Для подключения филиала к централизованной ИТ-инфраструктуре предприятия достаточно использовать технологию VPN или выделенную стационарную линию, однако это не порадует ни сотрудников филиалов, ни администраторов ЦОД, поскольку приложения, предъявляющие высокие требования к пропускной способности, занимают ресурсы, тормозят трафик важных данных в глобальной сети и превращают дистанционную работу в настоящее мучение.

Но все может быть иначе: правильное планирование и подходящие инструменты помогут предприятиям по максимуму задействовать ресурсы даже в узкополосных соединениях WAN. Мартин Вальцер П одключение удаленных филиалов к централизованным ЦОД можно выполнять при помощи выделенных линий, каналов MPLS или соединения VPN через Интернет. Однако нельзя ограничиться лишь организацией соединения для передачи данных между точками А и Б, ведь за его ресурсы сразу же начинают конкурировать бесчисленные приложения. Поэтому и тем, кто только планирует подключение филиалов, и активным пользователям уже существующих соединений следует тщательно продумать, какой будет картина трафика и как его оптимизировать.

КЛАССИФИКАЦИЯ ПРИЛОЖЕНИЙ

Сначала следует идентифицировать и классифицировать все приложения, необходимые для выполнения бизнеспроцессов на предприятии, ведь когда в корпоративной сети встречаются сотни разнообразных программ, даже самый хороший ИТ-администратор может потерять контроль над ситуацией (см. Рисунок 1). В современных проектах по созданию сетевой инфраструктуры хорошо зарекомендовало себя распределение приложений по пяти группам:

Рисунок 1. Для сохранения контроля над соединениями с глобальной сетью приложения следует разделить на несколько групп по типам трафика.
Рисунок 1. Для сохранения контроля над соединениями с глобальной сетью приложения следует разделить на несколько групп по типам трафика.

 

Ключевые приложения. В нее входят все программы для поддержки основной деятельности предприятия: системы ERP, приложения CRM, финансовое ПО, системы контроля технологических процессов (на производстве), осуществление платежей и инвентаризация (в торговле), данные о пациентах и диагностическая визуализация (в медицине), клиентские транзакции и информация о торговых операциях (в финансовом секторе) и многое другое.

Унифицированные коммуникации (Unified Communications). Вторую группу составляют приложения для голосовой и видеосвязи, а также корпоративные системы мгновенного обмена сообщениями (Instant Messaging). Такие приложения очень чувствительны к возникновению задержек (Latency) и для бесперебойной работы нуждаются в предоставлении им достаточной пропускной способности.

Консолидация серверов и систем хранения. В эту категорию входят файловые службы, системы резервного копирования (Backup) и аварийного восстановления (Disaster Recovery) данных, распределение обновлений программного обеспечения, сетевые службы DNS и DHCP. Этот тип трафика данных может быстро занять значительную часть ресурсов пропускной способности.

Потоковая передача корпоративных видеоматериалов. Одной из разновидностей сетевого трафика со стремительным ростом объемов передаваемых данных является трансляция обучающего видео и важных собраний в реальном времени. Потоковая передача видео может захватить немалую долю общей пропускной способности.

Web-трафик. К этой категории относится весь трафик данных, направляемый за пределы предприятия, который, в свою очередь, подразделяется на различные приложения и типы (см. врезку «Важные подкатегории Web-трафика»).

Узнать, как отдельные категории приложений ведут себя в корпоративной сети, можно при помощи специализированных устройств. К примеру, Packetshaper компании Blue Coat функционирует как прозрачный мост к интернет-шлюзу, установленному в головном офисе предприятия, и анализирует весь проходящий через него трафик данных. Такие устройства должны распознавать все ключевые для бизнес-процессов предприятия приложения путем анализа передаваемых ими пакетов данных, распределять их по категориям и затем активно управлять ими.

ПРИОРИТИЗАЦИЯ ПРИЛОЖЕНИЙ

После получения сведений о том, какие объемы корпоративного трафика порождаются различными категориями приложений, можно переходить к активному воздействию на поведение приложений посредством формирования трафика (Traffic Shaping). К примеру, чтобы пользовательский Webтрафик не тормозил передачу трафика из других категорий, можно ввести такое правило: устройство на шлюзе WAN ограничивает максимальную пропускную способность для нерабочего Web-трафика на уровне 20% от общей пропускной способности соединения глпбальной сети при его полной загруженности и на уровне 40% при частичной нагрузке. Повышение до 40% (Burst) осуществляется с низким приоритетом. Для обновлений IOS, сигнатур антивирусных сканеров или резервных копий устанавливается аналогичное правило, но для увеличения нагрузки до 40% задается средний приоритет. Ключевым приложениям постоянно гарантируется 20% от общей пропускной способности, а при необходимости они могут занимать свободные ресурсы с максимальным приоритетом. В такой ситуации всем категориям приложений выделяется определенная минимальная доля пропускной способности, а при наличии свободных ресурсов они распределяются в соответствии с установленным для приложений приоритетом (см. Рисунок 2).

