Академический Документы
Профессиональный Документы
Культура Документы
Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft
Pgina 1
Resumen ejecutivo
En la mayora de los casos, el ancho de banda de red disponible , especialmente el del vnculo de Internet, puede protegerse con ISA Server en ejecucin en el hardware ms bsico disponible . Una implementacin predeterminada tpica de ISA Server que protege el acceso web de salida para trfico de Protocolo de transferencia de hipertexto (HTTP) requiere configuraciones de hardware especficas para diferentes vnculos de Internet. Estas configuraciones del hardware se muestran en la tabla siguiente . (Para ms detalles , consulte los Escenarios proxy web en este documento).
Hasta 5 T1
Hasta 25 Mbps
Hasta T3
2 Xeon a 3 ,0 4 ,0 GHz
Memoria
512 MB
1 gigabyte (GB)
2 GB
2 ,5 GB 10 /100 Mbps
150
700
El empleo de filtrado activo de capa de transporte en lugar del filtro de proxy web mejora 10 veces la utilizacin de CPU para las mismas pautas de trfico . Tanto el filtrado activo como el filtrado de aplicacin pueden ser utilizados en paralelo para proporcionar control granular sobre el rendimiento . Principio de la pgina
Los anchos de banda disponibles y reales de cada red vinculada a un equipo ISA Server. El nmero de usuarios de su organizacin. Varias mtricas del nivel de aplicacin (por ejemplo, el tamao medio de buzn en un servidor de correo).
La mtrica ms importante para la capacidad de ISA Server son los anchos de banda real de la red , porque generalmente representan sus necesidades reales de capacidad. En muchos casos , el ancho de banda de la red , y en concreto el del vnculo de Internet , puede determinar la capacidad de ISA Server. El nmero de usuarios es menos indicativo de sus necesidades de capacidad porque cada usuario tiene su propio modo de uso, en funcin de sus necesidades y de las directivas de red de su organizacin . A veces, el nmero de usuarios, as como la mtrica en el nivel de aplicacin, pueden resultar tiles para calcular el trfico de red. Todos los casos de planificacin de la capacidad de ISA Server se encuentran en una de las categoras siguientes:
Todo el ancho de banda de la red puede ser servido por un equipo individual bsico ISA Server. Para obtener ms informacin, consulte Equipo individual bsico en este documento . El ancho de banda de la red es mayor de lo que puede llegar a servir cualquier equipo individual y se utiliza ISA Server para proteger las aplicaciones a escala de empresa. Para obtener ms informacin, consulte Escala de empresa en este documento .
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 2
En la mayora de situaciones, un equipo individual tiene suficiente capacidad de procesamiento para proteger el trfico a travs de vnculos estndar de Internet . Segn los informes de investigacin de mercado sobre el uso de Internet , la mayora de anchos de banda de los vnculos de Internet corporativos se encuentran entre 2 y 20 Mbps. Esto indica que un equipo bsico con un procesador simple o doble ser suficiente para la mayora de implementaciones de ISA Server. Segn los resultados de las pruebas de firewall de salida , ISA Server en ejecucin en un procesador Pentium 4 simple a 2, 4 GHz puede suministrar un rendimiento de aproximadamente 25 Mbps con la CPU al 75 por ciento de utilizacin . Esto significa que para cada vnculo de Internet T1 (1 ,5 Mbps), el servicio de firewall de Microsoft usar slo el 4 ,5 por ciento de los recursos de CPU. Los procesadores Dual Xeon a 2 ,4 GHz pueden proporcionar un rendimiento de aproximadamente 45 Mbps (T 3) a un 75 por ciento de utilizacin de la CPU o a un 2, 5 por ciento de CPU para cada T 1. Un equipo individual bsico funciona tambin en sucursales que conectan con recursos corporativos a travs de vnculos de Internet de red de rea extensa (WAN) independientes con los lmites de ancho de banda descritos en el prrafo anterior.
Escala de empresa
Para sitios grandes a escala de empresa con ms de 500 usuarios, la situacin es ms compleja. Este caso requiere de una planificacin ms elaborada, ya que el ancho de banda de Internet es suficientemente grande para trasladar el cuello de botella de rendimiento a los recursos de CPU del sistema. El ancho de banda de la conexin de Internet impone un lmite en el nmero de equipos que pueden usar completamente la conexin y este mximo puede ser suficiente para la mayora de las estimaciones de capacidad. Inicialmente , la planificacin para la capacidad mxima de la red puede ser conservadora , ya que los requisitos de capacidad a menudo aumentan con el tiempo. Para acomodar el crecimiento futuro, deber planificar tambin las actualizaciones de capacidad de procesamiento . Para una descripcin de tcnicas de escalado de hardware , de sus caractersticas de rendimiento y de otros beneficios del escalado , consulte Escalado de ISA Server en este documento . Principio de la pgina
Velocidad de la CPU. Como en la mayora de aplicaciones, ISA Server se beneficia de CPU ms rpidas . Sin embargo, aumentar la velocidad de la CPU no garantiza un aumento lineal del rendimiento . Debido al frecuente y gran efecto de acceso a la memoria, aumentar la velocidad de la CPU puede producir ms ciclos de CPU inactivos desaprovechados a la espera de la memoria. Tamao de cach L 2/ L3 . El manejo de grandes cantidades de datos requiere de frecuentes accesos a la memoria. Una cach L2 /L3 mejora el rendimiento en recuperaciones de memoria grandes. Arquitectura del sistema. Debido a que ISA Server transfiere grandes cargas de datos entre dispositivos de red, memoria y la CPU, los elementos de sistema alrededor de la CPU afectan tambin al rendimiento de ISA Server. Un bus de memoria frontal ms rpido y buses de E /S ms rpidos mejoran la capacidad general .
Los cuellos de botella de la CPU se caracterizan por situaciones en las que\Processor\% Processor Time las cifras del contador de rendimiento son elevadas mientras que el adaptador de red y las E /S del disco permanecen por debajo de su capacidad. En este caso, (que es el sistema maximizado para la CPU idneo), llegar al 100 por cien significa que se debe aumentar la CPU, bien actualizando a una CPU ms rpida , o bien agregando ms procesadores. Para obtener ms informacin acerca de opciones de escalado de CPU, consulte Escalado de ISA Server en este documento. Si ISA Server contina teniendo tiempos de respuesta altos, pero los porcentajes de CPU son bajos , significa que el cuello de botella est en otra parte . Las capacidades de Hyper-threading tambin pueden ayudar a reducir los niveles de uso de CPU cuando consuma menos del 60 por ciento de la CPU. En niveles ms altos de uso de CPU, si se habilita Hyper-threading se consumir la misma capacidad de procesamiento que si est deshabilitado .
Almacenar sockets de red (principalmente desde agrupaciones no paginadas ) Estructuras de datos internos Objetos de solicitudes pendientes
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 3
Debido a que ISA Server administra numerosas conexiones simultneas que necesitan memoria de sistema no paginada, el factor limitador de la memoria es el tamao de la agrupacin no paginada , en funcin del tamao total de memoria. Para sistemas operativos Microsoft Windows Server 2003 y Windows 2000 Server, los valores mnimo y mximo del tamao de agrupacin no paginada se muestran en la tabla siguiente .
Memoria fsica (MB) Tamao mnimo de agrupacin no paginada Tamao mximo de agrupacin no paginada
128 4 50
256 8 100
512 16 200
1 ,024 32 256
2 ,048 64 256
Cundo no est habilitado el almacenamiento en cach de web, 512 MB deberan ser suficientes para equipos de procesador nico, 1 .024 MB son suficientes para equipos con doble procesador y 2. 048 MB son suficientes para equipos con doble procesador y doble ncleo. Estas cantidades pueden almacenar tambin la capacidad total de memoria del conjunto de trabajo. La prueba ms crtica de que la memoria no est correctamente ajustada es cuando \Memory\Pages/sec (que mide los errores severos de pgina por segundo ) es elevado (superior a 10) durante cargas de pico. Si esto sucede, la primera accin depende de si est habilitado el almacenamiento en cach de web: 1. Si est deshabilitado el almacenamiento en cach de web, deber determinar si se necesita ms memoria fsica supervisando la memoria utilizada por todos procesos del sistema. Los siguientes contadores del rendimiento le ayudarn:
\ Memory\ Pages/ sec\ Memory\ Pool Nonpaged Bytes\ Memory\ Pool Paged Bytes\ Process(*)\Working Set
2.
