Sicher und zuverlässig verbunden Redundante und globale VPN

Transcrição

TEFO 2010
Sicher und zuverlässig verbunden
Redundante und globale VPN-Verbindungen
Alex Bachmann
Product Manager
Agenda
Internationale Vernetzung von Standorten
Redundante VPN-Verbindungen
Optimierung durch Bandbreiten-Management
Erfahrungsbericht
Andy Scheurer, unisoft allNet GmbH
Fallbeispiel – Facts
• International tätiges Unternehmen, Hauptsitz Zürich
• Niederlassung Singapore (weitere Standorte in Planung)
• Hohe Anforderungen an Sicherheit und Verfügbarkeit
Umsetzung des gesamten IT-Konzepts durch unisoft allNet.
Fallbeispiel – Anforderungen
• Standorte
• Zürich ca. 30-40 User
• Singapore 5-10 User
• Zentrale Datenhaltung
• Einheitlicher Zugriff von allen
Standorten
• Anbindung Remote-Standorte
• Remote-Zugriff von Extern
• Daten-Sicherheit auf hohem
Niveau, sensitive Kunden-Daten
• Hohe Verfügbarkeit
• Flexibilität und Ausbaufähigkeit
muss gegeben sein (Wachstum
und zusätzlich Standorte)
• Management durch externen ITPartner
Fallbeispiel – Ausgangslage
Gewachsene IT-Struktur mit :
• 2 Server
• Cisco-Switch Catalyst 4503 & 2930
• Internet-Zugang ADSL mit ZyXEL ZyWALL 2
• Unterschiedlichste Client-Systeme
• Notebook-Konzept umgesetzt
Fallbeispiel – Gesamt-Konzept
Remote-User
Switch-Lösung
ZyXEL
Remote-Access
Citrix
Web-Portal
Virtual
Server-Farm
VPN-Access
Citrix
Desktop & Apps
StorageSystem
File-Server
Fallbeispiel – Analyse Anforderungen Kommunikation
Welche Art von Kommunikation (Traffic) ist zu erwarten?
• Internet-Anbindungen
– Internet-Access Browsing
– Internet-Applikationen an allen Standorten
• Kommunikation Remote-Office(s)
–
–
–
–
Citrix-Traffic
Printing
MS Active-Directory Replikation
Daten Replikation
• Remote-Access
– Citrix-Portal Access
Fallbeispiel – Kommunikation Analyse Anforderungen
Was ist die Charakteristik des zu erwartenden Traffics?
Kommunikationsart
BandbreitenBedarf
Anforderungen
Latency
Anforderungen
Verfügbarkeit
mittel
unproblematisch
hoch
mittel - hoch
mittel
hoch
tief
sehr zeitkritisch
sehr hoch
Printing
hoch
zeitkritisch
mittel
AD Replication
mittel
unproblematisch
tief
Data Replication
mittel
mittel
mittel
tief
sehr zeitkritisch
mittel
Internet
Internet-Browsing
Internet-Applications
Remote-Office
Citrix-Traffic
Remote-Access
Citrix-Portal Access
Fallbeispiel – Kommunikation Umsetzung
• Redundante Internet-Anbindung
Verfügbarkeit
• Remote-Office Anbindung mit IPSEC-VPN über Internet
redundant Sicherheit & Verfügbarkeit
• Optimierung durch Bandbreiten-Management
Latency
• Gezielte Provider-Wahl für optimales internationales
Routing Latency
• Internet-Zugriff in ZRH und SIN
Verfügbarkeit & Latency
Fallbeispiel – Redundante IPSEC VPN-Lösung
DSL-Link
DSL-Link
Access Remote-Office
ZyXEL USG 200
(mit 2 WAN-Ports)
ZyXEL USG 200
(mit 2 WAN-Ports)
Vorteile:
• Optimale Lastverteilung
• Ausnützung der jeweiligen
Leitungscharakteristik
• active / active
• Günstiges DSL-Backup
VPN
VPN Backup
Internet-Access
Access Remote-Office
Fiber-Link
Fiber-Link
VPN-Konfiguration – Phase 1
Anforderungen Internationale Verbindungen
Was sind die spezifischen Anforderungen?
• Latency und Bandbreite
Latency und Bandbreite
• Latency = Latenzzeit, Wartezeit
• Für Citrix-Traffic max. 300ms Round Trip Time (RTT)
akzeptabel
• physikalische Grenze (Theorie):
– Zürich – Singapore (Luftlinie):
– „Geschwindigkeit“ elektr. Strom:
– theoretische Round Trip Time :
10‘455 km
ca. 300‘000 km/s
ca. 70ms
IPsec Packet-Overhead
IPsec Packet
Payload
IP HDR
Encapsualtion
Payload
IP HDR
ESP HDR
Original
IP HDR
ESP
Trailer
Encryption
Authentication
Beispiel ESP in Tunnel-Mode
ESP Auth
IP-Fragmentierung
IP1
IP2
MTU
MTU = Maximum Transfer Unit
IP3
IPsec Packet-Fragmentierung
Encapsulation im TunnelMode fügt dem Paket
zusätzliche Bytes hinzu
Die Pakete werden wieder
zusammengesetzt und
ausgepackt
Wie kann die Packet-Fragmentierung gesteuert resp. optimiert
werden?
 Wichtig: Fragmentierung auf der Firewall zulassen (Option Ignore „Don‘t
Fragment“ setting in packet header)
 MTU-Size auf dem WAN-Link anpassen wenn PPPoE im Einsatz ist (z.B. bei
