Isa Server 2006
of 75
-
Upload
jose-antonio-escalier-dorado -
Category
Documents
-
view
202 -
download
0
Transcript of Isa Server 2006
Prcticas recomendadas para el rendimiento de ISA Server 2006Microsoft Internet Security and Acceleration (ISA) Server 2006 proporciona acceso seguro y controlado entre redes y sirve de proxy de almacenamiento en cach de web ofreciendo capacidades de rpida respuesta web y de descarga, as como publicacin en Web segura para acceso remoto. Su arquitectura multicapa y motor de directivas avanzadas ofrecen control granular del equilibrio entre el nivel de seguridad que usted necesita y los recursos requeridos. Como servidor perimetral que conecta muchas redes, trfico ISA en Server administra con grandes cantidades de de una
comparacin
otros
servidores
organizacin. Por este motivo, est diseado para ofrecer un alto rendimiento. Este artculo proporciona
instrucciones para la implementacin de ISA Server con el mejor rendimiento posible y una capacidad adecuada.
Resumen ejecutivoEn la mayora de los casos, el ancho de banda de red disponible, especialmente el del vnculo de Internet, puede protegerse ms con ISA Server en ejecucin en el
hardware
bsico
disponible.
Una
implementacin
predeterminada tpica de ISA Server que protege el acceso web de salida para trfico de Protocolo de transferencia de hipertexto (HTTP) requiere configuraciones de hardware
especficas para diferentes vnculos de Internet. Estas configuraciones del hardware se muestran en la tabla siguiente.Ancho de banda del vnculo Hasta 5 T1 de Internet Procesadores/ncleos Tipo de procesador 1 Hasta 25 Mbps 1 Hasta T3 2 Hasta Mbps 2/2 a Xeon Doble Ncleo AMD Doble Ncleo 2.03.0 GHz Memoria 512 (MB) Espacio en disco Adaptadores de red 150 MB 10/100 Mbps 2,5 GB 10/100 Mbps megabytes 512 MB 1 gigabyte 2 GB 90
Pentium III a 750 Pentium 4 a 3,0 Xeon megahercios o superior (MHz) 4,0 (GHz) gigahercios 3,04,0 GHz
(GB) 5 GB 100/1000 Mbps 10 GB 100/1000 Mbps 2000
Conexiones de acceso remoto de 150 red privada virtual (VPN) simultneas.
700
850
El empleo de filtrado activo de capa de transporte en lugar del filtro de proxy web mejora 10 veces la
utilizacin de CPU para las mismas pautas de trfico. Tanto el filtrado activo como el filtrado de aplicacin pueden ser utilizados en paralelo para proporcionar
control granular sobre el rendimiento.
Planificacin de la capacidad de ISA ServerLa obtencin de ms informacin sobre sus requisitos de capacidad es el primer paso para determinar los recursos necesarios para una implementacin de ISA Server. Hay
diferentes
casos
para
un
amplio
espectro
de
implementaciones. En general, es probable que tenga la mtrica siguiente:
Los anchos de banda disponibles y reales de cada redvinculada a un equipo ISA Server.
El nmero de usuarios de su organizacin. Varias mtricas del nivel de aplicacin (por ejemplo,el tamao medio de buzn en un servidor de correo). La mtrica ms importante para la capacidad de ISA Server son los anchos de banda real de la red, porque de
generalmente
representan
sus
necesidades
reales
capacidad. En muchos casos, el ancho de banda de la red, y en concreto el del vnculo de Internet, puede
determinar la capacidad de ISA Server. El nmero de usuarios es menos indicativo de sus
necesidades de capacidad porque cada usuario tiene su propio modo de uso, en funcin de sus necesidades y de las directivas de red de su organizacin. A veces, el nmero de usuarios, as como la mtrica en el nivel de aplicacin, pueden resultar tiles para calcular el
trfico de red. Todos los casos de planificacin de la capacidad de ISA Server se encuentran en una de las categoras siguientes:
Todo el ancho de banda de la red puede ser servido porun equipo individual bsico ISA Server.
El ancho de banda de la red es mayor de lo que puedellegar a servir cualquier equipo individual y se utiliza ISA Server para proteger las aplicaciones a escala de empresa. Las secciones siguientes describen estos casos con mayor detalle.
Equipo individual bsicoEn la mayora de situaciones, un equipo individual tiene suficiente capacidad de procesamiento para proteger el trfico a travs de vnculos estndar de Internet. Segn los informes de investigacin de mercado sobre el uso de Internet, la mayora de anchos de banda de los vnculos de Internet corporativos se encuentran entre 2 y 20 Mbps. Esto indica que un equipo bsico con un procesador simple o doble ser suficiente para la mayora de
implementaciones de ISA Server. Segn los resultados de las pruebas de firewall de
salida, ISA Server en ejecucin en un procesador Pentium 4 simple a 2,4 GHz puede suministrar un rendimiento de aproximadamente 25 Mbps con la CPU al 75 por ciento de utilizacin. Esto significa que para cada vnculo de Internet T1 (1,5 Mbps), el servicio de firewall de
Microsoft usar slo el 4,5 por ciento de los recursos de
CPU.
Los
procesadores
Dual
Xeon
a
2,4
GHz
pueden
proporcionar un rendimiento de aproximadamente 45 Mbps (T3) a un 75 por ciento de utilizacin de la CPU o a un 2,5 por ciento de CPU para cada T1. Un equipo individual que conectan bsico con funciona recursos tambin en a
sucursales
corporativos
travs de vnculos de Internet de red de rea extensa (WAN) independientes con los lmites de ancho de banda descritos en el prrafo anterior.
Escala de empresaPara sitios grandes a escala de empresa con ms de 500 usuarios, la situacin es ms compleja. Este caso
requiere de una planificacin ms elaborada, ya que el ancho de banda de Internet es suficientemente grande para trasladar el cuello de botella de rendimiento a los recursos de CPU del sistema. El ancho de banda de la conexin de Internet impone un lmite en el la nmero de equipos y este de que pueden puede usar ser de la
completamente suficiente capacidad.
conexin la
mximo
para
mayora la
las
estimaciones para
Inicialmente,
planificacin
capacidad mxima de la red puede ser conservadora, ya que los requisitos de capacidad a menudo aumentan con el tiempo. Para acomodar el crecimiento futuro, deber
planificar tambin las actualizaciones de capacidad de procesamiento.
Instrucciones de ajuste de rendimientoCuando haya decidido qu opcin de capacidad se ajusta a sus necesidades, su siguiente tarea ser ajustarla para un mejor rendimiento. Para ISA Server a escala de empresa, esto se traduce en el diseo de recursos de hardware adecuados para hacer que el sistema dependa de su potencia de CPU como origen de un posible cuello de botella. Para un equipo individual bsico ISA Server, el ancho de banda de Internet es el origen de un posible cuello de botella, y no el procesador que usted elija.
Ajuste del hardware para un mximo uso de la CPULa capacidad del ISA Server depende de los recursos de hardware de CPU, memoria, red y disco. Cada recurso tiene un lmite de capacidad y mientras se consuman todos los recursos por debajo de su lmite, el sistema en su conjunto objetivos funcionar de correctamente, El cumpliendo sus
rendimiento.
rendimiento
disminuye
considerablemente cuando se alcanza uno de estos lmites, producindose un cuello de botella. En este caso, se dice que el sistema est enlazado a ese recurso. Cada cuello de botella produce determinados sntomas en el rendimiento general del sistema que pueden servir de ayuda para detectar el recurso con capacidad inadecuada.
Cuando se descubra un cuello de botella, bastar agregar ms capacidad al recurso de capacidad inadecuada para eliminarlo. Desde la perspectiva de costos, lo ms eficiente es
disear un sistema que est basado en recursos de CPU. Esto se debe a que es el recurso ms caro de actualizar. Otras carencias de recursos son menos costosas de
corregir: Agregue otro disco, agregue otro adaptador de red, o bien ample la memoria. Le recomendamos que ajuste el hardware del sistema para maximizar el uso de la CPU. Compruebe que un sistema no tenga cuellos de botella de rendimiento antes de alcanzar el uso completo de la CPU. Si la capacidad de procesamiento de la CPU puede soportar la carga esperada, nunca se producir un cuello de botella. Para ello, todos los dems recursos deben tener la capacidad adecuada. Las secciones siguientes describen cmo disear un sistema maximizado para la CPU con la capacidad adecuada en cada recurso, cmo supervisar cada recurso y cmo solucionar un cuello de botella en cada recurso.
Determinar
la
capacidad
de
la
CPU
y
de
la
arquitectura del sistemaComo la mayora de las aplicaciones de servidor que sirven numerosas solicitudes de cliente, el rendimiento del ISA Server tambin se beneficia de una mayor
velocidad de la CPU, de una mayor cach de procesador y de una arquitectura mejorada del sistema:
Velocidad
de
la ISA
CPU. Server
Como se
en
la
mayora de CPU
de ms
aplicaciones,
beneficia
rpidas. Sin embargo, aumentar la velocidad de la CPU no garantiza un aumento lineal del rendimiento. Debido al frecuente y gran efecto de acceso a la memoria, aumentar la velocidad de la CPU puede producir ms ciclos de CPU inactivos desaprovechados a la espera de la memoria.
Tamao de cach L2/L3. El manejo de grandes cantidadesde datos requiere de frecuentes accesos a la memoria. Una cach L2/L3 mejora el rendimiento en recuperaciones de memoria grandes.
Arquitectura
del
sistema.
Debido
a
que
ISA
Server
transfiere grandes cargas de datos entre dispositivos de red, memoria y la CPU, los elementos de sistema alrededor de la CPU afectan tambin al rendimiento de ISA Server. Un bus de memoria frontal ms rpido y buses de E/S ms rpidos mejoran la capacidad general. Los cuellos de botella de la CPU se caracterizan por situaciones en las que\Processor\% Processor Time las cifras del contador de rendimiento son elevadas mientras que el adaptador de red y las E/S del disco permanecen por debajo de su capacidad. En este caso, (que es el
sistema maximizado para la CPU idneo), llegar al 100 por cien significa que se debe aumentar la CPU, bien
actualizando a una CPU ms rpida, o bien agregando ms procesadores. Si ISA Server contina teniendo tiempos de
respuesta altos, pero los porcentajes de CPU son bajos, significa que el cuello de botella est en otra parte. Las capacidades de Hyper-threading tambin pueden ayudar a reducir los niveles de uso de CPU cuando consuma menos del 60 por ciento de la CPU. En niveles ms altos de uso de CPU, si se habilita Hyper-threading se consumir la misma capacidad de procesamiento que si est
deshabilitado.
