Configuração do Acelerador do Cliente
Esta seção traz exemplos de como projetar vários aplicativos do recurso Serviços de Proxy do BorderManager. Ela contém as seguintes seções:
Esta seção descreve as três principais maneiras de usar o armazenamento no cache proxy:
Esta seção também apresenta vários exemplos de como você pode usar o armazenamento no cache. Nesses exemplos, a Empresa Acme está implementando várias soluções de cache proxy para aprimorar sua rede corporativa: aceleração do cliente, aceleração do servidor e aceleração da rede. Para cada tipo de armazenamento no cache, são fornecidos exemplos para a utilização na intranet e na Internet.
Na aceleração do cliente Web, o servidor proxy está localizado entre os clientes e a Internet, como é mostrado na Figura 5-1. O servidor proxy intercepta os pedidos de páginas na Web feitos pelos clientes e fornece as páginas solicitadas ao cliente, se armazenado em cache, na velocidade da LAN. Isso elimina o atraso que ocorre quando o site na Web de origem é acessado e minimiza o tráfego entre a rede corporativa e a Internet.
O servidor proxy faz pedidos aos servidores Web para os clientes da intranet, usando protocolos apropriados, como HTTP, FTP e Gopher. O servidor proxy armazena no cache URLs, páginas em HTML e arquivos FTP para acelerar pedidos subseqüentes feitos aos mesmos objetos.
Figura 5-1.
Configuração do Acelerador do Cliente
Ao planejar a implementação dos servidores proxy e o armazenamento em cache na sua rede, você deve identificar quais sites serão beneficiados por esse armazenamento. Tenha o seguinte em mente ao identificar os sites de aceleração do cliente:
Na maioria dos casos, operar esses clientes através de um servidor proxy melhora sensivelmente a performance. Isso acontece principalmente se grupos de funcionários estiverem acessando os mesmos sites na Web da Internet ou da intranet, aumentando, assim, a probabilidade de acertos de cache. O armazenamento no cache também usa os recursos de forma mais eficiente, inclusive servidores Web da intranet. (Consulte "Exemplo de Aceleração do Cliente na Internet" e "Exemplo de Aceleração do Cliente na Intranet".)
Você pode controlar o acesso à Internet estabelecendo regras de controle de acesso de fácil compreensão. (Consulte "Exemplo de Aceleração do Cliente na Internet".)
Neste exemplo, a Empresa Acme deseja fornecer a seus funcionários acesso à variedade de informações disponíveis na Internet. No entanto, a empresa também deseja restringir o acesso somente aos sites na Web da Internet que contribuem para o local de trabalho. Isso resulta em dois requisitos:
A empresa deve aplicar uma diretiva de acesso à Internet consistente e viável a todos os funcionários, por exemplo, para negar acesso a determinados sites na Web. Como muitos funcionários navegam bastante, o controle de acesso deve ser implementado de modo global, independentemente da localização do funcionário.
A empresa deve reduzir o tempo que os empregados levam esperando que as páginas na Web sejam carregadas e, ao mesmo tempo, fornecer a eles acesso completo às informações de que necessitam.
Para atender a esses requisitos, a Empresa Acme implementou servidores proxy como aceleradores de cliente em todos os seus recursos, usando regras de listas de controle de acesso definidas no NDS pelo administrador da rede. Os browsers Web de todos os funcionários estão configurados para operar através de servidores proxy. Os servidores do cache do proxy aceleram consideravelmente o carregamento de páginas na Web e permitem controlar o acesso à Internet. Essa configuração é mostrada na Figura 5-2.
Figura 5-2.
Exemplo de Configuração da Aceleração do Cliente na Internet 
Vários grupos dentro da Empresa Acme publicaram bastante em sites internos na Web. Algumas das informações publicadas são "públicas na empresa", ou seja, podem ser acessadas por todos os funcionários. Outras informações são confidenciais, ou seja, podem ser acessadas somente por funcionários que precisem delas. Por exemplo, algumas informações avançadas de desenvolvimento estão disponíveis somente para determinados grupos de engenharia ou gerenciamento. As informações publicadas estão espalhadas por diversos sites internos na Web.
