Documente Academic
Documente Profesional
Documente Cultură
Unitronics Comunicaciones
Unitronics Comunicaciones
Capacidad limitada!!
Solucin: Priorizacin de aplicaciones y usuarios Compresin del trfico Optimizacin de TCP slow start Caching de contenidos HTTP 1.1 Pipelining
Agenda
Unitronics Comunicaciones
Unitronics Comunicaciones
Aportan a IP un mecanismo de Clase de Servicio, ofreciendo un tratamiento diferenciado a usuarios y aplicaciones Fases y parmetros involucrados en la Clase de Servicio:
Definicin de polticas Clasificacin de trfico Etiquetado Gestin de buffers (colas) Clculos de latencia, control de flujos y ventana (Control TCP) Monitorizacin Reporting
Aproximaciones tecnolgicas:
Modelo de priorizacin en el tratamiento de unos datos frente a otros a travs de la gestin de colas Control de flujo TCP y negociacin del tamao de ventana
Unitronics Comunicaciones
Tiempo
Entrega confiable Tras la recepcin del paquete, el receptor enva un mensaje de confirmacin al emisor (ACK) Control de Flujo Mecanismo extremo a extremo que permite al receptor restringir la transmisin hasta que disponga de recursos para procesar el trfico
Tx
Paquete 1
Rx
1 ACK
Paquete 2
2 ACK
ventana deslizante
1 2 3 4 5 6 7 8 9 10 11 12 ...
El emisor establece una ventana dentro de la cual se encuentran todos los bytes que ha enviado pero sobre los que an no ha recibido acuse de recibo. Segn va recibiendo acuses de recibo va deslizando la ventana hacia la derecha. El receptor establece el tamao de la ventana.TCP permite que el tamao de ventana cambie. Con cada acuse de recibo se incluye un campo de aviso de ventana donde el receptor puede indicar al emisor el nuevo tamao.
Unitronics Comunicaciones
Control de Congestin Mediante la sincronizacin TCP o slow-start el emisor comienza la transmisin de slo un paquete, tras la recepcin del ACK va incrementado el caudal. En caso de existir una congestin en la ruta no recibir ACKs, en cuyo caso disminuye el envo de paquetes.
Se inicia la transmisin y, Se inicia la transmisin y, progresivamente, se aumenta el progresivamente, se aumenta el tamao de ventana yyel nmero de tamao de ventana el nmero de paquetes por segundo enviados paquetes por segundo enviados
Disminucin de la ventana de Disminucin de la ventana de transmisin yyel consiguiente transmisin el consiguiente nmero de PPS. Se producen nmero de PPS. Se producen descartes yyretransmisiones descartes retransmisiones
Congestin
Unitronics Comunicaciones
Best Effort
Silver Service
Gold Service
Desencolado
20%
30%
50%
Interface Salida
El empleo de buffers o colas en el interface de salida, junto con informacin de nivel de servicio y el adecuado algoritmo de desencolado, permiten priorizar la salida de un determinado trfico frente a otros
Unitronics Comunicaciones
Gestor de ancho de banda dotado de control de flujo y gestin de tamao de ventana TCP
Estos gestores de ancho de banda desarrollan las capacidades nativas de TCP orientadas al control de la conexin:
Acuse de recibo (ACK) Control de flujo Sincronizacin TCP
Aportando adems:
Medicin del tiempo de latencia extremo a extremo Clculo de la cantidad de paquetes a transmitir para reunir las condiciones de latencia y flujo garantizado Negociacin del tamao de ventana Controla la transmisin de nuevas tramas mediante la interpretacin de los ACKs
Unitronics Comunicaciones
Gestor de ancho de banda dotado de control de flujo y gestin de tamao de ventana TCP
Sin gestor de ancho de banda Con gestor de ancho de banda
Tiempo
Tx
Rx
Tiempo
Tx
Rx
Trfico a rfagas
Trfico continuo
Unitronics Comunicaciones
