Organisaties zijn steeds meer afhankelijk van een effectieve levering van IT-toepassingen, diensten en gegevens over het wide area network (WAN). Als gevolg hiervan zijn technologieën die de prestaties optimaliseren van applicaties over het WAN steeds belangrijker geworden. Cisco WAAS is een technologie die door alle centralisatie/consolidatie/virtualisatie projecten een enorme impuls heeft gekregen. Vroeger werd er bij implementaties van WAN-optimalisatie alleen gekeken naar de compressie en responstijd verbeteringen. In de netwerken van nu en in de toekomst moet WAN-optimalisatie een geintegreerd onderdeel zijn van een “application delivery netwerk”. Om de beste keuze te maken voor uw omgeving, dienen klanten bij hun keuze niet alleen naar “core features “ te kijken maar naar de totaal oplossing geintegreerd in de bestaande omgeving. In deze post zal ik de belangrijkste overwegingen voor het kiezen van een WAN-optimalisatie oplossing onder de aandacht brengen.
# 1-Transparant netwerk
Binnen uw netwerk is transparantie een van de belangrijkste vereisten bij de keuze voor een WAN-optimalisatie-oplossing. In een Transparante oplossing wordt optimalisatie toegepast op de payload van het pakket en zullen de IP en TCP headers ongemoeid blijven. Andere WAN optimalisatie oplossingen in de markt houden vaak vast aan niet-transparante oplossingen. Hierbij wordt gebruik gemaakt van tunnels of de header informatie wordt aangepast. Hierdoor zullen netwerkservices die afhankelijk zijn van deze belangrijke header informatie niet naar behoren functioneren.
Een WAN-optimalisatie-oplossing met een transparante architectuur is volledig geïntegreerd in het bestaande netwerk, met behoud van de alle bestaande functionaliteiten en services omdat de belangrijke header informatie behouden blijft. Dit betekent dat alle investeringen gedaan in het netwerk blijven functioneren en dat ook de operationele uitgaven laag zullen blijven omdat in een transparante oplossing beheer en troubleshooting eenvoudig blijft.
Onderdelen binnen uw netwerk die afhankelijk zijn van een transparante WAN optimalisatie oplossing zijn:
• Access Control Lists-(ACL) gebruiken TCP/IP header informatie om bepaalde beslissingen te kunnen nemen. Op het moment dat het verkeer zich in een tunnel bevindt, is deze informatie niet beschikbaar en is er een potentieel security lek ontstaan.
• Firewalls zijn vaak gebaseerd op source/destination IP-adressen en TCP informatie. Transparante WAN-optimalisatie-oplossingen ondersteunen IP stateful inspectie van verkeer en kan gebruikt worden in combinatie met elke willekeurige Firewall. Wanneer er gebruikt wordt gemaakt van tunnels, moet er eigenlijk een gat in je firewall geprikt worden om zo het geoptimaliseerd verkeer toch door je firewall heen te krijgen. Ook stateful inspectie is niet mogelijk omdat dit gedaan wordt met de tunnel header informatie ne niet met de originele pakketen.
• NetFlow- Statistieken van de meeste netwerk apparaten (bijv. routers, switches) kan geexporteerd worden door middel van Netflow. Analyse van NetFlow informatie is van cruciaal belang monitoren en onderhouden van elk netwerk. Transparante WAN-optimalisatie-oplossingen behouden de originele pakket-headers en daardoor blijven de NetFlow stats bruikbaar voor elk appraat in het pad. Niet-transparante oplossingen belemmeren de export van NetFlow vanaf apparaten in het pad, omdat deze apparaten alleen niet-geoptimaliseerd en tunnel verkeer langs zien komen en dus geen inzicht meer hebben in wat er daadwerkelijk langs komt.
• Route selectie zoals Policy Based Routing (PBR), Performance Routing (PFR) en Dynamic Multipoint VPN (DMVPN) zijn afhankelijk van packet-header-informatie om een keuze welke route te gebruiken te bepalen..
• Quality of Service- is een middel om verkeer uit te splitsen inv erschillende klasses, waarna er voorang gegeven kan worden aan een klasse boven een andere. QOS indeling gerbuikt elk aspect van de TCP flow, zoals Payload data, IP/TCP header, Vlan tag, DSCP. Elk apparaat in het pad moet deze eigenschappen kunnen zien om niet je QOS implementatie te breken. Wanneer gebruik gemaakt wordt van tunnels in de WAN optimalisatie oplossing is een end-to-end QOS implementatie onmogelijk.
