Nr 3-4/2008 (97)

Rodzina Cisco ACE - nowe funkcjonalności

Celem artykułu jest zapoznanie z rodziną urządzeń Cisco ACE -Application Control Engine oraz omówienie nowych funkcjonalności dostępnych w wersji drugiej oprogramowania dla modułu serwisowego Cisco ACE.

Omówienie zasad działania i funkcjonalności load balancingu zostały opisane w Integratorze online 9-10/2007 (94) w artykule pt. "Kompendium wiedzy o load balancingu oraz omówienie load balancerów firmy Cisco, Juniper i F5".

Artykuł dostępny jest na stronie internetowej pod adresem: http://www.integrator.solidex.com.pl/4584_4590.htm

Urządzenia Application Control Engine integrują następujące funkcje:

  • Load balancing,
  • SSL Offload,
  • Bezpieczeństwo dla Data Center.

ACE najczęściej stosujemy w celu zapewnienia wirtualizacji elementów Centrum Przetwarzania Danych. Wirtualizacja elementów CPD jest kluczowa dla jago skalowalności, wysokiej dostępności oraz bezpieczeństwa przy zachowaniu łatwości zarządzania.

Rodzina produktów Cisco ACE składa się z:

  • Modułów serwisowych ACE dla Catalyst'a 6500, routera 7600,
  • Urządzeń typu Appliance - ACE 4710,
  • Firewall'a aplikacyjnego - ACE XML Gateway,
  • ACE Global Site Selector.

Poniższy rysunek przedstawia rodzinę produktów Cisco ACE.

ACE 4710 Appliance
Urządzenie ACE 4710 Appliance umożliwia przetwarzanie danych z szybkością do 2 Gb/s oraz wykonywanie do 10 000 transakcji SSL na sekundę.  Ponadto posiada cztery porty typu Ethernet 10/100/1000, a także  zapewnia zawansowane funkcjonalności, jakie daje moduł serwisowy ACE z jednoczesnymi zaletami urządzeń pracujących samodzielne.

ACE XML Gateway
Rozwiązanie ACE XML Gateway jest firewallem aplikacyjnym umożliwiającym osiągnięcie wyższego poziomu bezpieczeństwa, dostępności oraz wydajności aplikacji usług webowych bazujący na protokołach XML (Extensible Markup Language) oraz SOAP (Simple Object Access Protocol). W nowej wersji udoskonalono monitorowanie wydajności bramy oraz raportowanie zdarzeń. ACE XML Gateway zapewnia wydajność do 30 000 transakcji XML na sekundę.

Cisco ACE Global Site Selector
Cisco ACE Global Site Selector (GSS) jest urządzeniem typu Global Server Load Balancing (GSLB), które zapewnia zwiększenie poziomu dostępności oraz redundancję usług sieciowych w skali organizacji rozproszonej geograficznie. Jest to możliwe dzięki kierowniu poprzez kierowania ruchem w zależności od odległości i dostępności ośrodków Data Center, wyposażonych w urządzenia rodziny Cisco ACE. ACE GSS umożliwia dynamiczne rozkładanie ruchu pomiędzy lokalizacjami rozproszonymi geograficznie, poprzez przekierowywanie zapytań do najszybszych lokalizacji z punktu widzenia poszczególnych klientów. W chwili awarii jednego z ośrodków Data Center jest on automatycznie usuwany z grupy do momentu, kiedy znów stanie się dostępny. ACE Global Site Selector polega na manipulowaniu rekordami DNS. Klient wysyłając zapytanie o nazwę hosta, otrzymuje od serwera DNS odpowiedź zawierającą adresy IP dostępnych usług.

Cisco ACE Module



 
Moduł serwisowy ACE jest dedykowanym rozwiązaniem sprzętowym dla przełączników Catalyst serii 6500 oraz routerów serii 7600. Moduł ACE w zależności od wersji licencji zapewnia:

  • wydajność 4 Gbps, 8 Gbps oraz 16 Gbps,
  • obsługę do 6.5 miliona pakietów na sekundę,
  • 4 miliony jednoczesnych połączeń,
  • 350 000 połączeń na sekundę (L4).

Istnieje możliwość uzyskania wydajności do 64 Gbps poprzez wykorzystanie czterech modułów serwisowych w jednym urządzeniu.

Cechy oprogramowania modułów serwisowych ACE w wersji 2.0

Nowa wersja oprogramowania dla modułów serwisowych ACE dostępna jest od 6 marca 2008 roku. Oprogramowanie w wersji drugiej o numerze release A2(1.0) i nazwie c6ace-t1k9_mz.A2_1.bin jest dedykowane dla modułów ACE w wersji- ACE10 (ACE10-6500-K9) oraz ACE20 (ACE20-MOD-K9).

