Turbo für konsolidierte Anwendungen
WAN-Optimierung – Die üblichen Unternehmensanwendungen lassen sich nicht ohne weiteres über Weitverkehrsnetze betreiben. WAN-Application-Delivery ermöglicht den Schritt vom LAN zum WAN.
Zwei gegenläufige Trends bereiten derzeit den IT-Verantwortlichen in mittelständischen bis großen Unternehmen Kopfzerbrechen: Einerseits erfordern Kundennähe, Flexibilität und schnelle Reaktionszeiten zunehmend dezentrale Unternehmensstrukturen. Dies hat zur Folge, dass sich die Arbeitsplätze von immer mehr Mitarbeitern aus der Zentrale in entfernte Niederlassungen oder Home-Offices verlagern. Auf der anderen Seite zwingen regulative Vorgaben sowie Maßnahmen zur Kostensenkung die Verantwortlichen dazu, ihre IT-Ressourcen an zentralen Orten zu konsolidieren. Es gilt also, die Server aus den Niederlassungen zurück in die Zentrale zu holen. Und obwohl Bandbreite für die Anbindung von Außenstellen tendenziell immer günstiger wird und in den meisten Fällen auch ausreichend zur Verfügung steht, beklagen sich nach solchen Konsolidierungsprojekten die Mitarbeiter an den entfernten Standorten regelmäßig über »extrem langsame Anwendungen«, die ihnen bestenfalls den Spaß an der Arbeit verleiden. Hierfür gibt es mehrere Ursachen.
Zunächst sollte man sich vor Auge halten, dass der Internet-Zugang von Mitarbeitern in Außenstellen heute in den meisten Fällen immer noch über die Unternehmenszentrale führt – selbst dann, wenn die Niederlassungen per VPN durch das Internet mit der Zentrale verbunden sind. Das bedeutet wiederum, dass über die WAN-Verbindung zwischen Hauptsitz und Dependance nach einer Server- und damit auch Anwendungskonsolidierung neben dem kompletten Internet-Verkehr auch der gesamte Verkehr der internen Applikationen läuft. Folglich müssen sich Internet-Verkehr und geschäftskritische Anwendungen ab diesem Zeitpunkt die verfügbare WAN-Bandbreite teilen.
Hinzu kommt die Tatsache, dass die Zahl an Anwendungen, die Unternehmen nutzen, kontinuierlich ansteigt. Einige davon, beispielsweise Voice-over-IP oder Videokonferenzen, stellen zudem hohe Ansprüche an das Netzwerk in Bezug auf Bandbreite und Latenz. Ein weiterer Faktor, der die Performance von Anwendungen über WAN-Strecken beeinflusst, ist die Entfernung. Dies macht sich insbesondere dann bemerkbar, wenn eine Anwendung oder ein Protokoll viele Roundtrips zwischen Server und Anwender erfordert.
Erschwerend kommt hinzu, dass die meisten Unternehmensanwendungen auf Protokollen basieren, die für den Einsatz in lokalen Netzen entwickelt wurden. Denn diese verhalten sich oft sehr gesprächig und verlangen viel Informationsaustausch zwischen Benutzer und Anwendung. Auf der Internet-Seite erfreuen sich zudem attraktive und nicht unbedingt geschäftsrelevante Portale wie »YouTube.com« oder »MyVideo.de« bei den Mitarbeitern zunehmender Beliebtheit – auch am Arbeitsplatz und dann mit verheerenden Auswirkungen auf die Bandbreite ins Internet.
Und schließlich führt der Trend zu webbasierten Anwendungen dazu, dass auch der Anteil von geschäftskritischem SSL-Verkehr zunimmt. Sind solche Unternehmensanwendungen wie »Salesforce.com« bei einem externen Anbieter gehostet, so konkurriert auch dieser Verkehr mit privatem Surfen um Bandbreite auf der Internet-Verbindung. Allen diesen Herausforderungen müssen sich IT-Manager also stellen, wenn sie bei zentralisierten IT-Ressourcen ihren entfernten Mitarbeitern die selbe Anwendungsperformance bieten wollen wie im lokalen Netz. Um diese Probleme anzugehen können Lösungen zur WAN-Application-Delivery oder allgemeiner zum Aufbau einer Application-Delivery-Architecture zum Einsatz kommen.
