Von: Chris Griffin, Greg Goddard
"Quality of Service" (QoS) steht für eine Adhoc-Sammlung von Verfahren, mit denen das Aufsetzen einer echten End-to-End-Strategie sehr schwierig ist. Die Anwendungs-, Betriebssystem- und Netzwerk-Anbieter haben unterschiedliche Techniken für die Dienstqualität entwickelt. Damit kommen Unternehmen, die QoS in ihrem gesamten Netzwerk garantieren wollen, nicht weit.
Zusätzliche Bandbreite gilt als effektive Maßnahme, um QoS zu liefern. Dies stimmt bis zu einem gewissen Grad, doch ist das eigentliche Ziel der Dienstgüte, den ge-samten Netzwerkverkehr auf einem bestimmten Performance-Level zu halten. Das gilt für ein kleines T-1-WAN genauso wie für einen Giga-bit-Ethernet-Link. Für Unternehmen kann QoS sicherstellen, dass Echtzeitdaten und wichtiger Geschäftsverkehr im Firmen-LAN die benötigte Bandbreite erhalten, und zwar unabhängig davon, was sonst noch im Netzwerk passiert - selbst wenn Denial-of-Service-Angriffe (DoS) stattfinden.
Die folgenden Szenarien wurden getestet:
- Ein nach außen gerichteter DoS-Angriff über DS-3, um die Leistung der Unternehmens-Website zu vermindern;
- überlastete WAN-Links, die Videokonferenz- und Voice-over-IP-Calls störten und
- eine Überlastung des DS-3 mit Web- und anderen Datenströmen, sodass ein MPEG-2-Fernkurs nicht laufen konnte.
Jedes LAN-Gerät musste sich auch einem Basis-Durchsatztest stellen, weil QoS-Appliances oft in Highspeed-Netzen eingesetzt werden. Selbstverständlich verringern kleine Frames in der Regel die Übertragungsraten. Trotzdem haben wir auch kleine Frames gemessen, damit der Anwender besser das seinen Anforderungen entsprechende Gerät auswählen kann. Nicht alle Produkte mussten alle Tests bestehen, weil manche Devices speziell für WAN-Umgebungen konzipiert sind.
Netenforcer von Allot
"Netenforcer" 201 und 301 von Allot sind LAN-gestützte QoS-Appliances, mit jeweils zwei 10/100-MBit/s-Ports, einem "externen" und einem "internen". Die Version 201 erzielt Datenraten von 2 bis 10 MBit/s, während 301 für 100 MBit/s ausgelegt ist. Die Basis-Performance-Tests ergaben, dass 32 Prozent der 64-Byte-Pakete weitergeleitet wurden. Mit steigender Paketgröße auf über 512 Bytes erhöhte sich der Durchsatz linear auf 100 Prozent. Die meisten der getesteten QoS-Geräte konnten kleine Frames nicht mit der angegebenen Leitungsgeschwindigkeit weiterleiten. Doch diese Tatsache ist nur für Anwender wichtig, deren Netzverkehr aus einer hohen Anzahl kleiner Frames besteht.
Das Produkt verwendet ein zweistufiges Klassifizierungssystem, auf der Basis von Pipes und virtuellen Kanälen mit jeweils eigenen Regeln und Aktionen. Pipes stellen die Spitze der Hierarchie dar und werden normalerweise dazu verwendet, um Sites, die durch dasselbe Netenforcer-Gerät laufen, unterscheiden zu können. Innerhalb einer Pipe können virtuelle Kanäle definiert werden, um die Prioritäten für Nutzer und Anwendungen zu verwalten, wobei nicht klassifizierter Datenverkehr in die so genannte "Fallback"-Pipe geht. Das Produkt unterstützt die Klassifizierung bis zu Layer 7 für verschiedene gängige Protokolle aber auch für Nicht-IP-Protokolle. Für das Backup der Systemkonfiguration und der Policies lässt sich Trivial FTP verwenden. Redundanz mithilfe mehrerer Geräte ist ebenfalls möglich.
