WOC-Testreihe: Riverbed Steelhead 1020 und 3020
Schneller via WAN auch ohne File-Cache
Die Steelhead-Appliances von Riverbed verwenden ausgefeilte Mechanismen zur Protokolloptimierung und Datenreduktion. Damit beschleunigen die Systeme beim Fernzugriff von Filialen auf zentrale Ressourcen auch CIFS-Anwendungen so gut, dass ein zusätzliches File-Caching in den meisten Fällen gar nicht erforderlich ist.
Als vierter Kandidat der LANline-WOC-Testreihe (WAN Optimization Controller) trat Riverbed an.
Für den Test stellte der WOC-Anbieter eine Steelhead 1020 für die Filiale sowie ein 3020-System und
ein Verwaltungsgerät CMC (Central Management Console) für die Zentrale zur Verfügung. Das Testnetz
bestand wie bei den bisherigen Tests aus vier Windows-2003-Servern (DC, Fileserver, IIS, Exchange
2003, SQL 2005) und einem Linux-Server in der Zentrale. Filialseitig kamen zwei Windows-XP-Clients
und ein Linux-System zum Einsatz. Die WAN-Kopplung erfolgte über zwei Cisco-2800-Router, zwischen
die wir einen WAN-Simulator schalteten. Dieser erzeugte die gewünschten Bandbreiten (2 MBit/s und
512 kBit/s) und Latenzen (getestet wurde jeweils mit 50 ms und 250 ms).
Die Steelhead-Appliances lassen sich auf mehreren Wegen in Betrieb nehmen. Ist ein DHCP-Server
im Netz vorhanden, erhalten die Boxen von ihm automatisch eine IP-Adresse. Im Test erfolgte die
Konfiguration der IP-Einstellungen via serieller Verbindung. Anschließend wurde auf dem
Managementsystem die CMC-Software aktualisiert. Mit der CMC-Appliance lassen sich Steelhead-Systeme
von zentraler Stelle aus automatisch konfigurieren. Auf die beiden Beschleunigerboxen 3020 und 1020
spielten wir das aktuelle Image des RIOS-4.0-Betriebssystems auf.
Riverbeds WAN-Beschleuniger unterstützen mehrere Netzwerktopologien. Bei der
In-Path-Konfiguration sitzen die Boxen direkt im Datenpfad, in der Regel zwischen dem LAN und dem
WAN-Router. Die Systeme lassen sich auch für die Kommunikation über WCCP-fähige Router
konfigurieren. Ist weder eine In-Path- noch eine WCCP-Konfiguration möglich, lässt sich die
zentrale Appliance auch Out-of-Path einsetzen. Dabei kommunizieren die Filialbeschleuniger mit der
zentralen Box über deren IP-Adresse, die als "Fixed Target" eingetragen wird.
In-Path oder Out-of-Path
Für den LANline-Test wählten wir die In-Path-Konfiguration, da diese in Unternehmen am
häufigsten eingesetzt wird. Sollte eine Steelhead-Box aufgrund eines Hardwarefehlers oder
Stromausfalls nicht verfügbar sein, schaltet ein Relais die beiden In- und Out-Ports durch, sodass
weiterhin eine Netzwerkverbindung besteht. Zu Testzwecken schalteten wir ein Steelhead-System aus.
Das Relais reagierte sofort und die Datenübertragungen wurden nahtlos fortgesetzt.
Automatische Verkehrserkennung
Die Steelhead-Geräte erkennen dank Auto-Discovery, ob auf der anderen Seite der WAN-Verbindung
eine Steelhead-Box vorhanden ist. Finden sie kein Gegenstück, leiten sie den gesamten Datenverkehr
weiter, ohne ihn zu optimieren. Liegt eine dritte Steelhead-Box zwischen zwei Appliances im
Datenpfad, sind die Systeme mit der neuen RIOS-Version 4.0 nun in der Lage, den Datenverkehr direkt
zwischen den beiden Endpunkten zu optimieren. Die mittlere Box leitet den Datenverkehr automatisch
durch, ohne ihn zu bearbeiten. Auch auf asymmetrisches Routing, bei dem die Datenpakete bei
mehreren Verbindungen über die falsche Netzwerkkarte geschickt werden, können die Steelhead-Systeme
laut Hersteller nun besser reagieren: Sie erkennen dieses Fehlverhalten und leiten den Datenverkehr
automatisch zum richtigen Link weiter.
