täysin palossa ja muut kärsivät savuvahingoista. OVH:n CTO Octave Klaba on hoitanut esimerkillisesti avoimen tiedottamisen Twitterissä. Status-sivu kertoo pilvipalveluiden palautumisen tilanteen.

Korjaustoimet aloitettiin vauhdikkaasti ja 60 työntekijää kokosi tuhansia uusia palvelimia viikossa. Matkalla tuli kuitenkin yllätyksiä ja hidasteita, joten palautuminen ei ole edennyt odotetusti. Esim. hissiä ei saatu käyttöön ja kiireessä sattui virheitä, joita jouduttiin myöhemmin korjaamaan. Palvelimien puhdistaminen eteni kolme räkkiä päivässä.

Palon virallinen syy lienee edelleen epäselvä, mutta heti alussa syylliseksi epäiltiin UPS:ää, johon oli edellisenä päivänä tehty huoltoa. Saleissa oli tehty aiemmin myös virtaakaapelien vaihtoa. 1.4. tiloissa havaittiin jälleen savua ja UPS:sta löydettiin kärähtänyt suodatin.

Tapaus on herättänyt keskustelun palveluiden hajauttamisesta ja varmistamisesta sekä varmuuskopiointivastuusta. On hyvä muistaa, että pilvikin voi hajota ja pahimmassa Force Majeure -tapauksessa asiakasta ei edes hyvitetä katkoista. Pilvipalvelussa asiakas itse vastaa datasta ja sen varmistamisesta. Palvelun hajauttaminen eri fyysisiin sijainteihin on myös asiakkaan tehtävä. Forrest Brazeal muistuttaa meitä laulun sanoin varmuuskopioinnin merkityksestä.

Suomessa Nordean järjestelmäpäivitys ja konesalimuutto venyi kaksi päivää yli suunnitellun. Finanssivalvonta joutui puuttumaan poikkeuksellisen pitkään katkoon ja vaati Nordealta selvitystä asiasta. Samalla kyseenalaistettiin varautuvatko pankit tarpeeksi hyvin mahdollisiin häiriöihin. Maksutoiminnot ovat olennainen osa yhteiskuntainfraa ja myös lähes kaikki tunnnistauminen perustuu pankkipalveluihin.

Operaattorit ja 5G

5G-buumi yllätti Suomessa ja 99,8% väestöpeitto saataisiin aikaan kolmessa vuodessa. Traficomin mukaan nopea 5G on nyt saatavissa lähes 2 miljoonaan kotitalouteen Suomessa. Traficom päivitti mobiiliverkon saatavuustaulukkoa, josta selviää 4G/5G:n peitto kunnittain. Ficom julkaisi oman päivityksen laajakaistaliittymien tilastoista Suomessa ja Euroopassa. Myös maailmanlaajuisesti 5G:n tuleminen tapahtuu nopeammin kuin 4G:ssä.

Mm-aaltojen käyttö on alkanut Suomessa, vaikka päätelaitetuki vielä puuttuu. Telia testaa 26GHz:n taajuutta Helsingissä. Kaikki kolme operaattoria ovat ottaneet entisen 700MHz TV-taajuuden käyttöön.

5G:n myötä koko mobiilioperaattorin tekniikka mullistuu. 3GPP jaksaa yllättää. Se on hylännyt kaikki eksoottiset suljetut tekniikat ja valinnut pilvinatiivin API-rajapintoihin ja HTTP-liikenteeseen perustuvan mallin core-verkkoon. 5G-coressa puhutaankin kolmannen osapuolen alustasta, johon valmistajilla on ollut tunkua. Avoin alusta tuo mukanaan integrointimahdollisuuksia verkossa tarjottavilla palveluille, mutta voi olla myös painajainen yhteensovittamisen kannalta. 5G:n network slicingista onkin paljastunut jo tietoturvauhkia, jossa tieto voi vuotaa yksityisverkkojen välillä.

Operaattorien onkin päivitettävä operointimallit ja osaaminen tämän päivän IT-maailmaan. DevOps-periaatteet tulevat tutuiksi, mutta myös tekoälystä haetaan apua ja jopa liiketoimintaa. Yrityksiä kositaan mukaan kehittämään privaattiverkkojen ekosysteemiä.  Yritysverkko ja mobiiliverkko alkavat yhdistyä yhdeksi kokonaisuudeksi, jossa tekniikat sekoittuvat. Cisco tai Juniper voikin olla varteenotettava peluri yksityisverkoissa, koska ne osaavat perinteisen verkkopuolen hyvin. Myös Telecom Infra Project TIP on kasannut ryhmän kehittelemään ratkaisuja privaattiverkkojen houkutteleviin mahdollisuuksiin. 

Internettiin verrattuna operaattorin verkko edustaa suljettua verkkoa ja uhkaa verkon neutraliteettiä. Tekniikassa palataan takaisin kohti piirikytkentää, kun käyttäjille tarjotaan SLA-määritettyä kaistaa. Internetin parhaan yrityksen -pakettivälitys ja avoimuus jäävät unholaan. Aikoinaan internet voitti juuri välttämällä turhia lupauksia ja tarjoamalla avoimuuden kaikille toimijoille. Yrityksille mobiiliverkko on kuitenkin helpompi kuin “IT-säätämistä” vaativa wifi. Esim. ABB:lle tärkeää on yhteyden luotettavuus ja turvallisuus, etäprovisiointi ja monioperaattorimahdollisuus. Operaattori tarjoaa helpon kumppanuuden, jossa suljettu ja kalliimpi ratkaisu vastaa asiakkaan tarpeeseen helpommin kuin tee-se-itse-verkko. Tässä vähän yhteenvetoa ja vertailua wifin ja 5G:n väliltä. Mobiiliverkko tunkeutuu jatkossa huomaamatta monien laitteiden mukana käyttäjälle ja siinä piilee riski, että käyttäjä menettää kontrollin yhteyksiin ja niiden hallintaan.

5G-verkoissa on tehty nopeusennätyksiä kuluttajalaitteilla: Samsung 5,23 Gbps, Nokia 4,5 Gbps ja Rakuten 1,77 Gpbs. Avoin Open RAN on kerännyt tukijoita ja nyt taistellaan onko ASIC vai FPGA oikea tapa toteuttaa alusta. Massive MIMO on monimutkainen 64 lähetys- ja vastaanottoelementin antenni, joka vaatii raskasta laskentaa. Siksi suorituskyvyllä ja tehokkuudella on väliä. ASIC on tiettyyn toimintoon keskittyvä tehokas piiri, jolla saadaan huipputeho, energiankulutus alas ja laitteen koko pienemmäksi. FPGA tarjoaa laajemmat uudelleenohjelmoitavat toiminnot halvemmalla, mutta syö enemmän energiaa huonommalla suorituskyvyllä. 4G on perustunut enimmäkseen FPGA-ratkaisuihin, mutta 5G:tä lähestytään omilla SoC-piireillä, joiden kehittämiseen on investoitu paljon. SmartNIC-valmistaja Xilinx uskoo kuitenkin, että FPGA-ratkaisu riittää myös 5G:hen.

Nokia Bell Labsin Mikko Uusitalo vetää Euroopan 6G-aloitetta Hexa-X. Tulevaisuudessa mobiiliverkko sekoittaa koneet ja ihmiset yhteen digitaaliseen maailmaan, jolla on suuria yhteiskunnallisia ja taloudellisia vaikutuksia. Ensimmäinen julkaisu valottaa näitä visioita. Huippukorkeat terahertsin taajuudet mahdollistavat suuret datanopeudet, mutta niiden käyttö ei olisi niinkään laajakaistaan, vaan juuri ihmisen ja koneiden kommunikointiin lyhyellä etäisyydellä.

Satelliittilaajakaistassa Brittien broadcaster-infrasta vastaava Arqiva on tehnyt SpaceX:n kanssa sopimuksen maa-asemista ja maanpäällisestä kuituverkosta, joilla pyritään saamaan saaren haja-asutus kunnollisen laajakaistan pariin. Brittien konkurssilta pelastama Oneweb jatkaa satelliittiverkon rakentamista ja uskoo arktiseen alueen verkottamisen mahdollisuuksiin. Kuulemma kyselyä on tullut  myös Suomen pääministeriltä. Puolustussektorikin hakee hyötyä kaupallisista verkoista. Lockheed Martin ja Pentagon suunnittelevat molemmat 5G:n käyttöä kommunikointiratkaisujensa perustana.


Nokia järjesti viikon mittaisen mediashown, jossa tuli asiaa laidasta laitaan. Verkko-Nokia on toistanut samoja Puhelin-Nokian johtamisvirheitä, joiden myötä yhtiö ajautui takamatkalle kilpailussa. Siilasmaa ja Suri ajoivat yhtiön toimintatavan jäykäksi ja monimutkaiseksi. Alcatel-Lucent -kauppa hiersi koko viiden vuoden ajan ja ajoi yhtiön kahteen leiriin, sisäisiin erimielisyyksiin, lisääntyneeseen byrokratiaan ja lopulta keskusjohtoiseksi. Tavoitteista tehtiin liian mahtipontisia ja tuotesuunnittelu ailahteli, mikä turhautti asiantuntijoita. Lundmarkin myötä alkoi siivous, joka kestää kolme vuotta. Sen verran Nokia on nyt muita jäljessä.

Parantumisohjelmassa leikattiin ensin 11000 työpaikkaa säätöjen hakemiseksi. Vähennykset kohdistuvat enimmäkseen Suomen ulkopuolelle. Nokian henkilöstö on vähentynyt 11% kahdessa vuodessa. Vähennykset liittyvät uuteen liiketoimintamalliin, jossa jokainen yksikkö vastaa omasta tuloksesta ja tekemisestä. Teknologiajohtajuus on Nokialle tärkeää ja siihen panostetaan nyt selvästi enemmän. Suoraviivainen, avoin ja tekniikasta kiinnostunut Lundmark on otettu hyvin vastaan talon sisällä.

Nokia ajautui ongelmiin oman kunnianhimoisen ReefShark-piirisarjan kanssa, koska valmistaja Intel ei pystynyt vastaamaan vaatimuksiin, ja suorituskyky ja kustannustehokkuus eivät olleet mitä piti. Nokia ei myöskään ollut hyvä ohjelmoimaan FPGA-piirejä. Nyt ReefShark on tuotenimi, jonka alla voi olla ASIC-, SoC- tai FPGA-piirejä käyttökohteen mukaan. Nokia on sopinut piirien kehityksestä myös Marvellin kanssa, mutta jatkaa yhteistyötä Intelin ja Broadcomin kanssa. Tänä vuonna tukiasemista 70% on SoC-pohjaisia ja 2022 loppuun mennessä FPGA-piireistä on päästy eroon tukiasemissa. Nokialla on jo ennestään hyvä osaaminen SoC-piireistä.

