Fortalezas y buenas prácticas en los IXP de la región
17/01/2024
Por Salvador Bertenbreiter CEO – PIT Colombia, Ecuador, Guatemala y Perú IX.
Los IXPs (Puntos de intercambio de Tráfico) son uno de los elementos más importantes, sin embargo, más desconocidos de la infraestructura base de Internet. Los IXPs permiten la interconexión de los ISPs, Proveedores de Contenido y otras redes en forma local, ayudando así a reducir la latencia, eliminar cuellos de botella y bajar los costos de interconexión de Internet.
Durante la pandemia, y debido al abrupto aumento del tráfico de Internet, nos dimos cuenta de la importancia que tiene para los ISPs y carriers conectarse a los IXPs. Esto produjo un cambio de paradigma especialmente en los ISPs más grandes y carriers que antes eran un poco reacios a conectarse a los IXPs, ya que antes no le veían el valor. Afortunadamente esto ha comenzado a cambiar, ya que los usuarios finales demandan cada vez menor latencia y una experiencia de carga más rápida, por lo que los grandes ISPs y carriers ven a los IXPs como un aliado, y probablemente la forma más fácil, para lograr estos objetivos.
La alternativa tradicional de hacer PNI funciona bien para volúmenes muy grandes de tráfico entre dos redes, sin embargo, cuando queremos alcanzar un gran número de redes los IXPs permiten reducir costos y bajar la carga administrativa en las relaciones de peering. Al mismo tiempo, es recomendable mantener suficiente capacidad libre en las interfaces al IXP, esto es importante si hay una caída de una PNI, ya que en estos casos el IXP normalmente es capaz de absorber este tráfico para que no se vaya vía tránsito IP.
Además, el uso de los Servidores de Ruta (Route Servers) ofrecen un entorno más seguro, ya que la gran mayoría de IXPs realizan filtrado por RPKI y/o IRR, lo que permite aumentar la seguridad al reducir el impacto potencial de hijacking de prefijos IP, ya que estos son filtrados por el IXP, y estas “rutas contaminadas” no llegan al ISP. Al mismo tiempo, el soporte de comunidades BGP en la mayoría de los Route Servers permite realizar ingeniería de red fácilmente, permitiendo así elegir con quién y qué rutas se comparten vía peering.
El ecosistema de los IXPs de la región es muy variado y heterogéneo, por lo que es difícil situarlo en un único grupo. En los países de la región que tienen ecosistemas de interconexión bien desarrollados gran parte del tráfico del país pasa por el IXP local, por lo que éstos puntos se han vuelto una infraestructura crítica. Hay otros ecosistemas en países de la región a los que les está llevando más tiempo su desarrollo. No obstante, lo que sí se comparte entre todos los IXPs es el espíritu de querer desarrollar Internet en la región.
Una de las claves más importantes para lograr una plataforma de interconexión robusta y resiliente es el desarrollo e implementación de las buenas prácticas en los IXPs. Esto permite reducir los incidentes y minimizar potenciales problemas, que es algo esencial para tener una plataforma de peering confiable.
Desde mi experiencia me gustaría señalar tres aspectos claves para minimizar problemas al conectarse a un IXP:
- Sólo conectar Routers en las interfaces del IXP, nunca un switch. Este es un punto clave que muchos ISPs no comprenden, ya que por sus topologías de red o falta de interfaces en sus routers, están acostumbrados a conectar a sus carriers de tránsito IP a switches, y luego mover este tráfico vía una VLAN hacia sus routers. Sin embargo, en un IXP esto implica un gran riesgo, no sólo para el miembro en cuestión, sino que para todo la plataforma de peering y los miembros del IXP, por lo cual existe la política de una sola dirección MAC por interfaz, esto se traduce en que los miembros sólo puedan conectar Routers y no switches a su puerta de conexión al IXP.
A bajo nivel, un IXP moderno es una gran red de capa 2, la cual puede verse afectada por loops, tráfico BUM excesivo y otros problemas inherentes a una red de capa 2, por lo que conectar un switch del miembro entre la interfaz del IXP y el router del miembro añade un gran factor de peligro fuera del control del operador del IXP, por lo que no es permitido en la mayoría de los IXPs.
- Evitar ciertos protocolos en la interfaz conectada al IXP. Aquí hay 3 grandes “NO”, es decir, parámetros que debemos revisar que NO estén habilitados en la interfaz del router del ISP conectada al IXP. El primero es NO STP 802.11d, ya que los switches del IXP no son parte de la red del ISP, el segundo es NO Proxy ARP RFC1027, ya que la presencia de este protocolo puede causar hijacking de paquetes destinados a otro miembro, en algunos equipos Proxy ARP viene activo por defecto, por lo que es clave desactivarlo. Y finalmente, el tercer punto es NO Discovery protocols, como CDP, LLDP, MNDP u otros protocolos de descubrimiento.
- Ingeniería de tráfico. Para maximizar el tráfico que se intercambie por un IXP es importante recordar los mecanismos de preferencia de rutas de BGP, por lo que es recomendable: a) enviar prefijos más específicos al IXP (con el límite de /24s para IPv4 y /48s para IPv6 que son los CIDR más específicos permitido en la DFZ) en comparación con el tránsito IP. b) si no tenemos la posibilidad de enviar rutas más específicas, se puede hacer uso de atributos como prepending, aquí recordamos que a mayor prepending, menor será la preferencia de esa ruta, por lo que en este caso se recomienda enviar los prefijos del ISP sin prepending al IXP, y con mayor prepending al proveedor de tránsito IP.
¿Ha habido incidentes de caídas de IXPs en la región como lo sucedido recientemente en AMS-IX?
Sí, aunque los operadores de IXPs hacen todo lo posible para garantizar un uptime perfecto, hay incidentes que han causado caídas parciales o totales en algunos IXPs de la región. Aunque la mayoría de los IXPs en la región tienen infraestructura muy robusta, si el ISP se conecta con una única conexión al Punto de Intercambio de Tráfico, esto podrá ser un punto único de falla, por lo que se recomienda conectarse con múltiples conexiones al IXP o al menos tener capacidad suficiente en el tránsito IP para hacer desborde en caso de caída de este enlace. Aquí es recomendable que los ISPs siempre contraten su tránsito IP en modalidad burstable, para así tener tolerancia frente a caídas al mismo tiempo que aprovechan las ventajas del percentil 95.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
Gran contribución a la discusión de recortar brechas de conectividad con recomendaciones técnicas efectivas.