Si est habilitado el almacenamiento en cach de web, primero pruebe a reducir el tamao de la memoria cach al 10 por ciento de memoria fsica . Si an hay errores severos de pgina, siga con el paso 1 .
Implementacin de servidor virtual Nota: Se admite la instalacin de ISA Server 2006 en Microsoft Virtual Server 2005 R2 . Debido a que el sistema operativo de Windows que aloja Virtual Server no puede ser protegido por ISA Server en un servidor virtual , ISA Server en un entorno Virtual Server no debe ser utilizado en un escenario de firewall perimetral, y esta configuracin no se admite. Usted puede usar esta configuracin de forma segura en otros escenarios, tales como:
Una implementacin en produccin en la que ISA Server sobre Virtual Server ofrece servicios proxy web tales como proxy de reenvo, publicacin y almacenamiento en cach y est protegido por un firewall perimetral , como un equipo ISA Server o una matriz adicionales . Una implementacin en laboratorio
Si usted encuentra altos \Process \wspsrv \Virtual Bytes valores de contador del rendimiento (valores de 1. 800.000.000 (1, 8 GB) indican que puede haber un problema ), puede considerar la utilizacin de ISA Server sobre Virtual Server 2005 R2 , como una alternativa a la compra de otro equipo ISA Server:
Defina el nmero de sistemas operativos invitados alojados por el servidor virtual . Cuando los bytes virtuales superen 1 ,8 GB, debera considerar agregar un sistema operativo virtual al equipo despus de agregar 2 GB de memoria de acceso aleatorio (RAM ). Agregue RAM al equipo host (2 GB para cada sistema operativo invitado). Instale Microsoft Virtual Server 2005 R 2 en su servidor. Para ms detalles , consulte el sitio web de Microsoft Virtual Server . Siga las recomendaciones de rendimiento en Ayuda y soporte tcnico de Microsoft . Instale sistemas operativos invitados . Instale y configure ISA Server en cada sistema operativo invitado. Utilice un equilibrador de carga externo, como por ejemplo, operacin por turnos DNS (sistema de nombres de dominio) basado en hardware o equilibrio de carga de red de Windows (NLB), para propagar el trfico entre los equipos ISA Server.
Las mediciones de una llamada a procedimiento remoto (RPC) sobre un escenario de publicacin HTTP seguro (HTTPS) en un servidor con doble procesador o procesador de doble ncleo a 2,2 GHz con 8 GB de RAM mostraron lo siguiente :
Una nica instalacin de ISA Server en un equipo host administr 40. 000 conexiones simultneas con aproximadamente 2 GB de memoria virtual . Tres equipos ISA Server instalados sobre tres sistemas operativos virtuales administraron 60 .000 conexiones simultneas y cada equipo virtual emple slo 1,3 GB. Este modelo podra ser escalado a ms equipos virtuales (por ejemplo, cuatro, ocho, etctera) en funcin de la cantidad de RAM y de la capacidad de procesamiento del servidor host. Las pruebas fueron ejecutadas en tres equipos. El uso de CPU en ambos casos fue casi igual.
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 4
ISA Server est conectado a Internet mediante un vnculo WAN. En la mayora de las situaciones, el ancho de banda de la conexin a Internet establece el lmite para la cantidad de trfico. Es probable que la causa de un rendimiento bajo durante horas punta de trfico sea la sobreutilizacin del vnculo de Internet . Esto se aplica tambin a un escenario de sucursal, donde los equipos ISA Server de la sucursal estn conectados al equipo ISA Server en la sede central sobre una conexin lenta.
ISA Server est conectado slo a redes LAN . En este caso , es importante disponer de una infraestructura que soporte los requisitos de trfico mximo. Sin embargo, en la mayora de las situaciones, esto no es un problema debido al bajo precio de las redes LAN de 100 Mbps y de 1 Gbps.
Para supervisar la actividad de la red, use el contador del rendimiento :\Network Interface(*)\ Bytes Total/ secSi su valor es superior al 75 por ciento del ancho de banda mximo de cualquier interfaz de red, considere aumentar el ancho de banda de la infraestructura de la red que no sea adecuado. O bien considere la utilizacin de las caractersticas avanzadas de ISA Server 2006 como se detalla en Almacenamiento en cach BITS y Compresin HTTP en este documento .
Si ambos estn deshabilitados o no hay trfico, ISA Server no realizar ninguna actividad de E /S de disco . En una instalacin tpica de ISA Server, el registro est habilitado y configurado para usar el registro de Microsoft SQL Server 2005 Desktop Engine (MSDE 2005). Para la mayora de las implementaciones , un solo disco es suficiente para servir la tasa mxima de registro. Si est habilitado el almacenamiento en cach de web, la capacidad de almacenamiento en disco debe ser planificada cuidadosamente tal como se explica en Almacenamiento en cach de web en este documento. El factor limitador de cualquier sistema de almacenamiento en disco es el nmero de accesos fsicos a disco por segundo . Este nmero vara en funcin de lo aleatorios que sean estos accesos y de lo rpido que el disco gire fsicamente . Generalmente , el lmite est entre 100 y 200 accesos por segundo. El contador de rendimiento que se debe usar para supervisar la tasa de acceso a disco es :\PhysicalDisk (*)\Disk Transfers/ secSi se alcanza este lmite en un disco durante un espacio de tiempo prolongado es probable que el sistema se ralentice, lo que usted advertir por un aumento en el tiempo de respuesta del sistema. Para eliminar este cuello de botella, la solucin inmediata es reducir los accesos a disco agregando ms discos fsicos. Otra causa de una alta tasa de acceso a disco son los errores severos de pgina. Para solucionar esta situacin, consulte Almacenamiento en cach de web en este documento .
Los filtros de aplicaciones inspeccionan la carga de datos y el filtrado activo TCP inspecciona slo la informacin de encabezado TCP/IP. Los filtros de aplicaciones pueden realizar otras acciones con la carga de datos, como inspeccionarla y bloquearla, o cambiar el contenido segn la lgica de aplicacin. Los filtros de aplicacin funcionan en espacio de modo de usuario. El filtrado en el nivel de transporte funciona en modo de ncleo. Esto implica una sobrecarga de procesamiento extra para pasar los datos a travs de la pila de red del sistema operativo.
Debido a que los filtros de aplicacin son ampliaciones de procesamiento del firewall , pueden tener una repercusin en el rendimiento. Recomendamos:
Obtener informacin de rendimiento de los filtros que usted utiliza y ajustarlos para que sean lo ms eficientes posible . Un ejemplo es el filtro web HTTP que puede ser configurado para inspeccionar la carga de HTTP y buscar firmas especficas . Habilitar esta caracterstica provoca un procesamiento adicional que reducir las demandas sobre el equipo ISA Server. Donde proceda, considere emplear las reglas de ISA Server en vez de un filtro. Por ejemplo, el bloqueo de sitio utilizando conjuntos de destino de reglas de acceso puede ser ms eficiente que un filtro web que hace lo mismo. Si desarrolla un filtro, optimcelo para un mejor rendimiento. Esto se recomienda para cualquier software, especialmente para un firewall o servidor proxy de importancia vital . ISA Server admite la utilizacin de filtrado de aplicacin y filtrado activo TCP de nivel inferior para el mismo puerto de aplicacin en funcin de las redes de origen y de destino . Por ejemplo, puede filtrar el trfico de Internet en el nivel de aplicacin, mientras utiliza proteccin de filtrado de transporte sobre el trfico existente entre todas las dems redes.