# 2-Integratie met Application Performance Monitoring Tools
Meten en monitoren van prestaties van toepassingen is een essentieel onderdeel van het dagelijkse netwerkbeheer. Application Performance monitoring tools hoogtepunt afwijkingen van service level agreements (SLA’s), en helpen oplossen van problemen met betrekking tot applicatie performance over het netwerk. De applicatie performance monitoring tools gebruiken de volgende gegevens:
• NetFlow statistieken: Deze worden gebruikt om het verkeer en de gebruikte over meerdere nodes in het netwerk te onderzoeken. NetFlow bekijkt de verschillende verkeersstromen op het netwerk van routers en switches en ook Cisco WAAS Optimalisatie apparaten.
• TCP time-stamps: Met behulp van een tijdstempel op TCP-flows tussen client en servers, berekent een monitoring tool de totale transactietijd, welke uitgesplitst kan worden in de bijdrage van de client, server en en het netwerk.
De NetQoS Reporter/ Analyzer tool presenteert NetFlow statistieken, terwijl de NetQoS SuperAgent responstijd presenteert, de tijd met behulp van TCP stempels.
De interoperabiliteit tussen uw oplossing voor WAN-optimalisatie en applicatie performance monitoring tools is een belangrijke en vaak vergeten overweging, maar waar weldegelijk rekening mee gehouden dient te worden. NetFlow interoperabiliteit wordt bereikt door middel van een transparante architectuur zoals hierboven besproken. De interoperabiliteit tussen WAN-optimalisatie en TCP responstijd tools vereist extra stappen. In de basis zal WAN-optimalisatie de TCP stroom verdelen tussen elke client en de server in drie segmenten:
1. Tussen de user en de “Branch” WAAS Appliance
2. Tussen de “branch” en de “Datacenter” WAAS Appliance (over het WAN)
3. Tussen de “Datacenter” WAAS Appliance en de applicatie server
De verdeling van de TCP stroom in 3 segmenten vormt een uitdaging voor Application Performance Monitoring tools. Zonder goede integratie zou de aanwezigheid van een WAN-optimalisatie-oplossing de resultaten die uw Application Performance Monitoring tool presenteert beinvloeden.
Een WAN-optimalisatie oplossing moet worden geïntegreerd met performance management tools om end-to-end responstijd te kunnen
monitoren.
Figuur 1. Output NAM
Figuur 2. Performance rapportage Central manager
# 3-Partnerschap met applicatieleveranciers
WAN-optimalisatie-oplossingen versnellen bedrijfskritische applicaties over het WAN. Het is belangrijk dat de optimalisatietechniek die toegepast gaat worden op de protocollen “veilig” is, om te voorkomen dat de data niet corrupt raakt of dat de applicatie zich anders gaat gedragen. Om dit doel te bereiken moeten alle WAN-optimalisatie oplossingen voor de verschillende protocollen gevalideerd en ontwikkelt zijn samen met de applicatieleverancier. Er zijn WAN-optimalisatie leveranciers in de markt die gebruik maken van “reverse-engineering” wat inhoud dat er een oplossing aangeboden wordt zonder dat deze is gevalideerd met de applicatieleverancier. Cisco valideert alle oplossingen die beschikbaar zijn in de WAAS oplossing met de verschillende applicatieleveranciers (o.a. Oracle, Microsoft, SAP)
# 4-Interoperabiliteit met netwerk-gebaseerde QoS
Om appliacties efficient over een WAN omgeving aan te bieden zal er gebruik gemaakt worden van Quality of Service (QoS)-technieken. Er zal een identificatie plaats vinden, waarna verschillende groepen prioriteit boven andere gegeven kunnen worden. Hiervoor moet wel een transparante WAN optimalisatie oplossing ingezet worden.
# 5-Interoperabiliteit met Voice over IP (VoIP)
Het gebruik van voice over IP op het netwerk is de afgelopen jaren snel gegroeid. De economische voordelen van het gebruik van een netwerk voor data, video en VoIP zijn zeer overtuigend. Omdat spraakverkeer latency gevoelig, is een VoIP implementatie afhankelijke van het QoS-beleid in het gehele netwerk. Transparante WAN-optimalisatie-oplossingen kunnen naadloos integreren met netwerk-gebaseerde QoS implementaties , en daarom zijn ze volledig interoperable met VoIP.
Transparante WAN-optimalisatie-oplossingen te integreren met de Cisco IOS-gebaseerde QoS architectuur om prioritering, bandbreedtetoewijzing te kunnen waarborgen. Dit resulteert in een QOS framework dat over het gehele netwerk toegepast kan worden en maakt het beheren van meerdere profielen overbodig.
