Intelligente Application Delivery Networks
Mehr als nur schnell
Die meisten WAN Optimization Controllers (WOCs) beschleunigen lediglich den Datenverkehr zwischen zwei Punkten einer WAN-Verbindung. Was genau über die Leitung läuft und welcher Teil des Datenverkehrs überhaupt beschleunigenswert ist, wissen sie in der Regel nicht. In einem Application Delivery Network sollten jedoch Funktionen für Transparenz, Beschleunigung und Sicherheit dafür sorgen, dass nur die wichtigen und richtigen Anwendungen in den Genuss hoher WAN-Geschwindigkeit kommen.
Immer mehr Mitarbeiter arbeiten heute nicht mehr in der Unternehmenszentrale, sondern in Außenstellen, aus Home Offices oder von unterwegs aus. Gleichzeitig entstehen durch Fusionen neue Unternehmensstrukturen mit verteilten Standorten und IT-Infrastrukturen, die es in den Griff zu bekommen gilt. Compliance-Vorgaben, Prozessoptimierung in der IT und Kostendruck motivieren Unternehmen dabei, ihre IT zu zentralisieren. Doch die Konsolidierung von Servern in einem zentralen Rechenzentrum führt dann auch beispielsweise dazu, dass Mitarbeiter in Außenstellen ihre Word-, Excel- und Powerpoint-Dateien nicht mehr lokal, sondern über das WAN auf einer hochverfügbaren Server-Farm speichern müssen. Da die verfügbare Bandbreite im WAN auch heute nicht mit lokalen Netzwerkgeschwindigkeiten vergleichbar ist, führt dies zu einem Phänomen, das viele aus eigener Erfahrung gut kennen: langsame Anwendungen.
Viel hilft manchmal nur wenig
Die erste Reaktion bei langsamen Dateizugriffen oder stockenden Anwendungen ist oft der Versuch, das Problem entweder mit mehr Bandbreite zu "erschlagen" oder mit WOCs die komplette Verbindung von der Zentrale zu den Außenstellen zu beschleunigen. Doch beide Ansätze helfen in der Praxis oft nur wenig oder führen sogar zu unerwünschten Ergebnissen. Denn wer nicht weiß, welche Anwendungen tatsächlich in welchem Ausmaß Daten über eine WAN-Strecke schicken, kann nicht wissen, was er da tatsächlich beschleunigt. Im schlimmsten Fall freuen sich dann Mitarbeiter über schnellere private Anwendungen und Spyware über beschleunigte Ablieferung ihrer Datenbeute, während die wichtigen Anwendungen weiterhin nur zäh reagieren und die Anwender verärgern. Um dieses Szenario zu vermeiden und trotzdem wichtige Anwendungen für den Zugriff via WAN zu beschleunigen, bietet es sich an, ein so genanntes Application Delivery Network (ADN) aufzubauen. Dessen vielfältige Aufgaben lassen sich zu drei großen Gruppen zusammenfassen: Transparenz, Beschleunigung und Sicherheit.
Bevor ein Unternehmen nun Maßnahmen zur Anwendungsbeschleunigung ergreift, muss es jederzeit nachvollziehen können, welche Anwendungen mit welcher Effizienz über sein WAN laufen. Ein ADN sorgt daher zunächst einmal für Transparenz im aktuellen Netzwerkgeschehen. Dazu muss es jedes Datenpaket im WAN-Verkehr bis hinauf zur Anwendungsschicht analysieren und im ersten Schritt die dazugehörige Anwendung identifizieren. Eine simple Zuordnung von Ports zu Anwendungen auf Layer 4 reicht dabei nicht aus, wie die populäre Nutzung des in Firewalls in der Regel offenen Ports 80 durch zahlreiche Anwendungen zeigt.
Durch eine zuverlässige Identifikation von Anwendungen erhalten Netzwerk-Manager einerseits Einblick darin, was in ihrem WAN überhaupt läuft. Im nächsten Schritt sorgt ein ADN auch für Transparenz im Anwendungsverhalten. Hierzu liefern Monitoring-Funktionen Informationen über Verzögerungen (Delay), Laufzeitunterschiede (Jitter), Paketverluste und den Durchsatz jedes einzelnen Datenstroms. Nur so lassen sich SLAs (Service Level Agreements) für die einzelnen Unternehmensapplikationen festlegen, dokumentieren, dauerhaft überprüfen und auch Ursachen für SLA-Verletzungen finden.