Tecnolgicamente no hay una solucin superior a otra Evaluar la aplicacin: Priorizar o gestin extremo a extremo? Para priorizar ambas soluciones son apropiadas En redes como Internet (mltiples equipos intermedios y best effort), si se desea llevar un control preciso extremo a extremo, son ms eficientes las soluciones basadas en el control de TCP El control TCP se desarrolla para cada conexin TCP, para conseguir la misma capacidad en la gestin de colas es preciso disponer de una cola por conexin Slo el modelo de colas permite la gestin del trfico UDP y no-IP Las fucionalidades Taffic Shaping y Policing son ms precisas en el modelo de colas con algoritmos de WFQ
Unitronics Comunicaciones
Class
HTTP Telnet SMTP Default
Filter
Port 80 Port 23
telnet telnet
Priority
Med High Low
Gopher
Port 25
telnet
FTP
Med
Antes de poder tratar de manera diferenciada un determinado flujo IP es necesario identificarlo y aislarlo. Un Gestor de Ancho de Banda es capaz de clasificar flujos a partir de alguna de las siguientes informaciones o combinacin de ellas:
URL y sub-URL Nmero de puerto TCP/UDP Direccin IP Contenido de campo TOS: CISCO IP Precedence y IETF DiffServ Campo 802.1p MAC address
Unitronics Comunicaciones
Link
50 %
Class 1 P1
40 %
Class 2 P3
10 %
RealTime
Class 3 P2
RealTime
FTP 20 %
RealTime
IP
IPX 20 %
FTP 2%
Telnet 3%
30 %
5%
FTP 5%
Telnet 0%
15 %
Establecimiento de una o ms clases de servicio Asignacin de ancho de banda para cada clase de servicio Creacin perfiles que definen a un trfico dentro de cada clase Asignacin de ancho de banda a cada trfico
Unitronics Comunicaciones
Router
Internet
Polticas de priorizacin Polticas de priorizacin Direccin IP individual o grupo de direcciones IP Direccin IP individual o grupo de direcciones IP Servicios HTTP, SMTP, IRC, FTP, H.323, P2P Servicios HTTP, SMTP, IRC, FTP, H.323, P2P Franja Horaria Franja Horaria 1 Gestin de la sesin TCP entre usuario y servidor Internet 1 Gestin de la sesin TCP entre usuario y servidor Internet
Unitronics Comunicaciones
Internet
1 2
Gestor de Ancho Banda
WAN Corporativa
Agenda
Unitronics Comunicaciones
Cach de contenidos
Unitronics Comunicaciones
cach Empresa
Internet
Cach inverso Portal de Internet cach
Red acceso
Red Acceso
ISP
Un Proxy-cach almacena los objetos y pginas Web ms visitadas por los usuarios de Internet Se sita entre usuarios e Internet, pudindose aplicar en escenarios de ISP y Empresa Tambin es posible activar capacidades de cach entre servicios Web y usuarios (proxy inverso)
Unitronics Comunicaciones
Cach basado en Software o Appliance Sistema de almacenamiento Control de vigencia y actualizacin del contenido almacenado Soporte HTTP 1.1 Rendimiento: ancho de banda, objetos/segundo y nmero de sesiones TCP/IP simultaneas Modos de funcionamiento:
Transparente Proxy Integracin con Routers y Switches multinivel CDN
Unitronics Comunicaciones
Prestaciones hardware
Discos hot-swap Tecnologa SCSI Ultra-3 Deteccin pro-activa de fallos Conexin con cabinas externas
Unitronics Comunicaciones
Sobre cualquier solucin de caching es necesario valorar los mecanismos disponibles para asegurar que los objetos almacenados en la cach se encuentran actualizados. Hay diferentes tcnicas:
Inspeccin de modificacin de contenidos. Ante una consulta, la cach siempre comprueba la vigencia del contenido contra la Web original. HTTP 1.0 Conditional Request if-modified-since Meta Tags incluidos en el cdigo HTML: pragma: no cache Cabeceras HTTP 1.1 enviadas por el servidor web: max-age, private, no-store, etc.. Reglas Heursticas de cada fabricante y producto. Generalmente establecen la pauta de actualizacin/refresco a partir de la popularidad del objeto.
Unitronics Comunicaciones
Sobre cada pgina almacenada en la cach, sta establece el patrn de refresco apropiado a partir de las siguientes variables:
Pauta de cambio: Cuando suele cambiar la pgina original? Modelo de uso: A qu horas suelen visitar est web los usuarios?
