Configuração do acelerador do cliente
Esta seção contém exemplos de como você pode projetar vários aplicativos de Serviços de Proxy do BorderManager. Esta seção contém as seguintes subseções:
Esta seção descreve as três maneiras principais de usar o cache proxy:
Esta seção também apresenta vários exemplos de como você pode usar o armazenamento no cache. Nesses exemplos, a Empresa Acme está implementando várias soluções de cache proxy para aprimorar sua rede corporativa: aceleração do cliente, aceleração do servidor e aceleração da rede. Para cada tipo de armazenamento no cache, são fornecidos exemplos para a utilização na intranet e na Internet.
Na aceleração do cliente Web, o servidor proxy fica localizado entre os clientes e a Internet, como mostra a Figura 5-1. Esse servidor proxy intercepta pedidos de páginas Web feitos por clientes e fornece as páginas solicitadas, se armazenadas no cache, para o cliente com a velocidade da LAN. Isso elimina o atraso que ocorre quando o site Web de origem é acessado e minimiza o tráfego entre a rede corporativa e a Internet.
O servidor proxy faz pedidos aos servidores Web para os clientes da intranet, usando protocolos apropriados, como HTTP, FTP e Gopher. O servidor proxy armazena no cache URLs, páginas em HTML e arquivos FTP para acelerar pedidos subseqüentes feitos aos mesmos objetos.
Figura 5-1.
Configuração do acelerador do cliente
Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam com o armazenamento no cache de memória. Ao identificar sites de aceleração do cliente, procure o seguinte:
Na maioria dos casos, operar esses clientes através de um servidor proxy melhora sensivelmente a performance. Isso acontece principalmente se grupos de funcionários estiverem acessando os mesmos sites Web da Internet ou da intranet, aumentando, assim, a probabilidade de acertos de cache. O armazenamento no cache também usa os recursos de forma mais eficiente, inclusive servidores Web da intranet. Consulte "Exemplo de aceleração do cliente na Internet" e "Exemplo de aceleração do cliente na Intranet".)
Você pode controlar o acesso à Internet estabelecendo regras de controle de acesso de fácil compreensão. Consulte "Exemplo de aceleração do cliente na Internet".)
Neste exemplo, a Empresa Acme deseja conceder aos funcionários o acesso à variedade de informações disponíveis na Internet. No entanto, a empresa também deseja restringir o acesso somente aos sites Web da Internet que contribuem para o local de trabalho. Isso resulta em dois requisitos:
A empresa precisa aplicar uma diretiva de acesso à Internet consistente e viável a todos os funcionários, por exemplo, para negar acesso a determinados sites Web. Como muitos funcionários navegam bastante, o controle de acesso precisa ser implementado de modo global, independentemente da localização do funcionário.
A empresa precisa reduzir o tempo que os empregados levam esperando que as páginas Web sejam carregadas e, ao mesmo tempo, fornecer a eles acesso completo às informações de que necessitam.
Para atender a esses requisitos, a Empresa Acme implementou servidores proxy como aceleradores de cliente em todos os seus recursos, usando regras de listas de controle de acesso definidas no NDS pelo administrador da rede. Os browsers Web de todos os funcionários estão configurados para operar através de servidores proxy. Os servidores do cache do proxy aceleram consideravelmente o carregamento de páginas Web e permitem controlar o acesso à Internet. Essa configuração é mostrada na Figura 5-2.
Figura 5-2.
Exemplo de configuração da aceleração do cliente na Internet
Vários grupos da Empresa Acme publicaram diversas informações em sites Web internos. Algumas das informações publicadas são públicas na empresa, ou seja, podem ser acessadas por todos os funcionários. Outras informações são confidenciais, ou seja, podem ser acessadas somente por funcionários que precisem delas. Por exemplo, algumas informações avançadas de desenvolvimento estão disponíveis somente para determinados grupos de engenharia ou gerenciamento. As informações publicadas estão espalhadas por diversos sites internos na Web.
A Empresa Acme possui dois requisitos para o acesso de funcionários a sites Web da intranet:
Precisa ser implementado um conjunto de regras que especifiquem informações da Web na intranet que possam ser acessadas. Como muitos funcionários navegam bastante, o controle de acesso precisa ser implementado de modo global, independentemente da localização do funcionário. Do contrário, o gerenciamento de acesso se torna complexo.
A intranet da Empresa Acme é formada por sites interconectados por links WAN. Devido aos altos requisitos de largura de banda do acesso à Web, principalmente nos sites com muitos gráficos, a transferência de páginas Web através de links WAN precisa ser minimizada.
