Bedrijfsnetwerken worden in toenemende mate gebruikt voor het transport van steeds zwaardere content en steeds kritischer data. Vandaar dat bedrijven met hun dienstenleverancier zogenaamde ‘quality-of-service’-overeenkomsten afsluiten, waarin afspraken worden vastgelegd over beschikbaarheid en bandbreedte. Maar volgens Peter Sandkuijl biedt het afsluiten van zo’n overeenkomst nog niet de garantie dat de beschikbare bandbreedte werkelijk wordt gebruikt voor het dataverkeer met de hoogste prioriteit. Om dat te bereiken is het noodzakelijk eerst een qos-beleid te formuleren.
Nu nieuwe, data-intensieve technologieën als ‘voice-over-ip’, ‘streaming media’ en ‘peer-to-peer’-applicaties langzamerhand gemeengoed beginnen te worden en snelheid dus een factor van belang wordt, krijgt ‘quality of service’ (qos) een nieuwe impuls. En om de kosten voor gebruik en beheer van netwerken op een aanvaardbaar niveau te houden wordt het voor bedrijven zaak om qos te integreren in hun netwerkarchitecturen, zodat de toewijzing van bandbreedte zo efficiënt mogelijk plaatsvindt.
Het is niet verwonderlijk dat de rand van het netwerk – waar meestal ook de firewalls en vpn’s (‘virtual private networks’) te vinden zijn – de meest ideale locatie is voor qos-toepassingen. Het blijkt tevens de enige plek te zijn waar qos-applicaties en vpn optimaal kunnen functioneren. Dat is geen toeval: firewalls en vpn’s zijn de toegangspoorten naar het netwerk. Het zijn de enige plekken waar alle verkeer passeert. Het integreren van een firewall/vpn met een qos-toepassing levert daarom niet alleen het nodige gemak op voor de controle op qos, het voorziet ook in veilig en efficiënt beheer van het qos-beleid voor het gehele netwerk. De qos-applicatie is een verrijking van de vpn-functionaliteit, doordat het door identificatie en classificatie van dataverkeer een hoger beveiligingsniveau biedt.
Wat gebeurt er eigenlijk als een bedrijf het qos-beleid niet integreert met vpn? Heel simpel: dat leidt tot veiligheidsrisico’s en onduidelijkheden. Wanneer een qos-toepassing aan de Wan-zijde van het netwerk wordt geplaatst, is een ‘denial-of-service’-aanval (dos) niet uitgesloten. Wanneer dat gebeurt, worden de prestaties van andere bedrijfskritische protocollen en tools aangetast. Wat betreft ‘network address translation’ (nat) zal de qos-toepassing in deze situatie niet in staat zijn om het verkeer per gebruiker, groep of netwerk te regelen. Het is evenmin mogelijk om verkeer per applicatie te classificeren, wat betekent dat het vpn niet effectief kan functioneren.
Wanneer een qos-toepassing aan de lan-zijde van het netwerk wordt geplaatst, is het zogenaamde ‘flooding’ – het overstromen – van de hardware mogelijk, vooral omdat encryptiesoftware de pakketgrootte laat toenemen. Daarnaast kan het in deze situatie voorkomen dat verkeer met een lage prioriteit toch door de hardware wordt toegelaten. Zo neemt niet alleen de efficiency af, maar ontstaan ook veiligheidsrisico’s.
Bandbreedte
Voordat een bedrijf de selectie voor een qos-applicatie start, zullen eerst de gewenste voordelen op een rij gezet moeten worden. Bij efficiënte integratie kan een qos-oplossing firewall- en vpn-functionaliteit combineren, zodat het niet nodig is om verschillende discrete hardware te beheren. Deze aanpak biedt niet alleen geïntegreerde beveiliging voor het hele netwerk, maar het stelt een bedrijf ook in staat om het qos-beleid in lijn te houden met het totale beveiligingsbeleid.
Bovendien zal een effectieve qos-applicatie twee belangrijke voordelen bieden wanneer het als onderdeel van een beveiligingsoplossing is geïmplementeerd. In de eerste plaats optimaliseert het de prestaties door prioriteit toe te wijzen aan bedrijfskritisch verkeer. Door netwerkbronnen in lijn te brengen met zakelijke doelstellingen, maakt qos-beleid het mogelijk om het werkelijke potentieel van een ip-netwerk te benutten. Daarnaast is een qos-toepassing in staat om de verbindingen te optimaliseren, zodat het gebruik van de bestaande lijnen efficiënter gebeurt. De bandbreedte die beschikbaar komt, is toe te wijzen aan de belangrijke applicaties. Voor de minder belangrijke of onbelangrijke applicaties kan extra bandbreedte worden ingekocht, waarbij dan een weloverwogen keus gemaakt kan worden.