Determinar la capacidad de memoriaLa memoria de ISA Server se utiliza para: Almacenar sockets de red (principalmente desde agrupaciones no paginadas)
Estructuras de datos internos
Objetos de solicitudes pendientes
En escenarios de almacenamiento en cach proxy web, la memoria se utiliza tambin para:
La estructura de directorios de la memoria cach de disco
Almacenamiento en memoria cach
Debido a que ISA Server administra numerosas conexiones simultneas que necesitan memoria de sistema no paginada, el factor limitador de la memoria es el tamao de la
agrupacin no paginada, en funcin del tamao total de memoria. Para sistemas operativos Microsoft Windows
Server 2003 y Windows 2000 Server, los valores mnimo y mximo del tamao de agrupacin no paginada se muestran en la tabla siguiente.Memoria fsica (MB) Tamao mnimo de agrupacin no paginada 128 256 512 1,024 2,048 4,096 4 8 100 16 200 32 256 64 256 128 256
Tamao mximo de agrupacin no paginada 50
Cundo no est habilitado el almacenamiento en cach de web, 512 MB deberan ser suficientes para equipos de procesador nico, 1.024 MB son suficientes para equipos con doble procesador y 2.048 MB son suficientes para equipos con doble procesador y doble ncleo. Estas cantidades pueden almacenar tambin la capacidad total de memoria del conjunto de trabajo. La mide prueba los ms crtica de de que la memoria por no est es
correctamente ajustada es cuando \Memory\Pages/sec (que errores severos pgina segundo)
elevado (superior a 10) durante cargas de pico. Si esto sucede, la primera accin depende de si est habilitado el almacenamiento en cach de web:1.
Si est deshabilitado el almacenamiento en cach de web, deber determinar si se necesita ms memoria
fsica
supervisando
la
memoria
utilizada
por
todos
procesos del sistema. Los siguientes contadores del rendimiento le ayudarn:\Memory\Pages/sec\Memory\Pool Bytes\Process(*)\Working Set 2. Nonpaged Bytes\Memory\Pool Paged
Si est habilitado el almacenamiento en cach de web, primero pruebe a reducir el tamao de la memoria cach al 10 por ciento de memoria fsica. Si an hay errores severos de pgina, siga con el paso 1.
Implementacin de servidor virtualNota:
Se admite la instalacin de ISA Server 2006 en Microsoft Virtual Server 2005 R2. Debido a que el sistema operativo de Windows que aloja Virtual Server no puede ser protegido por ISA Server en un servidor virtual, ISA Server en un entorno Virtual Server no debe ser utilizado en un escenario de firewall perimetral, y esta configuracin no se admite. Usted puede usar esta configuracin de forma segura en otros escenarios, tales como:
Una implementacin en produccin en la que ISA Serversobre Virtual Server ofrece servicios proxy web tales como proxy de reenvo, publicacin y almacenamiento en cach y est protegido por un firewall perimetral, como
un equipo ISA Server o una matriz adicionales. Una implementacin en laboratorio
Si usted encuentra altos \Process\wspsrv\Virtual Bytes valores de contador del rendimiento (valores de 1.800.000.000 (1,8 GB) indican que puede haber un problema), puede considerar la utilizacin de ISA Server sobre Virtual Server 2005 R2, como una alternativa a la compra de otro equipo ISA Server:
Defina el nmero de sistemas operativos invitados alojados por el servidor virtual. Cuando los bytes virtuales superen 1,8 GB, debera considerar agregar un sistema operativo virtual al equipo despus de agregar 2 GB de memoria de acceso aleatorio (RAM).
Agregue RAM al equipo host (2 GB para cada sistema operativo invitado).
Instale Microsoft Virtual Server 2005 R2 en su servidor.
Instale sistemas operativos invitados.
Instale y configure ISA Server en cada sistema operativo invitado. Utilice un equilibrador de carga externo, como por ejemplo, operacin por turnos DNS (sistema de nombres de dominio) basado en hardware o equilibrio de carga de red de Windows (NLB), para propagar el trfico entre los equipos ISA Server.
Las mediciones de una llamada a procedimiento remoto (RPC) sobre un escenario de publicacin HTTP seguro
(HTTPS) en un servidor con doble procesador o procesador de doble ncleo a 2,2 GHz con 8 GB de RAM mostraron lo siguiente:
Una nica instalacin de ISA Server en un equipo hostadministr 40.000 conexiones simultneas con aproximadamente 2 GB de memoria virtual.
Tres equipos ISA Server instalados sobre tres sistemas
operativos
virtuales
administraron
60.000
conexiones
simultneas y cada equipo virtual emple slo 1,3 GB. Este modelo podra ser escalado a ms equipos virtuales (por ejemplo, cuatro, ocho, etctera) en funcin de la cantidad de RAM y de la capacidad de procesamiento del servidor host. Las pruebas fueron ejecutadas en tres equipos.
El uso de CPU en ambos casos fue casi igual.
Determinar la capacidad de la redCada dispositivo de red que existe en una conexin tiene su lmite de los capacidad. adaptadores Entre de estos del dispositivos cliente y y se del los incluyen servidor, red
los
enrutadores, que los
conmutadores Una
concentradores adecuada de
interconectan. que
capacidad de estos
red
significa
ninguno
dispositivos de red est saturado. La supervisin de la actividad de la red es esencial para asegurar que las cargas reales sobre todos dispositivos de red estn por debajo de su capacidad mxima. Hay dos casos generales donde la capacidad de red afecta al rendimiento de ISA Server:
ISA
Server
est
conectado
a
Internet
mediante
un
vnculo WAN. En la mayora de las situaciones, el ancho de banda de la conexin a Internet establece el lmite
para la cantidad de trfico. Es probable que la causa de un rendimiento bajo durante horas punta de trfico sea la sobreutilizacin del vnculo de Internet. Esto se aplica tambin a un escenario de sucursal, donde los equipos ISA Server de la sucursal estn conectados al equipo ISA Server en la sede central sobre una conexin lenta.
ISA Server est conectado slo a redes LAN. En estecaso, es importante disponer de una infraestructura que soporte los requisitos de trfico mximo. Sin embargo, en la mayora de las situaciones, esto no es un
problema debido al bajo precio de las redes LAN de 100 Mbps y de 1 Gbps. Para supervisar la actividad de la red, use el contador del rendimiento:\Network Interface(*)\Bytes Total/secSi su valor es superior al 75 por ciento del ancho de banda mximo de cualquier interfaz de red, considere aumentar el ancho de banda de la
infraestructura de la red que no sea adecuado. Determinar la capacidad de almacenamiento en disco ISA Server utiliza el almacenamiento en disco para: Registrar la actividad del firewall
Almacenamiento en cach de web
Si ambos estn deshabilitados o no hay trfico, ISA Server no realizar ninguna actividad de E/S de disco. En una instalacin tpica de ISA Server, el registro est habilitado y configurado para usar el registro de
Microsoft SQL Server 2005 Desktop Engine (MSDE 2005). Para la mayora de las implementaciones, un solo disco es suficiente para servir la tasa mxima de registro. Si est habilitado el almacenamiento en cach de web, la capacidad de almacenamiento en disco debe ser planificada cuidadosamente. El factor limitador de cualquier sistema de
almacenamiento en disco es el nmero de accesos fsicos a disco por segundo. Este nmero vara en funcin de lo aleatorios que sean estos accesos y de lo rpido que el disco gire fsicamente. Generalmente, el lmite est entre 100 y 200 accesos por segundo. El contador de rendimiento que se debe usar para supervisar la tasa de acceso a disco se alcanza es:\PhysicalDisk(*)\Disk este lmite en un disco Transfers/secSi
durante un espacio de tiempo prolongado es probable que el sistema se ralentice, lo que usted advertir por un aumento en el tiempo de respuesta del sistema. Para eliminar este cuello de botella, la solucin inmediata es reducir los accesos a disco agregando ms discos fsicos.
Otra causa de una alta tasa de acceso a disco son los errores severos de pgina.
Filtros web y de aplicacinISA Server utiliza filtros de aplicacin para realizar la inspeccin filtro de de seguridad es del una nivel de aplicacin. de Un
aplicacin
biblioteca
vnculos
dinmicos (DLL) que se registra en un puerto de protocolo especfico. Siempre que se enva un paquete a este puerto de protocolo, se pasa al filtro de aplicacin, que lo inspecciona segn la lgica de aplicacin y decide qu hacer segn la directiva. Cundo no se asigna un filtro de aplicacin a un protocolo, los datos se someten a filtrado activo TCP. En este nivel, ISA Server slo comprueba la informacin de encabezado TCP/IP. En general, el filtrado en el nivel de aplicacin
requiere ms procesamiento que el filtrado activo TCP por varios motivos:
Los filtros de aplicaciones inspeccionan la carga dedatos y el filtrado activo TCP inspecciona slo la informacin aplicaciones de encabezado TCP/IP. otras Los filtros con de la
pueden
realizar
acciones
carga de datos, como inspeccionarla y bloquearla, o cambiar el contenido segn la lgica de aplicacin.
Los filtros de aplicacin funcionan en espacio de modo
de
usuario.
El
filtrado
en
el
nivel
de
transporte
funciona en modo de ncleo. Esto implica una sobrecarga de procesamiento extra para pasar los datos a travs de la pila de red del sistema operativo. Debido a que los filtros de aplicacin son ampliaciones de procesamiento del firewall, pueden tener una
repercusin en el rendimiento. Recomendamos:
Obtener informacin de rendimiento de los filtros queusted utiliza y ajustarlos para que sean lo ms eficientes posible. Un ejemplo es el filtro web HTTP que puede ser configurado para inspeccionar la carga de HTTP y buscar firmas especficas. Habilitar esta
caracterstica provoca un procesamiento adicional que reducir las demandas sobre el equipo ISA Server.
Donde proceda, considere emplear las reglas de ISAServer en vez de un filtro. Por ejemplo, el bloqueo de sitio utilizando conjuntos de destino de reglas de
acceso puede ser ms eficiente que un filtro web que hace lo mismo.
Si
desarrolla
un Esto
filtro, se
optimcelo
para para
un
mejor
rendimiento. software,
recomienda para
cualquier servidor
especialmente
un firewall o
proxy de importancia vital.
ISA Server
admite la utilizacin de filtrado de aplicacin y
filtrado activo TCP de nivel inferior para el mismo puerto de aplicacin en funcin de las redes de origen y de destino. Por ejemplo, puede filtrar el trfico de Internet en el nivel de aplicacin, mientras utiliza proteccin de filtrado de transporte sobre el trficoexistente entre todas las dems redes.
RegistroISA Server ofrece dos mtodos principales para registrar la actividad del firewall:
Registro MSDE. Este mtodo es el mtodo de registropredeterminado para el firewall y la actividad web. ISA Server escribe registros de log directamente en una base de datos de MSDE para permitir consultas
sofisticadas en lnea sobre los datos registrados.
