Qualified EXchange Network La società Gli obiettivi La rete I servizi Gli sviluppi futuri

La Società Consortile QXN Società Consortile per Azioni Costituzione: 10 luglio 2006 I Soci: Possibili futuri Soci : i Fornitori di servizi di connettività che: Siano iscritti negli elenchi di cui all’art 11 del D.Lgs. 42/2005 Abbiano sottoscritto contratti di fornitura di servizi di connettività con la PA >= 1 M€ Abbiano sottoscritto l’accordo parasociale (60%) (5%) (10%) (25%)

Gli obiettivi Progettazione, Realizzazione, Esercizio ed Evoluzione della rete QXN di interconnessione tra le reti di tutti i Fornitori SPC Accesso ai servizi erogati da QXN (housing, porte di accesso, banda garantita) da parte di tutti i Fornitori SPC Medesime condizioni di accesso ai servizi sia ai Soci che agli altri Fornitori SPC

La centralità della Rete Network : QXN

La centralità della QXN Centralità nella gestione Centralità nella tecnologia e nei servizi Centralità nella sicurezza Centralità negli sviluppi

La centralità nella gestione La SC-QXN, attraverso il funzionamento dei suoi organi societari (CdA e Comitato Tecnico), costituisce un punto fondamentale di confronto ed aggregazione fra i Soci, con la partecipazione del CNIPA, ed al tempo stesso di coordinamento tra i fornitori SPC, costituendo quindi uno strumento di controllo e governo a disposizione del CNIPA, il quale, data la natura “multifornitore” del SPC, ha la necessità di svolgere una costante ed attenta azione di presidio e di indirizzo.

La centralità nella tecnologia e nei servizi Il ruolo centrale della QXN è insito nel fatto che essa costituisce un elemento nodale che abilita lo scambio di flussi informativi tra tutti i soggetti afferenti al SPC (i Fornitori SPC e le Amministrazioni Centrali e Locali), assicurando elevati livelli di qualità, sicurezza ed affidabilità di servizio. Al riguardo è da osservare che le reti dei primi Fornitori SPC, gli aggiudicatari della gara e soci di QXN, sono caratterizzate da tecnologie, qualità di servizi e strategie di sviluppo differenti fra loro ed è solo la presenza della QXN che ne consente un’efficace integrazione, realizzando di fatto virtualmente un’unica rete nell’ambito del SPC che assicura la fornitura di servizi di qualità uniforme alle PA utilizzatrici finali.

La centralità nella sicurezza SC-QXN ha realizzato gli impianti della rete QXN presso i siti del MIX (Milano) e Namex (Roma), curando specificamente gli aspetti di sicurezza in conformità con quanto previsto dal Capitolato Tecnico di Gara: per la sicurezza fisica dei siti per la sicurezza tecnica degli impianti, installando apparecchiature specializzate per proteggere il traffico dal rischio di intrusioni

La centralità negli sviluppi La QXN ben si presta inoltre per la realizzazione al suo interno di nuovi servizi centralizzati da mettere a disposizione delle Pubbliche Amministrazioni. Un primo caso, d’intesa con il CNIPA, è stato già realizzato. Si tratta del servizio DNS SPC : tutti gli indirizzi di rete sono presenti nel sistema DNS che è parte integrante della QXN.

DNS SPC (sistema federato di DNS) I servizi offerti (1) Interconnessione OPA Interconnessione OPO (solo tra Fastweb e gli altri fornitori assegnatari della Gara SPC) DNS SPC (sistema federato di DNS) Generazione tempo ufficiale SPC (NTP server) Network Operation Center (Gestione dei servizi con presidio dedicato h.24x365) DNS= Domain Name System NTP= Network Time Protocol

Traffico gestito dalla QXN Infranet – tra PA differenti che aderiscono al contratto SPC (modalità OPA*), con fornitori SPC (Q-ISP) differenti; Intranet – tra sedi di una stessa PA, in parte direttamente connesse al Q-ISP assegnatario di riferimento della PA (Wind / B.T./ T.I.) ed in parte connesse in modalità OPO* sulla rete del Q-ISP aggiudicatario (FASTWEB); Traffico da e verso RUPA (attraverso il PIR), al fine di consentire la comunicazione tra le PA già migrate su SPC con le rimanenti ancora attestate alla RUPA OPA = Offerta per le Amministrazioni OPO = Offerta per gli Operatori

