Apollon-Plattform: DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte
Der DE-CIX-Betreiber hat seine Apollon-Plattform im Livebetrieb auf Peering LAN 2.0 ausgebaut. Das gab das Unternehmen am 6. Dezember 2022 bekannt(öffnet im neuen Fenster) . Die Arbeiten an der Migration starteten Anfang November mit der Umstellung an den Standorten Phoenix (Arizona) und Frankfurt und seien in der vergangenen Nacht mit der Umstellung der letzten auf der Apollon-Plattform betriebenen, privaten Closed User Groups (CUG) abgeschlossen worden.
Die Migration erfolgte innerhalb nächtlicher Wartungsfenster bei laufendem Betrieb. Um keine Probleme zu bekommen, hatte das DE-CIX-Team das Peering-LAN aller umzustellenden Internetknoten zuvor in Software abgebildet und diese virtualisierte Umgebung zum Testen genutzt.
Die gleichzeitige Einführung von Ethernet Virtual Private Network (EVPN) reduziert Netzwerkrauschen auf der Plattform, senkt so die Auslastung aller angeschlossenen Router und soll die Sicherheit der DE-CIX-Internetknoten erhöhen.
Netzwerkrauschen in großen Peering-LANs wie an Internetknoten entsteht durch das Address Resolution Protocol (ARP) bei IPv4 und das Neighbor Discovery Protocol (NDP) bei IPv6. Aufgrund dieser Protokolle werden viele Anfragen gleichzeitig an alle angeschlossenen Kundenrouter geschickt. Je größer die Plattform ist, umso stärker steigt auch das Anfrageaufkommen.
Effizienz für alle angeschlossenen 2.600 Netzwerke erhöhen
Bei der an den DE-CIX-Internetknoten implementierten erweiterten EVPN-Version werden alle Anfragen von den DE-CIX-Routern abgefangen. Die Router antworten entweder auf die Anfragen oder verwerfen sie, wodurch die Anzahl der ARP- und NDP-Anfragen, die jeder einzelne Kundenrouter bearbeiten muss, erheblich reduziert wird.
Das soll die Effizienz für alle angeschlossenen 2.600 Netzwerke erhöhen. Zudem soll EVPN bestimmte Angriffsvektoren verhindern. "Kunden berichten uns von bis zu 25 Prozent weniger CPU-Auslastung bei an DE-CIX angeschlossenen Kundenroutern durch den Wegfall des ARP-/NDP-Rauschens" , sagte Thomas King, Technikvorstand bei DE-CIX.
Nachtrag vom 7. Dezember 2022, 12:58 Uhr
Golem.de-Leser fragten, wie die Anzahl der ARP- und NDP- Transaktionen verringert werden kann, ohne die Kundenrouter der angeschlossenen Netze im Regen stehen zu lassen. "Wenn aus Kundennetz A ein ARP-Request für einen Knoten aus Kundennetz B ankommt, und der DE-CIX-Router kann die Anfrage nicht aus seinem Cache befriedigen – was passiert dann?"
Laut King sollte diese Situation so in der Peering-LAN-2.0-Konfiguration nicht vorkommen. Im aktuellen Set-up müsse kein Router aus Kundennetz A mehr eine ARP/NDP Request ins gesamte Peering LAN schicken. "Die Aufgabe, die zuvor die ARP/NDP Requests der einzelnen Kundenrouter erfüllt haben, wird nun durch die DE-CIX Router als Vermittlungsstelle übernommen. Diese kennen alle ans Peering LAN angeschlossenen Kundenrouter. Unbekannte Anfragen werden automatisch verworfen. Das ist eines der Sicherheitsfeatures dieses Upgrades."
Ausgetauscht wurden Hardware und Software: "Das aktuelle Upgrade wurde als Software-, beziehungsweise Konfigurationsupdate durchgeführt. In einer Handvoll Fälle über all unsere Internetknoten hinweg mussten zuvor ältere Geräte getauscht werden, weil sie die Anforderungen der neuen Softwarekonfiguration nicht erfüllt hätten" , sagte King. Unabhängig davon tausche DE-CIX regelmäßig Hardware aus, um neue Features anbieten zu können oder die Effizienz der Plattform zu erhöhen.