Per quanto riguarda l ACCESSO ALLA RETE i requisiti di accesso sonoclassificabili in due categorie:

Transcript

1

2 1 Servizi Internet INTERNET, la "RETE DELLE RETI", è un insieme organizzato di servizi per utenti privati, aziende, organizzazioni con scopi "profit" e "non-profit" relazionati tra loro e selezionabili tramite tecnologie di ricerca e di accesso alla rete stessa; tali tecnologie si basano sullo standard DE FACTO TCP/IP Scopo della seguente sessione (A) è quello di enucleare l'associazione tra servizi erogati e le tecnologie di riferimento in termini di :?? ACCESSO ALLA RETE?? TECNOLOGIE DEL SERVICE PROVIDER?? TECNOLOGIE DEL NETWORK PROVIDER Queste tecnologie sono rappresentate da sistemi di elaborazione dedicati e con caratteristiche avanzate (SERVER) e sistemi di interconnessione logica e fisica tra di essi. Per quanto riguarda l ACCESSO ALLA RETE i requisiti di accesso sonoclassificabili in due categorie: Per Utenti privati:?? Un abbonamento ad un Service Provider o ad un Network Provider?? Un sistema di elaborazione ( Windows ) dotato di modem?? Un software (Web Browser) per l'accesso tramite modem al Service Provider (Netscape Comunicator, Microsoft Internet Explorer, Camaleon) E per Aziende ed Organizzazioni (Utenza Business)?? Un Domino direttamente definito o tramite Service/Network Provider (Point Of Present)?? Una Intranet Aziendale con diversi SERVER specializzati per i differenti servizi da erogare?? Un sistemi di controllo accessi e SECURITY (Opzionale ma indispensabile) SERVIZI RILASCIATI per utenza privata per utenza business ( ) Posta Elettronica (FTP) Trasferimento File Tutte le caratteristiche del punto a) Domain Names SERVER (World Wide Web) Navigazione O Surf in FIREWALL SERVER rete (Search Engine) Ricerche contestuali PROXY e ReverseProxy SERVER WWW SERVER Creazione di pagine personali HTML HTTP SERVER

3 (opzionale) FTP/Telnet SERVER WEB Data Base SERVER GOPHER SERVER SERVER (POP3) ( ) Posta Elettronica rappresenta il servizi di scambio posta elettronica all'interno del browser, tra tutti gli utilizzatori della rete. Tale indirizzo è univoco e avrà la seguente struttura: <nome>@<organizzazione>.<nazione> esempio corona@tin.it oppure francesco.corona@tin.it oppure corona@iasi.rm.cnr.it (gli indirizzi non esistono in realtà) (FTP) Trasferimento File File Transfer Protocol è il protocollo internet che consente di effettuare trasferimenti di file da e verso altri siti. (World Wide Web) Navigazione o Surf in rete il Web Browser consente di risolvere attraverso un meccanismo chiamato URL (Universal Resource Locator) del tipo un indirizzo specificato nella finestra LOCATION del Browser e puntare immediatamente alla pagina iniziale esistente a quell'indirizzo. (Search Engine) Ricerche contestuali Tramite URL è possibile indirizzare alcuni motori di ricerca che consentono di effettuare ricerche contestuali attraverso parole chiave Esempi di Search Engine: Il Search Engine è rappresentato da uno o piu' server specializzati che operano attraverso algoritmi di ricerca complessi. Sono i piu' grossi generatori di traffico della rete dopo i POP SERVER e per le loro caratteristiche intrinseche sono appetibili sotto il profilo del MARKETING AZIENDALE. Creazione di pagine personali HTML (opzionale) Per la creazione di pagine HyperText Markup Language da collocare su un proprio sito, si necessita di un software specifico che converte un documento ( per esempio WINWORD in documento html) TIPOLOGIE di Server presso il Service Provider o presso l'utenza business Le differenti tipologie di Server coprono differenti tipologie di servizi. E' consigliabile dedicare un server alla risoluzione i pochi servizi aziendali per DISTRIBUIRE ED OTTIMIZZARE LE RISORSE IN MODO EFFICIENTE ED EFFICACE.