A Empresa Acme possui dois requisitos para o acesso de funcionários a sites na Web da intranet:
Deve ser implementado um conjunto de regras que especifiquem informações da Web na intranet que possam ser acessadas. Como muitos funcionários navegam bastante, o controle de acesso deve ser implementado de modo global, independentemente da localização do funcionário. Do contrário, o gerenciamento de acesso se torna complexo.
A intranet da Empresa Acme é formada por sites interconectados por links WAN. Devido aos altos requisitos de banda passante do acesso à Web, principalmente nos sites com muitos gráficos, a transferência de páginas na Web através de links WAN deve ser minimizada.
Devido à flexibilidade do recurso Serviços de Proxy, os mesmos servidores proxy usados para restringir o acesso a sites na Web na Internet no primeiro exemplo, "Aceleração do Cliente Web (Cache Proxy Padrão)", também podem ser usados para restringir o acesso a sites na Web na intranet. (Observe a Figura 5-2.) Além de armazenar restrições de acesso à Internet no NDS, o administrador armazena regras de acesso da Web à intranet. Esse método fornece ao administrador um controle centralizado e global do acesso à Internet e à intranet a partir de um único ponto, simplificando bastante o gerenciamento do acesso.
Com a aceleração do servidor Web, ou aceleração HTTP, o servidor proxy funciona como front-end para um ou mais servidores Web e armazena no cache todas as informações que pertençam ao servidor Web, como é mostrado na Figura 5-3. Quando um cliente solicita informações de um servidor Web, o pedido é desviado para o servidor proxy. Esse servidor fornece rapidamente ao cliente as páginas armazenadas no cache. Esse método acelera o acesso e afasta a carga de pedidos dos servidores Web de publicação, permitindo-lhes tratar da publicação e do conteúdo dinâmico de modo mais eficiente.
O recurso Serviços de Proxy pode fornecer aceleração a todos os servidores Web conhecidos em qualquer combinação.
Figura 5-3.
Configuração do Acelerador do Servidor Web 
Ao planejar a implementação dos servidores proxy e o armazenamento em cache na sua rede, você deve identificar quais sites serão beneficiados por esse armazenamento. Tenha o seguinte em mente ao identificar os sites de aceleração do servidor:
Você pode melhorar significativamente a performance e a capacidade utilizando servidores proxy. (Consulte "Exemplo de Aceleração do Servidor na Internet".)
A representação desses servidores Web na rede com um servidor proxy simplifica o gerenciamento de acesso, reforça a segurança e aumenta o desempenho. (Consulte "Exemplo de Aceleração do Servidor na Intranet".)
A representação desses servidores Web na rede com um servidor proxy consolida e centraliza o gerenciamento de acesso, reforça a segurança e aumenta a performance. (Consulte "Exemplo de Aceleração do Servidor na Intranet".)
O site público da Empresa Acme na Web, http://www.AcmeCo.com, recebe milhões de acessos diariamente de todas as partes do mundo. Esse site era atendido por vários servidores Web. Recentemente, a empresa configurou vários servidores proxy como front-end para os servidores Web, como é mostrado na Figura 5-4. Esse método proporciona três vantagens importantes:
A Empresa Acme pode expandir o conteúdo do seu site na Web e acomodar mais visitantes do site sem precisar fazer upgrade de hardware. Na verdade, cada servidor proxy --- uma máquina econômica Pentium* Pro de 200 MHz com 128 MB de RAM e um disco de 16 GB --- pode tratar de cerca de 250 milhões de acessos a cada 24 horas. Com uma estimativa moderada de que somente 50% de todos os acessos sejam armazenados no cache, cada servidor proxy pode receber 125 milhões de acessos a cada 24 horas. Isso reduz tremendamente a carga nos servidores Web e pode reduzir também o número de servidores Web necessários. Nesse exemplo, um servidor proxy é suficiente para tratar da carga futura prevista. No entanto, a Empresa Acme instalou vários servidores proxy para uma solução com tolerância a falhas.