I servizi offerti – Interconnessione OPA PA m www.pa2.it Rete Fornitore SPC A NODO QXN MILANO NODO QXN ROMA BRqxn BRqxn www.pa2.it BRqxn BRqxn INTERNET Rete Fornitore SPC B www.pa2.it www.pa2.it PA 1 PA 2

Servizi Offerti – Interconnessione OPO QXN ROMA RM-BRqxn1 VLAN1 IP subnet1 (/30) VPN PA1 (clt QISP) Sedi in OPO VPN PA1 (clt QISP) Sedi in OPA RM-Bropo-FW VLAN2 IP subnet2 (/30) RM-BRopo-QISP VPN PA1 (clt QISP) RM-BRqxn2 VPN PA1 (clt QISP) FW QISP MI-BRqxn1 VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) MI-BRopo-FW MI-BRopo-QISP QXN MILANO MI-BRqxn2

L’architettura della rete (1) Due nodi - Roma e Milano - interconnessi con link trasmissivi ad alta velocità (2x100 Mbps SDH, scalabili fino a 1 Gbps) ed affidabilità (ridondanza di apparati e differenziazione dei percorsi trasmissivi) Ogni nodo è composto: una coppia di router Cisco 7609 (BRqxn – Border Routers QXN) interconnessi tra loro e verso la coppia di BRqxn del nodo remoto; un sistema di sonde (Cisco 2811) per la rilevazione dei parametri di qualità della rete (One Way Delay, Packet Loss); sistemi di Firewall e Intrusion Detection System a protezione della sicurezza logica delle informazioni che transitano attraverso la QXN infrastrutture (rack) per housing degli apparati dei fornitori Gli apparati (BR – Border Routers) con cui i fornitori SPC interconnettono le proprie reti alla QXN sono colocati in housing all’interno delle infrastrutture (rack) predisposte da SC-QXN nei due nodi di Roma e Milano

L’architettura della rete (2) PA 1 PA m INTERNET INTERNET Rete Fornitore SPC A BRqxn AS QXN = 41407 Range IP: 195.3.160.0/24 195.3.161.0/24 195.3.162.0/24 195.3.163.0/24 BRqxn RUPA PIR BRqxn BRqxn NODO QXN ROMA NODO QXN MILANO Rete Fornitore SPC B PA 1 PA n PA 2

Le caratteristiche della QXN Nodi dislocati presso i NAP (Neutral Access Point) di Roma (NAMEX) e Milano (MIX) Elevati livelli di Sicurezza (fisica e logica) della rete Service Level Agreement (SLA) Disponibilità = 99,99% Tempo di attraversamento della rete (OWD) <= 20 Ms Percentuale di Perdita di pacchetti (PL) <= 0,05% Regole tecniche per l’interconnessione alla rete dei Q-ISP Piano di realizzazione: pronto al collaudo entro aprile2007 Avvio esercizio prevedibile da giugno 2007

Routing sulla QXN Simmetricità del traffico che attraversa la QXN Ciascun Q-ISP deve garantire che il traffico generato o diretto verso una PA (o un gruppo di PA) attestata sulla propria rete venga consegnato/ricevuto sempre presso un unico nodo QXN (es. Roma o Milano). Impiego di Communities per definire la priorità degli annunci BGP dei prefissi delle PA sulla QXN Bilancianciamento del traffico all’interno di ciascun nodo del QXN tra BRqx e la coppia di BRQXN; Il traffico proveniente dalla rete del Q-ISP viene bilanciato (per sessione) dal BRqx su entrambi i BRQXN di ciascun nodo Routing BGP Internal BGP fully-meshed tra i 4 BRQXN distribuiti sui due nodi di Roma e Milano; External BGP tra i BRQXN e i BRQx di ciascun Q-ISP; l’AS del QXN funge da transito per gli AS dei Q-ISP afferenti al QXN; ciascun Q-ISP si presenterà verso QXN con il proprio AS

Routing sulla QXN Communities BGP Per determinare univocamente verso quale BRqx debba essere instradato il traffico proveniente dalla rete QXN (originato dalle PA afferenti agli altri Provider), i BRqx di ciascun Q-ISP devono annunciare i propri aggregati con communities diverse, determinandone univocamente il percorso preferenziale. Indispensabili per garantire la simmetria del traffico all’interno della QXN. Utilizzate all’interno dei nodi QXN con il seguente formato: ASn_QXN:LP Dove: ASn_QXN corrisponde all’AS number del QXN (AS 41407). LP corrisponde al valore della Local Preference settata all’interno del QXN per l’annuncio specifico (LP = 130; LP = 120; LP = 110). community 41407:130 = Setta la LP a 130 all’interno del QXN community 41407:120 = Setta la LP a 120 all’interno del QXN community 41407:110 = Setta la LP a 110 all’interno del QXN community 41407:100 = Setta la LP a 100 all’interno del QXN no community = DROP del traffico I Q-ISP hanno visibilità delle communities associate agli annunci provenienti dagli altri Q-ISP tramite QXN, poiché quest’ultima gira senza modificare le communities BGP ricevute.