Nokia panostaa vahvasti pilveen ja avoimeen O-RAN-malliin, jolla se erottautuu muista perinteisesti kilpailijoistaan. Nokia näkee alan mullistuksen ja panostaa Network-as-a-Service -malliin. Pelkkä suorituskyvyn kasvattaminen ei enää riitä, vaan tarvitaan kehittyneempiä ohjelmistoja. Ilman joustavia ja ketteriä verkkoja ei 5G-kilvassa pärjää. Lopulta verkosta tulee kuin pilvipalvelu, jota ostetaan palveluna.

Nokia julkisti yhteistyösopimukset kaikkien kolmen ison pilven kanssa. Googlen kanssa kehitetään 5G-pilvialustaa, AWS:n kanssa asiakaslähtöisiä ratkaisuja ja cloud-RAN-alustaa, ja Azuren kanssa yritysten pilviratkaisuja. Suri uskoi kokonaisratkaisujen myyntiin, mutta nyt Nokia on nähnyt selvästi, että asiakkaat haluavat valita pakettinsa osat erikseen. Nokia keskittyy nyt oikeisiin asioihin ja tulevaisuus näyttää vahvalta, jos asiat hoidetaan kunnolla.

Pilvi, SASE ja Edge

AWS aloitti 15 vuotta sitten S3-palvelulla. Nyt S3 tallentaa 100 triljoonaa objektia (13000 objektia jokaista maailman henkilöä kohti) ja hoitaa kymmeniä miljoonia kyselyitä sekunnissa. Kestävyys oli suunniteltu palvelun ominaisuudeksi alun alkaen tarjoten 11 ysin käytettävyyden.

Ohjelmalliset underlay-yhteydet luirivat pilvipalveluihin ja pilvipelurit yrittävät ottaa osansa yhteysmarkkinasta. Heidän vahvuutenaan on olemassa oleva infra ja osaaminen ohjelmallisen NaaS-palvelun toteuttamisessa. NaaS-palvelulle olisi kysyntää, mutta perinteisten operaattorien on vaikea vastata tarpeeseen. MSP:n pitäisi pystyä tarjoamaan useampia ratkaisuja, jotta niistä löytyisi kullekin asiakkaalle sopiva. Monen erilaisen ratkaisun integroiminen ja orkestrointi taas on erittäin työlästä. Vastatakseen modernisoituvaan ICT-maailmaan, operaattorit joutuvat panostamaan enemmän IT- ja digiosastoihin, mitä Suomessa nähtiinkin vuosia sitten Elisan ja Telian kahmiessa pienempiä IT-taloja itselleen.

Google lisäsi palveluunsa Network Connectivity Centerin, jolla liikennettä voi kuljettaa Googlen runkoverkossa. SD-WAN- ja VPN-yhteydet voi hallita yhden näkymän kautta eri laitteiden kesken. Google myös liittoutui Ciscon kanssa tarjoten automaattista WAN-linkkien provisiointia Googlen verkossa. Mikä on Googlen verkko ja mihin se ulottuu?

Coudflaren hosting ja CDN-alusta laajenee jatkuvasti. Viime vuonna tulivat SASE-palvelut, nyt Cloudflare One -paketiin on lisätty Magic WAN ja Magic Firewall, joilla yritetään helpottaa yhteyksiä Cloudflaren palveluihin ja hallitun tietoturvapolitiikan toteuttamista. Integraatiot löytyvät Velocloudille ja Silverpeakille. Kuten Googlellakin, asiakas voi käyttää Cloudflaren runkoverkkoa omiin yhteyksiinsä ja tietysti pakettiin kuuluu keskitetty ohjauspaneeli. Muita omaan runkoverkkoonsa luottavia ovat mm. Cato ja Microsoft. Jos tämä suunta jatkuu, näyttää, että avoin internet kääntyykin pikku hiljaa suljettuihin verkkoihin, kuten on käynyt sisältöpalveluissa. Joka tapauksessa pilven myötä keskittyminen alkaa olla huipussaan, jonka jälkeen alkaa hajautuminen ja edgen tuleminen.

SASE:n matka on vasta alussa ja markkina on hajanainen. Gartnerin ennuste näyttää kovaa kasvua lähivuosille. Valinnoissa kannattaa olla tarkkana, koska kohta todennäköisesti alkaa valmistajien pudotuspeli ja yhdistyminen. Pilvialustojen voittokulku näyttää jatkuvan nyt myös yhteysmarkkinoilla kun sovellukset on saatu haalittua pilveen. Tietoturvaominaisuudet ovat tärkeitä ja SASE:n myötä niitä kulutetaan palveluna. Palveluiden hajanainen hinnoittelu alkaa lähentyä toisiaan.

SASE sijaitsee nimensäkin mukaan reunalla, mutta Benu on vienyt SASE-palvelut operaattorin reunalle BNG-keskittimeen. Idea tarjota palvelua laajakaistakeskittimessä lähellä käyttäjää, on loistava. Tosin samaa ajatusta on käytetty vuosikaudet CDN-palveluissa. SASE ja CDN ovatkin toistensa sisarukset. Voit ihmetellä näistä listoista pilven ja edgen trendejä, keksintöjä ja yrityksiä.

Azuren uusi ominaisuus Routing Preference antaa mahdollisuuden valita haluaako liikenteensä kuljettaa internetissä vai Microsoftin verkossa. Azuren Route Server helpottaa dynaamista reititystä pilvessä. Ivan Pepelnjak johdattaa syvemmälle Route Serverin käyttöön, toteutukseen ja konfigurointiin. Tästä johtopäätöksenä voidaan todeta, että pilvitietoliikenne monimutkaistuu koko ajan ja tarve osaaville tietoliikenneasiantuntijoille on edelleen olemassa.

AWS on kasvattanut Transit-GW:n ja VPN:n reittirajoja 5-10 kertaa suuremmiksi vastatakseen paremmin tarpeeseen. Kollegani Markku huomasi, että AWS käyttää verkossaan E-luokan osoitteita alueesta Alue on allokoimaton ja varattu tulevaisuuden käyttöön. Varmaankin AWS:n motiivina on olla käyttämättä julkisia osoitteita sisäiseen infraan ja E-luokka ikään kuin näyttää julkiselta osoitteelta, vaikka se vain sisäisessä käytössä onkin. E-luokka ei reitity julkisesti ja monessa laitteessa se kuuluu martian-osoitteisiin, jotka tiputetaan automaattisesti. Oma arvaus kuitenkin on, että E-luokka tulee joskus vielä käyttöön ja internet-reititykseen. Sen verran pulaa IPv4-osoitteista on. Ja sitähän AWS:n E-luokan käyttökin tavallaan todistaa. Sillä välin voit katsoa elokuvan “The End” IPv4-osoitealueen täyttymisestä.

Oracle toi L2-verkot pilveen ja Ivan Pepelnjak käy läpi samat L2:n ongelmat, joita on yritetty ratkaista vuosikymmeniä.


Huoltovarmuuskeskus on julkaissut ohjeita kyberturvan huomioimiseksi ICT-sopimuksissa ja PolAMK oppaan kyberrikostutkinnasta. Yritykset ilmoittavat huonosti kyberrikoksista poliisille ja ne punnitsevat tarkkaan haittoja ja hyötyjä. Pelkona saattaa olla mainehaitta, rikostutkinnan kuormitus tai uskon puute, että koko asiasta olisi mitään hyötyä. Lisäksi Suomessa on useita viranomaisia, joille pitäisi asiasta ilmoittaa. Supo vastaa kansallisista uhkista, Traficom luo tilannekuvaa ja auttaa selvityksessä, tietosuojavaltuutettu hoitaa henkilötietoloukkaukset.

Supo kertoi eduskunnan tietomurron takana olevan kiinalainen APT31-ryhmä, joka oli naamioinut hyökkäyksen tietoturvaohjelmiston päivitykseksi. Tiedustelupalveluiden kerrottiin käyttäneen hyökkäyksissä kotireitittimiä ja verkkotallentimia. Supoa on sanottu koiraksi, joka ei hauku. Nyt se nimesi ensimmäistä kertaa hieman kierrellen ja kaarrellen kiinalaiset hyökkäyksen tekijöiksi. Tiedustelu on Supon mielestä ongelmallista, koska turvallisuutta uhkaava toiminta viedään helposti kotirauhan suojaan, jonne tiedustelulla ei ole pääsyä. Samalla Supolta kysytään läpinäkyvyyttä tiedusteluun, jonka tuloksista ei ole kerrottu juuri mitään.

Ubiquitin tietomurto onkin pahempi kuin aiemmin näytti ja yhtiö on selvästi vähätellyt tapahtunutta. Hyökkääjät olivat saaneet pääkäyttäjätunnukset AWS:n tietokantaan, josta he saivat pääsyyn tarvittavia tietoja. Ainakin kaikki Ubiquitin salasanat kehotetaan päivittämään, ja hyvä käytäntö voisi olla myös poistaa kaikki käyttäjäprofiilit laitteista ja luoda ne uusilla salasanoilla. Tietysti laitteet pitää päivittää uusimpaan softaan ja etähallintaa kannattaa harkita poistettavaksi käytöstä ainakin väliaikaisesti.

F5 Big-IP 11.6-12.x ja Big-IQ 6-7.x oli neljä vakaa haavoittuvuutta, jotka pyydetiin päivittämään heti. Supermicron emolevyn Trickbot-haavoittuvuus vaikutti Pulse Securen PSA5000/7000-laitteisiin. Unixin GRUB2 boot loaderiin on julkaistu korjauksia vakavaa suojatun käynnistyksen BootHole-haavoittuvuutta vastaan. Päivitykset suositellaan asentamaan heti kun valmistajat tuovat ne omiin laitteisiinsa. Chrome blokkaa nyt selaimen pääsyn nyt myös TCP 554-porttiin estääkseen NAT Slipstream 2.0 -haavoittuvuuden käyttöä. Microsoft julkaisi erittäin vakavia DNS-komentosuoritushaavoittuvuuksia zonejen dynaamisissa päivityksissä. Vanhat NIST:n DNS-ohjeet pätevät edelleen. Pythonin PyPI-paketti-hallinnasta on poistettu 3653 haitallista pakettia. Paketit uivat helposti sitä kautta kehittäjien omiin projekteihin mukaan.

IBM:n raportin mukaan hyökkäykset kohdistuvat aiempaa enemmän Linuxiin ja sen myötä pilvisovelluksiin. Pilvessä laitteet ovat todennäköisemmin saavutettavissa ja pilvessä on tarjolla paljon kapasiteettia. Automaattisia työkaluja käytetään alttiiden kohteiden skannaamiseen ja kun kohde löytyy, se murretaan hetkessä. Kuka tahansa voi joutua uhriksi. Uusia rahastusmahdollisuuksia haetaan myös teollisuusautomaation ohjausjärjestelmistä, joiden takana liikkuvat isot rahat ja mahdolliset lunnaat.

Kanadalaisella Sierra Wirelesillä tapahtuikin kiristyshyökkäys, jossa henkilöstö ei päässyt käsiksi suunnittelu- ja valmistusjärjestelmiin. Vaikka IT- ja tuotantojärjestelmien välillä onkin selkeä erotus, tehtaat jouduttiin sulkemaan. Tiedotteen mukaan tuotteisiin ja verkkopalveluihin iskulla ei ollut vaikutusta.

