В настоящее время предприятия, обладающие распределенной организационной структурой, сталкиваются с целым рядом новых требований в сфере ИТ: высокие затраты, государственное регулирование, современные концепции обеспечения безопасности и стратегии резервирования подталкивают к централизации серверных систем и размещению их в отдельных специализированных центрах обработки данных. К тому же необходимо связать деятельность всех подразделений с мировыми деловыми процессами, для чего нужен постоянный доступ к приложениям на основе Web. Все эти факторы ужесточают требования к доступности пропускной способности и соединений Internet. Лица, поддерживающие работоспособность инфраструктуры ИТ, должны обеспечить продуктивность работы филиалов и в неподконтрольных им ранее областях.

Большинство из наиболее употребительных ныне прикладных протоколов было разработано с целью применения в локальных сетях, для которых характерно короткое время отклика (или иначе — задержка) и высокая пропускная способность. Однако если клиент и сервер связаны через глобальную сеть, то время отклика увеличивается в 10-100 раз. Пропускная способность в глобальных сетях дорога и дефицитна, поэтому одной из главных задач становится обеспечение короткого времени отклика для важных корпоративных приложений и распределение ресурсов глобальной сети в зависимости от деловых требований.

Производители VPN и шлюзов предлагают разнообразные комбинированные технологии для оптимизации связи:

  • технологии сжатия данных без потерь, например, сжатие пакетов без учета состояния (Stateless Packet-Based Compression) или еще более эффективное потоковое сжатие (Stream Compression) для протоколов на базе TCP, повышающее эффективную пропускную способность;
  • кэширование (к примеру, при доступе к Web посредством HTTP или запросах DNS), способствующее сокращению задержки;
  • встроенные в шлюзы вторичные (slave) серверы DNS, оптимизирующие запросы на разрешение имен и обеспечивающие таким образом задержку без времени обучения (Learning Time);
  • оптимизация протоколов приложений — например, посредством технологии глобальных файловых служб (Wide Area File Service, WAFS) — для более быстрого доступа к сетевым дискам;
  • оптимизация протоколов TCP с целью компенсации их недостатков за счет более надежных и нестандартных альтернативных вариантов;
  • предварительная загрузка данных в хранилища, встроенные в шлюзы филиалов;
  • сокращение передаваемых объемов данных в результате фильтрации нежелательных или ненужных элементов (широковещательных сообщений и др.);
  • управление пропускной способностью (распределение приоритетов в зависимости от приложений, свойств данных или по другим корпоративным критериям).

ГНЕЗДО ИЗ КАБЕЛЕЙ

Важная роль оптимизации глобальных сетей неоспорима, однако она лишь частично решает поставленные задачи. Что происходит при сбое в энергосети, в случае неправильных настроек у провайдера или разрыва линии в результате строительных работ? Подобные форс-мажорные обстоятельства полностью парализуют связь с филиалами, поэтому специализированные решения должны адекватно реагировать и на такие ситуации.

Даже в самых высокоразвитых индустриальных странах ни одно предприятие не застраховано от подобных непредвиденных и не поддающихся контролю ситуаций. Так, одну из самых серьезных опасностей для трафика данных в Токио представляют вороны. Эти птицы используют для постройки своих гнезд оболочку волоконно-оптического кабеля, пролегающего на поверхности земли. В некоторых восточно-европейских странах серьезной проблемой стало воровство кабелей по причине содержания в них меди. При таких абсурдных происшествиях не помогут даже самые лучшие технологии сжатия данных. Выход только один: рациональное использование альтернативных соединений, то есть коммутация туннелей.

Получается, что решение проблемы также кроется в избыточности. Для этого центральному офису и каждому филиалу необходимо как минимум две возможности для установления соединения. Чем больше маршрутов, тем надежнее связь. Отдел ИТ должен обеспечить автоматическое определение наиболее выгодного пути из доступных, а при возникновении неполадок — немедленное переключение на другой. Для районов со слаборазвитой инфраструктурой выдвигаются дополнительные требования, в том числе автоматический возврат на основное соединение при возобновлении потерянной связи.

Пропущенный вызов ISDN может привести к значительным убыткам — до 10-20 тыс. евро для каждого филиала. Однако мероприятия, призванные обеспечить решение в масштабах мировой сети, — это чрезвычайно сложная и практически неразрешимая задача, особенно если управление осуществляется вручную. Подобных целей можно достичь лишь с помощью развитых многоканальных функций шлюзов к нескольким провайдерам (см. Рисунок 1).

Рисунок 1. Высокая доступность надежных соединений VPN на примере шлюза netfence от Phion: доступны три маршрута.

НЕОГРАНИЧЕННОЕ КОЛИЧЕСТВО ТУННЕЛЕЙ

Автоматическая коммутация туннелей позволяет добиться избыточной связи с Internet и балансировки нагрузки в зависимости от протокола между несколькими соединениями с провайдерами. Экономически привлекательные и в то же время отказоустойчивые сетевые структуры можно реализовать, объединив ее с функциями VPN и управлением пропускной способностью связующих шлюзов. Профессиональные решения обеспечивают неограниченное количество соединений с помощью всех распространенных способов связи, включая xDSL, UMTS, MPLS, Frame Relay, ISDN, сетей фиксированной связи, спутниковой связи или даже коммутируемых соединений. Различные типы соединений могут использоваться параллельно. Так, для поддержки международных деловых процессов в сфере логистики, производства и управления предприятием многие пользователи предоставляют приоритет трафику ERP. Он направляется по самым лучшим каналам (MPLS), тогда как электронная почта ограничивается сетью Internet VPN.