Unitronics Comunicaciones
Una sesin TCP por objeto. En HTTP 1.0 los browser slo son capaces de solicitar cuatro objetos simultneamente (limitacin autoimpuesta)
Unitronics Comunicaciones
Objecto 1
Internet
Objecto 2 Objecto 3
Objecto n
Servidor
Cliente
La representacin de cada objeto de una pgina supone un trayecto de ida y otro de retorno desde el servidor. El proceso TCP Slow Start asociado a cada sesin TCP impide alcanza la velocidad mxima, ya que cada objeto enviado desde el servidor no es lo suficientemente grande
Unitronics Comunicaciones
Sobre una nica sesin TCP se descargan todos los objetos de manera secuencial, es decir, cuando se recibe un objeto se solicita el siguiente. RFC 2068 limita al navegador o browser establecer ms de dos conexiones HTTP contra un mismo servidor. El funcionamiento habitual de los browser es HTTP 1.1 Persistent
Unitronics Comunicaciones
Sobre una nica sesin TCP se descargan todos los objetos de manera simultnea sin esperar la llegada del objeto previo. Netscape y IE no soportan HTTP 1.1 Pipelining Cualquier servidor compatible HTTP 1.1 debe soportar Pipelining
Unitronics Comunicaciones
Internet
HTTP 1.1 Pipelining Cach HTTP 1.0 o HTTP 1.1 Persistent
Acelera y optimiza la descarga de pginas mediante la solicitud en paralelo de todos los objetos contenidos en una pgina (HTTP 1.1 Pipelining)
Unitronics Comunicaciones
Userland
HTTP Process HTTP Process HTTP Process HTTP Process HTTP Process HTTP Process HTTP Process Poll Poll Poll Poll Poll Poll
HTTP 1.1 sobrecarga los servidores debido a la gestin de todas las conexiones TCP: deficiencias de polling y scheduling
Los clientes lentos usan la mayora de los recursos del servidor HTTP 1.1 consume los recursos de los servidores
Kernel
Active User 1 In-Active User 2 In-Active User 3 Active User 4 In-Active User 5 In-Active User 6 Active User 7 In-Active User 8 In-Active User 9
TCP Conn. TCP Conn. TCP Conn. TCP Conn. TCP Conn. TCP Conn. TCP Conn. TCP Conn. TCP Conn..
OS Polling
OS Scheduling
Cach inverso
Unitronics Comunicaciones
Internet
Cach
Unitronics Comunicaciones
Otras Redes IP
Internet
Los usuarios deben configurar sus Browsers para salir a Internet a travs de la cach
Slo el trfico HTTP pasa por el Proxy-cach Posibilidad de aplicar polticas de control Es necesario configurar todos los clientes Si la cach falla se pierde la conexin a Internet
Funcionamiento Transparente
Unitronics Comunicaciones
Otras Redes IP
Internet
Los usuarios deben configurar en su Default Gateway la direccin IP del cach Server
Resulta transparente a los usuarios Todo el trfico pasa por el Proxy El proxy se comporta como un Router Representa un punto singular de fallo y un cuello de botella
Unitronics Comunicaciones
Internet
HTTP
Empleo de WCCP (Web Cache Control Protocol) Resulta transparente a los usuarios El trfico HTTP es redireccionado por el Router hacia el Web Cach Gracias a WCCP es posible establecer un pool de hasta 32 caches Insercin y eliminacin transparente de caches en el pool
Unitronics Comunicaciones
Internet
Data Center B
Red acceso
service group
Red acceso
Data Center A
Cluster de 32 routers que pueden redireccionar trfico hacia 32 cachs Seguridad MD5 para autenticacin de los diversos componentes de un service group
Unitronics Comunicaciones
Otras Redes IP
Internet
No HTTP
HTTP
Transparente a los usuarios El trfico HTTP es redireccionado por el switch hacia la cach Importante: Valorar si existe comprobacin del estado de la cach desde switch
Unitronics Comunicaciones
? ?
Red acceso
Establecimiento de un grupo de caches Si una cach dentro del grupo no dispone de un objeto, puede solicitarlo a otra cach previa determinacin de que vecino dispone del objeto. Tambin puede conocer quien ofrece la mejor respuesta Tras una peticin ICP el cach solicitante debe esperar 2 segundos para recibir las respuestas de los restantes caches
Unitronics Comunicaciones
Servidor origen
Internet
ICAP
...
