Tunnel-Switching für den Traffic
Viele Wege nach Rom
Hochverfügbarkeit ist eine Forderung, die moderne Unternehmen heute auch an VPN-Verbindungen stellen müssen. Als Lösung bietet sich Tunnel-Switching an: Je nach Bedarf sucht eine entsprechend leistungsfähige Lösung immer den besten sicheren Weg durch die weltweiten Kommunikationsnetze zum Ziel.
Gleich eine ganze Reihe an Entwicklungen stellen Unternehmen mit Filialstrukturen derzeit vor
neue IT-Herausforderungen: Kosten, Regulierungen, moderne Sicherheitskonzepte und Backup-Strategien
sprechen für die Zentralisierung von Serversystemen in dedizierten Data Centern. Zugleich sollen
alle Standorte aber immer enger an die weltweiten Geschäftsprozesse angebunden werden. Dafür
benötigen die Standorte durchgehenden Zugriff auf webbasierte Applikationen. All dies hat zur
Folge, dass die Anforderungen an die Verfügbarkeit von Bandbreiten und Internetanbindungen steigen.
CIOs und Infrastrukturverantwortliche müssen die Produktivität der Filialen nun auch auf Bereiche
ausdehnen, über die sie zunächst keine Kontrolle haben.
Die meisten heute gebräuchlichen Anwendungsprotokolle sind für den Einsatz im LAN entwickelt
worden. Dort dominieren geringe Antwortzeiten – auch Latenzen genannt – und große Bandbreiten. Sind
Client und Server aber über eine WAN-Leitung gekoppelt, steigt die Antwortzeit oft um den Faktor 10
bis 100 an. Im WAN ist auch Bandbreite teuer und rar. Daher ist es eine der größten
Herausforderungen in vielen Organisationen, kurze Antwortzeiten von geschäftskritischen
Applikationen sicherzustellen und WAN-Ressourcen gemäß den Geschäftsanforderungen aufzuteilen.
Zur Optimierung der Konnektivität bieten die Hersteller von VPNs und Gateways heute vielfältige
kombinierte Techniken an:
Verlustfreie Datenkompression wie stateless packet-based Compression und, noch
effektiver: Stream Compression für TCP-basierte Protokolle zur Erhöhung der effektiven
Bandbreiten,
Caching, etwa für Intrawebzugriffe via HTTP oder DNS-Abfragen zur Verringerung
von Latenzeffekten,
in die Gateways integrierte DNS-Slave-Server, die Namensauflösungsanfragen
optimieren und so Latenzen ohne Lernzeiten ermöglichen,
Applikationsprotokolloptimierungen, zum Beispiel Wide Area File Services –
WAFS – für schnellere File-Zugriffe auf Netzlaufwerke,
TCP-Protokolloptimierungen, um Schwächen des Protokolls durch robustere und
proprietäre Alternative auszugleichen,
Vorabverteilung von Dateien auf Speicher, die in die Filial-Gateways
integriert sind,
Reduktion der übertragenen Datenmenge durch Ausfilterung von unerwünschten und
unbenötigten Anteilen, wie Broadcasts, und
Bandbreitenmanagement (Priorisierung auf der Basis von Applikationen,
Eigenschaften der Daten oder nach anderen Geschäftsanforderungen).
Nestbau aus Kabeln
Die hohe Bedeutung der WAN-Optimierung ist unbestritten, aber sie ist nur eine Teilantwort auf
die geschilderten Herausforderungen. Was geschieht beispielsweise bei einem Stromausfall? Was bei
falschen Konfigurationen beim Provider oder durchtrennten Leitungen im Zuge von Bauarbeiten? Solche
Vorfälle bringen die Kommunikation mit den Filialen vollkommen zum Erliegen. Filiallösungen müssen
in der Lage sein, auch auf solche Situationen adäquat zu reagieren. Kein Unternehmen ist vor
derartigen unvorhersehbaren und unbeeinflussbaren Vorfällen geschützt, auch nicht in hoch
entwickelten Industrienationen. So gehören beispielsweise im Großraum Tokio Krähen zu den größten
Gefahren für den Datenverkehr, da diese Vögel die Ummantelung oberirdisch verlegter Glasfaserkabel
zum Nestbau verwenden. In manchen osteuropäischen Ländern ist der Diebstahl von Leitungen aufgrund
deren Kupfergehalts ein Problem. Bei solch skurrilen Zwischenfällen hilft auch die beste
Datenkompression nicht weiter, sondern nur die intelligente Nutzung alternativer Anbindungen:
Tunnel-Switching.
