Hoe ziet de architectuur van het Pocos netwerk eruit?

Wat zit er eigenlijk allemaal onder de motorkap bij Pocos?
Het flauwe antwoord is natuurlijk dat er een hoop kabels, switches en routers in verschillende datacenters onder de motorkap zitten van ons netwerk. Een beter en concreter antwoord is dat het netwerk van Pocos zo ontwikkeld is, dat de kans op uitval minimaal is. Dat hebben we gedaan door te kiezen voor apparatuur van premium merken. Zo bestaat ons netwerk uit Cisco, Arista en Huawei apparatuur. En één is geen. Alle kritische componenten zijn dubbel uitgevoerd. Tussen de diverse datacenters, waaronder Global Switch, Nikhef en KPN DC2 hebben wij een glasvezelring aangelegd, die geografisch gescheiden door Amsterdam ligt. Dat gaat zo ver, dat de kabels fysiek via andere paden de datacenters uitgaan en nergens kruisen met elkaar. Binnen de datacenters worden deze kabels op fysiek aparte switches aangesloten. Vanzelfsprekend hebben deze switches dan weer redundante voedingen, aangesloten op twee gescheiden powerfeeds. Je hoort het, zo veel als mogelijk is redundant gemaakt. Het gaat natuurlijk nog veel verder. want dit is slechts de zogenaamde onderste laag in ons netwerk. Bovenop deze switches, waar we overigens moderne technieken, zoals VXLAN hebben gebruikt om een ring te bouwen, zijn weer redundant onze routers aangesloten. En daar weer bovenop draaien de diverse diensten die onze klanten gebruiken, zoals een internetdienst, een op MPLS gebaseerde VPN-dienst en natuurlijk onze spraak-oplossingen, zoals de sip-trunks en hosted telefooncentrales.

Is er bewust gekozen om het fundament met premium componenten op te bouwen?
Zeker, ik ben ervan overtuigd dat je premium apparatuur moet gebruiken in een netwerk als het onze. Je kunt het simpelweg niet maken dat wanneer er een graverende storing is, je niet kunt terugvallen op een leverancier om je te helpen. Hoeveel kennis we ook in huis hebben. Support van de technische achterban is een must. Gelukkig hebben we het niet vaak nodig. Daarnaast heb je ook een verplichting naar je partners toe dat je er alles aan doet om een zo stabiel mogelijk netwerk te bouwen. Daar horen nu eenmaal premium leveranciers, zoals Cisco en Arista bij. Het houdt trouwens niet op met kiezen van premium componenten. Het kiezen van internet upstream leveranciers hoort daar ook bij. We hebben in diverse datacenters koppelingen met onder meer Centurylink, het voormalige Level-3, Telia, de Amsterdam Internet Exchange en de NL-ix. Allemaal premium leveranciers.

Hoe betrouwbaar is de “motor” van Pocos?
De lange uptime van ons netwerk is daar denk ik het antwoord op. Ons netwerk is erg betrouwbaar. Daar zetten we ook alles voor in het werk. Afgelopen jaar is er een change management proces formeel vormgegeven. Natuurlijk handelden we in de praktijk al volgens logische processen, of boerenverstand, maar dat is nu formeel vormgegeven. We kunnen niet zomaar meer een change doorvoeren op ons netwerk. Een simpel voorbeeld is dat een change nu door een ander beoordeeld en goedgekeurd moet worden. En we voeren geen changes overdag door, hoe klein ook. Daarvoor hebben we een onderhoudsvenster. Maar, dat je op een netwerk nooit een storing hebt, dat is een utopie. Geloof me, elke netwerk provider, of het nu een ISP, een TSP of whatever is, iedereen heeft wel eens een storing. Of die nu door mensen handen is veroorzaakt of door externe factoren, zoals een gedistribueerde denial of service. We doen ons uiterste best om deze storingen tot een minimum te beperken door onder andere monitoring & meting, processen, maar ook door veel kennis.

En leer je dan van deze storingen?
Gelukkig wel. Het zou wat zijn zeg. Ja, we hebben dit jaar in de zomer helaas een lastige storing gehad, waardoor we packet loss hadden binnen onder andere ons voice netwerk. Achteraf bleek dat een van onze core routers niet functioneerde zoals hij zelf aangaf. Er was geen enkel signaal dat deze router het niet naar zijn zin had. Dat zijn complexe storingen. Wat we hiervan geleerd hebben, is dat je nog zo’n goeie network engineer kunt zijn, maar dat kennis van een hardware platform net zo belangrijk is. Onze core routers zijn modulaire chassis, maar hoe communiceren die modules die daarin zitten onderling. Hoe werkt dat nu precies. Door het volgen van hardware trainingen van de leveranciers kun je die kennis uitbreiden. Daarnaast hebben we besloten om ons voice netwerk nog verder te isoleren van ons ‘normale’ IP-netwerk, waarvoor werkzaamheden in de onderhoudsvensters hebben plaatsgevonden de afgelopen periode.

