Configurar CIFS y aceleración SMB2/SMB3
La función de aceleración CIFS proporciona un conjunto de mejoras de rendimiento específicas del protocolo para la transferencia de archivos basada en CIFS (Windows y Samba) y la exploración de directorios, incluidas mejoras en el transporte CIFS y protocolos relacionados como DCERPC.
La aceleración CIFS consta de tres partes:
-
Aceleración de control de flujo TCP: esto se realiza en todas las conexiones CIFS aceleradas, independientemente de la versión del protocolo (SMB1, SMB2 o SMB3) o del grado de autenticación y cifrado.
-
Aceleración del protocolo CIFS: estas optimizaciones aumentan el rendimiento de CIFS al reducir el número de viajes de ida y vuelta necesarios para ejecutar un comando CIFS. Estas optimizaciones se realizan automáticamente en conexiones CIFS SMB1 y SMB2 que no utilizan autenticación de paquetes CIFS (firma) o donde se utiliza la firma y los dispositivos se han unido al dominio de Windows en una función de delegado de seguridad.
-
Compresión CIFS: las conexiones CIFS se comprimen automáticamente siempre que cumplen los requisitos para la aceleración del protocolo CIFS. Además, las conexiones SMB3 se comprimen cuando no se firman y no se sellan.
En las redes en las que la firma CIFS está habilitada, la aceleración y compresión del protocolo CIFS requieren que deshabilite la autenticación de paquetes CIFS (firma) o que los dispositivos del centro de datos se unan al dominio de Windows y cree una relación de pares segura entre los dispositivos del centro de datos y los dispositivos remotos y los complementos WANOP de Citrix SD-WAN.
Cuadro 1 Funciones de aceleración CIFS, según la versión del protocolo SMB y si el dispositivo se ha unido al dominio de Windows.
Versión SMB | Control de flujo TCP | Compresión | Aceleración de protocolos |
---|---|---|---|
Firma inhabilitada | |||
SMB 1.0 | S | S | S |
SMB 2.0 | S | S | S |
SMB 2.1 | S | S | N |
SMB 3.0 | S | S | N |
Firma habilitada, Citrix SD-WAN WANOP se ha unido al dominio ** | |||
SMB 1.0 | S | S | S |
SMB 2.0 | S | S | S |
SMB 2.1 | S | S | S |
SMB 3.0 | S | S | Y * |
Firma habilitada, Citrix SD-WAN WANOP no se ha unido al dominio | |||
SMB 1.0 | S | N | N |
SMB 2.0 | S | N | N |
SMB 2.1 | S | N | N |
SMB 3.0 | S | N | N |
* SMB 3.0 Support fue agregado en la versión 7.4.2.
** Citrix SD-WAN WANOP no admite la autenticación NTLMv2 (predeterminada para Windows 7) con SMB 1/ SMB 2/SMB 3 y con el servidor NetApp. Habilitar la autenticación Kerberos permite la aceleración.
Tabla 2. La versión del protocolo SMB, por cliente y sistema operativo.
Sistema operativo cliente/servidor | Windows 8, Windows 10 o Windows Server 2012 | Windows 7 o Windows Server 2008 R2 | Windows Vista o Windows Server 2008 | Versiones anteriores de Windows |
---|---|---|---|---|
Windows 8, Windows 10 o Windows Server 2012 | SMB 3,0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7 o Windows Server 2008 R2 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista o Windows Server 2008 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Versiones anteriores de Windows | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
Versiones compatibles de CIFS:
No todas las implementaciones de CIFS utilizan patrones de solicitud reconocidos por el dispositivo. Estas versiones no admitidas no logran aceleración en toda la gama de casos, como se muestra en la siguiente tabla.
Tabla 3.Soporte WANOP de Citrix SD-WAN para servidores y clientes CIFS.
Producto | Servidor | Cliente |
---|---|---|
Windows Server 2003-2012 | Sí* | Sí* |
Windows XP, Vista, 7, 8, 2000 | Sí* | Sí* |
NetApp | Sí** | N/D |
Hitachi | Sí** | N/D |
Windows NT | Sí | No |
Windows ME y versiones anteriores | No | No |
Otros | Ver Nota | Ver Nota |
* El soporte para SMB 3.0 se introdujo en la versión 7.4.2.
** El funcionamiento con SMB 3.0 no se ha probado a partir de la versión 7.4.2.
Nota: La mayoría de las implementaciones CIFS de terceros emulan uno de los servidores o clientes enumerados anteriormente. En la medida en que la emulación tenga éxito, el tráfico se acelera, o no, como se muestra en la tabla anterior. Si la emulación se comporta de manera diferente de lo que espera el acelerador CIFS, la aceleración CIFS finaliza para esa conexión.
El comportamiento de la aceleración CIFS con una implementación CIFS determinada no se puede conocer con certeza hasta que se haya probado.