Die Lösung liegt also auch hier in der Redundanz. Dazu benötigen die Zentrale und jede einzelne
Filiale mindestens zwei Möglichkeiten, die Verbindung herzustellen – je mehr Wege vorhanden sind,
desto ausfallsicherer ist die Anbindung. Die IT-Abteilung muss in der Lage sein, automatisch unter
den verfügbaren Datenwegen den wirtschaftlichsten zu wählen und bei Ausfällen sofort auf eine
andere Leitung umzulenken. In infrastrukturschwachen Regionen sind weitergehende Anforderungen zu
erfüllen, beispielsweise die automatische Rückschaltung auf die Primäranbindung, sobald diese
wieder verfügbar ist.
Ein versäumtes ISDN-Auflegen verursacht schnell Kosten von 10.000 bis 20.000 Euro pro
Unternehmensstandort. Es ist allerdings eine höchst komplexe Herausforderung, Maßnahmen zur Abhilfe
in einem weltweit gespannten Netz zu garantieren, und im Handbetrieb sind sie ohnehin kaum zu
bewältigen. Nur mit weiter entwickelten Multi-Provider- und Multi-Link-Funktionen der Gateways
lassen sich derartige Ziele umsetzen.
Beliebig viele Tunnel
Automatisches Tunnel-Switching ermöglicht redundante Internet-Connectivity und
protokollbasierendes Load-Balancing über mehrere Provider-Anbindungen. In Kombination mit der
VPN-Funktion und dem Bandbreitenmanagement der Connectivity-Gateways lassen sich so wirtschaftliche
und gleichzeitig ausfallsichere Netzwerkstrukturen realisieren. Professionelle Lösungen können eine
unbeschränkte Anzahl an Verbindungen mit allen gebräuchlichen Verbindungsarten sicherstellen,
beispielsweise xDSL, UMTS, MPLS, Frame Relay, ISDN, Standleitungen, Satelliten-Uplink oder sogar
Dial-up. Die Verbindungen können auch parallel genutzt werden: So priorisieren beispielsweise viele
Anwender ihren ERP-Datenverkehr für die internationale Geschäftsabwicklung, um Logistik, Produktion
und Geschäftsteuerung zu unterstützen. Sie lenken ihn über die besten Leitungen (MPLS) und
beschränken etwa E-Mail auf Internet-VPN.
Eine Tunnel-Switching Lösung sollte über folgende Features verfügen:
Gleichzeitige Kommunikation über mehrere sichere Kanäle, Nutzung beliebig
vieler Redundanzoptionen (Internet, MPLS, ISDN, xDSL, UMTS/3G), mit dem Ziel einer
Bandbreitenoptimierung je nach verfügbaren Kommunikationsmöglichkeiten.
Erreichbarkeits-Monitoring der unmittelbaren lokalen Netzwerkumgebung und von
Gegenstellen oder anderen kritischen Zielen im Netz. Die dort ermittelten Informationen bilden die
Entscheidungsgrundlage für das Auslösen eines Umschaltens.
Monitoring der Paketverluste und Paketlaufzeiten als Teil der
Qualitätsbeurteilung eines Verkehrswegs. Ein Weg kann prinzipiell noch verfügbar sein, genügt
jedoch möglicherweise hinsichtlich dieser beiden Kriterien nicht den Anforderungen und ist daher
auszuschließen.
Konfigurierbares Splitting des Verkehrs nach Applikationstyp, Quelle, Ziel,
und Zeit in den jeweils optimalen Kanal. Dies ist essenziell, da für die Bedürfnisse der meisten
Firmen eine einfache "Links-Rechts-Policy" nicht genügt.
Dynamisches Tunnel-Switching im Fehlerfall gemäß einer konfigurierbaren
Verfahrensweise, bei der festgelegt wird, welche Repriorisierungen des Verkehrs nach einem
Umschalten erfolgen sollen.
Aktivierung von zusätzlichen Wegen im Bedarfsfall, zum Beispiel UMTS-Dial-out.
Dies ist sinnvoll, wenn derartige Wege aufgrund von volumenbasierten Gebührenmodellen oder
unzureichender Qualität nicht permanent genutzt werden sollen.
Ein Bandbreitenmanagement, das voll in die Tunnel-Switching-Logik integriert
ist. Dies bedeutet, dass sich auch applikationsspezifische Bandbreitenreservierungen und
Priorisierungen je nach Tunnel ändern können.
Unterstützung für normales Routing als Spezialfall für einen Tunnel. Damit
lassen sich VPN-Wege und reines Routing – zum Beispiel über eine MPLS Strecke – äquivalent
behandeln.
