Tyto informace byly získány na „velké debatě“, kterou jsem pořádal na setkání NANOG Peering BOF. Podrobnější informace pocházejí z diskuzí v předsálí po ukončení debaty.
Úvod
Obrázek 7–1. IXP často podporuje jak veřejný, tak privátní peering.
Když se poskytovatelé internetového připojení rozšíří do IXP, mají dvě možnosti propojení. Mohou se připojit k veřejnému přepínači kvůli šanci na propojení se se všemi účastníky připojenými k tomuto přepínači. V některých IXP se můžete také připojit privátně, skrze měděný vodič nebo vlákno, čemuž se říká přímé propojení. Obě tyto metody jsou ilustrovány na Obrázku 7–1.
Tato kapitola zdůrazňuje některé ze silných stránek obou přístupů.
Při srovnávání veřejného a privátního peeringu předpokládáme, že se oba odehrávají v IXP. Především máme na mysli, že náklady na přenos, kolokaci, energii atd. jsou v obou případech identické. Zvažujeme pouze náklady na vybavení a peeringové služby, spolu s provozními problémy, které jsou s každým modelem spojeny.
Dále předpokládáme, že privátní peering zahrnuje propojení peeringových partnerů pomocí gigabitového Ethernetu přes vyhrazené přímé propojení. Veřejný peering je realizován sdružením těchto stejných peeringových relací přes 10G port na platformě přepínače IXP.
3 nejdůležitější důvody, proč je veřejný peering lepší než privátní peering
Zde jsou nejsilnější argumenty, které předkládají obhájci veřejného peeringu:
1. Veřejný peering je lepší, protože sdružuje výhody.
a) Síť může snadno sdružit velký počet poměrně malých peeringových relací napříč jediným peeringovým portem s pevnou cenou, přičemž žádnému z peeringových partnerů náklady nijak nevzrostou.
(Privátní peering vyžaduje další přímá propojení a potenciálně další kartu rozhraní pro každou peeringovou relaci, takže s každou další peeringovou relací jsou reálně spojeny další náklady.)
Malé peeringové relace často vykazují vysoký stupeň variability úrovně provozu, což z nich činí vynikající kandidáty na sdružení. Protože ne u všech peeringových partnerů dochází k nejvyššímu zatížení ve stejný čas, může být několik peeringových partnerů multiplexováno do karty sdíleného peeringové rozhraní s tím, že vrchol provozu jednoho z partnerů vyplní propad provozu jiného partnera, což pomáhá učinit peering ekonomičtějším. „Nemůžu si dovolit vyhradit celý gigabitový ethernetový port pro privátní peering s tímhle chlapíkem, ale veřejný peering je jasná volba.“
b) Porty pro veřejný peering mají obvykle velmi rozsáhlé gradace šířky pásma: 100 Mb/s Ethernet přechází na 1 Gb/s Ethernet, který přechází na 10 Gb/s Ethernet a nyní 100 Gb/s.
S tak velkými gradacemi je pro malé peeringové partnery snadnější prostřednictvím veřejného peeringu spravovat několikrát více kapacity, než kolik aktuálně používají, což snižuje pravděpodobnost přetížení linky způsobené nestandardním provozem, nárazovým provozem nebo neřízenými útoky odepření služby (DoS). „Někteří peeringoví partneři nemodernizují příliš pružně svou peeringovou infrastrukturu, ani nemají podobné názory na nutnost rezervy v peeringové šířce pásma.“ Velké odstupňování šířky pásma veřejného peeringu pomáhá tyto dva problémy sladit.
2. Správa veřejného peeringu je snazší.
a) Veřejný peering je nejsnadnějším a nejrychlejším způsobem, jak zavést a zrušit peeringovou relaci, protože k tomu není zapotřebí žádné fyzické práce. Provede se softwarová úprava peeringu na routeru obou stran, a poté už je peeringová relace navázána. (Přímá propojení privátního peeringu je nutné objednat a zavést/otestovat, a je nutné domluvit, kdo za to bude platit, atd.).
b) Je běžné, že síť nastaví zkušební peeringovou relaci pomáhající zjistit objem provozu, který by měl být vyměňován, pokud bude relace uskutečněna. Jestliže je k dispozici kapacita veřejného peeringu, k zavedení zkušebního peeringu není zapotřebí žádných dalších nákladů nebo administrativní práce navíc, a shromážděné informace mohou zabránit volbě nesprávné velikosti portu pro privátní peering, pokud se provoz později přesune na privátní peering.