Registro sobre archivos. Con este mtodo, ISA Serverescribe los registros de log en un archivo de texto de forma secuencial. Comparando los dos mtodos, MSDE tiene ms
caractersticas, pero utiliza ms recursos del sistema. Concretamente, es probable que en general se produzca una mejora del 10 al 20 por ciento en la utilizacin del procesador al cambiar a registro sobre archivos desde MSDE. El registro MSDE en tambin disco. consume El ms recursos MSDE de
almacenamiento
registro
realiza
aproximadamente dos accesos a disco para cada megabit. El registro sobre archivos requerir la misma cantidad de accesos a disco para 10 megabits. Una forma de mejorar el rendimiento del ISA Server es cambiar de registro MSDE a registro sobre archivos. Esto se recomienda slo cuando haya un problema de rendimiento provocado por la
saturacin de un procesador o de accesos a disco. ISA Server 2006 Enterprise Edition proporciona tambin registro remoto SQL, que puede ser utilizado para
registrar sobre una base de datos SQL administrada de forma central. El registro remoto SQL consume recursos de CPU a medio camino entre los utilizados por registro MSDE y registro sobre archivos y no utiliza casi E/S a disco. Sin embargo, el registro remoto SQL presenta otros requisitos de capacidad que deben ser tenidos en cuenta, ya que todos los datos de registro se escriben en una base de datos central remota:
Las conexiones de red entre equipos ISA Server y labase de datos remota SQL necesitan usar un ancho de banda dedicado de gigabit para albergar la capacidad del trfico de registro.
Las conexiones de red entre equipos ISA Server y labase de datos remota SQL debe usar el protocolo de seguridad de Internet (IPSEC) para proteger los datos de registro cuando se envan a la base de datos remota
SQL.
Es
preciso
que de
haya discos
suficiente
hardware
de
matriz para
redundante
independientes
(RAID)
soportar la tasa de registro de varios equipos ISA Server. La tabla siguiente ofrece una estimacin de la tasa de transacciones y del ancho de banda de registro para los tres anchos de banda del vnculo de Internet.Ancho de banda del vnculo 1 Mbps con Internet Transacciones segundo Ancho de banda de la 92 kilobits por 700 Kbps 2,3 Mbps 4,2 Mbps 12,1 Mbps SQL por 25 5 T1 (7,5 25 Mbps 625 T3 Mbps) 1,125 3,250 (45 90 Mbps
Mbps) 188
transaccin SQL
segundo (Kbps)
Para anchos de banda mayores, las cifras de la tabla anterior pueden ser extrapoladas linealmente.
EscenariosISA Server es compatible con una amplia variedad de escenarios de implementacin y aplicacin. Las secciones siguientes describen la mayora de los escenarios y sus caractersticas de rendimiento.
Escenarios de implementacinLos escenarios de implementacin a se refieren de a la y ubicacin de un equipo ISA Server dentro de una intranet corporativa. Debido consideraciones seguridad
rendimiento, varios escenarios populares han evolucionado con el paso de los aos y las secciones siguientes
describen cada uno de ellos bajo una perspectiva de rendimiento y capacidad.
Firewall perimetral de InternetLas organizaciones con necesidades de capacidad a escala de empresa pueden considerar la implementacin un equipo ISA Server que para como un firewall como los perimetral de de Internet segura a
dedicado Internet
acte todos
puerta clientes
enlace
corporativos.
Para
mantener altos niveles de rendimiento de cientos de Mbps entre las redes internas e Internet, el ISA Server puede ser configurado para ofrecer slo filtrado en el nivel de paquetes y de capa de transporte activo. El filtrado ms avanzado en el nivel de aplicacin que proporciona ISA Server se habilitar en la segunda capa de defensa, que est compuesta por equipos ISA Server con firewall back-end.
Firewall departamental o back-endLa siguiente lnea de defensa para organizaciones a escala de empresa incluye varios equipos ISA Server que son implementados como firewalls de departamento o backend de red que ofrecen control de acceso entrante y saliente seguro dentro y fuera de redes LAN protegidas. Las organizaciones con infraestructuras de firewall ya
existentes rendimiento
pueden actuales
mantener en el
sus
firewalls de
de
alto y
permetro
Internet
descargar el sofisticado filtrado de capa de aplicacin hacia equipos ISA Server en el permetro de LAN. Esto permitira a una organizacin usar las actuales
conexiones de Internet de alta velocidad y beneficiarse a la vez del nivel nico de proteccin ofrecido por las capacidades de filtrado de capa de aplicacin de ISA Server 2006. Desde una perspectiva del rendimiento, es necesario un firewall de departamento para soportar slo una parte del trfico total la que pasa por de el ms firewall perimetral, de
permitiendo
ejecucin
caractersticas
seguridad que consuman recursos, tales como filtros de aplicacin.
Firewall de sucursalISA Server puede ser utilizado para conectar de forma segura redes de sucursales a una oficina principal
utilizando conexiones de red privada virtual (VPN) de sitio a sitio. En esta implementacin, ISA Server se sita en una sucursal donde acta tanto de firewall, protegiendo la red de la sucursal, como de puerta de enlace VPN, conectando la red de la sucursal a la red de la oficina principal.
En general, una VPN de sitio a sitio filtrada en el nivel de transporte consume slo un 25 por ciento de la
capacidad de procesamiento por unidad de trfico que se necesita para el acceso a Internet filtrado en el nivel de aplicacin. Nota: En una VPN de sitio a sitio filtrada en el nivel de transporte, el inspeccionan trfico que en el pasa por el tnel no lo nivel de aplicacin. El filtros
filtrado en el nivel de aplicacin para trfico VPN de sitio a sitio, como cualquier otro trfico, est
habilitado en una base por protocolo.
Escenarios proxy webLa mayora del trfico en Internet y dentro de las actuales redes corporativas utiliza HTTP. Un anlisis de pautas de trfico de muchos protocolos indica que HTTP es exigente en trminos de rendimiento de la red. Por lo tanto, las simulaciones tpicas de carga de trabajo de trfico web son realistas para medir la capacidad y las caractersticas de rendimiento de cualquier firewall.Nota:
Una mtrica tpica para validar el rendimiento de la red es la cantidad de transacciones intercambiadas mediante conexin TCP. Los valores tpicos para HTTP (3 a 5 de media) son reducidos en comparacin con otros protocolos.
La tabla siguiente resume las recomendaciones de hardware para soportar el trfico HTTP en tres implementaciones tpicas con equipo individual segn el ancho de banda del vnculo de Internet.Vnculo Internet de Hasta Mbps) 5 T1 (7,5 Hasta 25 Mbps 1 Hasta T3 (45 Hasta Mbps) Mbps 2 2/2 Doble Doble 90
Procesadores/ncleos 1 Tipo de procesador
Pentium III a 550 MHz Pentium 4 a 2,0 Xeon a 2,03,0 Xeon (o superior) 3,0 GHz GHz Ncleo AMD Ncleo
2,03,0 GHz Memoria Espacio en disco Interfaz de red 256 MB 150 MB 10/100 Mbps 512 MB 2,5 GB 10/100 Mbps 1 GB 5 GB 100/1000 Mbps 2 GB 10 GB 100/1000 Mbps
Los
requisitos
de
la
tabla
anterior
son
para
la
configuracin predeterminada de la instalacin de ISA Server 2006 y una configuracin de la directiva que contiene centenares de reglas. Esto incluye todo el
filtrado web y de aplicacin predeterminado, as como el registro anterior: MSDE. Lo siguiente se refiere a la tabla
Ancho de banda del vnculo de Internet. Las cifras delancho de banda se refieren a una carga de trabajo donde ISA Server 2006 se utiliza como proxy web transparente con filtrado completo de capa de aplicacin HTTP. Al servir de proxy web de reenvo o inverso, ISA Server
puede duplicar el rendimiento, lo que significa que el equipo mnimo recomendado para un ancho de banda T3 es un procesador Pentium 4 simple y un equipo con doble procesador para dos conexiones T3. En las implementaciones que slo necesiten filtrado
activo (sin necesidad de mayor filtrado en el nivel de aplicacin), el hardware recomendado alcanza las
velocidades de cable LAN. Si est habilitado el almacenamiento en cach de web, se puede reducir el ancho de banda del vnculo de Internet entre un 20 y un 30 por ciento en funcin de la relacin de aciertos de byte.
Procesadores. Las cifras fueron obtenidas mediante lasimulacin de trfico HTTP en miles de direcciones IP, cargando un procesador ISA Server hasta un 70-80 por ciento de utilizacin.
Tipo de procesador. Tambin se pueden considerar otrosprocesadores que emulen el conjunto de instrucciones IA-32 con una potencia comparable.
Memoria. Los requisitos de la memoria no tienen encuenta el espacio de memoria para el almacenamiento en cach de web.
Espacio en disco. Los requisitos de espacio en discoindican la cantidad de espacio en disco libre que se
recomienda para los registros del ISA Server.
Interfaz de red. Los requisitos de interfaz de la redson para redes internas (las que no estn conectadas a Internet). ISA Server protege el trfico HTTP mediante su filtro proxy web integrado. Este filtro de aplicaciones admite tres escenarios diferentes: Proxy de reenvo y proxy transparente para proteger el acceso de salida a Internet para usuarios corporativos y proxy inverso para proteger el acceso entrante de usuarios de Internet a sitios web internos. Las secciones siguientes describen cada uno de estos escenarios desde una perspectiva del rendimiento y explican cmo se puede usar el almacenamiento en cach para mejorar el rendimiento.
Escenarios proxyEsta seccin ofrece escenarios para proxy de reenvo, proxy transparente y proxy inverso.
Proxy de reenvoEn proxy de reenvo, los exploradores web cliente estn enterados Internet de la presencia por del proxy. En Microsoft se hace Explorer, ejemplo, esto
configurando Utilizar un servidor proxy o Detectar la configuracin automticamente en Opciones de Internet. Cuando los clientes web tienen en cuenta el proxy, abren
conexiones directamente al proxy y envan las solicitudes proxy para ubicaciones abrir en dos Internet. conexiones (Por al ejemplo, proxy al
Internet
Explorer
enviar solicitudes HTTP 1.1). Cundo ISA Server recibe una solicitud para un servidor, abre una conexin a este servidor y lo vuelve a emplear para otras solicitudes procedentes de otros clientes al mismo servidor. Esto lleva a una topologa de conexin en estrella. La ventaja del rendimiento de este escenario es que permite una gran reutilizacin de las conexiones, lo que minimiza el nmero de conexiones abiertas, as como la tasa conexiones.
Proxy transparenteEn proxy transparente, los exploradores web cliente no advierten enrutados la presencia a del proxy. Detectan en que son sin
directamente
servidores
Internet
agentes de por medio. Concretamente, los clientes web tienen acceso directo a servidores de Internet abriendo conexiones con los sitios web de destino. Esto conduce a un aumento considerable de la tasa de conexiones, ya que despus de que un usuario pida una pgina en un nuevo servidor, el explorador web cierra sus conexiones con el servidor web actual y abre conexiones nuevas con el nuevo servidor web. Esto es tpico de proxy transparente y afecta al rendimiento de ISA Server. Normalmente, la tasa
de
conexiones
en
el
lado
del
cliente
en
proxy
transparente es aproximadamente tres veces ms alta que en proxy de reenvo, que consume aproximadamente el doble de ciclos de procesador por solicitud. Proxy transparente es un escenario popular porque es fcil de implementar, especialmente para proveedores de servicios de Internet (ISP) con una base de clientes heterognea. Por este motivo, hay considerables mejoras de rendimiento en este escenario. En general, ISA Server requiere el doble de recursos de CPU para proxy transparente que para proxy de reenvo.
