Serveis addicionals

Els membres del CATNIX tenen al seu abast una sèrie de serveis de valor afegit:

Multicast

Ja a l'any 2000, es va iniciar una experiència pilot de multicast a la infraestructura de CATNIX a la que van participar algunes entitats. En l'actualitat, aquells membres que ho sol·licitin tenen la possibilitat de participar en una VLAN separada per a l'intercanvi de tràfic multicast, tant IPv4 com IPv6.

pujar

IPv6

La infraestructura del CATNIX permet l'intercanvi de tràfic IPv6 i s'ha utilitzat activament per a esdeveniments com l'IPv6 Summit, englobat dins de l'Internet Global Congress 2005, o per al Dia Mundial d'IPv6 i el Llançament Mundial d'IPv6. Els primers intercanvis de tràfic IPv6 es van fer l'any 2005.

pujar

Servidor NTP

Es disposa de dos servidors de temps NTP amb connexions totalment independents. D'una banda, l'ubicat a l'emplaçament del CATNIX a Itconic (CSUC-T), el Meinberg M200, que actua com a servidor primari. De l'altra, el situat a Campus Nord (CSUC-CN), un Meinberg M300, i que actua com a servidor secundari o de backup.

Ambdós servidors actuen com a Stratum0/1 i es sincronitzen amb els satèl·lits amb els que tenen visibilitat en cada moment (entre 3 i 8).

pujar

Servidor IXP-Watch

L'eina IXP-Watch, creada inicialment per Rob Lister, del LINX, està dissenyada per monitorar a nivell 2 i detectar el tràfic potencialment perillós pel bon funcionament del punt neutre (tràfic de broadcast, tràfic no IP...).

Aquesta eina, permet conèixer la puresa del tràfic dins del punt neutre i identificar possibles patrons de tràfic estranys, normalment deguts a la configuració incorrecta d'algun dels participants.

pujar

Servidor arrel de noms F

Des de l'any 2005 hi ha disponible una rèplica del servidor arrel de noms F, gestionat per la institució nord-americana Internet Systems Consortium (ISC).

Aquesta rèplica incorpora adreçament IPv6 a més d'IPv4 i permet augmentar la qualitat de servei en la millora del temps de resposta per les consultes al servidor de noms (DNS), així com incrementar la seguretat, ja que garanteix el servei en cas d'atacs de denegació de servei distribuït (DDoS).

pujar

Looking Glass

Aquesta eina, que està en funcionament des de la creació del CATNIX, s'usa per a la consulta interactiva d'alguns dels encaminadors i és molt útil per al seguiment de problemes d'encaminament. Des d'ella es poden consultar, des de qualsevol dispositiu, les rutes visibles al CATNIX i es poden fer comandes, com ara traceroute. La interfície permet disposar d'un històric de comandes, realitza mapes de rutes (bgpmap) i fa consultes 'whois' per donar informació sobre rutes i Sistemes Autònoms.

pujar

Gestió fora de banda

Per tal d'accedir als equips sense utilitzar les interfícies habituals, existeix un encaminador per l'accés fora de banda a disposició dels membres del CATNIX des de l'any 2002. Aquest servei és especialment útil en cas de problemes a la xarxa o al propi encaminador de l'entitat, ja que permet fer un primer diagnòstic ràpid del problema.

L'accés es fa de manera segura, únicament amb ssh i limitat per IP.

pujar

Servidor arrel de noms J

La rèplica del servidor arrel de noms J està disponible des de finals de 2010 i VeriSign s'encarrega de la seva gestió. Amb aquesta i les altres rèpliques disponibles, es millora el temps de resposta de les consultes al DNS (Servidor de Noms) i s'incrementa la seguretat, ja que es minimitza l'impacte global en cas d'atacs de DDoS (Denegació de Servei Distribuït).

pujar

Rèpliques del .com i .net

El servidor HP DL360p Gen8, posat en marxa el 2015, proveeix les rèpliques dels TLD (Top Level Domains) .com i .net. Amb aquestes i les altres rèpliques disponibles, es millora el temps de resposta de les consultes al DNS (Servidor de Noms) i s'incrementa la seguretat, ja que es minimitza l'impacte global en cas d'atacs de DDoS (Denegació de Servei Distribuït).

pujar

Servei 24x7

Per tal de garantir la màxima disponibilitat i fiabilitat en l'accés als equipaments de comunicacions i serveis addicionals del Centre, des de 1999 es disposa d'un servei de 24 hores per atendre les incidències que es produeixen fora de l'horari laboral presencial.

