Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro...

Roma, 12 aprile 2007

Sistema Pubblico di Sistema Pubblico di ConnettivitàConnettività

QXNQXN(Qualified eXchange (Qualified eXchange

Network)Network)

1

Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.)Mauro Mascagna (Dir. Tecnico QXN s.c.p.a.)

Meeting Consorzio NAMEX – Roma 12 aprile 2007

Pag 2

Qualified EXchange Qualified EXchange NetworkNetwork

La società La società

Gli obiettiviGli obiettivi

La reteLa rete

I serviziI servizi

Gli sviluppi futuriGli sviluppi futuri

Pag 3

Società Consortile per Azioni

Costituzione: 10 luglio 2006

I Soci:

Possibili futuri Soci : i Fornitori di servizi di connettività che:

Siano iscritti negli elenchi di cui all’art 11 del D.Lgs. 42/2005 Abbiano sottoscritto contratti di fornitura di servizi di connettività

con la PA >= 1 M€ Abbiano sottoscritto l’accordo parasociale

La Società Consortile QXNLa Società Consortile QXN

(60%)

(10%)

(5%)

(25%)

Pag 4

Progettazione, Realizzazione, Esercizio ed Evoluzione della rete QXN di rete QXN di interconnessioneinterconnessione tra le reti di tutti i Fornitori SPC

Accesso ai servizi erogati da QXN (housing, porte di accesso, banda garantita) da parte di tutti i Fornitori SPC

Medesime condizioni di accesso ai servizi sia ai Soci che agli altri Fornitori SPC

Gli obiettiviGli obiettivi

Pag 5

La centralità della ReteLa centralità della Rete

Network : QXNNetwork : QXN

Pag 6

La centralità della La centralità della QXNQXN

• Centralità nella gestioneCentralità nella gestione

• Centralità nella tecnologia e nei Centralità nella tecnologia e nei serviziservizi

• Centralità nella sicurezzaCentralità nella sicurezza

• Centralità negli sviluppiCentralità negli sviluppi

Pag 7

La centralità nella gestioneLa centralità nella gestione

La SC-QXN, attraverso il funzionamento dei suoi organi societari (CdA e Comitato Tecnico), costituisce un punto fondamentale di confronto ed aggregazione fra i Soci, con la partecipazione del CNIPA, ed al tempo stesso di coordinamento tra i fornitori SPC, costituendo quindi uno strumento di controllo e governo a disposizione del CNIPA, il quale, data la natura “multifornitore” del SPC, ha la necessità di svolgere una costante ed attenta azione di presidio e di indirizzo.

Pag 8

La centralità nella tecnologia e nei La centralità nella tecnologia e nei serviziservizi

Il ruolo centrale della QXN è insito nel fatto che essa costituisce un elemento nodale che abilita lo scambio di flussi informativi tra tutti i soggetti afferenti al SPC (i Fornitori SPC e le Amministrazioni Centrali e Locali), assicurando elevati livelli di qualità, sicurezza ed affidabilità di servizio.

Al riguardo è da osservare che le reti dei primi Fornitori SPC, gli aggiudicatari della gara e soci di QXN, sono caratterizzate da tecnologie, qualità di servizi e strategie di sviluppo differenti fra loro ed è solo la presenza della QXN che ne consente un’efficace integrazione, realizzando di fatto virtualmente un’unica rete nell’ambito del SPC che assicura la fornitura di servizi di qualità uniforme alle PA utilizzatrici finali.

Pag 9

La centralità nella La centralità nella sicurezzasicurezza

SC-QXN ha realizzato gli impianti della rete QXN presso i siti del MIX (Milano) e Namex (Roma), curando specificamente gli aspetti di sicurezza in conformità con quanto previsto dal Capitolato Tecnico di Gara:

• per la sicurezza fisica dei sitisicurezza fisica dei siti• per la sicurezza tecnica degli impiantisicurezza tecnica degli impianti, installando

apparecchiature specializzate per proteggere il traffico dal rischio di intrusioni

Pag 10

La centralità negli sviluppiLa centralità negli sviluppi

La QXN ben si presta inoltre per la realizzazione al suo interno di nuovi servizi centralizzati da mettere a disposizione delle Pubbliche Amministrazioni.

