Sicher und zuverlässig verbunden Redundante und globale VPN
Transcrição
Sicher und zuverlässig verbunden Redundante und globale VPN
TEFO 2010 Sicher und zuverlässig verbunden Redundante und globale VPN-Verbindungen Alex Bachmann Product Manager Agenda Internationale Vernetzung von Standorten Redundante VPN-Verbindungen Optimierung durch Bandbreiten-Management Erfahrungsbericht Andy Scheurer, unisoft allNet GmbH Fallbeispiel – Facts • International tätiges Unternehmen, Hauptsitz Zürich • Niederlassung Singapore (weitere Standorte in Planung) • Hohe Anforderungen an Sicherheit und Verfügbarkeit Umsetzung des gesamten IT-Konzepts durch unisoft allNet. Fallbeispiel – Anforderungen • Standorte • Zürich ca. 30-40 User • Singapore 5-10 User • Zentrale Datenhaltung • Einheitlicher Zugriff von allen Standorten • Anbindung Remote-Standorte • Remote-Zugriff von Extern • Daten-Sicherheit auf hohem Niveau, sensitive Kunden-Daten • Hohe Verfügbarkeit • Flexibilität und Ausbaufähigkeit muss gegeben sein (Wachstum und zusätzlich Standorte) • Management durch externen ITPartner Fallbeispiel – Ausgangslage Gewachsene IT-Struktur mit : • 2 Server • Cisco-Switch Catalyst 4503 & 2930 • Internet-Zugang ADSL mit ZyXEL ZyWALL 2 • Unterschiedlichste Client-Systeme • Notebook-Konzept umgesetzt Fallbeispiel – Gesamt-Konzept Remote-User Switch-Lösung ZyXEL Remote-Access Citrix Web-Portal Virtual Server-Farm VPN-Access Citrix Desktop & Apps StorageSystem File-Server Fallbeispiel – Analyse Anforderungen Kommunikation Welche Art von Kommunikation (Traffic) ist zu erwarten? • Internet-Anbindungen – Internet-Access Browsing – Internet-Applikationen an allen Standorten • Kommunikation Remote-Office(s) – – – – Citrix-Traffic Printing MS Active-Directory Replikation Daten Replikation • Remote-Access – Citrix-Portal Access Fallbeispiel – Kommunikation Analyse Anforderungen Was ist die Charakteristik des zu erwartenden Traffics? Kommunikationsart BandbreitenBedarf Anforderungen Latency Anforderungen Verfügbarkeit mittel unproblematisch hoch mittel - hoch mittel hoch tief sehr zeitkritisch sehr hoch Printing hoch zeitkritisch mittel AD Replication mittel unproblematisch tief Data Replication mittel mittel mittel tief sehr zeitkritisch mittel Internet Internet-Browsing Internet-Applications Remote-Office Citrix-Traffic Remote-Access Citrix-Portal Access Fallbeispiel – Kommunikation Umsetzung • Redundante Internet-Anbindung Verfügbarkeit • Remote-Office Anbindung mit IPSEC-VPN über Internet redundant Sicherheit & Verfügbarkeit • Optimierung durch Bandbreiten-Management Latency • Gezielte Provider-Wahl für optimales internationales Routing Latency • Internet-Zugriff in ZRH und SIN Verfügbarkeit & Latency Fallbeispiel – Redundante IPSEC VPN-Lösung DSL-Link DSL-Link Access Remote-Office ZyXEL USG 200 (mit 2 WAN-Ports) ZyXEL USG 200 (mit 2 WAN-Ports) Vorteile: • Optimale Lastverteilung • Ausnützung der jeweiligen Leitungscharakteristik • active / active • Günstiges DSL-Backup VPN VPN Backup Internet-Access Access Remote-Office Fiber-Link Fiber-Link VPN-Konfiguration – Phase 1 VPN-Konfiguration – Phase 1 VPN-Konfiguration – Phase 1 VPN-Konfiguration – Phase 2 VPN-Konfiguration – Phase 2 VPN-Konfiguration – Phase 2 VPN-Konfiguration – Phase 2 Anforderungen Internationale Verbindungen Was sind die spezifischen Anforderungen? • Latency und Bandbreite Anforderungen Internationale Verbindungen Latency und Bandbreite • Latency = Latenzzeit, Wartezeit • Für Citrix-Traffic max. 300ms Round Trip Time (RTT) akzeptabel • physikalische Grenze (Theorie): – Zürich – Singapore (Luftlinie): – „Geschwindigkeit“ elektr. Strom: – theoretische Round Trip Time : 10‘455 km ca. 300‘000 km/s ca. 70ms Anforderungen Internationale Verbindungen Latency und Bandbreite IPsec Packet-Overhead IPsec Packet Payload IP HDR Encapsualtion Payload IP HDR ESP HDR Original IP HDR ESP Trailer Encryption Authentication Beispiel ESP in Tunnel-Mode ESP Auth Anforderungen Internationale Verbindungen Latency und Bandbreite IP-Fragmentierung IP1 IP2 MTU MTU = Maximum Transfer Unit IP3 Anforderungen Internationale Verbindungen Latency und Bandbreite IPsec Packet-Fragmentierung Encapsulation im TunnelMode fügt dem Paket zusätzliche Bytes hinzu Die Pakete werden wieder zusammengesetzt und ausgepackt Anforderungen Internationale Verbindungen Latency und Bandbreite Wie kann die Packet-Fragmentierung gesteuert resp. optimiert werden? Wichtig: Fragmentierung auf der Firewall zulassen (Option Ignore „Don‘t Fragment“ setting in packet header) MTU-Size auf dem WAN-Link anpassen wenn PPPoE im Einsatz ist (z.B. bei DSL-Links, MTU=1492) Optimierung: MTU-Size auf den Hosts gezielt reduzieren (Windows Registry) Verwendung von Path MTU Discovery (PMTUD) (auf Zyxel-Systemen jedoch mit IPsec nicht unterstützt) Anforderungen Internationale Verbindungen Latency und Bandbreite • Einfluss Bandbreite auf Latency bei Netzwerk Überlastung (congestion) Wartezeit (queuing delay ) Paket-Verlust (packet loss) Blockieren neuer Verbindungen (blocking) „Trichter-Effekt“ Anforderungen Internationale Verbindungen Latency und Bandbreite • Nützliche Tools ping (ICMP) • Option –l Angabe der Paketgrösse (für rudimentären Last-Test) • Option –f don‘t fragment • tw. nicht ganz realistisch da ICMP priorisiert oder unterschiedlich geroutet sein kann pathping • Liefert Informationen über die Erreichbarkeit zu jeder Station im Pfad Anforderungen Internationale Verbindungen Was sind die spezifischen Anforderungen? • Latency und Bandbreite • Routing Anforderungen Internationale Verbindungen Routing Definition Routing • Routing = Verkehrsführung, leiten, steuern • Routing path = Weg der Datenübermittlung • Implementiert in Router (Routing-Table) wird durch Netzwerk-Betreiber (Provider) gesteuert. ist variabel und kann sich ohne Vorankündigung ändern (z.B. techn. Probleme oder Maintenance) Anforderungen Internationale Verbindungen Routing Anforderungen Internationale Verbindungen Routing Anforderungen Internationale Verbindungen Routing • Nützliche Tools Trace Route (tracert) • Zeigt Routing Pfad Visual Route • Detaillierte, grafische Darstellung Anforderungen Internationale Verbindungen Was sind die spezifischen Anforderungen? • Latency und Bandbreite • Routing • Peering zwischen Internet-Provider Anforderungen Internationale Verbindungen Peering Definition Peering • direkter Zusammenschluss von IP-Netzwerken (AS = autonomes System) um Traffic zwischen zwei Peering-Partnern (Providern) zu routen. • i.d.R. kostenneutral mit „Peering-Agreement“ • Datenaustausch oft über Peering Points (IXP) mit mehreren Teilnehmer Peerings Peerings IXP Peerings Anforderungen Internationale Verbindungen Peering Was ist der Einfluss des Peering? • Durch das Peering wird der Routing Pfad definiert Peerings Peerings IXP • Das Peering beeinflusst die Bandbreite der Verbindung direkt Peerings Anforderungen Internationale Verbindungen Peering Public PeeringDB www.peeringdb.com Anforderungen Internationale Verbindungen Peering Public PeeringDB Anforderungen Internationale Verbindungen Peering Public PeeringDB Anforderungen Internationale Verbindungen Fazit spezifische Anforderungen: • Latency und Bandbreite IPsec vergrössert IP-Pakete IP-Fragmentierung kostet Zeit Reduzierte Bandbreite (Congestion) hat direkten Einfluss auf Latency • Routing Pfad beeinflusst die Latency gravierend Ist dynamisch • Peering Definiert den Routing-Pfad und auch die Verbindungs-Qualität resp. Bandbreite Durch gezielte Provider-Wahl beinflussbar Fallbeispiel – Bandbreiten-Management Einteilung des Traffic in drei Gruppen Gruppe Beispiel Bandbreite Wichtiger Traffic Citrix-Traffic reservieren maximieren Limitierter Traffic Printing, SMTP, FTP, AD-Synch limitieren Restlicher Traffic limitieren maximieren HTTP Priorität Konfiguration Bandbreiten-Management Konfiguration Bandbreiten-Management Konfiguration BWM – Regeln - priorisieren Konfiguration BWM – Regeln - limitieren Konfiguration BWM – Regeln – Rest limitieren Konfiguration BWM - Statistik Konfiguration BWM - Statistik Konfiguration BWM - Statistik Konfiguration BWM - Statistik Erfahrungen • Routing bei Implementierung oft ungünstig Optimierung nötig unter Berücksichtigung der Peerings Unterstützung von Seite Provider ist gegeben • Optimierung der IP-Fragmentierung subtil Optimierung ist komplex und zeitaufwendig • Round Trip Time Beispiel ZRH-SIN ca. 280ms zufriedenstellend hinsichtlich der Distanz • Routing variabel, z.B. infolge Wartung an Leitungen Monitoring empfohlen • Veränderungen im Traffic-Muster Verlangt Anpassungen im Bandbreiten-Management • Zusammenarbeit mit lokalem IT-Partner ist nützlich Klare Aufgaben-Definition und offene Kommunikation fördert gute Zusammenarbeit Zukunftsaussichten • Standort-Unabhängigkeit durch Virtualisierung zunehmende Vernetzung • Integration aller Medien in den „Alltag“ • Bandbreiten- Nachfrage und Angebot steigen Steigt beides im gleichen Masse? Fragen ? Agenda