Registro
ISA Server ofrece dos mtodos principales para registrar la actividad del firewall :
Registro MSDE. Este mtodo es el mtodo de registro predeterminado para el firewall y la actividad web. ISA Server escribe registros de log directamente en una base de datos de MSDE para permitir consultas sofisticadas en lnea sobre los datos registrados. Registro sobre archivos. Con este mtodo, ISA Server escribe los registros de log en un archivo de texto de forma secuencial.
Comparando los dos mtodos, MSDE tiene ms caractersticas, pero utiliza ms recursos del sistema. Concretamente, es probable que en general se produzca una mejora del 10 al 20 por ciento en la utilizacin del procesador al cambiar a registro sobre archivos desde MSDE. El registro MSDE tambin consume ms recursos de almacenamiento en disco . El registro MSDE realiza aproximadamente dos accesos a disco para cada megabit . El registro sobre archivos requerir la misma cantidad de accesos a disco para 10 megabits . Una forma de mejorar el rendimiento del ISA Server es cambiar de registro MSDE a registro sobre archivos. Esto se recomienda slo cuando haya un problema de rendimiento provocado por la saturacin de un procesador o de accesos a disco. ISA Server 2006 Enterprise Edition proporciona tambin registro remoto SQL, que puede ser utilizado para registrar sobre una base de datos SQL administrada de forma central. El registro remoto SQL consume recursos de CPU a medio camino entre los utilizados por registro MSDE y registro sobre archivos y no utiliza casi E/S a disco . Sin embargo, el registro remoto SQL presenta otros requisitos de capacidad que deben ser tenidos en cuenta, ya que todos los datos de registro se escriben en una base de datos central remota :
Las conexiones de red entre equipos ISA Server y la base de datos remota SQL necesitan usar un ancho de banda dedicado de gigabit
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 5
La tabla siguiente ofrece una estimacin de la tasa de transacciones y del ancho de banda de registro para los tres anchos de banda del vnculo de Internet.
Ancho de banda del vnculo con Internet Transacciones SQL por segundo Ancho de banda de la transaccin SQL
Para anchos de banda mayores , las cifras de la tabla anterior pueden ser extrapoladas linealmente . Principio de la pgina
Escenarios
ISA Server es compatible con una amplia variedad de escenarios de implementacin y aplicacin. Las secciones siguientes describen la mayora de los escenarios y sus caractersticas de rendimiento .
Escenarios de implementacin
Los escenarios de implementacin se refieren a la ubicacin de un equipo ISA Server dentro de una intranet corporativa. Debido a consideraciones de seguridad y rendimiento , varios escenarios populares han evolucionado con el paso de los aos y las secciones siguientes describen cada uno de ellos bajo una perspectiva de rendimiento y capacidad.
Firewall de sucursal
ISA Server puede ser utilizado para conectar de forma segura redes de sucursales a una oficina principal utilizando conexiones de red privada virtual (VPN) de sitio a sitio. En esta implementacin, ISA Server se sita en una sucursal donde acta tanto de firewall , protegiendo la red de la sucursal, como de puerta de enlace VPN, conectando la red de la sucursal a la red de la oficina principal . En general, una VPN de sitio a sitio filtrada en el nivel de transporte consume slo un 25 por ciento de la capacidad de procesamiento por unidad de trfico que se necesita para el acceso a Internet filtrado en el nivel de aplicacin. Nota: En una VPN de sitio a sitio filtrada en el nivel de transporte , el trfico que pasa por el tnel no lo inspeccionan filtros en el nivel de aplicacin. El filtrado en el nivel de aplicacin para trfico VPN de sitio a sitio, como cualquier otro trfico , est habilitado en una base por protocolo.
Hasta 90 Mbps 2/2 Xeon Doble Ncleo AMD Doble Ncleo 2,0 3,0 GHz
1 GB 5 GB 100/1000 Mbps
2 GB 10 GB 100/1000 Mbps
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 6
Los requisitos de la tabla anterior son para la configuracin predeterminada de la instalacin de ISA Server 2006 y una configuracin de la directiva que contiene centenares de reglas . Esto incluye todo el filtrado web y de aplicacin predeterminado, as como el registro MSDE. Lo siguiente se refiere a la tabla anterior:
Ancho de banda del vnculo de Internet. Las cifras del ancho de banda se refieren a una carga de trabajo donde ISA Server 2006 se utiliza como proxy web transparente con filtrado completo de capa de aplicacin HTTP. Al servir de proxy web de reenvo o inverso , ISA Server puede duplicar el rendimiento, lo que significa que el equipo mnimo recomendado para un ancho de banda T 3 es un procesador Pentium 4 simple y un equipo con doble procesador para dos conexiones T3 . Para ms detalles acerca de diferencias de rendimiento entre varios escenarios proxy web, consulte Escenarios proxy en este documento . En las implementaciones que slo necesiten filtrado activo (sin necesidad de mayor filtrado en el nivel de aplicacin), el hardware recomendado alcanza las velocidades de cable LAN. Para ms detalles , consulte Filtrado activo en este documento . Si est habilitado el almacenamiento en cach de web, se puede reducir el ancho de banda del vnculo de Internet entre un 20 y un 30 por ciento en funcin de la relacin de aciertos de byte. Para ms detalles , consulte Almacenamiento en cach de web en este documento .
Procesadores . Las cifras fueron obtenidas mediante la simulacin de trfico HTTP en miles de direcciones IP, cargando un procesador ISA Server hasta un 70 -80 por ciento de utilizacin . Tipo de procesador. Tambin se pueden considerar otros procesadores que emulen el conjunto de instrucciones IA -32 con una potencia comparable. Memoria. Los requisitos de la memoria no tienen en cuenta el espacio de memoria para el almacenamiento en cach de web. Para ms informacin acerca de la memoria adicional para el almacenamiento en cach de web, consulte Almacenamiento en cach de web en este documento . Espacio en disco. Los requisitos de espacio en disco indican la cantidad de espacio en disco libre que se recomienda para los registros del ISA Server. Para planificar los requisitos de espacio en disco para el almacenamiento en cach de web, consulte Almacenamiento en cach de web en este documento. Interfaz de red . Los requisitos de interfaz de la red son para redes internas (las que no estn conectadas a Internet ).
ISA Server protege el trfico HTTP mediante su filtro proxy web integrado. Este filtro de aplicaciones admite tres escenarios diferentes: Proxy de reenvo y proxy transparente para proteger el acceso de salida a Internet para usuarios corporativos y proxy inverso para proteger el acceso entrante de usuarios de Internet a sitios web internos. Las secciones siguientes describen cada uno de estos escenarios desde una perspectiva del rendimiento y explican cmo se puede usar el almacenamiento en cach para mejorar el rendimiento.