Fortinet ja Linksys ovat lähteneet yhteistyöhön kotiverkkojen turvallisuuden nimissä. Fortinet on investoinut 75 miljoonaa dollaria Linksysin reititinratkaisujen kehittämiseen ja tavoitteena on ilmeisesti vahvistaa Linksysin laitteita Fortinetin tietoturvaosaamisella. Fortinet saa myös edustajan Linksysin hallitukseen. Toistaiseksi tämä on markkinamiesten sanahelinää ja nähtäväksi jää mitä yhteistyö poikii.

Huawein työpaikkailmoituksia käytettiin houkutuksena operaatio Diànxùnissa, jossa teleoperaattoreiden henkilöstöltä yritettiin saada tietoa 5G-asioista. Ainakin 23 operaattoria on joutunut aktiivisen kampanjan kohteeksi.

Amerikassa on vaadittu yrityksiltä ja valmistajilta parempaa läpinäkyvyyttä kyberriskien tiedostamiseen ja hallintaan, vaikka siihen ei laissa ole keinoja puuttua. Yritysten data on valmistajien armoilla ja näkyvyyttä käytäntöihin ei ole. CISA on ehdottanut yrityksille turvallisuusluokitusta, jotta kyberriskit voitaisiin nostaa esiin ja hallituksen päätettäväksi. Hallitukset näkevät kyberturvallisuuden tärkeäksi ja vaikuttavaksi asiaksi yritysten tulevaisuuden kannalta. Julkisten yhtiöiden osalta haluttaisiin saada enemmän konkreettista tietoa missä riskejä on ja miten niitä hallitaan. Esimerkiksi FireEye avasi toimintaansa ja otti riskin. Esimerkin voimalla toivotaan muidenkin lähtevän vapaaehtoisesti avoimempaan suuntaan.

Solarwinds raportoi oman hyökkäyksensä tutkimisen ja palautumisen maksaneen toistaiseksi 3,5 miljoonaa dollaria. Hinta on todella pieni jos vertaa sitä laajoihin vaikutuksiin, jotka koskevat muitakin yhtiöitä. Lisäkustannuksia toki odotetaan vielä paljon lisää ja mainehaittaa tuskin voi rahalla korvata. Toisaalta asia unohtuu ja homma jatkuu kuten ennenkin.

Erikoisempaa kybersuojelua harjoitetaan brittien voimin. Uusi kuninkaallinen monikäyttöinen valtamerilaiva alkaa partioida valtamerillä ja valvoa merikaapeleita 2024. Laivassa on kehittyneitä sensoreita ja se käyttää vedenalaisia droneja tietojen keräämiseen. Britit ja USA ovat huolestuneita Venäjän agressiivisesta operoinnista Atlantilla ja kuituihin kohdistuvista kasvavista riskeistä.


Kaapeloinneissa uusin vihreä OM5-monimuotokuitu käyttää Shortwave Wavelenght Division Multiplexing -tekniikkaa. Epästandardilla SWDM-siirrolla saadaan 50 metriä lisää kantamaa, standardisiirrolla matka on sama kuin OM4:lla. OM5 ei tuo juurikaan mitään lisää ja suuremmilla nopeuksilla kuin 100G, kehitys menee joka tapauksessa yksimuotokuituun.

Kuparikaapeloinnissa yli kymmenen vuotta vanha Cat6A on pitänyt pintansa hyvin ja on säilyttänyt asemansa vallitsevana kaapelointistandardina myös uusissa asennuksissa. Standardoinnin uusin versio Cat8 nostaa kaistan 2 kHz:iin ja sillä saa 25-40 Gbps-siirtonopeuden 100 metrin matkalle. DSL-tekniikalla puhelinkaapelin yli suunnitellaan jo 1Tbps-nopeuksia. G.fastin jälkeen puhutaan Waveguidesta ja tekniikoista G.nlp, G.nest ja G.tdsl.

Langattomalla puolella Wifi7 802.11be-standardi pitäisi saada valmiiksi 2024, jolloin odotetaan myös laitteita myyntiin. Taajuuksiin on lisätty 6 Ghz, kaistanleveys on kasvanut 320 MHz:iin, modulaation on 4096-QAM ja kanavointi 16×16 MIMO, joilla päästään 30-46 Gbps-nopeuksiin. 6 GHz on käytössä jo Wifi6E:ssä ja taajuutta ollaan vapauttamassa EU:ssa. Saudi-Arabiassa tehdään maailman nopeinta wifiä avaamalla koko 6 GHz:n taajuusalue wifin käyttöön. 6 GHz ratkaisee monia wifin ongelmia, mutta tarkoittaa myös kantaman pienenemistä, jolloin verkoissa joudutaan herkemmin mesh-toteutuksiin.

Valmistelussa on myös wifin laajennus 802.11bf SENS, jonka avulla wifi-laitteet voivat mitata etäisyyttä, liikettä, suuntaa ja paikkaa käyttäen wifi-signaalia. IEEE:n standardiksi pyritään samaan aikaan 2024 Wifi7:n kanssa. Muitakin vastaavia tekniikoita on kehitteillä ja seurannassa oletetaan mullistavia sovelluksia, joista kaikki eivät välttämättä ole innoissaan. Seurannasta pitää olla mahdollisuus poistua.

Cisco ja Apple ovat tehneet yhteistyötä käyttäjäkokemuksen parantamiseksi jo vuodesta 2015. Nyt Fastlane+ lisää Wifi6-yhteyteen ennustettavan ajoituksen, jolla kuormittuneessa ympäristössä Apple-päätelaitteet ja Ciscon Catalyst -tukiasemat voivat neuvotella optimoidusta viiveestä. Taika tapahtuu käyttäjän tietämättä taustalla.

400G-optiikassa Infinera ajaa omia XR-optiikoitaan standardiksi. 400G-XR -optiikkaa käytetään PON-verkossa symmetriseen 400G-palveluun. Se on ainut koherentti suurilla nopeuksilla toimiva point-to-multipoint -teknologia, jossa hyödynnetään erikseen reititettäviä 25G-alikanavia. Infinera on testannut optiikkaansa kentällä monessa paikassa ja odottaa kaupallista käyttöönottoa ensi vuonna.

Ensi vuonna odotetaan myös 800G-optiikan tuloa kytkimiin ja porttitiheyden kasvua. Tästä seuraa ongelmia komponenttien integroinnissa. Yhteisapakatut optiikat etsivät vielä muotoaan.

Cisco esitteli uusia jäseniä Silicon One -perheeseen, jonka huippuvauhdit ovat 25,6Tbps. Silicon Onen etuna on joustavuus ja yhdenmukaisuus. Perheessä on yhdeksän eri piiriä eri  käyttökohteisiin. Kuitenkin  sarjalla on yksi ja sama arkkitehtuuri ja ominaisuudet, joista otetaan tarpeen mukaan käyttöön sopivat.

SmartNIC:t ovat ottaneet paikkansa pilvikiihdytyksessä. Ne voivat helpottaa CPU:n kuormaa ja tehostaa esim. verkon, tallennuksen tai koneoppimisen töitä. SmarNIC:t ovat yleensä FPGA-pohjaisia PCIe-paikaan sopivia kortteja, mutta tiukasti integroituja raudan kanssa.  Xilinxin Alveo SN1000 -kortti tarjoaa 100Mpps alle 3 us viivellä ja 4 miljoonaa tilallista sessiota alle 75 W:n kulutuksella. Netronome Agilio LX kilpailee vastaavassa sarjassa.

Uusia vNOG-esityksiä on julkaistu. David Roy kertoo Junos Inline-monitoroinnista. Tarkoituksena on striimata liikennedataa ulos laitteesta IPFIX-formaatissa ja ulkoistaa monimutkaisemmat datankäsittelyt vastaanottopäähän. Dataa saa kerättyä flow:sta tai mirrorista firewall-filtterin tarkuudella joko samplattuna tai 1:1. Mitä sitten flow collector sisältää ja miten se toimii? Esimerkkinä Flowhouse. Linuxin 5.13 kernelin myötä pakettien samplaus lisää flow-tietoon suorituskykymetriikkaa. Sflow voi siis tuottaa reaaliaikaista telemetriatietoa pakettien viiveistä ja porttien jonon pituuksista. Aaron Glenn esittelee mikä on P4-ohjelmoitava välityskerros ja mitä sillä voi tehdä. Ciscon Fred Cuiller kertoo miten kaksi isoa operaattoriverkkoa yhdistetään.

Samalla kun maailma on enemmän ja enemmän riippuvainen elektroniikasta, iso aurinkopurkaus saattaa tuhota suuren osan maapallon elektroniikasta. Nasa arvioi, että ison purkauksen todennäköisyys tällä vuosikymmenellä on 12%. Purkaukset tapahtuvat 11 vuoden sykleissä ja viimeisin alkoi 2019 lopussa. Tutkijat havaitsevat purkauksen 8 minuutin viiveellä ja maahan purkaus iskee 17-36 tunnin kuluessa, joten on vaikea kuvitella, että suojautuminen onnistuisi nykymaailmassa.

Avoin lähdekoodi

The Hedge -podcastissa Daniel Teycheney keskustelee avoimesta koodista verkkotuotteissa. Kuten kaupallisissa tuotteissakin, avoimen koodin kehittäjät kaipaavat palautetta ja kokemuksia koodista. Käyttäjän ei tarvitse kantaa huonoa omaatuntoa ilmaisista tuotteista, vaan voi antaa arvokasta palautetta, jonka pohjalta tuotteista voidaan tehdä parempia. Käyttäjät luovat tuotteista luotettavia.

Lontoon yhdysliikennepiste LINX on käyttänyt jo useamman vuoden disaggregointia Edgecoren kytkimillä ja IP Infusionin NOS:lla. Nyt malli laajenee Manchesterin pisteeseen. LINX on ottanut hyvän asenteen ja toiminut ammattimaisesti disaggregoinnin tuomisessa tuotantokriittiseen ympäristöön. Tätä tarinaa on kiva seurata.

Yleensä kytkin-ASIC konfiguroidaan valmistajan SDK:n kautta. SDK kuitenkin rajoittaa käyttöjärjestelmän ominaisuuksia ja suorituskykyä. Viime vuosina on yritetty uutta tapaa, jolla verkkokäyttöjärjestelmä NOS saataisiin ajettua suoraan Linuxin kernelissä. Switchdev ja kernel-API:t eivät ole kuitenkaan yleistyneet valmistajien keskuudessa ja vain yksi ASIC-valmistaja on kirjoittanut switchdevin kanssa toimivan ajurin.