Routing sulla QXN – interconnessione OPA Prefix sede PA1 LP120 Prefix sede PA1 LP110 Rete Fornitore SPC A Prefix sede PA1 LP130 Prefix sede PA1 LP100 X BRqxn BRqxn X NODO QXN ROMA NODO QXN MILANO BRqxn BRqxn X X Prefix sede PA2 LP130 Prefix sede PA2 LP100 Prefix sede PA2 LP120 Prefix sede PA2 LP110 Rete Fornitore SPC B PA 2

Routing sulla QXN – scenari di fault (interconnessione OPA) Funzionamento normale Ciascun nodo QXN funge da master per un pool di reti (aggregati /24 o meno specifici) e da backup o eventualmente Disaster Recovery per altre. Il traffico proveniente da ciascun Q-ISP è bilanciato dai BRQx verso entrambi i BRQXN, i quali, lo instradano verso il BRQx di destinazione. Indisponibilità dell’intero nodo QXN principale Tutto il traffico Infranet, tra due o più PA afferenti a Q-ISP differenti, passa sul nodo QXN secondario. Il reinstradamento del traffico è soggetto ai tempi di convergenza dei backbone di ciascun Provider. Guasto di entrambi i BRQx del Q-ISPA afferenti al nodo QXN principale Il traffico in uscita dal Q-ISPA, previa riconvergenza del routing BGP intra Provider, è reinstradato verso i BRQx attestati al nodo QXN di backup e, da questi, è bilanciato verso la coppia di BRQXN; il traffico in uscita dagli altri Q-ISP, destinato alle PA assegnate al Q-ISPA, segue il percorso normale fino alla coppia di BRQXN del nodo principale, in funzione della soluzione di bilanciamento Intra-Provider scelta; da questi, è instradato verso la coppia di BRQXN sul nodo di backup, i quali lo inoltrano sul BRQx di destinazione.

Routing sulla QXN – scenari di fault -(interconnessione OPA) (2) Guasto di un BRQXN Il traffico viene instradato dai BRQx verso l’altro BRQXN, senza alcuna riconvergenza. Guasto di un BRQx del Q-ISPA solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è bilanciato sulla coppia di BRQXN, i quali, inoltrano sul BRQx di destinazione. Guasto di un link tra il BRQx del Q-ISPA un BRQXN Il traffico in uscita dal Q-ISPA, che attraversa il BRQx affetto dal disservizio, è instradato solo verso il BRQXN raggiungibile, senza alcuna riconvergenza; il traffico in uscita dal Q-ISPA, che attraversa l’altro BRQx, non è in alcun modo affetto da tale disservizio. Guasto contemporaneo del BRQx del Q-ISPA e di un BRQXN solo il traffico in uscita dal Q-ISPA, per il quale il BRQx guasto è il gateway principale, è affetto dal disservizio. Tale traffico, previa riconvergenza del routing BGP intra Provider, è reinstradato sull’altro BRQx del Q-ISPA e da questo è inoltrato verso l’unico BRQXN disponibile, il quale lo inoltra verso il BRQx di destinazione.

Servizi Offerti – Interconnessione OPO QXN ROMA RM-BRqxn1 VLAN1 IP subnet1 (/30) VPN PA1 (clt QISP) Sedi in OPO VPN PA1 (clt QISP) Sedi in OPA RM-Bropo-FW VLAN2 IP subnet2 (/30) RM-BRopo-QISP VPN PA1 (clt QISP) RM-BRqxn2 VPN PA1 (clt QISP) FW QISP MI-BRqxn1 VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) MI-BRopo-FW MI-BRopo-QISP QXN MILANO MI-BRqxn2