Los modos de aceleración CIFS son:
-
Lecturas y escrituras de archivos grandes
-
Lectura y escritura de archivos pequeños
-
Exploración de directorios.
Lecturas y escrituras de archivos grandes: estas optimizaciones SMB1 son para transferencias de archivos de al menos 640 KB. Las técnicas seguras de lectura anticipada y escritura detrás se utilizan para transmitir los datos sin pausas para cada transferencia (una transferencia es de 64 KB o menos).
Estas optimizaciones solo se activan si la transferencia tiene un bloqueo BATCH o EXCLUSIVO y es simple. Las copias de archivos siempre son simples. Los archivos abiertos a través de aplicaciones pueden o no serlo, dependiendo de cómo se manejen dentro de la aplicación.
Las relaciones de velocidad de 10x se pueden obtener fácilmente con la aceleración CIFS, siempre que el enlace y los discos sean lo suficientemente rápidos como para acomodar diez veces las velocidades de transferencia actuales. Se puede obtener velocidad de 50x si es necesario, pero normalmente no está habilitado, debido al consumo de memoria. Póngase en contacto con su representante de Citrix si 10x no es suficiente.
Lecturas y escrituras de archivos pequeños: las mejoras de archivos pequeños se centran más en las optimizaciones de metadatos (directorio) que en la transmisión de datos. CIFS nativo no combina solicitudes de metadatos de una manera eficiente. La aceleración CIFS sí. Al igual que con la aceleración de archivos grandes, estas optimizaciones no se realizan a menos que sean seguras (por ejemplo, no se realizan si al cliente CIFS no se le concedió un bloqueo exclusivo en el directorio). Cuando se utiliza el protocolo SMB2, los metadatos de los archivos se almacenan en caché localmente para mejorar aún más.
Exploración de directorios: los clientes CIFS estándar realizan la exploración de directorios de una manera extremadamente ineficiente, lo que requiere un gran número de viajes de ida y vuelta para abrir una carpeta remota. La aceleración CIFS reduce el número de viajes de ida y vuelta a 2 o 3. Cuando se utiliza el protocolo SMB2, los datos del directorio se almacenan en caché localmente para mejorar aún más.
Aceleración del protocolo CIFS
La aceleración CIFS es compatible con todos los modelos. CIFS es un protocolo basado en TCP y se beneficia del control de flujo. Sin embargo, el CIFS se implementa de una manera altamente ineficiente en las redes de larga distancia, lo que requiere un número excesivo de viajes de ida y vuelta para completar una operación. Dado que el protocolo es muy sensible a la latencia de enlace, la aceleración completa debe ser compatible con el protocolo.
La aceleración CIFS reduce el número de viajes de ida y vuelta a través de una variedad de técnicas. Se analiza el patrón de solicitudes del cliente y se pronostica su siguiente acción. En muchos casos, es seguro actuar sobre la predicción incluso si es incorrecta, y estas operaciones seguras son la base de muchas optimizaciones.
Por ejemplo, los clientes SMB1 emiten lecturas secuenciales de archivos de manera no solapada, esperando que se complete cada lectura de 64 KB antes de emitir la siguiente. Mediante la implementación de lectura anticipada, el dispositivo puede ofrecer una aceleración de hasta 10 veces de forma segura mediante la obtención de los datos anticipados por adelantado.
Las técnicas adicionales aceleran la exploración de directorios y las operaciones de archivos pequeños. La aceleración se aplica no solo a las operaciones CIFS, sino también a las operaciones RPC relacionadas.
Requisitos previos
La aceleración CIFS es compatible con todos los modelos. CIFS es un protocolo basado en TCP y se beneficia del control de flujo. Sin embargo, el CIFS se implementa de una manera altamente ineficiente en las redes de larga distancia, lo que requiere un número excesivo de viajes de ida y vuelta para completar una operación. Dado que el protocolo es muy sensible a la latencia de enlace, la aceleración completa debe ser compatible con el protocolo.
La aceleración CIFS reduce el número de viajes de ida y vuelta a través de una variedad de técnicas. Se analiza el patrón de solicitudes del cliente y se pronostica su siguiente acción. En muchos casos, es seguro actuar sobre la predicción incluso si es incorrecta, y estas operaciones seguras son la base de muchas optimizaciones.
Por ejemplo, los clientes SMB1 emiten lecturas secuenciales de archivos de manera no solapada, esperando que se complete cada lectura de 64 KB antes de emitir la siguiente. Mediante la implementación de lectura anticipada, el dispositivo puede ofrecer una aceleración de hasta 10 veces de forma segura mediante la obtención de los datos anticipados por adelantado.
Las técnicas adicionales aceleran la exploración de directorios y las operaciones de archivos pequeños. La aceleración se aplica no solo a las operaciones CIFS, sino también a las operaciones RPC relacionadas.