Die Beschleuniger ließen sich bereits in der Vergangenheit im Active-/Passive-Modus betreiben,
wenn hohe Ausfallsicherheit gefordert war. RIOS 4.0 unterstützt nun auch
Active-/Active-Konfigurationen, in denen beide Boxen einen Teil des Datenverkehrs optimieren.
Nachdem die meisten Konkurrenten bereits seit einiger Zeit einen Printserver in ihre WOCs
integriert haben, bietet nun auch Riverbed ein entsprechendes Add-on. Dazu wurde CUPS (Common Unix
Printing System) auf der Filialbox installiert. Anschließend wurde der netzwerkfähige Drucker so
konfiguriert, dass er über die Steelhead-Box als IPP-Drucker bereitstand.
Optimierungsmechanismen
Die Steelhead-WOCs beschleunigen Datenübertragungen auf verschiedenen Ebenen. Standardmäßig
optimieren die Systeme alle Verkehrsarten wie TCP, HTTP, FTP, CIFS, NFS oder MAPI. TCP-Transfers
werden auf Protokollebene optimiert, unter anderem indem die Appliance vorhersehbare Anfragen lokal
beantwortet. Connection Pooling spart eine Round Trip Time (RTT), weil es zwischen
Steelhead-Systemen immer 20 TCP-Verbindungen offenhält. Bei CIFS führen die Boxen ebenfalls
zahlreiche Anfragen in der Client-/Server-Kommunikation lokal aus und verbessern so das
Antwortverhalten deutlich. Die NFS-Optimierung beantwortet die von NFS verwendeten RPC-Calls lokal.
Zu einer deutlichen Reduktion der übertragenen Datenmenge trägt die LZ-Kompression bei. So genannte
"kalte" Transfers (erstmalige Dateiübertragungen) sind deshalb mit Steelhead-Systemen bereits
deutlich schneller als ohne Optimierung.
Richtig schnell werden die Zugriffe, sobald eine Datei schon einmal über die Leitung gegangen
ist: Dann haben die Appliances auf beiden Seiten die Bitmuster der jeweiligen Datei gespeichert und
übertragen nur noch sehr kleine Platzhalter (Labels). Lediglich veränderte Bitmuster sind neu zu
übertragen. Gegenüber einem reinen File-Caching bietet die Bitmustererkennung den Vorteil, dass sie
Dateien, die kopiert oder nur wenig verändert wurden, nicht neu übertragen muss, weil die Bitmuster
bereits auf beiden Seiten gespeichert sind. Der LANline-Test zeigte, dass der Zugriff auf eine
Kopie, die auf dem zentralen Fileserver unter anderem Namen gespeichert war, genauso schnell
erfolgte wie auf das Original – vorausgesetzt, die ursprüngliche Datei wurde zuvor bereits
übertragen. Bei einer reinen File-Cache-Lösung müsste jede Kopie neu über das WAN geschickt
werden.
Die QoS-Priorisierung ist bei den Steelhead-Appliances standardmäßig deaktiviert. Der
Admininstrator kann die Systeme aber so konfigurieren, dass sie die Paket-Header bei kritischen
Verkehrsarten wie VoIP oder SAP mit DSCP-Markierungen versehen. Zudem kann er Applikationen
Mindestbandbreiten garantieren und ihre Priorisierungsstufe erhöhen. Bei Verbindungen mit sehr
hoher Bandbreite und hoher Latenz kann der Administrator auf den Steelhead-Boxen die Funktion HSTCP
(High-Speed TCP) aktivieren. Dies nutzt die vorhandene Bandbreite besser aus. Anstelle einer
Forward Error Correction (FEC) setzt Riverbed das so genannte MXTCP ein, eine TCP-Variante, die für
schlechte Verbindungen mit hohen Paketverlustraten optimiert wurde.