Escenarios proxy
Esta seccin ofrece escenarios para proxy de reenvo , proxy transparente y proxy inverso . Proxy de reenvo En proxy de reenvo, los exploradores web cliente estn enterados de la presencia del proxy. En Microsoft Internet Explorer, por ejemplo, esto se hace configurando Utilizar un servidor proxy o Detectar la configuracin automticamente en Opciones de Internet. Cuando los clientes web tienen en cuenta el proxy, abren conexiones directamente al proxy y envan las solicitudes proxy para ubicaciones en Internet. (Por ejemplo, Internet Explorer abrir dos conexiones al proxy al enviar solicitudes HTTP 1 .1 ). Cundo ISA Server recibe una solicitud para un servidor , abre una conexin a este servidor y lo vuelve a emplear para otras solicitudes procedentes de otros clientes al mismo servidor. Esto lleva a una topologa de conexin en estrella . La ventaja del rendimiento de este escenario es que permite una gran reutilizacin de las conexiones , lo que minimiza el nmero de conexiones abiertas , as como la tasa conexiones . Proxy transparente En proxy transparente, los exploradores web cliente no advierten la presencia del proxy. Detectan que son enrutados directamente a servidores en Internet sin agentes de por medio . Concretamente, los clientes web tienen acceso directo a servidores de Internet abriendo conexiones con los sitios web de destino. Esto conduce a un aumento considerable de la tasa de conexiones, ya que despus de que un usuario pida una pgina en un nuevo servidor, el explorador web cierra sus conexiones con el servidor web actual y abre conexiones nuevas con el nuevo servidor web. Esto es tpico de proxy transparente y afecta al rendimiento de ISA Server. Normalmente , la tasa de conexiones en el lado del cliente en proxy transparente es aproximadamente tres veces ms alta que en proxy de reenvo, que consume aproximadamente el doble de ciclos de procesador por solicitud . Proxy transparente es un escenario popular porque es fcil de implementar, especialmente para proveedores de servicios de Internet (ISP) con una base de clientes heterognea. Por este motivo, hay considerables mejoras de rendimiento en este escenario. En general, ISA Server requiere el doble de recursos de CPU para proxy transparente que para proxy de reenvo . Proxy inverso Proxy inverso o publicacin en Web funcionan de la misma manera que proxy de reenvo, pero la direccin es de entrada en lugar de salida . En este escenario, ISA Server acta como un sitio web al que tienen acceso clientes en Internet. Los clientes no saben que el sitio web al que tienen acceso es realmente un proxy. Al igual que con proxy de reenvo, el nmero de conexiones y la tasa de conexiones son mnimos , debido a la eficiente reutilizacin de conexiones. Proxy inverso se utiliza para la publicacin segura de servidores web, como Microsoft Internet Information Services (IIS), Microsoft Office Outlook Web Access 2003, Microsoft Office Sharepoint Portal Server y muchos ms. Desde una perspectiva de rendimiento , el proxy inverso tiene caractersticas semejantes al proxy de reenvo. La diferencia principal es que la mayor cantidad de trfico fluye desde el ISA Server a usuarios de Internet, lo cual requiere una gran conexin a Internet . Como se explica en la seccin siguiente , el proxy de reenvo y el proxy inverso tienen diferentes repercusiones de rendimiento cuando est habilitado el almacenamiento en cach de web.
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 7
relacin de aciertos de byte de cach es del 20 por ciento y el rendimiento pico en los vnculos internos es de 10 Mbps, el rendimiento pico en el vnculo de Internet sera slo de 8 Mbps . Nota: La relacin de aciertos de objeto de cach es la proporcin de objetos que se atienden desde la memoria cach del total de objetos atendidos por el proxy. Igualmente , la relacin de aciertos de byte de cach es la proporcin de bytes que se atienden desde la memoria cach del total de bytes atendidos por el proxy. Los valores medios comunes son aproximadamente el 35 por ciento de la relacin de aciertos de objeto y aproximadamente el 20 por ciento de la relacin de aciertos de byte. El almacenamiento en cach inverso ayuda a la consolidacin de servidores web, reduciendo tanto los costos de hardware como de administracin. Por ejemplo, si el 80 por ciento de los datos de un sitio web es esttico y almacenable en cach y un objeto dinmico requiere cuatro veces ms ciclos de CPU en comparacin con un objeto esttico, la utilizacin de un proxy inverso reducir el nmero de servidores web en un 50 por ciento. Nota: Supongamos que un objeto esttico necesita X ciclos de CPU y un objeto dinmico requiere 4 X ciclos. Si 80 de cada 100 solicitudes son estticas, el nmero total de ciclos necesarios para 100 solicitudes es 80X + (100-80)4 X = 160X, y el 50 por ciento de los utilizados para contenido esttico sern servidos por una cach de ISA Server. Otra diferencia entre la memoria cach inversa y de reenvo es la magnitud del conjunto de trabajo almacenado en cach. En cach inversa , el tamao del conjunto de trabajo del cliente es ilimitado, pero el conjunto de trabajo del servidor contiene slo varios sitios web y un nmero relativamente pequeo de objetos. En la mayora de los casos , ISA Server puede disearse con la memoria y el espacio en disco razonables para almacenar todo el contenido almacenable en cach alojado en su cach, para que slo el contenido dinmico no almacenable en cach sea dirigido a los servidores web alojados. Preferiblemente, toda la memoria cach puede ser guardada y servida en memoria. En cach de reenvo, el espacio de servidor contiene un nmero ilimitado de sitios y objetos web, de modo que el conjunto de trabajo en cach es ilimitado . Para mantener un conjunto de trabajo tan grande, deber definir cachs de disco grandes. Las secciones siguientes describen cmo planificar y ajustar la capacidad cach de web para el almacenamiento en cach inverso y de reenvo . Ajuste de discos y memoria cach de reenvo En el almacenamiento en cach de reenvo , la relacin de aciertos de objeto y la tasa de solicitudes pico HTTP se utilizan para determinar el nmero de discos necesarios segn la frmula siguiente: Nmero_ de_ discos = (Tasa_ solicitudes _ pico X Relacin_ aciertos_objeto) /100 Por ejemplo, si la tasa de las solicitudes pico es de 900 solicitudes por segundo y la relacin de aciertos de objeto es del 35 por ciento, se necesitan cuatro discos. Nota: El nmero 100 en la frmula anterior es emprico y significa que el disco fsico de rendimiento medio (que gira hasta 10.000 revoluciones por minuto) puede atender 100 operaciones E /S por segundo . Un disco ms rpido girando a 15 .000 revoluciones por minuto puede realizar entre 130140 operaciones E /S por segundo. Recomendamos usar discos dedicados del mismo tipo y de igual capacidad. Si se usa un subsistema de almacenamiento RAID, debe configurarse como RAID 0 (sin tolerancia a errores). Se recomiendan discos pequeos, preferiblemente de hasta 40 GB. El ajuste de la memoria cach es ms complicado. En los escenarios cach, la memoria se usa para:
Objetos de solicitudes pendientes. El nmero de objetos de solicitudes pendientes es proporcional al nmero de conexiones de clientes al equipo ISA Server. En la mayora de los casos , ser menor del 50 por ciento de las conexiones de clientes. Cada solicitud pendiente necesita aproximadamente 15 KB. Para 10.000 conexiones simultneas , el conjunto de trabajo de la memoria del proxy web tiene hasta 50% 10.000 15 KB = 75 MB asignados a objetos de solicitudes pendientes. Sin embargo en un RPC sobre escenario de publicacin HTTP o HTTPS, todas las conexiones tienen un objeto de solicitud pendiente. Siguiendo el ejemplo anterior, un total de 100% 10.000 15 KB = 150 MB estn asignados a objetos de solicitudes pendientes.
Directorio de cach . El directorio que contiene una entrada de 48 bytes por cada objeto almacenado en cach. El tamao del directorio de cach se determina directamente por el tamao de la memoria cach y del tamao medio de respuesta. Por ejemplo, una cach de 50 GB que aloja 7.000.000 objetos (aproximadamente 7 KB cada uno como media ) necesita 48 7. 000.000 = 336 MB. Almacenamiento en memoria cach. El propsito del almacenamiento en memoria cach es servir las solicitudes de objetos populares almacenados en cach directamente desde la memoria, reduciendo las recuperaciones desde la memoria cach de disco . Pero puesto que el contenido almacenable en cach es ilimitado en el almacenamiento en cach de reenvo , el tamao de la memoria cach tiene un efecto limitado sobre el rendimiento.
De forma predeterminada, la memoria cach es el 10 por ciento de la memoria fsica total y es configurable . En general, recomendamos usar la configuracin predeterminada a menos que se produzcan errores severos de pgina. Los errores severos de pgina producen una grave degradacin del rendimiento. La manera ms fcil de corregir esta situacin cuando se usa almacenamiento en cach es reducir el tamao de la memoria cach. Teniendo en cuenta esta informacin, use el proceso siguiente para ajustar el tamao de la memoria cach: 1. 2. Ajuste el tamao de la memoria cach de disco , como se explica en el apartado anterior. Calcule la memoria necesaria como el resultado de: 1. 2. 3. 4. Objetos de solicitudes pendientes (50% 15 KB pico-conexiones-establecidas ). Tamao de directorio de cach (48 x direccionesURL -en-cach). Tamao de memoria cach (de forma predeterminada, el 10 por ciento de la memoria total). La memoria del sistema requiere aproximadamente 50 MB ms 2 KB por conexin (50 MB + 2 KB x pico-conexiones establecidas ). Al menos 100 MB para otros procesos en ejecucin en el sistema.
