WOC-Testreihe: Juniper WXC-250 und WXC-500
WAN-Beschleuniger mit Pattern-Cache
Zur LANline-Testreihe "WAN Optimization Controller" (WOCs) trat Juniper mit zwei Geräten der WXC-Familie an. Anders als die WX- Modelle verfügen diese Appliances über interne Festplatten, die als Pattern-Cache dienen und Datenübertragungen damit noch stärker beschleunigen können.
Juniper ist vor einigen Jahren durch die Übernahme von Peribit in den Markt für symmetrische
WAN-Beschleuniger eingetreten. Die Geräte der WX- und WXC-Familie wurden seitdem stetig
weiterentwickelt. Das WXC-System ist seit kurzem auch als ISM-200-Modul (Integrated Service Module)
für Junipers J-Series-Router erhältlich. Für den LANline-Test kam die neueste Softwareversion WXOS
5.5 zum Einsatz. Diese bietet erstmals SSL-Support und kann Datenübertragungen jetzt auch bei
aktiviertem SMB-Signing (Server Message Block) zwischen Windows-Rechnern beschleunigen. Zudem lässt
sich nun neben Radius auch Tacacs+ für die User-Authentifizierung nutzen.
Die WX-Systeme unterstützen WAN-Bandbreiten bis maximal 155 MBit/s. Für 2008 ist eine neue
Gerätegeneration mit deutlich höheren Bandbreiten geplant. Ein PC-Client, der weitgehend dieselben
Funktionen bietet wie die Appliances, ist für Mitte 2008 vorgesehen. Zusätzliche BOB-Funktionen
(Branch Office Box) wie Printserver, DHCP- oder DSN-Proxy, die einige WOC-Anbieter in ihre Lösungen
integriert haben, sucht man bei Juniper vergeblich. Der Hersteller konzentriert sich stattdessen
darauf, künftig noch mehr Applikationen zu unterstützen und die Monitoring-Fähigkeiten weiter
auszubauen, zum Beispiel in Richtung einer Echtzeitüberwachung von Applikationen.
Juniper bietet die WOCs wahlweise mit oder ohne Festplatte an. Die WXC-Geräte mit integrierter
Disk bieten den Vorteil, dass das Network Sequence Caching (NSC) wesentlich mehr Dateimuster
speichern kann als mit den plattenlosen WX-Systemen. NSC ist kein klassisches Caching auf
Dateiebene, sondern speichert sich wiederholende Datenmuster (Patterns) auf der Festplatte.
Mit und ohne Festplatte
Für den LANline-Test kam RZ-seitig eine WXC-500 mit zwei gespiegelten 250- GByte-Festplatten zum
Einsatz. Filialseitig wurde eine WXC-250 mit einer 40- GByte-Disk installiert. Die WAN-Verbindung
zwischen den beiden Standorten lief über einen Simulator, der sich für unterschiedliche Bandbreiten
und Latenzen konfigurieren lässt.
Die meisten Unternehmen setzen Junipers WOCs in einer Inline-Konfiguration ein: Die Systeme
sitzen direkt im Datenpfad zwischen LAN und WAN-Router. Deshalb führten wir den Test mit einer
derartigen Konfiguration durch. Die WX-Systeme lassen sich auch außerhalb des Datenpfades
betreiben, wobei WCCP-fähige Router dafür sorgen, dass die für das WAN bestimmten Pakete über die
Beschleuniger laufen. In der Testreihe kommen stets WCCP-fähige Access-Router von Cisco zum
Einsatz.
Verfügt ein Standort über mehrere WAN-Anbindungen, lässt sich auf den WX-Geräten mithilfe von
Policy-based Multipath für die jeweiligen Verkehrsklassen einstellen, welcher Weg der primäre ist.
Zudem legt der Administrator fest, unter welchen Bedingungen das WX-System den alternativen Weg
wählt. Unter anderem lassen sich hierfür Round Trip Time und Paketverlust-rate angeben. Setzt ein
Unternehmen an einem Standort mehrere WX-Geräte für ein Load Balancing ein, stellt die
Unterstützung asymmetrischen Routings sicher, dass in beide Richtungen derselbe Tunnel verwendet
wird.
Schnell in Betrieb genommen
Die Konfiguration der IP-Einstellungen erfolgt beim WXC-250 über den seriellen Konsolen-Port.