In den Leistungstests schnitten beide Modelle gut ab. Das Aktivieren von Policies, um den UDP-Verkehr (User Datagram Protocol) zu blockieren, ließ die Performance des HTTP-Servers unberührt vom restlichen Verkehr. Das Aufsetzen einer Policy, um HTTP-Datenströme bevorzugt vor allen anderen zu behandeln, erwies sich als sehr effektiv. Auch ein DoS-Angriff brachte keine erwähnenswerte Änderung in der Leistung. Wir verwendeten die Version 201 für den WAN-Test, und das Gerät konnte nahezu den gesamten Verkehr nach Anwendungsnamen klassifizieren. Auch Videoconferencing und VoIP funktionierte, allerdings mit Korrekturen bei der Bandbreite.
Das Management der Netenforcer-Software 4.2 läuft wie bei den meisten der getesteten Geräte über eine webgestützte Java-Benutzerschnittstelle. Sie ist komplexer als bei anderen Produkten, besitzt jedoch mächtige Funktionen. Das Echtzeit-Monitoring gibt einen genauen Überblick über den Verkehr und die verwendeten Policies. Über die Befehlszeile erhält der Anwender Zugriff auf das Betriebssystem Linux. Die Software ist in die Segmente "monitor", "classify", "enforce" und "reporting" aufgeteilt. Zusätzliche Module sind erhältlich: "Netaccountant" mit erweiterten Accounting-Funktionen, "Cacheenforcer" und "Netbalancer" für die Lastverteilung.
Packetshaper von Packeteer
"Packetshaper" 2500 und 8500 von Packeteer sind LAN-orientierte QoS-Geräte. Sie haben jeweils zwei Ports, einen nach innen und einen nach außen. 2500 unterstützt Konfigurationen von zwei bis zehn MBit/s. 8500 geht über OC-3-Geschwindigkeiten von 155 MBit/s hinaus. Die Basis-Performance-tests ergaben, dass beide über 90 Prozent der kleinsten Frames und 100 Prozent der mindestens 128 Byte großen weiterleiten.
Beim Einschalten des Geräts wird der Verkehr in einer Standardgruppe auf Basis der Richtung kombiniert. Erkennt die Box einzelne Datenströme, so entfernt sie diese aus der Gruppe und schreibt sie in eine Liste von klassifizierten Verkehrstypen. Dazu muss sie eine einstellbare Mindestanzahl von Paketen erkennen. Das funktioniert in den meisten Fällen gut, doch gelegentlich fließen Datenströme eine Zeit lang, ohne Klassifizierung außerhalb der Standard-Queue. Für viele Protokolle lässt sich der Verkehr bis zu Layer 7 klassifizieren. Auch einige Nicht-IP-Protokolle wie IPX, Appletalk oder SNA werden erkannt.
In den Performance-Tests schnitten die beiden Produkte sehr gut ab. Die Switches konnten auch den DoS-Angriff schnell erkennen und abwehren. Regeln für die bevorzugte Behandlung von HTTP erwiesen sich als sehr effektiv, mit kaum wahrnehmbarem Leistungsunterschied vor und während des Angriffs. In den Zweigstellentests liefen die Video- und Voice-Ströme fast einwandfrei, ohne Tuning der Bandbreite. Für die MPEG-2-Ströme allerdings war etwas Nachhilfe angesagt. Doch das war zu erwarten, da diese Ströme sehr anfällig auf Verlust oder Verzögerung sind.
Die Benutzerschnittstelle ist intuitiv gestaltet und einfach zu benutzen. Sie teilt sich in Klassifizierung, Analyse, Kontrolle und Reporting. Gelegentlich musste während des Tests auf die Befehlszeile zurückgegriffen werden, um zu kontrollieren, welche Protokolle im Netzwerk liefen oder um die Arbeit der Policies zu überprüfen. Deshalb wäre das Vorhandensein von mehr Detailinfos zu dem Klassifizierungsprozess über das Interface wünschenswert.
Bei Bedarf sind LAN-Erweite-rungsmodule erhältlich, um die Geräte an zusätzliche 10/100-LANs (und Gigabit-Netzwerke im Falle von 8500) anzuschließen. Diese Module können die Anzahl der benötigten Packetshaper-Geräte im Netzwerk reduzieren. Redundanz und Hot-Standby-Funktionen sind ebenfalls vorhanden. "Reportcenter" und "Policycenter" dienen dem zentralen Management der Policies und zur Ausgabe von Reports.
QoS Works von Sitara
"QoS Works 10000" von Sitara ist ein LAN-orientiertes Gerät, das für einen Durchsatz von bis zu 100 MBit/s ausgelegt ist. Es besitzt zwei 10/100-Ports, einen fürs WAN und einen LAN-Ausgang. Der Basis-Performancetest ergab, dass das Gerät 30 Prozent der Frames in Minimumgröße weiterleitete und sich den 100 Prozent näherte, sobald die Frames die Größe 512 Bytes erreicht hatten.