Proxy inversoProxy inverso o publicacin en Web funcionan de la misma manera que proxy de reenvo, pero la direccin es de entrada en lugar de salida. En este escenario, ISA Server acta como un sitio web al que tienen acceso clientes en Internet. Los clientes no saben que el sitio web al que tienen acceso es realmente un proxy. Al igual que con proxy de reenvo, el nmero de conexiones y la tasa de conexiones son mnimos, debido a la eficiente
reutilizacin de conexiones. Proxy inverso se utiliza para la publicacin segura de servidores web, como
Microsoft Internet Information Services (IIS), Microsoft Office Outlook Web Access 2003, Microsoft Office
Sharepoint Portal Server y muchos ms.
Desde una perspectiva de rendimiento, el proxy inverso tiene caractersticas semejantes al proxy de reenvo. La diferencia principal es que la mayor cantidad de trfico fluye desde el ISA Server a usuarios de Internet, lo cual requiere una gran conexin a Internet. Como se explica en la seccin siguiente, el proxy de reenvo y el proxy inverso tienen diferentes repercusiones de rendimiento cuando est habilitado el almacenamiento en cach de web.
Almacenamiento en cach de webEl almacenamiento en cach de web es una caracterstica para mejorar el rendimiento de ISA Server en todos los escenarios proxy web. Pero el efecto de la mejora del rendimiento es diferente cuando se habilita la memoria cach para escenarios de salida (proxy de reenvo y proxy transparente) y el escenario de proxy inverso de entrada. La diferencia principal entre almacenamiento en cach de reenvo (transparente) e inverso es el propsito de la memoria cach. El almacenamiento en cach de reenvo (y transparente) est pensado para ahorrar costos de ancho de banda de Internet y para reducir el tiempo de
respuesta mediante la colocacin de contenido popular almacenable en la memoria cach cerca de los usuarios. El almacenamiento en cach inverso se utiliza para descargar los servidores web back-end. El almacenamiento en cach inverso no afecta al tiempo de respuesta e incluso
aumentar el tiempo de espera para objetos que no estn almacenados en la memoria cach. En trminos de ahorro, el almacenamiento en cach de reenvo ahorra intentos de acceso a servidores web en Internet al atender esos intentos desde la memoria cach, lo cual implica un ahorro en ancho de banda necesario del vnculo de Internet. Por ejemplo, si la relacin de aciertos de byte de cach es del 20 por ciento y el rendimiento pico en los vnculos internos es de 10 Mbps, el rendimiento pico en el vnculo de Internet sera slo de 8 Mbps.Nota:
La
relacin del
de
aciertos de
de
objeto
de
cach por el
es
la
proporcin de objetos que se atienden desde la memoria cach total objetos atendidos proxy.
Igualmente, la relacin de aciertos de byte de cach es la proporcin de bytes que se atienden desde la memoria cach del total de bytes atendidos por el proxy. Los valores medios comunes son aproximadamente el 35 por ciento de la relacin el 20 por de aciertos de de la objeto relacin y de
aproximadamente
ciento
aciertos de byte. El almacenamiento en cach inverso ayuda a la
consolidacin de servidores web, reduciendo tanto los costos de hardware como de administracin. Por ejemplo,
si el 80 por ciento de los datos de un sitio web es esttico y almacenable en cach y un objeto dinmico requiere cuatro veces ms ciclos de CPU en comparacin con un objeto esttico, la utilizacin de un proxy
inverso reducir el nmero de servidores web en un 50 por ciento.Nota:
Supongamos que un objeto esttico necesita X ciclos de CPU y un objeto dinmico requiere 4X ciclos. Si 80 de cada 100 solicitudes son estticas, el nmero total de ciclos necesarios para 100 solicitudes es 80X + (10080)4X = 160X, y el 50 por ciento de los utilizados para contenido esttico sern servidos por una cach de ISA Server. Otra diferencia entre la memoria cach inversa y de reenvo es la magnitud del conjunto de trabajo almacenado en cach. En cach inversa, el tamao del conjunto de trabajo del cliente es ilimitado, pero el conjunto de trabajo del servidor contiene slo varios sitios web y un nmero relativamente pequeo de objetos. En la mayora de los casos, ISA Server puede disearse con la memoria y el espacio en disco razonables para almacenar todo el
contenido almacenable en cach alojado en su cach, para que slo el contenido dinmico no almacenable en cach sea dirigido a los servidores web alojados.
Preferiblemente, toda la memoria cach puede ser guardada y servida en memoria. En cach de reenvo, el espacio de servidor contiene un nmero ilimitado de sitios y objetos web, de modo que el conjunto de trabajo en cach es ilimitado. Para mantener un conjunto de trabajo tan grande, deber definir cachs de disco grandes. Las secciones siguientes describen cmo planificar y ajustar la capacidad cach de web para el almacenamiento en cach inverso y de reenvo.
Ajuste de discos y memoria cach de reenvoEn el almacenamiento en cach de reenvo, la relacin de aciertos de objeto y la tasa de solicitudes pico HTTP se utilizan para determinar el nmero de discos necesarios segn la frmula siguiente: Nmero_de_discos = (Tasa_solicitudes_pico X
Relacin_aciertos_objeto) /100 Por ejemplo, si la tasa de las solicitudes pico es de 900 solicitudes por segundo y la relacin de aciertos de objeto es del 35 por ciento, se necesitan cuatro discos.Nota:
El nmero 100
en la frmula anterior es
emprico y
significa que el disco fsico de rendimiento medio (que gira hasta 10.000 revoluciones por minuto) puede atender 100 operaciones E/S por segundo. Un disco ms rpido
girando a 15.000 revoluciones por minuto puede realizar entre 130140 operaciones E/S por segundo. Recomendamos usar discos dedicados del mismo tipo y de igual capacidad. Si se usa un subsistema de almacenamiento RAID, debe configurarse como RAID 0 (sin tolerancia a errores). Se recomiendan discos pequeos, preferiblemente de hasta 40 GB. El ajuste de la memoria cach es ms complicado. En los escenarios cach, la memoria se usa para:
Objetos de solicitudes pendientes. El nmero de objetosde solicitudes pendientes es proporcional al nmero de conexiones de clientes al equipo ISA Server. En la mayora de los casos, ser menor del 50 por ciento de las conexiones de clientes. Cada solicitud pendiente necesita aproximadamente 15 KB. Para 10.000 conexiones simultneas, el conjunto de trabajo de la memoria del proxy web tiene hasta 50% 10.000 15 KB = 75 MB asignados a objetos de solicitudes pendientes. Sin
embargo en un RPC sobre escenario de publicacin HTTP o HTTPS, todas las conexiones tienen un objeto de
solicitud pendiente. Siguiendo el ejemplo anterior, un total de 100% 10.000 15 KB = 150 MB estn asignados a objetos de solicitudes pendientes.
Directorio de cach. El directorio que contiene una
entrada
de
48
bytes
por
cada
objeto
almacenado
en
cach. El tamao del directorio de cach se determina directamente por el tamao de la memoria cach y del tamao medio de respuesta. Por ejemplo, una cach de 50 GB que aloja 7.000.000 objetos (aproximadamente 7 KB cada uno como media) necesita 48 7.000.000 = 336 MB.
Almacenamientoalmacenamiento
en en
memoria memoria
cach. cach
El es
propsito servir
del las
solicitudes de objetos populares almacenados en cach directamente desde la memoria, reduciendo las
recuperaciones desde la memoria cach de disco. Pero puesto que el contenido almacenable en cach es
ilimitado en el almacenamiento en cach de reenvo, el tamao de la memoria cach tiene un efecto limitado sobre el rendimiento. De forma predeterminada, la memoria cach es el 10 por ciento de la memoria fsica total y es configurable. En general, recomendamos usar la configuracin predeterminada a menos que se produzcan errores severos de pgina. Los errores severos de pgina producen una grave degradacin del rendimiento. La manera ms fcil de corregir esta situacin cuando se usa almacenamiento en cach es reducir el tamao de la memoria cach. Teniendo en cuenta esta informacin, use el proceso
siguiente para ajustar el tamao de la memoria cach:
1.
Ajuste el tamao de la memoria cach de disco, como se explica en el apartado anterior.
2.
Calcule la memoria necesaria como el resultado de: 1. Objetos de solicitudes pendientes (50% 15 KB pico-conexiones-establecidas). 2. Tamao de directorio de cach (48 x
direccionesURL-en-cach). 3. Tamao de memoria cach (de forma predeterminada, el 10 por ciento de la memoria total). 4. La memoria del sistema requiere aproximadamente 50 MB ms 2 KB por conexin (50 MB + 2 KB x picoconexiones-establecidas). 5. Al menos 100 MB para otros procesos en ejecucin en el sistema.3.
Supervise el uso de memoria y cambie el tamao de la memoria cach como corresponda. Los contadores
informativos del rendimiento son: \ISA Server Cache\Memory Cache Allocated Space (KB) \ISA Server Cache\Memory URL Retrieve Rate (URL/sec) \ISA Server Cache\Memory Usage Ratio Percent (%) \ISA Server Cache\URLs in Cache
\Memory\Pages/sec \Memory\Pool Nonpaged Bytes \Memory\Pool Paged Bytes \Process(WSPSRV)\Working Set \TCP\Established Connections
Ajuste de discos y memoria cach inversaEn el almacenamiento en cach inverso, el tamao del conjunto de trabajo es tan pequeo en comparacin con el almacenamiento en cach de reenvo que es relevante tratar de ponerlo todo en memoria. El tamao del conjunto de trabajo es la cantidad total de objetos almacenables en cach en el sitio web que aloja la memoria cach. Se recomienda que el tamao del disco y de la memoria cach sea aproximadamente el doble del tamao del conjunto de trabajo para mantener todos los objetos almacenables en cach y para justificar la directiva de fragmentacin en la asignacin de discos y de actualizacin de cach. Por ejemplo, un conjunto de trabajo de 500 MB requiere una cach de disco de1.000 MB y una memoria de 1.500 MB con un tamao de cach de memoria al 66 por ciento. Debido a que la mayora de recuperaciones de cach se sirven desde la memoria cach, la tasa de E/S sobre el
disco es baja. En la mayora de los casos, un solo disco fsico es suficiente, sin llegar a ser un cuello de botella.
Utilizar el modificador /3GB en boot.iniPara grandes sistemas con ms de 2 GB de memoria, Windows Server 2003 y Windows 2000 Advanced Server ofrecen la caracterstica de ajuste 4GT RAM. Esta caracterstica divide un espacio de la memoria del proceso en 3 GB para la memoria de aplicacin y 1 GB para la memoria de sistema. Esta caracterstica permite que los procesos se beneficien de ms de 2 GB de RAM de espacio de usuario y se habilita agregando el modificador /3GB al archivo boot.ini. (Para ms detalles, consulte el artculo
Q171793, "Informacin sobre el uso de aplicacin del ajuste 4GT RAM" en la Microsoft Knowledge Base). Esta caracterstica puede ser beneficiosa para ISA
Server, especialmente para el almacenamiento en cach inverso que aloja un sitio web grande. Sin embargo, el empleo de esta caracterstica reduce el tamao mximo de la agrupacin no paginada (a 128 MB en lugar de 256 MB); de ah el nmero mximo de conexiones TCP simultneas.