5. 3.
Supervise el uso de memoria y cambie el tamao de la memoria cach como corresponda. Los contadores informativos del rendimiento son:
\ ISA Server Cache\ Memory Cache Allocated Space (KB ) \ ISA Server Cache\ Memory URL Retrieve Rate (URL/sec) \ ISA Server Cache\ Memory Usage Ratio Percent (% )
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 8
Ajuste de discos y memoria cach inversa En el almacenamiento en cach inverso, el tamao del conjunto de trabajo es tan pequeo en comparacin con el almacenamiento en cach de reenvo que es relevante tratar de ponerlo todo en memoria. El tamao del conjunto de trabajo es la cantidad total de objetos almacenables en cach en el sitio web que aloja la memoria cach. Se recomienda que el tamao del disco y de la memoria cach sea aproximadamente el doble del tamao del conjunto de trabajo para mantener todos los objetos almacenables en cach y para justificar la directiva de fragmentacin en la asignacin de discos y de actualizacin de cach. Por ejemplo, un conjunto de trabajo de 500 MB requiere una cach de disco de 1. 000 MB y una memoria de 1 .500 MB con un tamao de cach de memoria al 66 por ciento. Debido a que la mayora de recuperaciones de cach se sirven desde la memoria cach, la tasa de E /S sobre el disco es baja. En la mayora de los casos, un solo disco fsico es suficiente, sin llegar a ser un cuello de botella. Utilizar el modificador /3 GB en boot.ini Para grandes sistemas con ms de 2 GB de memoria, Windows Server 2003 y Windows 2000 Advanced Server ofrecen la caracterstica de ajuste 4 GT RAM. Esta caracterstica divide un espacio de la memoria del proceso en 3 GB para la memoria de aplicacin y 1 GB para la memoria de sistema. Esta caracterstica permite que los procesos se beneficien de ms de 2 GB de RAM de espacio de usuario y se habilita agregando el modificador /3 GB al archivo boot. ini. (Para ms detalles , consulte el artculo Q171793, "Informacin sobre el uso de aplicacin del ajuste 4 GT RAM " en la Microsoft Knowledge Base). Esta caracterstica puede ser beneficiosa para ISA Server, especialmente para el almacenamiento en cach inverso que aloja un sitio web grande. Sin embargo, el empleo de esta caracterstica reduce el tamao mximo de la agrupacin no paginada (a 128 MB en lugar de 256 MB); de ah el nmero mximo de conexiones TCP simultneas .
El almacenamiento en cach BITS duplica la relacin general de aciertos durante el proceso de actualizacin mensual del 10 por ciento al 20 por ciento. Durante la actualizacin mensual, hubo un ahorro del 18 por ciento del trfico total. El trfico administrado con el almacenamiento en cach BITS funciona mucho mejor que cualquier otro trfico web, debido al rendimiento medio extraordinariamente alto por conexin y relacin de aciertos. Por ejemplo, en el mismo hardware , el almacenamiento en cach BITS puede atender tres o cuatro veces ms bits con la misma utilizacin de procesador que el trfico web administrado sin BITS. La habilitacin del almacenamiento en cach BITS para Windows Update no tiene repercusin negativa en las caractersticas de rendimiento del trfico que no est asociado a Windows Update .
Compresin HTTP
ISA Server 2006 ofrece una caracterstica de compresin del protocolo de transferencia de hipertexto (HTTP ). Cuando se configura la compresin HTTP, ISA Server puede comprimir el contenido para conservar el ancho de banda limitado . Esto es til, por ejemplo, en escenarios donde una oficina principal proxy dirige las solicitudes de Internet directamente a Internet y las sucursales dirigen sus solicitudes a travs de la oficina principal , sobre una red con ancho de banda limitado . La caracterstica utiliza un algoritmo de compresin muy conocido (GZip) para comprimir los datos HTTP , mientras que la razn de compresin vara en funcin del tipo de datos de destino. (De manera predeterminada, slo se comprimen los datos basados en texto). Nota: Cuando los filtros web de ISA Server inspeccionan el contenido comprimido entrante, se descomprime el contenido comprimido . Una vez descomprimido , el contenido se almacena en la memoria cach en forma de texto descomprimido . Si ISA Server recibe una peticin del contenido almacenado en cach , lo vuelve a comprimir antes de enviarlo, lo que aumenta el tiempo de respuesta. Al medir la compresin HTTP sobre una lnea de 56 Kbps con una latencia de 50 milisegundos (msec), en conexin con un equipo ISA Server en la sede central a mltiples equipos ISA Server en las sucursales y pasando un total de 96 Mbps (descomprimidos ), los datos mostraron lo siguiente :
La compresin HTTP posee el mayor impacto en una red lenta. Mejora el uso de red en un 28 por ciento y de esta manera mejora el rendimiento total del sistema. La latencia entre la sede central y las sucursales mejor en un factor de 15 . El impacto en la CPU habilitando compresin HTTP en el sistema probado (dual Xeon a 2 ,4 GHz) fue del 15 por ciento.
Autenticacin web
Hay muchos mtodos para realizar la autenticacin web y cada uno tiene su propia repercusin en el rendimiento . La tabla siguiente resume las ventajas y las desventajas de cada mtodo.
Esquema de autenticacin
Seguridad
Cundo se realiza la autenticacin Por tiempo Por tiempo/contador Por conexin Por conexin Por conexin Por sesin de explorador Por solicitud Por tiempo
Sobrecarga por solicitud Baja Ninguna Ninguna Ninguna Ninguna Ninguna Alta Baja
Sobrecarga por lote Ninguna Alta Alta Alta Media Media Ninguna Ninguna
Bsica Digest NTLM NTLMv2 Kerberos SecurID RADIUS por solicitud RADIUS por tiempo de espera (predeterminado)
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 9
Desde la perspectiva del rendimiento , un esquema de autenticacin funciona mejor sin sobrecarga por solicitud y con una sobrecarga por lote baja. Decidir qu esquema de autenticacin usar depende de la seguridad y la infraestructura. Igualmente , la autenticacin proxy web puede ser configurada al nivel de escucha proxy web o al nivel de regla. Elija el nivel de escucha slo si la autenticacin es necesaria para todos los accesos web. De otro modo, elija el nivel de regla, lo que significa que esa autenticacin ser realizada slo cuando sea necesario segn las reglas.
Filtros web
Al igual que los filtros de aplicacin, los filtros web pueden tener tambin una repercusin en el rendimiento, en funcin de lo que hagan. ISA Server incorpora varios filtros web que realizan tareas especificadas . De stos , los que ms CPU consumen son el filtro HTTP y el filtro de traduccin de vnculos . Un filtro HTTP inspecciona cada solicitud y respuesta web, comprobando que cumplen la utilizacin normal del protocolo HTTP. Est habilitado de forma predeterminada, y su configuracin predeterminada proporciona los lmites de tamao a encabezados HTTP y direccin URL. Otras caractersticas disponibles incluyen bloqueo por mtodos, por extensiones, por encabezados y por carga de firmas HTTP. Estas funciones no tienen repercusin en el rendimiento cuando se seleccionan , excepto bloqueo de firma, que requiere un 10 por ciento ms de ciclos de CPU. Se recomienda un filtro HTTP para proteger el trfico web. La traduccin de vnculos se utiliza especficamente en escenarios de publicacin en Web. Se inspeccionan los cuerpos de las respuestas en HTML , buscando hipervnculos absolutos, y se modifican para que apunten al equipo ISA Server en su lugar . De forma predeterminada, la traduccin de vnculos inspecciona los cuerpos de respuesta y encabezados HTTP , de modo que hay una notable repercusin en el rendimiento . Cuando est habilitada la inspeccin de cuerpos, comprueba de forma predeterminada slo el contenido HTML, provocando un incremento general del 15 por ciento en la utilizacin de la CPU.