Microsoftin Sonic on kerännyt suosioita valmistajien keskuudessa ja tuki sille löytyy yllättävän monesta raudasta. Sonic näyttää olevan tuleva de facto -standardi avoimissa verkoissa. Jopa Gartner on yltynyt ennustamaan, että 2025 40% yli 200 kytkimen konesaleista ajettaisiin Sonicilla. Sonicista odotetaan jopa Linuxia vastaavaa standardikäyttöjärjestelmää, mikä olisi hajanaisessa kentässä mukava selkänoja.

IPSec-VPN on pöhöttynyt raskas protokollaperhe, jonka rinnalle on noussut viime vuosina avoin ja ilmainen Wireguard-sovellus ja -protokolla. Tämäkin sovellus ajetaan Linuxin kernelissä ja nyt myös BSD ja sen mukana pfSense on tullut mukaan. Käyttöjärjestelmätuki on laaja Windowsista Mac OS:ään ja Androidista IOS:iin. VPN-tunneloinnilla voidaan tehdä reititettyjä ja siltaavia erilaisia topologioita. Teknologia on kevyt ja tehokas: vertailussa Wireguardin koodi on vain 1% IPSecin ja OpenVPN:n koodimäärästä. Salaukseen käytetään ainoastaan ChaCha20-salausta. Wireguard yksinkertaistaa ja helpottaa yhteyksien muodostusta.


Tietoala on julkaissut työmarkkinatutkimuksen tulokset. Keskimääräinen kokoaikatyön palkka on 4414 €/kk ja suurimman korotuksen, keskimäärin 600€, saa vaihtamalla työpaikkaa. Pääkaupunkiseudulla palkat ovat keskimäärin 19% eli 757 €/kk suuremmat kuin muualla Suomessa.

Juuri kun alustatalouden toimijoita on alettu saada työsuhteiden piiriin, Suomen suurimpiin liittoihin kuuluva Teknologiateollisuus päätti irtautua yleisistä työehtosopimuksista. “Työmarkkinapommin” tarkoituksena on lisätä paikallista sopimista työpaikoilla. Jäsenyritykset ovat hyvin erilaisia ja niillä on omat tarpeensa, perustellaan ratkaisua. Jatkossa Teknologiateollisuuden jäsenet sopivat asioista paikallisesti ja yleissopimukseen liittyville yrityksille perustetaan uusi liitto Teknologiateollisuuden työnantajat.

Elektroniikkateollisuutta ja piiripulaa vaivaavat yllättävät vaikutusketjut. Piirivalmistuksessa tarvitaan runsaasti vettä, mutta Taiwania vaivaa kuivuus ja veden käyttöä joudutaan rajoittamaan. Samaa on kuultu Saksan tehtailta. Kuivuus taas johtuu ilmastonmuutoksesta, joka ei tuo enää taifuuneja Taiwanille niin usein kuin ennen.

Broadcomin tämän vuoden tilauskanta on 90% täynnä kun normaalitaso olisi n. 25%. Toimitusajat ovat venähtäneet pahimmallaan 8 kuukaudeksi. Huawei on onnistunut kehittämään omaa HiSilicon-piiriään, mutta valmistaja TSMC aiheuttaa rajoituksia saatavuuteen. Huaweilla parhaiten menestyy Enterprise-yksikkö, joka tekee pesäeroa telecom-sektoriin. Kompensoivaa kehitystä on suunnattu pilveen, ohjelmistoihin ja muuhun ICT-sektoriin.

Cisco ja Huawei pitävät kärkipaikkaa Dell’Oron yritysverkkolaitemarkkinatilastossa viime vuodelta. Ciscon 40% markkinaosuus on omilla lukemillaan ja perässä seuraava Huawei saa juuri kaksinumeroisen osuuden 10%:lla. Tilasto sisältää kaikki lankaverkoista wifiin ja WAN:sta tietoturvalaitteisiin. Siksi yllättävät sijat 4-5 ottava Paloalto ja Fortinet samalla osuudella kuin Aruba. Yleisesti kampus- ja konesaliverkon myynti väheni ja reititin- ja tietoturva olivat ohjelmistojen ja lisenssien myynnin myötä nousussa. Wifi pysyi tasaisena.

Arista on kaapannut noin puolet Ciscolta vuotavasta kaupasta ja loput ovat menneet whitebox-valmistajille. Microsoft ja Facebook ovat olleet Aristan suurimmat asiakkaat, mutta leikkasivat ostoja viime vuonna. Aristan asiakaskanta on nousset kymmenessä vuodessa 1100:sta 7200:aan. HPE:llä sen sijaan on mennyt odotettu paremmin Aruban ja SD-WAN:n toimiessa digitalisaation muutosvetureina. Myös Aruba Central pilvihallinta on vahvistanut Aruban asemaa mutta Silver Peakin integrointi on tärkeä kehityskohde, jotta sen tuomat lisäominaisuudet saadaan käyttöön. Aruba muutti Centralin lisensointimallia ja nosti hintoja alustan tuoman kulukasvun myötä. Aruba Central on pyörinyt AWS:ssä, mutta nyt alusta on mahdollista saada myös Azuresta. Lisäksi Microsoft-yhteistyö toi Azureen Aruba IoT Transportin, jolla IoT-laitteet voi yhdistää tukiaseman tai kontrollisen IoT-hubin kautta pilveen.

Fortinet ostaa monipilven infran suojakseen erikoituneen ShieldX:n. Isrealilainen entisten Checkpointin työntekijöiden perustama Orca Security hyökkää Paloaltoa vastaan ja aikoo voittaa sen asiakkaita itselleen. Lupauksena on oikeasti toimiva ja kattava pilvitietoturva. Yritysten välinen suhde on lähtenyt omalle uralleen kun Orca suututti Paloalton julkaisemalla tuotteiden vertailuvideon. Paloalto vastasi uhkaamalla oikeushaasteella ja soppa oli valmis. Sen jälkeen on vaihdettu julkisia viestejä blogien kautta.

Equinix on esitellyt uuden konesaliratkaisun, joka perustuu tehtaalla rakennettuihin moduleihin. Moduleilla voidaan rakentaa kapasiteettia pienemmissä yksiköissä ja energiaa voidaan tuottaa joustavasti eri tavoille. Ensi kertaa mallia kokeillaan Ranskassa Bordeauxissa. Equinix on omilla lukemillaan selvänä johtajana tuoreessa Interconnection-markkinatilastossa, josta selviää, että Equinixilla on yhteensä 392000 yhteyskytkentää. Digital Realty ja Megaport seuraavat perässä.


Venäjä on yrittänyt suitsia yhteistyöhalutonta Twitteriä. Ensin Twitterin liikennettä hidastettiin, mutta vaikutukset osuivatkin laajemmin muuhun internet-liikenteeseen. Rostelecom oli blokannut kaikki Twitterin lyhennetyt, mutta joltain meni regexit pieleen ja kaikki sisältävät domainit blokattiin, sisältäen mm. ja Venäjän internet-liikenne dippasi 24%. Seuraava vaihe oli estää koko Twitterin käyttö jos haitallinen sisältö ei poistu palvelusta.

Blogeissa on muisteltu vuotta 2014 kun reititystaulun koko ylitti 512000 reittiä ja reitittimiä kaatui muistinpuutteeseen. Nyt odotetaan reititystaulun koon ylittävän miljoona reittiä suunnilleen vuoden 2023 lopussa. Ennen sitä tulee IPv6-taulussa täyteen 128000 reittiä. Nyt taulujen koot ovat luokkaa IPv4 860000 ja IPv6 109000. IPv4:ssa /24 prefixien määrä kasvaa tasaisesti ja on nyt jo 60%. Nykyisten reitittimien kannalta taulun koosta tuskin tulee isompia ongelmia jos laite on tarkoitettu peeraukseen ja siinä on riittävästi RAM:ia.

RPKI-rintamalla Lumen (entinen CenturyLink, entinen Level3), yksi isoimmista tier-1 -operaattoreista, on ottanut käyttöön reittien RPKI-validoinnin. Qrator Labs selittää mitä eroa on BGP route leakilla ja BGP hijackillä. Ja mitä RPKI:llä ja ROA:lla on oikeastaan merkitystä.

USA:n DoD on tehnyt suunnitelman myydä kaikki omistamansa 13 A-luokkaa IPv4-osoitteita. Paketilla on kyllä messevä markkina-arvo rahoittaa muita projekteja ja toimintaa.

Aasiassa kauppasota rakentaa kapasiteettimuuria kun USA on pakottanut isot merikaapelikapasiteetin tuottajat pistämään Tyynenmeren hankkeensa jäihin. Myös Australia on toiminut aiemmin samoin. Facebookilla on ollut suunnitteilla kaksi kaapelia Echo ja Bitfrost USA:n länsirannikolta Indonesiaan ja Singaporeen. Kaapelikapasiteetin viivästykset eivät kuitenkaan merkittävästi vaikuta talouteen, mutta saattavat kyllä ruokkia paikallisia kapasiteettikeskittymiä esim. Japanissa ja Taiwanissa.

Mielenkiintoinen kysymys kuituinvestoijille: kuinka kauan kuitu kestää? Kuituvalmistajat eivät anna kuiduille elinikää. Käytännössä näkyy, että 1980-luvun kuidut alkavat ikääntyä. Noista ajoista valmistusmenetelmät, laatu ja käsittely ovat kehittynyt huomattavasti, ja samoja ongelmia ei uudemmilla kuiduilla enää ole. Epävirallisesti tutkijat ovat todenneet, että kuidun pitäisi kestää 75 vuotta tai enemmän.


Olemme kaikki verkkojen ja palveluiden ylläpitäjät samassa veneessä, joten on empatia on tärkeää. Toisten ongelmille ja vahingoille ei ole järkeä ilkkua tai nauraa, koska jonain päivänä pilkka osuu omaan nilkkaan. Ennemmin kannattaa sympata toisia ja yrittää olla avulias, ymmärtäväinen ja kannustava. Hugops on saanut sijaa varsinkin isoissa ja vakavissa tapauksissa kuten OVH:n tulipalo, mutta miksei myös pienemmissä ongelmissa ja pulmissa.

Monimutkaisuudesta jaksetaan aina jankuttaa, mutta ihan syystä. Miksi verkon aina annetaan omia ja hoitaa kaikkien muiden ongelmat ja toteuttaa villeimmät toiveet? Asiantuntijat itse tekevät verkoista monimutkaisia ja hankalia, vaikka liiketoiminnalle riittäisi vähempikin. On aika sanoa ei ja hoitaa asiat siellä minne ne kuuluvat. Pidetään verkko siistinä ja yksinkertaisena. Sitten ehkä automatisointikin voi onnistua.

Cisco on tehnyt sopimuksen Terraformin pilvipalvelun liittämisestä sen omaan Intersight-monipilvihallintaan. Ciscon Intersightin kautta saa käyttöön Terraformin IaC-työkalut SaaS-palveluna.

Erilaisten laitteiden pyörittäminen omassa ympäristössä tai labrassa on helppoa kunhan saisi ladattua imagen jostain. Ethan Banks on keräänyt listan ja ohjeet. Toisilla valmistajilla se on helppoa (Arista, Cumulus, Aruba), toisilla vaikeampaa (Cisco, Juniper).