Oprogramowanie to znacznie rozszerza możliwości funkcjonalne wcześniejszej wersji oprogramowania w zakresie protokołów balansowania ruchu, akceleracji oraz mechanizmów zapewniających ochronę aplikacji.
Nowa wersja rozszerza wspierane protokoły równoważenia obciążenia o protokoły aplikacyjne, takie jak:

  • SIP,
  • Extended RTSP,
  • RADIUS,
  • RDP.

Dla innych protokółów aplikacyjnych istnieje możliwości balansowania ruchu za pomocą protokołu Generic Protocol Parsing. Działanie protokołu GPP polega na analizie zawartości pakietów protokołu UDP oraz sesji TCP (L4) za pomocą wyrażeń regularnych. Na podstawie danych uzyskanych z analizy możliwe jest balansowaniu ruchu dla nieznanych protokołów.

Istotną cechą oprogramowania w wersji 2.0 są nowe algorytmy równoważenia ruchu (predictors). Algorytmy te określają, w jaki sposób ruch jest rozkładany (balansowany) pomiędzy poszczególne serwery w farmie serwerów. Oprócz znanych z wcześniejszej wersji algorytmów, takich jak "Round Robin" (przydzielanie sesji kolejnym serwerom) czy "Least connections" (przydzielanie sesji serwerom o najmniejszej liczbie połączeń) wprowadzono nowe algorytmy:

  • Adaptive Response Predictor,
  • Least loaded,
  • Least Bandwidth.

Działanie algorytmu Adaptive Response polega na rozkładaniu ruchu na bazie czasu odpowiedzi serwerów. Czas ten jest obliczany na podstawie ilości skonfigurowanych próbek. Możliwe są trzy opcje mierzenia:

  • SYN to SYN-ACK. Czas pomiędzy wysłaniem SYN z ACE do momentu otrzymania SYN-ACK od serwera.
  • SYN to Close. Czas pomiędzy wysłaniem SYN z ACE do momentu otrzymania FIN/RST od serwera.
  • Application Request to Response. Czas pomiędzy wysłaniem żądania HTTP z ACE do momentu odpowiedzi http od serwera.

Algorytm Least-Loaded Using SNMP automatycznie oblicza najmniej obciążony serwer na podstawie odpowiedzi SNMP otrzymanych od serwerów. Jest to jedna z najbardziej dokładnych metod obliczania obciążenia serwerów, która może wspierać obiekty SNMP (SNMP Object ID), takie jak:

  • CPU Utilization,
  • Memory Resources,
  • Disk Drive Availability.

Algorytm Least-Bandwidth wybiera serwer, który przetworzył najmniejszą ilość ruchu sieciowego w określonym czasie. ACE mierzy statystyki ruchu do serwerów w obu kierunkach i oblicza pasmo wykorzystane w czasie próbkowania. Na podstawie wyników próbkowania tworzona jest uporządkowana lista serwerów.

Funkcje bezpieczeństwa nowej wersji oprogramowania dla modułu ACE, oprócz zaawansowanej ochrony DoS (Denial-of-service), zostały rozszerzone o dodatkowe protokoły podlegające inspekcji:

  • SIP,
  • H.323,
  • ILS/LDAP,
  • Skinny.

Moduł ACE posiada zaawansowane mechanizmy bezpieczeństwa typu firewall aplikacyjny oraz większą wydajność w stosunku do modułu serwisowego firewall -FWSM. Należy jednak pamiętać, iż moduł ACE posiada także pewne ograniczenia i nie powinien stanowić jego alternatywy.

Ograniczone funkcje ACE w stosunku do FWSM to między innymi ograniczona inspekcja protokołów: ICMP, RTSP, FTP, DNS, brak innych funkcji bezpieczeństwa, takich jak współdziałanie z mechanizmami filtrowania URL, interfejs GUI FW, brak obsługi dynamicznego routingu oraz protokołów typu multicast. Implementacja funkcjonalności AAA nie jest możliwa dla ruchu produkcyjnego a jedynie dla ruchu zarządzającego.

Wnioski:

Rodzina urządzeń Application Control Engine (ACE) stanowi element architektury Data Center 3.0 czyli koncepcji budowy zaawansowanych centrów danych nowej generacji. Rodzina Cisco ACE zapewnia zwiększenie dostępności, wydajności oraz bezpieczeństwa usług i aplikacji pracujących w centrach danych przy jednoczesnej redukcji kosztów utrzymania.

Nowa wersja oprogramowania modułu serwisowego ACE dla przełączników Catalyst serii 6500 oraz routerów serii 7600 zapewnia znaczne ulepszenia w stosunku do wcześniejszej wersji. Wersja 2.0 wspiera dodatkowe protokoły aplikacyjne oraz zapewnia równoważenie ruchu w oparciu o ulepszone algorytmy balansowania. W nowej wersji ulepszone zostały mechanizmy obsługi akceleracji protokołu SSL, natomiast bezpieczeństwo aplikacji osiągnięto dzięki rozbudowie mechanizmów inspekcji protokołów oraz ochronie DoS.