Getestet wurden die Versionen 1.9 und 2.0. Die neuere Version ist besser, weil sie gängige Protokolle wie H.323 und HTTP auf dem Layer 7 klassifizieren kann. Auch die Java-Schnittstelle ist dynamischer geworden. Und die Monitoringfunktion aktualisiert ihre Daten jetzt einmal pro Minute. Leider ist die Layer-7-Klassifizierung für einige Peer-to-Peer-Anwendungen zurzeit nicht möglich.
QoS Works bestand die Performance-Tests gut. Das Gerät erkannte sofort die Quelle des DoS-Angriffs und wehrte sie ab. Es bevorzugte HTTP-Verkehr auf der Anwendungsebene, obwohl wir keine Regel für den Angriff definierten, was zur Wiederherstellung von 90 Prozent der HTTP-Leistung führte. In den WAN-Tests konnte Videoconferencing auf dem Application Layer priorisiert und der Voice-Verkehr auf Basis der IP-Adresse klassifiziert werden. Nach Aktivierung der Policies funktionierte das Videoconferencing mit kleinen Paketverlusten und die Voice-Signale kamen klar und mit nur geringen Verzögerungen an. Das Produkt kann die Queue-Tiefe für Echtzeitverkehr begrenzen. Das kann einen Vorteil für hoch belastete Netzwerke bedeuten, weil die Latenzzeit dadurch verkürzt und der Jittereffekt abgeschwächt wird. Die Appliance markiert die Datenpakete mithilfe des Type-of-Service-Bytes, berücksichtigt diese Information aber bei der Priorisierung nicht.
Die Webschnittstelle ist einfach zu bedienen und enthält die Segmente Monitoring, Reporting und Erstellung von Policies. Reports nahezu in Echtzeit erleichtern das Überprüfen der Anwendung von Policies. Die Unterscheidung von LAN gegenüber WAN beim Monitoring und bei der Policy-Erstellung ist allerdings unklar. In der Version 2.0 sind nicht alle Schnittstellen auf Java umgestellt, was beispielsweise die Integration zwischen Monitoring und dem Policy-Editor behindert. Sitara versprach Abhilfe für die nächsten Releases. Zusätzlich gibt es das Modul "QoS Director" für das zentrale Policy-Management. "QoSArray" bietet Redundanz, ist jedoch ein separates Produkt.
Servicepoint von Kentrox
Das Kentrox "ServicePoint 2040-tmc DSU" ist ein WAN-gestütztes Gerät mit eingebauter DSU/CSU- und QoS-Funktionalität (Digital Service Unit / Channel Service Unit). Das Produkt verwendet Packeteers Klassifizierungs- und Enforcement-Engine. Es ersetzt die bestehenden DSUs/CSUs und befindet sich auf der seriellen Seite des WAN-Routers, sodass die Installation in einer WAN-Topologie leichter fällt. Die Basis-Performance-Tests zeigen, dass das Gerät Datenströme mit derselben Geschwindigkeit weiterleiten kann wie ein natives T-1-Interface.
Weil die Servicepoint-Appliance direkt auf dem Frame Relay Link sitzt, erkennt sie mehr als LAN-orientierte Boxen, beispielsweise Local Management Interface Exchanges und DLCI-Mappings (Data Link Connection Identifier) sowie Router-bedingten Verkehr wie Toll-Bypass und VoIP oder Routing-Updates. Während des ersten Teils des Leistungstests konnte das Gerät Datenströme über DLCI klassifizieren. Dadurch wird die Erstellung von Policies für bestimmte "Permanent Virtual Circuits" (PVC) in FrameRelay-Netzen erleichtert. In einer Hub-and-Spoke-Topologie kann das Produkt in der Hauptniederlassung eingesetzt die Policies für den Verkehr zwischen Zweigstellen überwachen. Damit verringert sich die Anzahl der benötigten Boxen.