Решение коммутации туннелей должно обладать следующими свойствами:

  • одновременная связь по нескольким надежным каналам, использование любого количества избыточных вариантов (Internet, MPLS, ISDN, xDSL, UMTS/3G) для оптимизации пропускной способности в зависимости от имеющихся в наличии коммуникационных возможностей;
  • контроль досягаемости непосредственного сетевого окружения, а также вызываемых объектов или других критических компонентов сети. Полученная информация служит основой для принятия решения об осуществлении переключения;
  • мониторинг потерь пакетов и времени их доставки как часть определения качества маршрута передачи файлов. К примеру, путь может быть еще доступен, но если он не удовлетворяет двум названным критериям, то его следует исключить из возможных вариантов;
  • настраиваемое распределение трафика по оптимальным каналам в зависимости от его вида, отправителя, адресата и времени. Это важно, поскольку простое разделение по принципу «налево-направо» не удовлетворяет потребностям большинства предприятий;
  • динамичная коммутация туннелей в случае возникновения ошибки, осуществляемая согласно установленной процедуре, которая определяет, какие изменения произойдут в приоритетах трафика после переключения;
  • активация (при необходимости) дополнительных маршрутов, к примеру, UMTS Dial-Out. Это имеет смысл, если подобные пути не могут использоваться постоянно по причине зависимости тарифов от объема переданных данных или недостаточного качества;
  • управление пропускной способностью, полностью интегрированное в логику коммутации туннелей, т. е.резервирование пропускной способности для приложений и распределение приоритетов могут меняться в зависимости от туннеля;
  • поддержка обычной маршрутизации (Routing) как частного случая туннеля. Маршруты VPN и чистая маршрутизация (к примеру, по участку MPLS) могут рассматриваться эквивалентно.

Таким образом, концепция Traffic Intelligence не ограничивается оптимизацией трафика приложений (оптимизация глобальной сети), но включает и коммутацию туннелей (см. также врезку «Три принципа Traffic Intelligence»). Шлюзы самостоятельно распознают отказы соединения и переключаются на альтернативные каналы связи или направляют потоки данных по разным маршрутам. Однако при отсутствии оптимизации глобальной сети важные приложения могут оказаться недоступными, в то время как каналы будут заняты массовыми рассылками и почтовыми сообщениями.

ДЕВЯТЬ ПУТЕЙ ИЗ КИТАЯ

Компания RHI, мировой лидер по производству огнеупорных материалов, создала крайне гибкую коммуникационную инфраструктуру на базе интегрированных многоканальных функций с подключениями к нескольким провайдерам. Китайские филиалы связаны с центральным офисом посредством выделенной линии, двухточечного соединения (Point-to-Point) или Internet VPN. А тот, в свою очередь, соединен с Европой посредством MPLS (SLA с Telekom Austria). Кроме того, все филиалы RHI располагают резервным подключением к Internet.

В случае сбоя на линии, шлюзы самостоятельно выявляют ошибку и выполняют прозрачное переключение на альтернативные соединения. Если какой-либо офис окажется отрезанным от сети, то соединение может быть установлено через любой другой. Даже при полном крахе китайских шлюзов Internet хитроумная система конфигураций перехватит трафик и перенаправит его через Гонконг. На сегодняшней день RHI располагает в общей сложности девятью коммуникационными маршрутами, проложенными из Китая, которые обеспечивают эффективную работу компании.

Когда речь заходит о свойствах и функциях, часто забывают о двух моментах: об интеграции и управляемости решения. Не каждой функции требуется собственное устройство или система. Конвергенция важнейших технологий обеспечения безопасности в каждом шлюзе является необходимым шагом, сдерживающим усложнение системы и позволяющим управлять современными инфраструктурами с приемлемыми затратами и усилиями. Ведущие производители реализовали такие возможности даже для отдельных подразделений: устройства для филиалов (Branch Office Box, BOB) объединяют классические функции брандмауэра с технологией Traffic Intelligence. Последняя рассчитана на работу в трудных условиях и способна поддерживать соединения в самых малых офисах. Для этого система управления трафиком использует все те алгоритмы и функции, которые, как правило, встроены в контроллер оптимизации глобальной сети. Пользователям следует отдавать предпочтение решениям, соединяющим в одной системе полноценные функции брандмауэра, VPN, а также Traffic Intelligence, включая коммутацию туннелей.

Что касается управляемости, то международные предприятия теперь не придают особого значения тому, насколько удобны установка и обслуживание отдельного шлюза, ведь обслуживание большого количества систем всегда очень трудоемко. Поэтому при использовании Traffic Intelligence и коммутации туннелей следует, скорее, обращать внимание на возможность полностью централизованного управления сетевыми компонентами. И эта задача не должна быть слишком сложной: если администратору необходимо контролировать, какие каналы используются в данный момент, то таблицы бесполезны. Только графические системы мониторинга способны предоставить информацию в пригодном для восприятия виде. Кроме того, очень ценится удобство управления. Так, например, ведущие системы обладают функциями, с помощью которых можно методом буксировки добавлять и перенаправлять туннели VPN в графическом интерфейсе туннелей (Graphical Tunnel Interface) или легко управлять глобальными разветвленными структурами соединений. Различные цвета указывают администратору на особенности или изменения. Графический интерфейс туннелей помогает быстро определять и менять все конфигурационные параметры.

Доктор Клаус Гери — руководитель технического отдела и один из основателей компании Phion.


© AWi Verlag


Три принципа Traffic Intelligence

Главные принципы Traffic Intelligence можно свести к трем пунктам.

  1. Traffic Intelligence должен оптимально использовать существующую связь и обеспечивать многократную избыточность.
  2. Traffic Intelligence решает, как и когда конкретным приложениям, пользователям и серверу будет предоставлен конкретный канал передачи данных.
  3. Для пользователя и приложения присутствие Traffic Intelligence незаметно и выражается лишь в повышении доступности и производитель-ности.