Accelerare i dati attraverso le WAN

Approfondimenti

Le procedure e i consigli per assicurare un livello di "trasparenza" adeguato a mantenere tutte le policy in uso.

Link suggeriti

Topics SOA e network management, problemi e opportunità Guida al modello ISO/OSI Expert Advice Esiste un modo semplice per misurare le interferenze elettromagnetiche? Come faccio a tracciare il traffico in ingresso e in uscita nella LAN? Tips Router ridondanti e segmentazione della rete Strategie per una soluzione dei problemi di rete Learning Guide Il difficile rapporto fra velocità e larghezza di banda Quando servono gli switch Layer 3? News Per CheckPoint il gateway si fa virtuale Symantec rileva Altiris

12 Febbraio 2007

Molte soluzioni per l'accelerazione delle Wide Area Network (WAN) sono per natura "simmetriche" e richiedono la comunicazione fra i dispositivi alla fine di ogni collegamento. Perché queste soluzioni funzionino, ci deve essere un modo affidabile affinché il traffico sia codificato/compresso al termine del collegamento WAN e diretto con successo verso un dispositivo sull'altra estremità del collegamento, dove può essere decodificato/decompresso prima di giungere a destinazione.

I dispositivi simmetrici di accelerazione comunicano su una WAN attraverso due modalità primarie. Tali modalità sono:
1. Trasparenza degli header. Gli appliance per l'accelerazione delle WAN conservano gli indirizzi IP originali delle fonti e delle destinazioni di client e server quando trasmettono i pacchetti attraverso la WAN stessa. Queste informazioni sono usate per dirigere il traffico accelerato nello stesso modo di uno non accelerato. Va precisato che mentre in questo scenario gli header sono mantenuti inalterati, le informazioni del carico utile sono radicalmente modificate nel momento in cui compressione, riduzione di dati e altre tecniche di accelerazione sono applicate al traffico WAN.
2. Peering. Durante il transito sopra la WAN, l'indirizzo IP della fonte originale è sostituito con quello dell'appliance di accelerazione sulla terminazione più vicina. L'indirizzo IP originale della destinazione è sostituito con quello del dispositivo di accelerazione sulla terminazione più lontana. Il peering è comunemente implementato usando Network Address Translation (NAT) oppure tramite l'incapsulazione all'interno di protocolli di tunneling, quale Generic Routing Encapsulation (GRE).

Usando indirizzi IP intermediari, il peering stabilisce precisi punti di ingresso e di uscita per tutto il traffico accelerato attraverso la WAN. Dopo che l'accelerazione è avvenuta, gli header intermedi sono sostituiti con quelli originali. Nel caso della trasparenza dell'header, quando il traffico è ottimizzato e trasmesso attraverso la WAN usando il peering, le informazioni del pacchetto sono intrinsecamente alterate.

Confronto tecnologico
I differenti metodi della comunicazione attraverso una WAN presentano entrambi vantaggi e svantaggi. La trasparenza dell'header migliora la visibilità nell'intestazione e può essere usata per far rispettare le policy di downstream QoS (Qualità of Service) e ACL (Access Control List) su semplici protocolli, come CIFS (Common Internet File System). Per contro, non fornisce la visibilità del pacchetto e questo ne limita il valore quando le applicazioni usano le porte assegnate in modalità temporanea (ephemeral port), come per esempio nel caso di VoIP, FTP e MAPI. Ma non solo, questo metodo può rivelarsi davvero problematico quando i dispositivi di downstream usano la modalità di filtraggio deep-packet inspection per confrontare le informazioni contenute nell'header con quelle nel pacchetto. Inoltre, può comportare un costoso deployment e può essere complicato da gestire nelle reti con percorsi WAN multipli.

D'altra parte, il peering consente di distinguere il traffico ottimizzato da quello non-ottimizzato attraverso la WAN. Il peering crea poi meno problemi agli IDS/IPS, ai firewall e agli altri dispositivi di downstream di quanto non faccia la mappatura degli header alle informazioni del pacchetto. Il peering è più robusto e affidabile perché il traffico ottimizzato è diretto esplicitamente verso il peer, dove è convertito nuovamente in traffico normale prima di essere reindirizzato all'utente finale. Tuttavia, il peering non fornisce nativamente la visibilità nell'header, che può a volte essere usata per proteggere le policy utilizzate (come quando le applicazioni usano le porte statiche). Questa visibilità deve essere fornita usando tecniche supplementari.

Una visione chiara per la trasparenza
Entrambi i metodi descritti precedentemente sono efficaci vie di comunicazione attraverso una WAN, ma né l'uno né l'altro assicura il livello di trasparenza necessario a mantenere sulla WAN tutte le policy in uso. Affinché una soluzione per l'accelerazione di una WAN sia veramente trasparente deve:

Funzionare con tutte le applicazioni, non solo quelle che usano un tipo specifico di porta o di protocollo di trasporto.
Coesistere con altri dispositivi nella rete, quali IDS/IPS e firewall
Essere totalmente senza interruzioni sia per il client, sia il server e sia per le applicazioni, senza alcun rischio di perdita dei dati.

Per realizzarne una trasparenza end-to-end, i fornitori devono ampliare uno dei precedenti metodi di comunicazione con altre tecniche. Per esempio, quanto segue può essere usato insieme con il peering per fornire la visibilità end-to-end attraverso la WAN:
• Il filtraggio deep-packet inspection fornisce una visibilità dettagliata su tutto il traffico, comprese quelle applicazioni che usano le ephemeral port. La pratica consigliata è che il controllo approfondito e le relative funzioni debbano avere luogo prima dell'ottimizzazione della WAN o all'interno dello stesso dispositivo di ottimizzazione. Altrimenti, le tecniche di ottimizzazione WAN che nascondono le informazioni nel pacchetto possono rendere superflui i dispositivi che usano la deep-packet inspection.
• L'auto-ottimizzazione permette ai primi pacchetti di un flusso di essere trasmessi in chiaro attraverso la WAN, al fine di fare rispettare, prima dell'ottimizzazione, in modo appropriato le policy in uso. Per esempio, se esiste un'ACL all'interno della WAN per impedire un determinato tipo di traffico, i dispositivi di accelerazione non ottimizzeranno questo traffico e l'ACL continuerà a funzionare come se l'appliance non ci fosse. Questo processo è simile a quello usato dagli switch Layer 3, dove per ogni nuovo flusso, i primi pacchetti sono processati da un router embedded e i restanti pacchetti sono copiati (hardware fast path).
• I tag DSCP (Differentiated Services Code Point) possono essere usati per conservare le policy di QoS all'interno dell'appliance per l'accelerazione della WAN. Questi dispositivi possono anche sovrascrivere i tag di DSCP basandosi su policy di QoS configurabili.
• Netflow è spesso usato per raccogliere le statistiche i dati relativi a tutto il traffico, che possono poi essere esportate a dispositivi esterni in un formato ben definito e facilmente riconoscibile. Ciò permette una serie di attività chiave, quali l'amministrazione e la documentazione del traffico della rete, la fatturazione basata sull'uso del network, la pianificazione, la sicurezza, il monitoraggio della rete e la protezione Denial of Service (DOS).

Stampa

Invia un commento

Invia questo articolo

Resource center Corso completo sulle reti Wi-Fi VPN VOIP SWITCH & ROUTER RETI IP WIRELESS LAN CABLAGGIO DI RETE STORAGE UNIFIED COMMUNICATION