Devido ao aumento significativo de performance proporcionado pelo armazenamento no cache, os visitantes de sites na Web fazem download das páginas mais rapidamente, tornando suas experiências mais satisfatórias.
Os servidores proxy isolam da Internet os servidores Web da Acme, protegendo-os contra acesso não autorizado.
Figura 5-4.
Exemplo de Configuração do Acelerador do Servidor na Internet 
Muitos dos grupos da Empresa Acme publicam informações em servidores Web internos na intranet da empresa. Esses servidores estão espalhados pelo mundo inteiro e são acessados por funcionários que também estão localizados em todas as partes do mundo. Ao contrário das informações disponíveis no site Web público da Acme na Internet, grande parte das informações publicadas internamente são confidenciais e o acesso a elas deve ser restrito. Para complicar essa situação, as informações estão em diversas plataformas de servidor Web, inclusive NetWare, UNIX Apache*, Netscape e NCSA*, tornando o gerenciamento de acesso complexo e difícil.
A Empresa Acme resolveu o problema criando front-ends a seus servidores Web na intranet com servidores proxy em cada site. Por exemplo, em sua sede, a empresa instalou 10 servidores proxy como front-ends para os 50 servidores Web na intranet nesse site, como é mostrado na Figura 5-5. O controle de acesso foi transferido dos servidores Web para os servidores proxy. Esse método proporciona as seguintes vantagens:
Os servidores proxy isolam os servidores Web da rede, aumentando sua resistência ao acesso não autorizado. Ao mudar a segurança para os servidores proxy, a Empresa Acme pode fornecer a mesma segurança reforçada em todos os servidores Web, independentemente da plataforma do servidor Web. Isso torna a diretiva de segurança fácil de ser implementada.
O controle de acesso é implementado através de regras de controle de acesso armazenadas no NDS. Como resultado, um administrador pode gerenciar a segurança de todos os servidores a partir de um único ponto, independentemente da plataforma do servidor. Isso torna o gerenciamento de acesso bem mais simples. Além disso, como o controle de acesso é implementado através do NDS, ele independe da localização dos funcionários e as mesmas regras de controle de acesso são aplicadas independentemente de onde um usuário logar. A lista de controle de acesso usada para o controle de acesso do servidor nesse exemplo está sincronizada com a lista de controle de acesso usada para o controle de acesso do cliente em "Aceleração do Servidor Web (Aceleração HTTP)", garantindo um controle de acesso uniforme na aceleração do cliente e do servidor dentro da intranet.
Os servidores proxy aumentam a velocidade de acesso das páginas na Web. Os funcionários recebem as informações de que necessitam mais rapidamente, tornando-se mais produtivos.
Figura 5-5.
Exemplo de Configuração do Acelerador do Servidor na Intranet 
Com a aceleração da rede, ou o armazenamento hierárquico ICP no cache, vários servidores proxy são configurados em uma topologia hierárquica ou em rede de malha, como é mostrado na Figura 5-6. Os servidores proxy estão conectados em uma relação pai, filho ou peer. Quando ocorre um erro, o proxy entra em contato com os outros servidores na rede em malha para encontrar as informações solicitadas que estão armazenadas no cache. O cache mais próximo que tiver as informações solicitadas irá reencaminhá-las para o servidor proxy solicitante, o qual, por sua vez, irá reencaminhá-las ao cliente solicitante.
