[FI] Tietoliikennealan katsaus 2021-03

Ongelmat

10.3.2021 Euroopan suurimman pilvipalveluntarjoajan ranskalaisen OVH:n Strasbourgin konesalissa tapahtui tulipalo. Konesalikampuksella oli neljä salia, joista yksi tuhoutui täysin palossa ja muut kärsivät savuvahingoista. OVH:n CTO Octave Klaba on hoitanut esimerkillisesti avoimen tiedottamisen Twitterissä. Status-sivu kertoo pilvipalveluiden palautumisen tilanteen.

Korjaustoimet aloitettiin vauhdikkaasti ja 60 työntekijää kokosi tuhansia uusia palvelimia viikossa. Matkalla tuli kuitenkin yllätyksiä ja hidasteita, joten palautuminen ei ole edennyt odotetusti. Esim. hissiä ei saatu käyttöön ja kiireessä sattui virheitä, joita jouduttiin myöhemmin korjaamaan. Palvelimien puhdistaminen eteni kolme räkkiä päivässä.

Palon virallinen syy lienee edelleen epäselvä, mutta heti alussa syylliseksi epäiltiin UPS:ää, johon oli edellisenä päivänä tehty huoltoa. Saleissa oli tehty aiemmin myös virtaakaapelien vaihtoa. 1.4. tiloissa havaittiin jälleen savua ja UPS:sta löydettiin kärähtänyt suodatin.

Tapaus on herättänyt keskustelun palveluiden hajauttamisesta ja varmistamisesta sekä varmuuskopiointivastuusta. On hyvä muistaa, että pilvikin voi hajota ja pahimmassa Force Majeure -tapauksessa asiakasta ei edes hyvitetä katkoista. Pilvipalvelussa asiakas itse vastaa datasta ja sen varmistamisesta. Palvelun hajauttaminen eri fyysisiin sijainteihin on myös asiakkaan tehtävä. Forrest Brazeal muistuttaa meitä laulun sanoin varmuuskopioinnin merkityksestä.

Suomessa Nordean järjestelmäpäivitys ja konesalimuutto venyi kaksi päivää yli suunnitellun. Finanssivalvonta joutui puuttumaan poikkeuksellisen pitkään katkoon ja vaati Nordealta selvitystä asiasta. Samalla kyseenalaistettiin varautuvatko pankit tarpeeksi hyvin mahdollisiin häiriöihin. Maksutoiminnot ovat olennainen osa yhteiskuntainfraa ja myös lähes kaikki tunnnistauminen perustuu pankkipalveluihin.

Operaattorit ja 5G

5G-buumi yllätti Suomessa ja 99,8% väestöpeitto saataisiin aikaan kolmessa vuodessa. Traficomin mukaan nopea 5G on nyt saatavissa lähes 2 miljoonaan kotitalouteen Suomessa. Traficom päivitti mobiiliverkon saatavuustaulukkoa, josta selviää 4G/5G:n peitto kunnittain. Ficom julkaisi oman päivityksen laajakaistaliittymien tilastoista Suomessa ja Euroopassa. Myös maailmanlaajuisesti 5G:n tuleminen tapahtuu nopeammin kuin 4G:ssä.

Mm-aaltojen käyttö on alkanut Suomessa, vaikka päätelaitetuki vielä puuttuu. Telia testaa 26GHz:n taajuutta Helsingissä. Kaikki kolme operaattoria ovat ottaneet entisen 700MHz TV-taajuuden käyttöön.

5G:n myötä koko mobiilioperaattorin tekniikka mullistuu. 3GPP jaksaa yllättää. Se on hylännyt kaikki eksoottiset suljetut tekniikat ja valinnut pilvinatiivin API-rajapintoihin ja HTTP-liikenteeseen perustuvan mallin core-verkkoon. 5G-coressa puhutaankin kolmannen osapuolen alustasta, johon valmistajilla on ollut tunkua. Avoin alusta tuo mukanaan integrointimahdollisuuksia verkossa tarjottavilla palveluille, mutta voi olla myös painajainen yhteensovittamisen kannalta. 5G:n network slicingista onkin paljastunut jo tietoturvauhkia, jossa tieto voi vuotaa yksityisverkkojen välillä.

Operaattorien onkin päivitettävä operointimallit ja osaaminen tämän päivän IT-maailmaan. DevOps-periaatteet tulevat tutuiksi, mutta myös tekoälystä haetaan apua ja jopa liiketoimintaa. Yrityksiä kositaan mukaan kehittämään privaattiverkkojen ekosysteemiä.  Yritysverkko ja mobiiliverkko alkavat yhdistyä yhdeksi kokonaisuudeksi, jossa tekniikat sekoittuvat. Cisco tai Juniper voikin olla varteenotettava peluri yksityisverkoissa, koska ne osaavat perinteisen verkkopuolen hyvin. Myös Telecom Infra Project TIP on kasannut ryhmän kehittelemään ratkaisuja privaattiverkkojen houkutteleviin mahdollisuuksiin. 

Internettiin verrattuna operaattorin verkko edustaa suljettua verkkoa ja uhkaa verkon neutraliteettiä. Tekniikassa palataan takaisin kohti piirikytkentää, kun käyttäjille tarjotaan SLA-määritettyä kaistaa. Internetin parhaan yrityksen -pakettivälitys ja avoimuus jäävät unholaan. Aikoinaan internet voitti juuri välttämällä turhia lupauksia ja tarjoamalla avoimuuden kaikille toimijoille. Yrityksille mobiiliverkko on kuitenkin helpompi kuin “IT-säätämistä” vaativa wifi. Esim. ABB:lle tärkeää on yhteyden luotettavuus ja turvallisuus, etäprovisiointi ja monioperaattorimahdollisuus. Operaattori tarjoaa helpon kumppanuuden, jossa suljettu ja kalliimpi ratkaisu vastaa asiakkaan tarpeeseen helpommin kuin tee-se-itse-verkko. Tässä vähän yhteenvetoa ja vertailua wifin ja 5G:n väliltä. Mobiiliverkko tunkeutuu jatkossa huomaamatta monien laitteiden mukana käyttäjälle ja siinä piilee riski, että käyttäjä menettää kontrollin yhteyksiin ja niiden hallintaan.

5G-verkoissa on tehty nopeusennätyksiä kuluttajalaitteilla: Samsung 5,23 Gbps, Nokia 4,5 Gbps ja Rakuten 1,77 Gpbs. Avoin Open RAN on kerännyt tukijoita ja nyt taistellaan onko ASIC vai FPGA oikea tapa toteuttaa alusta. Massive MIMO on monimutkainen 64 lähetys- ja vastaanottoelementin antenni, joka vaatii raskasta laskentaa. Siksi suorituskyvyllä ja tehokkuudella on väliä. ASIC on tiettyyn toimintoon keskittyvä tehokas piiri, jolla saadaan huipputeho, energiankulutus alas ja laitteen koko pienemmäksi. FPGA tarjoaa laajemmat uudelleenohjelmoitavat toiminnot halvemmalla, mutta syö enemmän energiaa huonommalla suorituskyvyllä. 4G on perustunut enimmäkseen FPGA-ratkaisuihin, mutta 5G:tä lähestytään omilla SoC-piireillä, joiden kehittämiseen on investoitu paljon. SmartNIC-valmistaja Xilinx uskoo kuitenkin, että FPGA-ratkaisu riittää myös 5G:hen.

Nokia Bell Labsin Mikko Uusitalo vetää Euroopan 6G-aloitetta Hexa-X. Tulevaisuudessa mobiiliverkko sekoittaa koneet ja ihmiset yhteen digitaaliseen maailmaan, jolla on suuria yhteiskunnallisia ja taloudellisia vaikutuksia. Ensimmäinen julkaisu valottaa näitä visioita. Huippukorkeat terahertsin taajuudet mahdollistavat suuret datanopeudet, mutta niiden käyttö ei olisi niinkään laajakaistaan, vaan juuri ihmisen ja koneiden kommunikointiin lyhyellä etäisyydellä.

Satelliittilaajakaistassa Brittien broadcaster-infrasta vastaava Arqiva on tehnyt SpaceX:n kanssa sopimuksen maa-asemista ja maanpäällisestä kuituverkosta, joilla pyritään saamaan saaren haja-asutus kunnollisen laajakaistan pariin. Brittien konkurssilta pelastama Oneweb jatkaa satelliittiverkon rakentamista ja uskoo arktiseen alueen verkottamisen mahdollisuuksiin. Kuulemma kyselyä on tullut  myös Suomen pääministeriltä. Puolustussektorikin hakee hyötyä kaupallisista verkoista. Lockheed Martin ja Pentagon suunnittelevat molemmat 5G:n käyttöä kommunikointiratkaisujensa perustana.

Nokia

Nokia järjesti viikon mittaisen mediashown, jossa tuli asiaa laidasta laitaan. Verkko-Nokia on toistanut samoja Puhelin-Nokian johtamisvirheitä, joiden myötä yhtiö ajautui takamatkalle kilpailussa. Siilasmaa ja Suri ajoivat yhtiön toimintatavan jäykäksi ja monimutkaiseksi. Alcatel-Lucent -kauppa hiersi koko viiden vuoden ajan ja ajoi yhtiön kahteen leiriin, sisäisiin erimielisyyksiin, lisääntyneeseen byrokratiaan ja lopulta keskusjohtoiseksi. Tavoitteista tehtiin liian mahtipontisia ja tuotesuunnittelu ailahteli, mikä turhautti asiantuntijoita. Lundmarkin myötä alkoi siivous, joka kestää kolme vuotta. Sen verran Nokia on nyt muita jäljessä.

Parantumisohjelmassa leikattiin ensin 11000 työpaikkaa säätöjen hakemiseksi. Vähennykset kohdistuvat enimmäkseen Suomen ulkopuolelle. Nokian henkilöstö on vähentynyt 11% kahdessa vuodessa. Vähennykset liittyvät uuteen liiketoimintamalliin, jossa jokainen yksikkö vastaa omasta tuloksesta ja tekemisestä. Teknologiajohtajuus on Nokialle tärkeää ja siihen panostetaan nyt selvästi enemmän. Suoraviivainen, avoin ja tekniikasta kiinnostunut Lundmark on otettu hyvin vastaan talon sisällä.

Nokia ajautui ongelmiin oman kunnianhimoisen ReefShark-piirisarjan kanssa, koska valmistaja Intel ei pystynyt vastaamaan vaatimuksiin, ja suorituskyky ja kustannustehokkuus eivät olleet mitä piti. Nokia ei myöskään ollut hyvä ohjelmoimaan FPGA-piirejä. Nyt ReefShark on tuotenimi, jonka alla voi olla ASIC-, SoC- tai FPGA-piirejä käyttökohteen mukaan. Nokia on sopinut piirien kehityksestä myös Marvellin kanssa, mutta jatkaa yhteistyötä Intelin ja Broadcomin kanssa. Tänä vuonna tukiasemista 70% on SoC-pohjaisia ja 2022 loppuun mennessä FPGA-piireistä on päästy eroon tukiasemissa. Nokialla on jo ennestään hyvä osaaminen SoC-piireistä.

Nokia panostaa vahvasti pilveen ja avoimeen O-RAN-malliin, jolla se erottautuu muista perinteisesti kilpailijoistaan. Nokia näkee alan mullistuksen ja panostaa Network-as-a-Service -malliin. Pelkkä suorituskyvyn kasvattaminen ei enää riitä, vaan tarvitaan kehittyneempiä ohjelmistoja. Ilman joustavia ja ketteriä verkkoja ei 5G-kilvassa pärjää. Lopulta verkosta tulee kuin pilvipalvelu, jota ostetaan palveluna.

Nokia julkisti yhteistyösopimukset kaikkien kolmen ison pilven kanssa. Googlen kanssa kehitetään 5G-pilvialustaa, AWS:n kanssa asiakaslähtöisiä ratkaisuja ja cloud-RAN-alustaa, ja Azuren kanssa yritysten pilviratkaisuja. Suri uskoi kokonaisratkaisujen myyntiin, mutta nyt Nokia on nähnyt selvästi, että asiakkaat haluavat valita pakettinsa osat erikseen. Nokia keskittyy nyt oikeisiin asioihin ja tulevaisuus näyttää vahvalta, jos asiat hoidetaan kunnolla.

Pilvi, SASE ja Edge

AWS aloitti 15 vuotta sitten S3-palvelulla. Nyt S3 tallentaa 100 triljoonaa objektia (13000 objektia jokaista maailman henkilöä kohti) ja hoitaa kymmeniä miljoonia kyselyitä sekunnissa. Kestävyys oli suunniteltu palvelun ominaisuudeksi alun alkaen tarjoten 11 ysin käytettävyyden.

Ohjelmalliset underlay-yhteydet luirivat pilvipalveluihin ja pilvipelurit yrittävät ottaa osansa yhteysmarkkinasta. Heidän vahvuutenaan on olemassa oleva infra ja osaaminen ohjelmallisen NaaS-palvelun toteuttamisessa. NaaS-palvelulle olisi kysyntää, mutta perinteisten operaattorien on vaikea vastata tarpeeseen. MSP:n pitäisi pystyä tarjoamaan useampia ratkaisuja, jotta niistä löytyisi kullekin asiakkaalle sopiva. Monen erilaisen ratkaisun integroiminen ja orkestrointi taas on erittäin työlästä. Vastatakseen modernisoituvaan ICT-maailmaan, operaattorit joutuvat panostamaan enemmän IT- ja digiosastoihin, mitä Suomessa nähtiinkin vuosia sitten Elisan ja Telian kahmiessa pienempiä IT-taloja itselleen.

Google lisäsi palveluunsa Network Connectivity Centerin, jolla liikennettä voi kuljettaa Googlen runkoverkossa. SD-WAN- ja VPN-yhteydet voi hallita yhden näkymän kautta eri laitteiden kesken. Google myös liittoutui Ciscon kanssa tarjoten automaattista WAN-linkkien provisiointia Googlen verkossa. Mikä on Googlen verkko ja mihin se ulottuu?

Coudflaren hosting ja CDN-alusta laajenee jatkuvasti. Viime vuonna tulivat SASE-palvelut, nyt Cloudflare One -paketiin on lisätty Magic WAN ja Magic Firewall, joilla yritetään helpottaa yhteyksiä Cloudflaren palveluihin ja hallitun tietoturvapolitiikan toteuttamista. Integraatiot löytyvät Velocloudille ja Silverpeakille. Kuten Googlellakin, asiakas voi käyttää Cloudflaren runkoverkkoa omiin yhteyksiinsä ja tietysti pakettiin kuuluu keskitetty ohjauspaneeli. Muita omaan runkoverkkoonsa luottavia ovat mm. Cato ja Microsoft. Jos tämä suunta jatkuu, näyttää, että avoin internet kääntyykin pikku hiljaa suljettuihin verkkoihin, kuten on käynyt sisältöpalveluissa. Joka tapauksessa pilven myötä keskittyminen alkaa olla huipussaan, jonka jälkeen alkaa hajautuminen ja edgen tuleminen.

SASE:n matka on vasta alussa ja markkina on hajanainen. Gartnerin ennuste näyttää kovaa kasvua lähivuosille. Valinnoissa kannattaa olla tarkkana, koska kohta todennäköisesti alkaa valmistajien pudotuspeli ja yhdistyminen. Pilvialustojen voittokulku näyttää jatkuvan nyt myös yhteysmarkkinoilla kun sovellukset on saatu haalittua pilveen. Tietoturvaominaisuudet ovat tärkeitä ja SASE:n myötä niitä kulutetaan palveluna. Palveluiden hajanainen hinnoittelu alkaa lähentyä toisiaan.

SASE sijaitsee nimensäkin mukaan reunalla, mutta Benu on vienyt SASE-palvelut operaattorin reunalle BNG-keskittimeen. Idea tarjota palvelua laajakaistakeskittimessä lähellä käyttäjää, on loistava. Tosin samaa ajatusta on käytetty vuosikaudet CDN-palveluissa. SASE ja CDN ovatkin toistensa sisarukset. Voit ihmetellä näistä listoista pilven ja edgen trendejä, keksintöjä ja yrityksiä.

Azuren uusi ominaisuus Routing Preference antaa mahdollisuuden valita haluaako liikenteensä kuljettaa internetissä vai Microsoftin verkossa. Azuren Route Server helpottaa dynaamista reititystä pilvessä. Ivan Pepelnjak johdattaa syvemmälle Route Serverin käyttöön, toteutukseen ja konfigurointiin. Tästä johtopäätöksenä voidaan todeta, että pilvitietoliikenne monimutkaistuu koko ajan ja tarve osaaville tietoliikenneasiantuntijoille on edelleen olemassa.

AWS on kasvattanut Transit-GW:n ja VPN:n reittirajoja 5-10 kertaa suuremmiksi vastatakseen paremmin tarpeeseen. Kollegani Markku huomasi, että AWS käyttää verkossaan E-luokan osoitteita alueesta 240.0.0.0-255.255.255.255. Alue on allokoimaton ja varattu tulevaisuuden käyttöön. Varmaankin AWS:n motiivina on olla käyttämättä julkisia osoitteita sisäiseen infraan ja E-luokka ikään kuin näyttää julkiselta osoitteelta, vaikka se vain sisäisessä käytössä onkin. E-luokka ei reitity julkisesti ja monessa laitteessa se kuuluu martian-osoitteisiin, jotka tiputetaan automaattisesti. Oma arvaus kuitenkin on, että E-luokka tulee joskus vielä käyttöön ja internet-reititykseen. Sen verran pulaa IPv4-osoitteista on. Ja sitähän AWS:n E-luokan käyttökin tavallaan todistaa. Sillä välin voit katsoa elokuvan “The End” IPv4-osoitealueen täyttymisestä.

Oracle toi L2-verkot pilveen ja Ivan Pepelnjak käy läpi samat L2:n ongelmat, joita on yritetty ratkaista vuosikymmeniä.

Kyberturvallisuus

Huoltovarmuuskeskus on julkaissut ohjeita kyberturvan huomioimiseksi ICT-sopimuksissa ja PolAMK oppaan kyberrikostutkinnasta. Yritykset ilmoittavat huonosti kyberrikoksista poliisille ja ne punnitsevat tarkkaan haittoja ja hyötyjä. Pelkona saattaa olla mainehaitta, rikostutkinnan kuormitus tai uskon puute, että koko asiasta olisi mitään hyötyä. Lisäksi Suomessa on useita viranomaisia, joille pitäisi asiasta ilmoittaa. Supo vastaa kansallisista uhkista, Traficom luo tilannekuvaa ja auttaa selvityksessä, tietosuojavaltuutettu hoitaa henkilötietoloukkaukset.

Supo kertoi eduskunnan tietomurron takana olevan kiinalainen APT31-ryhmä, joka oli naamioinut hyökkäyksen tietoturvaohjelmiston päivitykseksi. Tiedustelupalveluiden kerrottiin käyttäneen hyökkäyksissä kotireitittimiä ja verkkotallentimia. Supoa on sanottu koiraksi, joka ei hauku. Nyt se nimesi ensimmäistä kertaa hieman kierrellen ja kaarrellen kiinalaiset hyökkäyksen tekijöiksi. Tiedustelu on Supon mielestä ongelmallista, koska turvallisuutta uhkaava toiminta viedään helposti kotirauhan suojaan, jonne tiedustelulla ei ole pääsyä. Samalla Supolta kysytään läpinäkyvyyttä tiedusteluun, jonka tuloksista ei ole kerrottu juuri mitään.

Ubiquitin tietomurto onkin pahempi kuin aiemmin näytti ja yhtiö on selvästi vähätellyt tapahtunutta. Hyökkääjät olivat saaneet pääkäyttäjätunnukset AWS:n tietokantaan, josta he saivat pääsyyn tarvittavia tietoja. Ainakin kaikki Ubiquitin salasanat kehotetaan päivittämään, ja hyvä käytäntö voisi olla myös poistaa kaikki käyttäjäprofiilit laitteista ja luoda ne uusilla salasanoilla. Tietysti laitteet pitää päivittää uusimpaan softaan ja etähallintaa kannattaa harkita poistettavaksi käytöstä ainakin väliaikaisesti.

F5 Big-IP 11.6-12.x ja Big-IQ 6-7.x oli neljä vakaa haavoittuvuutta, jotka pyydetiin päivittämään heti. Supermicron emolevyn Trickbot-haavoittuvuus vaikutti Pulse Securen PSA5000/7000-laitteisiin. Unixin GRUB2 boot loaderiin on julkaistu korjauksia vakavaa suojatun käynnistyksen BootHole-haavoittuvuutta vastaan. Päivitykset suositellaan asentamaan heti kun valmistajat tuovat ne omiin laitteisiinsa. Chrome blokkaa nyt selaimen pääsyn nyt myös TCP 554-porttiin estääkseen NAT Slipstream 2.0 -haavoittuvuuden käyttöä. Microsoft julkaisi erittäin vakavia DNS-komentosuoritushaavoittuvuuksia zonejen dynaamisissa päivityksissä. Vanhat NIST:n DNS-ohjeet pätevät edelleen. Pythonin PyPI-paketti-hallinnasta on poistettu 3653 haitallista pakettia. Paketit uivat helposti sitä kautta kehittäjien omiin projekteihin mukaan.

IBM:n raportin mukaan hyökkäykset kohdistuvat aiempaa enemmän Linuxiin ja sen myötä pilvisovelluksiin. Pilvessä laitteet ovat todennäköisemmin saavutettavissa ja pilvessä on tarjolla paljon kapasiteettia. Automaattisia työkaluja käytetään alttiiden kohteiden skannaamiseen ja kun kohde löytyy, se murretaan hetkessä. Kuka tahansa voi joutua uhriksi. Uusia rahastusmahdollisuuksia haetaan myös teollisuusautomaation ohjausjärjestelmistä, joiden takana liikkuvat isot rahat ja mahdolliset lunnaat.

Kanadalaisella Sierra Wirelesillä tapahtuikin kiristyshyökkäys, jossa henkilöstö ei päässyt käsiksi suunnittelu- ja valmistusjärjestelmiin. Vaikka IT- ja tuotantojärjestelmien välillä onkin selkeä erotus, tehtaat jouduttiin sulkemaan. Tiedotteen mukaan tuotteisiin ja verkkopalveluihin iskulla ei ollut vaikutusta.

Fortinet ja Linksys ovat lähteneet yhteistyöhön kotiverkkojen turvallisuuden nimissä. Fortinet on investoinut 75 miljoonaa dollaria Linksysin reititinratkaisujen kehittämiseen ja tavoitteena on ilmeisesti vahvistaa Linksysin laitteita Fortinetin tietoturvaosaamisella. Fortinet saa myös edustajan Linksysin hallitukseen. Toistaiseksi tämä on markkinamiesten sanahelinää ja nähtäväksi jää mitä yhteistyö poikii.

Huawein työpaikkailmoituksia käytettiin houkutuksena operaatio Diànxùnissa, jossa teleoperaattoreiden henkilöstöltä yritettiin saada tietoa 5G-asioista. Ainakin 23 operaattoria on joutunut aktiivisen kampanjan kohteeksi.