DSL-Links, MTU=1492)
 Optimierung: MTU-Size auf den Hosts gezielt reduzieren (Windows
Registry)
 Verwendung von Path MTU Discovery (PMTUD) (auf Zyxel-Systemen
jedoch mit IPsec nicht unterstützt)
• Einfluss Bandbreite auf Latency
bei Netzwerk Überlastung (congestion)
 Wartezeit (queuing delay )
 Paket-Verlust (packet loss)
 Blockieren neuer Verbindungen (blocking)
„Trichter-Effekt“
• Nützliche Tools
 ping (ICMP)
• Option –l Angabe der Paketgrösse (für rudimentären Last-Test)
• Option –f don‘t fragment
• tw. nicht ganz realistisch da ICMP priorisiert oder unterschiedlich
geroutet sein kann
 pathping
• Liefert Informationen über die Erreichbarkeit zu jeder Station im
Pfad
• Routing
Routing
Definition Routing
•
Routing = Verkehrsführung, leiten, steuern
•
Routing path = Weg der Datenübermittlung
•
Implementiert in Router (Routing-Table)
 wird durch Netzwerk-Betreiber (Provider) gesteuert.
 ist variabel und kann sich ohne Vorankündigung ändern (z.B.
techn. Probleme oder Maintenance)
Routing
Routing
Routing
• Nützliche Tools
 Trace Route (tracert)
• Zeigt Routing Pfad
 Visual Route
• Detaillierte, grafische Darstellung
• Routing
• Peering zwischen Internet-Provider
Peering
Definition Peering
• direkter Zusammenschluss
von IP-Netzwerken
(AS = autonomes System)
um Traffic zwischen zwei
Peering-Partnern (Providern)
zu routen.
• i.d.R. kostenneutral mit
„Peering-Agreement“
• Datenaustausch oft über
Peering Points (IXP) mit
mehreren Teilnehmer
Peerings
Peerings
IXP
Peerings
Peering
Was ist der Einfluss des Peering?
• Durch das Peering wird der
Routing Pfad definiert
Peerings
Peerings
IXP
• Das Peering beeinflusst die
Bandbreite der Verbindung
direkt
Peerings
Peering
Public PeeringDB
www.peeringdb.com
Peering
Public PeeringDB
Peering
Public PeeringDB
Fazit spezifische Anforderungen:
 IPsec vergrössert IP-Pakete
 IP-Fragmentierung kostet Zeit
 Reduzierte Bandbreite (Congestion) hat direkten Einfluss auf Latency
• Routing
 Pfad beeinflusst die Latency gravierend
 Ist dynamisch
• Peering
 Definiert den Routing-Pfad und auch die Verbindungs-Qualität resp. Bandbreite
 Durch gezielte Provider-Wahl beinflussbar
Fallbeispiel – Bandbreiten-Management
Einteilung des Traffic in drei Gruppen
Gruppe
Beispiel
Bandbreite
Wichtiger Traffic
Citrix-Traffic
reservieren
maximieren
Limitierter Traffic Printing, SMTP,
FTP, AD-Synch
limitieren
Restlicher Traffic
limitieren
maximieren
HTTP
Priorität
Konfiguration Bandbreiten-Management
Konfiguration Bandbreiten-Management
Konfiguration BWM – Regeln - priorisieren
Konfiguration BWM – Regeln - limitieren
Konfiguration BWM – Regeln – Rest limitieren
Konfiguration BWM - Statistik
Erfahrungen
• Routing bei Implementierung oft ungünstig
 Optimierung nötig unter Berücksichtigung der Peerings
 Unterstützung von Seite Provider ist gegeben
• Optimierung der IP-Fragmentierung subtil
 Optimierung ist komplex und zeitaufwendig
• Round Trip Time Beispiel ZRH-SIN ca. 280ms
 zufriedenstellend hinsichtlich der Distanz
• Routing variabel, z.B. infolge Wartung an Leitungen
 Monitoring empfohlen
• Veränderungen im Traffic-Muster
 Verlangt Anpassungen im Bandbreiten-Management
• Zusammenarbeit mit lokalem IT-Partner ist nützlich
 Klare Aufgaben-Definition und offene Kommunikation fördert gute
Zusammenarbeit
Zukunftsaussichten
• Standort-Unabhängigkeit durch Virtualisierung
 zunehmende Vernetzung
• Integration aller Medien in den „Alltag“
• Bandbreiten- Nachfrage und Angebot steigen
 Steigt beides im gleichen Masse?
Fragen ?
Agenda

Sicher und zuverlässig verbunden Redundante und globale VPN

Transcrição

Documentos relacionados

Technisches Datenblatt KIP 323 Gaffa Tape, matt www.frog

P 18 Vergleich schneller, einfacher und robuster

Neue Langyagi-Konzepte für UKW

Leistungsbeschreibung für das Zusatzpaket Bandbreite (LB

Elektrischer Herbst! - Elektro Schillinger

Rechtschreibung: Zeichensetzung:

Chemische Biologie

Freizeitrouting (Reitwege) aus Anwender- und Entwickler

Regelsammlung zur Rechtschreibung 1. Groß - St.

Therapie bei Sport- und Freizeitpferden - VITA-LIFE

Kommunikationsnetze I