Un primo caso, d’intesa con il CNIPA, è stato già realizzato.

Si tratta del servizio DNS SPC : tutti gli indirizzi di rete sono presenti nel sistema DNS che è parte integrante della QXN.

Pag 11

I servizi offerti (1)I servizi offerti (1)

• Interconnessione OPAInterconnessione OPA

Interconnessione OPOInterconnessione OPO (solo tra Fastweb e gli altri fornitori assegnatari della Gara SPC)

DNS SPCDNS SPC (sistema federato di DNS)

Generazione tempo ufficiale SPCGenerazione tempo ufficiale SPC (NTP server)

Network Operation CenterNetwork Operation Center (Gestione dei servizi con presidio dedicato h.24x365)

DNS= Domain Name SystemNTP= Network Time Protocol

Pag 12

Traffico gestito dalla QXNTraffico gestito dalla QXN

• Infranet Infranet –– tra PA differenti che aderiscono al contratto SPC (modalità OPA*OPA*), con fornitori SPC (Q-ISP) differenti;

• IntranetIntranet – tra sedi di una stessa PA, in parte direttamente connesse al Q-ISP assegnatario di riferimento della PA (Wind / B.T./ T.I.) ed in parte connesse in modalità OPO*modalità OPO* sulla rete del Q-ISP aggiudicatario (FASTWEB);

• Traffico da e verso RUPATraffico da e verso RUPA (attraverso il PIR), al fine di consentire la comunicazione tra le PA già migrate su SPC con le rimanenti ancora attestate alla RUPA

OPA = Offerta per le AmministrazioniOPA = Offerta per le Amministrazioni

OPO = Offerta per gli OperatoriOPO = Offerta per gli Operatori

Pag 13

I servizi offerti – I servizi offerti – Interconnessione OPAInterconnessione OPA

Rete Fornitore SPC ARete Fornitore SPC A

Rete Fornitore SPC BRete Fornitore SPC B

NODO QXN NODO QXN

ROMAROMA

NODO QXN NODO QXN

ROMAROMANODO QXN NODO QXN

MILANOMILANO

NODO QXN NODO QXN

MILANOMILANOBRqxnBRqxnBRqxnBRqxn

BRqxnBRqxnBRqxnBRqxn

PA mPA m

PA 1PA 1

PA 3PA 3

PA 2PA 2

www.pa2.itwww.pa2.it



INTERNETINTERNET


Pag 14

Servizi Offerti – Interconnessione OPOServizi Offerti – Interconnessione OPO

FW QISP

VPN PA1 (clt QISP)Sedi in OPA

QXN ROMA

QXN MILANO

VLAN1IP subnet1 (/30)




RM-Bropo-FW RM-BRopo-QISP

RM-BRqxn1

RM-BRqxn2

MI-BRqxn1

MI-BRqxn2

MI-BRopo-QISPMI-BRopo-FW

VPN PA1 (clt QISP)

VPN PA1 (clt QISP)Sedi in OPO

VPN PA1

(clt QISP)

Pag 15

L’architettura della rete (1)L’architettura della rete (1)

Due nodiDue nodi - Roma e Milano - interconnessi con link trasmissivi interconnessi con link trasmissivi ad alta velocitàad alta velocità (2x100 Mbps SDH, scalabili fino a 1 Gbps) ed ed affidabilitàaffidabilità (ridondanza di apparati e differenziazione dei percorsi trasmissivi)

