《利用WCCP协议优化代理服务器的部署》由会员分享,可在线阅读,更多相关《利用WCCP协议优化代理服务器的部署(8页珍藏版)》请在金锄头文库上搜索。
1、利用WCCP协议优化代理服务器的部署摘要:本文基于实际网络维护经验,总结了代理服务器在大型园区网用户访问互联网中的作用和存在的各种问题,并针对存在的问题进行分析,提出可实施的解决方案关键词:代理服务器;缓存;wccp协议;重定向to optimize the deployment of proxy server withwccp protocolwei wei(beijing capital international airport,beijing100621)abstract: this paper, based on the actual network maintenance expe
2、rience, summarizes the functions and disadvantages of proxy servers when they are used in large lan users access to the internet, and in the light of the analysis of existing problems, puts forward the solutions can be implementedkeywords: proxy server;cache;wccp protocol;redirect通常情况下,我们使用网络浏览器访问in
3、ternet站点或其他目的服务器时,是由客户端直接访问到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于客户端和目的服务器之间的另一台服务器,有了它之后,客户端不是直接到目的服务器去取回信息而是向代理服务器发出请求,由代理服务器取回客户端所需要的信息并传送给客户端浏览器。使用代理服务器带来的主要好处:1、速度提升:根据笔者对数千用户访问internet的流量进行长达2年的统计,发现用户总的访问需求中,大概50%的访问目的资源是重复的,如果每个用户都直接访问到目的站点,则会造成巨大的流量浪费,企业也必须为此租用更宽的internet链路,支付更高的费用。而代理服务器的存在,则
4、很好的解决了这个问题,代理服务器通常都具有缓存功能,用户通过代理服务器访问internet的数据均先下载到代理服务器本地后再发给源请求用户,由于代理服务器通常具有较大的本地存储空间和经过特别优化的i/o设计,能保证大量用户并发访问时快速响应,把数据快速传送给客户端,而客户端与代理服务器通常在一个局域网内,使用100m、1000m甚至更高带宽互联,所有当客户端访问的资源在代理服务器上具有本地缓存时,访问速度大幅提升。通过代理服务器的缓存功能实现访问速度提升在访问internet人数较多的大型企事业单位中能得到明显体现。2、安全提升:传统方式中,客户端直接访问目的站点时,客户端经常使用的通用网络浏
5、览器及操作系统等由于漏洞及安全管理等各种原因,容易遭受网页病毒、木马、恶意插件等的侵袭,带来较大的安全隐患和较高的安全管理成本。而代理服务器机制由于本身的架构设计就避免了用户直接被侵袭的可能,而且代理服务器由于采用专用的软件设计,本身并不容易遭受常见病毒、木马和恶意插件等的干扰,加之现在很多代理服务器都具有病毒检测、url过滤、深层检测、流量清洗等功能,如果用户访问的目的站点存在安全问题或者下载到代理服务器本地的数据存在安全问题,则不会发给用户,从而极大提升安全水平。除此以外,代理服务器还可与ldap或radius等认证系统结合实现安全认证、日志审计、行为控制等功能,从而全方位提升访问互联网的
6、安全性。代理服务器的不足之处:代理服务器的使用过程中,一个比较关键的地方就是如何让终端用户找到代理服务器?通常的方式是:在用户的网络浏览器中进行设置,指定代理服务器。但是使用浏览器设置代理服务器时会带来如下问题:1、如果需要在浏览器中设置代理服务器的终端电脑很多,面对技术水平参差不齐的用户,如何快速部署实施?2、用户访问本地局域网资源时,需要对访问的本地局域网资源进行例外设置,使访问本地资源的流量不经过代理服务器,如果大量用户都不会设置怎么办?如果设置好了以后陆陆续续又有很多新增的内网服务器需要增加例外设置怎么办?3、使用代理服务器访问互联网的网络中,基于安全考虑,通常不允许用户直接访问互联网
7、,用户访问互联网的请求均通过代理服务器实现,但是如果用户访问互联网不是通过浏览器,而是通过某个c/s应用中的应用程序访问互联网,应用程序不支持设置代理服务器时怎么办?当然,可以允许这部分用户直接访问互联网,但是如果有大量用户都需要使用此应用程序呢?安全原则是否要被打破?网络结构与路由策略是否要调整?4、大量用户通过代理服务器访问互联网,代理服务器成为瓶颈点,性能够么?代理服务器宕机了怎么办?当然,上述的几个问题都有常规的解决办法应对:用户端部署实施可以通过windows域管理和脚本文件等解决,c/s应用不支持问题可以通过路由和安全调整等解决,代理服务器瓶颈问题可以通过服务器负载均衡设备的引入解
8、决办法总是有的,但是很多办法在解决了老问题的同时引入了新的问题和带来很高的成本:域管理本身就是一个实施难度较高的工作,如果原来就是域管理环境还可以,但是如果没有而且短期内不计划部署呢?我想这种情况下域管理实施的成本已经远远超过代理服务器带来的好处了;通过安全调整等解决c/s应用问题,将最终导致代理服务器成为鸡肋;购买服务器负载均衡设备解决代理服务器瓶颈问题,又是一笔巨大的投入,不值!如此看来,代理服务器的好处很明显,但为了维持它的使用居然有这么多的问题,干脆别用它了,或者有没有两全其美的办法呢?答案是,有,而且很廉价,很好用,什么办法?代理服务器+wccpwccp (web cache com