4 Domain Names SERVER I SERVER di DOMINIO DEI NOMI consentono di risolvere un indirizzo specificato in un nome univoco. L'Associazione [Indirizzo === Nome] viene mantenuta in una tabella all'interno del Server in particolare viene costruita dal meccanismo di DNS del sistema operativo di rete nella configurazione degli indirizzi IP. Tale tabella è del tipo: IP ADRESS NAME Server_rack Segreteria Marketing Server_DB fig. Tipologie di server in una tipica architettura di un ISP FIREWALL SERVER MURO DI FUOCO e una tipologia di SERVER specializzati nel filtraggio dei pacchetti di dati scambiati in rete.

5 Rappresenta un potente strumento di sicurezza poiché filtra i canali (PORTE) di comunicazione entranti ed uscenti a livello sia di indirizzo IP sia di pacchetto. E buona norma posizionare un FIREWALL su ogni ingresso/uscita di segnali,da e verso, l esterno della rete aziendale. PROXY e ReverseProxy SERVER La sua funzione primaria è quella di effettuare un Routing degli indirizzi IP e rimbalzare una sottorete in un altra gestendo comunicazioni su differeti reti di dati e con differenti protocolli per INTERNET. La sua funzione secondaria è relativa alla SICUREZZA infatti un PROXY SERVER puo filtrare i dati mascherando range di indirizzi non desiderati sia in entrata sia in uscita. Alcuni PROXY SERVER possono implementare dei meccanismi FIREWALL piu potenti. Un ReverseProxy consente di effettuare il Caching di contenuti http o rimbalzare indirizza da Front-End a Back-End. WWW/HTTP SERVER I pachetti World Wide Web e HyperText Transfer Protocol sono strettamente legati alle attività degli utenti in INTERNET. Un Server WWW è un Computer in rete di dimensioni sufficienti (per esempio un PC PENTIUM 2 S.O: WINNT 4.0 con 4 Giga di disco e 128Mbyte di RAM ) a consentire l ingresso a utenti provenienti dalla rete esterna e/o utenti provenienti dalla Intranet Aziendale. All interno del sistema gireranno applicazioni di gestione siti web come Microsoft Information Server, APACHE, Netscape Server, Camaleon. Le pagine WEB in formato HTML vengono gestite attaverso un sistema di directory e rilasciate su protocollo HTTP dove si specifica la prima pagina che deve essere eseguita quando si accede ad un URL. FTP/Telnet SERVER File Transfer Protocol è il protocollo INTERNET di trasferimento file ; Telnet e il servizio di apertura di sessioni terminali su macchine HOST. Generalmente esistono due tipologie di applicazioni FTP una Client e una Server. Questi servizi vengono espletati da processi di sistema chiamati DEMONI che si installano in memoria e vengono attiviati su chiamata da parte di altre applicazioni. Un SERVER FTP è una unità applicativa residente in un SERVER che gestisce ed instrada un flusso di file in ingresso/uscita utilizzando il protocollo FTP sia in architetture integrate con strumenti browser sia in modalità indipendenti. L operazione di scarico del file in FTP è chiamata DOWNLOAD L operazione di invio del file in FTP è chiamata UPLOAD

6 WEB Data Base SERVER I sistemi di gestione basi di dati sono attualmente disponibili in INTERNET e consentono l accesso a BASI DI BATI ON LINE per memorizzare, selezionare o modificare informazioni aziendali. UN SERVER che dispone di queste tecnologie e inteso come WEB SERVER DB. Le modalità di accesso sono disponibili via ODBC e MAPI. Sistemi di questo tipo consentono lo sviluppo di servizi INTERNET di notevolo valore come i sistemi di WEB CUSTOMER SERVICE, sono interrogabili via Structured Query Language. Alcuni esempi: Microsoft SQL Sever ORACLE 7/8 WEB SERVER Sybase SQL SERVER GOPHER SERVER GOPHER è la versione storica di WWW, lavora tramite FTP e consente un accesso veloce ai dati compiendo un bypass sul meccanismo di navigazione WEB. L interrfaccia GOPHER è a caratteri ma i servizi rilasciati sono identici a quelli di WWW. SERVER Rappresenta il SERVER di posta elettronica per la ricezione e l istradamento dei messaggi di posta elettronica. Generalmente il nostro Provider rilascia una configurazione con due SERVER di posta uno per la ricezione ed uno per la trasmissione. Il protocollo utilizzato è Short Mail Trasmit Protocol (SMTP). E altresi responsabile delle verifica ed autenticazione delle password per lo scarico della posta elettronica. Es: SERVER di spedizione : mail.tin.it SERVER di ricezione : box2.tin.it SERVER DI RETE e FILE SERVER Rappresenta il server che rilascia servizi applicativi in rete in particolare consente l accesso ai dati aziendali attraverso strumenti DBMS (Data Base Management System) e responsabile del controllo accessi a livello applicativo attraverso la verifica della Username/Password dell utente sia sul sistema sia sui dati aziendali. GATEWAY SERVER

