Application Frontends treffen auf WAN-Optimierung
Und ewig lockt das World Wide LAN
Alle Unternehmen mit verteilten Standorten stehen vor dem gleichen Problem: Anwendern in Filialen beim Zugriff auf Ressourcen im zentralen Rechenzentrum eine möglichst LAN-ähnliche Reaktionsgeschwindigkeit zu bieten. Zum Einsatz kommen hier unterschiedliche Lösungen von Application Switches bis hin zu WAN-Optimierungs-Appliances. Einige Anbieter zielen nun durch Kombination symmetrischer und asymmetrischer Methoden auf die End-to-End-Zugriffsoptimierung.
Die Konzentration von Rechnerressourcen in einem zentralen Data Center – oder mit Blick auf
Hochverfügbarkeit in einigen wenigen RZs – ist für viele Unternehmen das Mittel der Wahl, um die
IT-Kosten in den Griff zu bekommen. Treiber dieser Entwicklung sind laut Gartner-Analyst Joe
Skorupa neben der globalisierten Wirtschaft vor allem der Konsolidierungs- und Regulierungsdruck in
den Unternehmen. Im Idealfall stehen dann alle verwaltungsaufwändigen Ressourcen gebündelt in einem
Rechenzentrum, und die IT-Abteilung steuert das Equipment in den Filialen komplett aus der
Ferne.
WAN mit spezifischen Problemen
Dieses an sich einleuchtende Konsolidierungsbestreben stößt aber mitunter schnell an Grenzen.
Schuld daran sind in der Regel die Applikationen: Standen früher vor allem webbasierte
(E-)Business-Anwendungen im Brennpunkt, so drängen heute zudem auch Probleme mit generischen
E-Mail- und Collaboration-Anwendungen sowie applikationsnahen Dienste wie Datei-Transfers mittels
CIFS und NFS. Denn diese Services und Anwendungen wurden mit Blick auf das LAN entwickelt und
führen deshalb beim Einsatz über WAN-Leitungen häufig zu ärgerlich langen Wartezeiten.
Zu den Wurzeln des Übels zählt zum Beispiel die so genannte "Chattiness" (Geschwätzigkeit) der
Anwendungen: Die Ausführung einer Aktion bedingt zahlreiche Anfragen und Bestätigungen zwischen
Client und Server. Jeder Datenpfad bringt wieder eine neue Zeitverzögerung (Delay) mit sich. In
einem schnellen LAN fällt dies nicht weiter ins Gewicht, wohl aber bei der Reise der Daten über
hunderte von Kilometern lange WAN-Strecken. So kann das Verschieben einer Datei im LAN in Sekunden
abgeschlossen sein, beim Zugriff via WAN aber eine minutenlange Kaffeepause erzwingen. Da es sich
in diesem Beispiel um ein Delay- und nicht um ein Bandbreitenproblem handelt, würde auch der
Umstieg auf eine "fettere" WAN-Leitung keine Linderung bringen.
Der Markt weist eine geradezu unübersichtliche Fülle von Werkzeugen und Methoden auf, um
WAN-Zugriffe zu optimieren – und das heißt in der Regel "zu beschleunigen", manchmal auch "
zuverlässiger zu gestalten". Zum Einsatz kommen Application-Switches, CPU-basierte Appliances,
Geräte mit Mischarchitekturen sowie Einschübe für Switches und Router. Die Herde der Lösungsansätze
lässt sich in zwei Gruppen unterteilen: symmetrische und asymmetrische Architekturen.
Symmetrische Lösungen
Die symmetrischen Ansätze erfordern jeweils ein Optimierungsgerät an beiden Enden der
WAN-Leitung und zielen auf die netzwerknahe Beschleunigung des Traffics zwischen diesen beiden
Endpunkten. Dank des US-amerikanischen Abkürzungswahns heißen diese Geräte auch "WOC" (WAN
Optimization Controller).
Die Trickkiste der WAN-Beschleunigung ist prall gefüllt. Der frühe Vorreiter Packeteer arbeitete
lange vor allem mit Traffic-Shaping (Queues mit unterschiedlichen Prioritäten und Maximalraten).