Amerikassa on vaadittu yrityksiltä ja valmistajilta parempaa läpinäkyvyyttä kyberriskien tiedostamiseen ja hallintaan, vaikka siihen ei laissa ole keinoja puuttua. Yritysten data on valmistajien armoilla ja näkyvyyttä käytäntöihin ei ole. CISA on ehdottanut yrityksille turvallisuusluokitusta, jotta kyberriskit voitaisiin nostaa esiin ja hallituksen päätettäväksi. Hallitukset näkevät kyberturvallisuuden tärkeäksi ja vaikuttavaksi asiaksi yritysten tulevaisuuden kannalta. Julkisten yhtiöiden osalta haluttaisiin saada enemmän konkreettista tietoa missä riskejä on ja miten niitä hallitaan. Esimerkiksi FireEye avasi toimintaansa ja otti riskin. Esimerkin voimalla toivotaan muidenkin lähtevän vapaaehtoisesti avoimempaan suuntaan.

Solarwinds raportoi oman hyökkäyksensä tutkimisen ja palautumisen maksaneen toistaiseksi 3,5 miljoonaa dollaria. Hinta on todella pieni jos vertaa sitä laajoihin vaikutuksiin, jotka koskevat muitakin yhtiöitä. Lisäkustannuksia toki odotetaan vielä paljon lisää ja mainehaittaa tuskin voi rahalla korvata. Toisaalta asia unohtuu ja homma jatkuu kuten ennenkin.

Erikoisempaa kybersuojelua harjoitetaan brittien voimin. Uusi kuninkaallinen monikäyttöinen valtamerilaiva alkaa partioida valtamerillä ja valvoa merikaapeleita 2024. Laivassa on kehittyneitä sensoreita ja se käyttää vedenalaisia droneja tietojen keräämiseen. Britit ja USA ovat huolestuneita Venäjän agressiivisesta operoinnista Atlantilla ja kuituihin kohdistuvista kasvavista riskeistä.

Tekniikka

Kaapeloinneissa uusin vihreä OM5-monimuotokuitu käyttää Shortwave Wavelenght Division Multiplexing -tekniikkaa. Epästandardilla SWDM-siirrolla saadaan 50 metriä lisää kantamaa, standardisiirrolla matka on sama kuin OM4:lla. OM5 ei tuo juurikaan mitään lisää ja suuremmilla nopeuksilla kuin 100G, kehitys menee joka tapauksessa yksimuotokuituun.

Kuparikaapeloinnissa yli kymmenen vuotta vanha Cat6A on pitänyt pintansa hyvin ja on säilyttänyt asemansa vallitsevana kaapelointistandardina myös uusissa asennuksissa. Standardoinnin uusin versio Cat8 nostaa kaistan 2 kHz:iin ja sillä saa 25-40 Gbps-siirtonopeuden 100 metrin matkalle. DSL-tekniikalla puhelinkaapelin yli suunnitellaan jo 1Tbps-nopeuksia. G.fastin jälkeen puhutaan Waveguidesta ja tekniikoista G.nlp, G.nest ja G.tdsl.

Langattomalla puolella Wifi7 802.11be-standardi pitäisi saada valmiiksi 2024, jolloin odotetaan myös laitteita myyntiin. Taajuuksiin on lisätty 6 Ghz, kaistanleveys on kasvanut 320 MHz:iin, modulaation on 4096-QAM ja kanavointi 16×16 MIMO, joilla päästään 30-46 Gbps-nopeuksiin. 6 GHz on käytössä jo Wifi6E:ssä ja taajuutta ollaan vapauttamassa EU:ssa. Saudi-Arabiassa tehdään maailman nopeinta wifiä avaamalla koko 6 GHz:n taajuusalue wifin käyttöön. 6 GHz ratkaisee monia wifin ongelmia, mutta tarkoittaa myös kantaman pienenemistä, jolloin verkoissa joudutaan herkemmin mesh-toteutuksiin.

Valmistelussa on myös wifin laajennus 802.11bf SENS, jonka avulla wifi-laitteet voivat mitata etäisyyttä, liikettä, suuntaa ja paikkaa käyttäen wifi-signaalia. IEEE:n standardiksi pyritään samaan aikaan 2024 Wifi7:n kanssa. Muitakin vastaavia tekniikoita on kehitteillä ja seurannassa oletetaan mullistavia sovelluksia, joista kaikki eivät välttämättä ole innoissaan. Seurannasta pitää olla mahdollisuus poistua.

Cisco ja Apple ovat tehneet yhteistyötä käyttäjäkokemuksen parantamiseksi jo vuodesta 2015. Nyt Fastlane+ lisää Wifi6-yhteyteen ennustettavan ajoituksen, jolla kuormittuneessa ympäristössä Apple-päätelaitteet ja Ciscon Catalyst -tukiasemat voivat neuvotella optimoidusta viiveestä. Taika tapahtuu käyttäjän tietämättä taustalla.

400G-optiikassa Infinera ajaa omia XR-optiikoitaan standardiksi. 400G-XR -optiikkaa käytetään PON-verkossa symmetriseen 400G-palveluun. Se on ainut koherentti suurilla nopeuksilla toimiva point-to-multipoint -teknologia, jossa hyödynnetään erikseen reititettäviä 25G-alikanavia. Infinera on testannut optiikkaansa kentällä monessa paikassa ja odottaa kaupallista käyttöönottoa ensi vuonna.

Ensi vuonna odotetaan myös 800G-optiikan tuloa kytkimiin ja porttitiheyden kasvua. Tästä seuraa ongelmia komponenttien integroinnissa. Yhteisapakatut optiikat etsivät vielä muotoaan.

Cisco esitteli uusia jäseniä Silicon One -perheeseen, jonka huippuvauhdit ovat 25,6Tbps. Silicon Onen etuna on joustavuus ja yhdenmukaisuus. Perheessä on yhdeksän eri piiriä eri  käyttökohteisiin. Kuitenkin  sarjalla on yksi ja sama arkkitehtuuri ja ominaisuudet, joista otetaan tarpeen mukaan käyttöön sopivat.

SmartNIC:t ovat ottaneet paikkansa pilvikiihdytyksessä. Ne voivat helpottaa CPU:n kuormaa ja tehostaa esim. verkon, tallennuksen tai koneoppimisen töitä. SmarNIC:t ovat yleensä FPGA-pohjaisia PCIe-paikaan sopivia kortteja, mutta tiukasti integroituja raudan kanssa.  Xilinxin Alveo SN1000 -kortti tarjoaa 100Mpps alle 3 us viivellä ja 4 miljoonaa tilallista sessiota alle 75 W:n kulutuksella. Netronome Agilio LX kilpailee vastaavassa sarjassa.

Uusia vNOG-esityksiä on julkaistu. David Roy kertoo Junos Inline-monitoroinnista. Tarkoituksena on striimata liikennedataa ulos laitteesta IPFIX-formaatissa ja ulkoistaa monimutkaisemmat datankäsittelyt vastaanottopäähän. Dataa saa kerättyä flow:sta tai mirrorista firewall-filtterin tarkuudella joko samplattuna tai 1:1. Mitä sitten flow collector sisältää ja miten se toimii? Esimerkkinä Flowhouse. Linuxin 5.13 kernelin myötä pakettien samplaus lisää flow-tietoon suorituskykymetriikkaa. Sflow voi siis tuottaa reaaliaikaista telemetriatietoa pakettien viiveistä ja porttien jonon pituuksista. Aaron Glenn esittelee mikä on P4-ohjelmoitava välityskerros ja mitä sillä voi tehdä. Ciscon Fred Cuiller kertoo miten kaksi isoa operaattoriverkkoa yhdistetään.

Samalla kun maailma on enemmän ja enemmän riippuvainen elektroniikasta, iso aurinkopurkaus saattaa tuhota suuren osan maapallon elektroniikasta. Nasa arvioi, että ison purkauksen todennäköisyys tällä vuosikymmenellä on 12%. Purkaukset tapahtuvat 11 vuoden sykleissä ja viimeisin alkoi 2019 lopussa. Tutkijat havaitsevat purkauksen 8 minuutin viiveellä ja maahan purkaus iskee 17-36 tunnin kuluessa, joten on vaikea kuvitella, että suojautuminen onnistuisi nykymaailmassa.

Avoin lähdekoodi

The Hedge -podcastissa Daniel Teycheney keskustelee avoimesta koodista verkkotuotteissa. Kuten kaupallisissa tuotteissakin, avoimen koodin kehittäjät kaipaavat palautetta ja kokemuksia koodista. Käyttäjän ei tarvitse kantaa huonoa omaatuntoa ilmaisista tuotteista, vaan voi antaa arvokasta palautetta, jonka pohjalta tuotteista voidaan tehdä parempia. Käyttäjät luovat tuotteista luotettavia.

Lontoon yhdysliikennepiste LINX on käyttänyt jo useamman vuoden disaggregointia Edgecoren kytkimillä ja IP Infusionin NOS:lla. Nyt malli laajenee Manchesterin pisteeseen. LINX on ottanut hyvän asenteen ja toiminut ammattimaisesti disaggregoinnin tuomisessa tuotantokriittiseen ympäristöön. Tätä tarinaa on kiva seurata.

Yleensä kytkin-ASIC konfiguroidaan valmistajan SDK:n kautta. SDK kuitenkin rajoittaa käyttöjärjestelmän ominaisuuksia ja suorituskykyä. Viime vuosina on yritetty uutta tapaa, jolla verkkokäyttöjärjestelmä NOS saataisiin ajettua suoraan Linuxin kernelissä. Switchdev ja kernel-API:t eivät ole kuitenkaan yleistyneet valmistajien keskuudessa ja vain yksi ASIC-valmistaja on kirjoittanut switchdevin kanssa toimivan ajurin.

Microsoftin Sonic on kerännyt suosioita valmistajien keskuudessa ja tuki sille löytyy yllättävän monesta raudasta. Sonic näyttää olevan tuleva de facto -standardi avoimissa verkoissa. Jopa Gartner on yltynyt ennustamaan, että 2025 40% yli 200 kytkimen konesaleista ajettaisiin Sonicilla. Sonicista odotetaan jopa Linuxia vastaavaa standardikäyttöjärjestelmää, mikä olisi hajanaisessa kentässä mukava selkänoja.

IPSec-VPN on pöhöttynyt raskas protokollaperhe, jonka rinnalle on noussut viime vuosina avoin ja ilmainen Wireguard-sovellus ja -protokolla. Tämäkin sovellus ajetaan Linuxin kernelissä ja nyt myös BSD ja sen mukana pfSense on tullut mukaan. Käyttöjärjestelmätuki on laaja Windowsista Mac OS:ään ja Androidista IOS:iin. VPN-tunneloinnilla voidaan tehdä reititettyjä ja siltaavia erilaisia topologioita. Teknologia on kevyt ja tehokas: vertailussa Wireguardin koodi on vain 1% IPSecin ja OpenVPN:n koodimäärästä. Salaukseen käytetään ainoastaan ChaCha20-salausta. Wireguard yksinkertaistaa ja helpottaa yhteyksien muodostusta.

Yritykset

Tietoala on julkaissut työmarkkinatutkimuksen tulokset. Keskimääräinen kokoaikatyön palkka on 4414 €/kk ja suurimman korotuksen, keskimäärin 600€, saa vaihtamalla työpaikkaa. Pääkaupunkiseudulla palkat ovat keskimäärin 19% eli 757 €/kk suuremmat kuin muualla Suomessa.

Juuri kun alustatalouden toimijoita on alettu saada työsuhteiden piiriin, Suomen suurimpiin liittoihin kuuluva Teknologiateollisuus päätti irtautua yleisistä työehtosopimuksista. “Työmarkkinapommin” tarkoituksena on lisätä paikallista sopimista työpaikoilla. Jäsenyritykset ovat hyvin erilaisia ja niillä on omat tarpeensa, perustellaan ratkaisua. Jatkossa Teknologiateollisuuden jäsenet sopivat asioista paikallisesti ja yleissopimukseen liittyville yrityksille perustetaan uusi liitto Teknologiateollisuuden työnantajat.

Elektroniikkateollisuutta ja piiripulaa vaivaavat yllättävät vaikutusketjut. Piirivalmistuksessa tarvitaan runsaasti vettä, mutta Taiwania vaivaa kuivuus ja veden käyttöä joudutaan rajoittamaan. Samaa on kuultu Saksan tehtailta. Kuivuus taas johtuu ilmastonmuutoksesta, joka ei tuo enää taifuuneja Taiwanille niin usein kuin ennen.

Broadcomin tämän vuoden tilauskanta on 90% täynnä kun normaalitaso olisi n. 25%. Toimitusajat ovat venähtäneet pahimmallaan 8 kuukaudeksi. Huawei on onnistunut kehittämään omaa HiSilicon-piiriään, mutta valmistaja TSMC aiheuttaa rajoituksia saatavuuteen. Huaweilla parhaiten menestyy Enterprise-yksikkö, joka tekee pesäeroa telecom-sektoriin. Kompensoivaa kehitystä on suunnattu pilveen, ohjelmistoihin ja muuhun ICT-sektoriin.

Cisco ja Huawei pitävät kärkipaikkaa Dell’Oron yritysverkkolaitemarkkinatilastossa viime vuodelta. Ciscon 40% markkinaosuus on omilla lukemillaan ja perässä seuraava Huawei saa juuri kaksinumeroisen osuuden 10%:lla. Tilasto sisältää kaikki lankaverkoista wifiin ja WAN:sta tietoturvalaitteisiin. Siksi yllättävät sijat 4-5 ottava Paloalto ja Fortinet samalla osuudella kuin Aruba. Yleisesti kampus- ja konesaliverkon myynti väheni ja reititin- ja tietoturva olivat ohjelmistojen ja lisenssien myynnin myötä nousussa. Wifi pysyi tasaisena.

Arista on kaapannut noin puolet Ciscolta vuotavasta kaupasta ja loput ovat menneet whitebox-valmistajille. Microsoft ja Facebook ovat olleet Aristan suurimmat asiakkaat, mutta leikkasivat ostoja viime vuonna. Aristan asiakaskanta on nousset kymmenessä vuodessa 1100:sta 7200:aan. HPE:llä sen sijaan on mennyt odotettu paremmin Aruban ja SD-WAN:n toimiessa digitalisaation muutosvetureina. Myös Aruba Central pilvihallinta on vahvistanut Aruban asemaa mutta Silver Peakin integrointi on tärkeä kehityskohde, jotta sen tuomat lisäominaisuudet saadaan käyttöön. Aruba muutti Centralin lisensointimallia ja nosti hintoja alustan tuoman kulukasvun myötä. Aruba Central on pyörinyt AWS:ssä, mutta nyt alusta on mahdollista saada myös Azuresta. Lisäksi Microsoft-yhteistyö toi Azureen Aruba IoT Transportin, jolla IoT-laitteet voi yhdistää tukiaseman tai kontrollisen IoT-hubin kautta pilveen.

Fortinet ostaa monipilven infran suojakseen erikoituneen ShieldX:n. Isrealilainen entisten Checkpointin työntekijöiden perustama Orca Security hyökkää Paloaltoa vastaan ja aikoo voittaa sen asiakkaita itselleen. Lupauksena on oikeasti toimiva ja kattava pilvitietoturva. Yritysten välinen suhde on lähtenyt omalle uralleen kun Orca suututti Paloalton julkaisemalla tuotteiden vertailuvideon. Paloalto vastasi uhkaamalla oikeushaasteella ja soppa oli valmis. Sen jälkeen on vaihdettu julkisia viestejä blogien kautta.

Equinix on esitellyt uuden konesaliratkaisun, joka perustuu tehtaalla rakennettuihin moduleihin. Moduleilla voidaan rakentaa kapasiteettia pienemmissä yksiköissä ja energiaa voidaan tuottaa joustavasti eri tavoille. Ensi kertaa mallia kokeillaan Ranskassa Bordeauxissa. Equinix on omilla lukemillaan selvänä johtajana tuoreessa Interconnection-markkinatilastossa, josta selviää, että Equinixilla on yhteensä 392000 yhteyskytkentää. Digital Realty ja Megaport seuraavat perässä.

Internet

Venäjä on yrittänyt suitsia yhteistyöhalutonta Twitteriä. Ensin Twitterin liikennettä hidastettiin, mutta vaikutukset osuivatkin laajemmin muuhun internet-liikenteeseen. Rostelecom oli blokannut kaikki Twitterin lyhennetyt t.co-domainit, mutta joltain meni regexit pieleen ja kaikki t.co sisältävät domainit blokattiin, sisältäen mm. microsoft.com ja reddit.com. Venäjän internet-liikenne dippasi 24%. Seuraava vaihe oli estää koko Twitterin käyttö jos haitallinen sisältö ei poistu palvelusta.

Blogeissa on muisteltu vuotta 2014 kun reititystaulun koko ylitti 512000 reittiä ja reitittimiä kaatui muistinpuutteeseen. Nyt odotetaan reititystaulun koon ylittävän miljoona reittiä suunnilleen vuoden 2023 lopussa. Ennen sitä tulee IPv6-taulussa täyteen 128000 reittiä. Nyt taulujen koot ovat luokkaa IPv4 860000 ja IPv6 109000. IPv4:ssa /24 prefixien määrä kasvaa tasaisesti ja on nyt jo 60%. Nykyisten reitittimien kannalta taulun koosta tuskin tulee isompia ongelmia jos laite on tarkoitettu peeraukseen ja siinä on riittävästi RAM:ia.

RPKI-rintamalla Lumen (entinen CenturyLink, entinen Level3), yksi isoimmista tier-1 -operaattoreista, on ottanut käyttöön reittien RPKI-validoinnin. Qrator Labs selittää mitä eroa on BGP route leakilla ja BGP hijackillä. Ja mitä RPKI:llä ja ROA:lla on oikeastaan merkitystä.

USA:n DoD on tehnyt suunnitelman myydä kaikki omistamansa 13 A-luokkaa IPv4-osoitteita. Paketilla on kyllä messevä markkina-arvo rahoittaa muita projekteja ja toimintaa.

Aasiassa kauppasota rakentaa kapasiteettimuuria kun USA on pakottanut isot merikaapelikapasiteetin tuottajat pistämään Tyynenmeren hankkeensa jäihin. Myös Australia on toiminut aiemmin samoin. Facebookilla on ollut suunnitteilla kaksi kaapelia Echo ja Bitfrost USA:n länsirannikolta Indonesiaan ja Singaporeen. Kaapelikapasiteetin viivästykset eivät kuitenkaan merkittävästi vaikuta talouteen, mutta saattavat kyllä ruokkia paikallisia kapasiteettikeskittymiä esim. Japanissa ja Taiwanissa.

Mielenkiintoinen kysymys kuituinvestoijille: kuinka kauan kuitu kestää? Kuituvalmistajat eivät anna kuiduille elinikää. Käytännössä näkyy, että 1980-luvun kuidut alkavat ikääntyä. Noista ajoista valmistusmenetelmät, laatu ja käsittely ovat kehittynyt huomattavasti, ja samoja ongelmia ei uudemmilla kuiduilla enää ole. Epävirallisesti tutkijat ovat todenneet, että kuidun pitäisi kestää 75 vuotta tai enemmän.

Operointi

Olemme kaikki verkkojen ja palveluiden ylläpitäjät samassa veneessä, joten on empatia on tärkeää. Toisten ongelmille ja vahingoille ei ole järkeä ilkkua tai nauraa, koska jonain päivänä pilkka osuu omaan nilkkaan. Ennemmin kannattaa sympata toisia ja yrittää olla avulias, ymmärtäväinen ja kannustava. Hugops on saanut sijaa varsinkin isoissa ja vakavissa tapauksissa kuten OVH:n tulipalo, mutta miksei myös pienemmissä ongelmissa ja pulmissa.

Monimutkaisuudesta jaksetaan aina jankuttaa, mutta ihan syystä. Miksi verkon aina annetaan omia ja hoitaa kaikkien muiden ongelmat ja toteuttaa villeimmät toiveet? Asiantuntijat itse tekevät verkoista monimutkaisia ja hankalia, vaikka liiketoiminnalle riittäisi vähempikin. On aika sanoa ei ja hoitaa asiat siellä minne ne kuuluvat. Pidetään verkko siistinä ja yksinkertaisena. Sitten ehkä automatisointikin voi onnistua.

Cisco on tehnyt sopimuksen Terraformin pilvipalvelun liittämisestä sen omaan Intersight-monipilvihallintaan. Ciscon Intersightin kautta saa käyttöön Terraformin IaC-työkalut SaaS-palveluna.

Erilaisten laitteiden pyörittäminen omassa ympäristössä tai labrassa on helppoa kunhan saisi ladattua imagen jostain. Ethan Banks on keräänyt listan ja ohjeet. Toisilla valmistajilla se on helppoa (Arista, Cumulus, Aruba), toisilla vaikeampaa (Cisco, Juniper).

Abstraktoinnin tasolla verkon validointi ja testaus on vaikea ja monisyinen asia.

Tapahtumat

Microsoft Ignitessä saatiin kasa julkistuksia. CTO Mark Russinovich piti laajan Datacenter-esityksen. Ajassa 19:17 käydään läpi WAN: yli 130000 km kuitua, yli 180 edge-saittia, 149000 RPKI-allekirjoitettua reittiä, Azure Orbital avaruuslaitteiden kytkemiseksi Azureen. Ajassa 27:46 muutama sana verkonhallinnasta. Ajassa 42:04 visioita ja hullunkurisia kuvia nestejäähdytyksestä. Ajassa 56:10 Chaos Studio Azuren kaaostestaamiseen.

Erilainen tapahtuma IETF110 pidettiin jälleen virtuaalisena ja kaikki sessiot löytyvät Youtubesta. Se tarjoaa oudon kokemuksen seurata työryhmien toimintaa ja pitkiä istuntoja kaikista mahdollisista aiheista.

Kesäkuulle ajoitettu MWC Barcelona on kärsinyt osallistujakadon. Isoista vain Verizon on vahvistanut osallistuvansa, muut ovat peruneet yksi toisensa jälkeen. Sinnikäs pilvikonsultti aikoi käyttää rahaa vuokratakseen Ericssonin ständin ja julistaakseen julkisen pilven ilosanomaa omassa “Cloud Cityssään”. Myös Saksan laajakaistakongressi Angacom on virtualisoitu tältä vuodelta ja ensi vuonna yritetään uudelleen paikan päällä.

Kuukauden epätoivo

Erään ulkomaisen yrityksen Suomen konttoria kohtasi katastrofi, jossa ERP-järjestelmän päälle itse kyhätty palvelukokonaisuus hajosi. Myös DNS oli leivottu sisään ERP-järjestelmään, ja kun se lakkasi toimimasta, koko palvelu poistui maailmankartalta. Palautuminen tuntui olevan muutaman ihmisen epätoivoinen taistelu historian painolastia vastaan. Käyköön tämä esimerkkinä teknisestä velasta ja sen seurauksista.

Experimenting Cumulus Linux

This post was originally posted as Twitter thread 4.3.2021.