Protocolo de enlace SSL. Una vez establecida una conexin TCP, SSL crea un contexto de seguridad entre los extremos utilizando una infraestructura de clave pblica (PKI). Esto se conoce como protocolo de enlace SSL. En trminos de aumento de trfico de red , un protocolo de enlace SSL consume una capacidad de procesamiento proporcional a la tasa de conexiones (medida en conexiones por segundo ).
Cifrado. Una vez que se ha establecido el contexto de seguridad, un extremo lo utiliza para cifrar o descifrar el contenido HTTP, mediante cifrado simtrico . Este procesamiento es realizado en cada byte de datos HTTP. Por lo tanto , consume ciclos de procesador en proporcin al rendimiento de red agregado (medido en megabits por segundo).
La proporcin entre el rendimiento agregado y la tasa de conexiones determina la media del nmero de bits que son procesados en cada conexin. Esta proporcin se define como bits por conexin y , en la prctica, cada aplicacin tiene un valor caracterstico para esta proporcin. A continuacin se muestran algunos ejemplos . Outlook Web Access Cuando un cliente web se conecta a un servidor front-end de Outlook Web Access Exchange Server , carga la pgina web de Outlook que contiene los iconos de la interfaz de usuario y los encabezados de los mensajes que hay actualmente en el buzn. En consecuencia, cualquier operacin que el usuario realice (tal como Abrir, Enviar, o Mover a carpeta ) genera una nueva conexin HTTP que transfiere un promedio de 10 a 20 kilobytes (KB). Cuando se suma el comportamiento de Outlook Web Access de muchos usuarios , el cliente web crea normalmente un valor de bits por conexin relativamente bajo (del orden de 100 kilobits por conexin). RPC sobre HTTP con Outlook 2003 en modo de Exchange en cach La llamada a procedimiento remoto (RPC) sobre HTTP es una caracterstica de Microsoft Exchange Server 2003 que permite a los clientes Outlook 2003 tener acceso a un Exchange Server en la red corporativa interna desde Internet. Al conectarse a Exchange Server , un cliente Outlook 2003 que funcione en modo de Exchange en cach normalmente comienza con una sincronizacin del contenido del buzn sobre un archivo de cach local. Cuando se ha completado la sincronizacin , se producen conexiones intermitentes, en las que se transfieren los nuevos mensajes. Para un trabajador con conocimientos con un perfil de uso intenso, la operacin de sincronizacin transfiere muchos bytes de datos sobre un nmero pequeo de conexiones, de modo que el valor caracterstico general de bits por conexin es bastante elevado (del orden de 500 kilobits por conexin). Nota: Cada RPC sobre cliente HTTP establece aproximadamente 10 conexiones , de modo que debe considerar tambin la cantidad total de conexiones (el nmero de clientes x 10) al planificar su implementacin. Sitio web Hay muchas maneras de disear e implementar un sitio web. Por tanto , los sitios web no tienen un valor de bits por conexin tpico. Sin embargo, despus de que un sitio web sirva solicitudes , usted puede medir los bits acumulados por conexin. En la prctica, los sitios web tienen valores de bits por conexin medios (entre 100 y 500 kilobits por conexin).
Protocolo de puente SSL a SSL. En este tipo de protocolo de puente, ISA Server obtiene acceso al servidor back-end mediante SSL. ISA Server realiza protocolos de enlace SSL separados con el servidor back -end y debe usar cifrado para cada paquete que recibe o enva al servidor back-end. Protocolo de puente HTTP a SSL. En este tipo de protocolo de puente, ISA Server obtiene acceso al servidor back-end mediante HTTP descifrado .
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 10
Protocolo de puente SSL a SSL refuerza la seguridad en la red Interna, pero agrega el costo de procesamiento del doble cifrado a cada paquete que se transfiere entre ISA Server y el servidor back -end. Protocolo de puente SSL a SSL cuesta aproximadamente un 10 por ciento ms que el protocolo de puente SSL a HTTP.
Kilobits por conexin 1 procesador, SSL a HTTP 1 procesador, SSL a SSL 2 procesadores, SSL a HTTP 2 procesadores, SSL a SSL
5.
Para determinar la velocidad del procesador que necesaria para soportar el trfico agregado total, multiplique los megaciclos por megabit , de la tabla del Paso 4 por el rendimiento total, tal como se midi en el Paso 3. Nota: A causa de la variedad de configuraciones de ISA Server, escenarios de uso y de plataformas de hardware , los nmeros anteriormente citados slo para propsitos de estimacin . Para implementaciones con un ancho de banda del vnculo de Internet superior a 10 megabits por segundo, recomendamos hacer una prueba piloto para comprobar estas estimaciones .
Por ejemplo, supongamos que los kilobits por conexin calculados en el Paso 2 son 200, el rendimiento agregado total es de 15 megabits y necesita que ISA Server realice protocolo de puente SSL a SSL. Segn se extrae de la tabla anterior, un solo procesador necesita 96 megaciclos por megabit o 96 15 = 1440 megaciclos por 15 megabits por segundo. Un procesador Intel Pentium 4 simple a 2,4 GHz es suficiente para esta carga y se utiliza a 1440/2400 = 60% a rendimiento pico. Un equipo con doble procesador con dos procesadores Intel Pentium 4 a 2 ,4 GHz necesita 120 megaciclos por megabit o 120 15 = 1800 megaciclos por 15 megabits por segundo y se usa al 1800/ (2 2400) = 38 % a rendimiento pico. La tabla siguiente muestra la cantidad del trfico en megabits que un procesador a 2 ,4 GHz puede procesar al mximo de utilizacin recomendado (80 por ciento).
Kilobits por conexiones 1 procesador, SSL a HTTP 1 procesador, SSL a SSL 2 procesadores, SSL a HTTP 2 procesadores, SSL a SSL
100 21 16 30 27
200 25 20 37 32
500 28 23 42 37
Esta tabla es especfica para implementaciones en las que ISA Server se utiliza slo para trfico SSL. Si tiene previsto implementar ISA Server para trfico SSL y HTTP no cifrado, puede estimar la capacidad de procesamiento que necesita calculando una media ponderada de megaciclos segn la cantidad de trfico de cada escenario multiplicada por los megaciclos por megabit, mostrados en la tabla siguiente .
Proxy transparente 74 86
Proxy de reenvo 37 43
Tnel SSL 30 35
Por ejemplo, supongamos que desea implementar ISA Server en un escenario de firewall perimetral en el cual el 40 por ciento del trfico pico de 20 megabits por segundo es proxy transparente, el 35 por ciento es proxy de reenvo y el 25 por ciento es SSL a SSL con 200 kilobits por conexin. La cantidad total de megaciclos necesarios para que ISA Server procese este trfico en un equipo con un solo procesador es : megaciclos = 20 megabits por segundo (74 40% + 37 35 % + 96 25% ) = 1331 Un procesador Intel Pentium 4 a 2,4 GHz es suficiente para procesar esta carga y se utiliza al 1331/2400 = 55% de rendimiento pico. Un equipo de doble procesador requiere 20 (86 40% + 43 35 % + 120 25% ) = 1589 megaciclos , que utiliza 1589/ (2400 2) = 33 % de dos procesadores Intel Pentium 4 a 2 ,4 GHz a rendimiento pico.
Filtrado activo
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 11
Filtrado activo inspecciona los datos en el nivel de transporte y est implementado en el controlador de modo de ncleo del Motor de Paquete firewall de ISA Server. Filtrado activo evala las direcciones IP de origen y destino , opciones y nmeros de puerto con marca TCP/ UDP y los tipos y cdigos del Protocolo de mensajes de control de Internet (ICMP). Utiliza esta informacin para determinar el estado de la conexin, y admite paquetes que se ajustan a este estado y rechaza paquetes que no se ajustan. Filtrado activo necesita slo una pequea cantidad de los recursos que necesita el filtrado de nivel de aplicacin. La misma cantidad de trfico HTTP que usa el 75 por ciento de la CPU con filtrado proxy web usar slo el 8 por ciento de la CPU con filtrado activo (un factor de aumento del rendimiento de 10 ).