O armazenamento hierárquico ICP no cache reduz a carga de tráfego da WAN e aumenta consideravelmente a banda passante. Além disso, como as informações solicitadas são enviadas do servidor proxy mais próximo, os atrasos da rede são minimizados. Isso reduz o tempo de espera e aumenta a produtividade dos usuários.
Figura 5-6.
Configuração do Acelerador da Rede 
Ao planejar a implementação dos servidores proxy e o armazenamento em cache na sua rede, você deve identificar quais sites serão beneficiados por esse armazenamento. Tenha o seguinte em mente ao identificar os sites de aceleração da rede:
Use o armazenamento hierárquico no cache para entregar informações a clientes usando as velocidades das LANs ou através de links WAN de alta velocidade na intranet. (Consulte "Exemplo de Aceleração da Rede na Intranet".)
Use diversos servidores proxy como parte do tráfego das LANs. Por exemplo, você pode instalar um servidor proxy em cada prédio. Esse método reduz o tráfego de backbone, ou seja, o tráfego entre as LANs. Ele também usa seus recursos de forma mais eficiente, acomoda mais utilizações no mesmo backbone e acelera os backbones que se tornaram lentos devido ao aumento de tráfego. (Consulte "Exemplo de Aceleração da Rede na Intranet".)
Uma rede em malha hierárquica de servidores proxy pode aumentar a banda passante disponível da sua WAN através da redução do tráfego da WAN. Por exemplo, uma empresa possui três sites: um escritório de vendas de campo, um escritório regional e sedes corporativas. Se um cliente no escritório de vendas de campo precisasse de uma página na Web das sedes corporativas, o cliente acessaria a página diretamente a partir do servidor Web e evitaria que outros clientes usassem dois links WAN. No entanto, se a página estivesse armazenada no cache no escritório regional, o cliente usaria somente um link WAN, reduzindo assim o tráfego no outro link. (Consulte "Exemplo de Aceleração da Rede na Intranet".)
A Empresa Acme é uma organização de grande porte com muitos recursos no mundo inteiro. Como resultado, os funcionários e servidores Web estão bastante espalhados. Os funcionários precisam ter acesso fácil e rápido às informações internas da Web, independentemente da sua localização ou da localização do servidor Web de destino. Além disso, devido ao alto custo do equipamento da rede e do custo ainda maior envolvido em seu gerenciamento, a empresa precisa obter a maior utilização possível dos seus recursos.
A Empresa Acme implementou uma rede em malha hierárquica de servidores proxy, como é mostrado na Figura 5-7. O armazenamento hierárquico no cache reduz a carga nos servidores Web e o tráfego na WAN, permitindo que os clientes acessem as informações da Web na intranet que estejam armazenadas no cache a partir do servidor proxy mais próximo.
Por exemplo, um funcionário que trabalhe em Los Angeles pode estar em Paris e precisar acessar informações de um site na Web em Los Angeles. Embora ninguém no escritório de Paris tenha acessado recentemente essas informações, um funcionário no escritório de Londres as acessou e elas estão armazenadas no cache no servidor proxy em Londres. Em vez de rotear o pedido do cliente até Los Angeles, o servidor proxy em Paris pode acessar as informações do servidor proxy em Londres. Isso reduz o atraso na rede e elimina o tráfego transatlântico (mais lento e mais caro) na rede.
Figura 5-7.
Exemplo de Configuração do Acelerador da Rede na Intranet
Da mesma forma que uma rede em malha hierárquica de servidores proxy pode ser usada para acelerar a performance na intranet, ela também pode ser usada em uma escala bem maior para acelerar a performance na Internet. O NLANR (National Laboratory for Applied Network Research) está trabalhando nesse sentido.
De acordo com um recente relatório do NLANR, "o crescimento explosivo ininterrupto da Internet requer uma solução planejada para o problema da disseminação de informações em larga escala. Embora as crescentes bandas passantes de rede ajudem, o rápido crescimento no número de usuários continuará superando a capacidade da rede e dos servidores, porque eles tentam acessar pools de dados bastante populares em toda a rede. A necessidade de uma utilização mais eficiente das bandas passantes e dos servidores transcende qualquer protocolo como FTP, HTTP ou qualquer outro que venha a se tornar popular.