Das WXC-500-Gehäuse verfügt über ein Display mit Tasten, sodass sich die IP-Settings hier noch
schneller vornehmen lassen. Der Administrator kann das Display auch deaktivieren, um Missbrauch
oder versehentliche Falscheingaben zu unterbinden.
Juniper bietet optional das Central Management System (CMS) an, das unter Windows 2000 oder 2003
läuft. Es ermöglicht, die Gerätekonfiguration vollständig aus der Ferne durchzuführen. Die
WX-Systeme erhalten beim Hochfahren per DHCP eine temporäre IP-Adresse, verbinden sich automatisch
mit dem CMS und laden sich die vorbereitete Konfigurationsdatei herunter. Das CMS umfasst auch eine
Event-Konsole und unterstützt E-Mail-Benachrichtigungen. Mithilfe der Content-Distribution-Funktion
kann der Administrator bestimmte Verzeichnisse vorab zeitgesteuert übertragen, um zum Beispiel eine
aktualisiert Preisliste bereits nachts auf die Pattern-Caches zu verteilen. So können die Anwender
in den Filialen diese Dateien am nächsten Morgen deutlich schneller öffnen.
Für die Systemverwaltung unterstützen die WX-Systeme SNMPv2c und einen Syslog-Server. Der
Administrator kann eigene Performance- und System-Events definieren, um sich zum Beispiel bei
Überschreitung eines festgelegten WAN-Bandbreitenschwellwerts warnen zu lassen. Ein
Packet-Capture-Tool ermöglicht tiefer gehende Analysen der Datenübertragungen. Der Fernzugriff auf
die WX-Appliances ist per Konsole, SSH oder SSL-Webseite möglich. Telnet und HTTP unterstützt
Juniper aus Sicherheitsgründen nicht. Einige Befehle zur Konfiguration der WX-/WXC-Systeme sind nur
über die Kommandozeile einzugeben. Diese lässt sich direkt vom Web-GUI aus öffnen. Die
vorgenommenen Einstellungen kann der Administrator in einer Textdatei abspeichern.
Im LANline-Test erfolgte die Konfiguration der beiden WXC-Appliances via Web-GUI. Ein
Quick-Setup-Wizard führt den Systemverwalter durch die wichtigsten Schritte. Sind noch keine
WX-Geräte im Netzwerk vorhanden, erhält eine Appliance die Funktion des Registration-Servers, im
Test die RZ-Box. Auf allen anderen Geräten wird anschließend die IP-Adresse und das Passwort des
Registration-Server eingegeben. Jedes neu hinzugefügte WX-System meldet sich zunächst am
Registration-Server an und erfährt so, welche anderen WX-Appliances im Netz vorhanden sind. Das
Setup der beiden Testgeräte war nach zirka fünf Minuten abgeschlossen, und die standardmäßig
aktivierten Beschleunigungssmechanismen waren damit wirksam.
Beschleunigung auf mehreren Wegen
Juniper verwendet mehrere Verfahren, um eine möglichst hohe Beschleunigung der
Datenübertragungen zu erzielen. Für die Kompression der zu übertragenden Daten kommt zum einen die
so genannte Molecular Sequence Reduction (MSR) zum Einsatz, die ausschließlich im Arbeitsspeicher
ausgeführt wird und alle IP-Protokolle optimiert. Das Network Sequence Caching (NSC) wirkt dagegen
nur für TCP-Übertragungen und speichert bei den WXC-Systemen die Dateimuster auf der Festplatte.
NSC funktioniert bidirektional: Sobald eine Datei einmal in eine Richtung übertragen ist, sind ihre
Datenmuster auf beiden Seiten im Pattern-Cache vorhanden.
Auf der Protokollebene sorgen TCP- und CIFS-Beschleunigung zusätzlich dafür, dass
Datenübertragungen deutlich schneller vonstatten gehen als ohne Optimierung. Für die Beschleunigung
von Exchange-Übertragungen kommen ab Exchange 2003 nur noch die normale Kompression und die
TCP-Acceleration zum Einsatz. Bei älteren Exchange-Versionen wird zusätzlich das
Exchange-Übertragungsprotokoll optimiert. Für die Beschleunigung von HTTP-Verkehr wird Juniper
Anfang 2008 die bisherige Optimierungsfunktion durch einen HTTP-Forwarding-Proxy ersetzen. Die
Forward Error Correction (FEC) lässt sich entweder global für alle Verbindungen oder für einzelne
problematische Verbindungen wie zum Beispiel Satelliten-Links aktivieren.