c) Mnoho peeringových koordinátorů musí pracovat s rozpočtem, a nemají oprávnění rozhodovat o nákupech pro jejich společnost. Jakmile je port pro veřejný peering objednán, není spojen s žádnými dalšími náklady, a proto peering nepřináší peeringovému koordinátorovi žádné další zatížení.
d) Veřejný peering přináší finanční předvídatelnost. Požadavky na hardware a pravidelné měsíční náklady na peering jsou stejné každý měsíc, proto je plánování a sestavování rozpočtu mnohem snadnější.
e) 10 G veřejný peering unese velké peeringové relace (větší než 1 Gb/s) bez potíží, zatímco privátní peering nad kapacitu gigabitového Ethernetu vyžaduje privátní peering na 10 G (dražší), nebo sdružení linek (připojení 1 G dohromady), což může být obtížné. Stejná logika platí pro gradace spojené se skokovým vývojem průmyslu (dnešní peeringové porty jsou 100G).
3. Zákazníci používají veřejný peering jako výběrové kritérium.
a) Někteří korporátní a podnikoví zákazníci nadále žádají o seznam veřejných peeringových bodů daného ISP.
b) Veřejný peering může být jediným ekonomickým způsobem, jak navázat peering napříč několika kolokačními zařízeními.
c) Napříč Evropou, kde je veřejný peering přes několik kolokačních center normou, je privátní peering často mnohem dražším řešením. Zakoupení okruhů pro privátní peering ve městě je potenciálně velmi drahé, zatímco stejný provoz může procházet sdílenou peeringovou infrastrukturou mnohem levněji.
5 nejdůležitějších důvodů, proč je privátní peering lepší než veřejný peering
Zde jsou nejsilnější argumenty, které zastánci privátního peeringu předkládali v debatě, nebo je se mnou sdíleli privátně:
1. Monitorování privátních peeringových relací je snadnější.
a) Monitorování privátního peeringu je levné a snadné. Je snadné z každého peeringového portu vyčítat SNMP čítače a tak monitorovat využití zdrojů peeringové relace. Není zapotřebí žádného sběru a zpracování Netflow dat, které jsou náročné na čas, a CPU, ani není k roztřídění směrovacích záznamů zapotřebí žádného nákladného síťového analytického softwaru, který by stanovil objem provozu na jednotlivou peeringovou relaci.
b) Privátní peering poskytuje lepší kontrolu nad případným přetížením takovéhoto propojení. Ve veřejném peeringu mohl vzdálený peeringový partner zaplnit svůj port dalšími peeringovými relacemi, a vy jste do jeho využití portu pro veřejný peering nijak neviděli. Pakety mohly být zahozeny kvůli nadměrnému zatížení portu, což vedlo ke špatnému peeringovému výkonu. Protože privátní peering zahrnuje pouze dvě strany, když port dosáhne dohodnutého využití (řekněme například 60 % využití), obě strany vidí, že je na čase provést upgrade dané peeringové relace.¨
c) Některé strany nařizují přechod k privátnímu peeringu, pokud kterákoli ze stran dosáhne 40 % využití na svém portu pro veřejný peering. Protože tento směr je každopádně směrem migrace, proč u něj rovnou nezačít?
2. Privátní peering je velmi ekonomický.
a) Tento závěr je založený na skutečnosti, že porty routeru jsou drahé a porty přepínače jsou levné. I kdyby očekávané náklady na potřebnýport a na vzájemné propojení činily 800 USD za měsíc a strany očekávaly, že si navzájem pošlou 4 Gb/s, náklady na výměnu provozu by činily pouhých 800 USD / 4 000 Mb/s = 0,50 USD/Mb/s, což je atraktivní cena ve srovnání s dnešní tržní cenou tranzitu.
b) Pro ty, kteří si vyměňují provoz s několika velkými peeringovými partnery, platí pravidlo 80–20: většina peeringových přínosů pramení z peeringu s 20 % potenciálních peeringových partnerů, kteří doručují 80 % vašeho provozu, což naznačuje, že několik větších peeringových partnerů je výhodnější strategie, než mnoho malých peeringových partnerů napříč infrastrukturou veřejného peeringu.