Eine neue Generation von WAN-Optimierern – vertreten zum Beispiel durch Expand, die jüngst von
Juniper übernommene Peribit, Riverbed oder auch Tacit Networks – knöpfte dem Veteranen Packeteer
die technische Führungsrolle ab, indem sie diverse weitere Verfahren in ihren Appliances
kombinieren (was Packeteer inzwischen ebenso handhabt). Zum Handwerkszeug zählen
Kompressionsverfahren, die mittels Mustererkennung auf Byte-Level enorme Beschleunigung erzielen,
das Manipulieren der TCP-Fenstergröße, das Bündeln von Requests als Gegenmaßnahme zur Application
Chattiness, CIFS-, NFS- und MAPI-spezifische Eingriffe sowie das intelligente Caching von Inhalten
auf Filialseite. Da letztere Mechanismen der Verteilung von Dateien im verteilten Unternehmensnetz
dienen, spricht man hier auch von Wide Area File Services (WAFS), vertreten durch Anbieter wie
Riverbed und Tacit. Anders als bei CDNs (Content Delivery Networks) der 1990er-Jahre entfällt bei
heutigen WAFS-Appliances die Notwendigkeit des ständigen Dateiabgleichs per Push-Verfahren, um die
Caches am Netzwerkrand aktuell zu halten. Der Abgleich zwischen der Caching-Appliance in der
Zweigstelle und dem Gegenstück im Data Center erfolgt automatisch, wenngleich Push-Updates möglich
sind.
Asymmetrische Lösungen
Eine asymmetrisch aufgebaute Lösung hingegen ist als einzelne Instanz (Tier) der Serverfarm
vorgeschaltet und nicht auf ein WAN-seitiges Gegenstück angewiesen. Das klassische Beispiel ist der
Load-Balancer: Er verteilt eingehenden Datenverkehr sinnvoll auf die Backend-Server, erhöht so
deren Verfügbarkeit und verkürzt die Antwortzeiten. Heutige Load-Balancer arbeiten meist auf
Switch-Basis (Application Switches), setzen eine Vielfalt von Algorithmen ein und verstehen sich
auf zahlreiche Verfahren zur Steuerung von Requests, so zum Beispiel die für Webapplikationen
unverzichtbare Berücksichtigung von Cookies (Cookie Stickiness) bei
Verkehrsfluss-entscheidungen.
Heutige Geräte – neben Application Switches auch CPU-basierte Appliances oder Hybridformen –
leisten längst viel mehr als reine Lastverteilung: Das Aufgabenspektrum umfasst – anders als bei
WOCs – zusätzlich Sicherheitsfunktionen wie DoS-Attack-Abwehr (Denial-of-Service-Angriff) und
SSL-Terminierung (siehe dazu den anschließenden Artikel "Wieviel Security auf Application Switches?"
). Modulare Systeme sind hier im Vorteil, da sie den Appliance-Bestand im Zaum halten. Zudem
reichen die Maßnahmen der Application Switches bis tief in die Anwendungsabläufe hinein. Zum
Beispiel können manche Geräte Onlinebestellungen gegenüber anderem Web-Traffic priorisiert einem
besonders leistungsstarken Server zuweisen oder auch bei Datenbanken zwischen Lese- und
Schreibzugriffen unterscheiden. Während also die WAN-Optimierungsgeräte sehr netzwerknah arbeiten,
zielen die asymmetrischen Lösungen auf möglichst enge Bindung an die Backend-Applikation sowie auf
deren Absicherung. Deshalb spricht der Markt hier auch von Application-Frontends (die
unvermeidliche Abkürzung: AFE). Die Marktforscher von Gartner nennen die Gerätegruppe "Application
Delivery Controller" (ADC). Zahlreiche Anbieter buhlen im ADC-Markt um die Gunst der Anwender (Bild
1).
Marktbereinigung
"In den letzten 18 Monaten", so Robert Whiteley vom Analystenhaus Forrester, "hat sich der
höchst zersplitterte Markt der Anwendungsbeschleunigung von seinen ursprünglich 13 Unterkategorien
auf nur vier konsolidiert." Zu diesen vier Segmenten zählt Whiteley erstens die
Data-Center-Beschleunigung, vertreten durch Hersteller wie Cisco, F5, Radware und Foundry; zweitens
die Beschleunigung der "letzten Meile" durch die genannten WOC-/WAFS-Spezialisten; drittens
IP-Traffic-Management per Kompression und QoS-Mechanismen (Quality of Service) à la Packeteer,
Expand, Juniper/Peribit und Co.; und viertens die applikationsspezifische Beschleunigung – also das
Highend der asymmetrisch arbeitenden Anbieter.