Daten vorab übertragen
Der Administrator kann in den Fileserver-Shares gespeicherte Dateien nach Wunsch zur Filiale zu
übertragen (Pre-Population). Dabei werden auf beiden Seiten die Bitmuster dieser Dateien
gespeichert und die übertragenen Dateien anschließend gleich wieder gelöscht. Der Zugriff auf diese
Dateien erfolgt danach mit LAN-ähnlicher Geschwindigkeit. Im LANline-Test haben wir verschiedene
Test-Shares per Pre-Population "warm" gemacht. Dies funktionierte ohne Probleme, und der
anschließende Zugriff auf die Dateien verlief erwartungsgemäß sehr schnell.
Die Pre-Population lässt sich für CIFS und für MAPI per Zeitsteuerung oder manuell starten. Für
HTTP führen die WOCs die Vorabübertragung immer sofort aus, wobei der Administrator angeben kann,
welche Objekttypen zu transferieren sind. Die Appliances lernen dabei, welche Objekte einer
Webseite mit welcher URL verknüpft sind. Diese Informationen werden dynamisch aktualisiert, sodass
der zentrale WOCs immer alle Objekte vorab überträgt. Fordert ein Benutzer in der Filiale das
nächste Mal eine Webseite vom zentralen Webserver an, führt der Beschleuniger alle Anfragen lokal
aus und schickt das Ergebnis sofort in einem Stück zur Filiale.
Sind auf dem Filial-WOC Proxy File Services (PFS) aktiviert, speichert die Appliance die Dateien
der für PFS konfigurierten zentralen Shares im lokalen Cache. Laut Riverbed wird PFS in den meisten
Fällen nicht benötigt, weil die anderen Optimierungsmechanismen die Übertragungen bereits sehr
stark beschleunigen und fast dieselbe Zugriffsgeschwindigkeit erreichen wie ein File-Cache. Der
LANline-Test bestätigte diese Aussage im Wesentlichen: In den meisten Fällen war die Beschleunigung
ohne PFS nur etwas langsamer als die Cache-Zugriffe. Lediglich beim Speichern nach einer Änderung
war insbesondere mit der Visio-Testdatei (13 MByte) ein größerer Unterschied festzustellen.
Ein Verzicht auf PFS hat zudem den Vorteil, dass alle Schreib- und Leseanforderungen direkt auf
dem ursprünglichen Fileserver ausgeführt werden und somit die normalen Locking-Mechanismen der
Anwendungen unverändert wirksam bleiben. Mit PFS dagegen muss der Administrator sicherstellen, dass
nur der WOC iliale Schreibzugriff auf das Original-Share auf dem Fileserver erhält, da sonst durch
konkurrierende Schreibzugriffe korrumpierte Dateien entstehen würden. Der Einsatz von PFS kann
jedoch sinnvoll sein, wenn an einem Standort die Netzwerkanbindung häufig unterbrochen ist. Agiert
das Steelhead-System in der Filiale als Fileserver-Proxy, können die Benutzer auch bei fehlender
WAN-Anbindung mit den gecachten Dateien weiter arbeiten.
SSL-Verkehr beschleunigen
Mit RIOS 4.0 sind die Steelhead-WOCs nun in der Lage, auch verschlüsselte SSL-Transfers zu
beschleunigen, zum Beispiel Zugriffe auf HTTPS-Webseiten. Möglich wird dies durch eine mehrstufige
Sicherheitsarchitektur. Der erste Schritt besteht darin, die Zertifikate der zentralen
Certification Authority (CA) und die privaten Schlüssel auf die Appliance in der Zentrale zu
kopieren. Dann richtet der Administrator eine SSL-Verbindung zwischen der zentralen Steelhead-Box
und der Appliance in der Filiale ein. Dafür kommen eigene Zertifikate zum Einsatz, die die
Appliances generieren. Will ein Benutzer aus der Filiale auf eine HTTPS-Seite zugreifen, fängt der
WOC in der Zentrale die Anfrage ab und stellt selbst eine SSL-Verbindung zum angefragten Webserver
her. Gleichzeitig baut die Appliance eine eigene SSL-Verbindung zum Client auf und überträgt einen
temporären Session-Key zur Box in der Filiale. Dadurch lässt sich die SSL-Verbindung des Clients
zur Filialbox verlagern und die SSL-Übertragung optimieren. Die Root-Zertifikate und der Private
Key verbleiben immer auf den Systemen am zentralen Standort.