7 Rappresenta il Server di rete che ha caratteristiche di instradamento su altre reti. Puo essere un Proxy Server o un Router. Il GATEWAY SERVER va sempre specificato quando si deve configurare un accesso INTERNET. Esempio di configurazione di un router SUB NET MASK: PRIMA PORTA SERIALE: Unumbered ROUTER IP Ethernet0 = INSTRADAMENTO IP route = (tutte le reti) DNS primary : Default Gatway (ossia lo stesso router) COMUNICATION SERVER (Network e Service Provider) È il SERVER tipico dell Internet Service Provider (ISP); esso ha il compito di riceve le linee modem Asincrone o digitali (ISDN ) ed instrada verso la rete interna del ISP. le caratteristica principale di questo server e quella di gestire gli accessi e, l instradamento su linee seriali collegate ai modem.

8 1 Tecnologie di Caching Una cache memorizza generalmente con algoritmo Last Recently Used i contenuti WEB più frequentemente utlizzati, migliorando il tempo di risposta (accelerazione) alle richieste di contenuti da parte degli utenti e preservando l ampiezza di banda. La reale necessità di accelerare i flussi di dati all interno del centro servizi VAS impone l adozione di tecnologie avanzate di caching dei contenuti. I flussi WEB(HTTPS, HTTP1 e HTTP1.1, FTP, NNTP) intesi in senso stastico come rilascio di pagine WEB a fronte di richieste utente ed i sempre crescenti flussi dinamici generati da Application Server (XML, SOAP, ASP) devono pertanto essere trattati da tecnologie sofisticate che conservano i contenuti in aree di caching secondo precise regole e meccanismi ben definiti. Nell ipotesi di contenuti dinamici generati direttamente dagli Application Servers una cache evoluta dovrà avere la capacità di ricostruire il contenuto stesso se modificato o se riferito a query legate a Data Base particolari. La configurazione tipica dei NODI di Caching prevede l utilizzo delle cache sulla DMZ ossia il punto più vicino all'utente finale. Tuttavia una comprensione dei flussi verticali ed orizzontali all interno del Centro Servizi possono imporre l utilizzo di gerarchie di cache in combinazione con gli apparati di content switching (Load Balancer) sui differenti livelli definiti per il Centro Servizi stesso Tipologie di Caching Esistono quattro modalità di impiego delle architetture di accelerazione dei flussi: Reverse Proxy: accelera i servers; in questo caso gli utenti finali accedono con terminali (PC, Cellulare WAP, Palmtop, NoteBook con connesione GPRS wireless) da internet verso la piattaforma di erogazione dei contenuti. Questa è la soluzione tipicamente adottata per accelerare i contenuti verso l'utente finale. Forward Proxy : accelera i clients, in questo caso gli utenti sono interni all'organizzazione e prima di arrivare ai contenuti dall'esterno, vengono "dirottati" mediante diversi tipi di tecnologie come L4/7 switch, WCCP 2 sui router. verso le cache in grado di servirli. La soluzione consente di risparmiare banda (evitando di sovraccaricare il "backbone" con richieste agli stessi contenuti ) ed allo stesso tempo riduce il tempo di arrivo dei contenuti verso l'utente ( latenza / QoS ). I contenuti possono essere "preventivamente" caricati all'interno della cache. (Caching Preload) Trasparent Proxy Viene utlizzata nell ipotesi di forward proxy con l apparato di cache posizionato tra switch e router (Trasparent Cache) oppure in combinazione con apparati di Load Balancer (Trasparentcache Switching) come mostrato nelle successive figure : 1 Nel nostro caso sui tre livelli dell architettura del CS/VAS. 2 Vedi Appendice

9 Fig.1- Meccanismi di Trasparent Forward Caching Trasparent Reverse Proxy Viene utilizzata in configurazione Reverse proxy se in aggiunta del Load Balancer avremo il meccanismo Trasparent come in figura sottostante.