Een ander voorbeeld zijn DDoS aanvallen. Je kiest er niet voor om deze voor je kiezen te krijgen, maar het gebeurt helaas wel. Wat je daaraan kunt doen is dat je nóg meer inzage in je netwerk hebt. Vanzelfsprekend hebben we uitgebreide monitoring systemen, die onze kritische en ook minder kritische componenten monitoren. Daarnaast hebben we uitgebreide trend analyse op onze kritische systemen. Daar kunnen we zien hoe in de loop van de tijd onze verkeersstromen zijn. Voor een DDoS is het prettig als je zo snel mogelijk weet waar verkeersstromen heengaan, zodat je dat verkeer aan de buitenzijde van je netwerk al kunt filteren. Naast het verbeteren van processen hebben we die inzage verbeterd, zodat we sneller kunnen acteren in geval van een DDoS aanval.

Pocos maakt ook bewuste keuzes als het gaat om firewalling?
Firewalling is belangrijk, maar er zit wel iets tegenstrijdigs in dit verhaal. Ik ben een groot voorstander van netneutraliteit. Een ongefilterde internetverbinding voor iedereen. Het is aan de klant en de partner om te bepalen hoe hij zich wil beschermen. Niet aan ons. Wij zullen dus, tenzij de klant dit anders wil, altijd een ongefilterde internetverbinding leveren. Overigens is enige nuance wel op zijn plaats. Het hangt wel af van de gewenste dienstverlening. Er zit een verschil tussen een internetverbinding en een Voice over IP-verbinding. Een VoIP-verbinding wil je juist wél goed gefirewalld hebben. Misbruik van sip-trunks is aan de orde van de dag. Als je toch eens ziet hoeveel onze IP-reeksen die voor VoIP gebruikt worden, worden gescand door kwaadwillenden, daar word je eng van. We gebruiken diverse innovatieve methoden om deze kwaadwillenden buiten de deur te houden. En als er dan al misbruik gemaakt wordt van een sip-trunk, dan willen we dat ook zo snel mogelijk weten. Ook daarvoor hebben we diverse geautomatiseerde systemen geïmplementeerd.

Dat gaat over de bescherming van het voice platform, welke firewall mogelijkheden zijn er voor de klant?
Pocos heeft een Cisco ASA cluster draaien voor klanten. Als een klant een op MPLS gebaseerd IPVPN afneemt om diverse klantlocaties in één VPN uit te laten komen, dan kan een firewall instantie op dit cluster toegang tot het internet bieden. We bieden deze dienst managed en unmanaged aan. We werken graag met Cisco apparatuur, daarom ook de keuze voor een Cisco ASA platform. Ik realiseer me dat het een vrij complex platform is. Het is echter super uitgebreid en rock solid. Engineers met voldoende netwerk en firewall kennis kunnen er gelukkig prima mee uit de voeten. Mocht een partner een specifieke voorkeur hebben voor een bepaald firewall platform, dan bestaat de mogelijkheid voor de partner om zelf een firewall cluster bij ons in het datacenter te plaatsen om zo toegang vanuit de IPVPN’s naar het internet te bieden.

En hoe zit het met redundantie en backup voor de klant?
Pocos levert diverse redundantie oplossing voor op klantlocatie. Al dan niet met managed routers. Voor de hand liggend en gebaseerd op ‘proven technology’ is een redunate setup met BGP. BGP is een routing protocol. Het routing protocol wat ook wordt gebruikt voor de routering van het internet. Wat belangrijk is dat we twee verbindingen naar de klantlocatie brengen en daar 1 of 2 routers plaatsen. Via een routing protocol, in dit geval BGP, maken we deze twee verbindingen redundant. Dit kunnen we zo inrichten dat er een sub-second failover kan plaatsvinden. Met behoud van IP-adressen natuurlijk. Let er wel op dat je backup verbinding de capaciteit heeft die nodig is om het normale werk op klantlocatie te kunnen doen.

Een goedkoper alternatief is dat we werken met 4G fallback. Dan komt er op klantlocatie een business fiber binnen die redundant wordt gemaakt met een 4G data simkaart. Het voordeel van deze dienst is dat hij goedkoper is. Het nadeel is dat we de beschikbaarheid van 4G niet kunnen garanderen en dat quality of service niet gegarandeerd kan worden.

Welke drie tips heb je voor engineers van reseller?
Tip 1: Kennis is macht. Zorg ervoor dat je kennis hebt. Dat begint bij de absolute basis. Ik ben altijd groot fan geweest van het Cisco CCNA curriculum. De reden is dat je daar de absolute basis leert. Daarna kun je je kennis uitbreiden. Het fundament moet goed zijn. Je moet gewoon weten hoe ethernet werkt, hoe saai misschien ook. Je wil ook weten hoe IP werkt. Dan kom je erachter dat IPv6 ook helemaal niet zo complex is als veel engineers denken. Het begint bij een solide fundament.

Tip 2: Als je kunt kiezen tussen een goedkope consumentenrouter en een business grade Cisco of Huawei router. Kies dan voor het laatste. Dat krijg je echt wel verkocht bij de klant. Beschikbaarheid van een verbinding is belangrijk! Deze apparaten kunnen jaren uptime hebben, zonder problemen.

Tip 3: Werk samen met je klant. Een klant denkt vaak al in een bepaalde richting. Bijvoorbeeld omdat hij dat in het verleden ook al zo deed. Door jouw solide basiskennis en daar bovenop gespecialiseerde kennis kun je vaak een betere oplossing bedenken.

Beluister hier de podcast

Terug naar overzicht