pujar

Test de velocitat

Aquesta eina que permet mesurar la qualitat de la connexió a internet de manera fàcil pels usuaris, proporcionant les velocitats de pujada i de baixada en megabits per segon (Mbps) i la latència en milisegons (ms). El programari, molt estès arreu del món, ha estat desenvolupat per Ookla, una companyia nord-americana fundada el 2006 capdavantera en aplicacions de mesura d'amplada de banda i diagnòstic de xarxa.

pujar

Servidor arrel de noms L

Des de juny de 2012 hi ha disponible una rèplica del servidor arrel de noms L, gestionada per l'Internet Corporation for Assigned Names and Numbers (ICANN). Amb aquesta i les altres rèpliques disponibles, es millora el temps de resposta de les consultes al DNS (Servidor de Noms) i s'incrementa la seguretat, ja que es garanteix el servei en cas d'atacs de denegació de servei distribuït (DDoS).

pujar

Servidor arrel de noms K

La rèplica del servidor arrel de noms K, gestionada per RIPE, està disponible des del mes d'agost de 2015. Amb aquesta i les altres rèpliques disponibles, es millora el temps de resposta de les consultes al DNS (Servidor de Noms) i s'incrementa la seguretat, ja que es garanteix el servei en cas d'atacs de denegació de servei distribuït (DDoS).

pujar

RIPE RIS

El servei RIPE RIS, funciona recopilant i emmagatzemant les dades d'encaminament d'internet (BGP) des de diversos punts neutres de tot el món, entre ells el CATNIX. El RIPE Routing Information Service (RIS) és una eina d'utilitat per esbrinar les modificacions de l'encaminament a la xarxa. Permet veure i descarregar dades històriques i fer un seguiment detallat dels canvis per solucionar problemes d'encaminament, fer mapes de connectivitat, monitorar prefixes, etc. Les dades, que són obertes a la comunitat, serveixen també per fer recerca acadèmica.

pujar

Panell de monitoratge

El panell de monitoratge compta amb estadístiques d'ús en temps real de l'estat de totes les connexions. Dins el panell es pot accedir també a la informació sobre el tràfic entre els nodes de Campus Nord, Itconic i bitNAP, i del tràfic de cadascun dels ports del commutador amb percentatges d'ocupació de línia. També permet comprovar tan l'estat d'operació de la connexió com la capacitat de l'enllaç que s'està utilitzant, tant de tràfic enviat com rebut.

pujar

LISP DDT

El node arrel LISP DDT (Locator/ID Separation Protocol Delegated Database Tree) experimenta amb una arquitectura de xarxa i un conjunt de protocols que construeixen un nova semàntica per a les adreces IP. Implementat el 2014, es basa en la separació de les adreces IP actuals en dos espais de noms: els Endpoint Identifiers (EID), els 'qui', i els Routing Locators (RLOC), els 'on'.

El LISP DDT és una base de dades jeràrquica i distribuïda que proporciona informació de delegació per fer els mapejos EID-RLOC.

pujar

M-Lab

M-Lab (Measurement Lab) és una plataforma que inclou eines per provar la connexió, la qualitat i la neutralitat de la xarxa. Una de les eines més destacades que inclou és el test de velocitat i diagnosi NDT (NDT, Network Diagnostic Tool) que proporciona proves de rendiment i de configuració de la xarxa de l'usuari. Recull els resultats de la prova, registra l'adreça IP de l'usuari, la velocitat d'enviament i de descàrrega de la informació, l'encapçalament i les variables del protocol de control de transmissió (TCP) de la prova.

A més de l'NDT, M-Lab disposa d'altres eines, com ara NPAD (Network Path & Application Diagnostics), Neubot, BISmark, Paris Traceroute, OONI, MobiPerf, Reverse Traceroute i SideStream.

Les mesures dutes a terme des del node M-Lab són actives, és a dir, que només s'executen quan algun usuari les executa de forma manual. No supervisen de manera passiva la connexió. Les proves mesuren la manera en què la xarxa respon a un flux sintètic de dades generat per la prova individual específicament per al mesurament.

pujar

Route-server

El servidor de rutes (route-server) facilita la recepció i enviament de rutes de nous membres i l'establiment de peerings al CATNIX. El route-server es basa en una plataforma Bird, la seva adreça IPv4 és la 193.242.98.98/24, l'adreça IPv6 és la 2001:7f8:2a:0:1:1:6:0082/48 i el seu Sistema Autònom és el AS60082.