10 Fig.2 Meccanismi di Trasparent Reverse Proxy E possibile utilizzare un multi proxy server (vedi figura 2) all interno di una infrastruttura di rete anche con utilizzo del meccanismo di DNS Round Robin 3, per bilanciare il traffico di rete sui Web server. Questo sistema permette di avere grossi vantaggi sull utilizzo della cache creando un insieme di server per il carico del bilanciamento. Alla prima richiesta i proxy server accedono alla pagina del web server direttamente. I proxy server memorizzano la pagina nella cache. Se è presente più di un server proxy, il DNS veicola la richiesta usando il protocollo round-robin selezionandolo tra i suoi indirizzi IP. Il client utilizza lo stesso URL ogni volta, ma l instradamento è modificato ogni volta su differenti proxy. Dopo un periodo iniziale durante il quale i proxy memorizzano i documenti, il numero delle richieste sui server può drasticamente diminuire. Solo le richieste che risultano essere CGI vanno direttamente ai server Web e quindi non sono memorizzate nelle cache. Supponiamo che il 90% delle richieste ad un server non sia CGI e che il server web riceva 2 milioni di richieste al giorno. Se sono collegati 3 proxy server e ognuno di questi supporta giornalmente 2 milioni di richieste, è possibile gestire 6 milioni di richieste. Il 10% delle richieste CGI raggiunge il server Web che quindi riceve richieste al giorno da ogni proxy server (per un totale di richieste). Pertanto, il numero delle richieste dai client può crescere da 2 milioni a 6 milioni mentre il carico sul server Web decresce da 2 milioni a richieste. 3 Tale meccanismo è implementato in modo naturale dall apparato di Load Balancer che distribuisce le richieste secondo un algoritmo di Roud Robin a strategia prioritaria o a bilanciamento percentuale del carico.

11 Fig. 3 DNS Round Robin

12 2 Server Load Balacing L elevata diffusione di Internet e la disponibilità di reti sempre più veloci hanno cominciato a mettere in seria crisi i siti Web di maggiore interesse, provocando rallentamenti durante la loro consultazione. Parole come elevata disponibilità e scalabilità sono diventate particolarmente importanti nell ottica di offrire al cliente Internet una maggiore efficienza nell offerta dei servizi. Quando un server di un sito non è più in grado di soddisfare l elevato numero di richieste di sessioni Http, gli accorgimenti che vengono normalmente intrapresi sono tre: sostituire il server con uno più potente, distribuire il contenuto su server più piccoli o bilanciare il traffico su più server che hanno lo stesso contenuto. Da un paio di anni la soluzione maggiormente considerata è quella di utilizzare la tecnica di bilanciamento con apparati denominati Server Load Balancers (SLB). Gli SLB esistono poichè oramai le reti di trasporto dati sono diventate più veloci dei sistemi che essi connettono. Il loro scopo primario e quello di bilanciare il traffico fra i vari server presenti nel C.S. facendo in modo che a un singolo indirizzo IP virtuale rispondano più server fisici aumentando cosi le prestazioni globali della Server Farm. Inoltre e` in grado di controllare l effettiva disponibilita` del servizio offerto dai singoli server. Nel caso di guasto di un server, l apparato lo esclude automaticamente dal gruppo di quegli attivi. Occupando una posizione critica fra la rete e i server, gli SLB sono diventati di vitale importanza nell assicurare end-to-end affidabilità e prestazioni elevate su una varietà di servizi basati su IP. La prima generazione di load balancers erano implementazioni di DNS round-robin ma in questo caso pero` l'ottimizzazione non è particolarmente spinta: il DNS, infatti, generalmente si limita a reindirizzare le richieste a un unico IP virtuale verso più IP reali, che corrispondono a più macchine. L'assegnamento avviene in modo sequenziale, applicando un algoritmo definito Round Robin, che distruibuisce il carico in modo paritetico fra i server a disposizione. Non viene fatta nessuna analisi sul tipo di richiesta, né tantomeno dell effettiva disponibilita` dell'elaboratore. Può infatti accadere che un particolare server venga spento o comunque sia sovraccaricato. Inoltre la discriminazione avviene esclusivamente sulla base dell'indirizzo IP e non sul servizio a cui il client cerca di avere accesso. I Server Load Balancer sono nati proprio per supplire a queste carenze: operando a livelli superiori di quello IP, sono infatti in grado di esaminare in tempo reale i pacchetti in ingresso, analizzando anche la porta TCP al quale il client vuole accedere, e quindi di stabilire a quale servizio la richiesta è effettivamente destinata. Con dispositivi del genere quindi, il concetto di Virtual Server si estende al binomio indirizzo/porta, consentendo una maggiore granularita` nelle politiche di smistamento delle richieste. Gli SLB sono inoltre in grado di effettuare elaborazioni statistiche sulle connessioni e di valutare anche l'effettivo stato di salute dei server, basandosi generalmente sul tempo di risposta rilevato mediante ping o meccanismi analoghi. in alcuni casi, tali informazioni sono forniti dallo stesso server mediante appositi agent. Ogni richiesta viene dunque smistata