Last few weeks I’ve tried to dive into Cumulus Linux and test how it is configured and operated. The goal is to make a tutorial for Cisco network engineers.

Here’s a thread what I’ve noticed during my experimentation.

There used to be over 130 different hardware platforms supported. After Nvidia merger Broadcom switches dropped off last fall. Now hardware is Mellanox Spectrum only which limits options radically. Good thing is that Cumulus and Mellanox come from the same house nicely bundled.

Cumulus 4.2 is the last version to support Broadcom chips. Cumulus is now at 4.3 version so existing Broadcom switches don’t have many years left to run. Long-term ESR releases have 3 years of support time before EOL.

Hardware affects many advanced configurations like ACLs, QoS, DDoS protection, TCAM and HW profiles. There are some notable differences between Broadcom and Mellanox. You can also run Cumulus on any common server.

Cumulus VX virtual appliance is freely available for testing but not intended to be run in production. I ran two VMs on my Windows laptop using Virtualbox. You can also test Cumulus in the cloud with full fabric setup and NetQ: https://air.cumulusnetworks.com/.

Cumulus is Debian-based Linux and it can be configured like native Linux or through NCLU command wrapper. NCLU is good for most of the configurations and familiar way for network engineers. There are additional Python-based cl-tools to operate certain features.

NCLU is like poor man’s Junos, simple but feature-rich enough. Similar Unix background shines through. NCLU has tab completion, built-in help with config examples, commit and rollback with version control.

NCLU uses add/del commands to edit config. Commands are reorganized into config file stanzas in a different format. NCLU can show config as add statements and this snippet can be copied and pasted to notepad or another device. Config can be viewed as json also.

You can mix and match native Linux and NCLU as you will. This is a very powerful option to make your own style configuration and workflow. Operational commands like ping, traceroute and tcpdump are native Linux tools. You can also install more Linux tools of your choice.

Commit is great feature but there were some dependencies that prevented entering all commands at the same time. So I had to configure something and commit it before I could add more config. You can check pending config and commit shows diff and entered commands automatically.

Commit confirmed is strange. Prompt waits for enter to confirm commit forever. You can’t do anything else like checks and validations on CLI meanwhile. Confirmation prompt doesn’t disappear although the timer has run out and you don’t know when the config has rolled back.

Versioning rolls 30 files and allows permanent configs. With rollback it’s a bit hard to find the proper version and check what changes have been made earlier. You can comment on commits and standard Linux diff shows changes. Rollback commits config automatically.

Documentation is very good, simple and clearly organized. And it’s open without login. Some more advanced features are missing detailed explanations and instructions. But you can always Google common Linux guides.

Interface naming is always swp1-swpX. Mgmt port eth0 is dedicated to own MGMT VRF. You can use IF classes for sharing common functions. There are some minor syntax inconsistencies between configuring physical interfaces, bonds and vlans.

I tested basic L2 and vlan routing. More scalable one-instance vlan-aware bridge is the way to go if you don’t need traditional per-vlan spanning-tree. Mac-table aging time is unusual 1800s, arp timeout is 18 min.

Vlan VRRP config between two devices was a bit quirky. I couldn’t commit priority and preempt commands. FRR is used for routing protocols and Zebra programs routes in the kernel. VXLAN routing and PIM-SM are supported, SR and GRE are in early access.

ACLs use Linux Netfilter and supports only input and forward chain filtering and mangling. ACLs can be configured using NCLU, iptables or cl-acltool. NCLU ACL editor has row numbers like Cisco. Default policy is allow. Cl-acltool took a very long time to collect ACL rules.

ACLs can include policers, SPAN/ERSPAN, log and QoS marking actions. Logging was lacking as far as I tried. Logging is supported only for drop action anyway. There is a predefined control-plane protection policer in place. DDoS checker is built-in but but not support on Mellanox.

ACLs with Netfilter/iptables are one of the hardest features to adopt. QoS was even harder and too confusing for me to try and understand.

PTM is a nice tool for LLDP topology monitoring. It can detect anomalies and take scripted actions. Note that LLDP is not realtime because it has long holdtime. You can also visualize .dot topology file in a graph. Logging uses standard Linux files and facilities.

Mellanox switches have What Just Happened feature to collect streaming telemetry data from ASIC. Asic-monitor feature can collect hardware stats and snapshots to files.

Package upgrade between minor versions can be made using apt-get directly from the public repo. This is very handy. Image install is a hard way because it wipes the whole file system and you have to backup and restore configuration files manually.

With ONIE bootloader you can download and install Cumulus using DHCP and web server. USB install is also possible.

NetQ is one of the best mgmt tools I’ve seen, simple but powerful. Besides basic device monitoring and config templates, it can show topology and WJH telemetry data, monitor connectivity traces and validations of IF, protocol and HW parameters, and alert thresholds violations.

Cumulus offers many great features and tools for powerful network operations of your choice. But the disaggregation model has its weaknesses like hardware dependencies and inconsistencies. Broadcom incident casts uncertainty to the whole disaggregation.

Cumulus would be best for use cases where a basic feature set is enough. It is then easy to configure, operate and maintain. Additional monitoring capabilities and tools make Cumulus even more compelling.

Cisco ACI day 2: Real life design and operational issues

This post was originally posted as Twitter thread 15.12.2020

ACI journey continues. Now I’m involved in real life practical designs and hands-on deployments. Thoughts on design and issues I have experienced.

Resource objects are still hard to understand properly. Why this and that, why so many pieces? What is the best combination of vlan pools, domains, interface profiles, etc. for your own environment? Cisco has some basic best practices but a deeper understanding is still lacking.

I’d like to see a more detailed and backgrounded ACI design guide to understand the options and consequences of choices. Any pointers to blogs or other resources covering these topics?

Resource creation is important because it’s the foundation of network connectivity. Changing fundamental settings later is hard and time consuming. E.g. we had to change the static VMM vlan pool to dynamic which was quite an easy task but still a disruptive operation.

Also considered to migrate FW from single ports to VPCs to make it more redundant. But the idea was discarded because the change would have been so hard to do in production on short notice. Modifications need well-designed config changes and ACI operations. MW could be longer than usual.

Integrating physical FW and ADC appliances to customer tenant was one design issue. Initially, we thought Service Graph would be a modern flexible way to do it. Appeared it is a complex set of configurations and had no real benefits in this case.

Service Graph uses one-armed FW and PBR and I was afraid we will encounter a use case where this is a show stopper. At least we would be confused by all PBR policies and contracts eventually. PBR sounds always bad for my ears but maybe I’m too old to get used to it.

Service Graph configuration was not clearly documented so that I could understand what I’m doing in the short and long term. I found this video the most informative example: https://youtu.be/ryNmeVFYpF0.

After trying out this Service Graph and thinking pros and cons, we discarded it and went to traditional routed VRF-sandwich. It isn’t the fanciest but well-known and working solution relying on traditional routing.

This drove us to use even more VRFs to isolate routing domains like DMZ networks. And this means more transit links and routes between ACI VRF and FW appliance. But it’s just simple config repetition and easy routing.

Why not use OSPF between ACI and FW? We thought it but it didn’t make sense to run OSPF on the LAN segment with four routers. Links should have been P2P but changing them would have been too laborious to bother.

Again, blame your original design and we are back to square one with our initial choices. The lesson is to design the whole system and service model properly in advance.

Contracts are one part of traffic policies. Just saying they are one more level of complexity. Better to use allow-any type contacts where needed in network-centric mode. Still different directions and levels of apply points exist between tenants, VRFs, L3outs and EPGs.

I’ve been thinking about this other new deployment case and how to proceed step by step. Eventually, it’s going to be app-centric but getting there would take several years or never will be completed. So initial step probably must be the network-centric migration.

Network-centric migration means the exponential amount of changes in the long run when you first migrate the network one-to-one and then rearrange all servers, apps and network services.

Hard work is figuring out all systems, applications, and their components and relations in your environment. When you have clear documentation and design goals, ACI configuration is possible.

I’m convinced that an automation tool would be helpful from scratch. One good way to build ACI is to take API first strategy and model and code all configurations outside the ACI.

I slightly touched ACI security and hardening also. I didn’t find much information about how ACI is secured and hardened on the technical level. I assume security is mostly built-in and I can rely on it.

The most important part is to isolate management access and functions from public and customer-facing networks. CoPP is on by default and offers pre-defined levels strict/medium/permissive. As always you must know your protocols and fine-tune pps levels respectively.

You can use basic rate-limiting (DPP) and port-security to limit access port traffic. Storm-control is also available.

More detailed third party ACI security and risk assessments are provided by ERNW papers: ERNW_Whitepaper68_Vulnerability_Assessment_Cisco_ACI_signed.pdf and TROOPERS19_DM_Threat_Modelling_Cisco_ACI.pdf

Cisco ACI first impressions

This post was originally posted as Twitter thread 28.10.2020.

I took a 5 days Cisco DCACI course. This is all new to me. I’m confused. Who is ACI for? Capabilities and completeness of features are fantastic but how to manage this complex system?

Everything is based on objects. I thought Junos is policy heavy but this is ultimate. There are no proper tools to create and manage all these objects and policies. Manually through GUI it seems impossible even on at small scale. So you’d need external automation tools and inventory.

Object names can’t be changed after creation. Do things right for the first time or do it several times by trial and error. Logical structure and consistency are hard. 

APIC GUI is overwhelming. Config hierarchy is very deep and hard to navigate. You can’t list or find all objects at once but you have to pick everyone in a different config hierarchy.

Leaf access interface configuration blocks for example. Interface policy has 20 drop down menus to define used policies. Simple access port configuration takes about 10 different policy definitions and gluing them together.

Physical Domain 
Sales_PhyDom 
Switch Profile 
LEAF101-102_SWP 
Explicit vPC 
Protection 
Group 
Selectors 
LEAF101-102 
Interface Profile 
LEAF101-102_lFP 
Access Pon 
Selector 
Server 
Leaf 101 
Leaf 102 
Attachable Access 
Entity Profile 
BareMetal AAEP 
vPC Interface 
Policy Group 
Server IPG 
Port Block 
1/9 
LLDP Policy 
LLDP-On 
CDP Policy 
CDP-Off 
LACP Policy 
LAC P-Active 
VLAN Pod 
Sales_phydom_VLANs 
Encap Blocks 
1501 
Leaf 101 
Leaf 102

L3 interfaces are also complex to manage. Like OSPF configuration which is distributed to multiple config hierarchies.

Networking 
Bridge Domains 
VRFs 
Extemal Bridged Networks 
L30uts 
o 
OSPF L30ut 
Logical Node Profiles 
L102 
Logical Interface Profiles 
OSPF L30ut interfaceprofile 
OSPF Interface Profile 
Configured Nodes 
topology/pod-1/node-102 
ARP forVRF-Sales:Presales VRF 
BGPforVRF-Sales:Presales VRF 
Neighbors 
ND forVRF-sales:Presales VRF 
Neighbors 
Interfaces 
> 
OSPFforVRF-Sales:Presales VRF 
Areas 
> 
Interfaces 
> 
Routes 
Extemal EPGs 
> 
Route map for import and export route control 
>

Every GUI config page has tens of config options. You have to check what is it and do I need to set it. Very complex and time consuming to operate. Most options are best to just ignore in the first round. 

That’s just basic connectivity at switchport level. Along with the vlan pools, physical domains, attachable entity profiles, bridgedomains, VRFs, L3outs you need contracts between endpoints to let traffic flow. You can skip this and allow all traffic but then you lose a lot of ACI.

Verification and troubleshooting is still relying on CLI. GUI has a lot of visibility but finding simple things like what is configured and what is the protocol status is frustrating via GUI.

Lower level network verification ends up logging device CLI and running show commands. 

I hate NX-OS syntax. It’s a combination of Linux and IOS but a worse combination than each one alone. Even the industry standard “sh” command is not working without writing it completely. Argh…

Overall ACI was impressive with its comprehensive features and capabilities. But operations using GUI are frustrating and almost impossible to handle. You need a huge amount of config structure and feature understanding and planning. Hard to see it going right the first time.

That’s why you want to use an external single source of truth where you can create and manipulate objects and push a new configuration to APIC.

Also, you may want to standardize and simplify your connectivity and services before putting it all in ACI. Which is only a good thing.

Networking Industry Update 2021-02

Telcos and 5G

In Finland, Telia made a deal with Nokia on the 5G network and it will be heard in ads promoting the only “domestic and secure” network. The CEO warns of the risks and promises Finns the Finnish 5G network as the only operator. Telia has had a tough year and has now set new goals on a sustainable basis. The aim is to reinvent connected living, save on costs and take advantage of infrastructure. This is a familiar text from all operators. Something concrete though: Telia launched a global IoT service and announced that it will close its 3G network by the end of 2023. These network closures have often slipped or perhaps the goal has been set too ambitious. For example, Verizon postponed the 3G shutdown originally announced for 2019 until 2023.

In Sweden, the “NAT rule” for operators came into force in April last year, requiring users behind a note to be identified by a non-IP address. Telia has not been able to collect data for a year and is now facing a fine of SEK 10M.

There has been enough talk about 5G private networks and companies. In Finland, Telia, Digita and Nokia will start cooperating, and Nokia and Elisa will join forces to promote private networks for companies. At DNA, the private network is the winning solution of the future. Nokia’s Lundmark also believes that enterprise networks will overtake the public 5G over the next decade, and Ericsson’s Ekholm says enterprise applications will capture most of the value in 5G. The provider side now sees strong momentum in enterprises, but according to an Omdia study, big companies are not much interested. On the contrary, small and medium-sized enterprises would be more enthusiastic, but operators do not want them as their customers.

Indeed, the 5G business model currently exudes more symbolism than a sustainable business. The frequencies used to follow the laws of physics and the frequencies have their price not only in the auction but also in the numbers of devices and locations. The situation gets worse when we go to mm-waves and the 5G New Radio standard at very high frequencies. Mm-waves are very inefficient and are prone to weather interference, so the power must be directed very precisely towards the terminal. There are applications from side to side and the needs are very different. It may be that different radio technologies and frequencies are different for different applications. In any case, 5G will become more widespread as usage gradually moves to the new network and new applications and applications find their place. It just takes time.

The development of 6G is starting in companies. One revolutionary reform may be in data transfer, where it no longer makes sense to even move a growing mass of data back and constantly increase the speed of data transfer. In the future, only the data model and changes may be transferred, and the raw data remains on the device. At the same time, privacy and security issues are resolved. Silicon Valley’s Pied Piper was ahead of its time.

5G broadcasting has received the ETSI standard. It could be used to broadcast a linear TV and radio program on a 5G network. The feature was already available on the 4G network with eMBMS. A converged distribution path over IP in a mobile network is beneficial because it is expensive to maintain a separate terrestrial TV transmission network. In Finland, public service broadcaster Yle has been lobbying for forward-looking mobile network distribution for the past 10 years to save on duplication of distribution costs.

Finnish public safety network Virve 2.0 has progressed so that the bit passes between Elisa’s radio network and Ericsson’s Core. The transition to the new network would be possible as planned for 2023-2025. Here’s a little look at the history of the public safety network in Finland. Sweden is a little behind, but with the same plans to upgrade their Rakel network. The difference to Finland is that the authorities would use their own frequencies and organization. Technically, Sweden has much more ambitious plans, for example in terms of adequacy of reserve power for 7 days, instead of the current three hours in Finland.

In the UK, attempts are being made to secure networks with friendly calls not to destroy equipment cabinets.

In IoT networks, Lorawan’s rival French Sigfox has allied with Google to provide 0G network services more efficiently. Founded in 2010, Sigfox has been in turmoil as the target of one billion connected devices has not materialized, and only 17 million devices have been added to the network. In general, IoT has not materialized as expected. Sigfox is following the operator improvement program: reinventing itself, selling infrastructure and saving costs. Expectations are set to be realistic and better-refined services are sought to be provided with Google.

Cloud

Good overview of AWS networking, best practices and optimization tips. You know these: Region, Availability Zone, vPC, shared VPC, Direct Connect, Private Link, Transit GW, VPN, SD-WAN, Gateway Load Balancer, Firewall, Private Virtual Interface, Placement Groups, Flow Logs, Cloudfront… Did you know routing has hard limits that cannot be crossed? Surprising how small they are in some cases. Keep going AWS and don’t stop releasing!

Other overviews and comparisons of public cloud networking from Ivan Pepelnjak:  AWS Networking 101Azure Networking 101Availability Zones and Regions in AWS, Azure and GCPVirtual Networks and Subnets in AWS, Azure, and GCP.

AWS Direct Connect is now available at 100Gbps in 14 locations around the world, mainly in Asia and the United States. Availability is likely to be based on demand. The hourly rate for a dedicated port alone is $22.50, making $16,200 a month. Pretty succulent price if you compare the port price with, for example, interconnection points. Ficix’s 100G port costs a paltry 445 € per month, which is the same as 10G. Through Nednod in Stockholm, connections can be made to all public clouds and there a 100G gate costs 3360 € per month, a 400G gate 7500 € per month. 100G IP transit could cost less than €10,000 per month. But it is useless to speculate on these, the one who needs it pay kindly or negotiates a better price.

The public cloud has been seen as a model example of a routed IP environment where bridging is irrelevant. Now, however, Oracle is watering down the principles and bringing L2 support to the OCI cloud. The feature is probably targeted at Vmware customers. Is it about hauling customers in with the easiest possible means so that there is no need to change anything in the cloud transition? Pretty bad idea for the longer term.

Mysocket.io is a free open source cloud service that allows you to publish your intranet services to the Internet. The service includes great features such as anycast network, load sharing and zero trust-based identity-based access.

Cybersecurity

The parties to the Solarwinds case have been heard in the U.S. Senate. Blaming others has been a way to handle it. Solarwinds said the trainee had put a weak password in the Github repo. Microsoft told this hacking required at least 1,000 skilled engineers and the fault was not in Microsoft’s software but on the customer side. Crowdstrike accused Microsoft of its intricate and antique architecture. Attempts were also made to involve AWS in the case because the servers it ran were used in the attack. AWS declined to participate.

The case spills wildly and all sorts of things can be connected to it. New serious vulnerabilities have been found in Solarwinds’ programs, in addition to the Russians, the Chinese would have spied on the U.S. payroll agency, hackers would have been interested in unclassified information in the O365 environment, and 30% of targeted private companies would not have used Solarwinds. Microsoft said the source code for Azure, Intune and Exchange have been stolen. Extrahop caught the eye of how its EDR product detected an increase in suspicious activity, even though hackers created their own firewall rules and moved laterally, trying to hide their tracks.

The French IT surveillance product Centreon is allegedly the subject of a long-running Russian attack through a backdoor found in the program. The target has been French companies and other large firms. Centreon has stressed that this is not an attack on the supply chain, it has only targeted an already outdated open source version of the program and commercial customers have not been compromised.

The RIPE NCC Access SSO service was subjected to a brute-force attack. The service was interrupted, but the user information was not compromised. Users are prompted to enable 2-step verification. A hands-on experiment with a public server with a passworded SSH login showed that it took the hacker about four hours to crack the easy ID and password. Therefore, it is important to use only SSH keys to log in or restrict access to your own IP addresses. The root login should always be turned off and use sudo to increase execution privileges.

Vulnerabilities have been found in Fortinet’s Fortiweb application firewall versions 6.2 and 6.3. Sonicwall’s devices are being actively attacked using a new zero-day vulnerability. There were two critical command execution vulnerabilities in Microsoft’s TCP / IP implementation. In Python versions 3.x-3.9.1, the typical buffer overflow vulnerability was less critical, but updates are recommended for versions 3.8.8 or 3.9.2.

Vulnerabilities in the Cisco ACI Multi-site Orchestrator and NX-OS could allow an attacker to bypass authentication. A NAT slipstream vulnerability was detected in JavaScript, in which any TCP / UDP port opens from the outside to the machine behind the sheet. Plex Media Server is used for DDoS attacks. The amplification factor for SSDP service is 5. A new Linux malware steals SSH credentials using the OpenSSH Trojan. It is focused on supercomputers and servers in the academic world.

Florida water supply hacking scared the whole world. An attacker who came in with Teamviewer adjusted the lye level of the water, but the water plant operators noticed the actions on the screen and intervened. The intruder probably took advantage of a weak password and outdated computers. Here we saw how rapid human perception and response saved from problems. An automatic response would have responded even faster and more reliably. However, one may also ask why, in general, the level of additives can be adjusted above the permitted limit. Teamviewer is one of the highest risks and should not be part of the production toolkit. The beginnings of remote management date back to ancient mainframes, but began to spread from remote desktop management in the mid-1980s with DOS-based Carbon Copy software.

IBM wants to support educational institutions in developing cybersecurity. The problem with schools is the long summer holidays when the machines are closed and no upgrades are made. In the fall, when the season kicks off, a huge number of out-of-date machines will appear on the web and the use of the apps will begin at full capacity. The model where machines need to be upgraded on an intranet is outdated and risky.

The diversity, longevity, and number of IoT devices have made them network-connected waste that no one cares about. If the devices once worked, why would anyone update and maintain all of them if new updates were even released? If we can’t take care of a smaller computer network, how could we manage the entire digital infrastructure from devices to applications? The U.S. Congress is trying to create even minimum standards for post-sales support that would force manufacturers to take more responsibility instead of just pushing out more and more equipment.

The NCSC has a weighty issue about becoming a victim of the malware. Blackmail malware is a visible symptom of more serious intrusion inside a company. Therefore, the treatment of symptoms is not enough, but the cause must be found and corrected. The example shows a company that paid millions in ransoms but did nothing else. The company got its data back until a couple of weeks later a new blackmail malware appeared. The company had no choice but to pay the ransom again.

The level of cybersecurity in companies has been studied and found that the reality beneath the surface is quite harsh. Those who say security is important tend to work better in practice as well. Big companies perform better, even though they have shortcomings in the basics. Cyber ​security budgets are really hard to justify because they don’t have a direct payback. Besides, tough performance targets and frustration may increase risky behavior. Companies tend to outsource risk to third parties and focus on more important things themselves. Cyber ​​insurance may seem like a good option, but it usually does not cover loss of sales and reputation or repair costs for a weak point.

Products

The traditional WAF, or application firewall, simply does not keep up with the pace of application change in the cloudy world. Maintaining it creates a huge amount of work where even machine learning doesn’t help. Therefore, in practice, WAF is only used at a basic level, in which case it provides little protection. Checkpoint and Paloalto are moving to cloud-based application security with their new products. Paloalto Prisma Cloud claims to have the best WAF features in the industry. It is based on various cloud-native functions that tackle dynamic cloud services. Also, WAF has integrated other functions such as IAM and DLP, so the service may be approaching more of a zero-trust model. Or was WAF the first step towards a zero-trust.

So what exactly is zero-trust? It is about the principle of the least right, identity and segmentation. NSA published a short concise document on zero trust principles.

With the previous acquisition of Awake, Arista became strongly involved in the security side and now also offers a zero trust model. In the Arista model, the functions are group-specific segmentation, situational intelligence, network visibility, and artificial intelligence-assisted observation and response. Activities focus on network infrastructure and its orchestration.

