SURFnet8: de voordelen voor de netwerkdiensten

Begin 2018 zijn we als SURFnet-netwerk designteam begonnen met het uitwerken van de nieuwe SURFnet8-architectuur. Inmiddels is de architectuur vastgesteld en zijn alle functionele testen die nodig zijn voor de start van de uitrol van SURFnet8 uitgevoerd. In deze blogpost leg ik de technische keuzes uit, de consequenties hiervan voor de SURFnet-netwerkdiensten en de voordelen die hieruit voortvloeien.

Architectuurkeuze

Technologiekeuze: Multiprotocol Label Switching

Binnen het designteam leefde de wens om voor het SURFnet8-netwerk met een dynamische control plane te gaan werken. Al bij de uitvraag in de Request for Proposal (RFP) is hier sterk op aangestuurd. Met een dynamische control plane kun je eenvoudiger topologie-aanpassingen doorvoeren en het biedt tegelijkertijd een restoratiemechanisme, dat in een statische control plane, zoals toegepast in SURFnet7, ontbreekt.

Multiprotocol Label Switching (MPLS) is een dynamische control plane en een volwassen technologie die door vrijwel alle serviceproviders wordt gebruikt. Tegelijkertijd is het een technologie waarbij serieus geïnvesteerd wordt in doorontwikkeling, zoals nieuwe fail-overmechanismen en signaleringsmechanismen voor LSP’s (RSVP-TE, Segment Routing) en VRF-innovaties (EVPN). Het was dan ook geen verrassing dat alle aanbieders tijdens de SURFnet8-RFP een netwerkoplossing op basis van het MPLS-protocol voorstelden. SURFnet8 zal dus MPLS als basistechnologie gebruiken.

MPLS: altijd een back-up pad beschikbaar

Het mooie van MPLS is dat het een stevig fundament in je netwerk creëert. MPLS zal een full mesh aan LSP (Label Switched Paths) paden verzorgen, inclusief optionele fail-overmechanismen. Deze full mesh LSP-paden zijn automatisch beschikbaar, waardoor het verkeer altijd haar bestemming kan bereiken binnen het SURFnet8-domein. In SURFnet8 is de keuze gevallen op Segment Routing (SR) als signaleringsmechanisme van LSP-paden. Verder zal er gebruik gemaakt worden van het fail-overmechanisme TI-LFA (Topology Independent Loop Free Alternate) voor het switchen van paden. TI-LFA zorgt ervoor dat er voor elk pad, onafhankelijk van de topologie, een back-up pad is uitgerekend. Hierdoor zullen verstoringen op backbone links als nauwelijks tot niet waarneembare switch-overs merkbaar zijn.

Alle nodes in SURFnet8 krijgen de MPLS PE-functie (Provider Edge), dus kunnen alle nodes elke klantdienst bieden, ongeacht de plaats in het netwerk. Deze uniformiteit van de nodes vereenvoudigt de architectuur aanzienlijk, omdat er geen separaat laag 2-netwerk meer nodig is, maar alle locaties via MPLS in een logische full mesh worden ontsloten. Zoals in het rechterdeel van figuur 1 is te zien, worden alle nodes via directe MPLS LSPs verbonden. In het linkerdeel van figuur 1 zie je het laag 2-netwerk dat klantrouters koppelt naar de centrale IP-core in SURFnet7.

Schema diagram dat het verschil toont tussen SURFnet7 met een fysiek laag 2-netwerk en SURFnet8 met logische full mesh MPLS LSPs tussen de PE-routers.
Figuur 1: Overzicht van het verschil tussen (links) SURFnet7 met een fysiek laag 2-netwerk en (rechts) SURFnet8 met logische full mesh MPLS LSPs tussen de PE-routers.

MX: één productfamilie

Het netwerk bouwen we met producten uit de MX-productfamilie van Juniper. Het Juniper MX-portfolio heeft een ruime keuze aan chassistypes; van 1u hoge ‘pizza’ devices tot halve kast grote corerouter-chassis. De kracht van deze oplossing is dat alle MX-chassis dezelfde TRIO-chipset gebruiken, waardoor ze dezelfde softwarefeatures ondersteunen. Dit maakt het testen en modelleren van de configuratie van het netwerk zeer overzichtelijk en alle klantdiensten kunnen zonder uitzonderingen op alle verschillende chassis worden ondersteund.

De MX-serie is het high-end portfolio van Juniper: zelfs de kleinste MX in SURFnet8 (MX204) ondersteunt tot 4x 100G-interfaces. De grootste MX binnen SURFnet8 (MX2008) zal met de nieuwe generatie lijnkaarten maar liefst 4 Tb/s full duplex per slot bieden. Onze verwachting is dat we een zeer schaalbaar netwerk opbouwen, dat voor de lange termijn de bandbreedtevraag van instellingen kan gaan vervullen. De linksnelheid in het core- en metronetwerk wordt minimaal 100Gb/s en is eenvoudig uit te breiden naar bundels van meerdere 100Gb/s linken. De introductie van 400Gb/s lijnkaarten (vanaf 2020) op de MX-platformen zal SURFnet8 ook de mogelijkheid bieden om de bandbreedte in het corenetwerk verder op te schalen. In figuur 2 zie je een overzicht van het corenetwerk met de 100G-links.

Schema diagram van het SURFnet8-corenetwerk met de 100G-links en chassistypen.
Figuur 2: SURFnet8-corenetwerk met de 100G-links en chassistypen.

Wat verandert er aan de SURFinternet-aansluiting en wat zijn de voordelen?