Um die SSL-Beschleunigung zu testen, haben wir auf dem IIS-Webserver den Certification-Service
von Windows 2003 installiert und diesen Server als Enterprise Root CA eingerichtet. Dann wurde im
IIS ein neues Zertifikat erstellt, um den Webserver als HTTPS-System betreiben zu können. Damit der
Webserver und die zentrale Steelhead-Appliance per SSL miteinander kommunizieren können, wurden das
Zertifikat und der Public Key auf den WOC in der Zentrale exportiert. Zusätzlich tauschten die
Steelhead-Systeme die Riverbed-eigenen Zertifikate und Private-Keys, damit auch die Kommunikation
über die WAN-Verbindung per SSL verschlüsselt werden kann. Damit waren alle Voraussetzungen
geschaffen, um SSL-Übertragungen zu beschleunigen. Im ersten Anlauf ließ sich allerdings beim Laden
zweier Testdateien vom Webserver keine Optimierung feststellen. Es stellte sich heraus, dass zwar
der Haken bei der Option "Optimize SSL Traffic" gesetzt, aber noch keine In-Path-Regel für die
Beschleunigung des SSL-Traffics definiert war. Diese ist notwendig, weil die Steelhead-Appliances
den SSL-Verkehr standardmäßig ohne Optimierung weiterleiten. Beim zweiten Versuch wurde zwar SSL
als Verkehrsart in der Beschleunigungsstatistik angezeigt, aber mit 0 Prozent Reduktionsrate. Das
Error Log der Appliance lieferte den entscheidenden Hinweis: Auf der Box war die SSL-Lizenz noch
nicht eingetragen. Nachdem auch dies erledigt war, wurden die beiden Testdateien mit hoher
Geschwindigkeit übertragen.
Gute Testleistungen in puncto Performance
Um die Beschleunigung der WOC-Appliances zu testen, kamen verschiedene Dateitypen
unterschiedlicher Größe zum Einsatz. Gemessen wurden das Öffnen von zenrtal gespeicherten Dateien
via WAN-Verbindung, das Speichern nach einer Änderung sowie das Kopieren auf den Filial-Client.
Die Steelhead-WOCs ließen bei den Perfomance-Testreihen so gut wie keine Schwächen erkennen und
beschleunigten alle Verkehrsarten gut bis sehr gut. Lediglich bei der 13 MByte großen Visio-Datei
dauerte das Speichern nach einer Änderung sehr lange – hier hatten die anderen Testkandidaten aber
zum Teil noch deutlich größere Probleme. Auch die SSL-Optimierung konnte überzeugen: Die
Testdateien wurden fast genauso schnell transferiert wie ohne SSL-Verschlüsselung.
Die Funktionstests beim Zugriff auf den SQL-Server über die WAN-Verbindung verliefen ebenfalls
ohne Probleme. Gleiches gilt für die Übertragung von Videodateien, die wir per Windows Media Player
auf dem XP-Client abspielten.
File-Caching-Modus
Um die Beschleunigung der Systeme im File-Caching-Modus zu testen, aktivierten wir auf der
Filialbox PFS. PFS unterstützt drei Betriebsarten: Mit dem Broadcast-Modus lassen sich Dateien von
der Zentrale auf die Filial-Appliances verteilen, wobei die Clients nur lesend zugreifen können.