Abstraktoinnin tasolla verkon validointi ja testaus on vaikea ja monisyinen asia.


Microsoft Ignitessä saatiin kasa julkistuksia. CTO Mark Russinovich piti laajan Datacenter-esityksen. Ajassa 19:17 käydään läpi WAN: yli 130000 km kuitua, yli 180 edge-saittia, 149000 RPKI-allekirjoitettua reittiä, Azure Orbital avaruuslaitteiden kytkemiseksi Azureen. Ajassa 27:46 muutama sana verkonhallinnasta. Ajassa 42:04 visioita ja hullunkurisia kuvia nestejäähdytyksestä. Ajassa 56:10 Chaos Studio Azuren kaaostestaamiseen.

Erilainen tapahtuma IETF110 pidettiin jälleen virtuaalisena ja kaikki sessiot löytyvät Youtubesta. Se tarjoaa oudon kokemuksen seurata työryhmien toimintaa ja pitkiä istuntoja kaikista mahdollisista aiheista.

Kesäkuulle ajoitettu MWC Barcelona on kärsinyt osallistujakadon. Isoista vain Verizon on vahvistanut osallistuvansa, muut ovat peruneet yksi toisensa jälkeen. Sinnikäs pilvikonsultti aikoi käyttää rahaa vuokratakseen Ericssonin ständin ja julistaakseen julkisen pilven ilosanomaa omassa “Cloud Cityssään”. Myös Saksan laajakaistakongressi Angacom on virtualisoitu tältä vuodelta ja ensi vuonna yritetään uudelleen paikan päällä.

Kuukauden epätoivo

Erään ulkomaisen yrityksen Suomen konttoria kohtasi katastrofi, jossa ERP-järjestelmän päälle itse kyhätty palvelukokonaisuus hajosi. Myös DNS oli leivottu sisään ERP-järjestelmään, ja kun se lakkasi toimimasta, koko palvelu poistui maailmankartalta. Palautuminen tuntui olevan muutaman ihmisen epätoivoinen taistelu historian painolastia vastaan. Käyköön tämä esimerkkinä teknisestä velasta ja sen seurauksista.

Experimenting Cumulus Linux

This post was originally posted as Twitter thread 4.3.2021.

Last few weeks I’ve tried to dive into Cumulus Linux and test how it is configured and operated. The goal is to make a tutorial for Cisco network engineers.

Here’s a thread what I’ve noticed during my experimentation.

There used to be over 130 different hardware platforms supported. After Nvidia merger Broadcom switches dropped off last fall. Now hardware is Mellanox Spectrum only which limits options radically. Good thing is that Cumulus and Mellanox come from the same house nicely bundled.

Cumulus 4.2 is the last version to support Broadcom chips. Cumulus is now at 4.3 version so existing Broadcom switches don’t have many years left to run. Long-term ESR releases have 3 years of support time before EOL.

Hardware affects many advanced configurations like ACLs, QoS, DDoS protection, TCAM and HW profiles. There are some notable differences between Broadcom and Mellanox. You can also run Cumulus on any common server.

Cumulus VX virtual appliance is freely available for testing but not intended to be run in production. I ran two VMs on my Windows laptop using Virtualbox. You can also test Cumulus in the cloud with full fabric setup and NetQ:

Cumulus is Debian-based Linux and it can be configured like native Linux or through NCLU command wrapper. NCLU is good for most of the configurations and familiar way for network engineers. There are additional Python-based cl-tools to operate certain features.

NCLU is like poor man’s Junos, simple but feature-rich enough. Similar Unix background shines through. NCLU has tab completion, built-in help with config examples, commit and rollback with version control.

NCLU uses add/del commands to edit config. Commands are reorganized into config file stanzas in a different format. NCLU can show config as add statements and this snippet can be copied and pasted to notepad or another device. Config can be viewed as json also.

You can mix and match native Linux and NCLU as you will. This is a very powerful option to make your own style configuration and workflow. Operational commands like ping, traceroute and tcpdump are native Linux tools. You can also install more Linux tools of your choice.

Commit is great feature but there were some dependencies that prevented entering all commands at the same time. So I had to configure something and commit it before I could add more config. You can check pending config and commit shows diff and entered commands automatically.

Commit confirmed is strange. Prompt waits for enter to confirm commit forever. You can’t do anything else like checks and validations on CLI meanwhile. Confirmation prompt doesn’t disappear although the timer has run out and you don’t know when the config has rolled back.

Versioning rolls 30 files and allows permanent configs. With rollback it’s a bit hard to find the proper version and check what changes have been made earlier. You can comment on commits and standard Linux diff shows changes. Rollback commits config automatically.

Documentation is very good, simple and clearly organized. And it’s open without login. Some more advanced features are missing detailed explanations and instructions. But you can always Google common Linux guides.

Interface naming is always swp1-swpX. Mgmt port eth0 is dedicated to own MGMT VRF. You can use IF classes for sharing common functions. There are some minor syntax inconsistencies between configuring physical interfaces, bonds and vlans.

I tested basic L2 and vlan routing. More scalable one-instance vlan-aware bridge is the way to go if you don’t need traditional per-vlan spanning-tree. Mac-table aging time is unusual 1800s, arp timeout is 18 min.

Vlan VRRP config between two devices was a bit quirky. I couldn’t commit priority and preempt commands. FRR is used for routing protocols and Zebra programs routes in the kernel. VXLAN routing and PIM-SM are supported, SR and GRE are in early access.

ACLs use Linux Netfilter and supports only input and forward chain filtering and mangling. ACLs can be configured using NCLU, iptables or cl-acltool. NCLU ACL editor has row numbers like Cisco. Default policy is allow. Cl-acltool took a very long time to collect ACL rules.

ACLs can include policers, SPAN/ERSPAN, log and QoS marking actions. Logging was lacking as far as I tried. Logging is supported only for drop action anyway. There is a predefined control-plane protection policer in place. DDoS checker is built-in but but not support on Mellanox.

ACLs with Netfilter/iptables are one of the hardest features to adopt. QoS was even harder and too confusing for me to try and understand.

PTM is a nice tool for LLDP topology monitoring. It can detect anomalies and take scripted actions. Note that LLDP is not realtime because it has long holdtime. You can also visualize .dot topology file in a graph. Logging uses standard Linux files and facilities.

Mellanox switches have What Just Happened feature to collect streaming telemetry data from ASIC. Asic-monitor feature can collect hardware stats and snapshots to files.

Package upgrade between minor versions can be made using apt-get directly from the public repo. This is very handy. Image install is a hard way because it wipes the whole file system and you have to backup and restore configuration files manually.

With ONIE bootloader you can download and install Cumulus using DHCP and web server. USB install is also possible.

NetQ is one of the best mgmt tools I’ve seen, simple but powerful. Besides basic device monitoring and config templates, it can show topology and WJH telemetry data, monitor connectivity traces and validations of IF, protocol and HW parameters, and alert thresholds violations.

Cumulus offers many great features and tools for powerful network operations of your choice. But the disaggregation model has its weaknesses like hardware dependencies and inconsistencies. Broadcom incident casts uncertainty to the whole disaggregation.

Cumulus would be best for use cases where a basic feature set is enough. It is then easy to configure, operate and maintain. Additional monitoring capabilities and tools make Cumulus even more compelling.

Cisco ACI day 2: Real life design and operational issues

This post was originally posted as Twitter thread 15.12.2020

ACI journey continues. Now I’m involved in real life practical designs and hands-on deployments. Thoughts on design and issues I have experienced.

Resource objects are still hard to understand properly. Why this and that, why so many pieces? What is the best combination of vlan pools, domains, interface profiles, etc. for your own environment? Cisco has some basic best practices but a deeper understanding is still lacking.

I’d like to see a more detailed and backgrounded ACI design guide to understand the options and consequences of choices. Any pointers to blogs or other resources covering these topics?

Resource creation is important because it’s the foundation of network connectivity. Changing fundamental settings later is hard and time consuming. E.g. we had to change the static VMM vlan pool to dynamic which was quite an easy task but still a disruptive operation.

Also considered to migrate FW from single ports to VPCs to make it more redundant. But the idea was discarded because the change would have been so hard to do in production on short notice. Modifications need well-designed config changes and ACI operations. MW could be longer than usual.

Integrating physical FW and ADC appliances to customer tenant was one design issue. Initially, we thought Service Graph would be a modern flexible way to do it. Appeared it is a complex set of configurations and had no real benefits in this case.

Service Graph uses one-armed FW and PBR and I was afraid we will encounter a use case where this is a show stopper. At least we would be confused by all PBR policies and contracts eventually. PBR sounds always bad for my ears but maybe I’m too old to get used to it.

Service Graph configuration was not clearly documented so that I could understand what I’m doing in the short and long term. I found this video the most informative example:

After trying out this Service Graph and thinking pros and cons, we discarded it and went to traditional routed VRF-sandwich. It isn’t the fanciest but well-known and working solution relying on traditional routing.

This drove us to use even more VRFs to isolate routing domains like DMZ networks. And this means more transit links and routes between ACI VRF and FW appliance. But it’s just simple config repetition and easy routing.

Why not use OSPF between ACI and FW? We thought it but it didn’t make sense to run OSPF on the LAN segment with four routers. Links should have been P2P but changing them would have been too laborious to bother.

Again, blame your original design and we are back to square one with our initial choices. The lesson is to design the whole system and service model properly in advance.

Contracts are one part of traffic policies. Just saying they are one more level of complexity. Better to use allow-any type contacts where needed in network-centric mode. Still different directions and levels of apply points exist between tenants, VRFs, L3outs and EPGs.

I’ve been thinking about this other new deployment case and how to proceed step by step. Eventually, it’s going to be app-centric but getting there would take several years or never will be completed. So initial step probably must be the network-centric migration.

Network-centric migration means the exponential amount of changes in the long run when you first migrate the network one-to-one and then rearrange all servers, apps and network services.

Hard work is figuring out all systems, applications, and their components and relations in your environment. When you have clear documentation and design goals, ACI configuration is possible.

I’m convinced that an automation tool would be helpful from scratch. One good way to build ACI is to take API first strategy and model and code all configurations outside the ACI.

I slightly touched ACI security and hardening also. I didn’t find much information about how ACI is secured and hardened on the technical level. I assume security is mostly built-in and I can rely on it.

The most important part is to isolate management access and functions from public and customer-facing networks. CoPP is on by default and offers pre-defined levels strict/medium/permissive. As always you must know your protocols and fine-tune pps levels respectively.

You can use basic rate-limiting (DPP) and port-security to limit access port traffic. Storm-control is also available.

More detailed third party ACI security and risk assessments are provided by ERNW papers: ERNW_Whitepaper68_Vulnerability_Assessment_Cisco_ACI_signed.pdf and TROOPERS19_DM_Threat_Modelling_Cisco_ACI.pdf

Cisco ACI first impressions

This post was originally posted as Twitter thread 28.10.2020.

