WAN-Access
Transportwege beschleunigen und gleichzeitig sichern
Fortsetzung des Artikels von Teil 1
Das WAN ist der Flaschenhals – nicht die VPN-Lösung
Ein weiterer Schwachpunkt ist, dass die beste Hardware-gestützte Verschlüsselung wenig hilft, wenn die Übertagungsstrecke, also das WAN, qualitativ unzureichend ist. Dies kann auf eine zu geringe Bandbreite, zu hohe Paketverlustraten oder zu hohe Latenzzeiten zurückzuführen sein. Speziell beim Replizieren von Daten über größere Entfernungen (mehrere 100 oder gar 1.000 Kilometer) sind Verzögerungszeiten von 80 ms bis 200 ms keine Seltenheit. Dadurch sinkt das Datenvolumen drastisch, das pro Stunde über einen VPN-Tunnel zum anderen Rechenzentrum repliziert werden kann.
Dazu folgendes Praxisbeispiel: Eine britische Versicherungsgesellschaft nutzt für die Replizierung einen WAN-Link mit 622 MBit/s. Dieser weist eine hohe Latenzzeit von mehr als 200 ms auf. Vor Einsatz einer WAN-Optimierungssoftware konnten über die Verbindung nur 260 GByte pro Stunde überspielt werden. Dank WAN-Optimierung sind es 1,6 TByte pro Stunde.
Ein japanisches IT- und Halbleiterunternehmen greift auf eine Shared-MPLS-Verbindung (Multi-Protocol-Label-Switching) zurück, um Daten zwischen Standorten im US-Bundesstaat Massachusetts (Ostküste) und Kalifornien (Westküste) zu spiegeln. Die WAN-Strecke weist Latenzzeiten von bis zu 100 ms auf. Hinzu kommt eine Paketverlustrate (Packet-Loss-Rate) von einem Prozent. Ohne WAN-Optimierung führte dies dazu, dass ein Replizierungsvorgang über das VPN mehr als zwei Stunden dauert. Nach Implementierung einer WAN-Optimization-Lösung sind es 30 Minuten.
Lösung: WAN-Optimierung und VPN kombinieren
Beim Bereitstellen von Anwendungen und bei der Datenreplizierung müssen somit zwei Faktoren berücksichtigt werden:
- Der Schutz der Daten durch VPNs,
- das aber in Kombination mit WAN-Optimierung, um die negativen Effekte zu kompensieren, die der Datentransfer über lange WAN-Strecken mit sich bringt.
Ein Ansatz, der beide Elemente vereint, ist beispielsweise „Accelerated IPsec“ von Silver Peak. Mit dieser Technik lassen sich Site-to-Site-VPNs auf Basis des IPsec-Protokolls aufbauen. Gleichzeitig stehen WAN-Optimierungsfunktionen bereit. Wichtig bei einer solchen Lösung ist eine „starke“ Verschlüsselung. Bewährt hat sich die AES-Verschlüsselung (Advanced-Encryption-Standard) in Verbindung mit 256-Bit-Keys. Zudem sollten sich beide Komponenten, also VPN und WAN-Optimierung, über dieselbe Managementoberfläche verwalten lassen.
Firewalls entlasten
Eine Technik wie Accelerated-IP beschleunigt den Transfer von Daten im Vergleich zu herkömmlichen VPN-Lösungen etwa um den Faktor 90. Dieser Performance-Gewinn ist auf mehrere Faktoren zurückzuführen. Einer betrifft die Arbeitsweise von Firewalls. Sie filtern Daten normalerweise anhand des entsprechenden TCP/UDP-Ports und der Protokollinformationen. Diese Informationen sind im ersten Paket enthalten, das übermittelt wird. In einem WAN kann es jedoch zu einer Fragmentierung der Datenpakete kommen. Das heißt, die für die Firewall wichtigen Informationen werden nicht zu Beginn, sondern später übermittelt. Das verzögert den Filterprozess und beeinträchtigt den Durchsatz der Firewall.
Der Einsatz von IPsec führt häufig zu einer solchen Fragmentierung. Der Grund ist, dass IPsec Änderungen an den Datenpaketen vornimmt. So kann ein Authentication-Header (AH) eingefügt werden oder eine Verschlüsselung der Nutzlast von IP-Paketen (Encapsulating-Security-Payload, ESP) erfolgen. Dadurch wird oft die zulässige MTU-Größe (Message-Transfer-Unit) überschritten. Der Host-Rechner, der ein solches Paket losschickt, teilt dieses daher in mehrere Segmente auf. Auch Router auf dem Übermittlungsweg können eine Segmentierung vornehmen. Accelerated-IP eliminiert solche Probleme mithilfe eines Auto-MTU-Algorithmus. Er ermittelt automatisch die maximale MTU-Größe, die auf dem gesamten Übertragungsweg verwendet werden kann.
- Transportwege beschleunigen und gleichzeitig sichern
- Das WAN ist der Flaschenhals – nicht die VPN-Lösung
- Optimierung von Anwendungen im Tunnel
Lesen Sie mehr zum Thema