Der Markt der Anwendungsbeschleuniger oder ADCs hat in den letzten Quartalen deutlich an Schwung
gewonnen. Die zeigt sich auch durch die Fülle der Übernahmen in letzter Zeit: F5, bei Gartner
aufgrund seiner flexiblen asymmetrischen Lösungen der Big-IP-Serie traditionell als stärkster
ADC-Anbieter betrachtet, hat 2005 den AFE-/WOC-Anbieter Swan Labs erworben. Juniper übernahm mit
Peribit und Redline je einen Anbieter beider Architekturen. Das gleiche Vorgehen findet man bei
Cisco: Die Übernahme von Actona (WAN-Optimierung) im Jahr 2004 ergänzte der Netzwerkriese 2005
durch den Kauf des AFE-Spezialisten Fineground. Server- based-Computing-Gigant Citrix, für flotte
WAN-Zugriffe lange auf das hauseigene SBC-Protokoll ICA fixiert, erwarb mit Netscaler ebenfalls
einen prominenten Vertreter der asymmetrischen Fraktion.
Durchgängige Lösung als Ziel
Diese Übernahmen bestätigen einen Trend, den der Forrester-Analyst Whiteley so beschreibt: "Die
Grenzen zwischen den vier Unterkategorien verschwimmen zunehmend. Unternehmen werden künftig davon
profitieren, dass ein einziger Anbieter ihre Applikationsflüsse durchgängig (end to end) optimiert."
Die ADC-Anbieter müssen dazu ihre im Hause entwickelten und/oder zugekauften
Optimierungsmechanismen auf einer gemeinsamen, im Idealfall modularen Plattform bündeln und
miteinander verzahnen. Der Anspruch der End-to-End-Optimierung impliziert dabei, dass der
Hersteller symmetrische mit asymmetrischen Verfahren in ein wirkungsvolles Zusammenspiel
bringt.
Die beiden Ansätze zielen zwar auf unterschiedliche Anwendergruppen: WOCs auf die Zweistellen,
AFEs auf mobile oder externe Mitarbeiter sowie Partner und (Online-)Kunden eines Unternehmens; für
die IT-Abteilung kann es aber eine Entlastung sein, die gesamte Funktionalität von einem einzelnen
Anbieter oder gar auf der Basis einer einheitlichen Plattform zu beziehen. Whiteley weist aber auch
darauf hin, dass eine All-in-one-Box nicht immer der beste Weg sein muss: "Dieser Markt wird wohl
einen ähnlichen Pfad einschlagen wie vormals die Firewalls: von speziell gebauter Hardware über
Core-Switches und Router bis zu kleineren Switches und jetzt sogar Multifunktionsgeräten. Es wird
also nicht nur ein Produkt geben, sondern eine Vielzahl von Lösungen mit der für den jeweiligen
Einsatz geeigneten ‚Pferdestärke‘."
Das Ziel einer durchgängigen Architektur haben die führenden Anbieter durchaus vor Augen.
Schließlich bedeutet eine solche End-to-End-Lösung auch stärkere Kundenbindung: Ein Unternehmen mit
der End-to-End-ADC-Plattform von Anbieter X ist dann praktisch gezwungen, in jeder neuen
Niederlassung einen WOC aus gleicher Quelle zu installieren. So bestätigen die Aussagen diverser
Hersteller in LANline-Interviews zu ihren laufenden Entwicklungen diesen Trend. Auch der Begriff "
End-to-End" findet dabei gerne Verwendung – allerdings definieren die Anbieter das Konzept immer
so, dass das eigene Produkt als "End-to-End"-Lösung dasteht. In Wirklichkeit kommen die Anbieter
einer durchgängigen Optimierungslösung sehr unterschiedlich nahe.
F5 zielt auf tiefe Integration
Laut Michael Frohn, F5-Geschäftsführer in Deutschland, ist die "tiefe Integration von neuen und
akquirierten Funktionen" das strategische Ziel des Unternehmens. Laut Frohn bietet das modular
aufgebaute TMOS (Traffic Management Operating System) der Big-IP-Familie eine optimale Basis für
Event-basierte Traffic-Steuerung ohne Performance-Einbrüche – einschließlich vollem TCP-Proxy,
Datenkompression und Applikations-Firewall. Die Modularität der Plattform erlaubt es F5, Big-IP
nach und nach um zusätzliche Funktionen zu erweitern. Ein erstes greifbares Ergebnis dieser
Strategie lieferte die Einbindung von Security-Funktionalität als ASM (Application Security Module)
für Big-IP (Bild 2); diese Funktionen führte F5 zuvor ausschließlich im Stand-alone-Produkt
Trafficshield. ASM erscheint damit als Menüpunkt "Application Security" im Management-Interface des
Geräts.
Ende Januar stellte F5 mit dem Big-IP 8400 ein 10-GBits/s-Gerät mit drei ASICs und Dual-CPU vor,
das durch sein Image-Boot-System im Fehlerfall ein Fallback zum vorherigen Software-Image erlaubt.
Graceful Restart von Diensten ist laut Frohn für ein späteres Release geplant. Zeitgleich
präsentierte F5 den Global Traffic Manager (vormals 3DNS, zuständig für standortübergreifende
Lastverteilung) und das Multi-Homing-Gerät Link Controller als Big-IP-Module. Noch dieses Jahr will
F5 nach gleichem Muster die mit Swan Labs erworbenen Produkte WAN Jet (WOC) und Web Accelerator
(AFE) auf die TMOS-Plattform hieven. Unter dem Codenamen "Montreal" plant der Hersteller schon
längere Zeit ein System, das unterschiedliche Funktionen als Blades in einem Chassis vereint. TMOS
soll dabei als modulübergreifende zentrale Steuerungsinstanz fungieren. Das Chassis ist nun für den
Herbst avisiert.
Cisco optimiert ab dem Zweigstellen-Router
Bei Cisco sind die von Actona zugekauften WAN-Beschleuniger unter dem Namen "WAE" (WAN
Acceleration Engine) und die Fineground-AFEs als "AVS" (Application Velocity System) in das
umfangreiche Optimierungsportfolio eingegangen. Dieses reicht von kleinen Content-Engines/-Routern
bis zum CSS11500 Content Services Switch. Interessant ist, dass die WAE nicht nur stand-alone,
sondern auch als Einschub zum Access-Router der Serie ISR (Integrated Services Router) erhältlich
ist. Die Module eignen sich für jeden Router mit NM-Slot, also die Modelle ISR 2811, 2821, 2851,
3825 und 3845. Zusammen mit den unter dem Akronym SONA vorgestellten, applikationsbezogenen
Optimierungsmodulen für die ISRs (siehe "Webservices sind auch Netzwerksache", Seite 6) hat sich
Cisco damit bereits vom rein geräteorientierten Einsatz wegbewegt und den Schritt in Richtung
End-to-End-Lösung vollzogen.
Dem gegenüber ist AVS nur als Einzelgerät verfügbar. Noch in der ersten Jahreshälfte soll aber
eine integrierte WAFS-Lösung das Licht der Welt erblicken: WAE- und AVS-Funktionen sollen dann auf
einem gemeinsamen Catalyst-Blade erhältlich sein. Eventuell wird es zudem funktionsspezifische
Einschübe geben. Laut Forrester-Analyst Whiteley fehlt Cisco aber noch eine starke symmetrische
Lösung wie Junipers WX-Gerätefamilie.
Juniper mit Einzelbausteinen
Das Portfolio des Cisco-Konkurrenten Juniper umfasst neben den hauseigenen Routern und den
Security-Appliances der Net-screen-Truppe inzwischen auch die intelligenten WOC-Lösungen der
WX-Serie (vormals Peribit) und die AFEs der DX-Familie (Ex-Redline). Damit ist Juniper an allen
Stationen des WAN-Datenpfads mit eigenen Produkten vertreten: vom Access-Router in der Filiale über
die optimierte WAN-Leitung und den Router in der Hauptniederlassung bis zum
Application-Frontend.
Das Ausmaß der Integration von Funktionen beschränkt sich bei Juniper allerdings derzeit auf
Security-Router wie die jüngst vorgestellten Secure Services Gateways (SSG). Die DX- und WX-Geräte
sind ausschließlich Stand-alone-Produkte. Zwar betont Steven Wastie, Vice President Emerging
Technologies EMEA bei Juniper: "Die Applikations- und die Netzwerkschicht kommen allmählich
zusammen, trotz des Silo-Denkens in den IT-Abteilungen." Doch wie sich das auf die
Entwicklungs-Roadmap auswirkt, dazu gibt sich Juniper bedeckt. Naheliegend wäre ein WX-Modul für
Netscreen-Security-Gateways oder Access-Router. Allerdings laufen die Geräte auf unterschiedlichen
Betriebssystemen: Netscreen OS hier, Junos dort. Es könnte also sein, dass sich das Ausmaß der
Integration vorerst auf APIs beschränkt, obwohl Juniper bereits über alle Bausteine für integrierte
Lösungen verfügt.