VPN
Una red privada virtual (VPN) consiste en dos escenarios bsicos: VPN de acceso remoto y VPN de sitio a sitio. Ambos pueden usar varios protocolos y trabajar en conjuncin con filtrado de aplicacin o con filtrado activo. Los protocolos basados en seguridad de protocolo de Internet (IPsec) pueden usar tambin las capacidades de descarga de hardware disponibles en muchos adaptadores de red , lo que mejora la utilizacin general del procesador. Algunos protocolos pueden funcionar con compresin para aumentar el rendimiento o ahorrar ancho de banda. Todas estas caractersticas afectan al rendimiento , como se explica en las secciones siguientes .
Protocolo
PPTP Conexiones Ancho de banda L2 TP sobre IPsec Conexiones Ancho de banda 700 10,5 Mbps 850 12, 75 Mbps 2 ,450 63, 75 Mbps 600 9 Mbps 760 11, 4 Mbps 2 ,200 33 Mbps
Las cifras de ancho de banda son el ancho de banda necesario del vnculo de Internet. El ancho de banda real es el doble de la cantidad mostrada en la tabla anterior, debido a la compresin. Las cifras de ancho de banda suponen un rendimiento medio de 30 Kbps por conexin, lo que equivale aproximadamente a una conexin de acceso telefnico de 56 KB.
En las implementaciones donde los clientes VPN son de mayor confianza, se puede deshabilitar el filtrado del nivel de aplicacin, lo que mejora la capacidad total y reduce el nivel de seguridad. La tabla siguiente muestra las cifras cuando est deshabilitado el filtro proxy web.
Protocolo
PPTP Conexiones Ancho de banda L2 TP sobre IPsec Conexiones Ancho de banda 1,000 15 Mbps 2, 320 35 Mbps 2,000 30 Mbps 1,000 15 Mbps 2, 500 38 Mbps 2000 30 Mbps
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 12
El procesador Pentium 4 simple a 3 GHz es capaz de alcanzar el nmero mximo de conexiones simultneas (1 .000) en ISA Server 2006 Standard Edition. ISA Server 2006 Enterprise Edition no tiene dicho lmite. ISA Server Enterprise Edition debe ejecutarse en Windows Server 2003, Enterprise Edition, porque Windows Server 2003, Standard Edition tiene un lmite de 1 .000 conexiones. La descarga de hardware IPsec, disponible en muchos adaptadores de interfaz de red , puede aumentar los valores de rendimiento entre un 20 y un 25 por ciento. Tenga en cuenta, sin embargo, que para Windows Server 2003, est disponible slo para adaptadores de red a 100 Mbps . La tabla anterior muestra que para arquitectura de doble ncleo , el nmero mximo de conexiones y el rendimiento mximo son menores que para arquitectura de doble procesador. Esto est relacionado con la afinidad del procesador: Cuando un ncleo est al 85 por ciento de utilizacin y los otros tres ncleos estn al 15 por ciento, se produce un cuello de botella de CPU. Este problema se puede solucionar aplicando afinidad de interrupcin (utilizando la herramienta Intfiltr.exe disponible en herramientas de kit de recursos de Windows Server 2003).
Filtrado
Pentium 4 a 3 GHz
Deshabilitado Habilitado PPTP sobre IPsec (comprimido ) Deshabilitado Habilitado Tnel IPsec Deshabilitado Habilitado
45 (90 ) 17 (34 )
71 (142) 27 (53)
55 (110) 25 (50 )
52 (104) 20 (39 )
81 (162) 31 (61)
88 (176) 35 (70 )
52 18
87 30
94 33
La descarga de hardware IPsec, disponible en muchos adaptadores de interfaz de red , puede aumentar los valores de rendimiento entre un 20 y un 25 por ciento. VPN de sitio a sitio en varias sucursales En muchas organizaciones, es comn encontrar un escenario con varias sucursales y una sola sede central. En esta configuracin , varios equipos de sucursales estn conectados al mismo equipo en la sede central. Esto se conoce como topologa en estrella. Una medicin del escenario mostr que un solo equipo ISA Server en la sede central puede admitir hasta 60 equipos de sucursales conectados simultneamente, con una tasa de trfico de 200 Kbps. El hardware utilizado para esta prueba fue un procesador Quad AMD a 2 ,4 GHz con 2 GB de RAM . Los tneles VPN fueron creados utilizando L2 TP sobre IPsec. Principio de la pgina
Mediante un equipo hardware de conmutacin de red de alto nivel. Estos conmutadores a menudo se denominan conmutadores L3 , L4 o L7 (capa 3 , capa 4 o capa 7 ) porque proporcionan capacidades de conmutacin basada en la informacin disponibles en diferentes capas de red . La conmutacin L3 se basa en informacin de capa de paquete (IP), L4 se basa en informacin de capa de transporte (TCP) y L7 realiza conmutacin basada en datos de aplicacin (encabezados HTTP). La informacin disponible en estos niveles puede proporcionar un sofisticado equilibrio de carga, segn el origen IP o las direcciones de destino, los puertos TCP de origen o destino , direccin URL y tipo de contenido. Debido a que los conmutadores son implementados como aparatos de hardware , tienen un rendimiento relativamente alto y tienen una alta disponibilidad y fiabilidad , pero son costosos. La mayora de los conmutadores pueden detectar condiciones de bloqueo de servidor, habilitando tolerancia a errores. Mediante resolucin de nombres de operacin por turnos DNS . A un clster de servidores se le puede asignar el mismo nombre en el Sistema de nombres de dominio (DNS). DNS responde a consultas para ese nombre examinando la lista de forma cclica . Se trata de una solucin econmica (sin costo), pero tiene inconvenientes. Un problema es que la carga no se distribuye necesariamente de manera uniforme entre los servidores del clster. Otro problema es que no proporciona tolerancia a errores.
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 13
(aproximadamente entre el 10 y el 15 por ciento en escenarios ISA Server comunes) y tiene un lmite en el nmero de miembros en el clster (aproximadamente 8 equipos como mximo recomendado). Para ms informacin acerca de cmo implementar NLB, consulte "Conceptos de integracin de equilibrio de carga de red para Microsoft Internet Security and Acceleration (ISA) Server 2006" en el sitio web de Microsoft Technet.
Mediante el Protocolo de enrutamiento de matriz de cach . Para escenarios de almacenamiento en cach, ISA Server admite el Protocolo de enrutamiento de matriz de cach (CARP), que es un protocolo de equilibrio de carga en cach. No slo distribuye la carga entre los servidores , sino tambin el contenido almacenado en cach. Cada solicitud se enva a un equipo especfico del clster, para que los siguientes sean servidos de ese equipo.
Debido a que ISA Server mantiene un estado para cada secuencia que pasa a travs de l, todos los mtodos de escalado deben admitir adherencia para que todos los datos pasen por el equipo ISA Server . El escalado se utiliza para aumentar la capacidad de un sistema. Cada mtodo de escalado tiene sus ventajas y sus inconvenientes y, para ISA Server, tambin depende del escenario. Al decidir qu mtodo de escalado usar, considere lo siguiente :
Factor de rendimiento. El factor de multiplicacin para rendimiento agregado cuando se duplica el nmero de equipos en la matriz . Costo del sistema. Costo inicial de compra del sistema y no el costo de propiedad. Administracin del sistema. Nivel de complejidad en la administracin del sistema. Tiene consecuencias directas sobre los costos de propiedad del sistema. Tolerancia a errores . Mtodo utilizado por el sistema para posibilitar la alta disponibilidad y confiabilidad. Crecimiento del sistema . Mtodo utilizado para aumentar la capacidad de procesamiento del sistema. El costo de actualizaciones tambin es un factor importante.
nico punto de posibles errores contra tolerancia a errores . La disponibilidad de una implementacin con un solo equipo es ms susceptible de errores de hardware que un clster de varios equipos. Un error en la placa base o en el controlador de disco provocar que falle el sistema entero y necesite reparacin . Esto tambin es cierto para un equilibrador de carga de hardware que no funcione correctamente.
