WAN-Access
Transportwege beschleunigen und gleichzeitig sichern
Fortsetzung des Artikels von Teil 2
Optimierung von Anwendungen im Tunnel
Allerdings sind bei Site-to-Site-VPNs nicht nur Firewalls von den Unzulänglichkeiten einer WAN-Verbindung betroffen. Dies gilt auch für die Anwendungen und Daten, die über den IPsec-Tunnel bereitgestellt werden. Ein geradezu klassisches Problem sind die Auswirkungen einer Überlastung des Netzes. Dazu zählen das Wegwerfen und erneute Übermitteln von Paketen sowie der Transfer von Paketen in der falschen Reihenfolge. Eine WAN-Optimierungslösung sollte daher eine Technik wie Adaptive-Forward-Error-Correction (FEC) einsetzen. In Verbindung mit Real-Time-Packet-Order-Correction (POC) rekonstruiert sie verlorengegangene Pakete und stellt die ursprüngliche Reihenfolge wieder her. Dies erspart eine erneute Übermittlung von Datenpaketen.
Schwierigkeiten durch zu hohe Latenzzeiten lassen sich beheben, indem der Datentransport über TCP oder CIFS (Common-Internet-File-System) beschleunigt wird. Dazu „baut“ eine WAN-Optimierungslösung auf Basis von Accelerated-IPsec beispielsweise aus mehreren kleinen Paketen ein großes. Wichtig ist, dass dabei die maximale MTU-Größe berücksichtigt wird, die das IPsec-VPN unterstützt. Ansonsten kommt es zur Fragmentierung der Pakete.
Den richtigen Pfad wählen
Ebenfalls zu niedrigeren Latency-Werten führt der Einsatz einer dynamischen Pfadkontrolle (Dynamic-Path-Control). Dieses Verfahren ermittelt den optimalen Weg zum anderen Standort. Dies sollte sowohl für IPsec-Verbindungen als auch unverschlüsselte Connections möglich sein. Steht dagegen zu wenig Bandbreite zur Verfügung, müssen Daten, die über den VPN-Tunnel fließen, vor der Übermittlung dedupliziert werden. Dabei werden identische Datenmuster („Pattern“) durch schlanke Zeiger ersetzt. Diese verweisen auf bereits übermittelte Daten im Speicher des WAN-Optimierungssystems auf der Empfängerseite. Dort werden die Original-Pakete rekonstruiert.
Wichtig ist, dass ein Deduplizierungsverfahren möglichst viele Anwendungen unterstützt, die via VPN bereitgestellt werden, nicht nur TCP-basierte Applikationen, sondern auch solche, die beispielsweise UDP (User-Datagram-Protocol) verwenden. Zudem sollte die Deduplizierung auf der Byte-Ebene erfolgen, um die Effizienz zu erhöhen. Nach Erfahrungswerten von Silver Peak lassen sich mithilfe von Deduplizierung und Datenkompression die Datenmengen um mehr als 90 Prozent erhöhen.
Fazit
Die Kombination von IPsec-VPN und WAN-Optimierung, wie sie Accelerated-IPsec bietet, hat gegenüber herkömmlichen Verfahren deutliche Vorteile: Der Anwender erhält eine Lösung aus einer Hand und muss nicht mehrere Systeme vorhalten, etwa separate Appliances für WAN-Optimierung und den Aufbau von VPNs. Zudem ist Accelerated-IPsec auch für den „Nicht-Netzwerker“ kein Buch mit sieben Siegeln. Storage-Administratoren können somit ohne Hilfe der Netzwerkverwalter eine VPN-Verbindung einrichten und darüber Backups erstellen und Daten replizieren. Zudem ist es ein Leichtes, Anwendungen schnell und effizient Nutzern an anderen Standorten zugänglich zu machen, ohne Kompromisse in Bezug auf die Performance und die Sicherheit.
- Transportwege beschleunigen und gleichzeitig sichern
- Das WAN ist der Flaschenhals – nicht die VPN-Lösung
- Optimierung von Anwendungen im Tunnel
Lesen Sie mehr zum Thema