"O modelo básico cliente-servidor da Internet (em que os clientes se conectam diretamente com os servidores) é um desperdício de recursos, principalmente para informações extremamente populares. Um estudo, feito em 1993, do tráfego FTP no backbone do NSFNET concluiu que diversos caches bem posicionados poderiam reduzir esse tráfego em 44%. Existe um número infinito de exemplos em que os sistemas de servidores não conseguiram lidar com a demanda de informações populares exercida sobre eles".
Esta seção contém exemplos de aplicativos de proxy FTP, proxy inverso FTP, proxy de correio (SMTP), proxy de grupos de discussão (NNTP), DNS, SOCKS e genérico.
A Figura 5-8 mostra um exemplo da aceleração FTP usando um servidor proxy BorderManager no firewall. O cliente do browser pode acessar o servidor FTP através do servidor proxy.
Figura 5-8.
Aceleração FTP 
A Figura 5-9 mostra um exemplo da aceleração inversa FTP. Nesse exemplo, o cliente acessa os dois servidores FTP na intranet através do servidor proxy BorderManager no firewall.
Figura 5-9.
Aceleração Inversa FTP 
A Figura 5-10 e a Figura 5-11 mostram dois exemplos da utilização do proxy de grupos de discussão do BorderManager para se conectar com um servidor de grupos de discussão externo. A Figura 5-10 mostra um exemplo de uma empresa de pequeno porte sem servidores de grupos de discussão privados. O servidor proxy BorderManager funciona como um servidor de grupos de discussão, tratando de todos os pedidos de browser da intranet e das respostas correspondentes dos servidores de grupos de discussão públicos na Internet. A Figura 5-11 mostra uma empresa maior com seu próprio servidor de grupos de discussão interno. Este usa o servidor proxy BorderManager para trocar artigos com servidores de grupos de discussão externos ou públicos.
Figura 5-10.
Proxy de Grupos de Discussão sem um Servidor de Grupos de Discussão Interno 
Figura 5-11.
Proxy de Grupos de Discussão com um Servidor de Grupos de Discussão Interno 
A Figura 5-12 e a Figura 5-13 mostram dois exemplos da utilização do proxy de correio BorderManager para se conectar com um servidor de correio externo. A Figura 5-12 mostra um exemplo de uma empresa de pequeno porte sem um servidor de correio interno. O servidor proxy BorderManager funciona como um servidor de correio, tratando de todos os pedidos SMTP e POP3 a partir da intranet e das mensagens correspondentes a partir do servidor de correio externo na Internet. A Figura 5-13 mostra uma empresa maior com seu próprio servidor de correio interno. Este usa o servidor proxy BorderManager para trocar correspondência com servidores de correio externos ou públicos.
Figura 5-12.
Proxy de Correio sem um Servidor de Correio Interno 
Figura 5-13.
Proxy de Correio com um Servidor de Correio Interno 
A Figura 5-14 mostra um exemplo da utilização do proxy DNS. O servidor proxy BorderManager configurado para proxy DNS trata do tráfego entre o servidor de nomes do DNS interno e o servidor de nomes do DNS na Internet.
Figura 5-14.
Proxy DNS 
A Figura 5-15 mostra um exemplo da utilização de um servidor BorderManager atrás de um firewall SOCKS existente.
Figura 5-15.
Servidor BorderManager atrás de um Firewall SOCKS 
A Figura 5-16 mostra um exemplo da utilização de um servidor BorderManager com um proxy genérico ativado como um serviço de proxy entre um servidor Telnet e um cliente Telnet.
Figura 5-16.
Proxy Genérico como um Proxy Telnet 