Cisco expanded the capabilities of AppDynamics to include vulnerability management. Secure Application combines application monitoring and security view into one tool.

Juniper merges the operator WAN management tools under Paragon Automation Umbrella. It continues the confusing naming and product positioning that has prevailed in Contrail products. Paragon includes the old Northstar and Contrail Healthbot once again renamed, as well as the new Netrounds-based monitoring component and Anuta ATOM configuration management. The purpose is good, which is to improve the generally poor customer experience of telcos.

On the enterprise side, Mist is the best thing that has happened in the industry for a long time. Juniper now has a clear strategy and a good platform to build on. And the momentum has been maintained in product integration. 128 Half a year has passed since the acquisition of Technology and only two months since the acquisition was confirmed, and the technology has already been integrated into Mist‘s management and AI platform. The 128T is the latest evolution of SD-WAN, where application traffic is routed by sessions without traditional IPSec tunnels. This is a big step towards a true application routing and network as a service model.

And SD-WAN and SASE have generated a lot of stories again. The current SD-WAN implementation is probably only an intermediate step towards a holistic SASE cloud model. SD-WAN was introduced to replace MPLS connections, but today it does much more combined to SASE. According to one study, many companies have SASE elements in use, but the comprehensive SASE architecture is only just over 10%, which is hardly surprising. The most advanced is the security of supply sectors, followed by the legal, financial and healthcare sectors. IT departments drive deployment a lot more than the security department. Despite the jump, zero-trust and edge content filtering are the least used features. Cloud utilization seems to limit the deployment rate.

At the edge of the office, the physical equipment will remain for the time being, but the software alone will gain more and more space in the solutions. Cato is one of the software-only routers and has made a wild rise into a unicorn company. Security features are starting to become more important than networking in SD-WAN / SASE solutions. Brand new players are coming to the field and, for example, cloud companies are gaining a foothold. However, according to the study, traditional manufacturers Zscaler, HPE, Cisco, Fortinet, and Versa are at the forefront stillFortinet relies above all on its own hardware, even though it adds SASE cloud services. But with that hardware strategy, Fortinet will remain a prisoner of its own dwindling genre in the long run.

The applications of SD-WAN / SASE are expanding into the IoT and manufacturing. SD-WAN service would be suitable for users if only service providers took on a role. The MEF3.0 has standardized an SD-WAN overlay service to facilitate the building and interconnecting services. There is also a list of certified service providers, that includes e.g. Telia.

Paloalto acquires Bridgecrew and moves security to the left in application development. Bridgecrew’s product is baked according to Prisma Cloud to bring security into application development and the entire application lifecycle. The fire wave travels towards the cloud-like world as a trendsetter like F5.

Cloud access converts firewall licensing to subscription-based. The user can use the walls more freely and only pay for the use. Some benefit from this, others pay more than before. Estimating usage is difficult, or at least as predictable or unpredictable as in cloud services in general.

Companies

Cisco’s results remained stable and exceeded expectations. Security and services pulled the result up. By comparison, Cisco’s sales and earnings were approximately the same as AWS’s. Cisco’s performance has been incredibly steady over the long term despite all the talk and small dips. Cisco is more broadly involved in the development of society, and in Japan, it stroke a partnership with the government to digitize the country.

Huawei has also done nicely despite the problems. It had a 40% market share in broadband equipment revenues and Huawei is also strong in other product groups, such as transmission equipment and data centers. KPN, for example, has gone upstream and opted for Huawei instead of Ericsson. DT has taken Huawei as its cloud partner for equipment and has kept the operation in its own hands. Huawei itself has expanded its already comprehensive portfolio into electric cars.

Arista had a difficult year with the cloud giants, but now the result was good. Arista continues to expand the product repertoire and combine management and believes in the familiar data center-routing-campus triangle. By comparison, Arista’s market value is approximately the same as Ubiquiti’sPaloalto’s good results were based on Prisma Access SASE product, which was updated with new featuresExtreme is investing in its cloud services without forgetting hardware and wants to expand into the 5G world as well. Extreme will implement MLB’s 16 stadium’s wifi networks.

An interesting detail in the US is Bank Of America, which has filed a record 722 patent applications last year. One of the priorities was network management and traffic analysis.

In Finland, the Ministry of Employment and the Economy’s report shows that digitalization and climate change are the most important factors affecting society and the economy in the 2020s. Finland has the technical know-how, but the utilization of ICT capital in business is lagging. In Finland in particular, labor productivity growth has slowed and the declining impact of ICT capital is of great importance.

The effects of the winter storm in Texas were mainly reflected in regional power and broadband outages and affected more people than technology. Dallas is an important hub in the southern US and also between North and South America. The large data center operators in the area, Digital Realty, had 15 data centers and Equinix had 9 data centers all in operation with backup power without interruptions. Instead, factories had to be closed and semiconductor manufacturers Samsung, NXP and Infineon shut down production lines, further exacerbating the semiconductor shortage.

Operations

The free book NSX Network Automation for Dummies is available for download from Vmware.

Nokia has released the DelOps initiative, which does not mean deleting everything, but Delivery and Operations like CI/CD. The goal is to revamp and revolutionize 5G-Core’s software distribution and operations management to be agile.

CLI tool has been built to configure Meraki’s cloud management. It includes over 400 commands and help to access cloud management through the API from your own machine with CLI commands. Meraki joins the ranks of cloud services thus coded.

A couple of similar stories about awkward disk problems illustrate how laborious it is to find the physical network problem in the background. Proper monitoring tools that get deep enough to catch individual errors would help with problem-solving.

The use of SD-WAN has been studied and the need for better monitoring tools has emerged. Although the platforms themselves have built-in monitoring capabilities, they do not appear to be sufficient. A large proportion of users say they need additional external monitoring of the SD-WAN environment. In particular, technical experts need better visibility to solve problems. It is not enough to present problems on the board, but the causes should also be found and corrected. External tools are needed to solve problems. The work is further complicated by the fact that many SD-WAN devices do not support standard monitoring interfaces.

Prometheus and Grafana are starting to be standard tools for monitoring, but they are not always optimal for network monitoring. A Draw.io Flowchart plugin is available for Grafana to visualize telemetry data in near real-time. Rich Traceroute is a simple traceroute data enrichment and sharing service that provides a little more information over mere IP addresses.

Python turned 30 years old and is open source is breaking up again. Ansible has completed its reorganization with the new Community package version 3.0. Ansible is broken down into two parts: Core and Galaxy Collections form the core functions and the Community Package includes all modules and plugins. The version numbering is no longer uniform, but Community collections went its own way and the Core section remained in its own 2.10 version. Name changes and version dependencies add to the confusion. You can try to interpret these from the Q&A page or the blog. The Roadmap has version 4.0 of the Community Collection as early as May of this year.

Network to Code caused confusion by forking Netbox into its own Nautobot product, which it unexpectedly introduced in its NFD24 presentation. Nautobot is a completely open and free automation platform, but NTC offers commercial support for it. The reasons for this choice are presented in the blog. The roads of Netbox and NTC parted, users are confused, and in the background, there is a smell of a rift between people and interests.

Events and technology

The massive Mobile World Congress, canceled last year due to Covid-19 as the first major event, is scheduled for June this year in Barcelona. Places and times have been swapped between Barcelona and Shanghai, and the fair was already held in Shanghai in February. The organizers’ belief in the Barcelona event is strong, despite the bitter criticism. It is estimated that there would be less than half of the normal trade fair guests, ie about 50,000. The organizers demand a negative test result from the participants in advance and promise a non-contact fair environment. You can see if the event will take place and how many will actually participate there.

Cisco Live will be held virtual at the end of March. The all-access pass costs $ 349 and the free Explorer pass eliminates technical breakout sessions and other side benefits.

The NFD24 again featured the hottest networking technology. Included were Juniper, Anuta, Network to Code, Drivenets, Itential, Forward Networks, EfficientIP, and NetBeez. The performances can be found on the NFD page or on Youtube.

The FOSDEM conference agenda also includes online stuff on SDN and network monitoring tracks related to open source software. Linux also plays an important role in networks, and it’s pretty enlightening how much Linux and x86 iron can do and at what power. Or how about 28 Mpps with a few cores, which makes about 14-300Gbps traffic, and the ability to run one elephant flow on an IPSec at 40Gbps?

NANOG81 again offers the top presentations in the industry. Keynote was a review of the development of routers, how the network card evolved into the bus and switch. The current spine-leaf fabric of the Clos model has been used in telephone exchanges since the 1950s, but later also inside individual network devices. From the devices, the fabric has just popped out and is now distributed between the individual devices. Spine-leaf fabrics are now also spreading to service provider backbones. Geoff Huston collects thoughts about the conference and gives his additional spice to the agenda.

Russ White presents in his philosophical way how information security could be built inside systems. Usually, attempts are made to control and reduce complexity through modularization. The good side of modularity is that it introduces interfaces to which insert control and observation points. On the other hand, creating new interfaces increases the attack area and reduces optimization. Complexity and optimization remain fairly constant, and choices are a balance between a local or distributed model. As the familiar saying goes: “If you haven’t found the tradeoffs, you haven’t looked hard enough”.

In network automation, the single source of truth is an important component. It takes a lot of time and effort to collect, process, and verify data, and at worst, the same operation is repeated with each change. Installing the configuration itself is a quick and straightforward operation, so automation should focus more on reviewing and refining the workflow. The same frustration is dispelled by David Gee in his presentation.

nPrint is a standardized packet-level analysis tool that converts packet data into machine-readable form. It is a good tool for machine learning and other mechanical processing of traffic data.

UKNOF46 videos have been released. A fascinating multi-level story from Cloudflare tells how misdocumented IP addresses cause operational problems in networks. Cloudflare’s DNS server 1.1.1.1 is certainly one of the services that receive the most incorrect traffic because its public address is configured to who knows where. In this case, an unknown party’s ERSPAN traffic was routed to a DNS service, and engineers were wondering why GRE tunnel traffic is causing CRC errors on a Cisco Nexus switch, but not on Juniper’s QFX. It was revealed that Nexus is looking at packages inside the GRE tunnel and noticing errors. However, the real problem was in the Cisco Nexus 5k documentation, wherein the ERSPAN example configuration, the tunnel destination address was set to 1.1.1.1. You can imagine how many people in the world have copied it to their ERSPAN session! The conclusion for all of us: the documentation (and why not other private use) is assigned its public IP address ranges that are not routed. RFC3849 IPv6 Address Prefix Reserved for Documentation (2001: DB8 :: / 32) and RFC5737 IPv4 Address Blocks Reserved for Documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24). Use these.

In routing, hyperscalers begin to reach the limits of scaling with current technology. The IP fabric protocol has been debated before and BGP has been practically the standard because everyone uses it for everything, so why wouldn’t I. But BGP is not the easiest protocol. IGP has its own strengths, like super-fast convergence and simple configuration. On the other hand, the dissemination of LSA information is a problem in larger networks. BGP, on the other hand, has the advantage of traffic control, but in large networks, Private AS numbers run out and configuration is tedious. Now the new IP fabric protocol is RIFT, which seeks to combine the benefits of IGP and BGP. In addition, other features have been introduced to make the network more automatic. Built-in has e.g. ZTP and BFD. Juniper’s Day One book covers RIFT in more detail.

In optics, the deployment of the 400G is progressing and the 800G is being outlined. Standardization has broken because of multiple MSA groupings have come along since 2017, creating their own standard and competing with IEEE. Manufacturers have spread to different camps, pushing things from different starting points and goals. MSA standardizations have spawned fairly exotic breakout implementations such as the 6 km 400G and 400G-bidi. In any case, the 100G wavelength is the most widely used foundation in future standards, so it would be believed to live the longest. For sure high-speed optics, modulation, and naming will not be easy in the future, so such explanatory maps are needed.

Arista has tested 400G-ZR optics and compatibility from various manufacturers over Microsoft’s 120 km long Open Line system. The test result was positive: thermal management, performance and compatibility were excellent. The result of the test is that the QSFP-DD is ready for data center DCI solutions and the subway. In another test, Windstream transmitted traffic over 1,027 km link in real network with 400G-ZR optics. In addition to the space savings, power consumption is 10 times lower. Deployments begin with Windstream, where the technology directly fits 80% of the links.

As port speeds increase, combining ports with different speeds becomes cumbersome on the same switch. As a new acquaintance for me, QSA or QSFP-SFP adapter was introduced. I have imagined that the 100G/40G ports should be always channeled and connected with a breakout cable, but QSA could make a one-to-one mapping between 100G and 10/25G port allowing the use of standard fiber or DAC. QSA is a physical adapter from a larger QSFP pluggable to a smaller SFP. It switches only one of the four 100G channels through to the SFP. In the switch configuration, the port speed must be set to match the slower speed. I have no experience with these and I don’t know if there will be any other problems with using the adapter.

For short-distance connections, such as between servers and switches, a DAC or AOC can save money, effort, and power consumption. The SFP head of a single device is usually about 2-3 times more expensive than a DAC or AOC. With DAC / AOC, you also don’t have to nut with connector and cable types, and you don’t have to clean fibers. The entire cable with its connectors is factory-made, which increases its reliability. However, I have also seen such lousy Chinese DACs, and that could not be much to pull or twist the terminals already went out. And after all, some of the devices are very picky about the “wrong” manufacturer’s modules. However, the power consumption of the DAC is close to zero and the active optical circuit of the AOC clearly drops the power consumption compared to the SFP. Studies show that one watt at the server level means 2.5 watts across the data center. On a large scale, it may already matter.

In data transmission, quantum encryption prepares for the future when current encryption methods are not sufficient. Adva and Colt have tested QKD (Quantum Key Distribution) technology in optical transmission, which provides strong L1-level encryption at 100Gbps. QKD is part of the quantum Internet and transmission, where data is encoded into quantum instead of bits and encryption keys are sent with the data. QKD makes it easier to detect eavesdropping. ETSI introduces various applications for QKD and can also be used with L2-L4 to manage PPP, MACsec, IPSec and TLS keys.

If you’re wondering how SD-WAN hardware works, here’s a description of how to build one with open source products themselves.

Trade policy

The semiconductor shortage is plaguing the world and has mostly talked about the juxtaposition of consumer electronics and the automotive industry. Circuit manufacturing is almost completely outsourced and badly centralized on Samsung and TSMC. The biggest buyers, like Foxconn and Apple, are doing well, but the volumes on network devices aren’t very big, so a shortage of components is to be expected. More detailed information on network devices is difficult to find or obtain. Equipment manufacturers have begun warning customers and delivery times seem threatening to lengthen to unprecedented lengths. The semiconductor shortage is expected to last a long time and perhaps alleviate sometime next year.

Corruption is common in China and Russia, but also in the Middle East and elsewhere in Asia. Cisco is investigating “self-enrichment”, in which Chinese workers would have made payments to employees of state-owned companies. Ericsson has excelled in bribery many times and Juniper is also known to have greased officials in China.

Internet

A new Telegeography internet map has been released. World capacity, prices, major metropolises, hubs and clouds presented in one sheet.

BGP optimizers are starting to be notorious because they make it easy to shoot yourself in the foot. Again a user of the Noction product, hosting provider Psychz Networks from California, managed to make a configuration error that resulted in false advertising of nearly 200,000 routes. Fortunately, the recipient was only a route collector, so the effect remained non-existent. Otherwise, there would have been a wide-ranging problem.

Google’s latest, 14th submarine cable Dunant between France and the US has been completed. It uses new space-division multiplexing (SDM) technology to get a record 250Tbps of capacity out of the fiber.

Google has completed RPKI signing maybe the “world’s most important” prefix 8.8.8.0/24. Its true origin can now be verified in routing. Almost the entire Google AS15169 is now included in RPKI. RPKI-ROA certificates must be remembered for new ones so that they cannot expire. Is there a new problem coming this that routes are getting old and causing various weird problems with internet services?

Quad9, the non-profit DNS service of 9.9.9.9, is moving from California to Switzerland to provide the administrative backdrop for its GDPR-level privacy promises worldwide. DNS services have different levels of security that allow you to do lightweight SASE security for free. Quad9 blocks malware by default, Cloudflare 1.1.1.1 for Families can block not only malware but also adult content, and OpenDNS offers a more adjustable filtering level but requires login and portal usage. Google DNS does not perform filtering except in exceptional cases.

Russia is ready to exit the Internet if necessary, Medvedev said. In legal and technological terms, there is readiness, but there is no reason to do so except in an extreme situation. Russia is also ready to exit international SWIFT payments.

Forest fires cause serious problems for telecommunications connections. In Australia, the trunk link of one city was destroyed in a fire and took more than a year to repair. The heavy use of broadband has led American Mediacom to intervene in fixed-line data volumes because too much uploading causes problems on the network.

Satellite Internet

Starlink seems to be making steady progress towards the victory of satellite broadband. It already has 10,000 users in the U.S. and beta testing is underway extensively. Pre-orders have been opened more widely, the equipment looks jagged and installation is reported to be easy. Speeds and delays are at a decent level, but regular interruptions still occur and the price is pretty tough. However, general acceptance has been obtained, this is better than nothing. In France, however, there has been opposition to the construction of ground stations.

In satellite technology, Starlink has had to cut its implementation from what was initially planned. ISL laser links between satellites have been omitted for now but will be forthcoming as long as permits are obtained. So far, Starlink has sent more than 1,000 satellites into space, but there is a desire for up to 30,000 satellites. Also, other actors have their plans, which raises concerns about the filling of space. There are so many satellites that they make space exploration difficult. Starlink has been cooperative and has tried to solve problems, for example, by making black satellites that reflect less light. About 1/40 of the satellites decay, which as such is small, but in large numbers causes problems. The amount of space debris and the risks of collisions are starting to increase.

Researchers have found that Starlink satellites could be used alongside GPS as an inexpensive and reliable positioning method and time source. Starlink is up to 10 times more accurate and much more reliable than GPS in positioning because the signals from LEO satellites are up to 1000 times stronger than GPS.

Rajeev Suri has taken over as CEO of satellite company Inmarsat. Inmarsat will provide traditional satellite frequencies and build a European aviation network with DT. Lynk and Mobilespace compete in their own way with satellites that use mobile network frequencies. Phones and other mobile devices could chat directly with satellites.

History

Did you know that Altavista, better known as a search engine, also made firewalls, routers, network cards, and email serversIn the 1997 test, the Altavista firewall shone with easy control and the Digital Tech Journal from the same year describes the products in more detail. I remember myself watching colleagues installing Checkpoint Firewall-1 on a server somewhere around 2000. It wasn’t easy.

1978 videotaped nostalgic presentation with Bob Metcalfe introducing Ethernet.

Epic Persistence

The 90-year-old gentleman, who has been an AT&T customer since 1960, rose to the barricades and expressed his dissatisfaction with the slowness of the company’s DSL connection by publishing an open letter to the CEO of AT&T in the Wall Street Journal. The announcement cost him $ 10,000 and in it, he dispelled his outrage at the company’s ability to provide better connections.

[FI] Tietoliikennealan katsaus 2021-02

Operaattorit ja 5G

Telia teki diilin Nokian kanssa 5G-verkosta ja se näkyy ja kuuluu mainoksissa, joissa puffataan ainoata “kotimaista ja turvallista” verkkoa. Toimitusjohtaja varoittaa riskeistä ja lupaa ainoana operaattorina suomalaisille “suomalaisen 5G-verkon“. Telialla on ollut kova vuosi ja se on nyt asettanut uudet tavoitteet kestävälle pohjalle. Tarkoitus on keksiä uudelleen verkottunut elämäntyyli, säästää kustannuksissa ja hyödyntää infraa. Tämähän on jo tuttua tekstiä kaikilta operaattoreilta. Jotain konkreettistakin: Telia julkaisi globaalin IoT-palvelun ja ilmoitti sulkevansa 3G-verkon 2023 loppuun mennessä. Näissä verkon sulkemisissa on monesti lipsuttu tai ehkä tavoite on asetettu liian kunnianhimoiseksi. Esim. Verizon lykkäsi alun perin 2019 vuodelle ilmoitettua 3G:n sulkemista 2023 loppuun.

Ruotsissa tuli viime vuoden huhtikuussa voimaan operaattoreiden “NAT-sääntö”, jossa natin takana olevat käyttäjät pitää tunnistaa muustakin kuin IP-osoitteesta. Telia ei ole vuodessa onnistunut toteuttamaan tiedon keräystä ja sitä uhkaa nyt 10M kruunun sakko.

5G:n yksityisverkoista yrityksille on riittänyt puhetta. Kotimaassa Telia, Digita ja Nokia aloittavat yhteistyön, ja Nokia ja Elisa yhdistävät voimansa ja promotakseen privaattiverkkoja yrityksille. DNA:lla yksityisverkko on tulevaisuuden voittava ratkaisu. Myös Nokian Lundmark uskoo, että yritysverkot ohittavat julkisen 5G:n seuraavan kymmenen vuoden aikana ja Ericssonin Ekholm sanoo yrityssovellusten luovan eriten arvoa 5G:ssä. Tarjoapuoli näkee nyt vahvan momentumin, mutta Omdian tutkimuksen mukaan isot yritykset eivät ole kiinnostuneita operaattoreiden tyrkytyksestä. Päinvastoin pienet ja keskisuuret yritykset olisivat innostuneempia, mutta operaattorit eivät halua heitä asiakkaikseen.

5G:n bisnesmalli huokuukin tällä hetkellä enemmän symboliikkaa kuin kestävällä pohjalla olevaa liiketoimintaa. Käytettävät taajuudet seuraavat fysiikan lakeja ja taajuuksilla on hintansa huutokaupan lisäksi myös laitemäärissä ja -paikoissa. Tilanne pahenee kun mennään mm-aaltoihin ja 5G New Radio -standardiin erittäin korkeilla taajuuksilla. Mm-aallot ovat hyvin tehottomia ja ne ovat alttiita sään häiriöille, joten teho pitää suunnata erittäin tarkkaan kohti päätelaitetta. Sovelluksia on laidasta laitaan ja tarpeet ovat hyvin erilaisia. Voikin olla, että eri radiotekniikat ja taajuudet eriytyvät eri sovellusten käyttöön. Joka tapauksessa 5G yleistyy kun käyttö siirtyy pikkuhiljaa uuteen verkkoon ja uudet sovellukset ja käyttökohteet löytävät paikkansa. Siinä vaan menee aikaa.

6G:n kehitystä aloitellaan yrityksissä. Yksi mullistava uudistus saattaa olla datan siirrossa, jossa ei enää ole järkeä siirtää kasvavaa datamassaa edes takaisin ja kasvattaa jatkuvasti tiedonsiirron nopeutta. Jatkossa saatetaan siirtää vain datan malli ja muutokset, ja raaka data pysyy laitteessa. Samalla ratkaistaan yksityisyys- ja tietoturvaongelmia. Silicon Valleyn Pied Piper oli edellä aikaansa.