Almacenamiento en cach BITSEl Servicio de transferencia inteligente en segundo plano (BITS), introducido en ISA Server 2004 Service Pack 2 (SP2) e incluido en ISA Server 2006, habilita el
almacenamiento en cach de solicitudes de intervalo HTTP para Windows Update. BITS ofrece un ahorro considerable en el consumo de ancho de banda y reduce la demora en la descarga de actualizaciones en implementaciones con bajo ancho de banda, lo que es importante debido a la
creciente demanda de actualizaciones a travs de Web. La medicin del rendimiento de almacenamiento en cach BITS mostr lo siguiente:
El almacenamiento en cach BITS duplica la relacingeneral de aciertos durante el proceso de actualizacin mensual del 10 por ciento al 20 por ciento. Durante la actualizacin mensual, hubo un ahorro del 18 por ciento del trfico total.
El trfico administrado con el almacenamiento en cachBITS funciona mucho mejor que cualquier otro trfico web, debido al rendimiento medio extraordinariamente alto por conexin y relacin de aciertos. Por ejemplo, en el mismo hardware, el almacenamiento en cach BITS puede atender tres o cuatro veces ms bits con la misma utilizacin administrado de sin procesador BITS. que La el trfico web del
habilitacin
almacenamiento en cach BITS para Windows Update no tiene repercusin negativa en las caractersticas de rendimiento del trfico que no est asociado a Windows
Update.
Compresin HTTPISA Server 2006 ofrece una caracterstica de compresin del protocolo de transferencia de hipertexto (HTTP).
Cuando se configura la compresin HTTP, ISA Server puede comprimir el contenido para conservar el ancho de banda limitado. Esto es til, por ejemplo, en escenarios donde una oficina principal proxy dirige las solicitudes de Internet directamente a Internet y las sucursales dirigen sus solicitudes a travs de la oficina principal, sobre una red con ancho de banda limitado. La caracterstica utiliza un algoritmo de compresin muy conocido (GZip) para comprimir los datos HTTP, mientras que la razn de compresin vara en funcin del tipo de datos de destino. (De manera predeterminada, slo se comprimen los datos basados en texto).Nota:
Cuando los filtros web de ISA Server inspeccionan el contenido comprimido entrante, se descomprime el
contenido comprimido. Una vez descomprimido, el contenido se almacena en la memoria cach en forma de texto
descomprimido. Si ISA Server recibe una peticin del contenido almacenado en cach, lo vuelve a comprimir antes de enviarlo, lo que aumenta el tiempo de respuesta.
Al medir la compresin HTTP sobre una lnea de 56 Kbps con una latencia de 50 milisegundos (msec), en conexin con un equipo ISA Server en la sede central a mltiples equipos ISA Server en las sucursales y pasando un total de 96 Mbps (descomprimidos), los datos mostraron lo
siguiente:
La compresin HTTP posee el mayor impacto en una redlenta. Mejora el uso de red en un 28 por ciento y de esta manera mejora el rendimiento total del sistema.
La latencia entre la sede central y las sucursalesmejor en un factor de 15.
El impacto en la CPU habilitando compresin HTTP en elsistema probado (dual Xeon a 2,4 GHz) fue del 15 por ciento.
Autenticacin webHay muchos mtodos para realizar la autenticacin web y cada uno tiene su propia repercusin en el rendimiento. La tabla siguiente resume las ventajas y las desventajas de cada mtodo.Esquema autenticacin Bsica Digest NTLM de Seguridad Cundo se realiza la autenticacin Baja Media Media Por tiempo Por tiempo/contador Por conexin Sobrecarga por Sobrecarga solicitud por lote Baja Ninguna Ninguna Ninguna Alta Alta
Esquema autenticacin NTLMv2 Kerberos SecurID
de Seguridad Cundo se realiza la autenticacin Alta Alta Alta Por conexin Por conexin Por sesin
Sobrecarga por Sobrecarga solicitud por lote Ninguna Ninguna Alta Media Media
de Ninguna
explorador RADIUS por solicitud RADIUS por tiempo Alta de Media Por solicitud Por tiempo Alta Baja Ninguna Ninguna
espera (predeterminado)
Desde
la
perspectiva
del
rendimiento,
un
esquema
de
autenticacin funciona mejor sin sobrecarga por solicitud y con una sobrecarga por lote baja. Decidir qu esquema de autenticacin usar depende de la seguridad y la
infraestructura. Igualmente, la autenticacin proxy web puede ser
configurada al nivel de escucha proxy web o al nivel de regla. Elija el nivel de escucha slo si la autenticacin es necesaria para todos los accesos web. De otro modo, elija el nivel de regla, lo que significa que esa
autenticacin ser realizada slo cuando sea necesario segn las reglas.
Filtros webAl igual que los filtros de aplicacin, los filtros web pueden tener tambin una repercusin en el rendimiento, en funcin de lo que hagan. ISA Server incorpora varios filtros web que realizan tareas especificadas. De stos,
los que ms CPU consumen son el filtro HTTP y el filtro de traduccin de vnculos. Un filtro HTTP inspecciona cada solicitud y respuesta web, comprobando que cumplen la utilizacin normal del protocolo HTTP. Est habilitado de forma predeterminada, y su configuracin predeterminada proporciona los lmites de tamao a encabezados HTTP y direccin URL. Otras caractersticas disponibles incluyen bloqueo por mtodos, por extensiones, por encabezados y por carga de firmas HTTP. Estas funciones no tienen repercusin en el
rendimiento cuando se seleccionan, excepto bloqueo de firma, que requiere un 10 por ciento ms de ciclos de CPU. Se recomienda un filtro HTTP para proteger el
trfico web. La traduccin de vnculos se utiliza especficamente en escenarios de publicacin en Web. Se inspeccionan los cuerpos de las respuestas en HTML, buscando hipervnculos absolutos, y se modifican para que apunten al equipo ISA Server en su de lugar. vnculos De forma predeterminada, los cuerpos la de traduccin inspecciona
respuesta y encabezados HTTP, de modo que hay una notable repercusin en el rendimiento. Cuando est habilitada la inspeccin de cuerpos, comprueba de forma predeterminada slo el contenido HTML, provocando un incremento general del 15 por ciento en la utilizacin de la CPU.
Publicacin en Web seguraUtilizando capa de sockets seguros (SSL), ISA Server mejora la publicacin segura de una variedad de contenido web. ISA a Server, sitios junto web con SSL, habilita y, para el acceso privado publicados usuarios
corporativos, protege el acceso a varios recursos de red internos, tales como correo electrnico, sitios web
compartidos, servicios de Terminal Server, etc. SSL es un protocolo TCP que utiliza el puerto 443. SSL se conoce tambin como HTTP seguro (HTTPS), ya que define un entorno seguro, autenticacin y cifrado para el contenido HTTP. Desde la perspectiva del rendimiento, el cifrado y el descifrado SSL crean una capa de procesamiento adicional, ms all del procesamiento HTTP normal. Esta capa incluye dos fases intensivas importantes de CPU:
Protocolo
de
enlace
SSL.
Una
vez
establecida
una
conexin TCP, SSL crea un contexto de seguridad entre los extremos utilizando una infraestructura de clave pblica (PKI). Esto se conoce como protocolo de enlace SSL. En trminos de aumento de trfico de red, un protocolo de enlace SSL consume a la una tasa capacidad de de
procesamiento
proporcional
conexiones
(medida en conexiones por segundo).
Cifrado. Una vez que se ha establecido el contexto de seguridad, descifrar un el extremo lo utiliza HTTP, para mediante cifrar o contenido cifrado
simtrico. Este procesamiento es realizado en cada byte de datos HTTP. Por lo tanto, consume ciclos de
procesador en proporcin al rendimiento de red agregado (medido en megabits por segundo). La proporcin entre el rendimiento agregado y la tasa de conexiones determina la media del nmero de bits que son procesados en cada conexin. Esta proporcin se define como bits por conexin y, en la prctica, cada aplicacin tiene un valor caracterstico para esta proporcin. A continuacin se muestran algunos ejemplos.
Outlook Web AccessCuando un cliente web se conecta a un servidor front-end de Outlook Web Access Exchange Server, carga la pgina web de Outlook que contiene los iconos de la interfaz de usuario y los en encabezados el buzn. de En los mensajes que hay
actualmente
consecuencia,
cualquier
operacin que el usuario realice (tal como Abrir, Enviar, o Mover a carpeta) genera una nueva conexin HTTP que transfiere un promedio de 10 a 20 kilobytes (KB). Cuando se suma el comportamiento de Outlook Web Access de muchos usuarios, el cliente web crea normalmente un valor de
bits por conexin relativamente bajo (del orden de 100 kilobits por conexin).
RPC
sobre
HTTP
con
Outlook
2003
en
modo
de
Exchange en cachLa llamada a procedimiento remoto (RPC) sobre HTTP es una caracterstica de Microsoft Exchange Server 2003 que
permite a los clientes Outlook 2003 tener acceso a un Exchange Server en la red corporativa interna desde
Internet. Al conectarse a Exchange Server, un cliente Outlook 2003 que funcione en modo de Exchange en cach normalmente comienza con una sincronizacin del contenido del buzn sobre un archivo de cach local. Cuando se ha completado la sincronizacin, en las que se se producen conexiones los nuevos
intermitentes,
transfieren
mensajes. Para un trabajador con conocimientos con un perfil de uso intenso, la operacin de sincronizacin transfiere muchos bytes de datos sobre un nmero pequeo de conexiones, de modo que el valor caracterstico
general de bits por conexin es bastante elevado (del orden de 500 kilobits por conexin).Nota:
Cada RPC sobre cliente HTTP establece aproximadamente 10 conexiones, de modo que debe considerar tambin la
cantidad total de conexiones (el nmero de clientes x 10) al planificar su implementacin.
Sitio webHay muchas maneras de disear e implementar un sitio web. Por tanto, los sitios web no tienen un valor de bits por conexin tpico. Sin embargo, despus de que un sitio web sirva solicitudes, usted puede medir los bits acumulados por conexin. En la prctica, los sitios web tienen valores de bits por conexin medios (entre 100 y 500 kilobits por conexin).
Protocolo de puente SSLCundo usted implementa ISA Server con publicacin en Web segura, los clientes web seguros en la red externa pueden conectarse al puerto SSL. El protocolo de puente SSL es una caracterstica de ISA Server, que le permite
especificar cmo se comunica ISA Server con el servidor web back-end que que usted est publicado. elegir Esta entre caracterstica los dos tipos
permite
pueda
siguientes de protocolo de puente:
Protocoloprotocolo servidor
de de
puente puente,
SSL ISA
a
SSL.
En
este
tipo acceso
de al
Server SSL.
obtiene ISA
back-end de
mediante SSL
Server con el
realiza servidor
protocolos
enlace
separados
back-end y debe usar cifrado para cada paquete que recibe o enva al servidor back-end.