Protocolo estandarizado a travs del cual la cach traslada una peticin de un usuario, o la respuesta del servidor origen, a un servidor para tratar de forma especializada el contenido
Unitronics Comunicaciones
Servidor origen
Internet
4 1 3 2
Filtrado de contenido
La cach traslada la peticin de un usuario a un servidor de filtrado de contenidos donde se comprueba si est permitida la visita al contenido almacenado en el servidor/sitio de Internet
Unitronics Comunicaciones
Servidor origen
Internet
Unitronics Comunicaciones
Internet
ICAP Traduccin de contenidos Traslacin de formatos Insercin de publicidad
La cach traslada la respuesta de un servidor/sitio de Internet a un servidor ICAP especializado en el tratamiento del contenido
Unitronics Comunicaciones
Real Server Proxy Microsoft Media Proxy Proxy RTSP nativo Formatos multimedia soportados:
Audio y Vdeo Real Networks Audio y Vdeo Micrososft Windows Media Audio y Vdeo Apple QuickTime Vdeo MPEG-2 Audio MP3
Entrega de Vdeo en Stream Splitting Entrega de contenidos pregrabados Traslacin Multicast-Unicast SureStream e Intelligent Stream Gestin de ancho de banda
Stream Splitting
Unitronics Comunicaciones
Servidores de Vdeo
Un nico flujo de vdeo recibido en tiempo real es reenviado a n clientes Traslacin origen unicast hacia usuarios multicast Traslacin origen multicast hacia usuarios unicast Ahorro de ancho de banda Gestin de ancho del ancho de banda dedicado a bajar el contenido desde la fuente y el ancho de banda destinado a cada usuario Control centralizado de los contenidos accesibles por los usuarios
Internet
Contenido pregrabado
Unitronics Comunicaciones
Servidores de Vdeo
Ahorro de ancho de banda Entrega rpida y ptima del contenido a los usuarios segn sus caractersticas de acceso. SureStream e Intelligent Stream Si el servidor origen lo requiere se mantienen tantas sesiones de control como usuarios visualicen el contenido Control centralizado de los contenidos accesibles por los usuarios
Internet
Unitronics Comunicaciones
Ahorro de ancho de banda WAN en un 30-40% El ratio de aciertos de un cach de contenido se estima en un 50% aproximadamente Alrededor de un 40% de los contenidos Web no son cacheables. p.j. pginas generadas dinmicamente CGI, ASP, PHP, JSP, etc Existen pginas marcadas como no-cacheables Beneficios Empresa: Reducir costes de WAN, acelerar el acceso a Internet (contenido cerca de usuarios) y seguridad Beneficios ISP: Reducir costes WAN y mejorar el acceso usuarios Beneficios e-commerce: aumentar el rendimiento/respuesta de servicios del portal
Agenda
Unitronics Comunicaciones
Qu es un balanceador de carga?