Ogni nodo è composto: una coppia di router Cisco 7609una coppia di router Cisco 7609 (BRqxn – Border Routers QXN)

interconnessi tra loro e verso la coppia di BRqxn del nodo remoto; un sistema di sonde (Cisco 2811)sistema di sonde (Cisco 2811) per la rilevazione dei parametri di

qualità della rete (One Way Delay, Packet Loss); sistemi di Firewall e Intrusion Detection Systemsistemi di Firewall e Intrusion Detection System a

protezione della sicurezza logica delle informazioni che transitano attraverso la QXN

infrastrutture (rack) per housinginfrastrutture (rack) per housing degli apparati dei fornitori

Gli apparati (BR – Border Routers) con cui i fornitori SPC interconnettono le proprie reti alla QXN sono colocati in housingin housing all’interno delle infrastrutture (rack) predisposte da SC-QXN nei due nodi di Roma e Milano

Pag 16

L’architettura della rete (2)L’architettura della rete (2)



NODO QXN NODO QXN

ROMAROMA

NODO QXN NODO QXN

ROMAROMANODO QXN NODO QXN

MILANOMILANO

NODO QXN NODO QXN

MILANOMILANO



PA 2PA 2

PA nPA n

PA mPA mPA 1PA 1

PA 1PA 1

RUPARUPA PIRPIR

AS QXNAS QXN = 4140741407

Range IP:

195.3.160.0/24

195.3.161.0/24

195.3.162.0/24

195.3.163.0/24

AS QXNAS QXN = 4140741407

Range IP:

195.3.160.0/24

195.3.161.0/24

195.3.162.0/24

195.3.163.0/24

INTERNETINTERNETINTERNETINTERNET

Pag 17

Le caratteristiche della QXNLe caratteristiche della QXN

Nodi dislocati presso i NAP (Neutral Access Point) di Nodi dislocati presso i NAP (Neutral Access Point) di Roma (NAMEX) e Milano (MIX)Roma (NAMEX) e Milano (MIX)

Elevati livelli di SicurezzaElevati livelli di Sicurezza (fisica e logica) della rete

Service Level Agreement (SLA)Service Level Agreement (SLA) Disponibilità = 99,99% Tempo di attraversamento della rete (OWD) <= 20 Ms Percentuale di Perdita di pacchetti (PL) <= 0,05%

Regole tecniche per l’interconnessioneRegole tecniche per l’interconnessione alla rete dei Q-ISP

Piano di realizzazione: Piano di realizzazione: pronto al collaudo entro aprile2007 Avvio esercizio prevedibile da giugno 2007

Pag 18

Routing sulla QXNRouting sulla QXN

• Simmetricità del traffico che attraversa la QXNSimmetricità del traffico che attraversa la QXN• Ciascun Q-ISP deve garantire che il traffico generato o diretto verso una

PA (o un gruppo di PA) attestata sulla propria rete venga consegnato/ricevuto sempre presso un unico nodo QXN (es. Roma o Milano).

• Impiego di CommunitiesImpiego di Communities per definire la priorità degli annunci BGP dei prefissi delle PA sulla QXN

• Bilancianciamento del trafficoBilancianciamento del traffico• all’interno di ciascun nodo del QXN tra BRqx e la coppia di BRQXN;• Il traffico proveniente dalla rete del Q-ISP viene bilanciato (per sessione)

dal BRqx su entrambi i BRQXN di ciascun nodo

• Routing BGPRouting BGP• Internal BGP Internal BGP fully-meshedfully-meshed tra i 4 BRQXN distribuiti sui due nodi di

Roma e Milano;• External BGPExternal BGP tra i BRQXN e i BRQx di ciascun Q-ISP;• l’AS del QXN funge da transitol’AS del QXN funge da transito per gli AS dei Q-ISP afferenti al

QXN;• ciascun Q-ISP si presenterà verso QXN con il proprio AS

Pag 19

Routing sulla QXN

• Communities BGPCommunities BGP

• Per determinare univocamente verso quale BRqx debba essere instradato il traffico proveniente dalla rete QXN (originato dalle PA afferenti agli altri Provider), i BRqx di ciascun Q-ISP devono annunciare i propri aggregati con communities diverse, determinandone univocamente il percorso preferenziale.