Protocolo
de
puente
HTTP
a
SSL.
En
este
tipo
de
protocolo
de
puente,
ISA
Server
obtiene
acceso
al
servidor back-end mediante HTTP descifrado. Protocolo de puente SSL a SSL refuerza la seguridad en la red Interna, pero agrega el costo de procesamiento del doble cifrado a cada paquete que se transfiere entre ISA Server y el servidor back-end. Protocolo de puente SSL a SSL cuesta aproximadamente un 10 por ciento ms que el protocolo de puente SSL a HTTP.
Determinar la capacidad SSLPara determinar el tamao del equipo ISA Server que debe tener para cargas de trfico de red pico, deber primero medir los kilobits tpicos por conexin de su trfico de red y despus medir el trfico agregado total. Utilice el procedimiento siguiente para determinarlo: 1. Utilice la herramienta monitor de rendimiento del
sistema para supervisar el trfico de red de cada servidor de aplicaciones para las dos horas punta de la actividad del servidor. Recopile los contadores siguientes: \Network Interface\Bytes Total/sec. ste es el
contador de la interfaz publicado por ISA Server. Utilice el valor medio como el rendimiento medio de la duracin. Este valor tambin se utiliza para calcular el trfico agregado total.\TCPv4\Connections Active.
El valor de este contador es el nmero total de conexiones creadas durante la sesin de supervisin. Para determinar la media de conexiones por segundo dentro de esta duracin, divida la diferencia entre los valores mximos y mnimos entre la duracin total. Calcule el nmero de kilobits por conexin de esta forma: kilobits por conexin = (total de bytes por segundo 8 por 1000) por (conexiones por segundo). 2. Determine la media total de kilobits por conexin como la media ponderada de kilobits por conexin de cada servidor de aplicaciones. El peso para cada servidor es el rendimiento de ese servidor dividido por el rendimiento total de todos servidores. 3. Determine el trfico agregado total agregando el
trfico medido en cada servidor. 4. Utilice la tabla siguiente para determinar el nmero de megaciclos que se necesitan por cada megabit de trfico SSL que procesa ISA Server, segn los kilobits por conexin medidos en el Paso 2. Kilobits conexin por 100 (Outlook 200 (Web) 500 sobre HTTP) 1 procesador, SSL 91 77 69 (RPC
Web Access)
a HTTP 1 procesador, SSL 120 a SSL 2 procesadores, 128 104 91 96 83
SSL a HTTP 2 procesadores, 142 120 104
SSL a SSL 5. Para determinar la velocidad del procesador que
necesaria para soportar el trfico agregado total, multiplique los megaciclos por megabit, de la tabla del Paso 4 por el rendimiento total, tal como se midi en el Paso 3. Nota: A causa de la variedad de configuraciones de ISA Server, escenarios de uso y de plataformas de
hardware, los nmeros anteriormente citados slo para propsitos de estimacin. Para implementaciones con un ancho de banda del vnculo de Internet superior a 10 megabits por segundo, recomendamos hacer una prueba piloto para comprobar estas estimaciones. Por ejemplo, supongamos que los kilobits por conexin calculados en el Paso 2 son 200, el rendimiento agregado
total es de 15 megabits y necesita que ISA Server realice protocolo de puente SSL a SSL. Segn se extrae de la tabla anterior, un solo procesador necesita 96 megaciclos por megabit o 96 15 = 1440 megaciclos por 15 megabits por segundo. Un procesador Intel Pentium 4 simple a 2,4 GHz es suficiente para esta carga y se utiliza a
1440/2400 = 60% a rendimiento pico. Un equipo con doble procesador con dos procesadores Intel Pentium 4 a 2,4 GHz necesita 120 megaciclos por megabit o 120 15 = 1800 megaciclos por 15 megabits por segundo y se usa al 1800/ (2 2400) = 38% a rendimiento pico. La tabla siguiente muestra la cantidad del trfico en megabits que un procesador a 2,4 GHz puede procesar al mximo de utilizacin recomendado (80 por ciento). Kilobits por conexiones 1 procesador, SSL a HTTP 1 procesador, SSL a SSL 100 200 500 21 16 25 20 37 32 28 23 42 37
2 procesadores, SSL a HTTP 30 2 procesadores, SSL a SSL 27
Esta tabla es especfica para implementaciones en las que ISA Server se utiliza slo para trfico SSL. Si tiene
previsto implementar ISA Server para trfico SSL y HTTP no cifrado, puede estimar la capacidad de procesamiento que necesita calculando una media ponderada de megaciclos segn la cantidad de trfico de cada escenario
multiplicada por los megaciclos por megabit, mostrados en la tabla siguiente. Escenario Proxy transparente 1 procesador 2 procesadores Por ejemplo, supongamos que desea implementar ISA Server en un escenario de firewall perimetral en el cual el 40 por ciento del trfico pico de 20 megabits por segundo es proxy transparente, el 35 por ciento es proxy de reenvo y el 25 por ciento es SSL a SSL con 200 kilobits por conexin. La cantidad total de megaciclos necesarios para que ISA Server procese este trfico en un equipo con un solo procesador es: megaciclos = 20 megabits por segundo (74 40% + 37 35% + 96 25%) = 1331 74 86 Proxy reenvo 37 43 de Tnel SSL 30 35
Un procesador Intel Pentium 4 a 2,4 GHz es suficiente para procesar esta carga y se utiliza al 1331/2400 = 55% de rendimiento pico. Un equipo de doble procesador
requiere 20 (86 40% + 43 35% + 120 25%) = 1589 megaciclos, que utiliza 1589/ (2400 2) = 33% de dos procesadores Intel Pentium 4 a 2,4 GHz a rendimiento pico.
Filtrado activoFiltrado activo inspecciona los datos en el nivel de transporte y est implementado en el controlador de modo de ncleo del Motor de Paquete firewall de ISA Server. Filtrado activo evala las direcciones IP de origen y destino, opciones y nmeros de puerto con marca TCP/UDP y los tipos y cdigos del Protocolo de mensajes de control de Internet (ICMP). Utiliza esta informacin para
determinar el estado de la conexin, y admite paquetes que se ajustan a este estado y rechaza paquetes que no se ajustan. Filtrado activo necesita slo una pequea cantidad de los recursos que necesita el filtrado de nivel de aplicacin. La misma cantidad de trfico HTTP que usa el 75 por ciento de la CPU con filtrado proxy web usar slo el 8 por ciento de la CPU con filtrado activo (un factor de aumento del rendimiento de 10).
VPNUna red privada virtual (VPN) consiste en dos escenarios bsicos: VPN de acceso remoto y VPN de sitio a sitio. Ambos pueden usar varios protocolos y trabajar en conjuncin con filtrado de aplicacin o con filtrado activo. Los protocolos basados en seguridad de protocolo de Internet (IPsec) pueden usar tambin las capacidades de descarga de hardware disponibles en muchos adaptadores de red, lo que mejora la utilizacin pueden general funcionar del con
procesador.
Algunos
protocolos
compresin para aumentar el rendimiento o ahorrar ancho de banda. Todas estas caractersticas afectan al
rendimiento, como se explica en las secciones siguientes.
VPN de acceso remotoLos clientes remotos que llaman desde Internet utilizan acceso remoto por VPN para tener acceso a sus redes corporativas. Los protocolos empleados en el acceso
remoto son protocolo de tnel punto a punto (PPTP) y protocolo de tnel de capa dos (L2TP) sobre seguridad de protocolo compatibles de Internet con la (IPsec). Ambos que protocolos est son compresin, recomendada
porque ahorra ancho de banda y capacidad de procesamiento necesarias para el cifrado. Para determinar la capacidad adecuada para un servidor VPN ISA Server, primero necesitar evaluar el nmero
mximo de conexiones remotas simultneas que su equipo ISA Server necesita soportar. Por ejemplo, si espera que menos del 5 por ciento de los empleados de su
organizacin
establezcan
conexiones
remotas
simultneamente y su organizacin tiene 5.000 empleados, 250 conexiones simultneas de acceso remoto VPN
simultneas es la capacidad que necesita. La tabla siguiente indica el nmero mximo de conexiones simultneas plataforma de de acceso remoto VPN admitidas por cada una
hardware.
Estas
cifras
implican
configuracin de ISA Server lista para funcionar que incorpora filtrado proxy web, registro MSDE y compresin tanto para PPTP como L2TP sobre protocolos IPsec.Protocolo Conexiones y Procesador Procesadores ancho de banda Pentium 4 simple Dual Xeon a a 3 GHz GHz Procesador dual de 3 doble ncleo Xeon a 2,800 GHz
PPTP Conexiones Ancho de banda L2TP IPsec Conexiones Ancho de banda 700 10,5 Mbps 850 12,75 Mbps 2,450 63,75 Mbps sobre 600 9 Mbps 760 11,4 Mbps 2,200 33 Mbps
Lo siguiente se refiere a la tabla anterior:
Las cifras de ancho de banda son el ancho de bandanecesario del vnculo de Internet. El ancho de banda real es el doble de la cantidad mostrada en la tabla
anterior, debido a la compresin.
Las cifras de ancho de banda suponen un rendimientomedio de 30 Kbps por conexin, lo que equivale aproximadamente a una conexin de acceso telefnico de 56 KB. En las implementaciones donde los clientes VPN son de mayor confianza, se puede deshabilitar el filtrado del nivel de aplicacin, lo que mejora la capacidad total y reduce el nivel de seguridad. La tabla siguiente muestra las cifras cuando est deshabilitado el filtro proxy web.Protocolo Conexiones y Pentium 4 a 3 Doble Pentium 4 a Procesador dual de ancho de banda GHz, Standard 3 GHz, Enterprise doble ncleo Xeon a Edition Edition 2,800 GHz
PPTP Conexiones Ancho de banda L2TP IPsec Conexiones Ancho de banda 1,000 15 Mbps 2,320 35 Mbps 2,000 30 Mbps sobre 1,000 15 Mbps 2,500 38 Mbps 2000 30 Mbps
Lo siguiente se refiere a la tabla anterior:
El procesador Pentium 4 simple a 3 GHz es capaz dealcanzar el nmero mximo de conexiones simultneas (1.000) en ISA Server 2006 Standard Edition. ISA Server 2006 Enterprise Edition no tiene dicho lmite. ISA
Server Enterprise Edition debe ejecutarse en Windows
Server 2003, Enterprise Edition, porque Windows Server 2003, Standard Edition tiene un lmite de 1.000
conexiones.
La descarga de hardware IPsec, disponible en muchosadaptadores de interfaz de red, puede aumentar los valores de rendimiento entre un 20 y un 25 por ciento. Tenga en cuenta, sin embargo, que para Windows Server 2003, est disponible slo para adaptadores de red a 100 Mbps.
La tabla anterior muestra que para arquitectura dedoble ncleo, el nmero mximo de conexiones y el rendimiento mximo son menores que para arquitectura de doble procesador. Esto est relacionado con la afinidad del procesador: Cuando un ncleo est al 85 por ciento de utilizacin y los otros tres ncleos estn al 15 por ciento, se produce un cuello de botella de CPU. Este problema se puede en solucionar la de aplicando kit de afinidad recursos de de
interrupcin disponible
(utilizando
herramienta
Intfiltr.exe
herramientas
Windows Server 2003).