I took a 5 days Cisco DCACI course. This is all new to me. I’m confused. Who is ACI for? Capabilities and completeness of features are fantastic but how to manage this complex system?

Everything is based on objects. I thought Junos is policy heavy but this is ultimate. There are no proper tools to create and manage all these objects and policies. Manually through GUI it seems impossible even on at small scale. So you’d need external automation tools and inventory.

Object names can’t be changed after creation. Do things right for the first time or do it several times by trial and error. Logical structure and consistency are hard. 

APIC GUI is overwhelming. Config hierarchy is very deep and hard to navigate. You can’t list or find all objects at once but you have to pick everyone in a different config hierarchy.

Leaf access interface configuration blocks for example. Interface policy has 20 drop down menus to define used policies. Simple access port configuration takes about 10 different policy definitions and gluing them together.

Physical Domain 
Switch Profile 
Explicit vPC 
Interface Profile 
Access Pon 
Leaf 101 
Leaf 102 
Attachable Access 
Entity Profile 
BareMetal AAEP 
vPC Interface 
Policy Group 
Server IPG 
Port Block 
LLDP Policy 
CDP Policy 
LACP Policy 
LAC P-Active 
Encap Blocks 
Leaf 101 
Leaf 102

L3 interfaces are also complex to manage. Like OSPF configuration which is distributed to multiple config hierarchies.

Bridge Domains 
Extemal Bridged Networks 
OSPF L30ut 
Logical Node Profiles 
Logical Interface Profiles 
OSPF L30ut interfaceprofile 
OSPF Interface Profile 
Configured Nodes 
ARP forVRF-Sales:Presales VRF 
BGPforVRF-Sales:Presales VRF 
ND forVRF-sales:Presales VRF 
OSPFforVRF-Sales:Presales VRF 
Extemal EPGs 
Route map for import and export route control 

Every GUI config page has tens of config options. You have to check what is it and do I need to set it. Very complex and time consuming to operate. Most options are best to just ignore in the first round. 

That’s just basic connectivity at switchport level. Along with the vlan pools, physical domains, attachable entity profiles, bridgedomains, VRFs, L3outs you need contracts between endpoints to let traffic flow. You can skip this and allow all traffic but then you lose a lot of ACI.

Verification and troubleshooting is still relying on CLI. GUI has a lot of visibility but finding simple things like what is configured and what is the protocol status is frustrating via GUI.

Lower level network verification ends up logging device CLI and running show commands. 

I hate NX-OS syntax. It’s a combination of Linux and IOS but a worse combination than each one alone. Even the industry standard “sh” command is not working without writing it completely. Argh…

Overall ACI was impressive with its comprehensive features and capabilities. But operations using GUI are frustrating and almost impossible to handle. You need a huge amount of config structure and feature understanding and planning. Hard to see it going right the first time.

That’s why you want to use an external single source of truth where you can create and manipulate objects and push a new configuration to APIC.

Also, you may want to standardize and simplify your connectivity and services before putting it all in ACI. Which is only a good thing.

Networking Industry Update 2021-02

Telcos and 5G

In Finland, Telia made a deal with Nokia on the 5G network and it will be heard in ads promoting the only “domestic and secure” network. The CEO warns of the risks and promises Finns the Finnish 5G network as the only operator. Telia has had a tough year and has now set new goals on a sustainable basis. The aim is to reinvent connected living, save on costs and take advantage of infrastructure. This is a familiar text from all operators. Something concrete though: Telia launched a global IoT service and announced that it will close its 3G network by the end of 2023. These network closures have often slipped or perhaps the goal has been set too ambitious. For example, Verizon postponed the 3G shutdown originally announced for 2019 until 2023.

In Sweden, the “NAT rule” for operators came into force in April last year, requiring users behind a note to be identified by a non-IP address. Telia has not been able to collect data for a year and is now facing a fine of SEK 10M.

There has been enough talk about 5G private networks and companies. In Finland, Telia, Digita and Nokia will start cooperating, and Nokia and Elisa will join forces to promote private networks for companies. At DNA, the private network is the winning solution of the future. Nokia’s Lundmark also believes that enterprise networks will overtake the public 5G over the next decade, and Ericsson’s Ekholm says enterprise applications will capture most of the value in 5G. The provider side now sees strong momentum in enterprises, but according to an Omdia study, big companies are not much interested. On the contrary, small and medium-sized enterprises would be more enthusiastic, but operators do not want them as their customers.

Indeed, the 5G business model currently exudes more symbolism than a sustainable business. The frequencies used to follow the laws of physics and the frequencies have their price not only in the auction but also in the numbers of devices and locations. The situation gets worse when we go to mm-waves and the 5G New Radio standard at very high frequencies. Mm-waves are very inefficient and are prone to weather interference, so the power must be directed very precisely towards the terminal. There are applications from side to side and the needs are very different. It may be that different radio technologies and frequencies are different for different applications. In any case, 5G will become more widespread as usage gradually moves to the new network and new applications and applications find their place. It just takes time.

The development of 6G is starting in companies. One revolutionary reform may be in data transfer, where it no longer makes sense to even move a growing mass of data back and constantly increase the speed of data transfer. In the future, only the data model and changes may be transferred, and the raw data remains on the device. At the same time, privacy and security issues are resolved. Silicon Valley’s Pied Piper was ahead of its time.

5G broadcasting has received the ETSI standard. It could be used to broadcast a linear TV and radio program on a 5G network. The feature was already available on the 4G network with eMBMS. A converged distribution path over IP in a mobile network is beneficial because it is expensive to maintain a separate terrestrial TV transmission network. In Finland, public service broadcaster Yle has been lobbying for forward-looking mobile network distribution for the past 10 years to save on duplication of distribution costs.

Finnish public safety network Virve 2.0 has progressed so that the bit passes between Elisa’s radio network and Ericsson’s Core. The transition to the new network would be possible as planned for 2023-2025. Here’s a little look at the history of the public safety network in Finland. Sweden is a little behind, but with the same plans to upgrade their Rakel network. The difference to Finland is that the authorities would use their own frequencies and organization. Technically, Sweden has much more ambitious plans, for example in terms of adequacy of reserve power for 7 days, instead of the current three hours in Finland.

In the UK, attempts are being made to secure networks with friendly calls not to destroy equipment cabinets.

In IoT networks, Lorawan’s rival French Sigfox has allied with Google to provide 0G network services more efficiently. Founded in 2010, Sigfox has been in turmoil as the target of one billion connected devices has not materialized, and only 17 million devices have been added to the network. In general, IoT has not materialized as expected. Sigfox is following the operator improvement program: reinventing itself, selling infrastructure and saving costs. Expectations are set to be realistic and better-refined services are sought to be provided with Google.


Good overview of AWS networking, best practices and optimization tips. You know these: Region, Availability Zone, vPC, shared VPC, Direct Connect, Private Link, Transit GW, VPN, SD-WAN, Gateway Load Balancer, Firewall, Private Virtual Interface, Placement Groups, Flow Logs, Cloudfront… Did you know routing has hard limits that cannot be crossed? Surprising how small they are in some cases. Keep going AWS and don’t stop releasing!

Other overviews and comparisons of public cloud networking from Ivan Pepelnjak:  AWS Networking 101Azure Networking 101Availability Zones and Regions in AWS, Azure and GCPVirtual Networks and Subnets in AWS, Azure, and GCP.

AWS Direct Connect is now available at 100Gbps in 14 locations around the world, mainly in Asia and the United States. Availability is likely to be based on demand. The hourly rate for a dedicated port alone is $22.50, making $16,200 a month. Pretty succulent price if you compare the port price with, for example, interconnection points. Ficix’s 100G port costs a paltry 445 € per month, which is the same as 10G. Through Nednod in Stockholm, connections can be made to all public clouds and there a 100G gate costs 3360 € per month, a 400G gate 7500 € per month. 100G IP transit could cost less than €10,000 per month. But it is useless to speculate on these, the one who needs it pay kindly or negotiates a better price.

The public cloud has been seen as a model example of a routed IP environment where bridging is irrelevant. Now, however, Oracle is watering down the principles and bringing L2 support to the OCI cloud. The feature is probably targeted at Vmware customers. Is it about hauling customers in with the easiest possible means so that there is no need to change anything in the cloud transition? Pretty bad idea for the longer term. is a free open source cloud service that allows you to publish your intranet services to the Internet. The service includes great features such as anycast network, load sharing and zero trust-based identity-based access.


The parties to the Solarwinds case have been heard in the U.S. Senate. Blaming others has been a way to handle it. Solarwinds said the trainee had put a weak password in the Github repo. Microsoft told this hacking required at least 1,000 skilled engineers and the fault was not in Microsoft’s software but on the customer side. Crowdstrike accused Microsoft of its intricate and antique architecture. Attempts were also made to involve AWS in the case because the servers it ran were used in the attack. AWS declined to participate.

The case spills wildly and all sorts of things can be connected to it. New serious vulnerabilities have been found in Solarwinds’ programs, in addition to the Russians, the Chinese would have spied on the U.S. payroll agency, hackers would have been interested in unclassified information in the O365 environment, and 30% of targeted private companies would not have used Solarwinds. Microsoft said the source code for Azure, Intune and Exchange have been stolen. Extrahop caught the eye of how its EDR product detected an increase in suspicious activity, even though hackers created their own firewall rules and moved laterally, trying to hide their tracks.

The French IT surveillance product Centreon is allegedly the subject of a long-running Russian attack through a backdoor found in the program. The target has been French companies and other large firms. Centreon has stressed that this is not an attack on the supply chain, it has only targeted an already outdated open source version of the program and commercial customers have not been compromised.

The RIPE NCC Access SSO service was subjected to a brute-force attack. The service was interrupted, but the user information was not compromised. Users are prompted to enable 2-step verification. A hands-on experiment with a public server with a passworded SSH login showed that it took the hacker about four hours to crack the easy ID and password. Therefore, it is important to use only SSH keys to log in or restrict access to your own IP addresses. The root login should always be turned off and use sudo to increase execution privileges.

Vulnerabilities have been found in Fortinet’s Fortiweb application firewall versions 6.2 and 6.3. Sonicwall’s devices are being actively attacked using a new zero-day vulnerability. There were two critical command execution vulnerabilities in Microsoft’s TCP / IP implementation. In Python versions 3.x-3.9.1, the typical buffer overflow vulnerability was less critical, but updates are recommended for versions 3.8.8 or 3.9.2.

Vulnerabilities in the Cisco ACI Multi-site Orchestrator and NX-OS could allow an attacker to bypass authentication. A NAT slipstream vulnerability was detected in JavaScript, in which any TCP / UDP port opens from the outside to the machine behind the sheet. Plex Media Server is used for DDoS attacks. The amplification factor for SSDP service is 5. A new Linux malware steals SSH credentials using the OpenSSH Trojan. It is focused on supercomputers and servers in the academic world.