Der Standalone-Modus stellt den auf der Filialbox verfügbaren freien Plattenplatz lokal zur
Verfügung. Für den Test wurde der Local Mode gewählt. Damit haben die Filial-Clients Lese- und
Schreibzugriff auf die zwischen der Appliance und dem zentralen Fileserver synchronisierten
File-Shares. Das Steelhead-System agiert dabei als Proxy-Fileserver.
Es gibt zwei Wege, eine Steelhead-Appliance als Proxy-Fileserver in ein Netzwerk zu integrieren:
Im Domain-Modus wird die Box in die Domäne aufgenommen und verwendet für Zugriffe auf Shares die
auf dem Domänen-Controller vorhandenen Benutzer und Berechtigungen.
Domain-Modus und Workgroup-Modus
Wir wählten den Workgroup-Modus: Mit ihm werden Benutzerkonten direkt auf dem Filial-WOC
angelegt. Dann konfigurierten wir auf dem Steelhead-System ein neues Share, auf das die Clients
zugreifen sollten. Der Admin gibt dafür einen lokalen Verzeichnisnamen an und verknüpft diesen im
Feld "Remote Path" mit dem Originalverzeichnis auf dem Fileserver. Sobald ein Share erstmals
synchronisiert wurde, können die Clients darauf zugreifen. In welchen Zeitabständen die
Synchronisation erfolgt, kann der Administrator wählen.
Beim Zugriff auf das Share trat zunächst ein Problem auf: Der auf dem WOC angelegte
Workgroup-Benutzer Testuser01 erhielt beim Versuch, das Share als Netzlaufwerk auf den XP-Client zu
mappen, jedesmal die Fehlermeldung "Netzwerkzugriff verweigert". Zunächst war es nur möglich, das
Test-Share unter Angabe des lokalen Administrator-Accounts der Steelhead-Filialbox zu
verbinden.
Die Fehlersuche ergab, dass beim Einrichten des Shares die für den Zugriff erforderlichen
Benutzerberechtigungen nicht gesetzt worden waren. Wir fügten auf dem XP-Rechner unter den
Sicherheitseinstellungen des Test-Shares den Benutzer "Testuser01" hinzu und statteten ihn mit den
nötigen Rechten aus; nun ließ sich das Netzlaufwerk verbinden. Es wäre auch möglich gewesen, dem
bereits vorhandenen Benutzer "Jeder" die erforderlichen Rechte zu geben. Nachdem schlussendlich das
Mapping-Problem gelöst war, konnten die Performance-Tests mit dem File-Caching-Share starten.
Bleibt festzuhalten: Die Testergebnisse bestätigen Riverbeds Aussage, dass der Unterschied
zwischen PFS und reiner CIFS-/TCP-/Bitmuster-Optimierung nur sehr gering ist. Lediglich bei der 13
MByte großen Visio-Datei schnitt PFS beim Speichern nach einer Änderung deutlich besser ab.
Fazit: gute Ergebnisse in den Funktions- und Performance-Tests
Riverbeds Steelhead-Beschleuniger haben sich in den Funktions- und Performance-Tests sehr gut
geschlagen. Der einzige Kritikpunkt sind die anfänglichen Authentifizierungsprobleme beim Mappen
der File-Shares im PFS-Modus. Positiv hervorzuheben ist die Fähigkeit der WOCs, SSL-Übertragungen
zu beschleunigen. Angesichts der gebotenen Funktionen bewegen sich die Preise für die Appliances in
einem vertretbaren Rahmen.
Die Preisspanne, in der sich die getesteten Systeme bewegen, ist dabei durchaus nicht zu
vernachlässigen: Das 1020-System kostet zirka 10.000 Euro, die deutlich größere 3020-Appliance
schlägt mit rund 26.000 Euro zu Buche.
Alle Funktionen inklusive der SSL-Beschleunigung sind im Standardlieferumfang enthalten.
Lediglich für das optionale CMC-System, dessen Einstiegspreis bei 3700 Euro liegt, fallen
zusätzliche Kosten an.
Info: Riverbed Tel. 089/9286156-0 www.riverbed.com
Lesen Sie mehr zum Thema