Beschleunige und herrsche
Appliances zur Beschleunigung von Anwendungen über Weitverkehrsstrecken sitzen typischerweise am Übergang vom lokalen Netzwerk in das Internet. Bei größeren Außenstellen kommt meist eine Appliance in der Zentrale sowie je ein weiteres Gerät pro Filiale zum Einsatz. Da es bei kleinen Außenstellen, Home-Offices und mobilen Mitarbeitern oft nicht praktikabel oder wirtschaftlich ist, eine dezidierte WAN-Acceleration-Appliance aufzustellen, bieten Hersteller wie Blue Coat Systems für diese Fälle auch einen Software-Client an.
Zunächst bietet es sich an, den Datenverkehr vor seiner Übergabe in das WAN auf der Filialseite entsprechend seiner Wichtigkeit zu priorisieren. Dies sollte unter anderem auf Basis des jeweiligen Benutzers, der genutzten Anwendung und/oder der Zieladresse erfolgen können. Auf diese Weise kann beispielsweise das Öffnen einer Datei auf einem zentralen Server über CIFS eine höhere Priorität erhalten als die Übertragung einer E-Mail. Auch können Unternehmen auf diese Weise verhindern, dass unerwünschter Verkehr überhaupt auf die WAN-Verbindung gelangt. Geht man davon aus, dass rund 30 Prozent der Bandbreite im Unternehmensnetz von nicht-autorisierten Anwendungen wie Peer-to-Peer-Verkehr, Spyware, Skype, Web-Werbung oder Surfen auf unerwünschten Webseiten verursacht wird, lassen sich diese 30 Prozent bereits durch entsprechende Filtermechanismen am Gateway zum WAN einsparen.
Voraussetzung ist dabei, dass die Systeme zur Anwendungsbeschleunigung den Inhalt des Netzverkehrs verstehen und unerwünschten Verkehr blockieren können. Dies wird schwieriger, wenn Anwendungen ihre Daten beispielsweise per SSL verschlüsseln. Denn SSL-verschlüsselt sieht der Internet-Verkehr zu legitimen Websites für eine Firewall genauso aus wie Daten von Spyware, Peer-to-Peer-Anwendungen oder Skype. Um nun auch in SSL-Tunnel hineinsehen zu können, sollte eine Application-Delivery-Infrastructure daher auch SSL-verschlüsselte Daten analysieren können. Wichtig ist in diesem Zusammenhang, dass die Lösungen sowohl interne als auch extern gehostete Webanwendungen beschleunigen können. Erfordert eine WAN-Appliance beispielsweise die Installation von SSL-Zertifikaten der Anwendungswebserver auf der Appliance in der Zentrale, dann bleiben extern gehostete SSL-verschlüsselte Webanwendungen bei allen Beschleunigungsmaßnahmen per Design außen vor. Denn die Betreiber der Anwendungen werden ihr SSL-Zertifikat niemals aus ihren Händen geben.
Im nächsten Schritt gilt es dann, ursprünglich für den Einsatz im LAN entwickelte Protokolle wie CIFS oder MAPI fit für das WAN zu machen. Denn während diese Protokolle in lokalen Netzen in der Regel problemlos funktionieren, verursachen sie im WAN plötzlich Probleme. Ein Beispiel: Öffnet ein Benutzer in einer Filiale eine vier MByte große Powerpoint-Datei auf einem Server in der Zentrale, so fordert CIFS die Daten in jeweils vier kByte großen Häppchen vom Server an. Das bedeutet, dass insgesamt rund 1000 Anforderungen an den Server gehen und 1000 Antworten zurückkommen.
Speichert der Anwender die Datei, passiert mehr oder weniger das selbe noch einmal. Im LAN stellt das kein Problem dar, da Anforderung und Antwort schnell aufeinander folgen. Durch lange Paketlaufzeiten entsteht im WAN jedoch zwischen jeder Anforderung und Antwort eine Wartezeit, die sich bei geschwätzigen Protokollen entsprechend summiert. Diese 1000 kleinen Anforderungen kann nun eine WAN-Accelereation-Appliance in einige wenige große Anforderungen zusammenfassen. Durch den Wegfall der meisten Roundtrips läuft die Datenübertragung nun viel schneller. Die Optimierung eines Protokolls verringert dabei nicht den Datenverkehr selbst – abgesehen von einer Reduktion des Protokoll-Overheads. Aber Protokolloptimierung reduziert die Wartezeit auf die Daten, sprich die Latenz. Je länger eine WAN-Verbindung ist, desto deutlicher fällt durch Protokolloptimierung die Verbesserung aus, was insbesondere auf Satellitenverbindungen große Wirkung zeigt.