Florida water supply hacking scared the whole world. An attacker who came in with Teamviewer adjusted the lye level of the water, but the water plant operators noticed the actions on the screen and intervened. The intruder probably took advantage of a weak password and outdated computers. Here we saw how rapid human perception and response saved from problems. An automatic response would have responded even faster and more reliably. However, one may also ask why, in general, the level of additives can be adjusted above the permitted limit. Teamviewer is one of the highest risks and should not be part of the production toolkit. The beginnings of remote management date back to ancient mainframes, but began to spread from remote desktop management in the mid-1980s with DOS-based Carbon Copy software.

IBM wants to support educational institutions in developing cybersecurity. The problem with schools is the long summer holidays when the machines are closed and no upgrades are made. In the fall, when the season kicks off, a huge number of out-of-date machines will appear on the web and the use of the apps will begin at full capacity. The model where machines need to be upgraded on an intranet is outdated and risky.

The diversity, longevity, and number of IoT devices have made them network-connected waste that no one cares about. If the devices once worked, why would anyone update and maintain all of them if new updates were even released? If we can’t take care of a smaller computer network, how could we manage the entire digital infrastructure from devices to applications? The U.S. Congress is trying to create even minimum standards for post-sales support that would force manufacturers to take more responsibility instead of just pushing out more and more equipment.

The NCSC has a weighty issue about becoming a victim of the malware. Blackmail malware is a visible symptom of more serious intrusion inside a company. Therefore, the treatment of symptoms is not enough, but the cause must be found and corrected. The example shows a company that paid millions in ransoms but did nothing else. The company got its data back until a couple of weeks later a new blackmail malware appeared. The company had no choice but to pay the ransom again.

The level of cybersecurity in companies has been studied and found that the reality beneath the surface is quite harsh. Those who say security is important tend to work better in practice as well. Big companies perform better, even though they have shortcomings in the basics. Cyber ​security budgets are really hard to justify because they don’t have a direct payback. Besides, tough performance targets and frustration may increase risky behavior. Companies tend to outsource risk to third parties and focus on more important things themselves. Cyber ​​insurance may seem like a good option, but it usually does not cover loss of sales and reputation or repair costs for a weak point.


The traditional WAF, or application firewall, simply does not keep up with the pace of application change in the cloudy world. Maintaining it creates a huge amount of work where even machine learning doesn’t help. Therefore, in practice, WAF is only used at a basic level, in which case it provides little protection. Checkpoint and Paloalto are moving to cloud-based application security with their new products. Paloalto Prisma Cloud claims to have the best WAF features in the industry. It is based on various cloud-native functions that tackle dynamic cloud services. Also, WAF has integrated other functions such as IAM and DLP, so the service may be approaching more of a zero-trust model. Or was WAF the first step towards a zero-trust.

So what exactly is zero-trust? It is about the principle of the least right, identity and segmentation. NSA published a short concise document on zero trust principles.

With the previous acquisition of Awake, Arista became strongly involved in the security side and now also offers a zero trust model. In the Arista model, the functions are group-specific segmentation, situational intelligence, network visibility, and artificial intelligence-assisted observation and response. Activities focus on network infrastructure and its orchestration.

Cisco expanded the capabilities of AppDynamics to include vulnerability management. Secure Application combines application monitoring and security view into one tool.

Juniper merges the operator WAN management tools under Paragon Automation Umbrella. It continues the confusing naming and product positioning that has prevailed in Contrail products. Paragon includes the old Northstar and Contrail Healthbot once again renamed, as well as the new Netrounds-based monitoring component and Anuta ATOM configuration management. The purpose is good, which is to improve the generally poor customer experience of telcos.

On the enterprise side, Mist is the best thing that has happened in the industry for a long time. Juniper now has a clear strategy and a good platform to build on. And the momentum has been maintained in product integration. 128 Half a year has passed since the acquisition of Technology and only two months since the acquisition was confirmed, and the technology has already been integrated into Mist‘s management and AI platform. The 128T is the latest evolution of SD-WAN, where application traffic is routed by sessions without traditional IPSec tunnels. This is a big step towards a true application routing and network as a service model.

And SD-WAN and SASE have generated a lot of stories again. The current SD-WAN implementation is probably only an intermediate step towards a holistic SASE cloud model. SD-WAN was introduced to replace MPLS connections, but today it does much more combined to SASE. According to one study, many companies have SASE elements in use, but the comprehensive SASE architecture is only just over 10%, which is hardly surprising. The most advanced is the security of supply sectors, followed by the legal, financial and healthcare sectors. IT departments drive deployment a lot more than the security department. Despite the jump, zero-trust and edge content filtering are the least used features. Cloud utilization seems to limit the deployment rate.

At the edge of the office, the physical equipment will remain for the time being, but the software alone will gain more and more space in the solutions. Cato is one of the software-only routers and has made a wild rise into a unicorn company. Security features are starting to become more important than networking in SD-WAN / SASE solutions. Brand new players are coming to the field and, for example, cloud companies are gaining a foothold. However, according to the study, traditional manufacturers Zscaler, HPE, Cisco, Fortinet, and Versa are at the forefront stillFortinet relies above all on its own hardware, even though it adds SASE cloud services. But with that hardware strategy, Fortinet will remain a prisoner of its own dwindling genre in the long run.

The applications of SD-WAN / SASE are expanding into the IoT and manufacturing. SD-WAN service would be suitable for users if only service providers took on a role. The MEF3.0 has standardized an SD-WAN overlay service to facilitate the building and interconnecting services. There is also a list of certified service providers, that includes e.g. Telia.

Paloalto acquires Bridgecrew and moves security to the left in application development. Bridgecrew’s product is baked according to Prisma Cloud to bring security into application development and the entire application lifecycle. The fire wave travels towards the cloud-like world as a trendsetter like F5.

Cloud access converts firewall licensing to subscription-based. The user can use the walls more freely and only pay for the use. Some benefit from this, others pay more than before. Estimating usage is difficult, or at least as predictable or unpredictable as in cloud services in general.


Cisco’s results remained stable and exceeded expectations. Security and services pulled the result up. By comparison, Cisco’s sales and earnings were approximately the same as AWS’s. Cisco’s performance has been incredibly steady over the long term despite all the talk and small dips. Cisco is more broadly involved in the development of society, and in Japan, it stroke a partnership with the government to digitize the country.

Huawei has also done nicely despite the problems. It had a 40% market share in broadband equipment revenues and Huawei is also strong in other product groups, such as transmission equipment and data centers. KPN, for example, has gone upstream and opted for Huawei instead of Ericsson. DT has taken Huawei as its cloud partner for equipment and has kept the operation in its own hands. Huawei itself has expanded its already comprehensive portfolio into electric cars.

Arista had a difficult year with the cloud giants, but now the result was good. Arista continues to expand the product repertoire and combine management and believes in the familiar data center-routing-campus triangle. By comparison, Arista’s market value is approximately the same as Ubiquiti’sPaloalto’s good results were based on Prisma Access SASE product, which was updated with new featuresExtreme is investing in its cloud services without forgetting hardware and wants to expand into the 5G world as well. Extreme will implement MLB’s 16 stadium’s wifi networks.

An interesting detail in the US is Bank Of America, which has filed a record 722 patent applications last year. One of the priorities was network management and traffic analysis.

In Finland, the Ministry of Employment and the Economy’s report shows that digitalization and climate change are the most important factors affecting society and the economy in the 2020s. Finland has the technical know-how, but the utilization of ICT capital in business is lagging. In Finland in particular, labor productivity growth has slowed and the declining impact of ICT capital is of great importance.

The effects of the winter storm in Texas were mainly reflected in regional power and broadband outages and affected more people than technology. Dallas is an important hub in the southern US and also between North and South America. The large data center operators in the area, Digital Realty, had 15 data centers and Equinix had 9 data centers all in operation with backup power without interruptions. Instead, factories had to be closed and semiconductor manufacturers Samsung, NXP and Infineon shut down production lines, further exacerbating the semiconductor shortage.


The free book NSX Network Automation for Dummies is available for download from Vmware.

Nokia has released the DelOps initiative, which does not mean deleting everything, but Delivery and Operations like CI/CD. The goal is to revamp and revolutionize 5G-Core’s software distribution and operations management to be agile.

CLI tool has been built to configure Meraki’s cloud management. It includes over 400 commands and help to access cloud management through the API from your own machine with CLI commands. Meraki joins the ranks of cloud services thus coded.

A couple of similar stories about awkward disk problems illustrate how laborious it is to find the physical network problem in the background. Proper monitoring tools that get deep enough to catch individual errors would help with problem-solving.

The use of SD-WAN has been studied and the need for better monitoring tools has emerged. Although the platforms themselves have built-in monitoring capabilities, they do not appear to be sufficient. A large proportion of users say they need additional external monitoring of the SD-WAN environment. In particular, technical experts need better visibility to solve problems. It is not enough to present problems on the board, but the causes should also be found and corrected. External tools are needed to solve problems. The work is further complicated by the fact that many SD-WAN devices do not support standard monitoring interfaces.

Prometheus and Grafana are starting to be standard tools for monitoring, but they are not always optimal for network monitoring. A Flowchart plugin is available for Grafana to visualize telemetry data in near real-time. Rich Traceroute is a simple traceroute data enrichment and sharing service that provides a little more information over mere IP addresses.

Python turned 30 years old and is open source is breaking up again. Ansible has completed its reorganization with the new Community package version 3.0. Ansible is broken down into two parts: Core and Galaxy Collections form the core functions and the Community Package includes all modules and plugins. The version numbering is no longer uniform, but Community collections went its own way and the Core section remained in its own 2.10 version. Name changes and version dependencies add to the confusion. You can try to interpret these from the Q&A page or the blog. The Roadmap has version 4.0 of the Community Collection as early as May of this year.

Network to Code caused confusion by forking Netbox into its own Nautobot product, which it unexpectedly introduced in its NFD24 presentation. Nautobot is a completely open and free automation platform, but NTC offers commercial support for it. The reasons for this choice are presented in the blog. The roads of Netbox and NTC parted, users are confused, and in the background, there is a smell of a rift between people and interests.

Events and technology

The massive Mobile World Congress, canceled last year due to Covid-19 as the first major event, is scheduled for June this year in Barcelona. Places and times have been swapped between Barcelona and Shanghai, and the fair was already held in Shanghai in February. The organizers’ belief in the Barcelona event is strong, despite the bitter criticism. It is estimated that there would be less than half of the normal trade fair guests, ie about 50,000. The organizers demand a negative test result from the participants in advance and promise a non-contact fair environment. You can see if the event will take place and how many will actually participate there.

Cisco Live will be held virtual at the end of March. The all-access pass costs $ 349 and the free Explorer pass eliminates technical breakout sessions and other side benefits.

The NFD24 again featured the hottest networking technology. Included were Juniper, Anuta, Network to Code, Drivenets, Itential, Forward Networks, EfficientIP, and NetBeez. The performances can be found on the NFD page or on Youtube.