# 6-Veilige en betrouwbare behandeling van SSL-optimalisatie
Secure Sockets Layer Versie 3 (SSLv3), ook bekend als Transport Layer Security Versie 1 (TLSv1), is een van de meest voorkomende protocollen die wordt gebruikt om data versleuteld te transporteren over IP-netwerken. De aanzienlijke groei in het gebruik van SSL / TLS-beveiligde toepassingen,(zowel web als non-web based) maakt het noodzakelijk om ook hier WAN optimalisatie toe te passen.
SSL optimalisatie moet deel uit maken van bestaande Key management en trust modellen. Ook hier moet de oplossing volledig transparant zijn voor de gebruikers en servers.
Bron: Cisco.com
• Simple, easy to deploy architecture- The solution should allow creation of aggregated services with additional support for wildcard certificates and IP addresses.
• Preservation of the trust boundary-The solution should not distribute private keys beyond the secure data center WAN optimization devices.
• Scalable secure storage of keys-all certificates and private keys should be stored securely on a Central Manager and only distributed to the WAN optimization devices in the data center. The private keys should not be distributed to remote WAN optimization devices. A Central Manager should provide management of encryption services for all WAN optimization devices in the network, including the secure vault for encryption key-pairs and keys necessary for WAN optimization device disk encryption. All sensitive data used or generated by the WAN optimization devices should be stored-and transmitted-in a secure manner.
• Disk encryption-The solution should include the ability to enable selectively or globally disk encryption with keys managed by the Central Manager. This ensures that data written to the WAN optimization device disks is completely unusable should a WAN optimization device be compromised.
• Interoperability with existing proxy infrastructure-the SSL Optimization solution should provide full support for automatic identification, interception, optimization, and acceleration of SSL traffic even in environments where web proxies have already been deployed or where clients are configured to use explicit proxies.
• Online Certificate Status Protocol (OCSP) support-by providing support for OCSP a real-time security check of certificates can be used. The solution should support OCSP for real time revocation status of a certificate in compliance with the DoD Class 3 PKI definition. OCSP is also very useful where client certificates are used in the SSL handshake for Client Authentication.
• Client authentication support-The solution should provide full support for client certificate-based authentication during initial session establishment. By supporting this capability a verification check on the client can be performed before allowing the SSL session to proceed with the server. Client certificate authentication is commonly deployed in highly secure environments where message layer authentication mechanisms using userid and password, or a token, are not considered sufficient from a security standpoint.
• Role Based Access Control (RBAC)-The Central Manager RBAC framework should allow for controlled access to SSL configuration and monitoring.
# 7-Ondersteunen van live en on-demand video
Steeds meer organisaties maken beruik van video-based informatie voorzieningen. Dit kan zowel als live- stream of als “video on demand” aangeboden worden. Veel organisaties maken gebruik van de kracht van video-based levering van informatie aan werknemers over het netwerk. De Cisco WAAS WAN-optimalisatie oplossing biedt een geïntegreerde en geautomatiseerde video delivery-oplossing voor zowel live als Video-on-demand content. Video on Demand content kunnen op vooraf vastgestelde tijdstippen prepositionen op de WAN optimalisaite appliance. Hierdoor kunnen we het WAN enorm ontzien in tijde van peak load wanneer er een VOD uitgebracht is.
Daarnaast kunnen we Stream Splitting aanbieden waarbij een RTSP stream maar 1x van het DC naar de Branch locatie getransporteerd hoeft te worden. Op de branch locatie wordt de stream uitgesplitst richting alle aanvragers van de stream.
# 8-Schaalbaarheid en High Availability
Schaalbaarheid is van groot belang in een WAN optimalisatie oplossing. Klanten die begonnen zijn met WAN optimalisatie willen binnen het jaar de oplossing uitbreiden naar meer vestigingen omdat de effecten van WAN optimalisatie de verwachtingen hebben overtroffen.
Een schaalbare oplossing bestaat uit:
• Hoge Systeem Capaciteit voor de DC appliances
– WAN-throughput van de Data Center Appliances moet hoge snelheid links aan kunnen (zoals meerdere OC-3 of OC-12 links). Wanneer er veel capaciteit beschikbaar is in een appliance ontstaat er geen wildgroei van appliances in het datacenter.
– Naast bandbreedte ondersteuning is het aantal geoptimaliseerde TCP connecties dat de appliance kan afhandelen even balngrijk.
