Wide Area File Services (WAFS) bieten zwei Vorteile: Der File-Server in der Filiale kann komplett abgeschafft werden und das Backup erfolgt zentralisiert, da eine zentrale Routine alle Dateien am Hauptsitz des Unternehmens sichert. Zudem ist lokal kein Know-how über Server und Datensicherung erforderlich.

Eine wichtige Aufgabe von WAFS-Systemen ist, die Datenübertragung des CIFS-Protokolls (Common Internet File System) von Microsoft effizienter zu gestalten.

Datentransfer beschleunigen

Zum computerwoche-Vergleichstest traten die WAFS-Lösungen von drei Herstellern an, die unterschiedliche Schwerpunkte setzen: Bei der Tapestry-Appliance von Brocade liegt der Fokus klar auf WAFS und auf einer sehr engen Windows-Integration. Die Systeme von Expand Networks und von Riverbed bieten neben der WAFS-Funktion eine Reihe von Mechanismen, um WAN-Datentransfers zu beschleunigen. Im Mittelpunkt des Vergleichstests standen die WAFS-Funktionen.

Bei der Platzierung der WAFS-Systeme im Netzwerk verfolgen die Hersteller unterschiedliche Prinzipien. Brocade empfiehlt, die Tapestry-Boxen nicht direkt in den LAN-WAN-Datenpfad (In-Path) zu schalten, sondern sie in einer Out-of-Path-Konfiguration am LAN-Switch anzuschließen. In der Filiale müssen deshalb die Client-Rechner angepasst werden, damit sie künftig über die von der Tapestry-Appliance bereitgestellte Verzeichnisfreigabe auf die in der Zentrale gespeicherten Dateien zugreifen. Mit DFS (Distributed File System von Microsoft) lässt sich der Zugriff für die Anwender transparent gestalten.

Schutz vor Ausfällen

Eine In-Path-Konfiguration unterstützt Brocade prinzipiell, der Hersteller empfiehlt sie aber nicht, da bei einem Ausfall der WAFS-Box kein WAN-Zugriff mehr möglich wäre.

Expand Networks und Riverbed dagegen verwenden in der Regel eine In-Path-Konfiguration, bei der die Appliances auf beiden Seiten der WAN-Verbindung direkt im Datenstrom zwischen LAN-Switch und WAN-Router sitzen. Dadurch sind die Boxen für das Netzwerk transparent.

Die "Steelhead"-Systeme von Riverbed verfügen über ein Relais, das bei einem Ausfall der Box automatisch den Ein- und Ausgangs-Port durchschaltet, so dass die physikalische Netzwerkverbindung weiterhin verfügbar bleibt. Expand Networks hat zwar keinen Bypass, ermöglicht aber bei einem Ausfall der WAN-Verbindung den Anwendern in der Filiale einen schreibgeschützten Zugriff auf den Datei-Cache des WAFS-Geräts.

Die Tapestry-Lösung von Brocade sorgt bei einem WAN-Ausfall ebenfalls dafür, dass Schreibzugriffe in der Filiale weiterhin möglich sind.

Die Filial-Clients müssen bei Riverbed für die Dateizugriffe auf den zentralen File-Server umkonfiguriert werden. Diese Arbeiten entfallen bei Expand durch das Virtual-Server-Konzept. Dabei tritt die "Accelerator"-Box an die Stelle des Filial-File-Servers und bedient die Dateizugriffe weiterhin unter den bisherigen Server- und Share-Namen.

Alle drei Lösungen lassen sich in einer WCCP-Konfiguration (Web Cache Communication Protocol) sowie mit der Option Policy Based Routing (PBR) betreiben. Dabei werden die Datenströme von den Routern anhand von Protokoll-, Port- oder Policy-Informationen zur gewünschten Cache-Appliance umgeleitet. Welche der genannten Verfahren für ein Unternehmen am sinnvollsten ist, hängt von den jeweiligen Anforderungen und der vorhandenen Umgebung ab. Für den Vergleichstest wurde ein Testnetz aus zwei IP-Subnetzen aufgebaut, zwischen denen ein Router mit integriertem WAN-Simulator die Pakete hin- und hertransportierte.