13 dinamicamente verso il server che, in quel preciso istante, offre, almeno teoricamente, la possibilità di smaltirla più rapidamente. Generalmente un Server Load Balancer può essere, nel caso piu` semplice, un programma che gira su un server basato su S.O. standard tipo Unix o Windows Dal punto di vista prestazionale non si tratta però di una soluzione particolarmente ottimizzata, perché diversi fattori esterni, quali il sistema operativo non dedicato, l'hardware dell'elaboratore, possono concorrere a rallentare l'intero sistema. Una diversa implementazione comunemente chiamata appliance e`, almeno teoricamente, simile alla precedente, ma assicura un livello prestazionale superiore perché dal sistema operativo vengono eliminate le funzionalità non indispensabili, e tutta la macchina è votata alle esigenze di bilanciamento. Inoltre, generalmente, prodotti di questo tipo sono già equipaggiati di più porte per le connessioni di apparati di rete. Per avere maggiori prestazioni occorre considerare la soluzione che implementa le fuzionalita` di SLB in HW. Tali apparati, switch di livello 4-7, svolgono le funzionalita` di livello superiore all IP per mezzo di componenti dedicati chiamati ASIC (Application Specific Integrated Circuit). Attualmente Il dibattito sulla supremazia fra le varie architetture e` molto acceso tra i vari costruttori: chi sostiene la causa degli appliance fa leva sulla maggiore flessibilità, mentre chi offre soluzioni basate sullo switch di livello 4-7 evidenzia le migliori performance che offrono gli Asic. A loro volta, i produttori di queste ultime soluzioni sottolineano come elemento distintivo e qualificante la possibilità di fare a meno, nell'architettura complessiva della rete, rispettivamente, di uno switch o di un router, perché i loro apparati già integrano tali funzioni. Fondamentamente le tecnologie utilizzate dai costruttori per implementare le funzionalità di load balancing sono tre: soluzione completamente software su HW general purpose, soluzione mista HW/SW o appliance e quella completamente HW. Impatto sull architettura di rete Dal punto di vista del loro impiego in una LAN bisogna considerare che esistono sul mercato Server Load Balancer in grado di funzionare o come un normale Bridge/Switch di livello 2 oppure come un router/switch di livello 3. Questo e` sicuramente un elemento importante quando tali apparati vengono inseriti in una rete gia` in esercizio, dove cioe` esiste gia` un piano di indirizzamento IP. Con funzionalita di switch In questa configurazione il load balancer garantisce la connettivita a livello 2 e fa da front end esterno tra le richieste dei client e i relativi servizi che possono trovarsi sia sulla stessa sottorete dei client, sia su reti differenti; in questo caso la loro raggiungibilita a livello IP e garantita dai router aziendali. E il caso di tutti gli altri switch di livello 4-7.

14 SWITCH 1 Load Balancer SWITCH ( ) W&G DOMINO ( ) SmartBit (3/23-3/24) cat (3/20) CAT TIN ( ) Con funzionalita di router In questo caso l SLB deve essere posto in topologie di rete in cui i client e i server appartengono a subnet differenti. Il load balancer in questo caso fa da default gateway per i client collegati sull interfaccia esterna. L interoperabilita con i router aziendali per il raggiungimento dei server remoti, e stata assicurata grazie a delle route statiche impostate sull SLB e propagate in OSPF agli altri router dal primo router aziendale direttamente connesso con lo switch stesso. E il caso dell apparato Big/IP di F5 Networks