Transparenz plus Beschleunigung
Weiß ein Unternehmen, welche Anwendungen für wieviel Verkehr verantwortlich sind, kann es qualifizierte Entscheidungen über geeignete Maßnahmen zur Beschleunigung der wirklich wichtigen Applikationen treffen. Diese hängen dabei stark von der jeweiligen Situation ab. Nehmen beispielsweise zahlreiche FTP-Sessions oder große E-Mail-Attachments dem Citrix-Client zu viel Bandbreite weg, kann allein eine entsprechenden Priorisierung des ICA- oder RDP-Verkehrs für schnellere Reaktionszeiten am Terminal-Client sorgen. Telefoniert hingegen die Belegschaft in der Außenstelle privat mit Skype oder betreibt ein Mitarbeiter regen MP3-Tausch über ein Peer-to-Peer-Netzwerk, so sorgt die Blockade dieser Anwendungen sofort für mehr Platz auf der engen WAN-Leitung.
Haben alle erwünschten Anwendungen ihre den Unternehmenszielen entsprechende Priorität erhalten und sind unerwünschte Applikationen außen vor, kann im zweiten Schritt Beschleunigungstechnik für schnelleres Anwendungsverhalten sorgen. Den ersten Ansatzpunkt bietet dabei bereits das TCP-Protokoll. Neben Standard-Optimierungsfunktionen wie Windows Scaling (RFC 1323) oder TCP Selective Acknowledgements (RFC 2018) bietet beispielsweise auch die Reaktion auf Paketverluste großes Geschwindigkeitspotenzial. Durch Maßnahmen, die sich an dem RFC 3649 "Highspeed TCP for Large Congestion Windows" und Tom Kellys Forschungsarbeit "Scalable TCP: Improving Performance in Highspeed Wide Area Networks" (siehe
www.deneholme.net/tom/scalable/) orientieren, kann ein ADN zudem die Auswirkungen von Paketverlusten drastisch minimieren.
Weitere Ansatzpunkte für anwendungsübergreifende Beschleunigung sind die Kompression der Paketnutzlast sowie das Caching von Paketdaten auf Byte-Ebene (Byte Caching). Um diese Funktionen ohne Änderungen an Anwendungen bereitstellen zu können, arbeiten die dafür zuständigen WOCs an beiden Enden einer WAN-Verbindung als transparente Proxies - selbst wenn einige Hersteller diesen Begriff explizit so nicht verwenden.
Dedizierte Proxies
Während transparente Proxies TCP-Verkehr auf Paketebene beschleunigen, gehen dedizierte Proxies für häufig verwendete Protokolle noch einen Schritt weiter. So ist beispielsweise Microsofts CIFS (Common Internet File System) ein sehr "geschwätziges" Protokoll, das durch unzählige Requests und Acknowledgements während des Öffnens und Speicherns einer Datei für enormen Overhead sorgt. Ein CIFS-Proxy eines ADNs kann hier ansetzen und die Gesprächsfreudigkeit von CIFS auf das notwendige Minimum reduzieren, was der Endanwender direkt anhand schnellerer Lade- und Speichervorgänge spürt. Dedizierte Proxies können zudem Objekte ebenso wie komplette Dateien zwischenspeichern. Gleichzeitig sorgen sie dafür, dass die lokalen Kopien immer mit dem Original synchron sind und übertragen bei Änderungen an einer Datei nur das jeweilige Delta über das WAN.
Der dritte Funktionsblock eines ADNs ist der Bereich Sicherheit. Da viele Unternehmen ihre Außenstellen inzwischen per VPN an die Zentrale anbinden, erscheint es bei genauerer Betrachtungsweise als unlogisch, den legitimen Internet-Verkehr der Niederlassungen weiterhin über das WAN in die Zentrale zu führen, statt ihn direkt vor Ort in die Weiten des Webs zu entlassen. Voraussetzung dafür ist allerdings, dass in den Außenstellen dieselben Sicherheitsmechanismen wie Filter für unerwünschte URLs und Inhalte sowie Schutz vor Viren und Spyware greifen wie am zentralen Gateway. Gleichzeitig sollte ein ADN auch externe Web-basierte Unternehmensanwendungen wie Webex oder Salesforce.com beschleunigen können - selbst wenn die Kommunikation SSL-verschlüsselt ist. Ein ADN stellt alle dazu notwendigen Funktionen für eine zentrale Administration und dezentrale Umsetzung zur Verfügung.
Fazit
Das Zusammenwachsen der Funktionen Transparenz, Beschleunigung und Sicherheit zu einem Application Delivery Network bringt Unternehmen viele Vorteile im Vergleich zu den jeweiligen Insellösungen. Die technische Verschmelzung dieser Funktionen erfordert jedoch auch ein Umdenken in der IT-Organisation größerer Unternehmen. Denn dort sind die Funktionen WAN und Sicherheit meist in separaten Einheiten organisiert. Hier sind die IT-Leiter gefordert, auch dort zusammenwachsen zu lassen, was technisch bereits zusammen gehört.
Lesen Sie mehr zum Thema