Brocade Tapestry

Bei der Tapestry-Appliance von Brocade handelt es sich um die OEM-Version der WAFS-Lösung von Tacit. Dieses Unternehmen wurde vor kurzem von Packeteer übernommen, die OEM-Vereinbarung mit Brocade bleibt aber bestehen. Die getesteten Systeme "Data Center" und "Edge" liefen unter Windows Storage Server 2003. Beide Boxen sind weitgehend identisch. Einzige Unterschiede bei der Edge-Box sind der auf Wunsch größere Cache von 300 MB sowie die Print-Services.

Die Tapestry-Produkte enthielten die Softwareversion WAFS 3.0. Sie kombiniert WAFS mit einer "TCP Acceleration" (TPA). Um TPA nutzen zu können, muss das Netzwerk entweder für WCCP zur Umleitung der Ports oder für Policy Based Routing konfiguriert sein. Brocade bietet auch eine Linux-Version der Tapestry-Appliance an, bei der die File-Services zwar über Samba laufen, ansonsten jedoch keine Windows-Integration bieten.

Setup und Konfiguration

Die Brocade-Geräte wurden jeweils "Out-of-Path" an den lokalen LAN-Switch angeschlossen. Der WAN-Simulator zwischen den beiden WAFS-Boxen leitete die Verbindungen von der Zentrale zur Filiale und umgekehrt. Die Grundkonfiguration der IP-Einstellungen erfolgt am einfachsten über das Front-Panel der Geräte. Anschließend kann der Administrator per Browser über das Netzwerk auf die Verwaltungsoberfläche der Boxen zugreifen. Dies klappte im Test auf Anhieb.

Nach Abschluss der Konfiguration verwaltet Tapestry automatisch alle auf diesem File-Server vorhandenen Verzeichnisfreigaben. Mit Hilfe von Exclusion- und Inclusion-Listen kann man bestimmte Shares ausschließen oder nur die explizit genannten sichtbar machen.

Mehrere Betriebsarten

Um die beiden Tapestry-Appliances im Core-/Edge-Modus einzurichten, gibt der Administrator auf der Edge-Box den Namen und die IP-Adresse der Core-Box an. Sind mehrere Core-Boxen vorhanden, lassen sich deren IP-Adressen als Desaster-Recovery-System angeben. Alternativ ist es auch möglich, zwei Appliances für einen symmetrischen Betrieb zu konfigurieren. Dabei arbeitet jede Box sowohl als Edge- als auch als Core-Device. Auf diese Weise können sich zwei Rechenzentren gegenseitig die WAFS-Services zur Verfügung stellen. Ein Failover von zwei Core-Appliances lässt sich ebenfalls realisieren.

Um die Datenübertragungen effizienter zu machen, ermitteln die Tapestry-Systeme per MD4-Checksumme, welche Bytes sich verändert haben, und übertragen immer nur die Änderungen. Zusätzlich komprimiert das Produkt die Daten. Ein vom OEM-Partner Tacit entwickeltes Protokoll namens Storage Caching over IP (SCIP) beschleunigt die CIFS-Kommunikation. Übertragungen verschlüsselt das System per SSL (Secure Socket Layer).

Daten aktuell halten

Die Pre-Population kann Tapestry auf zwei Arten bewerkstelligen. Der Push-Scheduler überträgt die auf dem zentralen File-Server gespeicherten Daten zeitgesteuert auf alle ausgewählten Filialen. Dadurch lassen sich zum Beispiel Preislisten vorab über das WAN verteilen. Das zweite Verfahren ist der Pull-Scheduler, mit dem das Edge-System Daten abruft.

Sind im Netzwerk keine Quality-of-Service-Mechanismen implementiert, kann der Administrator für bestimmte Zeiten die maximale WAN-Bandbreite für die WAFS-Boxen beschränken. Tapestry nutzt WCCP mit Redirection, um den TCP-Verkehr zu beschränken. Die Datenmenge reduziert das System, indem es die Bit-Patterns speichert und nur noch einen 21-Byte-Tag überträgt, sobald die Daten das erste Mal zur Edge transferiert wurden.