Em virtude da flexibilidade do recurso Serviços de Proxy, os mesmos servidores proxy usados para restringir o acesso à Web na Internet no primeiro exemplo "Aceleração do cliente Web (cache proxy padrão)" também podem ser usados para restringir o acesso a sites Web na intranet. (Ver Figura 5-2.) Além de armazenar restrições de acesso à Internet no NDS, o administrador armazena regras de acesso da Web à intranet. Esse método fornece ao administrador um controle centralizado e global do acesso à Internet e à intranet de um único ponto, simplificando bastante o gerenciamento do acesso.
Com a aceleração HTTP ou do servidor Web, o servidor proxy funciona como um front-end para um ou mais servidores Web e armazena no cache todas as informações que pertencem ao servidor Web, como mostra a Figura 5-3. Quando um cliente solicita informações de um servidor Web, o pedido é desviado para o servidor proxy. Esse servidor fornece rapidamente ao cliente as páginas armazenadas no cache. Esse método acelera o acesso e afasta a carga de pedidos dos servidores Web de publicação, permitindo-lhes tratar da publicação e do conteúdo dinâmico de modo mais eficiente.
O recurso Serviços de Proxy pode fornecer aceleração a todos os servidores Web conhecidos em qualquer combinação.
Figura 5-3.
Configuração do acelerador do servidor Web
Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam com o armazenamento no cache de memória. Ao identificar sites de aceleração do servidor, procure o seguinte:
Você pode melhorar significativamente a performance e a capacidade utilizando servidores proxy. Consulte "Exemplo de aceleração do servidor na Internet").
A representação desses servidores Web na rede com um servidor proxy simplifica o gerenciamento de acesso, reforça a segurança e aumenta o desempenho. Consulte "Exemplo de aceleração do servidor na Intranet").
A representação desses servidores Web na rede com um servidor proxy consolida e centraliza o gerenciamento de acesso, reforça a segurança e aumenta a performance. Consulte "Exemplo de aceleração do servidor na Intranet").
O site público da Empresa Acme na Web, http://www.AcmeCo.com, recebe milhões de acessos diariamente de um público mundial. Esse site era atendido por vários servidores Web. Recentemente, a empresa configurou vários servidores proxy para funcionar como front-ends para os servidores Web, como mostra a Figura 5-4. Esse método oferece três vantagens importantes:
A Empresa Acme pode expandir o conteúdo do seu site Web e acomodar mais visitantes do site sem precisar fazer upgrade de hardware. Na verdade, cada servidor proxy --- uma máquina econômica Pentium* Pro de 200 MHz com 128 MB de RAM e um disco de 16 GB --- pode tratar de cerca de 250 milhões de acessos a cada 24 horas. Com uma estimativa moderada de que somente 50% de todos os acessos sejam armazenados no cache, cada servidor proxy pode receber 125 milhões de acessos a cada 24 horas. Isso reduz tremendamente a carga nos servidores Web e pode reduzir também o número de servidores Web necessários. Nesse exemplo, um servidor proxy é suficiente para tratar da carga futura prevista. No entanto, a Empresa Acme instalou vários servidores proxy para uma solução com tolerância a falhas.
Devido ao aumento significativo de performance proporcionado pelo armazenamento no cache, os visitantes de sites Web baixarem das páginas mais rapidamente, tornando suas experiências mais satisfatórias.
Os servidores proxy isolam da Internet os servidores Web da Acme, protegendo-os contra acesso não autorizado.
Figura 5-4.
Exemplo de Configuração do acelerador do servidor na Internet
Vários grupos da Acme publicam informações em servidores Web internos da intranet da empresa. Esses servidores estão espalhados pelo mundo inteiro e são acessados por funcionários que também estão localizados em todas as partes do mundo. Ao contrário das informações disponíveis no site Web público da Acme na Internet, grande parte das informações publicadas internamente são confidenciais e o acesso a elas precisa ser restrito. Para complicar essa situação, as informações estão em diversas plataformas de servidor Web, inclusive NetWare, UNIX Apache*, Netscape e NCSA*, tornando o gerenciamento de acesso complexo e difícil.
A Empresa Acme resolveu o problema criando front-ends a seus servidores Web na intranet com servidores proxy em cada site. Por exemplo, na sede, a empresa instalou dez servidores proxy como front-ends para os cinqüenta servidores Web da intranet nesse site, como mostra a Figura 5-5. O controle de acesso foi transferido dos servidores Web para os servidores proxy. Esse método proporciona as seguintes vantagens:
Os servidores proxy isolam os servidores Web da rede, aumentando sua resistência ao acesso não autorizado. Ao mudar a segurança para os servidores proxy, a Empresa Acme pode fornecer a mesma segurança reforçada em todos os servidores Web, independentemente da plataforma do servidor Web. Isso torna a diretiva de segurança fácil de ser implementada.