5G-broadcasting on saanut ETSI:n standardin. Sen avulla 5G-verkossa voitaisiin lähettää broadcast-jakeluna lineaarista TV- ja radio-ohjelmaa. Ominaisuus oli tuotavissa jo 4G-verkkoon eMBMS:llä. Yhdistyvässä jakelutiessä IP:n päällä mobiiliverkossa on hyötyä, koska erillisen antenni-tv-lähetysverkon ylläpito on kallista. Suomessa Yle on lobbannut kaukonäköisesti mobiiliverkon jakelua viimeiset 10 vuotta säästääksen päällekkäisissä jakelukuluissa.

Virve 2.0 on edennyt niin, että bitti kulkee Elisan radioverkon ja Ericssonin coren välillä. Siirtyminen uuteen verkkoon olisi mahdollista suunnitellusti 2023-2025. Tässä pieni katsaus viranomaisverkon historiaan. Ruotsissa ollaan hieman jäljessä, mutta samoissa aikeissa suunnittelemassa heidän Rakel-verkon uudistamista. Erona Suomeen on, että viranomaiskäyttöön tulisi omat taajuudet ja oma organisaatio. Teknisesti Ruotsissa on paljon kunnianhimoisemmat suunnitelmat esim. varavoiman riittävyydessä 7 päiväksi, Suomen nykyisen kolmen tunnin sijaan.

Briteissä verkkoja yritetään turvata ystävällisillä kehotuksilla olla tuhoamatta laitekaappeja.

IoT-verkoissa Lorawanin kilpailija ranskalainen Sigfox on liittoutunut Googlen kanssa tarjotakseen 0G-verkon palveluita tehokkaammin. 2010 perustettu Sigfox on ollut myllerryksessä kun tavoitellut miljardi kytkettyä laitetta ei olekaan toteutunut, vaan verkkoon on saatu vain 17 miljoonaa laitetta. Yleisestikään IoT ei ole toteutunut odotetusti. Sigfox seuraa operaattorien parantumisohjelmaa: itsensä keksiminen uudelleen, infran myyminen ja kustannussäästöt ovat tulossa. Odotukset asetetaan realistisiksi ja paremmin jalostettuja palveluista pyritään tarjoamaan Googlen kanssa.

Pilvi

Hyvä yleiskuva AWS-tietoliikenteestä, parhaat käytännöt ja optimointivinkit. Mitä näitä nyt onkaan: Region, Availability Zone, vPC, shared VPC, Direct Connect, Private Link, Transit GW, VPN, SD-WAN, Gateway Load Balancer, Firewall, Private Virtual Interface, Placement Groups, Flow Logs, Cloudfront… Tiesitkö, että esim. reitityksessä on kovia rajoja, joita ei voi ylittää. Yllättävää miten pieniä ne ovat joissakin tapauksissa. Jatka menoa ja älä lopeta uusien palveluiden julkaisemista AWS!

Muita yleisesityksiä ja vertailua julkisten pilvien tietoliikenteestä Ivan Pepelnjakilta: AWS Networking 101, Azure Networking 101, Availability Zones and Regions in AWS, Azure and GCP, Virtual Networks and Subnets in AWS, Azure, and GCP.

AWS Direct Connectia saa nyt 100Gbps-nopeudella 14 kohteessa ympäri maailman, lähinnä Aasiassa ja USA:ssa. Saatavuus perustunee kysyntään. Pelkän yksityisportin tuntihinta on 22,50$, mikä tekee 16200$ kuukaudessa. Aika mehevä hinta jos porttihintaa vertaa esim. yhdysliikennepisteisiin. Ficixin 100G-portti maksaa mitättömät 445€/kk eli saman kuin 10G. Tukholman Nednodin kautta saa yhteydet kaikkiin julkisiin pilviin ja siellä 100G-portti maksaa 3360€/kk, 400G-portti 7500€/kk. 100G IP-transit voisi maksaa alle 10000€/kk. Mutta turha näitä on spekuloida, se joka tarvitsee, maksaa kiltisti tai neuvottelee paremman hinnan.

Julkista pilveä on pidetty malliesimerkkinä reititetystä IP-ympäristöstä, johon siltauksella ei ole asiaa. Nyt kuitenkin Oracle vesittää periaatteet ja tuo L2-tuen OCI-pilveen. Ominaisuus lienee räätälöity Vmware-ympäristöön. Onko tässä kyse asiakkaiden haalimisesta sisään mahdollisimman helpoin keinoin, ettei pilvisiirtymässä tarvitsisi muuttaa mitään olemassa olevaa? Aika huono idea pidemmän päälle.

Mysocket.io on ilmainen avoimen koodin pilvipalvelu, jolla voi julkaista omat sisäverkon palvelut internettiin. Palvelu sisältää hienoja ominaisuuksia kuten anycast-verkko, kuormanjako ja zero trust-mallinen identiteettiin perustuva pääsy.

Kyberturvallisuus

Solarwinds-tapauksen osapuolia on kuultu USA:n senaatissa. Toisten syyttely on ollut tapa hoitaa asiaa. Solarwinds kertoi, että harjoittelija oli laittanut heikon salasanan Github-repoon. Microsoft sanoi, että tähän murtautumiseen tarvittiin vähintään 1000 taitavaa insinööriä ja vika ei ollut Microsoftin ohjelmissa vaan asiakkaan puolella. Crowdstrike syytti Microsoftia sen monimutkaisesta ja antiikkisesta arkkitehtuurista. Myös AWS yritettiin vetää juttuun mukaan, koska sen pyörittämiä palvelimia käytettiin hyökkäyksessä. AWS kieltäytyi osallistumasta.

Tapaus rönsyilee villisti ja kaikki mahdolliset asiat voidaan yhdistää siihen. Solarwindsin ohjelmista on edelleen löydetty uusia vakavia haavoittuvuuksia, venäläisten lisäksi myös kiinalaiset olisivat vakoilleet USA:n palkkatoimistoa, hakkerit olisivat olleet kiinnostuneita luokittelemattomasta tiedosta O365-ympäristössä ja 30% kohteena olevista yksityisyrityksistä ei olisi edes käyttänyt Solarwindsiä, vaan niihin olisi käytetty muita keinoja. Microsoft kertoi, että siltä on varastattu Azuren, Intunen ja Exchangen lähdekoodia. Extrahop väläytti miten sen EDR-tuote havaitsi epäilyttävän toiminnan kasvun, vaikka hakkerit loivat omia palomuurisääntöjä ja liikkuivat sivuttaissuunnassa yrittäen peittää jälkensä.

Ranskalaisen IT-valvontatuotteen Centreonin väitetään joutuneen pitkäkestoisen venäläishyökkäyksen kohteeksi ohjelmasta löytyneen takaportin kautta. Kohteena ovat olleet ranskalaiset yritykset ja muitakin isoja firmoja. Centreon on korostanut, että tämä ei ole hyökkäys toimitusketjuun, se on kohdistunut vain ohjelman jo vanhentuneeseen open source -versioon ja kaupalliset asiakkaat eivät ole vaarantuneet.

RIPE NCC Access SSO-palvelu joutui brute-force -iskun kohteeksi. Palveluun tuli katkoa, mutta käyttäjätietoa ei vaarantunut. Käyttäjiä pyydetään ottamaan käyttöön kaksivaiheinen tunnistautuminen. Käytännön koe julkisesta palvelimesta, jossa oli salasanallinen SSH-kirjautuminen, osoitti, että murtautujalta meni noin neljä tuntia helpon tunnuksen ja salasanan murtamiseen. Siksi on tärkeää, että julkisen verkon palvelimiin kirjaudutaan vain SSH-avaimilla tai pääsy rajataan omiin IP-osoitteisiin. Root login pitäisi poistaa päältä aina ja käyttää sudoa suoritusoikeuksien kohottamiseksi.

Haavoittuvuuksia on löytynyt Fortinetin Fortiweb-sovelluspalomuurista versioista 6.2 ja 6.3. Sonicwallin verkkolaisiin hyökätään aktiivisesti käyttäen uutta nollpäivähaavoittuvuutta.  Microsoftin TCP/IP-toteutuksessa oli kaksi kriittistä komentojen suoritus -haavoittuvuutta. Python-versioissa  3.x-3.9.1 tyypillinen puskuriylivuotohaavoittuvuus ei ollut niin kriittinen, mutta päivitykset suositellaan versioihin 3.8.8 tai 3.9.2.

Cisco ACI Multi-site Orchestratorissa on ja NX-OS:ssä on löydetty haavoittuvuudet, jossa hyökkääjä voi ohittaa autentikoinnin. JavaScriptissa havaittiin NAT slipstream -haavoittuvuus, jossa natin takana olevalle koneelle avautuukin ulkopuolelta mikä tahansa TCP/UDP-portti. Plex Media Serveriä käytetään DDoS-hyökkäyksiin. Vahvistuskerroin sen SSDP-palvelulla on 5. Uusi Linux-haittaohjelma varastaa SSH-tunnuksia troijalaisen OpenSSH-ohjelman avulla. Se on keskittynyt superkoneisiin ja akateemisen maailman palvelimiin.

Floridan vesilaitoishakkerointi säikäytti koko maailman. Teamviewerillä sisään tullut hyökkääjä sääti veden lipeätasoa, mutta vesilaitoksen operaattorit huomasivat toimet näytöltä ja puuttuivat asiaan. Tunkeutuja käytti luultavasti hyväksi heikkoa salasanaa ja vanhentuneita koneita. Tässä nähtiin miten ihmisen nopea havainnointi ja vaste pelastivat ongelmilta. Automaattinen vaste olisi reagoinut vieläkin nopeammin ja varmemmin. Tosin voi myös kysyä miksi yleensäkään lisäaineiden tasoa voi säätää yli sallitun rajan. Teamviewer on yksi pahimmista riskeistä ja sen ei pitäisi kuulua tuotantolaitoisten työkaluvalikoimaan. Etähallinnan alku ulottuu jo muinaisiin mainframe-koneisin, mutta lähti leviämään työpöydän etähallinnasta 1980-luvun puolivälissä DOS-pohjaisella Carbon Copy -ohjelmalla.

IBM haluaa tukea oppilaitoksia kyberturvallisuuden kehittämisessä. Kouluissa ongelmana on pitkä kesäloma, jolloin koneet ovat kiinni ja päivityksiä ei tehdä. Syksyllä kun kausi käynnistyy, valtava määrä päivittämättömiä koneita ilmestyy verkkoon ja sovellusten käyttö alkaa täysillä. Malli, jossa koneet pitää päivittää sisäverkossa, on vanhentunut ja riskialtis.

IoT-laitteiden monimuotoisuus, pitkä elinikä ja määrä on tehnyt niistä verkkoon kytkettyä jätettä, josta kukaan ei huolehdi. Jos laitteet kerran toimivat, miksi kukaan jaksaisi päivittää ja ylläpitää kaikkia niitä, jos nyt uusia päivityksiä edes julkaistaisiin? Jos emme osaa huolehtia pienemmästä tietokoneverkosta, miten voisimme hallita kokonaista digitaalista infrastruktuuria laitteista sovelluksiin. USA:n kongressi yrittää luoda edes minimivaatimukset myynnin jälkeiselle tuelle, jolla pakotettaisiin valmistajat ottamaan enemmän vastuuta pelkän laitteiden ulostyöntämisen sijaan.

NCSC:llä on painavaa asiaa haittaohjelman uhriksi joutumisesta. Kiristyshaittaohjelma on näkyvä oire vakavammasta tunkeutumisesta yrityksen sisälle. Siksi oireiden hoito eri riitä, vaan syy pitää löytää ja korjata. Esimerkki kertoo yrityksestä, joka maksoi miljoonien kiristyslunnaat, mutta ei tehnyt muuta. Yritys sai datansa takaisin, kunnes parin viikon päästä ilmaantuikin uusi kiristyshaittaohjelma. Yritykselle ei jäänyt muuta mahdollisuutta kuin maksaa lunnaat uudestaan.

Yritysten kyberturvallisuuden tasoa on tutkittu ja havaittu, että todellisuus pinnan alla on aika karu. Ne jotka sanovat turvallisuuden olevan tärkeää, yleensä toimivat paremmin myös käytännössä. Isot yritykset suoriutuvat paremmin, vaikka niissäkin on perusasioissa puutteita. Kyberturvallisuusbudjetit ovat todella vaikeita perustella, koska niillä ei ole suoraa takaisinmaksua. Lisäksi kovat tulostavoitteet ja turhautuminen saattavat kasvattaa riskikäyttäytymistä. Yrityksillä on tapana ulkoistaa riskiä kolmansille osapuolille ja keskittyä itse tärkeämpiin asioihin. Kybervakuutus voi tuntua hyvältä vaihtoehdolta, mutta se ei yleensä kata myynnin ja maineen menetystä tai heikon kohdan korjauskuluja.

Kyberturvallisuuskeskus on julkaissut yhteistyössä yritysten kanssa skenaarioita kyberharjoituksiin.

Tuotteet

Perinteinen WAF eli sovelluspalomuuri ei kerta kaikkiaan pysy mukana sovellusten muutosvauhdissa pilvinatiivissa maailmassa. Sen ylläpito luo valtavan määrän työtä, jossa koneoppiminenkaan ei auta. Siksi WAF on käytännössä vain perustasolla käytössä, jolloin se ei juurikaan suojaa. Checkpoint  ja Paloalto siirtyvät pilvinatiiviin sovellussuojaukseen uusilla tuotteillaan. Paloalton Prisma Cloud väittää sisältävänsä alan parhaat WAF-ominaisuudet. Se perustuu erilaisiin pilvinatiiveihin funktioihin, joilla taklataan pilvipalveluiden dynaamisuus. Lisäksi WAF:iin on integroitu muita toimintoja kuten. IAM ja DLP, joten palvelu lähestyy ehkä enemmän zero trust -mallia. Tai oliko sitten WAF ensimmäinen askel zero trust -mallia kohti.

Mitä sitten oikeastaan on zero trust? Kyse on vähimmän oikeuden periaatteesta, identiteetistä ja segmentoinnista. NSA julkaisi lyhyen ytimekkään dokumentin asiasta.

Arista siirtyi aiemman Awake-yritysoston myötä vahvasti mukaan tietoturvapuolelle ja tarjoaa nyt myös zero trust -mallia. Aristan mallissa toiminnot ovat ryhmäkohtainen segmentointi, tilanneäly, näkyvyys verkkoon ja tekoälyavusteinen havainnointi ja vaste. Toiminnot keskittyvät verkkoinfraan ja sen orkestrointiin.

Cisco laajensi AppDynamicsin toimintoja haavoittuvuuksienhallintaan. Secure Application -toiminto yhdistää sovellusvalvonnan ja tietoturvanäkymän yhteen työkaluun.

Juniper yhdistää operaattoripuolen WAN-hallintatuotteitaan Paragon Automation -sateenvarjon alle. Se jatkaa sekavaa nimeämistä ja tuotepositiointia, joka on ollut vallalla Contrail-tuotteissa. Paragon sisältää vanhat Northstarin ja Contrail Healthbotin jälleen kerran uudelleennimettyinä, sekä uudet Netroundsiin perustuvan valvontaosuuten ja Anuta ATOM -konfiguraatiohallinnan. Tarkoitus on hyvä eli parantaa operaattorien yleensä niin surkeaa asiakaskokemusta.

Yrityspuolella Mist on parasta mitä alalla on tapahtunut pitkään aikaan. Juniperilla on nyt selkeä strategia ja hyvä alusta, jonka päälle rakentaa. Ja vauhtia on pidetty tuotteiden integroimisessa. 128 Technologyn yritysostosta on puolisen vuotta ja kaupan vahvistamisesta vasta kaksi kuukautta, ja teknologiaa on jo integroitu Mistin hallinta- ja tekoälyalustaan. 128T on SD-WAN:n uusin malli, jossa sovellusliikennettä reititetään istuntojen mukaan ilman perinteisiä IPSec-tunneleita. Tämä on iso askel kohti todellista sovellusreititystä ja verkkoa palveluna -mallia.

Ja SD-WAN:sta ja SASE:Sta onkin riittänyt taas tarinaa. Nykyisen kaltainen SD-WAN on luultavasti vain välivaihe kohti kokonaisvaltaista SASE:n pilvimallia. SD-WAN tuotiin markkinoille korvaamaan MPLS-yhteyksiä, mutta nykypäivänä se tekee paljon muuta yhdistettynä SASE:en. Erään tutkimuksen mukaan monella yrityksellä on SASE:n elementtejä käytössä, mutta kattava SASE-arkkitehtuuri on vain reilulla 10%:lla, mikä ei juurikaan yllätä. Pisimmällä ovat huoltovarmuusalat ja perässä seuraavat laki-, finanssi- ja terveydenhuoltoalat. IT-osastot vetävät käyttöönottoa selvästi enemmän kuin tietoturvaosasto. Hypestä huolimatta zero trust ja reunan sisällön suodatus ovat vähiten käytettyjä ominaisuuksia. Pilven käyttöaste tuntuu rajoittavan käyttöönottovauhtia.

Toimiston reunalla fyysiset laitteet säilyvät toistaiseksi, mutta pelkkä softa saa yhä enemmän sijaa ratkaisuissa. Cato on yksi softalla reitittäjistä ja tehnyt hurjan nousun yksisarvisarviseksi. Tietoturvaominaisuudet alkavat nousta verkkoa tärkeämmäksi SD-WAN/SASE-ratkaisuissa. Kentälle tulee aivan uusia toimijoita ja esim. pilvifirmat ottavat jalansijaa. Tutkimuksen mukaan perinteiset valmistajat Zscaler, HPE, Cisco, Fortinet, ja Versa ovat kuitenkin kärjessä. Fortinet luottaa yli kaiken omaan rautaansa, vaikka tuokin SASE-pilvipalvelut valikoimaansa. Mutta sillä taktiikalla Fortinet jää pitkällä tähtäimellä rautansa kanssa oman pienenevän genrensä vangiksi.

SD-WAN/SASE:n käyttökohteet laajentuvat IoT-maailmaan ja tuotantoon. SD-WAN -palveluna kelpaisi käyttäjille jos vaan palveluntarjoajat ottaisivat roolia. MEF3.0 standardi on määrittänyt SD-WAN -overlay-palvelun helpottamaan palveluiden rakentamista ja yhteenliittämistä. Sertifioituneita palveluntarjoajiakin löytyy, mm. Telia.

Paloalto ostaa Bridgecrewn ja siirtää sovelluskehityksessä tietoturvaa vasemmalle. Bridgecrewn tuote leivotaan Prisma Cloudin mukaan tuomaan turvallisuus osaksi sovellusten kehitystä ja koko sovellusten elinkaarta. Paloalto matkaa kohti pilvinatiivia maailmaa suunnannäyttäjänä kuten F5.

Pilvikäyttö muuttaa palomuurilisensointia tilausmalliseksi. Käyttäjä voi käyttää muureja vapaammin ja maksaa vain käytöstä. Osa tästä hyötyy, toiset maksavat enemmän kuin ennen. Käytön arviointi on vaikeaa, tai ainakin yhtä ennakoitua tai ennakoimatonta kuin pilvipalveluissa yleensäkin.

Yritykset

Meillä Traficomin sulautuminen yhdeksi organisaatioksi aiheuttaa kitkaa ja jopa pelkoa työntekijöissä, kun sinne siirtynyt Viestintävirasta koetaan jyrääväksi. Pääjohtaja Karlamaa saa kovaa arvostelua tempoilevasta ja autoritäärisestä johtamisesta sekä laiminlyönneistä.

Ciscon tulos pysyi vakaana ja ylitti odotukset. Tietoturva ja palvelut vetivät tulosta ylös. Vertailun vuoksi Ciscon myynti ja tulos olivat suunnilleen samat kuin AWS:n. Ciscon tulos on ollut pitkällä aikavälillä uskomattoman tasainen kaikista puheista ja pienistä notkahduksista huolimatta. Cisco osallistuu laajemminkin yhteiskunnan kehitykseen ja Japanissa yhteistyötä tehdään hallituksen kanssa maan digitalisoimiseksi.

Huaweillakin on mennyt kivasti ongelmista huolimatta. Laajakaistatuotteiden tuotoissa sillä on ollut 40% markkinaosuus ja Huawei näkyy vahvana muissakin tuoteryhmissä, kuten siirtolaitteissa ja konesalissa. KPN esim. on mennyt vastavirtaan ja valinnut Huawein Ericssonin sijaan. DT on ottanut Huawein pilvikumppanikseen laitteiden osalta ja pitänyt operoinnin omissa käsissään. Huawei itse on laajentanut ennestään kattavaa portfoliota sähköautoihin.

Aristalla oli vaikea vuosi pilvijättien kanssa, mutta nyt tulos oli hyvä. Arista jatkaa tuoterepertuaarin laajentamista ja hallinnan yhdistämistä, ja uskoo tuttuun konesali-reititys-campus -kolmioon. Vertailun vuoksi Aristan markkina-arvo on suunnilleen sama kuin Ubiquitin. Paloalton tuloksesta vastasi Prisma Access SASE-tuote, jota päivitettiin uusilla ominaisuuksilla. Extreme panostaa pilvipalveluihinsa unohtamatta rautaa, ja haluaa laajentaa myös 5G-maailmaan. Extreme toteuttaa MLB:n 16 stadionin wifin.

Mielenkiintoinen yksityiskohta USA:sta on Bank Of America, joka on tehtaillut ennätykselliset 722 patenttihakemusta viime vuonna. Yksi painopistealueista oli verkonhallinta ja liikenteen analysointi.

Kotimaassa TEM:n elinkeinopoliittinen tilannekuva kertoo, että digitalisaatio ja ilmastonmuutos ovat tärkeimmät yhteiskuntaan ja talouteen vaikuttavat tekijät 2020-luvulla. Suomessa on teknistä osaamista, mutta ICT-pääoman hyödyntäminen liiketoiminnassa laahaa perässä. Erityisesti Suomessa työn tuottavuuden kasvu on hidastunut ja ICT-pääoman vaikutuksen hiipumisella on siihen suuri merkitys.

Talvimyrskyn vaikutukset Texasissa näkyivät lähinnä sähkönjakelu ja laajakaistayhteyksien alueellisina katkoina ja kohdistuivat enemmän ihmisiin kuin tekniikkaan. Dallas on tärkeä hubi USA:n eteläosissa ja myös Pohjois- ja Etelä-Amerikan välillä. Alueen isoilla konesalitoimijoilla Digital Realtyllä 15 konesalia ja Equinixilla 9 konesalia olivat kaikki toiminnassa varavoimalla ilman katkoja. Sen sijaan tehtaita jouduttiin sulkemaan ja puolijohdevalmistajat Samsung, NXP ja Infineon laittoivat tuotantolinjat kiinni, mikä vaikeutti entisestään puolijohdepulaa.

Operointi

Ilmainen NSX Network Automation for Dummies -kirja on ladattavissa Vmwarelta.

Nokia on julkaissut DelOps-aloitteen, joka ei tarkoita kaiken poistamista, vaan toimitusta (Delivery and Operations) kuten CI/CD. Tavoitteena on uudistaa ja mullistaa 5G-coren ohjelmistojakelu ja toimintojen hallinta ketteräksi.

Merakin pilvihallinnan konfigurointiin on rakennettu CLI-työkalu. Se sisältää yli 400 komentoa ja helpin, joilla voi käyttää pilvihallintaa API-rajapinnan kautta omalta koneelta CLI-komennoilla. Meraki liittyy näin koodattavien pilvipalveluiden joukkoon.