Print-Services

Um die Druckdienste von Tapestry zu konfigurieren, verbindet sich der Administrator per Remote Desktop direkt mit der Edge-Box. Das von Microsoft erhältliche Tool "Print Migrator" kann die Konfiguration eines vorhandenen Print-Servers als CAB-Datei speichern. Diese lässt sich dann auf die WAFS-Appliance übertragen.

Der "EX Extractor Service" auf dem Core-System beschleunigt Zugriffe auf einen "Exchange Server". Der Dienst kopiert hierzu Attachments, die in der Exchange-Datenbank liegen, und legt sie entweder lokal auf der Core-Appliance oder auf einem Share des zentralen File-Servers ab. Die E-Mail-Anhänge lassen sich per Pre-Population entweder sofort oder zu einem späteren Zeitpunkt vom Core- zum Edge-System übertragen. Die TCP-Acceleration macht den E-Mail-Verkehr flotter.

Keine zentrale Kontrolle

Eine zentrale Verwaltung mehrerer Tapestry-Appliances über eine Oberfläche ist bislang nicht möglich. Von der Core-Box aus kann der Administrator immerhin alle Systeme zentral überwachen und die Logfiles einsehen.

Für die WAFS-Tests wurde der Client-PC im Filialnetz so konfiguriert, dass er über die Edge-Appliance auf das vom zentralen File-Server bereitgestellte Share zugriff. Beim Öffnen einer zentral gespeicherten Datei übertrug Tapestry diese zur Edge-Box, wo sie im Cache gespeichert wurde. Alle folgenden Zugriffe des Rechners erfolgten dann über den Cache. Änderungen an Dateien schreibt die Appliance im asynchronen Write-Back-Modus auf den File-Server in der Zentrale zurück. Dies geschieht alle 15 Sekunden oder sobald sich 50 MB des Cache-Volumens geändert haben. Aktiviert der Administrator "Flush on Close", kann der Benutzer erst dann mit einer Datei weiterarbeiten, wenn sie vollständig zum Core-System übertragen wurde. Sobald die Dateien im Cache der Egde-Box lagen, ließen sie sich mit der vom LAN gewohnten Geschwindigkeit öffnen und in der Regel auch speichern.

Um beim Ausfall der WAN-Verbindung in Notfällen trotzdem noch schreibend auf die im Cache gespeicherten Dateien zugreifen zu können, hat der Systemverwalter die Möglichkeit, einzelne Dateien für den Schreibzugriff freizugeben. Allerdings verfügt Tapestry bislang nicht über Mechanismen, um nach einem derartigen Ausfall in Konfliktfällen die Konsistenz der Daten sicherzustellen. Immerhin lassen sich mit dem "Selectable File Handling" Dateien mit bestimmten Dateiendungen wie zum Beispiel .mdb oder .ini mehrfach für den Schreibzugriff öffnen. Auf diese Weise können nun mehrere Filialen gleichzeitig schreibend auf eine Access-Datenbank zugreifen, wobei allerdings darauf geachtet werden muss, dass keine Versionskonflikte entstehen.

Expand Accelerator

Die Accelerator-Familie von Expand basiert auf einer Linux-Plattform und beschleunigt unter anderem TCP-, HTTP-, FTP- und DNS-Traffic. Im vergangenen Jahr kamen WAFS und VoIP hinzu. Alles zusammen bildet die "Expand Compass Platform", aus der sich Unternehmen eine Lösung mit den benötigten Funktionen zusammenstellen können.

Zum Vergleichstest traten die Modelle "Expand Accelerator 6940" für die Zentrale und "Accelerator 4920" für die Filiale an. Das kleinere Filialmodell bietet einen Cache-Speicher mit 160 GB, bei der größeren Box umfasst dieser 500 GB.

Windows-Integration

Nach der Erstkonfiguration kann man per Browser auf die Verwaltungsoberfläche zugreifen. Darin gibt der Anwender an, über welche WAN-Bandbreite die Accelerator-Boxen arbeiten und ob das Routing statisch, via OSPF oder RIP erfolgen soll. Unter "My Subnets" trägt er dann die Teilnetze ein, die optimiert werden sollen. Im WAFS-Menü legt er anschließend fest, welche Rolle der Accelerator übernehmen soll. Für den Test wurde die größere Box als "File Bank Director" in der Zentrale konfiguriert und das kleinere System als File Bank in der Filiale aufgesetzt.