Cache as cache can
Das Zwischenspeichern von kompletten, oft übertragenen Dateien – auch Object-Caching genannt – reduziert zudem effektiv die benötigte Bandbreite auf der WAN-Strecke. Eine WAN-Acceleration-Appliance speichert dabei einmal von einem Benutzer angeforderte Dateien für eine bestimmte Zeit zwischen. Fordern weitere Benutzer die selbe Datei an, holt sie die Appliance aus dem lokalen Cache anstatt vom entfernten Server. Das Gerät stellt dabei auch sicher, dass die Datei im Cache auf dem aktuellen Stand ist und prüft zudem, ob der anfordernde Benutzer auch die notwendigen Rechte besitzt. Object-Caching eignet sich vor allem für Inhalte, die sich nicht oft ändern, und kann die benötigte Bandbreite deutlich reduzieren. Überträgt ein Unternehmen jedoch viel dynamischen Content über das WAN, kann diese Technologie ihre Stärken nicht ausspielen. Denn wenn sich zwei Objekte nur in einem Byte unterscheiden, dann müssen beide komplett durch das WAN wandern.
Dieses Problem adressiert dann das Byte-Caching. Der WAN-Beschleuniger prüft dabei übertragene Daten auf sich wiederholende Byte-Sequenzen. Diese nimmt er aus dem zu übertragenden Verkehr heraus und ersetzt sie durch einen Platzhalter. Ein zwölf Byte großes Token kann dabei Blöcke von bis zu 64 kByte Größe repräsentieren. Am anderen Ende ersetzt die zweite Appliance das Token wieder durch den zwischengespeicherten Block und stellt die Daten in ihrer Gesamtheit dem Empfänger zu. Auf diese Weise ist es beispielsweise möglich, beim Speichern eines Dokuments nur die Änderungen über das WAN zu übertragen. Byte-Caching kann je nach Anwendung die effektive WAN-Kapazität um das bis zu 20-fache erhöhen, reduziert aber kaum Latenz.
Als fünftes Mittel zur Anwendungsbeschleunigung greift schließlich die Datenkompression. Dabei entfernen die WAN-Appliances irrelevante und vorhersehbare Informationen aus dem Datenverkehr, bevor dieser übertragen wird. Am anderen Ende rekonstruiert das Gegenstück die Informationen wieder. Jede Übertragung der selben Datei geht dabei gleich schnell vonstatten. Kompression reduziert also die Nutzung von Bandbreite, da weniger Daten übertragen werden. Ihre Effektivität ist jedoch stark vom Typ der Daten abhängig. So funktioniert Kompression beispielsweise sehr gut bei Texten wie Webseiten, jedoch schlecht bei darin referenzierten Bildern oder Videos, die schon komprimiert sind. Auf die Latenz hat Datenkompression so gut wie keine Auswirkung.
Gemeinsam stark
Eine Application-Delivery-Infrastructure über das WAN ist immer nur so effektiv, wie die dabei eingesetzten Technologien. Jede hat dabei ihre Stärken und Schwächen, so dass sie erst in intelligenter Kombination zu wirklicher Größe auflaufen. Nicht unterschätzen darf man dabei die Rolle von SSL-verschlüsseltem Verkehr, der inzwischen Jahr für Jahr um rund 30 Prozent zunimmt. Denn neue Unternehmensanwendungen werden zunehmend als Webanwendungen entwickelt. Und durch Software-as-a-Service-Angebote wandern Unternehmensapplikationen aus dem eigenen Einflussgebiet zu externen Anbietern. Trotzdem darf ein Unternehmen die Kontrolle über diese Applikationen nicht verlieren – und sollte sie unter anderem auch durch Protokolloptimierung und Caching beschleunigen können.
Michael Hartmann,
Geschäftsführer DACH & Osteuropa bei Blue Coat Systems