• Ondersteuning voor WCCP. Met WCCP kunnen we schaalbare clusters tot 32 WAN-optimalisatie appliances bouwen. WCCP is beschikbaar op de meeste gangbare routers en switches.
Let op, WCCP redirection support in hardware op router/switch is een vereiste.
• Uitgebreide central management tool waarmee de WAN optimalisaite omgeving te beheren en te monitoren is vanuit een centrale omgeving.
# 9-Hybride Caching Architectuur
Alle WAN-optimalisatie-oplossingen gebruiken een variant van caching in hun oplossing.
Er zijn twee primaire cache varianten in een Hybrid cache architectuur.
• TCP-segment cache: (DRE Cache) Deze wordt gebruikt voor de opslag van terugkerende patronen in de payload van het TCP-pakket. De WAN-optimalisatie-appliance bouwt voortdurend een geschiedenis van dergelijke patronen. Wanneer er nieuwe pakketten voorbij komen, wordt er eerst in de DRE cahce gekeken of dit stuk van de payload niet meerdere keren voorkomt in de payload, wanneer dit wel het geval is kan deze data overgestuurd worden met behulp van een label ipv de originele data. De WAN optimalisatie appliance aan de andere kant van de WAN verbinding kan aan de hand van het label dezelfde data uit zijn eigen cache reproduceren.
• Object cache: Deze wordt gebruikt voor het opslaan van logische, grote data-objecten voornamelijk bestanden. Een object of file cached bestanden bij transacties zoals lezen, schrijven, kopiëren, enz.
Voor het CIFS protocol bestaat er in de Cisco WAAS oplossing een object cache, waarin de complete bestanden opgeslagen kunnen worden. Wanneer hetzelfde bestand dan een tweede keer opgevraagd wordt zal er alelen een verificatie gedaan worden op de server of de aanvrager wel de benodigde rechten heeft voor de file en of de file nog recent is. In deze object cache kunnen files geprepostioned worden buiten werktijden waardoor het WAN ontzien wordt gedurende de dag.
Cisco WAAS maakt bewust geen gebruik van een universal data store, omdat hier meer nadelen dan voordelen aan zitten op het gebied van performance, caching, indexing, security etc
# 10-ISR Router-geïntegreerde oplossing
Een WAN-optimalisatie-oplossing geeft IT-afdelingen de mogelijkheid om applicaties en opslag in het datacenter te centraliseren.
Een router geïntegreerde oplossing vermindert de aanschaf(CAPEX), en operationele kosten (OPEX).Door de integratie van WAN-optimalisatie-oplossing in een bestaand netwerk apparaat, zoals de Cisco Integrated Services Router (ISR) kunnen organisaties met minder apparatuur betere resultaten bereiken. Met het Office in the Box Principe kan een ISR voorgeconfigureerd geshipt worden richting de remote locatie.
# 11-WAAS-embedded virtualisatie
Op Remote locaties staan vaak kleine Windows-servers die als host fungeren voor lokale toepassingen en diensten (DHCP/DNS). Door het gebruik van WAN optimalisatie kunnen veel van deze toepassingen al verhuizen richting het datacenter.. Er zijn echter scenario’s (bijvoorbeeld afdrukken), waarbij de diensten beschikbaar moeten zijn ter op de locatie, waardoor een of meerdere dedicated servers op de locatie geplaats moeten worden. Met behulp van de virtualisatie technologie op de Cisco WAAS WAVE appliances kunnen er Virtual Blades aangeboden worden waarin Windows Operating Systemen kunnne draaien. Een ideale implementatie in dit scenario is een r/o Windows 2008 Domain Controller op de remote locatie. Naast deze( WOW)windows on WAAS oplossing is het ook mogelijk om de Network Analysis Module als virtual blade aan te bieden, daarmee kan monitoring informatie gevisualiseerd owrden, zie ook punt 2 in deze post) Voor meer informatie over deze gezamenlijke propositie met Microsoft zie: http://www.windowsserveronwaas.com/
Voor meer informatie, kijk op:
www.cisco.com/go/optimizemyapp
www.cisco.com/go/waas
——————-
Jan Heijdra
DC Systems Engineer
Cisco Nederland
jheijdra@cisco.com
52.302214
4.951637
Filed under: DataCenter, Security | Tagged: Cisco WAAS, WAAS, WAN optimalisatie, WAN-opti, WAVE, Wide Area Application Services, WOC | 1 Comment »
CiscoNL – Technology
Twitter
Youtube kanaal cisconltechnology
CiscoNL - Technology 