Durch das Konzept der virtuellen Server kann Expand den Zugriff auf zentral gespeicherte Dateien für die Clients in den Filialen vollständig transparent gestalten. Dabei tritt die Accelerator-Box in der Filiale an die Stelle des alten File-Servers und behält sowohl den Computer- als auch die Freigabenamen bei.

Eine enge Integration mit Windows erreicht Expand, indem die Accelerator-Boxen und die virtuellen Server im Active Directory (AD) als Computer hinzugefügt werden. Dies lässt den "Join"-Button im Browser-GUI anstoßen.

Die WAFS-Optimierung ist bei Expand ebenso wie die anderen Komprimierungs- und Beschleunigungsfunktionen als kostenpflichtige Option erhältlich. Lediglich die Quality-of-Service-Features (QoS) sind im Grundpreis enthalten. Im QoS-Menü entscheidet der Administrator über Prioritätsstufen, in welchen Queues die Daten abgearbeitet werden. Hier ist Vorsicht geboten: Die Option "Real Time" birgt gewisse Gefahren, da der so klassifizierte Traffic immer übertragen wird und große Dateitransfers die Leitung blockieren können. Zur Wahl stehen ferner "High", "Medium" und "Low". Der Modus "Blocked" dient zum Sperren von Traffic. Über das QoS-Menü schränkt man WAFS-Bandbreite ein.

Die Replikationsfunktionen finden sich in der WAFS-Konfiguration. Sie bestimmt, wie oft die Remote-Box den Cache mit der Zentrale abgleicht. Standardmäßig werden Verzeichnisse alle 30 Minuten und Dateien alle 60 Minuten synchronisiert.

Datenkompression

Die Accelerator-Systeme terminieren jeweils auf beiden Seiten die komplette CIFS-Session, bevor die Daten über das WAN übertragen werden. Sie können auch Citrix-Header zusammenfassen und ermöglichen so mehr gleichzeitige Citrix-Sessions. Der Print-Server stellt die Treiber für die Clients zur Verfügung, was Bandbreite spart. Ist die TCP-Beschleunigung aktiviert, muss man die Einstellungen anpassen, wenn sich die Latenz der WAN-Verbindung ändert.

Dem Nutzer stehen die Komprimierungsmodi "IP-Compression" und "Router Transparancy for MPLS" zur Wahl. Bei Letzterem bleiben alle Header bis Layer vier identisch. Die Beschleunigung für HTTP- und FTP-Traffic wird nur auf der Remote-Seite aktiviert. Sie agiert wie ein transparenter Cache.

Beachten sollten Anwender in Sachen Bandbreitennutzung den Menüpunkt "Burst". Ist er aktiv, beanspruchen die Accelerator-Boxen die gesamte Bandbreite für sich.

Aktiviert der Administrator die Optimierung für VoIP-Traffic (Voice over IP), fragmentieren die Accelerator-Systeme andere Datenströme und fügen die kleinen VoIP-Pakete in diese ein. Zertifiziert ist dieses Verfahren für VoIP-Lösungen von Siemens und Avaya.

Failover-Konfiguration

Im Menüpunkt "Networking" kann der Systemverwalter die Accelerator-Systeme als aktives Gateway kon-figurieren, das als Router fungiert. Fällt eine Accelerator-Box aus, übernimmt der festgelegte Router deren Aufgaben. Es lässt sich auch ein Failover zwischen zwei Expand-Systemen konfigurieren, wobei der Router dann in Aktion tritt, wenn beide Boxen ausfallen. Bei gestörten WAN-Verbindungen können die Benutzer in der Filiale im Read-only-Modus auf die Dateien im Cache zugreifen.

Die Accelerator-Systeme speichern die gesamte Konfiguration auf einer Flash-Karte. Bei einem Hardware-Ausfall lässt sich ein neues Gerät sehr schnell wieder online bringen, indem die Flash-Karte von der alten Box eingebaut wird.