Pari samanlaista tarinaa hankalista levyongelmista kuvaavat miten työlästä on löytää taustalla ollut ihan oikea fyysisen tason verkko-ongelma. Ongelmanselvityksessä auttaisivat kunnolliset valvontatyökalut, joilla päästään riittävän syvälle yksittäisiin ongelmiin kiinni.

SD-WAN:n käyttöä on tutkittu ja siinä esille on noussut käyttäjien tarve parempiin valvontatyökaluihin. Vaikka alustoissa itsessään on sisäänrakennettuna valvontaominaisuuksia, ne eivät tunnu olevan riittäviä. Käyttäjistä iso osa sanoo tarvitsevansa ulkopuolista lisävalvontaa SD-WAN-ympäristöön. Erityisesti tekniset asiantuntijat kaipaavat parempaa näkyvyyttä ongelmien selvittämiseksi. Ongelmien esittäminen taululla ei riitä, vaan niiden syyt pitäisi myös löytää ja pystyä korjaamaan. Juuri ongelmien ratkaisemiseen tarvitaan ulkopuolisia työkaluja. Työtä vaikeuttaa vielä se, että monet SD-WAN -laitteet eivät tue standardeja valvontarajapintoja.

Prometheus ja Grafana alkavat olla vakiotyökalut valvonnassa, mutta verkonvalvonnassa ne eivät aina ole optimaalisia. Grafanaan on saatavissa Draw.io Flowchart -plugin, jolla voi visualisoita telemetriatiedon lähes reaaliaikaisesti. Rich Tracroute on yksinkertainen traceroute-tiedon rikastus- ja jakopalvelu, jolla saa hieman lisätietoa pelkkien IP-osoitteiden päälle.

Python täytti 30 vuotta ja avoimessa lähdekoodissa hajaudutaan jälleen. Ansible on saanut päätökseen uudelleenjärjestelynsä uuden Community-paketin 3.0-version myötä. Ansible on pilkottu kahteen osaan: Core ja Galaxy Collections muodostavat ydintoiminnot ja Community Package sisältää kaikki modulit ja pluginit. Versionumerointi ei olekaan enää yhdenmukainen, vaan Community collections lähti omalle radalle ja Core-osuus jäi omaan 2.10-versioon. Sekavuutta lisäävät nimenvaihdokset ja versioriippuvuudet. Näitä voi yrittää tulkita Q&A-sivulta tai blogista. Community Collectionista on roadmapilla versio 4.0 jo tämän vuoden toukokuulle.

Network to Code -yritys aiheutti hämminkiä forkkaamalla Netboxin omaksi Nautobot-tuotteekseen, jonka se yllättäen esitteli NFD24-esityksessään. Nautobot on täysin avoin ja ilmainen automaatioalusta, mutta NTC tarjoaa siihen kaupallisen tuen. Syitä tälle valinnalle esitellään blogissa. Netboxin ja NTC:n tiet erosivat, käyttäjät ovat ihmeissään ja taustalla haisee henkilöiden ja intressien välirikko.

Tapahtumia ja tekniikkaa

Viime vuonna ensimmäisinä isoina tapahtumina Koronan takia peruttu massiivinen Mobile World Congress aiotaan järjestää tänä vuonna kesäkuussa Barcelonassa. Paikkoja ja aikoja on vaihdettu päittäin Barcelonan ja Shanghain välillä ja messut pidettiinkin jo Shanghaissa helmikuussa. Järjestäjien usko on Barcelonan tapahtumaan kova, vaikka kitkerää kritiikkiä sataa päälle. Messuvieraita olisi arviolta alle puolet normaalista eli n. 50000. Järjestäjät vaativat osallistujilta negatiivisen testituloksen ennakkoon ja lupaavat kosketuksetonta messuympäristöä. Saa nähdä toteutuuko tapahtuma ja kuinka moni sinne sitten oikeasti osallistuu.

Cisco Live pidetään virtuaalisena maaliskuun lopussa. All-access -passi maksaa 349$ ja ilmaisella Explorer-passilla jää vaille teknisiä Breakout-sessioita ja muita oheisetuja.

NFD24:ssä esiteltiin taas kuuminta verkkotekniikkaa. Mukana olivat Juniper, Anuta, Network to Code, Drivenets, Itential, Forward Networks, EfficientIP ja NetBeez. Esitykset löytyvät NFD-sivulta tai Youtubesta.

FOSDEM-konferenssin agendalla on avoimen koodin -softaan liittyen verkkojuttujakin SDN- ja verkonvalvonta-linjoilla. Linux on verkoissakin tärkeässä roolissa ja on aika valaisevaa miten paljon Linuxilla ja x86-raudalla pystyykään tekemään ja millä tehoilla. Vai miten on esim. 28 Mpps muutamalla corella, mikä tekee noin 14-300Gbps liikennettä, ja kyky ajaa yhtä elefantti-flowta IPSecillä 40Gbps?

NANOG81 tarjoaa taas alan kovimpia esityksiä.  Keynotena historiakatsaus reitittimien kehitykseen miten verkkokortista kehityttiin väylään ja kytkimiin. Nykyinen Clos-mallin spine-leaf -fabric on ollut käytössä 50-luvulta lähtien puhelinkeskuksissa, mutta nyttemmin myös yksittäisten verkkolaitteiden sisällä. Laitteista fabric on vain pullahtanut ulos ja hajautunut ei laitteiden väliseksi kokonaisuudeksi. Spine-leaf –fabricit leviävät nyt myös operaattorien runkoverkkoihin. Geoff Huston kertaa konferenssin antia ja antaa oman lisämausteensa esityksiin.

Russ White esittää filosofiseen tapaansa miten tietoturvaa voisi rakentaa järjestelmien sisään. Tavallisesti monimutkaisuutta yritetään hallita ja vähentää modularisoinnilla. Modulaarisuudessa on myös se hyvä puoli, että siinä on rajapintoja, joihin asettaa luontevasti kontrolli- ja tarkastelupisteitä. Toisaalta uusien rajapintojen luominen lisää hyökkäyspinta-alaa ja vähentää optimointia. Monimutkaisuus ja optimoitavuus säilyy melko vakiona ja valinnat ovat tasapainoilua paikallisen tai hajautetun mallin välillä, kuten tuttu sanonta kuuluu: jos et ole vielä löytänyt ompromisseja, et ole etsinyt tarpeeksi.

Verkon automaatiossa yksi totuuden lähde on tärkeä komponentti. Datan keräämiseen, käsittelyyn ja varmistamiseen menee paljon aikaa ja vaivaa, ja pahimmillaan samaa operaatiota toistetaan joka muutoksen yhteydessä. Itse konfiguraation asentaminen on nopea ja suoraviivainen toimenpide, joten automaatiossa pitäisi keskittyä enemmän työnkulun tarkasteluun ja hiomiseen. Samaa turhautumista purkaa David Gee omassa esityksessään.

nPrint on standardoitu pakettitason analyysityökalu, joka muuntaa pakettidatan koneluettavaan muotoon. Se on hyvä työkalu koneoppimiseen ja muuhunkin koneelliseen liikennedatan käsittelyyn.

UKNOF46- videot on julkaistu. Kiehtovan monipolvinen tarina Cloudflarelta, kertoo miten väärin dokumentoidut ip-osoitteet aihettavat operatiivisia ongelmia verkoissa. Cloudflaren DNS-palvelin 1.1.1.1 on varmasti yksi eniten väärää liikennettä saavista palveluista, koska sen julkista osoitetta on konffattu ties minne labroihin ja testeihin. Tässä tapauksessa jonkun tuntemattoman tahon ERSPAN-liikenne reitittyi DNS-palveluun, jossa ihmeteltiin miksi GRE-tunnelin liikenne aiheuttaa CRC-erroreita Ciscon Nexus-kytkimessä, mutta ei Juniperin QFX:ssä. Paljastui, että Nexus tarkastelee paketteja GRE-tunnelin sisällä ja huomaa virheet. Varsinainen ongelma oli kuitenkin Ciscon Nexus 5k -dokumentaatiossa, jossa ERSPAN-esimerkkikonfiguraatiossa tunnelin kohdeosoitteeksi on laitettu 1.1.1.1. Voitte kuvitella kuinka moni maailmassa on kopioinut sen omaan ERSPAN-sessioonsa! Tästä johtopäätöksenä meille kaikille: dokumentaatioon (ja miksei muuhunkin yksityiskäyttöön) on osoitettu omat julkiset IP-osoitealueensa, jotka eivät reitity. RFC3849 IPv6 Address Prefix Reserved for Documentation (2001:DB8::/32) ja RFC5737 IPv4 Address Blocks Reserved for Documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24). Käyttäkää näitä.

Reitityksessä hyperskaalaajilla alkaa tulla skaalauksen rajat vastaan nykyisellä tekniikalla. IP-fabricin protokollista on kiistelty ennenkin ja BGP on ollut käytännössä standardi, koska kaikkihan sitä käyttävät kaikkeen, niin miksen minäkin. Mutta BGP ei ole helpoin protokolla. IGP:llä on omat vahvuutensa, kuten supernopea konvergenssi ja yksinkertainen konfiguraatio. Toisaalta taas LSA-tiedon levitys on ongelma isommissa verkoissa. BGP:llä puolestaan on etuna liikenteenohjauskyky, mutta isoissa verkoissa privaatti-AS-numerot loppuvat kesken ja konfigurointi on työlästä. Nyt uusi IP-fabricin protokolla on RIFT, joka pyrkii yhdistämään IGP:n ja BGP:n hyödyt yhteen. Lisäksi protokollaan on tuotu muita ominaisuuksia, joilla verkko muodostaa automaattisemmin itsensä. Sisäänrakennettuna on mm. ZTP ja BFD. Juniperin Day One book valottaa RIFT:iä tarkasti.

Optiikassa 400G:n käyttöönotto etenee ja 800G:tä hahmotellaan. Standardointi on hajonnut käsiin kun IEEE:n rinnalle on tullut 2017 alkaen useita MSA-ryhmittymiä, jotka luovat omaa standardiaan. Valmistajat ovat levittäytyneet eri leireihin, jotka ajavat asioita eri lähtökohdista ja tavoitteista. MSA-standardoinneista on poikinut melko eksoottisia väliinputoajatoteutuksia kuten 6 km:n 400G ja 400G-bidi. Joka tapauksessa 100G-aallonpituus on eniten käytetty perusta tulevaisuuden standardeissa, joten sen uskoisi elävän pisimmälle. Optiikkaspagetti, modulaatiot ja nimeäminen eivät jatkossa ainakaan helpota, joten tarvitaan tällaisia selitekarttoja.

Arista on testannut omalla reitittimellään eri valmistajien 400G-ZR-optiikkaa ja yhteensopivuutta Microsoftin 120 km pitkän Open Line -järjestelmän yli. Testin tulos oli positiivinen: lämmönhallinta, suorituskyky ja yhteensopivuus oli erinomaista. Testin tuloksena on, että QSFP-DD on valmis konesalien DCI-ratkaisuihin ja metroon. Toisessa testissä Windstream ajoi oikeassa verkossa 400G-ZR-optiikalla 1027 km matkan. Koherenttioptiikan tuoman tilansäästön lisäksi tehonkulutus on 10 kertaa pienempi. Käyttöönotot alkavat Windstreamilla, jolla tekniikka sopii suoraan 80% linkeistä.

Kun porttinopeudet kasvavat, eri nopeuksisten porttien yhdisteleminen tulee hankalaksi samassa kytkimessä. Itselle uutena tuttavuutena tuli vastaan QSA eli QSFP-SFP-adapteri. Olen kuvitellut, että 100G/40G-portit pitäisi kanavoida ja kytkeä breakout-kaapelilla alempiin nopeuksiin, mutta QSA:lla voikin tehdä yksi-yhteen 100G-portista 10/25G-portin ja käyttää normaalia kuitu- tai DAC-kytkentää. QSA on siis fyysinen adapteri isommasta QSFP-plugarista pienempään SFP:hen. Se kytkee vain yhden neljästä 100G:n kanavasta läpi SFP:lle. Kytkimen konfiguraatiossa pitää säätää portin nopeus vastaamaan hitaampaa nopeutta. Itsellä ei ole näistä kokemusta ja en tiedä tuleeko adapterin käytöstä jotain muita ongelmia eteen.

Lyhyen matkan kytkennöissä, esim. palvelinten ja kytkimien välillä, DAC tai AOC voi säästää rahaa, vaivaa ja tehonkulutusta. Yhden laitteen SFP-pää on yleensä n. 2-3 kertaa kalliimpi kuin DAC tai AOC. DAC/AOC:n kanssa ei myöskään tarvitse pähkäillä liitin- ja kaapelityyppien kanssa, eikä putsailla kuituja. Koko kaapeli liittimineen on tehdasvalmisteinen, mikä lisää sen luotettavuutta. Tosin olen nähnyt myös sellaisia kiinalaisia rimpula-DAC:ja, joita ei voinut paljon vetää tai väännellä, kun jo liittimet lähtivät irti. Ja onhan osa laitteista hyvin nirsoja “väärän” valmistajan moduleille. DAC:n sähkönkulutus on kuitenkin lähellä nollaa ja AOC:n aktiivinen optiikkapiiri tiputtaa tehonkulutusta selvästi verrattuna SFP:hen. Tutkimukset osoittavat, että yksi watti palvelintasolla merkitsee 2,5 wattia konesalin laajuudella. Isossa mitassa sillä voi jo olla merkitystä.

Tiedonsiirrossa kvanttisalauksella valmistaudutaan 10 vuoden päähän kun nykyiset salausmenetelmät eivät riitä. Adva ja Colt ovat testanneet optisessa siirrossa QKD-tekniikkaa (Quantum Key Distibution), jolla saadaan tehtyä vahva L1-tason salaus 100Gbps-nopeudella. QKD on osa kvantti-internetiä ja -siirtoa, jossa data koodataan bittien sijasta kvantteihin ja salausavaimet lähetetään datan mukana. QKD:n avulla on helpompi havaita salakuuntelua. ETSI esittelee erilaisia käyttökohteita QKD:lle ja sitä voidaan käyttää myös L2-L4:lla PPP:n, MACsecin, IPSecin ja TLS:n avainten hallintaan.

Jos olet ihmetellyt miten SD-WAN -laitteisto toimii, tässä kuvaus miten sellainen rakennetaan itse avoimen lähdekoodin -tuotteilla.

Kauppapolitiikka

Puolijohdepula vaivaa maailmaa ja siinä on puhuttu enimmäkseen kuluttajaelektroniikan ja autoalan vastakkainasettelusta. Piirien valmistus on melkein täysin ulkoistettu ja pahasti keskittynyt Samsungille ja TSMC:lle. Isoimmat ostajat, kuten Foxcon ja Apple, pärjäävät hyvin, mutta verkkolaitteissa määrät eivät ole kovin isoja, joten pulaa komponenteista on odotettavissa. Tarkempaa tietoa verkkolaitteiden osalta on vaikea löytää tai saada. Laitevalmistajat ovat aloittaneet asiakkaiden varoittelun ja toimitusajat näyttävät uhkaavasti pidentyvän ennen näkemättömiksi. Puolijohdepulan odotetaan kestävän pitkään ja helpottavan kenties joskus ensi vuoden puolella.

Lahjonta on yleistä Kiinassa ja Venäjällä, mutta myös Lähi-idässä ja muualla Aasiassa. Cisco tutkii “itsensä rikastamista“, jossa kiinalaiset työntekijät olisivat suorittaneet maksuja valtionyhtiöiden työntekijöille. Ericsson on kunnostaunut lahjonnassa monesti ja myös Juniperin tiedetään voidelleen virkailijoita Kiinassa.

Internet

Uusi Telegeographyn internet-kartta on julkaistu. Maailman kapasiteetti, hinnat, tärkeimmät metropolit, yhdysliikennepisteet ja pilvet esitettynä yhdellä lakanalla.

BGP-optimointilaitteet alkavat olla pahamaineisia, koska niillä on helppo ampua itseä jalkaan. Jälleen yksi Noction-tuotteen käyttäjä, hostaaja Psychz Networks Kaliforniasta, onnistui tekemään konfiguraatiovirheen, joka johti lähes 200000 reitin väärään mainostukseen. Onneksi vastaanottajana oli vain route collector, joten vaikutus jäi olemattomaksi. Muuten aihetta olisi ollut laajaan ongelmaan.

Googlen uusin, 14. merikaapeli Dunant Ranskan ja USA:n välillä on valmistunut. Se käyttää uutta space-division-multiplexing (SDM) -tekniikaa, jolla saadaan ennätyksellinen 250Tbps-kapasiteetti irti kuidusta.

Google on saanut ehkä “maailman tärkeimmän” prefixin 8.8.8.0/24 RPKI-allekirjoitettua ja sen oikea alkuperä voidaan nyt vahvistaa reitityksessä. Melkein koko Googlen AS15169 on nyt mukana RPKI:ssä. RPKI-ROA -sertifikaatit pitää muistaa uusia, etteivät ne pääse vanhenemaan. Onko tässä tulossa uusi ongelma, että reitit vanhenevat ja aiheuttavat erilaisia kummallisia ongelmia internet-palveluissa?

Quad9 eli voittoa tavoittelematon DNS-palvelu 9.9.9.9 muuttaa Californiasta Sveitsiin, jotta voi taata hallinnollisen taustan GDPR-tasoisille yksityisyyslupauksilleen koko maailmassa. DNS-palveluilla on erilaisia tietoturvatasoja, joilla saa tehtyä kevyen SASE-mallisen tietoturvan ihan ilmaiseksi. Quad9 blokkaa oletuksena haittaohjelmia, Cloudflaren 1.1.1.1 for Families voi estää haittaohjelmien lisäksi myös aikuissisältöä ja OpenDNS tarjoaa enemmän säädettävän suodatustason, mutta vaatii kirjautumisen ja portaalin käytön. Googlen DNS ei tee suodatusta kuin poikkeustapauksissa.

Venäjä on valmis irtautumaan internetistä tarvittaessa, kertoi Medvedev. Laki- ja teknologiamielessä valmius on, mutta mitään syytä tehdä niin ei ole kuin ääritilantessa. Venäjällä on valmius myös irtautua kansainvälisestä SWIFT-maksuliikenteestä.

Metsäpalot aiheuttavat vakavia ongelmia tietoliikenneyhteyksille. Australiassa yhden kaupungin runkolinkki tuhoutui palossa ja sen korjaaminen kesti yli vuoden. Kova laajakaistan käyttö on saanut amerikkalaisen Mediacomin puuttumaan kiinteän verkon datansiirtomääriin, koska liika uploadaus aiheuttaa verkossa ongelmia.

Satelliitti-internet

Starlink näyttää etenevän tasaisesti kohti satelliittilaajakaistan voittoa. Sillä on USA:ssa jo 10000 käyttäjää ja beta-testaus on menossa laajasti. Ennakkotilaukset on avattu laajemmin, laitepaketti näyttää särmikkäältä ja asennuskin on kuulemma helppoa. Nopeudet ja viiveet ovat kelpo tasolla, mutta säännöllisiä katkoja vielä esiintyy ja hinta on aika kova. Yleinen hyväksyntä on kuitenkin saatu, tämä on parempi kuin ei mitään. Ranskassa tosin maa-asemien rakentaminen on kohdannut vastustusta.

Satelliittiteknologiassa Starlink on joutunut karsimaan toteutusta suunnitellusta. Satelliittien väliset ISL-laserlinkit on jätetty toistaiseksi pois, mutta ne ovat tulossa kunhan luvat saadaan. Toistaiseksi Starlink on lähettänyt avaruuteen yli 1000 satelliittia, mutta halu on jopa 30000 satelliittiin. Lisäksi muilla toimijoilla on omia suunnitelmia, mikä herättää huolta avaruuden täyttymisestä. Satelliitteja on niin paljon, että ne vaikeuttavat avaruuden tutkimusta. Starlink on ollut yhteistyökykyinen ja yrittänyt ratkoa ongelmia esim. tekemällä mustia satelliitteja, jotka heijastavat vähemmän valoa. Noin 1/40 satelliitista hajoaa, mikä on sellaisenaan vähän, mutta isossa määrässä aiheuttaa ongelmia. Avaruusromun määrä ja riskit törmäyksille alkavat kasvaa.

Tutkijat ovat keksineet, että Starlinkin satelliitteja voisi käyttää GPS:n rinnalla edullisena ja luotettavana paikannusmenetelmänä ja aikalähteenä. Starlink on paikannuksessa jopa 10 kertaa tarkempi ja huomattavasti varmempi kuin GPS, koska LEO-satelliittien signaalit ovat jopa 1000 kertaa voimakkaampia kuin GPS:n.

Rajeev Suri on siirtynyt satelliittiyhtiö Inmarsatin toimitusjohtajaksi. Inmarsat tarjoaa perinteisiä satelliittitaajuuksia ja rakentaa DT:n kanssa Euroopan ilmailuverkkoa. Lynk ja Mobilespace kilpailevat omalla tavallaan mobiiliverkon taajuuksia käyttävillä satelliiteilla. Puhelimet ja muut mobiililaitteet voisivat suoraan jutella satelliittien kanssa. 

Historia

Tiesitkö, että hakukoneesta paremmin tunnettu Altavista valmisti myös palomuureja, reitittimiä, verkkokortteja ja sähköpostipalvelimia? Vuoden 1997 testissä Altavistan palomuuri loisti helpolla hallinnalla ja Digital Tech Journal samalta vuodelta kuvailee tuotteita tarkemmin. Itse muistan katselleeni vieressä kun kollegat asensivat Checkpointin Firewall-1:stä palvelimelle jossain vuoden 2000 tienoilla. Se ei ollut helppoa.

1978 videoitu nostalginen esitys, jossa Bob Metcalfe esittelee Ethernetin.

Kuukauden sinnikkäin

AT&T:n asiakkaana vuodesta 1960 ollut 90-vuotias herra nousi barrikadeille ja esitti tyytymättömyytensä yhtiön DSL-yhteyden hitaudesta julkaisemalla Wall Street Journalissa avoimen kirjeen AT&T:n toimitusjohtajalle. Ilmoitus maksoi hänelle 10000 dollaria ja siinä hän purki tuohtumustaan yhtiön kykyyn tarjota parempiai yhteyksiä.

Networking Industry Update 2021-01

Outages

The year started with problems. Slack suffered a four-hour downtime when people returned to work from Christmas break. Even local Finnish newspaper reported downtime for 10 million users and 750,000 companies, reflecting the importance of the service to business operations.

The media joked that Slack had forgotten to put the cloud auto-scaling back on after reducing capacity for the Christmas break. That was a partial truth. Slack did not publish a public post-mortem yet, but the problem was reported to be the slowness on AWS’s Transit Gateway scaling. The service did not keep pace with the growth in demand and the network problem began to accumulate in the servers and the monitoring and provisioning system. The problem was solved by fixing the provisioning system. Slack’s own explanation was published later.