Рисунок 2. Процентное распределение ресурсов пропускной способности по различным категориям приложений позволяет избежать ситуации, когда некоторые приложения тормозят весь трафик данных между центральным узлом и филиалами.
Рисунок 2. Процентное распределение ресурсов пропускной способности по различным категориям приложений позволяет избежать ситуации, когда некоторые приложения тормозят весь трафик данных между центральным узлом и филиалами.

 

УСКОРЕНИЕ ПРИЛОЖЕНИЙ

Специализированные устройства для оптимизации WAN позволяют экономить от 30 до 60% реально необходимой пропускной способности — в особенности это касается файловых сервисов, потоковой передачи видео и Web-серфинга. Это означает, что при сокращении требований на 50% оптимизированное соединение со скоростью 2 Мбит/с по своей производительности будет сопоставимо с неоптимизированным соединением на 4 Мбит/с. Одновременно ускорители WAN значительно сокращают задержки при передаче данных с использованием малоэффективных протоколов.

Поэтому, прежде чем повышать емкость соединения WAN, имеет смысл провести оценку потенциальной экономии ресурсов пропускной способности сети. Аппаратные ускорители WAN позволяют уменьшить величину требуемой пропускной способности сети и сократить задержки с помощью таких методов, как оптимизация протоколов, сжатие данных, а также приоритизация и кэширование целых файловых объектов или отдельных байтовых последовательностей. Решения для оптимизации WAN могут использоваться совместно с оборудованием для формирования трафика (при условии, что эти устройства правильно настроены друг на друга).

 

Важные подкатегории Web-трафика

Web-трафик на предприятии можно разделить на следующие подкатегории: • Облачные сервисы и услуги SaaS, такие как разнообразные Webсервисы от Amazon Cloud, Salesforce.com, Microsoft Office 365 и т. д.

  • Web-представительство предприятия, при условии, что оно самостоятельно занимается этим вопросом.
  • Web-трафик от персональных интернет-сервисов, имеющих отношение к деятельности предприятия, к примеру доступ к странице Facebook или корпоративному каналу YouTube.
  • VPN-доступ для мобильных сотрудников, оказывающий дополнительную нагрузку на центральное подключение к Интернету.
  • Общий Web-трафик: в эту категорию входит весь остальной интернет-трафик предприятия, начиная от видео с котиками на YouTube или игр на Facebook и заканчивая просмотром новостных лент и спортивных обзоров, скачиванием обновлений IOS, совершением интерактивных банковских операций и т. д. Трафик из этой категории часто занимает значительную часть ресурсов пропускной способности и может порождать серьезные пики нагрузки (к примеру, если в процессе обновления IOS каждый iPhone и iPad на предприятии в течение одного рабочего дня попытается скачать у Apple данные объемом 800 Мбайт).

 

НАПРЯМУЮ В СЕТЬ

На многих предприятиях интернеттрафик филиалов сначала передается через WAN на центральную площадку (обратный транзит — Internet Backhaul), где на центральном Webфильтре к нему применяются соответствующие директивы, и лишь после этого направляется в публичную сеть. Для данных, поступающих из Интернета, этот принцип действует в обратном порядке: файлы, скачиваемые сотрудником филиала, сначала поступают на центральную площадку предприятия, а оттуда перенаправляются в то подразделение, где находится пользователь.

Если для подключения филиалов используется технология VPN, возникает значительная нагрузка на интернетсоединение центрального офиса, ведь в таком случае весь интернет-трафик филиалов проходит не только через их соединение с глобальной сетью, но и через подключение головного представительства с Интернетом. Чем больше критически важных корпоративных приложений реализовано, к примеру, в виде услуг SaaS или облачных сервисов с доступом через Интернет, тем сильнее возрастает эта двойная нагрузка.

Во избежание таких ситуаций все больше предприятий склоняется к тому, чтобы направлять традиционный Webтрафик своих филиалов напрямую в Интернет. На центральный узел отправляются лишь те данные, для которых этот обходной путь обязателен. Чтобы не создавать риски для сетевой безопасности, предприятию следует использовать на всех установленных в филиалах локальных интернетшлюзах те же самые директивы, которые применяются и на центральном Web-фильтре.

ЗАКЛЮЧЕНИЕ

Предприятия имеют возможность оптимизировать подключение своих филиалов к центральному узлу путем распределения приложений по категориям, установления для этих категорий приоритетов при передаче по глобальной сети, ускорения соответствующих соединений и отказа от обратного транзита интернет-трафика. В результате удается не только повысить продуктивность работы сотрудников и степень их удовлетворенности использованием ИТ-систем, но также снизить эксплуатационные затраты и сократить инвестиции в построение высокопроизводительных соединений WAN.

Мартин Вальцер — директор по системному инжинирингу по региону DACH (Германия, Австрия, Швейцария)/Ближний, Средний Восток/ Восточная Европа) в компании Blue Coat Systems.