Si la red utiliza la firma CIFS, el dispositivo debe ser un miembro de confianza del dominio. Para convertir el dispositivo en un miembro de confianza del dominio, consulte Agregar un dispositivo Citrix SD-WAN WANOP a la infraestructura de seguridad de Windows.
Configurar la aceleración del protocolo CIFS
La aceleración CIFS está habilitada de forma predeterminada para las conexiones que no utilizan la firma CIFS. Si la red utiliza la firma, se puede inhabilitar o los dispositivos del lado del servidor se unan al dominio de Windows.
Inhabilitar firma CIFS
Dependiendo de su configuración de seguridad, es posible que los servidores Windows o los servidores de dominio tengan que ajustar su configuración de seguridad.
Ilustración 1. Opciones de seguridad de Windows Server, Windows Server 2003 y Windows Server 2008.
Los servidores de archivos de Windows tienen dos modos de seguridad: sellado y firma.
El sellado cifra el flujo de datos y evita la aceleración del protocolo CIFS por completo.
La firma agrega datos de autenticación a cada paquete de datos, sin cifrar el flujo de datos. Esto evita la aceleración a menos que haya implementado los procedimientos descritos en Agregar un dispositivo Citrix SD-WAN WANOP a la infraestructura de seguridad de Windows. Cuando se cumple este requisito, la firma se acelera automáticamente. De lo contrario, la firma debe estar inhabilitada (si aún no está inhabilitada) para que se lleve a cabo la aceleración del protocolo.
De forma predeterminada, los servidores de archivos de Windows ofrecen firma pero no la requieren, excepto para los servidores de dominio, que la requieren de forma predeterminada.
Para lograr la aceleración CIFS con sistemas que actualmente requieren firma, debe cambiar la configuración de seguridad del sistema para inhabilitar este requisito. Puede hacerlo en la configuración de seguridad local del servidor de archivos o en directivas de grupo. En los ejemplos siguientes, para Windows Server 2003 y Windows Server 2008, se muestra la configuración local. Los cambios en la directiva de grupo son, por supuesto, casi idénticos.
Citrix SD-WAN WANOP
Para cambiar la configuración del servidor para permitir la aceleración CIFS
-
Acceda a la página Configuración de seguridad local del sistema.
-
Establecer miembro del dominio: cifrar digitalmente o firmar datos de canal seguro (siempre) como Inhabilitado.
-
Establezca el cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) en Inhabilitado.
-
Establecer el servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre) en Inhabilitado.
Interpretar estadísticas CIFS
La página Supervisión: Sistema de Archivos (CIFS/SMB) muestra una lista de conexiones CIFS aceleradas. Estas conexiones se dividen en conexiones optimizadas y no optimizadas. Debido a que todas estas conexiones son aceleradas (con control de flujo y compresión), las conexiones optimizadas tienen optimizaciones CIFS además de control de flujo y compresión, mientras que las conexiones no optimizadas solo tienen control de flujo y compresión.
Resumen de gestión de CIFS
-
La aceleración CIFS proporciona una mejora significativa incluso a distancias de enlace relativamente cortas.
-
La aceleración CIFS comienza cuando el cliente accede por primera vez a un sistema de archivos. Si la aceleración está habilitada con el servidor de archivos y el cliente ya activos y en ejecución, no se produce ninguna aceleración durante muchos minutos, hasta que las conexiones CIFS preexistentes se cierran por completo. Las conexiones CIFS son muy persistentes y duran mucho tiempo antes de cerrarse, incluso cuando están inactivas. Este comportamiento es molesto durante la prueba, pero tiene poca importancia en la implementación normal.
-
Desmontar y volver a montar un sistema de archivos en Windows no cierra las conexiones CIFS, porque Windows realmente no desmonta completamente el sistema de archivos. El reinicio del cliente o servidor funciona. Para una medida menos invasiva, utilice el comando NET USE devicename /DELETE de la línea de comandos de Windows para desmontar completamente el volumen. En Linux, smbmount y umount desmontan completamente el volumen.
-
Inhabilitar y volver a habilitar las optimizaciones de lectura y escritura CIFS en el dispositivo plantea problemas similares. Las conexiones existentes no se aceleran cuando CIFS está habilitado y el número de errores de protocolo detectados en la página Monitoring: Filesystem (CIFS/SMB) aumenta brevemente.
-
Las estadísticas CIFS pueden ser confusas, porque solo el dispositivo más alejado del servidor de archivos informa de la aceleración CIFS con estadísticas completas. El otro dispositivo lo ve como una aceleración ordinaria.
-
La aceleración CIFS no se admite en modo proxy.
-
Si la aceleración CIFS no se produce con un servidor Windows, compruebe la configuración de seguridad del servidor.