Per poder realitzar totes les funcions dels peerings bilaterals (prepends, filtrat de xarxes, no anunciar a un peer...) es senyalitza via communities. Si el voleu utilitzar o teniu algun dubte, podeu contactar amb nosaltres a catnix@suport.csuc.cat.

Mitjançant la utilització de BGP communities (o BGP large communities per als AS de 4 bytes), els membres del CATNIX que fan peering al route-server poden controlar la redistribució dels seus anuncis o afegir prepends a les rutes dels seus prefixos. La llista de comunitats BGP que el CATNIX ofereix als seus membres és:

Acció BGP Standard
Community (RFC 1997)
BGP Extended
Community (RFC 4360)
BGP Large Community
(RFC 8092)
No export 65535:65281 rt:65281:peer_as 65535:65281:peer_as
No advertise 65535:65282 rt:65282:peer_as 65535:65282:peer_as
No anunciar a ningú 0:60082 rt:0:60082 60082:0:0
No anunciar a un peer 0:peer_as rt:0:peer_as 60082:0:peer_as
Anunciar a un peer 60082:client_asn rt:60082:client_asn 60082:1:client_asn
Prepend a un peer 65511:peer_as rt:65511:peer_as 60082:101:peer_as
2 prepends a un peer 65512:peer_as rt:65512:peer_as 60082:102:peer_as
3 prepends a un peer 65513:peer_as rt:65513:peer_as 60082:103:peer_as
Prepend a tots 65501:60082 rt:65501:60082 60082:101:0
2 prepends a tots 65502:60082 rt:65502:60082 60082:102:0
3 prepends a tots 65503:60082 rt:65503:60082 60082:103:0

El servidor de rutes de Bird al CATNIX admet comprovacions i implementa les següents regles de filtratge:

  • Només accepta next hop vàlids (l'adreça del client es troba a la LAN del CATNIX).
  • No accepta rutes de més de 32 salts.
  • Comprova que l'AS del client sigui el primer de la ruta.
  • Comprova que no hi hagi AS invàlids a la ruta.
  • Filtra adreces IPv4 i IPv6.
  • Filtra anuncis BGP basats en dades de l'IRRDB (objectes aut-num i as-set indicats al PeerdingDB), revisant els filtres cada dia segons els canvis observats a la base de dades IRR.
  • Comprova que l'RPKI sigui correcte (ROA o Route Origin Authorization).

L'AS-SET que inclou els intercanvis al servidor de rutes del CATNIX és AS-CATNIX-RS i AS-CATNIX-IP6-RS.

pujar

Protecció de l'intercanvi LAN

Hi ha tràfic que pot ser perillós pel CATNIX i els seus membres. És per aquest motiu que el CATNIX desenvolupa les següents accions:

  • Els ports entre els clients i els commutadors del CATNIX han d'estar en mode d'accés (no es permetrà el mode troncal).
  • Només es permet una adreça MAC coneguda per port (seguretat de port).
  • No s'accepta el protocol LLDP.
  • No s'accepta el protocol BPDU.
  • El control de tempestes multicast està configurat als ports del commutador.

A més, el CATNIX controla de manera contínua el tràfic de la capa 2 a l'intercanvi a través de mostres de tràfic de transmissió i tràfic inundat. Ho fa a través de l'eina IXP-watch. L'eina genera alertes quan es produeix una de les següents condicions: ARP excessiu, tràfic excessiu capturat, Spanning Tree, absència de tràfic IP/IPv6 (per exemple CDP), Multicast / Tràfic dirigit a 255.255.255.255 - DHCP/OSPF/IGP, etc., Stray SNMP. També genera informes amb el número de consultes ARP, ARP per minut, paquets IPv4, paquets IPv6, paquets ICMP, paquets d'absència d'IP, ARPs Sponged i Dead BGP Peers).

pujar

Peering matrix

L'eina Peering matrix es basa en el flux de dades sFlow, una tecnologia de mostreig de paquets inclosa en els commutadors del CATNIX, i té granularitat per mostrar tots els intercanvis, només els bilaterals o només els que es realitzen mitjançant el route-server. Es troba accessible via el portal privat d'estadístiques del propi punt neutre.

pujar