3. Privátní peering je spolehlivější a je snadnější jej debugovat.
a) Privátní peering zahrnuje méně síťových komponent, které se mohou porouchat. Je třeba poznamenat, že tento argument je slabší, pokud jsou relace privátního peeringu realizovány přes VLAN, optické okruhy, telekomunikační SONET / SDH služby nebo další aktivní síťové prvky.
b) Architektura privátního peeringu odstraňuje variabilitu podpůrných procesů napříč IXP s veřejným peeringem. V rámci Evropy je každý IXP odlišný a operátor NOC může potřebovat rozumět procesům a úrovni podpory a schopnosti odstraňovat problémy, jakými disponuje pohotovostní personál příslušného IXP, a může dokonce potřebovat vytvořit skripty NOC pro navigaci skrze provozní úkony IXP. Architektura privátního peeringu poskytuje konzistenci, která NOC pomáhá ladit provoz a odstraňovat potíže mnohem rychleji.
c) Jednou z obav spojených s veřejným peeringem je, že infrastruktura na druhé vrstvě by mohla být spojena skrze další infrastrukturu druhé vrstvy, možná bez vědomí či souhlasu peeringového partnera, což by vedlo k velmi obtížnému ladění a diagnostické situaci, kdyby došlo k selhání peeringu.
4. Relace privátního peeringu jsou bezpečnější.
a) Síť privátního peeringu, která je přímo spojena pouze se subjekty, se kterými existuje explicitní peeringová dohoda, je bezpečnější než síť, která spojuje infrastrukturu veřejného peeringu zahrnující účastníky, se kterými společnost nemá žádný vztah. Je zde určitá historie: rané propojovací uzly byly místy, kde se prováděly „krádeže provozu“ cílené na nic netušící a špatně zabezpečené partnery veřejného peeringu. K dalším problémům patřilo tunelování provozu peeringovými partnery napříč oceánem v síti peeringového partnera. Takové věci jsou v provozních podmínkách většiny IXP zakázány, lze je dále zabezpečit filtrováním, ale stále jsou považovány za potenciální rizika, která privátní peering snižuje.
b) Architektura s výhradně privátním peeringem je méně náchylná k narušení. Pokud se mezi peeringovými partnery nachází přepínač nebo jiná aktivní elektronika, existuje možnost, že může být provoz zrcadlen a zachycen v peeringovém bodě, aniž by to bylo detekováno. Je poměrně snadné zrcadlit port veřejného peeringu, ve srovnání s nabouráním se do vzájemně propojených vláken privátního peeringu, aniž by na to postižení peeringoví partneři přišli.
5. Inklinace k privátnímu peeringu signalizuje atraktivnějšího peeringového partnera.
a) „Velcí hráči“ využívají privátní peering, a někteří z nich z historických důvodů infrastrukturou veřejného peeringu pohrdají. Tento postoj je posouvá do skupiny celosvětově největších Tier 1 ISP. „Pro určité velmi velké sítě veřejný peering nedává vůbec smysl. Pro určité velmi malé sítě má veřejný peering velký smysl.“ Nebo abychom to řekli drsněji: „Pokud považujete veřejný peering za dobrý nápad, ještě nejste dost velcí.“
Hybridní přístup (veřejný + privátní peering)
Běžná je kombinace veřejného a privátního peeringu, kdy mají ISP veřejný peering a peeringové relace převedou na privátní peering, když objem provozu k určitému peeringovému partnerovi a od něj vzroste.
Jeden ISP, se kterým jsem hovořil, primárně používá privátní peering, ale udržuje veřejný peering jako zálohu a nouzovou propojovací kapacitu. Za klíčový atribut považoval možnost škálovat veřejný peering rychle a bezproblémově. Historie ukázala, že provoz obvykle roste, postupně nebo nepravidelně, z neočekávaných a jednorázových událostí.
Vijay Gill sdílel své přesvědčení, že ISP prochází životním cyklem peeringové politiky tak, jak ukazuje Obrázek 7–2.
Obrázek 7–2: Životní cyklus peeringové politiky.
Když síť poprvé vstoupí do peeringového ekosystému, má tendenci k větší otevřenosti a ochotě zavést peering s kýmkoli, kdo jí může pomoci snížit výdaje za tranzit. Během této doby dává přednost veřejnému peeringu, protože ten znamená sdružení velkého počtu malých peeringových relací.
Jak síť roste, má tendenci zavádět hybrid veřejného a privátního peeringu a přijímat selektivnější peeringovou politiku.
Největší ISP v každém studovaném internetovém regionu měli tendenci migrovat výhradně k privátnímu peeringu a byli velmi restriktivní vzhledem k tomu, s kým byli ochotni peering zavádět. Protože je peeringových partnerů málo, vyhrazený peeringový port naprosto postačuje.
Peeringové politiky a širší dynamiku peeringového ekosystému budeme podrobněji probírat v následující kapitole.
ČLÁNKY DO MAILU