In this case, it was once again seen how network problems have a wide-ranging impact on different systems and parts of the environment. When control and management are lost, it is not known what the situation is and the problem is difficult to correct. In the case of Slack, demand could have been anticipated earlier and the service scaled more evenly. The application’s logic led to a DDoS attack when users bombarded servers with connection requests. Of course, the problems are fixed and this can never happen again. The problem is that Slack and the other companies are not prepared for the worst. What feels like impossible or incredible progress can happen during cascading failures. So don’t underestimate the impossible possibilities and prepare for the worst-case scenario for real.

Cyber ​​security

In the case of Solarwinds, the laundry will continue. In addition to security companies Malwarebytes, Microsoft, FireEye, CrowdStrike, a DNS-based list of Phase 2 attacks on 23 corporate domains was released. Only a few companies have been of interest.

The stolen data was allegedly on sale on the solarleaks page for a total price of $ 1M. The price of individual company data ranged from $ 50,000 to $ 600,000. The prices were considered so amusing that buyers could hardly be found and the whole data leak was considered a bit questionable. It was more about misleading and creating chaos, which has been seen from Russian actors.

Solarwinds has long been known to have shortcomings and bad practices that contributed to the attack. And Solarwinds is not alone with that. In general, private investors behind companies, such as Orlando Bravo, make millions by exploiting companies. Investors are researching all possible savings targets and ripping them out of the “unnecessary” ones. The financier peels off the cream, and the risks and survival are left to the companies. It is no wonder that there are shortcomings in product quality and company practices.

From the case, we can learn that the advanced attack comes indirectly and through many phases. Third parties and partners are often involved in the chain. Therefore, internal resources must be protected also. Workflows and practices need to be reviewed and controls improved. The application development build process is a critical production system and should be treated that way. The process must always produce the same verified results. The transition of the industry from black box software to more transparent and secure code needs to be strengthened. Almost all software contains open source code, but the problem is that most contain outdated code. The most dangerous code is flooded in with the modified library. Users should be able to ask software bill of materials that lists the components and versions used.

Vulnerabilities have again been found in Zyxel and Sonicwall firewalls, Cisco SD-WANUbiquiti cloud service, Linux DNS forward client and sudo. Backdoor vulnerabilities are still emerging. If products are backdoor ported and security is compromised, the vulnerabilities never end.

Windows RDP is used for DDoS attacks. There are over 33,000 public RDP servers in the world to take advantage of. The gain factor of the RDP is 86, which settles at the top end of the efficiency, although not close to the Memcached factor.

In the fight against cyber criminals, Europol and a consortium of different countries have taken over Emotet, the world’s largest and most dangerous botnet. Hopefully this will decrease crime or at least makes it harder for criminals. But probably just for a short time.

In health care, threats are being fought with great stakes. There is some sort of ethic among the attackers that human lives are not threatened, even if there are easy ways to do so. The motivator is still money and the threats are more related to information leaks and blackmailing. The other story may be a time of crisis or if a state actor decides to do harm. In any case, there is a real risk of cyber disruption. In the future, attacks will also target medical research and healthcare partners. As a result, the effects can be unpredictable and widespread.

Palo Alto strikes healthcare IoT protection with its own product. The problems with security products in healthcare are similar to those in OT environments for industrial automation: network availability and continuous operation must be ensured and interruptions are not allowed. Therefore, bringing active security into the hospital environment is difficult. Also resourcing of IT staff and equipment is often weaker in the healthcare sector than in other industries.

Internet

BGP routing on the Internet regularly leaks. On January 6, 2021, nearly 9,000 routes leaked from Hong Kong through the British operator. This time, the disruption had little effect on traffic as only 1/3 of the operators accepted the false advertising. Only 1% of the wrong routes reached global routing. I don’t know if route RPKI validation played a part in that. In any case, RPKI has gained visibility recently with the deployment of major ISPs. RPKI ensures the correct origin of the routes and can partly prevent false advertisements and hijackings. Of course, there are many other practices involved in the functionality and security of Internet routing, and RPKI alone will not save in every case.

About 30% of the prefixes are RPKI-signed. Europe and the Middle East are clearly leading the deployment, and Asia is following suit. Cloud services have also brought their cards into the pile. AWS, as the world’s largest owner of IP addresses, adopted RPKI. The magnitude is indicated by the fact that AWS has about 100 million IPv4 addresses. According to statistics, the market price of a single address could be $ 25, so the value of IPv4 addresses would be a staggering $ 2.5 billion. Half of the addresses are in use and you can find the list here.

In Internet routing, the number of BGP updates is growing steadily. The exact cause is not known, but it is probably related to network fragmentation and traffic diversion. Routers have to handle a lot of routing changes, which requires more performance from them. The Internet is starting to become more unstable all the time as routing changes are constantly happening.

There are many problems with routing optimization. A special false advertisement containing 16 AS-PATH prepend spread because it was more specific (/24) than the original route (/23). The long AS path didn’t make route less preferable. Instead, it just looked crazy, whatever might the purpose have been.

The BGP protocol has grown for many different use cases, but it still doesn’t satisfy agile operators. The initiative now is to make BGP a fully extensible and programmable protocol xBGP, so that users can develop the features they need, regardless of slow standardization. The plugin model would open a closed protocol for additional plugins.

NaaS

SASE is much on display and there seems to be a demand. The idea makes sense, cost and ease are SASE’s selling points. But in terms of implementation, the issue is much more complicated. SASE’s idea is that business traffic would focus mainly on cloud and SaaS services, making it sensible to provide security services over the Internet. However, the operations of the companies are quite a lot of the hybrid model, where some of the operations run on their own premises and local security is needed there. Transporting traffic back and forth between the cloud and your own premises is not optimal or even possible. Also, apps haven’t suddenly turned completely cloud-native, even if they run in the cloud. And the situation is not going to change any time soon.

SASE is not a substitute for all security and one manufacturer cannot provide everything for a wide range of business needs, even if a SASE supplier wants to lock the customer into its own ecosystem. Products are new and may be unfinished. SD-WAN is still one part of the solution and many manufacturers have joined forces with different SD-WAN manufacturers. SD-WAN is also available either on devices or from the cloud. Looking to the future, the situation seems unsustainable. More and more security and content players are building their own global service network. This will sooner or later lead to mergers and acquisitions.

For SD-WAN, there is also an open source option for the DIY builders with FlexiWAN SD-WAN and pfSense firewall software. The solution, which is mainly intended for MSP use by operators and integrators, is now packaged in a virtualized CPE kit.

The Packet Fabric Cloud Router connects multi-clouds and data centers. The product is part of a set of multi-cloud solutions that attempt to manage a complex distributed environment. Other manufacturers include e.g. Alkira, Aviatrix, Arrcus, Drivenets, Pureport, Volta Networks.

F5 acquires Volterra, which specializes in distributed cloud and Edge-as-a-Service platform, which competes with, for example, CDNs for secure application distribution. Volterra is backed by the developers of Contrail. F5 has long since moved from traditional iron load balancing to cloud application development. Edge is not built on hardware, but on software.

Edge is a place no one knows. It is where the operator and the cloud are, but the concrete is very unclear. Forrester predicts a turning point for Edge this year. The edge would suddenly appear and begin to gnaw at the edge of the cloud. In fact, the edge is a cloud that is but scattered close to the user. Growth is slow so far and no rapid change is in sight.

In the Telco cloud, Israeli Drive Nets has risen to be a hot manufacturer and unicorn status with a billion valuation. The company makes cloud-based software for network routing and switching. The customers are 36 large operators and content providers, the largest being AT&T. Again, the new challenger attacks traditional hardware manufacturers and vows to cloud-based software and virtualization. Maybe there’s still a little way to go, but the interest is high and Network-as-a-Service (NaaS) is the direction of the future. SD-WAN and SASE will be the same trend.

The use of open source in the operator network is increasing. The BNG software used for customer termination is now available as open source. DT has implemented OpenBNG software.

5G

In the operator field, public clouds are chasing telcos to gain a foothold in the 5G RAN. Telcos have handed over their own cloud structure and are looking for a solution from a public cloud. But even the three cloud giants do not have a decentralized, real-time, and consistent platform suitable for operator use that would meet tough capacity, latency, and availability requirementsNokia signed a partnership agreement with Google to develop a cloud-based 5G network.

Open RAN technology is gaining support as operators are now looking for a replacement for Huawei, which is banned in many places, both in terms of technology and cost. The Open RAN is now also pursuing a political agenda against Huawei, but Nokia and Ericsson are also on the line. In Australia, Huawei has already looked to the future and is now investing in 6G.

In 5G, new use cases are waiting for the time being and sales are mainly more data for subscribers. There are high expectations for new business applications, although companies are lazy to innovateChina has introduced an industrial program to connect industry to 5G. It is already partly ready, although there is not much information about the experiences. It is good for companies to think about what is the reality, for example, in terms of terminal and connection costs, business models, network coverage and reliability. At the same time, tens of millions of pounds are being spent in the UK to promote 5G technology to the public.

European countries are lagging in the security practices that the EU has adopted for 5G networks. The pace of implementation of the toolkit is very different. 2/3 of the countries have identified high-risk actors, but only 1/3 have done something about it, even though ready-made instructions have been offered. The British NCSC also publishes network security guidelines for telcos. The most important issue is the supply chain. In this context, it is generally good to identify supply chain risks: dependencies, product security, and access control to systems and data.

At the same time as Google and Facebook are abandoning their own broadband projects, the EU is painting its own satellite broadband plans to provide decent connections to sparsely populated areas. The problem with these projects has been that the “next billion” users from developing countries, or tens of millions users from rural Europe, are paying far too much. The old truth in everything is that the last 10-20% is so expensive and laborious to achieve that it is not worth pursuing.

In IoT networks, LoRaWAN develops and makes roaming possible between 27 countries around the world.

Operation

Cisco unveiled its new design box, the microswitch. It has evoked mixed feelings but the cute outlook clearly appeals. The idea is to bring the fiber to your desk or near equipment and connect this 4-port switch to the end of the fiber. The switch does have nice features, e.g. full intent-based Networking DNA Center nation, POE +, USB-C power supply. I can’t escape the idea that a nice product has now been invented to spread millions of units around campuses and thereby promote the use of the DNA Center and SDA. There are certainly a lot of real use cases as well.

Where did intent-based networking go? The hype went and the thing became mundane. IBN has become part of management systems. The abstraction of network components, the definition of relationships, the collection of telemetry data are prerequisites for the operation of a self-directed network. IBN has become a major visibility tool that is really in demand in complex networks.

Today’s networks still have an insane amount of useless design and configuration that has its roots in adjusting network properties and protocols. The future may look different. Traditional building blocks and functions can change completely. Why, in general, would we want to adjust and control everything manually when we are obviously no longer able to do so? For example, network monitoring and automation is often insanely cumbersome coding and constant updating and tuning. Procedures need to change. In this sense, NaaS is the future. On the other hand, the responsibility also lies with the manufacturers, as not all uses and objects are the same, no matter how desired. Manufacturers must allow a certain amount of customizability to meet the user’s needs. However, the user must also make an attitude change and trust a certain number of functions to be handled automatically by the system. Let’s take advantage of automation and move on to the next level because that’s where we are needed.

Trade policy

Cisco’s purchase of Acacia, which had been protracted for almost a couple of years, took an exciting turn when the Chinese government had not approved the deal for fear of the future of Acacia’s large Chinese customers. Legal challenges were swayed, the deal was canceled, the price was raised and the agreement was made a week later. Cisco paid 4.5 billion instead of the original 2.6 billion and the Chinese were happy. Coherent optics is very important to Cisco. It gets Cisco into the operator game from which it has been losing. Before the approval of the transaction, Telia Carrier had time to announce that it would introduce Cisco-Acacia 400G pluggables in routers and run the DWDM line through the open Open Line System.

The idea is to transfer the DWDM transmitter directly to the SFP module of the router and drive the wavelength through an open multivendor mux to the fiber. The biggest benefits of the solution are flexibility and cost and energy savings. In routers, Telia has moved away from the vendor proprietary chips to Broadcom’s DNX chipset, which already produces 70% of capacity. Traditional Cisco and Juniper routers with their own chips have quickly fallen into the minority.

Co-packaged optics and photonics are also hot topics among circuit manufacturers. Power consumption and heat production are the biggest problems in increasing capacity today. Therefore, the technique is tried to be squeezed as close together as possible. This, on the other hand, means that the flexibility of the interchangeable optics is lost. Cisco teamed up directly with Inphi and Broadcom unveiled its own solution.

The Acacia case shows how uncertain you can be with technology choices, partners, and the supply chain. Trade policy affects the operations of many manufacturers and operators and should be recognized and taken into account in the planning of operations and in making choices and purchases. According to the interviews, 83% of companies said they were now more aware of supply chain risks and thought of ways to manage them. Better information and transparency throughout the chain would improve operational performance and reduce business risk. This would require digitalization and collaboration with manufacturers, wholesalers and retailers.

China’s influence is also reflected in the operations of Ericsson and Nokia. China is the fastest growing market and the ban on Huawei in Sweden raised a fuss as Ericsson feared repercussions on its sales in China. CEO Ekholm said Sweden is a bad country for them and put strong pressure to cancel the Huawei ban. Discrimination against Huawei can very likely lead to discrimination against Western countries in China and even the division of industry and standards.

It happened before. The story of Cisco’s Linksys purchase in the early 2000s tells how the Linksys router had an open source Linux operating system, the source code of which, however, was not released under the license. Cisco and Linksys did not know about this and apparently Linux had put into the device through the subcontractor chain of circuit maker Broadcom and the information didn’t reach Linksys and Cisco. The issue then came public and Cisco took care of the license issue. Linux survived and became a favorite tool for hackers and the WRT54G router gained a reputation for the legend.

Open source

Elastic perceived the Elastisearch service provided by AWS as an exploitation of the free license for its own software and decided to change the license terms for its software. The intention was clearly to penalize AWS, which was considered not sufficiently contributed back to the development. AWS then decided to branch out from Elastisearch into its own project, which it will maintain and develop itself. At Elastic, the thing went personal and it did a disservice to the community by shutting down its open source project to some degree. AWS took advantage of its size and exploited the free code for its own commercial purposes, perhaps beyond the bounds of good taste. Both parties argue that the changes will not cause many inconveniences to users, but this is not the optimal solution for users of the service either.

Redhat’s CentOS was dug up and RHEL was handed out for free to less than 16 server environments, which can be considered as almost a joke. CentOS is the third most popular distribution on the Internet, covering 17% of servers. That’s ten times what RHEL does. Redhat explained the end of CentOS support by allocating resources to other projects. Another problem was the invisibility of CentOS users. The intention was not to transfer customers to a paid service, but that is exactly what happened. CentOS Stream is no longer the stable reliable version that CentOS was.

There has been movement elsewhere as well. Grafana Cloud announced a free plan and Gitlab removed the starter plan, raising the price fivefold. There is a risk in these if you commit to a certain platform and start building production on it. At least it’s good to be prepared that the price and features can suddenly change. Nokia’s Jonne Soininen gave a good introduction to the use of open source on networking.

The popular Netbox IPAM and DCIM program was backed by corporate support when developer Jeremy Stretch began offering commercial support and development for his program.

Companies

The departure of Vmware CEO Pat Gelsinger for Intel has attracted a lot of attention. Gelsinger is known as one of the best leaders as both a technological visionary and an operational performer. In 8 years, he had time to modify the company considerably, triple the result, make 30 acquisitions and take the company to the network, cloud, security, 5G and containers. Among Gelsinger, several executives have left Vmware. Besides, there has long been a join-or-split tug of war between Vmware and Dell. Now it remains to be seen in which direction the company will proceed. The new leader is left with a pile of miscellaneous technology that should be combined into a useful entity somehow. One man can have a surprisingly big impact on the future of a company and its products.

Epic Failure

Extreme missed Flash’s death date on January 12, 2021, and its network management product WiNG Manager ceased operations in the browser. As a solution, Extreme suggested moving the computer clock backward. Of course, traditional CLI worked as expected.

[FI] Tietoliikennealan katsaus 2021-01

Ongelmat

Vuosi alkoi ongelmilla. Slack kärsi neljän tunnin palvelukatkosta kun ihmiset palasivat joululomalta töihin. Jopa HS:n paperilehdessä uutisoitiin 10 miljoonan käyttäjän ja 750000 yrityksen käyttämän palvelun katkosta, mikä kuvastaa palvelun merkitystä yritysten toiminnalle.

Mediassa vitsailtiin, että Slack oli unohtanut laittaa pilvialustan autoskaalauksen takaisin päälle vähennettyään kapasiteettia joulutauolle. Tässä olikin osatotuus. Slack ei ollut julkaissut ongelmasta julkista post-mortemia, mutta tietojen mukaan ongelma oli AWS:n Transit Gatewayn skaalauksen hitaudessa. Palvelu ei pysynyt kysynnän kasvun tahdissa ja verkko-ongelma alkoi kumuloitua palvelimiin ja valvonta- ja provisiointijärjestelmään. Ongelma ratkesi korjaamalla provisiointijärjestelmää. Slackin oma selitys julkaistiin myöhemmin.

Tässä tapauksessa nähtiin jälleen kerran miten verkko-ongelmat vaikuttavat laaja-alaisesti eri järjestelmiin ja ympäristön osiin. Kun valvonta ja hallinta menetetään, ei tiedetä mikä on tilanne ja ongelmaa on vaikea korjata. Slackin tapauksessa kysyntää olisi voinut ennakoida aiemmin ja skaalata palvelua tasaisemmin. Sovelluksen toimintalogiikka johti DDoS-hyökkäykseen kun käyttäjät pommittivat palvelimia yhteyspyynnöillä. Ongelmat tietenkin korjataan ja tämä ei voi toistua enää ikinä. Ongelma on se, että Slack ja tai muutkaan toimivat eivät osaa varautua pahimpaan. Mikä tuntuu mahdottomalta tai uskomattomalta kehityskululta, tapahtuu kuin tapahtuukin joskus ongelmien yhteydessä. Älä siis aliarvioi mahdottomiakaan mahdollisuuksia ja varaudu oikeasti pahimpaan.

Kyberturvallisuus

Solarwinds-tapaukseen jälkipyykki jatkuu. Tietoturvayritysten Malwarebytes, Microsoft, FireEye ja CrowdStrike lisäksi julkaistiin DNS-tietoihin perustuva lista kakkosvaiheeseen edenneistä hyökkäyksistä 23 yrityksen domainiin. Vain harva on joutunut toisen vaiheen kiinnostuksen kohteeksi.

Varastetut tiedot väitettiin olleen myynnissä solarleaks-sivulla miljoonan dollarin yhteishintaan. Yksittäisten yritysten tietojen hinta vaihteli 50000-600000 dollarin välillä. Hintojan pidettiin niin huvittavina, että ostajia tuskin löytyy ja koko tietojen julkistamisoperaatio kyseenalaistettiin. Enemmän kyse oli harhaanjohtamisesta ja kaaoksen luomisesta, jota venäläisiltä toimijoilta on nähty.

Solarwindsin toiminnassa on jo pidempään tiedetty olevan puutteita ja huonoja käytäntöjä, jotka edesauttoivat hyökkäystä. Eikä Solarwinds ole yksin asian kanssa. Yleisesti yritysten taustalla toimivat rahoittajat, kuten Orlando Bravo, tekevät miljoonia hyväksikäyttämällä yrityksiä. Rahoittajat tutkivat kaikki mahdolliset säästökohteet ja niistävät niistä “turhat” pois. Rahoittaja kuorii kermat päältä, ja riskit ja selviäminen jäävät yritysten harteille. Ei ole ihme, että tuotteiden laadussa ja yrityksen käytännöissä on puutteita.

Tapauksesta voimme oppia, että edistynyt hyökkäys tulee epäsuorasti ja monen mutkan kautta. Kolmannet osapuolet ja kumppanit ovat usein mukana ketjussa. Siksi sisäisiä resursseja pitää suojata siinä missä julkisessa rajapinnassa oleviakin. Työnkulku ja käytännöt on syytä tarkistaa ja valvontaa parantaa. Sovelluskehityksen build-prosessi on kriittinen tuotantojärjestelmä ja sitä pitää kohdella niin. Prosessin pitää tuottaa aina sama varmistettu lopputulos. Alan siirtymistä mustan laatikon softista avoimempaan ja varmistetumpaan koodiin on syytä vahvistaa. Lähes kaikki ohjelmistot sisältävät avointa lähdekoodia, mutta ongelma on se, että suurin osa sisältää vanhentunutta tai hylättyä koodia. Vaarallisin koodi ujutettaan sisään muokatun kirjaston mukana. Käyttäjien pitäisi osata kysellä enemmän ohjelmistojen kittilistaa, jossa on lueteltu käytetyt komponentit ja versiot.

Haavoittuvuuksia on jälleen löydetty  Zyxel– ja Sonicwall-palomuureista, Cisco SD-WAN:sta, Ubiquiti-pilvipalvelusta, Linuxin DNS-forward-clientistä ja sudo-ohjelmasta. Takaporttihaavoittuvuuksia tulee edelleen ilmi. Jos tuottteisiin tehdään takaportteja ja tietoturvaa heikennetään, haavoittuvuusongelmat eivät lopu koskaan.

Windowsin RDP-palvelua käytetään DDoS-hyökkäyksiin. Maailmasta löytyy yli 33000 julkista RDP-palvelinta hyödynnettäväksi. RDP:n vahvistuskerroin on 86, joka asettuu tehokkuuden yläpäähän, vaikka ei olekaan lähellä Memcachedin kertoimia.

Taistelussa verkon pahoja vastaan, Europol ja eri maiden yhteenliittymä on saanut haltuunsa maailman suurimman ja vaarallisimman bottiverkon Emotetin. Toivottavasti tämä näkyy rikollisuuden vähenemisenä, tai ainakin vaikeutumisena. Voi olla, että ilo jää kuitenkin hetkelliseksi.

Terveydenhuollossa taistellaan isoin panoksin uhkia vastaan. Hyökkääjien keskuudessa vallinnee jonkinlainen etiikka, ettei ihmishenkiä uhata, vaikka siihen voisi olla helpot keinot. Motivaattorina on edelleen raha ja uhkat liittyvät enemmän tietovuotoihin ja kiristykseen. Toista voi olla kriisiaikana, tai jos valtiollinen toimija päättää tehdä vahinkoa. Joka tapauksessa todellinen riski kyberhäiriöille on olemassa. Hyökkäykset kohdistuvat jatkossa enemmän myös lääketieteen tutkimukseen ja terveydenhuollon kumppaneihin. Sitä kautta vaikutukset voivat olla ennalta-arvaamattomat ja laajalle levinneet.

JYVSECTEC on julkaissut Kyberhäiriöiden hallinta -käsikirjan terveydenhuollon toimijoille. Siitä löytyy hyviä käytännön kokemuksia ja vinkkejä toimintaan, myös muille toimialoille. Palo Alto iskee terveydenhuollon IoT-suojaukseen omalla tuotteellaan. Tietoturvatuotteiden ongelmat terveydenhuollossa ovat samanlaiset kuin teollisuusautomaation OT-ympäristöissä: ympäristön jatkuva toiminta pitää varmistaa ja katkoja ei sallita. Siksi aktiivisen tietoturvan tuominen sisään sairaalaympäristöön on hankalaa. Lisäksi resursointi IT-henkilöstössä ja -välineissä on terveydenhoitoalalla monesti heikompaa kuin muilla toimialoilla.