VPN de sitio a sitioEn una VPN de sitio a sitio hay dos opciones principales desde una perspectiva de rendimiento y capacidad. Una opcin es usar PPTP o L2TP sobre IPsec. Estos protocolos ofrecen compresin del trfico de la aplicacin, lo que
duplica el rendimiento que puede ser transferido a travs del vnculo de sitio a sitio. Por ejemplo, el envo de archivo de 2 MB a travs de un tnel PPTP o L2TP
realmente pasar slo 1 MB. La otra opcin es usar tnel IPsec, que no incorpora compresin. As que de hecho, PPTP y L2TP sobre IPsec ahorran rendimiento de sitio a sitio en un 50 por ciento, en comparacin con tnel IPsec. Con el filtro proxy web deshabilitado, L2TP sobre IPsec necesita un nico procesador Pentium III a 750 MHZ para un trfico de aplicacin de 15 Mbps. El paso de este trfico en una direccin requiere slo una capacidad de vnculo de 7,5 Mbps, debido a la compresin. Un
procesador Pentium 4 simple a 3 GHz puede controlar un trfico de aplicacin de hasta 90 Mbps que necesite una capacidad de vnculo T3 (45 Mbps). Cuando el filtro proxy web est habilitado, un procesador Pentium III a 750 MHz puede soportar un trfico de aplicacin de 7 Mbps que requiere un ancho de banda de vnculo de Internet de 3,5 Mbps, mientras que un procesador Pentium 4 simple a 3 GHz administra un trfico de aplicacin de 34 Mbps que
corresponde a un ancho de banda de Internet de17 Mbps. Los procesadores Dual Xeon a 3 GHz pueden administrar un trfico de aplicacin de 53 Mbps que requiere un ancho de banda del vnculo de Internet de 26,5 Mbps. PPTP puede
administrar aproximadamente entre un 15 y un 20 por ciento ms rendimiento para el mismo consumo de CPU. La segunda opcin es usar tnel IPsec, que no es
compatible con la compresin, lo que significa que el trfico del vnculo de Internet es igual que el trfico de aplicacin. Al funcionar en conjuncin con filtrado activo (el filtro proxy web est deshabilitado), el tnel IPsec puede administrar 10 Mbps en un nico procesador Pentium III procesador Pentium 4 a 550 MHZ a 3 y 52 Mbps Cuando en un
procesador
simple
GHz.
est
habilitado el filtro proxy web, las cifras de rendimiento son 4 Mbps, 18 Mbps y 30 Mbps para el procesador Pentium III simple, Pentium 4 simple y las plataformas dual Xeon, respectivamente. La tabla siguiente resume estos resultados: los megabits reales admitidos de por CPU. segundo (Los al 75 por entre ciento de
utilizacin
nmeros
parntesis
representan los volmenes de trfico no comprimido).Mtodo VPN sitio a sitio L2TP sobre de Filtrado Pentium 4 a Pentium dual Procesador dual de doble 3 GHz 4 a 3 GHz ncleo Xeon a 2,800 GHz
IPsec
(comprimido) Deshabilitado 45 (90) Habilitado PPTP sobre IPsec 17 (34) 71 (142) 27 (53) 55 (110) 25 (50)
(comprimido)
Mtodo VPN sitio a sitio
de Filtrado
Pentium 4 a Pentium dual Procesador dual de doble 3 GHz 4 a 3 GHz ncleo Xeon a 2,800 GHz 81 (162) 31 (61) 88 (176) 35 (70)
Deshabilitado 52 (104) Habilitado Tnel IPsec Deshabilitado 52 Habilitado 18 20 (39)
87 30
94 33
La
descarga
de de
hardware interfaz
IPsec, de red,
disponible puede
en
muchos los
adaptadores
aumentar
valores de rendimiento entre un 20 y un 25 por ciento.
VPN de sitio a sitio en varias sucursalesEn muchas organizaciones, es comn encontrar un escenario con varias sucursales y una sola sede central. En esta configuracin, varios equipos de sucursales estn
conectados al mismo equipo en la sede central. Esto se conoce como topologa en estrella. Una medicin del escenario mostr que un solo equipo ISA Server en la sede central puede admitir hasta 60 equipos de sucursales conectados simultneamente, con una tasa de trfico de 200 Kbps. El hardware utilizado para esta prueba fue un procesador Quad AMD a 2,4 GHz con 2 GB de RAM. Los tneles VPN fueron creados utilizando L2TP sobre IPsec.
Escalado de ISA ServerHay varias maneras de escalar un sistema ISA Server:
Mediante un equipo hardware de conmutacin de red dealto nivel. Estos conmutadores a menudo se denominan conmutadores L3, L4 o L7 (capa 3, capa 4 o capa 7) porque proporcionan capacidades de conmutacin basada en la informacin disponibles en diferentes capas de red. La conmutacin L3 se basa en informacin de capa de paquete (IP), L4 se basa en informacin de capa de transporte (TCP) y L7 realiza conmutacin basada en datos de aplicacin (encabezados HTTP). La informacin disponible en estos niveles puede proporcionar un sofisticado equilibrio de carga, segn el origen IP o las direcciones de destino, los puertos TCP de origen o destino, direccin URL y tipo de contenido. Debido a que los conmutadores son implementados como aparatos de hardware, tienen un rendimiento relativamente alto y tienen una alta disponibilidad y fiabilidad, pero son costosos. detectar La mayora de de los conmutadores de pueden
condiciones
bloqueo
servidor,
habilitando tolerancia a errores.
Mediante resolucin de nombres de operacin por turnosDNS. A un clster de servidores se le puede asignar el mismo nombre en el Sistema de nombres de dominio (DNS). DNS responde a consultas para ese nombre examinando la lista de forma es cclica. que la Se trata no de se una solucin
econmica (sin costo), pero tiene inconvenientes. Un problema carga distribuye
necesariamente de manera uniforme entre los servidores del clster. Otro problema es que no proporciona
tolerancia a errores. Mediante equilibrio de carga de red de Windows.
Equilibrio de carga de red (NLB) funciona compartiendo una direccin IP con todos los servidores de un clster y todos los datos enviados a esa direccin IP son vistos por todos los servidores. Sin embargo, cada paquete es servido slo por uno de los servidores, segn alguna funcin hash compartida. NLB se implementa en el nivel del sistema operativo. Proporciona
equilibrio de carga uniformemente distribuido y admite tolerancia a errores. (Otros servidores del clster pueden detectar si falla un servidor y distribuir su carga entre ellos). Sin embargo, requiere sobrecarga de procesamiento de CPU (aproximadamente entre el 10 y el 15 por ciento en escenarios ISA Server comunes) y tiene un lmite en el nmero de miembros en el clster
(aproximadamente 8 equipos como mximo recomendado). Para ms informacin acerca de cmo implementar NLB, consulte "Conceptos de integracin de equilibrio de carga de red para Microsoft Internet Security and
Acceleration (ISA) Server 2006" en el sitio web de Microsoft Technet. Mediante el Protocolo de enrutamiento de matriz de
cach. Para escenarios de almacenamiento en cach, ISA Server admite el Protocolo de enrutamiento de matriz de cach (CARP), que es un protocolo de equilibrio de carga en cach. No slo distribuye la carga entre los servidores, sino tambin el contenido almacenado en cach. Cada solicitud se enva a un equipo especfico del clster, para que los siguientes sean servidos de ese equipo. Debido a que ISA Server mantiene un estado para cada secuencia que pasa a travs de l, todos los mtodos de escalado deben admitir adherencia para que todos los datos pasen por el equipo ISA Server. El escalado se utiliza para aumentar la capacidad de un sistema. Cada mtodo de escalado tiene sus ventajas y sus inconvenientes y, para ISA Server, tambin depende del escenario. Al decidir qu mtodo de escalado usar,
considere lo siguiente: Factor de rendimiento. El factor de multiplicacin para rendimiento agregado cuando se duplica el nmero de equipos en la matriz. Costo del sistema. Costo inicial de compra del sistema y no el costo de propiedad. Administracin del sistema. Nivel de complejidad en la administracin del sistema. Tiene consecuencias
directas sobre los costos de propiedad del sistema. Tolerancia a errores. Mtodo utilizado por el sistema para posibilitar la alta disponibilidad y confiabilidad. Crecimiento del sistema. Mtodo utilizado para aumentar la capacidad de procesamiento del sistema. El costo de actualizaciones tambin es un factor importante. A continuacin se muestran algunas implicaciones que
considerar al decidir escalar: nico punto de posibles errores contra tolerancia a errores. La disponibilidad de una implementacin con un solo equipo es ms susceptible de errores de hardware que un clster de varios equipos. Un error en la placa base o en el controlador de disco provocar que falle el sistema entero y necesite reparacin. Esto tambin es cierto para un equilibrador de carga de hardware que no funcione correctamente. Crecimiento. Actualizar una solucin de equipo nico de un procesador a dos procesadores es sencillo, siempre y cuando haya una ranura de procesador vaca en el equipo (o puertos disponibles en el conmutador de equilibrio de carga de hardware). En clsteres de varios equipos, agregar otro equipo es ms complicado. La tabla siguiente resume los mtodos de escalado.
Caractersticas
Conmutador hardware 2
de Windows NLB
Operacin CARP por turnos DNS Empezando en 1,5 y aproximndose asintticamente a 2
Factor de escala
1,75
para
el 2
trfico web 1,9 para SSL y acceso remoto VPN Costo sistema. Tolerancia errores del Costoso Sin agregado a Depende del conmutador Por (la mayora costo Sin
costo Sin costo agregado
agregado Por deteccin mutua de equipos que fallan
deteccin Ninguna de que
detecta mutua fallan Todos
equipos con errores y equipos carga a los otros) Escenario Todos
Todos
Slo
almacenamiento
en cach de reenvo
Lo siguiente se refiere a la tabla anterior:
NLB requiere una sobrecarga de rendimiento del 15 porciento cuando se habilita. Una matriz NLB con un solo miembro realizar el 15 por ciento menos que la misma matriz con NLB deshabilitado. Por lo tanto, al estimar la capacidad con escalado NLB, primero hay que reducir los valores de rendimiento para un solo equipo en un 15 por ciento y a continuacin aplicar los factores de escala.
El factor de escala NLB para el trfico web implica unaconfiguracin de afinidad bidireccional (al configurar ms de un clster de NLB en una matriz). En muchos casos, la afinidad simple ser suficiente para el
trfico web, en cuyo caso el factor de escala es 1,9.
Cuando se utiliza una VPN de sitio a sitio con NLB, noes posible equilibrar la carga de varios tneles que conectan dos sitios sobre varios miembros de la matriz. En este caso, NLB slo proporciona tolerancia a
errores. Cuando se conecta un sitio sobre una matriz NLB a muchos sitios, ISA Server propagar los tneles sobre todos los miembros de la matriz.