• Indispensabili per garantire la simmetria del traffico all’interno della garantire la simmetria del traffico all’interno della QXN.QXN.

• Utilizzate all’interno dei nodi QXN con il seguente formato: ASn_QXN:LPASn_QXN:LP• Dove:

• ASn_QXN ASn_QXN corrisponde all’AS number del QXN (AS 41407). • LPLP corrisponde al valore della Local Preference settata all’interno del QXN per l’annuncio specifico (LP = 130; LP = 120; LP = 110).

• community 41407:130 = Setta la LP a 130 all’interno del QXN community 41407:130 = Setta la LP a 130 all’interno del QXN • community 41407:120 = Setta la LP a 120 all’interno del QXN community 41407:120 = Setta la LP a 120 all’interno del QXN • community 41407:110 = Setta la LP a 110 all’interno del QXN community 41407:110 = Setta la LP a 110 all’interno del QXN • community 41407:100 = Setta la LP a 100 all’interno del QXN community 41407:100 = Setta la LP a 100 all’interno del QXN • no communityno community = DROP del traffico = DROP del traffico

• I Q-ISP hanno visibilità delle communities associate agli annunci provenienti dagli altri Q-ISP tramite QXN, poiché quest’ultima gira senza modificare le communities BGP ricevute.

Pag 20

Routing sulla QXN – Routing sulla QXN – interconnessione OPAinterconnessione OPA



NODO QXN NODO QXN

ROMAROMA

NODO QXN NODO QXN

ROMAROMA NODO QXN NODO QXN

MILANOMILANO

NODO QXN NODO QXN

MILANOMILANO



Prefix sede PA1LP100

Pre

fix se

de P

A1

LP1

10

PA 1PA 1

Pre

fix se

de P

A1

LP1

20


PA 2PA 2

X

X

X


Pre

fix s

ed

e P

A2

LP1

20

Pre

fix s

ed

e P

A2

LP1

10


X

Pag 21

Routing sulla QXN – scenari di fault (interconnessione Routing sulla QXN – scenari di fault (interconnessione OPA)OPA)

• Funzionamento normaleFunzionamento normale• Ciascun nodo QXN funge da master per un pool di reti (aggregati /24 o

meno specifici) e da backup o eventualmente Disaster Recovery per altre.

• Il traffico proveniente da ciascun Q-ISP è bilanciato dai BRQx verso entrambi i BRQXN, i quali, lo instradano verso il BRQx di destinazione.

• Indisponibilità dell’intero nodo QXN principaleIndisponibilità dell’intero nodo QXN principale• Tutto il traffico Infranet, tra due o più PA afferenti a Q-ISP differenti,

passa sul nodo QXN secondario.• Il reinstradamento del traffico è soggetto ai tempi di convergenza dei

backbone di ciascun Provider.

• Guasto di entrambi i BRQx del Q-ISPA afferenti al nodo Guasto di entrambi i BRQx del Q-ISPA afferenti al nodo QXN principaleQXN principale

• Il traffico in uscita dal Q-ISPA, previa riconvergenza del routing BGP intra Provider, è reinstradato verso i BRQx attestati al nodo QXN di backup e, da questi, è bilanciato verso la coppia di BRQXN;

• il traffico in uscita dagli altri Q-ISP, destinato alle PA assegnate al Q-ISPA, segue il percorso normale fino alla coppia di BRQXN del nodo principale, in funzione della soluzione di bilanciamento Intra-Provider scelta; da questi, è instradato verso la coppia di BRQXN sul nodo di backup, i quali lo inoltrano sul BRQx di destinazione.

Pag 22

Routing sulla QXN – scenari di fault -(interconnessione OPA) Routing sulla QXN – scenari di fault -(interconnessione OPA) (2)(2)• Guasto di un BRQXNGuasto di un BRQXN

• Il traffico viene instradato dai BRQx verso l’altro BRQXN, senza alcuna riconvergenza.