Lösungen für Teilbereiche
Wesentlich an Flexibilität für Integrationsaufgaben gewonnen hat hingegen Radware – und dies
anders als die übrigen Player ganz aus eigener (Entwicklungs-)Kraft: Unter dem Namen "Apsolute" hat
Radware eine modulare Lösungsarchitektur vorgestellt, die es dem Application-Switching- und
Security-Spezialisten erlaubt, beide Funktionsbereiche auf einer Plattform zusammenzuführen. Zuvor
hatte Radware jahrelang darauf beharrt, für jeden Einsatzzweck jeweils eine spezielle Appliance
anzubieten, wenn auch auf einheitlicher Application-Switch-Hardware. Auf dem Apsolute-OS vereint
der Anbieter nun einen Traffic Classifier, Traffic Scheduler und diverse Softwaremodule (Bild 3).
Deren Funktionen reichen vom Traffic Shaping bis hin zu Application Performance Monitoring und
Application Security. Zusätzliche Module lassen sich per Software-Key freischalten. Unter dem Namen
"Secureflow" sind zudem die vormaligen Lösungen Content Inspection Director und Fireproof
zusammengeflossen. Für die WAN-Optimierung bietet Radware ebenfalls einige Methoden, darunter
Kompression bis um den Faktor acht, Session Multiplexing und TCP-Beschleunigung.
Neben diesen Herstellern, die auf Funktionsvielfalt zielen, existiert eine Reihe weiterer
interessanter Anbieter, die sich auf bestimmte WAN- oder applikationsnahe Segmente konzentrieren,
darunter Acopia, Expand, Riverbed oder Tacit. Riverbeds Steelhead-Appliances zum Beispiel bieten
Wide Area Data Services, also WAFS zuzüglich Funktionen wie Kompression auf laut Hersteller sogar
nur ein Prozent sowie Policy-gesteuerte Vorabbefüllung der Geräte mit bis zu 512 GByte
aktualisierter Daten. Eine neue Managementsoftware erlaubt den automatisierten Rollout der Boxen,
von denen Riverbed kürzlich auch kleinere Varianten für Filialen und KMUs vorgestellt hat. Acopia
hingegen ergänzt WAFS um Switching auf Objektebene: Acopias Geräte der ARX-Familie fungieren als
protokollübergreifende Wirespeed-Proxies für Dateien und erlauben somit unterbrechungsfreie
Datenmigrationen. Datenbestände lassen sich via Overlay-Netzwerk dynamisch zuweisen, eine
XML-Schnittstelle erlaubt die Verknüpfung mit externen Vorgaben. Citrix wiederum verfügt mit den
Netscaler-Appliances über eine flexible asymmetrische Lösung, um unterschiedlichste Applikationen
zu optimieren. Der SBC-Marktführer muss diese Geräte aber noch stimmig in sein Portfolio einbauen.
Auch fehlt Citrix jenseits von ICA ein klares Lösungskonzept für die symmetrische
WAN-Beschleunigung.
Der ADC-Markt bietet eine Vielzahl von Lösungen, um Fernzugriffe auf Applikationen zu
optimieren: von dezidierten symmetrischen oder asymmetrischen Konzepten bis hin zu Architekturen,
die den gesamten Pfad vom Zweigstellen-Router zur Serverfarm abdecken wollen. Hier bildet sich
gerade eine neue Gattung integrierter Multifunktionsgeräte heraus. Ziel ist es, auf der WAN-Leitung
möglichst hohe Geschwindigkeit zu erzielen, in den Zweigstellen automatisch und verlässlich die
aktuell benötigten Daten vorzuhalten und Data-Center-seitig den Serverfarmmotor "wie geschmiert" zu
betreiben. Anbieter asymmetrischer Optimierungslösungen müssen dazu möglichst eng mit den
Applikationsentwicklern zusammenarbeiten: "Spezifische Anwendungen – in Unternehmen oft
Eigenentwicklungen – können für Standard-Beschleunigungstechniken die größte Hürde darstellen", so
Robert Whiteley von Forrester. "Sie sind aber die wichtigsten Applikationen, und die Unternehmen
müssen sie via WAN nutzen können. Webservices werden diese Probleme lindern helfen, dennoch liegt
hier ein kritischer Punkt für heutige End-to-End-Szenarien." Vor den Anbietern durchgängiger,
integrierter WAN-Optimierungslösungen liegt also noch viel Arbeit, bis alles im WAN so glatt läuft
wie heute im LAN üblich.
Lesen Sie mehr zum Thema