Unitronics Comunicaciones
Dispositivo que se sita entre los servicios IP y los usuarios, distribuyendo las sesiones de estos hacia un grupo de servidores que ejecutan una aplicacin comn La capacidad del grupo crece con el nmero de servidores, no es necesario que el hardware y sistema operativo del grupo sea homogneo
Grupo de Servidores Usuarios Balanceador de Carga
El balanceador de carga identifica el comienzo de una sesin y le asigna a uno de los servidores del grupo hasta que finalice la citada sesin
Unitronics Comunicaciones
Dnde? Cualquier empresa donde la disponibilidad y rendimiento del servicio IP sea vital: e-commerce, redes CDN, portales y negocios que se apoyen en Internet Cundo? Asegurar la fiabilidad de un servicio IP Incrementar rendimiento, acelerar y personalizar la entrega de contenidos Facilitar la escalabilidad, flexibilidad y el mantenimiento del servicio Cmo? Balanceo local hacia un grupo de servidores. Content Switching Balanceo global hacia mltiples servidores distribuidos en diferentes sedes. Content Routing
Unitronics Comunicaciones
Tcnicas de monitorizacin
Unitronics Comunicaciones
Los algoritmos de monitorizacin permiten al balanceador conocer el estado de los servidores que constituyen el grupo. Adems de comprobar esta disponibilidad, la informacin obtenida se emplea para tomar decisiones en asignacin de sesiones: Control de respuesta mediante pings Apertura y cierre de servicios/puertos TCP y UDP Registro del nmero de sesiones abiertas en cada servidor Medicin del tiempo de respuesta de algunos servicios IP mediante peticiones preconfiguradas (HTTP, Radius, IMAP, SSL, etc) Monitorizacin del estado de la memoria y procesador de cada servidor a travs de agentes instalados en los propios servidores
Servicios balanceables
Unitronics Comunicaciones
Grupo de Servidores
Balanceador
Internet
Mientas que en los servidores exista homogeneidad en el contenido es posible hacer balancing de cualquier servicio TCP y UDP, aunque en la practica el uso mayoritario se orienta a servidores web, ssl, caches y firewalls
Unitronics Comunicaciones
Es posible extender las capacidades de balanceo a nivel URL. De esta forma es posible distribuir la peticin de los objetos que componen una pgina Web hacia varios servidores
Grupo de Servidores
Usuario
Balanceador
Internet
http://www.azme.com
GET GET /www.azme.com/images/ari zona.jpg GE T /w ww .azm e.co m/e ven t/ba nne r.gi f
Unitronics Comunicaciones
Grupo de Servidores
Grupo de Servidores
Balanceador
Balanceador
Servidor de Back-end
El pool de servidores dispone del mismo Contenido. Estos permanecen sincronizados o simplemente el Web master actualiza todas las mquinas simultneamente. Este modelo es recomendable solo cuando los servicios IP son solo de lectura
En este escenario todos los servidores acceden y comparten una base de datos comn. En los servidores nicamente permanecen las paginas y objetos estticos. Recomendado en aplicaciones que interactan con bases de datos en lectura y escritura
Detalle de funcionamiento
Unitronics Comunicaciones
DNS
2
Usuario Balanceador
4 1
http://www.azme.com
5 7
IP Real 170.20.30.10
Internet
8
IP Real 170.20.30.20
3 1. 2. 3. 4. 5. 6. 7. 8.
IP Real 170.20.30.30
Un usuario inicia una sesin contra www.azme.com El DNS resuelve en nombre www.azme.com con la direccin IP 170.20.30.1 El usuario hace un HTTP contra 170.20.30.1 (IP virtual del grupo) El balanceador identifica la sesin del usuario mediante el flag de estado TCP (SYN/FIN), direccin IP origen/destino y puerto TCP El balanceador monitoriza el estado de cada servidor, y en funcin de ello, asigna la sesin al servidor 1. Adems, el balanceador sustituye la IP destino 170.20.30.1 por la 170.20.30.10 El servidor 1 procesa la sesin del usuario hasta que esta finalice El trfico de retorno hacia el usuario sufre la translacin de direccin IP origen 170.20.30.10 por 70.20.30.1 El usuario recibe el contenido de la pgina www.azme.com resultando transparente el proceso
Unitronics Comunicaciones
3
10.32.45.6 --- 170.20.30.10 http://www.azme.com/videos/janet.rm Usuario 10.32.45.6 IP Real 170.20.30.10
Internet
4
2
Balanceador
UDP es un protocolo no orientado a la conexin, por lo tanto no existe mecanismo alguno que sealice el comienzo o fin de una sesin (1). Para hacer un seguimiento de estos trficos el balanceador detecta el comienzo de la sesin en el momento que se cursa trfico UDP (2). A continuacin, establece una entrada en una tabla donde vincula direccin IP del usuario con la del servidor que atender el servicio (3). El vnculo y la comunicacin se mantendr mientras que el balanceador detecte trfico UDP (4).
Persistencia de Sesiones
Unitronics Comunicaciones
La persistencia de sesiones permite al balanceador asignar un usuario a un servidor especifico: Cuando se necesita restablecer una sesin de SSL entre un usuario y el servidor con el qu inicialmente negoci la sesin Si el servidor dispone de ciertos datos del usuario que no han sido o no sern compartidos con los restantes servidores del grupo En un servidor concreto, trato diferenciado a un usuario a partir de su identidad Tres tcnicas permiten identificar a un usuario para lograr la persistencia de la sesin: Vnculo de IP usuario e IP del servidor (incompatible con Proxys IP y NAT) Cookies HTTP SSL Sesion ID en HTTPS
Unitronics Comunicaciones
La entrega de cookies a un usuario por parte del servidor, permite a este ltimo identificar a los usuarios en posteriores visitas.