Routing sulla QXN – interconnessione OPO Il fornitori SPC si interconnettono alla QXN mediante apparati denominati BRopo che possono essere, o meno, fisicamente distinti dai BRqx utilizzati per l’interconnessione OPA; I BRopo utilizzano porte di interconnessione alla QXN fisicamente distinte da quelle utilizzate per l’interconnessione OPA L’interconnessione tra i BRopo di ciascun QISP assegnatario (Wind, British Telecom, Telecom Italia) e il BRopo del Q-ISP aggiudicatario (FastWeb) non è diretta, ma realizzata tramite i BRqxn della rete QXN, utilizzando sempre tecnologia Ethernet. I BRqxn operano ai fini OPO come L2 switches. Il collegamento è configurato in modalità trunk (IEEE 802.1q) per il trasporto di un numero di VLAN pari al numero di PA che richiedono connettività Intranet in accordo con l’offerta OPO. Tale modalità di interconnessione offre la possibilità di monitoraggio e visibilità del traffico OPO da parte CNIPA ai fini della misurazione degli SLA, oltre a delimitare univocamente il confine di ciascun operatore alla porta del BRqxn.

Routing sulla QXN - Interconnessione OPO FW QISP PA1 (clt QISP) VPN1 -Sede A (in opo) VPN1 - Sede B QXN ROMA MILANO VLAN1 IP subnet1 (/30) VLAN2 IP subnet2 (/30) VLAN3 IP subnet3 (/30) VLAN4 IP subnet4 (/30) RM-Bropo-FW RM-BRopo-QISP RM-BRqxn1 RM-BRqxn2 MI-BRqxn1 MI-BRqxn2 MI-BRopo-QISP MI-BRopo-FW VLAN 1-2-3-4 : assegnate da QXN IPsubnet 1-2-3-4: assegnate da QISP Nodo principale di interconnessione X X Nodo di back-up di interconnessione

Architettura di rete – network & SLA management Sonda Sonda Sonda Sonda Sonda Sonda Sonda Sonda

Sistema di misurazione SLA

Il DNS SPC E’ un sistema federato di DNS costituito da: DNS delle PA connesse ad SPC DNS dei fornitori SPC DNS QXN L’obiettivo è quello di fare in modo che tutto il traffico inerente alla risoluzione dei domini delle PA appartenenti ad SPC resti confinato all’interno di SPC stesso. In questo modo si assicura un elevato livello di sicurezza alle applicazioni che le PA intendono esporre solo in ambito SPC (es. protocollo informatico) e che utilizzano domini e/o host che non devono essere raggiunti, nè debbono essere visibili da soggetti esterni ad SPC.

DNS SPC – il modello di funzionamento I singoli DNS delle PA, interni o in hosting presso l’operatore (QISP), replicano tutte le proprie zone verso un DNS (DNS QISP dedicato alle PA) che i QISP mettono a disposizione per le PA a loro collegate sono configurati per avere come forwarder il DNS che il rispettivo QISP ha dedicato alle PA I DNS istituzionali dei QISP espongono le zone “pubbliche”delle PA su Internet I DNS dei QISP dedicati alle PA sono slave dei DNS delle PA afferenti al QISP sono autoritativi per tutti i domini delle PA afferenti al QISP replicano tutte le zone delle PA di loro pertinenza sul DNS QXN sono configurati per avere il DNS QXN come forwarder Il DNS QXN: È slave di tutti i DNS dei QISP dedicati alle PA E’ autoritativo per tutti i domini di tutte le PA connesse ad SPC È collegato via Internet ai root nameserver per permettere la risoluzione dei domini non appartenenti a PA connesse ad SPC (ma non risponde a query provenienti da Internet) Tutte le query DNS generate da una PA rimangono così confinate nell’ambito SPC ed in particolare interessano il DNS QXN se: sono relative alla risoluzione di un dominio di PA connesse ad altri QISP; sono relative a domini non SPC.

DNS SPC – il modello di funzionamento (2) Internet DNS QISP1 DNS QISP2 DNS_QISP1_PA (dedicato alle PA) DNS_QXN Slave ISP 1 DNS_QISP2_PA (dedicato alle PA) QXN ISP 2 DNS PA Consultazione www PA 1 Consultazione www.google.it DNS PA DNS PA PA 1 PA 2 Query DNS client internet www.PA1.it PA 3 Risoluzione www.google.it Risoluzione www.PA1.it Query DNS client per www.google.it Query DNS client PA 3 per www.PA1.it Replica zone Replica zone PA esposte su Internet

Gli utilizzatori dei servizi Attuali Fornitori assegnatari della Gara SPC (BT, TI, Wind, Fastweb) CG-SPC Prossimi NIV Centro Coop. Applicazione Futuri Fornitori di servizi di connettività e sicurezza qualificati e certificati (elenchi art. 11 DL 42/2005) Estensione dell’accesso alle PAL ed alle Reti Territoriali (QCN : Qualified Community Networks)