Huoltovarmuuskeskus aloittaa Digitaalinen turvallisuus 2030 -ohjelman, jossa se rahoittaa yhteiskunnan digitaalista turvallisuutta parantavia hankkeita n. 130M eurolla. Ohjelmasta voi poikia hyviä parannuksia, jos se saadaan vietyä järkevästi läpi yritysten kanssa. Toivoisin ohjelmaan läpinäkyvyyttä ja mahdollisimman paljon julkista tietoa projekteista ja kehitetyistä asioista.

Internet

Internetin BGP-reitityksessä tapahtuu säännöllisesti vuotoja. 6.1.2021 vuoti lähes 9000 reittiä Hongkongista brittioperaattorin läpi. Tällä kertaa häiriö ei vaikuttanut juurikaan liikenteeseen, koska vain 1/3 operaattoreista hyväksyi väärän mainostuksen. Vain 1% vääristä reiteistä ylsi maailmanlaajuiseen reititykseen asti. En tiedä oliko reittien RPKI-validoinnilla asiassa osaa. Joka tapauksessa RPKI on saanut näkyvyyttä viime aikoina kun isot operaattorit ovat ottaneet sitä käyttöön. RPKI varmistaa reititin oikean alkuperän ja sillä voidaan osin estää vääriä mainostuksia ja verkkojen kaappauksia. Internet-reitityksen toimivuuteen ja turvallisuuteen toki liittyy paljon muitakin käytäntöjä, ja ei RPKI yksinään pelasta tilannetta.

RPKI-allekirjoitettuja verkkoja on n. 30%. Eurooppa ja Lähi-Itä johtavat selvästi käyttöönottoa ja Aasia seuraa perässä. Myös pilvipalvelut ovat tuoneet kortensa kekoon. AWS maailman suurimpana IP-osoitteiden omistajana otti RPKI:n käyttöön. Suuruudesta kertoo, että AWS:llä on n. 100 miljoonaa IPv4-osoitetta. Tilastojen mukaan yhden osoitteen markkinahinta voisi olla 25$, joten IPv4-osoitteiden arvo olisi huikeat 2,5 miljardia dollaria. Puolet osoitteista on käytössä ja listan niistä löydät täältä.

Internet-reitityksessä BGP-päivitysten määrä kasvaa tasaisesti. Syytä ei tarkalleen tiedetä, mutta luultavasti se liittyy verkkojen pirstaloitumiseen ja liikenteen ohjailuun. Reitittimet joutuvat käsittelemään paljon reititysmuutoksia, mikä vaatii niiltä enemmän suorituskykyä. Internet on koko ajan epävakaampi jatkuvien reititysmuutoksien takia.

Reitityksen optimoinnista on moni ongelma saanut alkunsa. Erikoinen 16 AS-PATH prependiä sisältänyt väärä mainostus levisi eteenpäin, koska väärä mainostus oli tarkempi (/24) kuin alkuperäinen (/23). Pitkä AS-polku ei vaikuttanut asiaan, näytti vain hullulta. Mikä lie ollut sen tarkoitus.

BGP-protokollana on kasvanut kuin pullataikina moneen eri käyttöön, mutta se ei silti tyydytä ketteriä toimijoita. Nyt aloitteena on tehdä BGP:stä täysin laajennettava ja ohjelmoitava protokolla xBGP niin, että siihen voisi itse kehittää haluamiansa ominaisuuksia riippumatta hitaasta standardoinnista. Plugin-malli avaisi suljettua prokollaa omille liitännäisille.

NaaS

SASE on paljon esillä ja kysyntää tuntuu olevan. Ajatuksena se tuntuu järkevältä, kustannus ja helppous ovat SASE:n myyntivaltteja. Mutta toteutuksen kannalta asia on paljon monimutkaisempi. SASE:n ajatus on, että yritysten liikenne suuntautuisi pääasiassa pilveen ja SaaS-palveluihin, jolloin tietoturvapalveluiden tarjoaminen internetistä olisi järkevää. Kuitenkin yritysten toiminta on varsin paljon hybridimallista, jolloin osa toiminnoista on omissa tiloissa ja siellä tarvitaan paikallista tietoturvaa. Liikenteen kuljetus edestakaisin pilven ja omien tilojen välillä ei ole optimaalista tai mahdollista esim. käytettävyyden kannalta. Myöskään sovellukset eivät ole yhtäkkiä muuttuneet  täysin pilvinatiiveiksi, vaikka niitä pilvessä ajettaisiinkin. Eikä tilanne ole muuttumassa lähiaikoina.

SASE ei korvaa kaikkea tietoturvaa ja yksi valmistaja ei voi tarjota kaikkea yritysten monenlaisiin tarpeisiin, vaikka SASE-toimittaja haluaisikin lukita asiakkaan omaan ekosysteemiinsä. Tuotteet ovat uusia ja saattavat olla keskeneräisiä. SD-WAN on edelleen yksi osa ratkaisua ja monet valmistajat ovatkin liittyneet kimppaan eri SD-WAN -valmistajien kanssa. SD-WAN:iakin saa joko laitteina tai pilvipalveluna. Tulevaisuuden kannalta tilanne näyttää kestämättömältä. Yhä useampi tietoturva- ja sisältötoimija rakentaa omaa maailmanlaajuista palveluverkkoaan. Tämä johtanee ennemmin tai myöhemmin yhdistymisiin.

SD-WAN:lle on olemassa myös avoimen lähdekoodin vaihtoehto tee-se-itse-rakentelijalle FlexiWAN SD-WAN- ja pfSense-palomuuriohjelmistoilla. Lähinnä operaattoreiden ja integraattoreiden MSP-käyttöön ajateltu ratkaisu on nyt paketoitu virtualisoiduksi CPE-ratkaisuksi.

Packet Fabric Cloud Router yhdistää monipilvet ja konesalit. Tuote liittyy monipilviratkaisujen joukkoon, jossa yritetään hallinnoita monimutkaista hajautettua ympäristöä ja yhteyksiä. Muita valmistajia ovat mm. Alkira, Aviatrix, Arrcus, Drivenets, Pureport ja Volta Networks.

F5 ostaa Volterran, joka on erikoistunut hajautettuun pilveen ja Edge-as-a-Service -alustaan, joka kilpailee esim. CDN:ien kanssa turvallisesta sovellusjakelusta. Volterran taustalla ovat Contrailin kehittäjät. F5 on jo aikoja sitten siirtynyt perinteisestä rautakuormanjaosta pilven sovelluskehitykseen. Edgeä ei rakenneta laitteilla, vaan softalla.

Edge on paikka, jota kukaan ei tunne. Se on siellä missä operaattori ja pilvi on, mutta konkretia on hyvin epäselvää. Forrester ennustaa edgelle käännekohtaa tälle vuodelle. Ennusteen mukaan edgestä tulisi yhtäkkiä markkinavoima, joka alkaisi nakertaa pilven reunaa. Tosiasiassa edge on pilvi, joka on vaan hajautunut lähelle käyttäjää. Kasvu on toistaiseksi hidasta ja nopeaa muutosta ei ole näkösällä.

Telco-pilvessä israelilainen Drive Nets on noussut kuumaksi valmistajaksi ja yksisarvisstatukseen miljardin arvostuksellaan. Yritys tekee pilvinatiivia ohjelmistoa verkon reititykseen ja kytkentään. Asiakkaina on 36 isoa operaattoria ja sisällöntuottajaa, suurimpana AT&T. Tässäkin tapauksessa uusi haastaja hyökkää perinteisiä laitevalmistajia vastaan ja vannoo pilvinatiiviin softaan ja virtualisointiin. Ehkä sinne on vielä vähän matkaa, mutta kiinnostus on suurta ja Network-as-a-Service  (NaaS) on tulevaisuuden suunta. Samaa asiaa ajavat SD-WAN ja SASE.

Operaattoriverkossa avoimen lähdekoodin käyttö kasvaa. Asiakasterminointiin käytettävä BNG-ohjelmisto on nyt saatavilla avoimena lähdekoodina. DT on ottanut OpenBNG-ohjelmiston käyttöön.

5G

Operaattorikentässä julkiset pilvet kaveeraavat telcojen kanssa saadakseen jalansijaa 5G RAN:ssa. Telcot ovat luovuttaneet oman pilvirakentelunsa ja etsivät ratkaisua julkisesta pilvestä. Mutta edes kolmella pilvijätillä ei ole olemassa operaattorikäyttöön soveltuvaa hajautettua, reaaliaikaista ja yhdenmukaista alustaa, joka vastaisi koviin kapasiteetti-, viive- ja käytettävyysvaatimuksiin. Nokia teki yhteistyösopimuksen Googlen kanssa pilvinatiivin 5G-verkon kehittämisestä.

Avoin Open RAN -teknologia saa kannatusta, koska operaattorit etsivät nyt monin paikoin kielletylle Huaweille korvaajaa sekä teknologia- että kustannusmielessä. Open RAN ajaakin nyt myös poliittista agendaa Huaweita vastaan, mutta myös Nokia ja Ericsson ovat tulilinjalla. Australiassa Huawei onkin jo ottanut katseen tulevaisuuteen ja panostaa nyt 6G:hen.

5G:ssä uudet käyttökohteet odottavat toistaiseksi ja myynti on lähinnä kuluttajaliittymien dataa. Yritysten käyttökohteisiin kohdistuu kovia odotuksia, tosin yritykset ovat laiskoja innovoimaan. Kiinassa on otettu käyttöön teollisuusohjelma, jossa teollisuus kytketään 5G:hen. Osin jo valmista onkin, tosin kokemuksista ei ole paljon tietoa. Yritysten onkin hyvä miettiä mikä on todellisuus esim. terminaali- ja liittymäkustannusten, liiketoimintamallien ja verkon peiton ja luotettavuuden suhteen. Samaan aikaan Briteissä käytetään kymmeniä miljoonia puntia 5G-teknologian mainostamiseen kansalaisille.

Euroopan maat laahaavat jäljessä turvallisuuskäytännöissä, joita EU on antanut 5G-verkkoihin. Työkalupakin käyttöönoton tahti on hyvin erilaista. 2/3 maista on tunnistanut korkean riskin toimijoita, mutta vasta 1/3 on tehnyt asialle jotain, vaikka siihen on tarjottu valmiita ohjeita. Brittien NCSC on julkaisuut operaattoreille verkkojen turvallisuusohjeet. Tärkeimmäksi asiaksi nousee toimitusketju. Siihen liittyen on yleisestikin hyvä tunnistaa toimitusketjun riskit: riippuvuudet, tuoteturvallisuus ja pääsynhallinta järjestelmiin ja dataan.

Samaan aikaan kun Google ja Facebook lopettavat omat laajakaistahankkeensa, EU maalailee omaa satelliittilaajakaistahankettaan, jolla saataisiin haja-asutusalueille kunnon yhteydet. Ongelmana näissä hankkeissa on ollut, että se “seuraava miljardi” käyttäjää kehittyvistä maista, tai kymmenet miljoonat käyttäjät Euroopan maaseudulta, maksaa aivan liikaa. Vanha totuus kaikessa on, että viimeinen 10-20% on niin kallis ja vaivalloinen saavuttaa, ettei sitä yleensä kannata tavoitella.

IoT-verkoissa LoRaWAN kehittyy ja aloittaa verkkojen välisen liikennöinnin. Roaming on mahdollista 27 maan välillä ympäri maailman.

Operointi

Cisco julkisti uuden design-purkkinsa eli mikrokytkimen. Se on herättänyt vaihtelevia tuntoja ja söpö ulkomuoto vetoaa selvästi. Ajatus on tuoda kuitu työpöydälle tai lähelle laitteita ja kytkeä tämä 4-porttinen kytkin kuidun päähän. Kytkimessä on kyllä kivat ominaisuudet, mm. täysi intent-based networking DNA Centerin kansa, POE+ ja USB-C -virransyöttö. En voi välttyä ajatukselta, että nyt on keksitty kiva tuote, jota kylvää miljoonittain ympäri kampuksia ja sitä kautta edistää DNA Centerin ja SDA:n käyttöä. Oikeita käyttökohteita varmasti on myös paljon.

Mihin katosi intent-based networking? Hype meni ja asia arkipäiväistyi. IBN on tullut osaksi hallintajärjestelmiä. Verkon osasten abstraktointi, suhteiden määrittely ja telemetriatiedon keräys on edellytys itseohjautuvan verkon toiminnalle. IBN:stä on tullut merkittävä näkyvyystyökalu, jolle on oikeasti kysyntää monimutkaisissa verkoissa.

Nykypäivän verkoissa on edelleen älyttömän paljon turhaa suunnittelua ja konfigurointia, joka juontaa juurensa verkon ominaisuuksien ja prokollien säätämisestä kohdalleen tapauskohtaisesti. Tulevaisuus voi näyttää erilaiselta. Perinteiset rakennuspalikat ja toiminnot voivat muuttua täysin. Miksi yleensäkään haluaisimme säätää ja kontrolloida kaikkea manuaalisesti kun emme siihen selvästikään enää pysty? Esim. verkon valvonta ja automatisointi on monesti mielettömän raskasta koodausta ja jatkuvaa päivittämistä. Toimintatapojen täytyy muuttua. Tässä mielessä NaaS on tulevaisuus. Toisaalta vastuu on myös valmistajille, koska kaikki käyttötavat ja kohteet eivät ole samanlaisia, vaikka kuinka haluttaisiin. Valmistajien on annettava mahdollisuus tiettyyn määrään muokattavuutta, jotta tuote täyttää käyttäjän tarpeen. Käyttäjän on kuitenkin myös tehtävä asennemuutos ja luotettava tietty määrä toimintoja järjestelmän automaattisesti hoidettavaksi. Otetaan hyöty automatisoinnista ja siirrytään seuraavalle tasolle, koska siellä meitä tarvitaan.

Kauppapolitiikka

Jo kohta parin vuoden mittaiseksi pitkittynyt Ciscon Acacia-ostos sai jännän käänteen kun Kiinan hallitus ei ollut hyväksynyt kauppaa peläten Acacian isojen kiinalaisten asiakkaiden tulevaisuuden puolesta. Oikeushaasteita väläyteltiin, kauppaa peruttiin, hintaan nostettiin ja viikon päästä sovittiin. Cisco maksoi alkuperäisen 2,6 miljardin sijasta 4,5 miljardia ja kiinalaiset olivat tyytyväisiä. Koherenttioptiikka on Ciscolle erittäin tärkeä asia. Sille se pääsee mukaan operaattoripeliin, josta se on ollut tippumassa pois. Ennen kaupan hyväksyntää Telia Carrier ehti uutisoida ottavansa Cisco-Acacian 400G-plugarit käyttöön reitittimissä ja ajavansa DWDM-linjan avoimen Open Line System -järjestelmän läpi.

Ideana on siirtää DWDM:n lähetysyksikkö eli transponderi suoraan reitittimen SFP-moduliin ja ajaa aallonpituus avoimen monivalmistaja-muxin läpi kuituun. Ratkaisun suurimmat hyödyt ovat joustavuus ja kustannus- ja energiansäästö. Reitittimissä Telia on siirtynyt valmistajien omista piireistä Broadcomin DNX-piirisarjan laitteisiin, jotka tuottavat jo 70% kapasiteetista. Perinteiset Ciscon ja Juniperin omilla siruilla varustetut reitittimet ovat jääneet nopeasti vähemmistöön.

Myös yhteispakatut optiikat ja fotoniikka ovat kuumia aiheita piirivalmistajien kesken. Cisco lyöttäytyi Inphin kanssa yhteiskehitykseen ja Broadcom julkisti oman ratkaisunsa. Tehonkulutus ja lämmöntuotto ovat suurimmat ongelmat nykypäivän kapasiteetin kasvatuksessa. Siksi tekniikkaa yritetään puristaa mahdollisimman lähelle toisiaan. Tämä toisaalta tarkoittaa sitä, että menetetään vaihdettavan optiikan joustavuus.

Acacia-kauppa näyttää miten epävarmaa teknologiavalintojen, kumppanien ja toimitusketjun kanssa voi olla. Kauppapolitiikka vaikuttaa monen valmistajan ja toimijan toimintaan, ja se on syytä tiedostaa ja huomioida toiminnan suunnittelussa ja valintoja ja hankintoja tehdessä. Koronavuoden haastattelujen mukaan 83% yrityksistä sanoi olevansa tietoisempia toimitusketjun riskeistä ja ajatelleensa keinoja sen hallitsemiseksi. Parempi tieto ja läpinäkyvyys koko ketjun osalta parantaisi toimintakykyä ja pienentäisi liiketoimintariskiä. Tässä tarvittaisiin digtalisaatiota ja yhteistyötä valmistajien, tukkurien ja jälleenmyyjien kanssa.

Kiinan vaikutus näkyy myös Ericssonin ja Nokian toiminnassa. Kiina on nopeimmin kasvava markkina-alue ja Huawein kieltäminen Ruotsissa nostatti metelin Ericssonin pelätessä vastavaikutuksia Kiinan myyntiinsä. Toimitusjohtaja Ekholm kertoi, että Ruotsi on huono kotimaa Ericssonille ja painosti vahvasti kumoamaan Huawei-kiellon. Huawein syrjiminen voi hyvin todennäköisesti johtaa länsimaiden syrjimiseen Kiinassa ja jopa alan ja standardien jakautumiseen.

Sattui sitä ennekin. Tarina Ciscon Linksys-ostoksesta 2000-luvun alussa kertoo miten Linksys-reitittimessä oli avoimen lähdekoodin Linux-käyttöjärjestelmä, jonka lähdekoodia ei kuitenkaan ollut julkaistu lisenssin mukaisesti. Cisco ja Linksys eivät tästä tienneet, ilmeisesti Linux oli uinut laitteeseen piirivalmistaja Broadcomin alihankintaketjun kautta ja tieto ei ollut kiirinyt eteenpäin. Asia tuli julki ja Cisco hoiti lisenssiasian kuntoon. Linux jäi ja siitä tuli hakkerien lempityökalu ja WRT54G-reititin sai legendan maineen.

Avoin lähdekoodi

Elastic koki AWS:n tarjoaman Elastisearch-palvelun oman ohjelmistonsa lisenssin riistona ja päätti muuttaa yllättäen lisenssiehtoja. Tarkoituksena oli selvästi näpäyttää AWS:ää, joka ei kuulemma osallistunut open source -henkiseen kehitykseen riittävästi. AWS päätti sitten haaroittaa Elastisearchista oman projektinsa, jota se itse ylläpitää ja kehittää. Elasticilla asia meni henkilökohtaiseksi ja se teki karhunpalveluksen yhteisölle sulkemalla avoimen koodinsa jossain määrin. AWS hyödynsi kokoaan ja hyväksikäytti ilmaista koodia omiin kaupallisiin tarkoituksiinsa ehkä hyvän maun rajan yli. Kumpikin osapuoli väittää, ettei muutoksista koidu suurempaa haittaa käyttäjille, mutta eihän tämä ratkaisukaan käyttäjiä palvele.

Redhatin CentOS kuopattiin ja kädenojennuksena saatiin RHEL ilmaiseksi alle 16 palvelimen ympäristöihin, jota nyt voi kutsua melkein vitsiksi. CentOS on kolmanneksi suosituin jakelu internetissä kattaen 17% palvelimista. Se on kymmenkertainen määrä mikä RHEL:llä. Redhat selitti CentOS:n tuen lopettamista resurssien kohdistamisella toisiin projekteihin. Ongelma oli myös CentOS:n käyttäjien näkymättömyys. Tarkoituksena ei ollut siirtää asiakkaita maksullisen palvelun piiriin, mutta näinhän siinä käytännössä kävi. CentOS Stream ei ole enää se vakaa luotettava versio, joka CentOS oli.

Liikehdintää on ollut myös muualla. Grafana Cloud julkisti jatkuvasti ilmaisen tason ja Gitlab poisti aloitustason nostaen palvelun hinnan viisinkertaiseksi. Riskinsä on näissäkin jos sitoutuu tiettyyn alustaan ja alkaa rakentaa tuotantoa sen päälle. Ainakin on hyvä varautua, että hinta ja ominaisuudet voivat yhtäkkiä muuttua. Nokian Jonne Soininen antoi hyvän johdannon avoimen lähdekoodin käyttöön verkkopuolella.

Suosittu Netbox IPAM- ja DCIM-ohjelma sai taakseen yrityksen tuen kun kehittäjä Jeremy Stretch alkoi tarjota kaupallista tukea ja kehitystä ohjelmalleen.

Yritykset

Vmwaren toimistusjohtajan Pat Gelsingerin lähtö Intelille on herättänyt paljon huomiota. Gelsinger on tunnettu yhtenä parhaimmista johtajista, sekä teknologisena visionäärinä että operatiivisena suorittajana. 8 vuoden aikana hän ehti muokata yritystä melkoisesti, kolminkertaistaa tuloksen, tehdä 30 yritysostoa ja viedä yrityksen verkkopuolelle, pilveen, tietoturvaan, 5G:hen ja kontteihin. Gelsingerin ohella Vmwarelta on lähtenyt useita johtajia. Lisäksi Vmwaren ja Dellin välillä on jatkunut pitkään yhdisty-vai-eroa -köydenveto. Nyt jää nähtäväksi mihin suuntaan yritys jatkaa. Uudelle johtajalle jää aika kasa sekalaista teknologiaa, jota pitäisi yhdistää jotenkin hyödylliseksi kokonaisuudeksi. Yhdellä miehellä voi olla yllätävän iso merkitys yrityksen ja tuotteiden tulevaisuudelle.

Equinix ilmoitti investoivansa Suomen konesaliensa laajennukseen 32M euroa. Lisäkapasitettia on tulossa 800 räkkiä HE5 Viikinmäkeen ja HE7 Sinimäentielle.

ETLA on julkaissut tutkimuksen mihin Nokialta irtisanotut ja lähteneet työllistyivät. Tutkimus ei tarjoa kovin suuria yllätyksiä. Parhaiten työllistyivät korkeakoulutetut ja ylemmät toimihenkilöt. Ei ole yllätys, että Nokian töitä vastaavia erikoisosaamista vaativia paikkoja ei enää Suomesta löytynyt paljonkaan, ja ihmiset työllistyivät enemmän palvelualoille. Tämä kuvastaa laajemminkin yhteiskunnan rakennemuutosta, jossa valmistava teollisuus vähenee ja palvelualat kasvavat.

Kuukauden moka

Extreme missasi Flashin kuolemanpäivän 12.1.2021 ja sen verkonhallintatuote WiNG Manager lopetti toimintansa selaimessa. Ratkaisuna Extreme ehdotti tietokoneen kellon siirtämistä taaksepäin. Toki vanhan kunnon CLI:n kautta hallinta toimi kuten ennenkin.