The FOSDEM conference agenda also includes online stuff on SDN and network monitoring tracks related to open source software. Linux also plays an important role in networks, and it’s pretty enlightening how much Linux and x86 iron can do and at what power. Or how about 28 Mpps with a few cores, which makes about 14-300Gbps traffic, and the ability to run one elephant flow on an IPSec at 40Gbps?

NANOG81 again offers the top presentations in the industry. Keynote was a review of the development of routers, how the network card evolved into the bus and switch. The current spine-leaf fabric of the Clos model has been used in telephone exchanges since the 1950s, but later also inside individual network devices. From the devices, the fabric has just popped out and is now distributed between the individual devices. Spine-leaf fabrics are now also spreading to service provider backbones. Geoff Huston collects thoughts about the conference and gives his additional spice to the agenda.

Russ White presents in his philosophical way how information security could be built inside systems. Usually, attempts are made to control and reduce complexity through modularization. The good side of modularity is that it introduces interfaces to which insert control and observation points. On the other hand, creating new interfaces increases the attack area and reduces optimization. Complexity and optimization remain fairly constant, and choices are a balance between a local or distributed model. As the familiar saying goes: “If you haven’t found the tradeoffs, you haven’t looked hard enough”.

In network automation, the single source of truth is an important component. It takes a lot of time and effort to collect, process, and verify data, and at worst, the same operation is repeated with each change. Installing the configuration itself is a quick and straightforward operation, so automation should focus more on reviewing and refining the workflow. The same frustration is dispelled by David Gee in his presentation.

nPrint is a standardized packet-level analysis tool that converts packet data into machine-readable form. It is a good tool for machine learning and other mechanical processing of traffic data.

UKNOF46 videos have been released. A fascinating multi-level story from Cloudflare tells how misdocumented IP addresses cause operational problems in networks. Cloudflare’s DNS server is certainly one of the services that receive the most incorrect traffic because its public address is configured to who knows where. In this case, an unknown party’s ERSPAN traffic was routed to a DNS service, and engineers were wondering why GRE tunnel traffic is causing CRC errors on a Cisco Nexus switch, but not on Juniper’s QFX. It was revealed that Nexus is looking at packages inside the GRE tunnel and noticing errors. However, the real problem was in the Cisco Nexus 5k documentation, wherein the ERSPAN example configuration, the tunnel destination address was set to You can imagine how many people in the world have copied it to their ERSPAN session! The conclusion for all of us: the documentation (and why not other private use) is assigned its public IP address ranges that are not routed. RFC3849 IPv6 Address Prefix Reserved for Documentation (2001: DB8 :: / 32) and RFC5737 IPv4 Address Blocks Reserved for Documentation (,, Use these.

In routing, hyperscalers begin to reach the limits of scaling with current technology. The IP fabric protocol has been debated before and BGP has been practically the standard because everyone uses it for everything, so why wouldn’t I. But BGP is not the easiest protocol. IGP has its own strengths, like super-fast convergence and simple configuration. On the other hand, the dissemination of LSA information is a problem in larger networks. BGP, on the other hand, has the advantage of traffic control, but in large networks, Private AS numbers run out and configuration is tedious. Now the new IP fabric protocol is RIFT, which seeks to combine the benefits of IGP and BGP. In addition, other features have been introduced to make the network more automatic. Built-in has e.g. ZTP and BFD. Juniper’s Day One book covers RIFT in more detail.

In optics, the deployment of the 400G is progressing and the 800G is being outlined. Standardization has broken because of multiple MSA groupings have come along since 2017, creating their own standard and competing with IEEE. Manufacturers have spread to different camps, pushing things from different starting points and goals. MSA standardizations have spawned fairly exotic breakout implementations such as the 6 km 400G and 400G-bidi. In any case, the 100G wavelength is the most widely used foundation in future standards, so it would be believed to live the longest. For sure high-speed optics, modulation, and naming will not be easy in the future, so such explanatory maps are needed.

Arista has tested 400G-ZR optics and compatibility from various manufacturers over Microsoft’s 120 km long Open Line system. The test result was positive: thermal management, performance and compatibility were excellent. The result of the test is that the QSFP-DD is ready for data center DCI solutions and the subway. In another test, Windstream transmitted traffic over 1,027 km link in real network with 400G-ZR optics. In addition to the space savings, power consumption is 10 times lower. Deployments begin with Windstream, where the technology directly fits 80% of the links.

As port speeds increase, combining ports with different speeds becomes cumbersome on the same switch. As a new acquaintance for me, QSA or QSFP-SFP adapter was introduced. I have imagined that the 100G/40G ports should be always channeled and connected with a breakout cable, but QSA could make a one-to-one mapping between 100G and 10/25G port allowing the use of standard fiber or DAC. QSA is a physical adapter from a larger QSFP pluggable to a smaller SFP. It switches only one of the four 100G channels through to the SFP. In the switch configuration, the port speed must be set to match the slower speed. I have no experience with these and I don’t know if there will be any other problems with using the adapter.

For short-distance connections, such as between servers and switches, a DAC or AOC can save money, effort, and power consumption. The SFP head of a single device is usually about 2-3 times more expensive than a DAC or AOC. With DAC / AOC, you also don’t have to nut with connector and cable types, and you don’t have to clean fibers. The entire cable with its connectors is factory-made, which increases its reliability. However, I have also seen such lousy Chinese DACs, and that could not be much to pull or twist the terminals already went out. And after all, some of the devices are very picky about the “wrong” manufacturer’s modules. However, the power consumption of the DAC is close to zero and the active optical circuit of the AOC clearly drops the power consumption compared to the SFP. Studies show that one watt at the server level means 2.5 watts across the data center. On a large scale, it may already matter.

In data transmission, quantum encryption prepares for the future when current encryption methods are not sufficient. Adva and Colt have tested QKD (Quantum Key Distribution) technology in optical transmission, which provides strong L1-level encryption at 100Gbps. QKD is part of the quantum Internet and transmission, where data is encoded into quantum instead of bits and encryption keys are sent with the data. QKD makes it easier to detect eavesdropping. ETSI introduces various applications for QKD and can also be used with L2-L4 to manage PPP, MACsec, IPSec and TLS keys.

If you’re wondering how SD-WAN hardware works, here’s a description of how to build one with open source products themselves.

Trade policy

The semiconductor shortage is plaguing the world and has mostly talked about the juxtaposition of consumer electronics and the automotive industry. Circuit manufacturing is almost completely outsourced and badly centralized on Samsung and TSMC. The biggest buyers, like Foxconn and Apple, are doing well, but the volumes on network devices aren’t very big, so a shortage of components is to be expected. More detailed information on network devices is difficult to find or obtain. Equipment manufacturers have begun warning customers and delivery times seem threatening to lengthen to unprecedented lengths. The semiconductor shortage is expected to last a long time and perhaps alleviate sometime next year.

Corruption is common in China and Russia, but also in the Middle East and elsewhere in Asia. Cisco is investigating “self-enrichment”, in which Chinese workers would have made payments to employees of state-owned companies. Ericsson has excelled in bribery many times and Juniper is also known to have greased officials in China.


A new Telegeography internet map has been released. World capacity, prices, major metropolises, hubs and clouds presented in one sheet.

BGP optimizers are starting to be notorious because they make it easy to shoot yourself in the foot. Again a user of the Noction product, hosting provider Psychz Networks from California, managed to make a configuration error that resulted in false advertising of nearly 200,000 routes. Fortunately, the recipient was only a route collector, so the effect remained non-existent. Otherwise, there would have been a wide-ranging problem.

Google’s latest, 14th submarine cable Dunant between France and the US has been completed. It uses new space-division multiplexing (SDM) technology to get a record 250Tbps of capacity out of the fiber.

Google has completed RPKI signing maybe the “world’s most important” prefix Its true origin can now be verified in routing. Almost the entire Google AS15169 is now included in RPKI. RPKI-ROA certificates must be remembered for new ones so that they cannot expire. Is there a new problem coming this that routes are getting old and causing various weird problems with internet services?

Quad9, the non-profit DNS service of, is moving from California to Switzerland to provide the administrative backdrop for its GDPR-level privacy promises worldwide. DNS services have different levels of security that allow you to do lightweight SASE security for free. Quad9 blocks malware by default, Cloudflare for Families can block not only malware but also adult content, and OpenDNS offers a more adjustable filtering level but requires login and portal usage. Google DNS does not perform filtering except in exceptional cases.

Russia is ready to exit the Internet if necessary, Medvedev said. In legal and technological terms, there is readiness, but there is no reason to do so except in an extreme situation. Russia is also ready to exit international SWIFT payments.

Forest fires cause serious problems for telecommunications connections. In Australia, the trunk link of one city was destroyed in a fire and took more than a year to repair. The heavy use of broadband has led American Mediacom to intervene in fixed-line data volumes because too much uploading causes problems on the network.

Satellite Internet

Starlink seems to be making steady progress towards the victory of satellite broadband. It already has 10,000 users in the U.S. and beta testing is underway extensively. Pre-orders have been opened more widely, the equipment looks jagged and installation is reported to be easy. Speeds and delays are at a decent level, but regular interruptions still occur and the price is pretty tough. However, general acceptance has been obtained, this is better than nothing. In France, however, there has been opposition to the construction of ground stations.

In satellite technology, Starlink has had to cut its implementation from what was initially planned. ISL laser links between satellites have been omitted for now but will be forthcoming as long as permits are obtained. So far, Starlink has sent more than 1,000 satellites into space, but there is a desire for up to 30,000 satellites. Also, other actors have their plans, which raises concerns about the filling of space. There are so many satellites that they make space exploration difficult. Starlink has been cooperative and has tried to solve problems, for example, by making black satellites that reflect less light. About 1/40 of the satellites decay, which as such is small, but in large numbers causes problems. The amount of space debris and the risks of collisions are starting to increase.

Researchers have found that Starlink satellites could be used alongside GPS as an inexpensive and reliable positioning method and time source. Starlink is up to 10 times more accurate and much more reliable than GPS in positioning because the signals from LEO satellites are up to 1000 times stronger than GPS.

Rajeev Suri has taken over as CEO of satellite company Inmarsat. Inmarsat will provide traditional satellite frequencies and build a European aviation network with DT. Lynk and Mobilespace compete in their own way with satellites that use mobile network frequencies. Phones and other mobile devices could chat directly with satellites.


Did you know that Altavista, better known as a search engine, also made firewalls, routers, network cards, and email serversIn the 1997 test, the Altavista firewall shone with easy control and the Digital Tech Journal from the same year describes the products in more detail. I remember myself watching colleagues installing Checkpoint Firewall-1 on a server somewhere around 2000. It wasn’t easy.

1978 videotaped nostalgic presentation with Bob Metcalfe introducing Ethernet.

Epic Persistence

The 90-year-old gentleman, who has been an AT&T customer since 1960, rose to the barricades and expressed his dissatisfaction with the slowness of the company’s DSL connection by publishing an open letter to the CEO of AT&T in the Wall Street Journal. The announcement cost him $ 10,000 and in it, he dispelled his outrage at the company’s ability to provide better connections.