Crecimiento . Actualizar una solucin de equipo nico de un procesador a dos procesadores es sencillo, siempre y cuando haya una ranura de procesador vaca en el equipo (o puertos disponibles en el conmutador de equilibrio de carga de hardware ). En clsteres de varios equipos , agregar otro equipo es ms complicado.
Caractersticas
Conmutador de hardware
Windows NLB
CARP
Factor de escala
Costoso
Depende del conmutador (la mayora detecta equipos con errores y carga a los otros) Todos
Escenario
Todos
Todos
NLB requiere una sobrecarga de rendimiento del 15 por ciento cuando se habilita . Una matriz NLB con un solo miembro realizar el 15 por ciento menos que la misma matriz con NLB deshabilitado . Por lo tanto, al estimar la capacidad con escalado NLB, primero hay que reducir los valores de rendimiento para un solo equipo en un 15 por ciento y a continuacin aplicar los factores de escala. El factor de escala NLB para el trfico web implica una configuracin de afinidad bidireccional (al configurar ms de un clster de NLB en una matriz ). En muchos casos, la afinidad simple ser suficiente para el trfico web, en cuyo caso el factor de escala es 1,9 . Cuando se utiliza una VPN de sitio a sitio con NLB, no es posible equilibrar la carga de varios tneles que conectan dos sitios sobre varios miembros de la matriz. En este caso, NLB slo proporciona tolerancia a errores . Cuando se conecta un sitio sobre una matriz NLB a muchos sitios , ISA Server propagar los tneles sobre todos los miembros de la matriz . Principio de la pgina
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 14
de CPU, red y E/S a disco en el Servidor de almacenamiento de configuracin. Utilizando un equipo con doble procesador Intel Pentium 4 a 3 ,6 GHz con 2 GB de memoria fsica para el Servidor de almacenamiento de configuracin , las mediciones muestran que el Servidor de almacenamiento de configuracin podra soportar un nivel de 2. 600 solicitudes de Protocolo ligero de acceso a directorios (LDAP ) por segundo . El nmero total de solicitudes LDAP por equipo ISA Server requeridas para la sincronizacin completa con importacin de directiva a gran escala es de 7 .000. Estas cifras se traducen en el tiempo necesario para una sincronizacin completa de todos los equipos ISA Server despus de que el Servidor de almacenamiento de configuracin importe un archivo XML de directiva a gran escala , de la siguiente manera: Tiempo total de importacin = Tiempo para la importacin XML + Tiempo para escribir la configuracin a disco + Tiempo para sincronizar la configuracin por todos los equipos ISA Server Donde : Tiempo para la importacin XML = 120 segundos Tiempo para escribir la configuracin a disco = 120 segundos Tiempo para sincronizar la configuracin por N equipos ISA Server = N 7000 / 2600 = 2 ,7 N segundos La tabla siguiente resume estos resultados .
Nmero de equipos ISA Server por Servidor de almacenamiento de configuracin Sincronizacin (minutos) Porcentaje de utilizacin de CPU durante la sincronizacin
160 8 100%
320 15 100%
640 28 100%
Durante las dos primeras fases (la importacin XML y escritura de la configuracin a disco ), el nivel de utilizacin de CPU fue aproximadamente del 50 por ciento. Esto se debe a que lo realiza un solo subproceso que no puede consumir ms del 50 por ciento de la capacidad de procesamiento de un equipo con doble procesador. En equipos de procesador nico, el consumo de CPU ser del 100 por cien en estas fases, una situacin que debe ser evitada. Por lo tanto , recomendamos implementar equipos de doble procesador para el Servidor de almacenamiento de configuracin o bien habilitar tecnologa Hyper-Threading en un equipo de procesador nico (con procesadores Pentium 4 ). Para obtener informacin detallada acerca de la implementacin del Servidor de almacenamiento de configuracin de ISA Server , consulte "Instrucciones de implementacin para ISA Server 2006 Enterprise Edition" en el sitio web de Microsoft Technet. Principio de la pgina
Escenario Proxy web transparente Proxy web de reenvo Filtrado activo Tnel SSL
Pentium 4 simple 74 37 8 30
Xeon dual 86 43 10 35
AMD 36 18 5 40
Pentium 4 simple 91 77 69
AMD 51 40 35
AMD 56 46 41
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 15
Tnel IPsec 125 150 2012 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso168 Legal | Marcas registradas | Privacidad
Para la publicacin en Web, use las cifras proporcionadas para proxy web de reenvo , pero tenga en cuenta que su carga y capacidad reales pueden diferir notablemente de sus estimaciones . Para una VPN, donde proceda, hay dos conjuntos de cifras: El primer conjunto representa los megaciclos por megabit comprimido real. El segundo conjunto (entre parntesis ) representa los megaciclos por megabit de aplicacin descomprimido . Use los valores para el trfico comprimido si mide el trfico en trminos de ancho de banda y use los valores para el trfico de aplicacin si le resulta ms fcil medir o estimar el trfico de aplicacin descomprimido .
Se utiliza el registro MSDE. No se realiza ninguna autenticacin web. El filtro web HTTP est habilitado con la configuracin predeterminada. ISA Server se carga con el trfico web caracterstico . El hardware ISA Server se ajusta tal como se describe en Ajuste del hardware para un mximo uso de la CPU en este documento . La tabla siguiente proporciona factores de escala NLB para ser utilizados al aplicar escalado NLB para aumentar la capacidad. Nmero de miembros de la matriz NLB
2 1. 053 1. 143
3 1.085 1.236
4 1 .108 1 .306
5 1 .126 1 .363
6 1 .142 1 .412
7 1. 155 1. 455
8 1.166 1.493
Se debe realizar un aumento inicial del +15 por ciento en todos los nmeros de la primera tabla al aplicar NLB. Utilice factor de escala 1, 75 slo cuando configure ms de un clster NLB en la matriz (por ejemplo, si utiliza afinidad bidireccional ) y slo para escenarios proxy web (proxy transparente, proxy de reenvo, publicacin en Web y tnel SSL) y filtrado activo. En el resto de casos , use un factor de escala 1 ,9.
El ejemplo siguiente ilustra cmo usar las tablas anteriores para calcular el hardware necesario para soportar los requisitos de trfico especficos. Supongamos que un sitio grande tiene un ancho de banda de vnculo de Internet de 80 megabits por segundo que se usa por completo en horas de utilizacin pico. Durante este tiempo, el 10 por ciento del trfico se utiliza para acceso VPN remoto (L2TP sobre IPsec con filtro web habilitado), el 20 por ciento se utiliza para Outlook Web Access (utilizando protocolo de puente SSL a HTTP ) y el 70 por ciento se utiliza para exploracin web de salida (50 por ciento para proxy transparente y 50 por ciento para proxy de reenvo ). Para calcular los megaciclos necesarios para este trfico, calcule primero los megaciclos ponderados por megabit , suponiendo una nica implementacin en equipo dual Xeon (sin equilibrado de carga ): Megaciclos /megabit = 353 10 % + 128 20% + 86 35 % + 43 35% = 107 La cantidad total de megaciclos por segundo necesarios para 80 megabits por segundo es 80 107 = 8560. Un equipo con doble procesador a 3 GHz tiene slo 2 3000 75 % = 4500 megaciclos cuando se utiliza al 75 por ciento, lo cual no es suficiente. Es necesario escalar con ms equipos . En este momento, no queda claro exactamente cunto se necesita probablemente dos, pero quiz tres. Para calcular el nmero factorizado de megaciclos necesarios por megabit, multiplique el nmero de megaciclos por megabit para cada de tipo de trfico por su factor de escala correspondiente y recuerde realizar otra factorizacin del +15 por ciento. Para
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx
Pgina 16
http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx