Fortalezas e boas práticas nos IXP da região
17/01/2024
Por Salvador Bertenbreiter CEO – PIT Colômbia, Equador,Guatemala e Peru IX.
Os IXPs (Pontos de troca de tráfego) são um dos elementos mais importantes, no entanto, mais desconhecidos da infraestrutura base da Internet. Os IXPs permitem a interconexão dos ISPs, Provedores de Conteúdo e outras redes de forma local, ajudando assim na redução da latência, eliminação do efeito gargalo e na redução dos custos de interconexão da Internet.
Durante a pandemia e devido ao aumento abrupto do tráfego da Internet, percebemos o importante que é para os ISPs e carriers se conectarem aos IXPs. Isso produziu uma mudança de paradigma especialmente nos ISPs maiores e carriers que antes eram um pouco resistentes a se conectarem aos IXPs, já que não percebiam seu valor. Felizmente isso começou a mudar, uma vez que os usuários finais demandam cada vez menos latência e uma experiência de carga mais rápida, portanto, os grandes ISPs e carriers enxergam os IXPs como um aliado e como uma forma mais fácil de atingir estes objetivos.
A alternativa tradicional de fazer PNI dá certo para volumes muito grandes de tráfego entre duas redes, porém, quando queremos alcançar um grande número de redes os IXPs permitem diminuir custos e baixar a carga administrativa nas relações de peering. Ao mesmo tempo, é recomendável manter suficiente capacidade livre nas interfaces para o IXP, isso é importante se houver uma queda de uma PNI, já que nestes casos o IXP normalmente é capaz de absorver este tráfego para que não vaze pelo trânsito IP.
Além disso, o uso dos Servidores de Rota (Route Servers) oferece um entorno mais seguro, já que a grande maioria de IXPs realiza filtragem pelo RPKI e/ou IRR, fazendo com que aumente a segurança ao reduzir o potencial impacto de hijacking de prefixos IP, uma vez que estes são filtrados pelos IXP, estas “rotas contaminadas” não chegam ao ISP. Ao mesmo tempo o suporte de comunidades BGP na maioria dos Route Servers permite realizar engenharia da rede facilmente, permitindo assim escolher com quem e com quais rotas serão compartilhados via peering.
O ecossistema dos IXPs da região é muito variado e heterogêneo, portanto é difícil situá-lo em um único grupo. Nos países da região que possuem ecossistemas de interconexão bem desenvolvidos, grande parte do tráfego do país passa pelo IXP local, fazendo com que estes pontos se tornem uma infraestrutura crítica. Por outro lado, há ecossistemas em países da região onde seu desenvolvimento está demorando mais. Entretanto, o que sim é compartilhado entre todos os IXPs é o espírito de querer desenvolver Internet na região.
Uma das chaves mais importantes para conseguir uma plataforma de interconexão robusta e resiliente é o desenvolvimento e a implementação das boas práticas nos IXPs. Isto permite reduzir os incidentes e minimizar potenciais problemas, algo essencial para ter uma plataforma de peering confiável.
Desde minha experiência, gostaria de apontar três aspectos chaves para minimizar problemas ao se conectar a um IXP:
1.Conectar somente Roteadores nas interfaces do IXP, nunca um switch. Este é um ponto chave que muitos ISPs não compreendem, já que por suas topologias de rede ou falta de interfaces em seus roteadores, estão acostumados a conectarem seus carriers de tráfego IP a switches, e depois mover este tráfego via uma VLAN para seus roteadores. No entanto, em um IXP isto implica um grande risco, não apenas para o membro em questão, senão que para toda a plataforma de peering e os membros do IXP, razão pela qual existe a política de um só endereço MAC por interface, isto se traduz em que os membros só podem conectar roteadores e não switches à sua porta de conexão para o IXP.
A baixo nível, um IXP moderno é uma grande rede de capa 2, que pode se ver afetada por loops, tráfego BUM excessivo e outros problemas inerentes a uma rede de capa 2. Então, conectar um switch do membro entre a interface do IXP e o roteador do membro, significa um grande fator de perigo fora do controle da operadora do IXP, portanto não é permitido na maioria dos IXPs.
2. Evitar certos protocolos na interface conectada ao IXP. Aqui há três grandes “NÃO”, ou seja, parâmetros que devemos revisar que não estejam habilitados na interface do roteador do ISP conectada ao IXP. O primeiro é NÃO STP 802.11d, já que os switches do IXP não fazem parte da rede do ISP, o segundo é NÃO Proxy ARP RFC1027, uma vez a presença deste protocolo pode causar hijacking de pacotes destinados a outro membro, em alguns equipamentos Proxy ARP vem ativo por defeito, portanto é fundamental desativá-lo. Finalmente, o terceiro ponto é NO Discovery protocols, como CDP, LLDP, MNDP ou outros protocolos de descobrimento.
3.Engenharia de tráfego. Para maximizar o tráfego de troca de um IXP é importante lembrar os mecanismos de preferência de rotas de BGP, sendo recomendável: a) enviar prefixos mais específicos ao IXP (com o limite de /24s para IPv4 e /48s para IPV6 que são os CIDR mais específicos permitidos na DFZ) em comparação com o trânsito IP. b) se não temos a possibilidade de enviar rotas mais específicas, é possível fazer uso de atributos como prepending, aqui lembramos que quanto maior prepending, menor será a preferência dessa rota, portanto, neste caso recomenda-se enviar os prefixos do ISP sem prepending ao IXP, com maior prepending ao provedor de trânsito IP.
Houve incidentes de quedas de IXPs na região como recentemente aconteceu em AMS-IX?
Sim, embora as operadoras de IXPs fazem tudo o que é possível para garantir um uptime perfeito, há incidentes que causaram quedas parciais ou totais em alguns IXPs da região. Mesmo que a maioria dos IXPs na região possuam infraestrutura muito robusta, se o ISP se conectar mediante uma única conexão ao Ponto de Troca de Tráfego, isso poderá ser um ponto único de falha, razão pela qual é recomendável conectar-se com múltiplas conexões ao IXP ou ao menos ter capacidade suficiente no trânsito IP para desbordar, caso haja queda deste enlace. Aqui, recomenda-se que os ISPs sempre contratem seu trânsito IP na modalidade burstable, com o intuito de ter tolerância perante quedas, aproveitando, ao mesmo tempo, as vantagens do percentil 95.
As opiniões expressadas pelo autor deste artigo são próprias e não refletem necessariamente as opiniões de LACNIC.