O controle de acesso é implementado através de regras de controle de acesso armazenadas no NDS. Como resultado, um administrador pode gerenciar a segurança de todos os servidores de um único ponto, independentemente da plataforma do servidor. Isso torna o gerenciamento de acesso bem mais simples. Além disso, por ser implementado através do NDS, o controle de acesso independe da localização dos funcionários e as mesmas regras de controle de acesso são aplicadas, seja qual for o local em que um usuário logue. A lista de controle de acesso utilizada para o controle de acesso ao servidor neste exemplo está sincronizada com a lista usada para o controle de acesso ao cliente em "Aceleração do servidor Web (aceleração HTTP)" garantindo o controle de acesso uniforme na aceleração do cliente e do servidor na intranet.
Os servidores proxy aumentam a velocidade de acesso das páginas Web. Os funcionários recebem as informações de que necessitam mais rapidamente, tornando-se mais produtivos.
Figura 5-5.
Exemplo de configuração do acelerador do servidor na Intranet
Com a aceleração da rede, ou do cache ICP hierárquico, vários servidores proxy são configurados em uma topologia hierárquica, ou de malha, como mostra a Figura 5-6. Os servidores proxy estão conectados em uma relação pai, filho ou peer. Quando ocorre um erro, o proxy entra em contato com os outros servidores na rede em malha para encontrar as informações solicitadas que estão armazenadas no cache. O cache mais próximo que tiver as informações solicitadas irá reencaminhá-las para o servidor proxy solicitante, o qual, por sua vez, irá reencaminhá-las ao cliente solicitante.
O armazenamento hierárquico ICP no cache reduz a carga de tráfego da WAN e aumenta consideravelmente a largura de banda. Além disso, como as informações solicitadas são enviadas do servidor proxy mais próximo, os atrasos da rede são minimizados. Isso reduz o tempo de espera e aumenta a produtividade dos usuários.
Figura 5-6.
Configuração do acelerador da rede
Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam com o armazenamento no cache de memória. Ao identificar os sites de aceleração da rede, procure o seguinte:
Use o armazenamento hierárquico no cache para entregar informações a clientes usando as velocidades das LANs ou através de links WAN de alta velocidade na intranet. Consulte "Exemplo de aceleração da rede na Intranet".)
Use diversos servidores proxy como parte do tráfego das LANs. Por exemplo, você pode instalar um servidor proxy em cada prédio. Esse método reduz o tráfego de backbone, ou seja, o tráfego entre as LANs. Ele também usa seus recursos de forma mais eficiente, acomoda mais utilizações no mesmo backbone e acelera os backbones que se tornaram lentos devido ao aumento de tráfego. Consulte "Exemplo de aceleração da rede na Intranet".)
Uma rede em malha hierárquica de servidores proxy pode aumentar a largura de banda disponível da sua WAN através da redução do tráfego da WAN. Por exemplo, uma empresa possui três sites: um escritório de vendas de campo, um escritório regional e sedes corporativas. Se um cliente no escritório de vendas de campo precisasse de uma página Web das sedes corporativas, o cliente acessaria a página diretamente do servidor Web e evitaria que outros clientes usassem dois links WAN. No entanto, se a página estivesse armazenada no cache no escritório regional, o cliente usaria somente um link WAN, reduzindo assim o tráfego no outro link. Consulte "Exemplo de aceleração da rede na Intranet".)
A Empresa Acme é uma grande organização com instalações no mundo inteiro. Como resultado, os funcionários e servidores Web estão bastante espalhados. Os funcionários precisam ter acesso fácil e rápido às informações internas da Web, independentemente da sua localização ou da localização do servidor Web de destino. Além disso, devido ao alto custo do equipamento da rede e do custo ainda maior envolvido em seu gerenciamento, a empresa precisa obter a maior utilização possível dos seus recursos.
A Empresa Acme implementou uma malha hierárquica de servidores proxy, como mostra a Figura 5-7. O cache hierárquico reduz a carga em servidores Web e diminui o tráfego da WAN ao permitir que os clientes acessem informações da Web da intranet armazenadas no cache no servidor proxy mais próximo.