Ajuste del tamao del Servidor de almacenamiento de configuracinUno de los componentes del servidor que se introduce con ISA Server 2006 Enterprise Edition es el componente del Servidor de almacenamiento de configuracin. El Servidor de almacenamiento de configuracin es el repositorio del diseo de la empresa y la configuracin para cada equipo ISA Server en la empresa. Este repositorio es un ejemplo de Active Directory Application Mode (ADAM). Cada equipo ISA Server tiene una copia local de su configuracin que es una rplica de la configuracin del servidor, que se encuentra en el Servidor de almacenamiento de
configuracin. El nmero recomendado de equipos ISA Server que se pueden conectar a un solo Servidor de almacenamiento de
configuracin es 300, y el mximo recomendado es 600. Estas cifras fueron estimadas con medidas de rendimiento de la operacin ms intensiva de recursos sobre el
Servidor
de
almacenamiento
de
configuracin
(la
importacin de una directiva a gran escala con centenares de reglas con miles de referencias a objetos de
directiva, dando como resultado un archivo de lenguaje de marcado extensible (XML) de aproximadamente 6 MB. En este escenario, el Servidor de almacenamiento de configuracin importa el archivo XML y crea una nueva configuracin. Tan pronto como el Servidor de almacenamiento de
configuracin comienza a escribir los datos de la nueva configuracin a disco, todos los equipos ISA Server conectados comienzan a recuperar esta configuracin al mismo tiempo, dando como resultado una carga considerable de CPU, red y E/S a disco en el Servidor de
almacenamiento de configuracin. Utilizando un equipo con doble procesador Intel Pentium 4 a 3,6 GHz con 2 GB de memoria fsica para el Servidor de almacenamiento de configuracin, las mediciones muestran que el Servidor de almacenamiento de configuracin podra soportar un nivel de 2.600 solicitudes de Protocolo ligero de acceso a directorios (LDAP) por segundo. El nmero total de
solicitudes LDAP por equipo ISA Server requeridas para la sincronizacin completa con importacin de directiva a gran escala es de 7.000. Estas cifras se traducen en el tiempo necesario para una sincronizacin completa de
todos los equipos ISA Server despus de que el Servidor
de almacenamiento de configuracin importe un archivo XML de directiva a gran escala, de la siguiente manera: Tiempo total de importacin = Tiempo para la importacin XML + Tiempo para escribir la configuracin a disco + Tiempo para sincronizar la configuracin por todos los equipos ISA Server Donde: Tiempo para la importacin XML = 120 segundos Tiempo para escribir la configuracin a disco = 120 segundos Tiempo para sincronizar la configuracin por N equipos ISA Server = N 7000 / 2600 = 2,7 N segundos La tabla siguiente resume estos resultados. Nmero de equipos ISA Server por Servidor 160 de almacenamiento de configuracin Sincronizacin (minutos) 8 15 28 320 640
Porcentaje de utilizacin de CPU durante 100% 100% 100% la sincronizacin Durante las dos primeras fases (la importacin XML y escritura de la configuracin a disco), el nivel de utilizacin de CPU fue aproximadamente del 50 por ciento.
Esto se debe a que lo realiza un solo subproceso que no puede consumir ms del 50 por ciento de la capacidad de procesamiento de un equipo con doble procesador. En
equipos de procesador nico, el consumo de CPU ser del 100 por cien en estas fases, una situacin que debe ser evitada. Por lo tanto, recomendamos implementar equipos de doble procesador para el Servidor de almacenamiento de configuracin o bien habilitar tecnologa Hyper-Threading en un equipo de procesador nico (con procesadores
Pentium 4). Para obtener informacin del detallada de acerca de la de
implementacin
Servidor
almacenamiento
configuracin de ISA Server, consulte "Instrucciones de implementacin para ISA Server 2006 Enterprise Edition" en el sitio web de Microsoft Technet.
Referencia y ejemplo de ajuste de tamaoEsta seccin ofrece una referencia central y un resumen para ajustar y el tamao de ISA Server La 2006 Standard tabla
Edition
Enterprise
Edition.
primera
proporciona los megaciclos por megabit para el proxy web, SSL, VPN y escenarios de filtrado activo.Escenario Proxy transparente Proxy web de reenvo 37 43 32 18 Pentium simple web 74 4 Xeon dual 86 Procesador dual Xeon de doble AMD ncleo 62 36
Escenario Filtrado activo Tnel SSL SSL - SSL a HTTP Escenario Outlook Access Web RPC sobre HTTP SSL - SSL a SSL Escenario Outlook Access Web RPC sobre HTTP 96 83 77 69
Pentium simple 8 30
4 Xeon dual 10 35
Procesador dual Xeon de doble AMD ncleo 9 38 5 40
Pentium simple Web 91
4 Xeon dual 128
Procesador ncleo 91
dual
Xeon
de
doble AMD 51
104 91
72 64
40 35
Pentium simple Web 120
4 Xeon dual 142
Procesador ncleo 101
dual
Xeon
de
doble AMD 56
120 104
83 73
46 41
Acceso remoto VPN - filtro web habilitado Escenario L2TP IPsec PPTP 250 (125) 395 (198) 277 (239) Pentium simple sobre 214 (107) 4 Xeon dual 353 (177) Procesador ncleo 247 (124) dual Xeon de doble AMD 136 (68) 152 (76) Acceso remoto VPN - filtro web deshabilitado Escenario L2TP IPsec PPTP 75 (38) 118 (59) 106 (53) Pentium simple sobre 80 (40) 4 Xeon dual 128 (64) Procesador ncleo 115 (58) dual Xeon de doble AMD 81 (41) 74 (37) VPN de sitio a sitio - filtro web habilitado
Escenario L2TP IPsec PPTP
Pentium simple sobre 132 (66)
4 Xeon dual 167 (84)
Procesador ncleo 159 (80)
dual
Xeon
de
doble AMD 89 (45)
113 (57)
145 (73)
162 (81)
105 (53)
Tnel IPsec
125
150
168
149
VPN de sitio a sitio - filtro web deshabilitado Escenario L2TP IPsec PPTP 43 (22) 56 (28) 61 (31) 106 (53) Tnel IPsec 43 52 57 196 Pentium simple sobre 50 (25) 4 Xeon dual 63 (32) Procesador ncleo 49 (25) dual Xeon de doble AMD 97 (49)
Lo siguiente se refiere a la tabla anterior:
Para
la
publicacin
en
Web,
use
las
cifras
proporcionadas para proxy web de reenvo, pero tenga en cuenta que su carga y capacidad reales pueden diferir notablemente de sus estimaciones.
Para una VPN, donde proceda, hay dos conjuntos decifras: El primer conjunto representa los megaciclos por megabit comprimido real. El segundo conjunto (entre parntesis) representa los megaciclos por megabit de aplicacin descomprimido. Use los valores para el
trfico comprimido si mide el trfico en trminos de ancho de banda y use los valores para el trfico de aplicacin si le resulta ms fcil medir o estimar el
trfico de aplicacin descomprimido. Las cifras de la tabla anterior se obtuvieron utilizando los supuestos siguientes:
Se utiliza el registro MSDE. No se realiza ninguna autenticacin web. El filtro web HTTP est habilitado con la configuracinpredeterminada.
ISA Server se carga con el trfico web caracterstico. El hardware ISA Server se ajusta tal como se describeen Ajuste del hardware para un mximo uso de la CPU en este documento.
La tabla siguiente proporciona factores de escala NLBpara ser utilizados al aplicar escalado NLB para aumentar la capacidad. Nmero de miembros de la matriz NLB Factor escala 1.9 1.75 1.053 1.085 1.108 1.126 1.142 1.155 1.166 1.143 1.236 1.306 1.363 1.412 1.455 1.493 de 2 3 4 5 6 7 8
Lo siguiente se refiere a la tabla anterior:
Se debe realizar un aumento inicial del +15 por cientoen todos los nmeros de la primera tabla al aplicar NLB.
Utilice factor de escala 1,75 slo cuando configure msde un clster NLB en la matriz (por ejemplo, si utiliza afinidad bidireccional) y slo para escenarios proxy web (proxy transparente, proxy de reenvo, publicacin en Web y tnel SSL) y filtrado activo. En el resto de casos, use un factor de escala 1,9. El ejemplo siguiente para ilustra el cmo usar las tablas para
anteriores
calcular
hardware
necesario
soportar los requisitos de trfico especficos. Supongamos que un sitio grande tiene un ancho de banda de vnculo de Internet de 80 megabits por segundo que se usa por completo en horas de utilizacin pico. Durante este tiempo, el 10 por ciento del trfico se utiliza para acceso VPN remoto (L2TP sobre IPsec con filtro web
habilitado), el 20 por ciento se utiliza para Outlook Web Access (utilizando protocolo de puente SSL a HTTP) y el 70 por ciento se utiliza para exploracin web de salida (50 por ciento para proxy transparente y 50 por ciento para proxy de reenvo). Para calcular los megaciclos necesarios para este trfico, calcule primero los
megaciclos ponderados por megabit, suponiendo una nica
implementacin en equipo dual Xeon (sin equilibrado de carga): Megaciclos/megabit = 353 10% + 128 20% + 86 35% + 43 35% = 107 La cantidad total de megaciclos por segundo necesarios para 80 megabits por segundo es 80 107 = 8560. Un equipo con doble procesador a 3 GHz tiene slo 2 3000 75% = 4500 megaciclos cuando se utiliza al 75 por ciento, lo cual no es suficiente. Es necesario escalar con quiz ms equipos. Para En este momento, el nmero no queda claro de exactamente cunto se necesita probablemente dos, pero tres. calcular factorizado
megaciclos necesarios por megabit, multiplique el nmero de megaciclos por megabit para cada de tipo de trfico por su factor de escala correspondiente y recuerde
realizar otra factorizacin del +15 por ciento. Para dos miembros de una matriz, tome 1,143 para el trfico web (presuponiendo Arquitectura de controlador de difusin) y 1,053 para trfico VPN y SSL. El resultado es: Megaciclos/megabit factorizados presuponiendo una matriz de dos miembros = 115% (353 10% 1,053 + 128 20% 1,053 + 86 35% 1,143 + 49 35% 1,143) = 136 El total de megaciclos por segundo necesarios resultante es de 80 136 = 10880. Esto es demasiado para ser
servido
por a
dos 3
miembros. GHz soportan
(Dos slo
equipos 2
con =
doble 9000
procesador megaciclos
4500
por
segundo).
Tres
equipos
probablemente
tendrn suficiente capacidad para soportar esta carga. El resultado del clculo es: Megaciclos/megabit factorizados presuponiendo una matriz de tres miembros = 115% (353 10% 1,085 + 128 20% 1,085 + 86 35% 1,236 + 49 35% 1,236) = 143 El total de megaciclos por segundo necesarios resultante es de 80 143 = 11440. Tres equipos con doble procesador a 3 GHz proporcionan 13500 megaciclos por segundo a un 84 por ciento de utilizacin del procesador. Esto es
suficiente para soportar esta carga y proporciona algo de espacio para crecimiento.
Informacin adicionalPa