Um die Beschleunigungsfunktionen der Accelerator-Boxen zu testen, wurde der Test-Client in der Filiale mit einem Share des virtuellen File-Servers verbunden. Dabei gab es zunächst Probleme mit der Namensauflösung. Damit alle Systeme über das Netzwerk fehlerfrei kommunizieren können, müssen die Accelerator-Boxen im DNS (Domain Name System) eingetragen sein. Die Namensauflösung funktionierte aber selbst dann noch nicht. Erst nachdem die Rechner des Testnetzes als statische Host-Einträge auf den Expand-Boxen hinzugefügt worden waren, konnten diese die Namen korrekt auflösen.

Riverbed Steelhead

Die WAN-Optimierungslösungen von Riverbed decken ein ähnlich breites Spektrum ab wie die Systeme von Expand. Für den Vergleich stellte Riverbed das Datacenter-Modell "Steelhead 5010" und die Filial-Appliance "1020" zur Verfügung. Das 5010-System war mit einem 500-GB-Cache ausgestattet, die kleinere Box mit einem 200-GB-Cache.

Auch die Steelhead-Appliances lassen sich nach der Erstkonfiguration per Browser verwalten. Der Zugriff via Web-Client ist prinzipiell auch über die In-Band-IP-Adresse des LAN-Ports möglich.

Für den Test wurde die In-Path-Konfiguration aktiviert, da die Appliances auf beiden Seiten zwischen dem LAN-Switch und dem Router platziert worden waren. Alternativ wäre auch eine virtuelle In-path-Konfiguration möglich, bei der nur der WAN-Port mit dem LAN verbunden wird. Diese ist zum Bespiel dann sinnvoll, wenn WCCP, Policy Based Routing oder ein L4-Switch Verwendung finden sollen, um den Verkehr umzuleiten. Darüber hinaus erlauben die Steelhead-Systeme den Out-of-Path-Betrieb.

Regeln für die Optimierung

Im In-Path-Modus optimieren die Steelhead-Boxen den gesamten TCP-Verkehr außer verschlüsselten und interaktiven Übertragungen wie zum Beispiel Telnet. Unter dem Menüpunkt "Port Labels" im Browser-GUI sieht der Administrator, welche Ports nicht optimiert werden.

Die Web-Oberfläche zeigt an, wie die Datenübertragungen verbessert wurden. Mit Hilfe der In-Path-Regeln lassen sich die gewünschten Optimierungen flexibel einrichten. Die Regeln werden von oben nach unten gelesen. Der Administrator kann zum Beispiel, als erste Regel "Pass through all Traffic" definieren und dann die Optimierungsregeln für bestimmte Anwendungen einrichten.

Anschließend legt der Systemverwalter fest, welche Protokolle, Ports oder Anwendungen nicht optimiert werden sollen. Im Menü für das In-Path- und das Primary-Interface lässt sich die Bandbreite beschränken, die für den optimierten Verkehr maximal zur Verfügung steht. Daten werden per DES verschlüsselt.

Regeln für die Optimierung

Es ist auch möglich, zwei Steelhead-Boxen als Active-Passive-Failover-System zu betreiben. Sollte eine Steelhead-Appliance ausfallen, schaltet bei der In-Path-Konfiguration ein Bypass-Relais die beiden Ports physikalisch durch, so dass die Anwender weiterhin auf die Daten in der Zentrale zugreifen können.

Mit dem "Proxy File Service" von Riverbed kann ein Unternehmen weiterhin lokal File-Services zur Verfügung stellen. Dabei werden sowohl schreibgeschützte Broad-Cast-Shares als auch lokale Shares und Stand-alone-Shares unterstützt. Unter den "Advanced Options" finden sich zahlreiche weitere Parameter, unter anderem für die Berücksichtigung von VLAN-IDs und für Highspeed-TCP (HSTCP).

Das Datacenter-Modell 5010 unterstützt HSTCP-Übertragungen mit bis zu 600 Mbit/s, die neuen Systeme 5520 und 6020 sollen sogar 800 Mbit/s schaffen.

Die in Steelhead integrierte MAPI-Optimierung unterstützt Exchange Server ab Version 5, wobei sich auch die Pre-Population nutzen lässt. Zwar lassen sich auch Datenbankzugriffe auf Microsofts SQL Server beschleunigen, dies erfordert aber gute Kenntnisse der Transaktionen.

Riverbed optimiert Drucker-Datenströme, integriert aber bislang keinen eigenen Print-Server. Diese Funktion soll in einem künftigen Release hinzukommen.