Im Laufe der weiterführenden Klassifizierungs- und Enforcement-Tests entdeckten wir leider einen Fehler, aufgrund dessen ein Teil der Datenströme nicht richtig klassifiziert wurde. Dabei traten zwei wichtige Einschränkungen der Servicepoint-Implementierung zu Tage. Erstens müssen die Datenströme vom Gerät erkannt werden, bevor eine Policy erstellt wird. Das bedeutet, Policies lassen sich nicht im Vorfeld schreiben und auch nicht allein auf der Basis der IP-Adresse. Zweitens erscheint die Klassifizierungs-Engine in keinem Report, wenn sie die Datenströme nicht erkennt. Die Folge davon ist, dass unter Umständen ein gut ausgelastetes T-1 auf der Managementkonsole fast leer erscheint. Aus diesen Gründen konnte die Box nicht vollständig getestet werden. Kentrox erklärte, der Fehler sei inzwischen durch ein Update behoben.
Der Servicepoint Manager kümmert sich um die Verwaltung und wird als separates Produkt verkauft. Der Zusatz ist für das Monitoring und Traffic-Management der DSUs unerlässlich. Die Serverkomponente läuft unter Windows NT oder 2000 Server, mit Clients auf Windows 98 oder höher. Die Schnittstelle ist intuitiv gestaltet und bietet umfangreiche Funktionen, einschließlich des Echtzeit-Monitoring aller DSUs, einer zentralen Speicherung und Einführung von Policies sowie einer Reportfunktion. Die Software skaliert bis auf 600 DSUs im "Native Modus" und weiter mithilfe von "Remote Collection Agents".
Wisewan von Netreality
"Wisewan" von Netreality gibt es sowohl für das LAN- als auch fürs WAN. 201 unterstützt Geschwindigkeiten von bis zu zwei MBit/s und ist mit seriellen, Ethernet- und DSU/CSU-Anschlüssen erhältlich. Es wird über ein spezielles "Wisecable" ans Netzwerk angeschlossen, wobei die Verbindung so lange passiv bleibt, bis das Gerät aktiviert ist. 601 unterstützt Ethernet- und HSSI-Konfigurationen (High Speed Serial Interface) und ist für Geschwindigkeiten von bis zu 52 MBit/s ausgerichtet. Getestet wurden Wisewan 201 mit einer seriellen Schnittstelle zwischen dem Router und dem Frame-Relay-Netz und Wisewan 601 mit zwei Fast-Ethernet-Schnittstellen. In den Basis-Performance-Tests konnte 601 alle Frames mit ihrer üblichen Geschwindigkeit weiterleiten, unabhängig von ihrer Größe.
Das Gerät erzielte zum Großteil gute Ergebnisse. Es konnte HTTP während eines DoS-Angriffs vor allen anderen Strömen priorisieren und dabei die Performance zu 90 Prozent halten. Regeln für die Priorisierung von H.323-Videoconferencing und Sprachverkehr erwiesen sich als wirksam, sodass die Qualität von Sprache und Videos während der Überlastung mit kleinen Ausrutschern erhalten wurde.
Bei der Belastung des Netzes mit "verbindungslosen" Datenströmen wie UDP, bekam Wisewan auf der WAN-Seite des Routers Schwierigkeiten beim Einhalten der Policies. Grund dafür ist, dass UDP-Ströme keine eingebaute Überlastungskontrolle haben, sodass das Gerät den Sender nicht veranlassen konnte, langsamer zu werden. Der Router übernimmt selbst die Verkehrsregelung, wenn die Geschwindigkeit der seriellen Schnittstelle überschritten wird. Deswegen können verbindungslose Datenströme alle anderen Quellen "aus dem Weg räumen". Es ist schwierig, für Situationen mit hohem UDP-Verkehrsaufkommen oder ungewöhnlichen Netzwerkbedingungen Bandbreite zu garantieren. Sind dergleichen Situationen zu erwarten, sollte sich der Anwender für LAN-basierte Geräte entscheiden.
Für Wisewan gilt das Gleiche wie für die Kentrox-Box: Das Produkt bietet nützliche Informationen über die Netzüberlastung, kontrolliert mehrere Sites in einer Hub-and-Spoke-Konfiguration und managt den Datenverkehr, den der Router verursacht. Das Gerät erkennt viele gängige Protokolle bis zu Layer 7.
Das Management der Geräte übernimmt "Wanxplorer", ein Client/Server-Produkt unter Solaris und Windows. Der Server kommuniziert mit der Box über SNMP-Kanäle. Er enthält ein DatenbankBackend, das die Policies und Statistiken speichert, die mit der Zeit automatisch aggregiert werden. Der Anwender hat über Clientverbindungen, entweder als Java-Anwendung oder über einen Web-Browser, Zugriff auf die Statistiken und kann auch Policies und Konfigurationen ändern.