• Guasto di un BRQx del Q-ISPAGuasto di un BRQx del Q-ISPA• solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway

principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è bilanciato sulla coppia di BRQXN, i quali, inoltrano sul BRQx di destinazione.

• Guasto di un link tra il BRQx del Q-ISPA un BRQXNGuasto di un link tra il BRQx del Q-ISPA un BRQXN• Il traffico in uscita dal Q-ISPA, che attraversa il BRQx affetto dal disservizio, è

instradato solo verso il BRQXN raggiungibile, senza alcuna riconvergenza; • il traffico in uscita dal Q-ISPA, che attraversa l’altro BRQx, non è in alcun modo

affetto da tale disservizio.• Guasto contemporaneo del BRQx del Q-ISPA e di un Guasto contemporaneo del BRQx del Q-ISPA e di un

BRQXNBRQXN• solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway

principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è inoltrato verso l’unico BRQXN disponibile, il quale lo inoltra verso il BRQx di destinazione.

Pag 23

Servizi Offerti – Interconnessione OPOServizi Offerti – Interconnessione OPO

FW QISP

VPN PA1 (clt QISP)Sedi in OPA

QXN ROMA

QXN MILANO






RM-BRqxn1

RM-BRqxn2

MI-BRqxn1

MI-BRqxn2


VPN PA1 (clt QISP)

VPN PA1 (clt QISP)Sedi in OPO

VPN PA1

(clt QISP)

Pag 24

Routing sulla QXN – interconnessione Routing sulla QXN – interconnessione OPOOPO

• Il fornitori SPC si interconnettono alla QXN mediante apparati denominati BRopo BRopo che possono essere, o meno, fisicamente distinti dai BRqx utilizzati per l’interconnessione OPA;

• I BRopo utilizzano porte di interconnessione alla QXN fisicamente porte di interconnessione alla QXN fisicamente distintedistinte da quelle utilizzate per l’interconnessione OPA

• L’interconnessione tra i BRopo di ciascun QISP assegnatario (Wind, British Telecom, Telecom Italia) e il BRopo del Q-ISP aggiudicatario (FastWeb) non è diretta, ma realizzata tramite i BRqxn della rete QXN, utilizzando sempre tecnologia Ethernet. I I BRqxn operano ai fini OPO come L2 switches.BRqxn operano ai fini OPO come L2 switches.

• Il collegamento è configurato in modalità trunk (IEEE 802.1q)modalità trunk (IEEE 802.1q) per il trasporto di un numero di VLAN pari al numero di PA che richiedono connettività Intranet in accordo con l’offerta OPO.

• Tale modalità di interconnessione offre la possibilità di monitoraggio e possibilità di monitoraggio e visibilità del traffico OPOvisibilità del traffico OPO da parte CNIPA ai fini della misurazione degli SLA, oltre a delimitare univocamente il confine di ciascun operatoredelimitare univocamente il confine di ciascun operatore alla porta del BRqxn.

Pag 25

Routing sulla QXN - Interconnessione OPORouting sulla QXN - Interconnessione OPO

FW QISP

PA1 (clt QISP)VPN1 -Sede A

(in opo)

PA1 (clt QISP)VPN1 - Sede B

QXN ROMA

QXN MILANO






RM-BRqxn1

RM-BRqxn2

MI-BRqxn1

MI-BRqxn2


VLAN 1-2-3-4 : assegnate da QXNIPsubnet 1-2-3-4: assegnate da QISP

Nodo principale Nodo principale

di interconnessionedi interconnessione

Nodo di back-upNodo di back-up

di interconnessionedi interconnessione

X

X

Pag 26

Architettura di rete – network & SLA managementArchitettura di rete – network & SLA management

Sonda

Sonda

Sonda

Sonda

Sonda

Sonda

Sonda

Sonda

Pag 27

Sistema di misurazione Sistema di misurazione SLASLA

Pag 28

Il DNS Il DNS SPCSPC

• E’ un sistema federato di DNSsistema federato di DNS costituito da:

• DNS delle PA connesse ad SPCDNS delle PA connesse ad SPC• DNS dei fornitori SPCDNS dei fornitori SPC• DNS QXNDNS QXN

• L’obiettivo è quello di fare in modo che tutto il traffico inerente alla risoluzione dei domini delle PA appartenenti ad SPC resti confinato all’interno di SPC stesso.