Traffic Intelligence erschöpft sich also nicht in der Optimierung des Applikationsdatenverkehrs
(WAN-Optimierung), sondern enthält auch Tunnel-Switching. Die Gateways erkennen
Verbindungsstörungen selbsttätig und schalten auf alternative Anbindungen um oder lenken
Datenströme gezielt über verschiedene Wege. Fehlt aber die WAN-Optimierung, kommt es schnell zu
Szenarien, bei denen kritische Applikationen unerreichbar sind, während Bulk- und Mail-Verkehr die
Leitungen belegt.
Neun Wege aus China
RHI etwa, internationaler Technologieführer bei feuerfesten Materialien, hat auf Basis der
integrierten Multi-Provider- und Multi-Link-Funktionen eine hochflexible
Kommunikationsinfrastruktur aufgesetzt. Die chinesischen Niederlassungen sind via Standleitung,
Point-to-Point- oder Internet-VPN an einen Hauptstandort angebunden, der wiederum über eine
MPLS-Verbindung (SLA über die Telekom Austria) nach Europa verfügt. Alle RHI-Niederlassungen haben
zudem Internet-Backup-Anschlüsse. Im Falle eines Leitungsausfalls erkennen die Gateways die Störung
selbstständig und führen ein transparentes Failover auf alternative Anbindungen durch. Sollte ein
Standort vom Netz gehen, kann die Verbindung über jeden anderen Standort hergestellt werden. Auch
ein Totalzusammenbruch der chinesischen Internet-Gateways wird durch eine ausgeklügelte
Konfiguration abgefangen, die den Datenverkehr dann über Hongkong leiten würde. Insgesamt verfügt
die RHI heute über neun Kommunikationswege aus China heraus – mit einer Performance, die
effizientes Arbeiten ermöglicht.
Bei der Rede über Features und Funktionen werden zwei Punkte häufig übersehen: Die Integration
und Verwaltbarkeit der Lösung. Nicht jede Funktion benötigt ihre eigene Appliance oder ihr eigenes
System. Die Konvergenz der wichtigsten Sicherheitstechnologien in jedem Gateway ist ein notwendiger
Schritt, um die Komplexität zu begrenzen und das Management moderner Infrastrukturen mit
vertretbarem Aufwand zu ermöglichen. Dies ist bei führenden Herstellern selbst in Filialen
realisierbar: Branch-Office-Boxes (BOBs) verbinden klassische Firewall-Funktionen mit Traffic
Intelligence. Letztere hält selbst beim kleinsten Büro die Verbindung unter schwierigen Bedingungen
aufrecht. Dazu verwendet die Verkehrssteuerung all jene Algorithmen und Funktionen, die
üblicherweise in einem WAN-Optimization-Controller eingebaut sind. Anwender sollten Lösungsansätzen
den Vorzug geben, die vollwertige Firewall- und VPN-Funktionen sowie Traffic Intelligence –
einschließlich Tunnel Switching – in einem System vereinen.
Was die Verwaltbarkeit angeht, so spielt es bei weltweit aktiven Unternehmen keine Rolle mehr,
wie komfortabel die Installation und Pflege eines einzelnen Gateways ist – die schiere Menge der
Systeme erfordert auf jeden Fall einen enormen Zeit- und Personalaufwand. Bei Traffic Intelligence
und Tunnel Switching ist daher darauf zu achten, dass die Netzwerkkomponenten zu hundert Prozent
von der Zentrale aus zu managen sind. Dies sollte dem Administrator auch nicht zu schwer gemacht
werden: Will er den Überblick behalten, welche Leitungen von einer Tunnel-Switching-Lösung gerade
genutzt werden, sind Tabellen nutzlos. Nur ein grafisches Monitoring stellt die Informationen so
dar, dass sie sofort genutzt werden können. Auch der Administrator schätzt Bedienerfreundlichkeit.
So lassen sich bei führenden Systemen zum Beispiel in einem Graphical Tunnel Interface per Drag and
Drop VPN-Tunnel hinzufügen oder umleiten und weltweit verzweigte Connectivity-Strukturen einfach
verwalten. Farben zeigen Administratoren Besonderheiten oder Änderungen an. Ein grafisches
Tunnel-Interface ermöglicht die schnelle Definition und Veränderung aller
Konfigurationsparameter.
Die Prinzipien von Traffic Intelligence lassen sich in drei Punkten zusammenfassen:
1. Traffic Intelligence sollte das Beste aus der verfügbaren Konnektivität machen und eine
mehrfache Redundanz sicherstellen.
2. Traffiv Intelligence sollte entscheiden, welche Applikation, welcher Anwender und welcher
Server welche Datenleitung nutzt – wann und wie.
3. Weder der Anwender noch die Applikationen sollten etwas von Traffic Intelligence bemerken,
außer dass die Verfügbarkeit und Leistung steigt.
Lesen Sie mehr zum Thema