Die Benutzerschnittstelle ist einfach zu bedienen. Mit ein paar Mausklicks lassen sich Policies erstellen, aktiviert oder verschoben werden. Die Konfiguration wird zentral verwaltet, sodass sich ein Gerät im Falle eines Ausfalls einfach ersetzen lässt. (sf)
Zur Person
Chris Griffin und Greg Goddard
sind Netzwerkspezialisten an der Universität von Florida. Sie gehören dort der Abteilung Network Services an.
Testergebnisse und Daten
Netenforcer 201 und 301
Hersteller:
Allot Communications
Tel. 0 80 24/9 15 57
Fax 0 80 24/9 10 16
E-Mail sales-emea@allot.com
www.allot.com
Preis: Version 201 ab 6000 Euro,
301 kostet 13 000 Euro
Technische Daten:
QoS-Appliance fürs LAN, berücksichtigt die QoS-Felder "IP Precedence" und "Differenciated Service Code Point" (DSCP); Version 201 transportiert bis zu 10 MBit/s und 12 000 Flows, Netenforcer 301 managt 100 MBit/s und 96 000 Flows.
Testergebnis:
+ sehr schönes Web-Interface,
+ flexibel in der Konfiguration durch Zugang zum Betriebssystem,
- Ausschalten erfordert Shut-Down.
Packetshaper 2500 und 8500
Hersteller:
Packeteer
Tel. 0 89/37 06 29 25
Fax 0 89/37 06 29 26
E-Mail mschweighart@packeteer.com
www.packeteer.com
Preis: Version 2500 kostet 12 500 Euro, Version 8500 kostet 34 000 Euro.
Technische Daten:
QoS-Appliance fürs LAN, beherrscht die QoS-Methoden "IP Precedence", "Differenciated Service Code Point" (DSCP), 802.1p und "Multiprotocol Label Switching" (MPLS); Version 2500 transportiert bis zu 10 MBit/s und 20 000 Flows, Packetshaper 8500 managt 200 MBit/s und 200 000 Flows.
Testergebnis:
+ ausgezeichnete Performance,
+ Kontrolle mehrerer Netzsegmente mit Zusatzmodulen,
- schwacher Verkehr nicht klassifizierbar.
Qos Works 10 000
Hersteller:
Sitara Networks
Tel. 00 44-2 08/6 22 30 11
Fax 00 44-2 08/6 22 31 63
E-Mail: enquiries-emea@sitaranetworks.com
www.sitaranetworks.com
Preis: 27 000 Euro.
Technische Daten:
QoS-Appliance fürs LAN, berücksichtigt die QoS-Felder "IP Precedence" und "Differenciated Service Code Point" (DSCP); transportiert 100 MBit/s.
Testergebnis:
+ Kontrolle der Queue-Tiefe gegen Verzögerung und Jitter,
- Verkehrsrichtung schwer zu erkennen.
Servicepoint 2040-tmc DSU
Hersteller:
Kentrox
Tel. 0 01-8 00/7 33 55 11 (USA)
E-Mail: info@kentrox.com
www.kentrox.com
Preis: 5000 Euro.
Technische Daten:
QoS-Appliance fürs WAN, berücksichtigt das QoS-Feld "IP Precedence".
Testergebnis:
+ ideal für Frame-Relay-Netze,
- Probleme bei starkem UDP-Verkehr.
Wisewan 201 und 601
Hersteller:
Netreality
Tel. 0 89/35 87 43 87
E-Mail: emeainfo@net-reality.com
www.net-reality.com
Preis: ab 9500 Euro für Version 201, ab 29 000 Euro für Wisewan 601.
Technische Daten:
QoS-Appliance fürs WAN, berücksichtigt die QoS-Felder "IP Precedence" und "Differenciated Service Code Point" (DSCP); Version 201 transportiert bis zu 2 MBit/s über Ethernet-Ports, serielle Anschlüsse oder DSU/CSU-Verbindungen, Version 601 managt 52 MBit/s über Ethernet und HSSI.
Testergebnis:
+ komfortables Management vieler Appliances,
+ gut für Frame-Relay und Ethernet,
- Policy-Verletzungen schwer erkennbar,
- Probleme mit starkem UDP-Verkehr.