Servidor
www.azme.com
1 2
okie index.html + co
www.azme.com + cookie
Mediante la interpretacin de una cookie, el balanceador puede asignar una sesin de usuario a un servidor especifico. Hay dos mtodos de operacin: Pasivo Activo
Unitronics Comunicaciones
En el modo pasivo, el balanceador observa el cruce de cookies (1-2) y confecciona una tabla de vnculos donde anota el SessionID de cada cookie con el servidor que la gener y el usuario que la posee (3). En sucesivas visitas de los usuarios, mediante esta tabla de vnculos, el balanceador conoce hacia que servidor encaminar la sesin
Servidor
Usuario
2
Session ID - Servidor
Balanceador
Unitronics Comunicaciones
El balanceador busca quien es el servidor ms apropiado para tratar una sesin, el servidor puede ser local (1) o global (2). En este modo el servidor pone la cookie (3) y el balanceador es quien genera los SessionID (4) para cada cookie a favor del servidor. Este modelo es el recomendado en escenarios de balanceo global
Servidor
1 4
Usuario
SessionID agy@ azme .txt
3
Balanceador
agy@ azme .txt
Unitronics Comunicaciones
SSL es un mecanismo que permite cifrar una sesin TCP. Este protocolo es actualmente la base para desarrollar transacciones seguras en HTTP (HTTPS). Durante la negociacin SSL entre usuario y servidor se establece un SessionID que identifica inequvocamente la sesin segura. Hasta que el SessionID expire puede ser empleado para iniciar ms de una sesin SSL. Es decir, el SessionID puede ser reutilizado entre un usuario y un servidor ms de una vez. El balanceador es capaz de reconocer el SessionID y, en funcin de su valor, es capaz de dirigir a un usuario hacia un servidor concreto. nicamente entre ambos tendra validez este SessionID.
Unitronics Comunicaciones
Mediante el empleo de balanceadores es posible disponer de un entorno de firewalling redundado. De esta manera se aumenta el rendimiento y se elimina el punto de fallo que puede representar un nico firewall
Servidores en Zona Segura
Firewall
Usuario
Balanceador
Balanceador
Internet
Firewall
Servidores en DMZ
Unitronics Comunicaciones
El Balanceo Global permite a una organizacin balancear entre sedes distantes el trfico de usuarios. En estos escenarios es posible distribuir la carga de forma homognea, asegurando al usuario el mejor servicio y/o tratamiento idiomtico.
1. El usuario desea iniciar una visita a azme.com, para ello necesita conocer la direccin IP del servidor web de azme 2. El DNS local del usuario escala la resolucin hasta llegar al DNS del dominio azme.com 3. El DNS de azme.com traslada la peticin al DNS autorizado 4. El balanceador est configurado para desarrollar la funcionalidad de DNS, en este caso es el DNS autorizado de azme.com 5. Entre todos los balanceadores se mantiene una comunicacin para conocer el estado de sus respectivos servidores 6. Tras decidir sobre que servidor se desarrollar la sesin al usuario se le comunica la direccin IP valida para www.azme.com
Delegacin Miami
3
DNS Local Usuario
DNS azme.com
2
Authoritavie DNS azme.com
1
Http://www.azme.com
6 5
Delegacin Madrid
Delegacin Brasil
Unitronics Comunicaciones
Permiten balancear el trfico hacia dos o ms conexiones a Internet, a travs de diferentes ISP Se asegura el uso ptimo y equilibrado de todas las conexiones a Internet Antes de encaminar a un usuario hacia un determinado ISP, es posible monitorizar el estado de cada router de salida y la ruta completa Criterios de balanceo: N Sesiones, VLANS, Reglas, Deteccin de congestin, cada de un enlace, etc. Ciertos balanceadores, mediante algoritmos para el clculo de mtricas, son capaces de determinar en ambos sentidos la ruta ptima a travs de cada ISP
Clculo de mtricas
Unitronics Comunicaciones
Balanceador
Para cada usuario que sale a Internet se calcula la ruta ptima, en funcin de ello se le asigna una IP del ISP que facilite el mejor trayecto Para un usuario que visita nuestros servicios, se valorar a travs de que ISP alcanza mejor nuestra web. A partir de esta medida, el servicio DNS del balanceador resolver el nombre de domino con una IP del rango del ISP ms favorable.