Por exemplo, um funcionário que trabalhe em Los Angeles pode estar em Paris e precisar acessar informações de um site Web em Los Angeles. Embora ninguém no escritório de Paris tenha acessado recentemente essas informações, um funcionário no escritório de Londres as acessou e elas estão armazenadas no cache no servidor proxy em Londres. Em vez de rotear o pedido do cliente até Los Angeles, o servidor proxy em Paris pode acessar as informações do servidor proxy em Londres. Isso reduz o atraso na rede e elimina o tráfego transatlântico (mais lento e mais caro) na rede.
Figura 5-7.
Exemplo de Configuração do acelerador da rede na Intranet
Uma malha hierárquica de servidores proxy pode ser usada não apenas para melhorar a performance da intranet, mas também em uma escala maior para melhorar a performance da Internet. O NLANR (National Laboratory for Applied Network Research) está trabalhando nesse sentido.
De acordo com um recente relatório do NLANR, o crescimento explosivo ininterrupto da Internet precisa de uma solução planejada para o problema da disseminação de informações em larga escala. Embora as crescentes larguras de banda de rede ajudem, o rápido crescimento no número de usuários continuará superando a capacidade da rede e dos servidores, porque eles tentam acessar pools de dados bastante populares em toda a rede. A necessidade de uma utilização mais eficiente das larguras de bandas e dos servidores transcende qualquer protocolo como FTP, HTTP ou qualquer outro que venha a se tornar popular.
O modelo básico cliente-servidor da Internet (em que os clientes se conectam diretamente com os servidores) é um desperdício de recursos, principalmente para informações extremamente populares. Um estudo, feito em 1993, do tráfego FTP no backbone do NSFNET concluiu que diversos caches bem posicionados poderiam reduzir esse tráfego em 44%. Existe um número infinito de exemplos em que os sistemas de servidores não conseguiram lidar com a demanda de informações populares exercida sobre eles.
Esta seção contém exemplos de aplicativos de proxy FTP, proxy inverso FTP, proxy de correio (SMTP), proxy de grupos de notícias (NNTP), DNS, SOCKS e genérico.
Figura 5-8 mostra um exemplo de aceleração FTP que utiliza um servidor proxy do BorderManager no firewall. O cliente do browser pode acessar o servidor FTP através do servidor proxy.
Figura 5-8.
Aceleração FTP
Figura 5-9 mostra um exemplo de aceleração FTP reversa. Nesse exemplo, o cliente acessa os dois servidores FTP na intranet através do servidor proxy BorderManager no firewall.
Figura 5-9.
Aceleração inversa FTP
Figura 5-10 e Figura 5-11 mostra dois exemplos de como usar o proxy de notícias do BorderManager para se conectar a um servidor de notícias externo. Figura 5-10 mostra um exemplo de uma pequena empresa sem servidores de notícias privados. O servidor proxy BorderManager funciona como um servidor de notícias, tratando de todos os pedidos de browser da intranet e das respostas correspondentes dos servidores de grupos de notícias públicos na Internet. A Figura 5-11 mostra uma empresa maior com seu próprio servidor de notícias interno. Este usa o servidor proxy BorderManager para trocar artigos com servidores de grupos de notícias externos ou públicos.
Figura 5-10.
Proxy de grupos de notícias sem um servidor de grupos de notícias interno
Figura 5-11.
Proxy de grupos de notícias com um servidor de grupos de notícias interno
Figura 5-12 e Figura 5-13 mostram dois exemplos de como usar o proxy de correio do BorderManager para se conectar a um servidor de correio externo. Figura 5-12 mostra um exemplo de uma pequena empresa sem um servidor de correio interno. O servidor proxy BorderManager funciona como um servidor de correio, tratando de todos os pedidos SMTP e POP3 da intranet e das mensagens correspondentes do servidor de correio externo na Internet. A Figura 5-13 mostra uma empresa maior com seu próprio servidor de correio interno. Este usa o servidor proxy BorderManager para trocar correspondência com servidores de correio externos ou públicos.
Figura 5-12.
Proxy de correio sem um servidor de correio interno
Figura 5-13.
Proxy de correio com um servidor de correio interno
Figura 5-14 mostra um exemplo de utilização do proxy DNS. O servidor proxy BorderManager configurado para proxy DNS trata do tráfego entre o servidor de nomes do DNS interno e o servidor de nomes DNS na Internet.
Figura 5-14.
Proxy DNS
Figura 5-15 mostra um exemplo de como usar um servidor BorderManager atrás de um firewall SOCKS existente.
Figura 5-15.
Servidor BorderManager atrás de um firewall SOCKS