Prioriteiten
Om deze voordelen ook in de praktijk te behalen, moet een qos-toepassing beschikken over specifieke features die samen kunnen zorgen voor betrouwbare netwerkprestaties. Eén van deze features – Stateful Inspection – classificeert communicatie door de data per communicatielaag te analyseren. Deze techniek, bekend als dynamic packet filtering, is van belang omdat zij de qos-toepassing in staat stelt om haar primaire functie van prioriteitstelling en bandbreedtetoewijzing te vervullen. De qos-toepassing bekijkt daarbij niet alleen de header van een pakket, maar inspecteert pakketten tot op applicatieniveau en stelt prioriteiten op basis van bijvoorbeeld bestandstypes. De data die worden verzameld over de pakketten, en de context ervan, worden opgeslagen en kunnen dynamisch worden geactualiseerd. Zo kan de communicatie consistent worden geclassificeerd en kan tevens virtuele sessie-informatie beschikbaar worden gemaakt voor het volgen van de verschillende communicatieprotocollen in een netwerk.
Een tweede, kritisch element is ‘intelligent queuing’, waarbij gebruikt wordt gemaakt van een ‘weighted fair queuing’–algoritme (wfq). Daarmee wordt de toewijzing van bandbreedte beheerd. Wfq is een methode voor het maken van wachtrijen voor pakketten. Met deze technologie kan niet alleen gegarandeerde bandbreedte worden toegewezen aan bepaalde applicaties, maar kunnen ook absolute limieten worden gesteld. Met de juiste ‘queuing engine’ en het juiste wfq-algoritme kan een ‘packetscheduler’ worden geïnstalleerd op elke netwerkinterface. Die stuurt vervolgens pakketten door op basis van een dynamisch aan te passen wachtrijschema. Belangrijke pakketten krijgen voorrang boven de minder belangrijke.
In de tussentijd
Het concept van prioriteitstelling van netwerkverkeer is interessant, omdat het ervan uitgaat dat bepaalde informatie relevant is en andere niet. In termen van qos leidt dit tot de vraag wat de hardware moet doen met minder belangrijk verkeer. Immers, bedrijfskritische informatie krijgt altijd voorrang. Wat gebeurt er in de tussentijd met minder relevant dataverkeer? Blijft het ergens in het netwerk staan of wordt de transmissie simpelweg afgebroken?
Een effectieve qos-oplossing houdt er rekening mee dat minder belangrijk dataverkeer even efficiënt moet worden afgehandeld als belangrijk verkeer. Daartoe wordt in de ‘queuing engine’ van zo’n oplossing gebruikt gemaakt van een ‘weighted flow random early discard intelligent drop policy’ (wfred). Die voorkomt het vollopen van het netwerk. Wfred volgt het netwerkverkeer en wanneer de wachtrij een specifieke drempelwaarde bereikt (die is vastgelegd in de qos-afspraken) worden de minder belangrijke datapakketten op een intelligente manier naar een langzamer protocol, zoals tcp, gestuurd. De pakketten worden dus niet vergeten, maar later opnieuw verstuurd via een langzamer, maar daarom niet minder betrouwbaar, protocol. Mocht bij enig pakket de kans bestaan dat het leidt tot een dos-aanval, dan zal de qos-applicatie samen met de vpn-oplossing het risico afwegen en het pakket zo nodig ‘volledig laten vallen’.
Bandbreedte
Verder beschikt een qos-oplossing idealiter over functionaliteit om bandbreedte in de juiste verhouding toe te wijzen aan applicaties. Om zo efficiënt mogelijk gebruik te maken van het netwerk, kan met deze functionaliteit (bekend als ‘retransmission detection early drop’) worden voorkomen dat opnieuw verzonden pakketten geen kostbare netwerkbronnen gebruiken die voor andere doelen bestemd zijn.
Al deze features samen vormen een gezonde basis voor een waardevolle qos-oplossing. De voordelen van een dergelijke oplossing zijn duidelijk: betere netwerkprestaties die kostenbesparend werken, optimaal gebruik van de bandbreedte en meer inzicht in bandbreedtegebruik. qos is dus meer dan een servicegarantie, het is een noodzakelijke investering in de schaalbaarheid en de prestaties van bedrijfsnetwerken.
Peter Sandkuijl Check Point Software Technologies