17. Oktober 2022

Peering LANs 2.0 – EVPN Einführung auf der DE-CIX Apollon-Plattform

Digitalisation

Q&A mit Dr. Thomas King, CTO bei DE-CIX 

Wir arbeiten derzeit an der Implementierung von EVPN an all unseren Standorten, an denen wir die DE-CIX Apollon Plattform betreiben (alle Standorte außer Indien). Dieses Upgrade wird unsere Peering-LANs noch robuster und sicherer für unsere Kunden machen.  

 

EVPN steht für "Ethernet Virtual Private Network" und der Einsatz in großen Netzwerken hat viele Vorteile. Gemeinsam mit Nokia und anderen Partnern haben wir den EVPN-Standard weiterentwickelt, um Funktionen für den Anwendungsfall von Internet Exchangen zu implementieren. Diese Verbesserungen sind im RFC 9161 mit dem Titel "Operational Aspects of Proxy ARP/ND in Ethernet Virtual Private Networks" standardisiert. DE-CIX ist der erste Internet Exchange Betreiber, der diese verbesserte Version von EVPN an allen Standorten implementiert und damit die Ausfallsicherheit der Verbindungen für seine Kunden erhöht. Dr. Thomas King, CTO beim DE-CIX, erläutert die Vorteile und die Gründe für die Einführung dieser Änderung.

Was ist EVPN?

EVPN, oder ein "Ethernet Virtual Private Network", hilft dabei, unnötiges Netzwerkrauschen in Peering-LANs an Internet Exchangen zu beseitigen. Dieses Netzwerkrauschen wird durch das Address Resolution Protocol (ARP) in IPv4 und das Neighbor Discovery Protocol (NDP) in IPv6 erzeugt, was dazu führt, dass viele Anfragen an alle Kundenrouter innerhalb des Peering LANs geschickt werden. Je größer das Peering-LAN ist, desto mehr Flooding tritt auf. Daher ist EVPN besonders nützlich, um das ARP- und NDP-Netzwerkrauschen in großen Peering LANs an Internet Exchangen wie DE-CIX Frankfurt, DE-CIX New York und DE-CIX Madrid zu unterdrücken.

Welche Probleme gibt es bei den derzeitigen Peering-LANs?

Wenn ein Router mit einem anderen Router kommunizieren möchte, sendet er eine ARP- oder NDP-Anfrage zur Ermittlung der MAC Adresse des anderen Routers. Die ARP- oder NDP-Anfrage wird jedoch an alle Router, die Teil des Peering-LANs sind, weitergeleitet. Eine starke Belastung durch diesen Datenverkehr kann auf einigen Routern eine Menge Ressourcen (z. B. CPU und RAM) verbrauchen, was zusätzliche Konfigurationsänderungen erfordert, um das Problem zu entschärfen, oder Probleme wie das Auslösen von Alarmen verursacht. Je größer das Peering-LAN ist, desto lauter ist das Netzwerkrauschen des ARP- und NDP-Verkehrs, und in Frankfurt beispielsweise sind daher einige kleinere Router nicht in der Lage, die BGP-Sitzung am Laufen zu halten.

Wie wird es auf der DE-CIX-Plattform funktionieren?

Anstatt das Peering-LAN mit ARP- und NDP-Anfragen zu überfluten, die jeder Kundenrouter bearbeiten muss, werden bei der von uns implementierten erweiterten EVPN-Version alle Anfragen von den DE-CIX Routern abgefangen. Die DE-CIX Router antworten entweder auf die Anfragen oder verwerfen sie, wodurch die Anzahl der ARP- und NDP-Anfragen, die jeder Kundenrouter bearbeiten muss, erheblich reduziert wird.

Was sind die Vorteile von EVPN?

Ein Router, der ARP- und NDP-Anfragen für Adressen beantwortet, die nicht zu seinen eigenen Schnittstellen gehören, kann den Datenfluss zwischen den beabsichtigten Nachbarroutern stören und unterbrechen. So kann beispielsweise ein Proxy-Server, der auf einem Kundenrouter in einem Peering-LAN läuft - auch Proxy-ARP genannt - seine eigene MAC Adresse als Ziel anbieten und den Verkehr vom eigentlichen Ziel wegleiten. Trotz permanenter Überwachung können wir nur reaktiv handeln, nachdem es in unseren Peering LANs bereits geschehen ist. EVPN entschärft diesen Angriffsvektor vollständig und macht die Verbindungen widerstandsfähiger. Ein weiterer Vorteil für Kunden ist, dass wir neue Peering Services schneller bereitstellen können. Wenn Sie einen neuen Peering Service bestellen, stellen wir ihn zunächst unter "Quarantäne", um ihn zu testen und sicherzustellen, dass alles wie vorgesehen funktioniert (z. B. dass Proxy ARP auf dem Kundenrouter nicht aktiviert ist). Nach der EVPN-Implementierung auf den Peering-LANs können wir neue Peering Services sofort und ohne diese Verzögerung bereitstellen, da EVPN kritische Angriffsvektoren wie oben beschrieben eliminiert.

Peering LAN 2.0 ist also nur EVPN?

Wir implementieren nicht nur EVPN auf den Peering LANs. Wir ändern auch die Funktionsweise des zugrunde liegenden MPLS-Netzwerks. Zu diesem Zweck werden wir RSVP-TE implementieren, wodurch wir erweiterte Traffic-Engineering-Funktionen einführen können. Diese Traffic-Engineering-Funktionen sind insbesondere für Produkte wie GlobePEER Remote, DirectCLOUD und den Microsoft Azure Peering Service von Vorteil, da sie uns in die Lage versetzen, Verkehrsströme zwischen zwei verbundenen DE-CIX Standorten (z.B. zwischen DE-CIX Frankfurt und DE-CIX New York) feingranular zu lenken. Peering LAN 2.0 ist also die Kombination aus EVPN und RSVP-TE.

Wie wird das Projekt Peering LAN 2.0 umgesetzt? Wann wird es abgeschlossen sein?

Wir werden die Änderungen schrittweise einführen, an einem Standort nach dem anderen. Wir werden im Oktober mit den kleineren Internet Exchangen beginnen und dann zu den größeren und komplexeren Standorten mit vielen Routern übergehen. Wir gehen davon aus, dass wir die Migration aller Standorte bis spätestens Ende des Jahres abschließen werden. Wir werden unsere Kunden rechtzeitig über die bevorstehenden Migrationsarbeiten informieren.

Wird es irgendwelche Auswirkungen auf unsere Kunden geben?

Bei der Implementierung handelt es sich im Wesentlichen um eine Softwarekonfiguration auf unseren Routern. Die Implementierung wird während der Wartungsfenster durchgeführt, so dass für unsere Kunden keine Aufgaben anfallen. Wenn die Umstellung reibungslos verläuft, werden die Kunden während der Umstellung nur eine minimale Ausfallzeit einige Sekunden erleben. Wie bereits erwähnt, werden wir unsere Kunden im Voraus über die Migration informieren.