Unitronics Comunicaciones
NAT Dinmico para Salida Es posible simultanear la translacin de una IP interna hacia las IP de cada ISP
X
El ISP2 asigna un espacio de direcciones Ej. 135.10.40.0/224 Balanceador Puerto 2 = 10.100.100.100 Usuarios
Unitronics Comunicaciones
Balanceador
Servicio de DNS Authorized Puerto 2 = 10.100.100.100 www.azme.com > 209.218.123.1 www.azme.com > 135.10.40.1
www.azme.com 10.100.100.1
Host2 10.100.100.2
Host3 10.100.100.3
Agenda
Unitronics Comunicaciones
e-commerce y SSL
Unitronics Comunicaciones
En la actualidad, la base para desarrollar de forma segura transacciones de comercio electrnico sobre Internet es SSL SSL es un protocolo de propsito general que se utiliza para enviar informacin cifrada. Las capacidades de encriptacin de SSL se desarrollan a nivel 4, siendo posible cifrar sesiones HTTP (https), SMTP (ssmtp) y LDAP (ssl-ldap) entre otras muchas SSL se apoya en el sistema de intercambio de clave pblica RSA, adems exige el envo de certificados X.509 v3 para autentificar la identidad de la empresa on-line. Estos certificados X.509 pueden haber sido certificados a su vez por una autoridad de certificacin.
Unitronics Comunicaciones
Transaccin Normal:
Servidor Web Usuario
Transaccin Segura:
Request Server Public Key Session Key
Public key + Company info + Public key AC
Encriptacin Desencriptacin
Unitronics Comunicaciones
Esta actividad inicial, incluyendo el intercambio de claves y la negociacin del protocolo de encriptacin, es la que consume ms tiempo de proceso. Tras el establecimiento de la sesin es asignado un Session Identifier (SessionID)
SessionID
Unitronics Comunicaciones
El SessionID hace referencia a la clave maestra y al protocolo de encriptacin empleado en la comunicacin entre cliente y servidor. Es conservado por el cliente y el servidor para establecer futuras conexiones SSL, sin tener que volver a iniciar un proceso de negociacin con pesados sistemas de clave pblica. A esta caracterstica de reutilizacin se la denomina SessionID re-use.
Los navegadores intentan reutilizar su SessionID tantas veces como les sea posible, de hecho mantienen en cach el SessionID. La mayora de los servidores Web recuerdan los SessinID hasta que expire el tiempo establecido en parmetros del tipo SSLSessionCacheTimeout
Unitronics Comunicaciones
An haciendo uso de la caracterstica SessinID re-use, la negociacin SSL penaliza gravemente el rendimiento del servidor, provocando lentitud e inestabilidad en el lado del cliente.
1024 bits en clave pblica y 128 bits simtrica Networld + Interop Las Vegas - May 9th, 2000
Aceleradores SSL
Unitronics Comunicaciones
Las soluciones de aceleracin de SSL estn orientadas a descargar al servidor Web de todos los procesos de negociacin y mantenimiento de SessionID
Acelerador SSL
Internet
SSL/HTTPS HTTP Solo servicio Web
Clave Privada
Certificado X.509 v3
Como funciona?
Unitronics Comunicaciones
En el acelerador se activa una tabla donde se vincula la direccin IP del servidor de comercio electrnico junto con los servicios donde se desarrollar SSL. Por ltimo, a cada entrada se le anexa el certificado y la llave correspondiente.
Empresa On-line e-commerce Usuario Acelerador SSL
Internet
1
https://www.azme.com/buy El usuario inicia la sesin SSL SSL/HTTPS HTTP Sevidor 145.10.4.21
Tabla de Mapping Servicio Certifcado+Key https(443) http (80) cert1 edTR#45%g cert1 edTR#45%g
El acelerador intercepta el SSL Request del usuario y atiende la peticin, el negocia la sesin SSL