Umfangreiche QoS-Funktionen
Ein QoS-Wizard hilft dem Administrator, die Quality-of-Service-Einstellungen vorzunehmen. Er
kann bis zu 15 Verkehrsklassen definieren und diesen dann die gewünschten Dienstgüten zuweisen. Die
WX-Systeme unterstützen unter anderem ToS, DiffServ, URLs für HTTP sowie Application- und
Client-Name bei Citrix. Für jede Klasse lassen sich die minimale und maximale Bandbreite vorgeben.
Wird die garantierte Bandbreite unterschritten, finden Weighted-Fair- oder Weighted-Strict-Queuing
Anwendung. Zusätzlich legt der Systemverwalter fest, welche Priorität eine Verkehrsklasse erhält.
Zur Wahl stehen Business Critical, Business Standard, Low Latency und Prohibited. Im letzten Fall
werden alle Applikationen geblockt, die dieser Klasse zugeordnet sind. Die Bandbreiten- und
Priorisierungsvorgaben lassen sich auch zeitgesteuert anwenden: Zum Beispiel ist es möglich, dem
Backup in der Nacht eine hohe Bandbreite zuzuweisen, während die WOCs tagsüber die wichtigsten
Geschäftsanwendungen bevorzugt behandeln. Die WX-Systeme erkennen die vorhandene WAN-Bandbreite
(Bandwidth Detection). Dies ist zum Beispiel in MPLS-Netzen von Vorteil, weil so die RZ-Appliance
genau weiß, wie viel Bandbreite zu den einzelnen Filialen zur Verfügung steht.
Die Übertragung der Daten zwischen zwei WX-Systemen erfolgt per IPComp- oder UDP-Tunnel. Dies
hat zur Folge, dass die dazwischen liegenden Router auf der WAN-Strecke die ursprünglichen Flows
nicht mehr sehen können. Falls die ursprünglichen Port-Nummern sichtbar bleiben müssen, kann der
Administrator die Funktion Application Visiblity aktivieren.
Für das Monitoring der Datentransfers unterstützen die Geräte Netflow 5. Die in diesem Format
erfassten Daten können sie an einen Netflow-Collector schicken. Zusätzlich warten die Systeme mit
eigenen umfangreichen Überwachungsfunktionen auf. Eine Appliance kann die Statistikdaten für eine
Woche vorhalten. Eine Überwachung über einen längeren Zeitraum hinweg ist mithilfe des CMS möglich.
Die Daten lassen sich im CSV-Format exportieren.
SSL und SMB-Signing
Mit WXOS 5.5 können die Systeme nun auch den per SMB-Signing geschützten Datenverkehr
beschleunigen. Dabei übernehmen die WX-Boxen das SMB-Signing auf der Seite des Windows-Servers, der
diese Sicherheitsfunktion erfordert. Auf der anderen Seite des WAN-Links übertragen sie die Daten
zwischen WX-Appliance und Client unsigniert. Ebenfalls neu in Version 5.5 ist die Möglichkeit,
SSL-Datenverkehr zu optimieren – nicht nur für HTTPS, sondern für alle Applikationen, die SSL
verwenden. Hierfür wird das Zertifikat auf die serverseitige WX-Box importiert, die somit
SSL-Sessions terminieren kann. Zwischen beiden WOCs erfolgt die Kommunikation verschlüsselt per
IPSec. Filialseitig wird die Datenübertragung dann wieder mit SSL verschlüsselt. Die
IPSec-Verschlüsselung lässt sich auch unabhängig von SSL pro Box-zu-Box-Tunnel und Applikation
individuell einstellen. Um die SSL-Beschleunigung im Testnetz zu aktivieren, importierten wir
zunächst das Zertifikat des HTTPS-Webservers in die RZ-Appliance. Dann aktivierten wir auf beiden
WX-Sytemen IPSec und SSL. Damit das Monitoring den HTTPS-Traffic anzeigt, muss der Administrator im
Konfigurationsmenü einen weiteren Haken setzen. Der erste Testlauf mit der SSL-Beschleunigung hat
zunächst nicht funktioniert. Denn die SSL-Verbindung zum Webserver war bereits zuvor aufgebaut
gewesen. So konnte der WOC in die Verbindung nicht mehr eingreifen. Nachdem wir den Browser
geschlossen und wieder neu geöffnet hatten, klappte die SSL-Beschleunigung erwartungsgemäß.