9、munication protocol )是一种高速缓存技术协议,是路由器与缓存引擎cache engine之间的通信协议,当用户访问的请求经过路由器或支持wccp功能的交换机防火墙等时,路由器进行拦截,并重定向到cache服务器,这样可以提供访问速度,减轻网络带宽负担。wccp 协议定义了路由和缓存引擎之间透明重定向的机制,在网络缓存引擎中实现负载分配的方法、转发方式的协商等等各个方面,wccp的版本有v1和v2,目前最新的版本是v2,新版本具有以下功能一、支持动态服务与标准服务wccp 支持将多种tcp 端口的数据流重定向到缓存引擎。wccp 除了支持把tcp端口为80 的http 数据流
10、重定向到缓存引擎的标准服务外,还支持将把tcp 端口为非80 的数据流重定向到缓存引擎的动态服务(如ftp、ssl等)二、支持多路由器wccp 允许系列缓存引擎连接到若干路由器上,提供冗余和分布式的结构。wccp是这样实现路由器和缓存引擎之间的通信的:将若干路由器和系列缓存引擎组成一个服务组service group ,并且这些路由器和引擎都彼此知道对方的存在。一旦建立了服务组,就专门指定一个缓存引擎来决定各个缓存引擎间的负载分配。在一个服务组中,一般能够为所有路由器所见,并具有最小ip 地址的那个缓存引擎成为首领缓存引擎,它的任务是为缓存引擎群分配数据流,其分配信息被传送给整个服务组,这样每
11、个路由器就可以正确地重定向数据分组,而缓存引擎群可以更好地管理它们的负载。三、实现透明地重定向wccp 路由器透明地实现用户浏览器对web 服务器的http 请求的重定向,最终用户并不知道所浏览的页面并不是直接来自web 服务器而是缓存引擎。除此之外,缓存引擎的操作对网络也是透明的,对非重定向传输来说路由器完全扮演了他的通常角色即正常的转发。四、支持两种重定向方法wccp 支持两种重定向方法:gre 封装重定向和l2 重写重定向。gre 封装重定向方法,是在ip 报文的头部封装一个gre头,在ip 报文尾部封装一个四字节的redirect头,形成一个新的ip 报文的方法。l2 重写重定向方法,
12、则不封装ip 报文,而是由wccp 路由器直接用目标缓存引擎的mac 地址替换ip 报文的目的mac 地址即可。gre 封装重定向方法允许目标缓存引擎与路由器之间跨网络连接,而l2 重写重定向方法要求目标缓存引擎与路由器在链路层layer2 直接相连。五、负载均衡wccp 在缓存引擎群之间的负载均衡方式有两种:散列方式和掩码/变量值集合方式。负载均衡的目的是为了将数据流负载均匀地分配给缓存引擎群集。通过负载均衡的方法,wccp 可将通信流重定向到缓存引擎,因此,当服务组中增加或减少了缓存引擎时,wccp 可重新在缓存引擎群之间分配负载。这样wccp 支持可伸缩的缓存引擎群集,使可用资源更有效地
13、利,用同时为用户提供高质量的服务。六、报文退还当缓存引擎把不能处理的报文退还给路由器时,该路由器将不再把该报文重定向,而进行正常的转发。例如,缓存引擎已经过载没有空间缓存报文时,它将拒绝任何重定向报文并把它们退还安全验证。figure 1wccp流量示意图图中cache/service group的位置由代理服务器承担,代理服务器本身就是一个cache服务器.过程如下:1、客户端流量先经过内网访问到与代理服务器连接的路由器.2、路由器将此流量重定向到代理服务器(路由器和代理服务器已经通过wccp协商形成邻居关系,并约定好由代理服务器进行处理的业务类型,如80、443等).3、在代理服务内部,8
14、0、443端口又重定向到3128端口(squid的监听端口默认为3128,此处以squid为例子),代理服务器需要查看本地存储中是否有最新的资源数据,有责直接发送给客户端,没有则连接到互联网后再传给客户端。由于代理服务器和路由器之间通过运行wccp形成邻居关系,系统管理员在wccp的配置中指定固定的服务由代理服务器承担,通常是占用户访问网络流量较大的http流量、视频流量等,当然,也可以将所有流量均由代理服务器处理,但考虑到部分应用通过代理服务器访问时可能出现异常错误,如网银登录等,通常只指定占流量较大和可能造成安全隐患的服务由代理服务器处理。在此种结构下,代理服务器的作用得以保留,但用户端却
15、无需任何代理服务器相关配置,提高了用户端使用便利性,网络管理员的维护工作量也大幅度降低;针对部分c/s应用无法通过代理服务器使用问题,可在路由器上配置此应用程序所使用的端口的流量不经过wccp协议转发即可解决。wccp v2版本还支持负载均衡功能,将几台代理服务器部署好以后,路由器端可设置指定的几台代理服务器地址作为cache服务器使用,并且可以设定每台代理服务器的使用权重,低性能的代理服务器分配低权重,高性能服务器分配高权重,每台设备的性能都得到使用,不仅十分方便,也省去了服务器负载均衡等四层转发设备的高昂投入。至此,传统代理服务器部署过程中存在的各种问题均得到解决,而且投入成本非常低,只需要具有wccp v2功能支持的三层交换机、路由器或防火墙即可,wccp协议原是cisco公司的私有协议,但后来得以开放,目前很多厂商的设备均支持此协议,如:h3c、bluecoat、riverbed,甚至连基于linux的免费的squid代理软件也支持,这为此项技术的大范围推广奠定了基础。经过实际网络环境运行验证,代理服务器与wccp的结合完美解决了终端电脑代理服务器配置问题和代理服务器高昂的运维成本问题,一举数得,效果喜人。参考文献:1tcp/ip路由技术第一卷第二版人民邮电出版社2wccp implementation guidejack a. graziano,jr.