De introductie van SURFnet8 zal voor de netwerkdiensten een aantal mooie verbeteringen doorvoeren. Kort samengevat:

  • Internetverkeer tussen SURFnet-instellingen zal de kortere, rechtstreekse paden gebruiken en niet via Amsterdam worden gerouteerd.
  • Door routering op de randen van het netwerk waar de klant aansluit, kan er met minder BGP-sessies een SURFinternet-aansluiting worden gerealiseerd met dezelfde (of zelfs hogere) beschikbaarheid.
  • De algemene beschikbaarheid van alle netwerkdiensten zal hoger zijn, doordat bij werkzaamheden alle klantpoorten actief blijven.
  • De dynamische control plane zal altijd een pad vinden naar de eindbestemmingen en daarmee is de kans groot dat het netwerk een tweede verstoring ook kan opvangen.

Kortere paden

De grootste en opvallendste architectuurwijziging van SURFnet8, ten opzichte van SURFnet7, is het ontbreken van een centrale corerouter-oplossing. Door de keuze om MPLS PE-routers te plaatsen op alle locaties en alle routers uit te rusten met de ‘full routing tabel’, levert dit altijd optimale paden op en zullen lokale routeringsbeslissingen nu resulteren in kortere paden tussen aangesloten instellingen (zie figuur 3).

Schema diagram dat het verschil toont tussen SURFinternet-paden tussen instellingen in SURFnet7 (altijd via Amsterdam) en SURFnet8.
Figuur 3: Verschil tussen SURFinternet-paden tussen instellingen in SURFnet7 (altijd via Amsterdam) en SURFnet8.

Routeren op de node waar de klant aansluit – minder BGP-sessies nodig

Met het verdwijnen van het laag 2-netwerk vereenvoudigt de SURFinternet-koppeling aanzienlijk. In SURFnet7 zijn voor de protected BGP-aansluiting 2 BGP-sessies nodig die via geografisch gescheiden paden naar de Amsterdamse corelocaties (Asd1 en Asd2) worden geleid (zie figuur 4). In SURFnet8 wordt de BGP-sessie van de klant direct op de lokale SURFnet8 node getermineerd en wordt het verkeer volledig resilient over het MPLS-netwerk getransporteerd. Hierdoor volstaat één enkele BGP-sessie per fysiek SURFnet-koppelvlak met de lokale SURFnet8 PE-router.

Schema met de verschillen tussen SURFinternet BGP-aansluitmodellen in SURFnet7 en SURFnet8.
Figuur 4: Verschillen tussen SURFinternet BGP-aansluitmodellen in SURFnet7 en SURFnet8.

Flexibele BGP-prioriteiten

In SURFnet7 is een redundante IP-service altijd opgebouwd uit 2 fysieke SURFnet-koppelingen voor een instelling. Op de ene is de primaire en op de andere de secundaire BGP-sessie (en voor dubbele redundante BGP ook nog 1 tertiair en 1 quaternair) geconfigureerd. Door de hogere metric op de primaire BGP-sessie zal het verkeer altijd via de SURFnet-koppeling met de primaire BGP-sessie worden verstuurd. In SURFnet8 is deze strikte indeling niet meer nodig en kunnen meerdere ‘primaire’ BGP-sessies worden ondersteund. Zodoende kan verkeer van de instelling over beide klantpoorten worden gestuurd. Dit maakt het mogelijk om meer sturend te zijn op welke instellingsrouter het verkeer wordt ontvangen (bijvoorbeeld door het zetten van een MED).

Verbetering van de beschikbaarheid van SURFlichtpaden en SURFinternet

Het dynamische karakter van de MPLS-infrastructuur in combinatie met Segment Routing en TI-LFA (waarover meer info in een toekomstige blogpost) levert altijd het beste pad op basis van IS-IS metrics van de linken (IS-IS is het IGP dat in SURFnet8 gebruikt wordt). Bij verstoringen zal het back-up pad worden gekozen dat al in de packet forwarding engine staat. Een fiberbreuk in het netwerk zal hierdoor bijvoorbeeld slechts merkbaar zijn als een nauwelijks tot niet waarneembare switch-over naar het back-up pad. Dit betekent dat de klantpoorten van een redundant lichtpad in principe altijd up zijn. Zelfs een tweede failure/fiberbreuk kan opgevangen worden door de dynamische control plane, als er maar een alternatief pad beschikbaar is. Alleen als de PE-router waar de service op termineert geen verkeer meer forward, zoals bijvoorbeeld bij een reboot, software-upgrade of stroomstoring, zou het tot een service-outage kunnen leiden. In het zeldzame geval dat SURFnet8 getroffen wordt door dubbele failures, waardoor nodes geen fysieke connectiviteit meer hebben, kan dit ook een service-outage veroorzaken.

Welke ontwikkelingen zijn er verder te verwachten?

SURFnet8 heeft de ideale mogelijkheid om schaalbare multipointdiensten te bieden, zowel op laag 2 als laag 3. Ook multihoming (een klantpoort via een LACP-link aansluiten op twee SURFnet8-nodes) zal tot de mogelijkheden behoren binnen de EVPN-diensten. Dit zou een interessant aansluitmodel kunnen zijn voor redundante MSP’s. Daarnaast zijn er concrete plannen voor de Firewall-as-a-Service-dienst, zoals beschreven in deze blogpost van Richa Malhotra. Deze nieuwe mogelijkheden zullen het SURFnet8-netwerkportfolio de komende jaren verrijken.

Auteur

Reacties

Dit artikel heeft 0 reacties