Getestet wurden Übertragungen über Links mit 512 kBit/s und 2 MBit/s, jeweils mit 50 und 250 ms
Latenz; als Anwendungen und Protokolle kamen MS-Office, PDF, Exchange, MS-SQL, HTTP, HTTPS, FTP,
CIFS und NFS zum Einsatz. Im Test gaben sich die WXC-Appliances keine Blöße: Die Messwerte zeigen
ein sehr ausgewogenes Bild über alle Bandbreiten-/Latenz-Kombinationen und Applikationen hinweg. So
dauerte zum Beispiel die Übertragung einer 12 MByte großen PPT-Datei ohne Beschleunigung bei 2
MBit/s und 50 ms Latenz 53,6 Sekunden; der erstmalige "kalte" Transfer mit den WOCs dauerte 50,8
Sekunden, der nachfolgende "warme" Transfer hingegen nur noch 8,9 Sekunden (alle Messergebnisse
sowie Feature-Liste auf www.lanline.de).
Zwar reicht diese Beschleunigung nicht ganz an die Werte von File-Cache-Lösungen heran. Die
WXC-Systeme haben dafür aber den Vorteil, dass sie für die Anwendungen völlig transparent sind.
Zudem können keine Inkonsistenzen zwischen File-Caches und Fileserver auftreten, da nur mit
zentralen Dateien gearbeitet wird. Wurde eine Datei verändert, müssen die File-Cache-Systeme die
Änderungen zur Zentrale übertragen und benötigen hierfür mehr Zeit als für lesende Zugriffe. Durch
den Verzicht auf ein File-Caching greifen zudem bei konkurrierenden Zugriffen auf
MS-Office-Anwendungen die normalen Locking-Mechanismen. Hat bereits ein anderer Benutzer eine auf
dem Fileserver liegende Datei geöffnet, bietet zum Beispiel Word an, die Datei schreibgeschützt zu
öffnen, eine lokale Kopie zu erstellen oder sich benachrichtigen zu lassen, sobald der andere
Benutzer die Datei geschlossen hat.
Fällt eine WXC-Box aus, verbindet ein Relais automatisch In- und Out-Port des Geräts direkt,
sodass die Netzwerkverbindung nur kurzzeitig unterbrochen wird. Allerdings findet dann keine
WAN-Optimierung mehr statt. Im Test funktionierte dieses Umschalten bei beiden WOCs zuverlässig. Es
dauerte jedoch jeweils zirka zwei Minuten, bis die Netzwerkverbindung wieder neu aufgebaut war.
Diese Zeit benötigten die Switches und Router, um die Ports und Netzwerkwege neu zu
konfigurieren.
Fazit
Die WXC-Appliances von Juniper zeigten, dass sie die getesteten Anwendungen auch über
schmalbandige Verbindungen und bei hoher Latenz gut beschleunigen können. Mit WXOS 5.5 können sie
nun SSL-Verkehr wie auch SMB-Signing-geschützte Übertragungen optimieren. Der Verzicht auf einen
File-Cache bringt den Vorteil, dass die WOCs für alle Anwendungen transparent sind und keine
Synchronisierungsprobleme entstehen. Die Preise sind WAN-bandbreitenabhängig. Bei Überschreitung
der Lizenzbandbreite warnt das Gerät den Administrator und beschleunigt den über das Limit gehenden
Verkehr nicht. Die Preise für den WXC-250 liegen zwischen 5895 Dollar (128 kBit/s-Lizenz) und
13.995 Dollar (2 MBit/s). Der WXC-500 kostet zwischen 12.995 Dollar (512 kBit/s) und 39.995 Dollar
(20 MBit/s).
Info: Juniper Tel.: 069/66558800 Web: www.junipernetworks.com
Lesen Sie mehr zum Thema