In den CIFS-Regeln kann der Administrator unter anderem vorgeben, wann die Pre-Population stattfinden soll, bei der das System die Dateien vom zentralen File-Server vorab auf die Remote-Box kopiert. Mit der neuen Version 3.0 ist dafür kein spezieller Agent mehr erforderlich.

Ein kleines Manko betrifft das SMB-Signing von Microsoft. Seit Windows 2003 verwenden Domain-Controller standardmäßig diese Sicherheitsfunktion. Auf File-Servern wird sie allerdings bisher eher selten genutzt. Wenn SMB-Signing aktiviert ist, kann Riverbed die Latency-Optimierung des CIFS-Protokolls zum heutigen Stand nicht vollziehen. Die anderen Optimierungsmechanismen wie Komprimierung und Scalable Data Referencing greifen aber nach wie vor. SMB-Signing soll in einem künftigen Release unterstützt werden.

Konfiguration sichern

Riverbed vermag auch NFS-Shares zu optimieren; dieses Feature bietet im Release 3.0 der Software deutlich mehr Leistung.

Für eine zentrale Verwaltung der Steelhead-Boxen bietet der Hersteller die "Central Management Console" in Form einer eigenen Appliance an. Die Software kann unter anderem automatisch jede Nacht die Konfiguration von allen Steelhead-Boxen sichern und neue Softwareversionen per Push-Rollout auf sie verteilen.

Sobald die Steelhead-Appliances online sind, beginnen sie automatisch mit der Optimierung, die für die angeschlossenen Server und Clients vollständig transparent verläuft. Für die Bandbreitenoptimierung kommt das "Scalable Data Referencing" (SDR) von Riverbed zum Einsatz, das die zu übertragende Datenmenge drastisch reduziert, sobald eine Datei einmal transferiert wurde. Danach ist auf beiden Seiten ihr Bit-Muster im Cache abgelegt. Die Optimierung greift auch dann noch, wenn die Datei in ein anderes Share verschoben wurde.

Um die Optimierungsfunktionen der Steelhead-Boxen zu testen, öffnete der Client von der Remote-Seite aus Dateien, die auf dem File-Server in der Zentrale gespeichert waren. Das Ergebnis fiel ähnlich aus wie bei den anderen beiden Testkandidaten: Das erste Öffnen dauerte relativ lange. Sobald eine Datei aber einmal durch das Steelhead-System gelaufen war, ließ sie sich sehr schnell öffnen und auch speichern.

Ergebnisse der Performance-Tests

Um die Leistungsfähigkeit der drei WAFS-Lösungen zu testen, liefen mehrere Versuchsreihen mit Office-Anwendungen. Zunächst wurde ermittelt, wie lange das Kopieren, Öffnen und Speichern der Testdateien dauert, wenn keine Optimierungs-Appliance dazwischengeschaltet ist. Dann musste jeder der drei Testkandidaten zeigen, wie gut er die Dateizugriffe über WAN-Verbindungen hinweg beschleunigen kann. Damit die Erstzugriffe im Test nicht auf bereits gecachte Dateien erfolgten, wurde der Cache der Systeme vor jeder neuen Testreihe wieder gelöscht (siehe Kasten "So wurde getestet").

Alle drei Testkandidaten vermochten sowohl das Öffnen als auch das Speichern von Dateien deutlich zu beschleunigen, insbesondere nachdem der erste Transfer zwischen den beiden Appliances stattgefunden hatte (siehe Tabelle "WAFS-Performance-Test).

Regeln für die Optimierung

Beim Test von gleichzeitigen Zugriffen auf bereits geöffnete Dateien waren zwischen den drei Kandidaten so gut wie keine Unterschiede festzustellen. Word brachte immer den Warnhinweis, dass die Datei entweder nur schreibgeschützt geöffnet wird, eine lokale Kopie erstellt und die Änderungen später synchronisiert werden oder der Benutzer benachrichtigt wird, sobald die Datei geschlossen wurde. Bei Excel-Dateien erschien jedes Mal das Auswahlfenster mit dem Hinweis, dass die Datei nur im Read-only-Modus geöffnet werden kann oder der Benutzer benachrichtigt wird, sobald sie geschlossen wurde. (fn)