• In questo modo si assicura un elevato livello di sicurezza alle applicazioni che le PA intendono esporre solo in ambito SPC (es. protocollo informatico) e che utilizzano domini e/o host che non devono essere raggiunti, nè debbono essere visibili da soggetti esterni ad SPC.

Pag 29

DNS SPC – il modello di funzionamentoDNS SPC – il modello di funzionamento

• I singoli DNS delle PAI singoli DNS delle PA, interni o in hosting presso l’operatore (QISP), • replicano tutte le proprie zone verso un DNS (DNS QISP dedicato alle PA) che i

QISP mettono a disposizione per le PA a loro collegate• sono configurati per avere come forwarder il DNS che il rispettivo QISP ha dedicato

alle PA

•I DNS istituzionali dei QISPI DNS istituzionali dei QISP espongono le zone “pubbliche”delle PA su Internet

•I DNS dei QISP dedicati alle PAI DNS dei QISP dedicati alle PA

• sono slave dei DNS delle PA afferenti al QISP• sono autoritativi per tutti i domini delle PA afferenti al QISP• replicano tutte le zone delle PA di loro pertinenza sul DNS QXN• sono configurati per avere il DNS QXN come forwarder

•Il DNS QXNIl DNS QXN:• È slave di tutti i DNS dei QISP dedicati alle PA• E’ autoritativo per tutti i domini di tutte le PA connesse ad SPC• È collegato via Internet ai root nameserver per permettere la risoluzione dei domini

non appartenenti a PA connesse ad SPC (ma non risponde a query provenienti da Internet)

•Tutte le query DNS generate da una PA rimangono così confinate Tutte le query DNS generate da una PA rimangono così confinate nell’ambito SPC ed in particolare interessano il DNS QXN se:nell’ambito SPC ed in particolare interessano il DNS QXN se:

• sono relative alla risoluzione di un dominio di PA connesse ad altri QISP; • sono relative a domini non SPC.

Pag 30

Internet

QXNISP 1

ISP 2

PA 1 PA 2 PA 3

DNS_QISP1_PA(dedicato alle PA)

DNS_QISP2_PA(dedicato alle PA)

DNS PA DNS PA

DNS PA

DNS_QXN Slave

Replica zone

Query DNS client PA 3 per www.PA1.it

Consultazione www PA 1

Query DNS client internet www.PA1.it

DNSQISP1

DNSQISP2

Replica zone PA esposte su Internet

Risoluzione www.PA1.it

Query DNS client per www.google.it

Risoluzione www.google.it

Consultazione www.google.it

DNS SPC – il modello di DNS SPC – il modello di funzionamento (2)funzionamento (2)

Pag 31

Gli utilizzatori dei serviziGli utilizzatori dei servizi

• Attuali Attuali • Fornitori assegnatari della Gara SPC (BT, TI, Wind,

Fastweb)• CG-SPC

• ProssimiProssimi• NIV• Centro Coop. Applicazione

• Futuri Futuri • Fornitori di servizi di connettività e sicurezza

qualificati e certificati (elenchi art. 11 DL 42/2005)• Estensione dell’accesso alle PAL ed alle Reti Territoriali

(QCN : Qualified Community Networks)

Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro...

Documents

Transcript of Roma, 12 aprile 2007 Sistema Pubblico di Connettività QXN (Qualified eXchange Network) Mauro...