15 SWITCH 1 Load Balancer W&G DOMINO ( ) SmartBit (3/21-3/22) cat (3/20) SWITCH 2 CAT TIN ( ) ( ) Funzionalita implementate dagli SLB L inserimento di un apparato SLB oltre ad effettuare un bilanciamento di carico sui server reali e in grado di apportare ad un C.S. altre funzionalita su aspetti di affidabilita, sicurezza, prestazioni e scalabilita. Metodi di bilanciamento Il bilanciamento del carico sui server rappresenta la funzionalita piu importante che si richiede ad uno SLB; questa consente di realizzare un sistema in grado di aumentare in modo sostanziale la capacita di offerta di un servizio. Questo si traduce in un miglioramento delle prestazioni grazie alla scelta automatica del server (normalmente all apertura di una nuova sessione) all interno di un insieme di server reali omogenei dal punto di vista del servizio. Le modalita di bilanciamento piu comuni sono: 1. Round Robin: assegna le connessioni in modo sequenziale ai vari server indifferentemente dal tempo di risposta, 2. Least Connection: seleziona il server con il minor numero di connessioni aperte; in questo modalita` e importante la tecnica di slow start con la quale un nuovo server, trovandosi

16 completamente scarico, non viene inondato di richieste nel momento in cui viene messo in servizio. 3. Fastest Connection: privilegia principalmente il server che ha tempi di risposta migliori. 4. Percentage Utilization: permette di scegliere il server a cui connettersi in modo statico, allo scopo di distribuire manualmente i carichi proporzionalmente alle prestazioni reali delle singole macchine. Affidabilita. Meccanismi di verifica dei servizi Tali meccanismi garantiscono la disponibilita continua di un servizio (ad esempio web server) in caso di Fault Failure di uno o piu` server reali. In alcuni casi è in grado autonomamente di notificare ad un sistema centralizzato di gestione l indisponibilità di un servizio/server. Esistono due modalità per verificare lo stato di salute di un servizio/server: i) Il server viene sollecitato da richieste periodiche simili a quelle fatte da un client. ii) Il server utilizza un agent di solito proprietario che fornisce indicazioni al load balancer sullo stato globale della macchina (CPU, Memoria, servizi) Il documento prende in esame solo il primo tipo giudicando il secondo troppo limitativo a causa dell indisponibilità di tale agent per tutte le piattaforme software. Aspetti di alta affidabilita L alta affidabilita consente di non avere nessun single-point-of-failure all interno del sistema utilizzando una coppia di apparati opportunamente connessi e sicronizzati fra loro. Le metodologie utilizzate sono:?? ACTIVE-ACTIVE in cui entrambi gli SLB partecipano al bilanciamento. Il vantaggio di questa architettura, oltre a eliminare il single point of failure, e` quello di raddoppiare la capacita` di smaltimento del numero massimo di sessioni fornite da un singolo. In caso di guasto pero`, presenta lo svantaggio di perdere tutte quelle sessioni che superano la capacita` del singolo SLB.?? ACTIVE-STANDBY in cui uno solo degli SLB e` attivo mentre l altro mantiene copia delle sessioni attive. In caso di guasto e` in grado di mantenere in questo modo le connessioni degli utenti limitando il disservizio. Con funzionalita di switch In questo caso la sottorete dei client e raggiungibile da entrambi i load balancer a livello 2 ma uno solo e attivo (non e quindi necessario abilitare lo spanning tree). E necessario solo che i due switfch abbiano due indirizzi IP differenti per le fasi di O&M.

17 High Availability Load Balancer W&G DOMINO SWITCH Load Balancer SWITCH ( ) ( ) (3/23-3/24) cat (3/20) CAT TIN ( ) Con funzionalita di router In questa configurazione il load balancer fa da default router per la sottorete dei client in modo permettere loro di raggiungere quella dei server; in questo caso per avere l High Availability, e necessario che gli SLB siano configurati con un indirizzo IP reale ciascuno e un unico IP virtuale associato all apparato attivo. Per questa configurazione, e auspicabile che i due apparati presentino anche un unico indirizzo MAC virtuale in modo che gli switch di livello 2 a monte del load balancer non debbano modificare la propria tabella di ARP; cosi facendo si ottiene un miglioramento dei tempi di messa in servizio dell apparato di backup nel caso in cui quello attivo si guasti.

18 High Availability Load Balancer W&G DOMINO SWITCH 1 Load Balancer SWITCH ( ) ( ) (3/21-3/22) cat (3/20) CAT TIN ( ) Aspetti di persistenza La persistenza consente di mantenere la connettivita di un client verso un determinato server reale; questa funzionalita risulta molto utile nelle connessioni client-server di tipo statefull ovvero in quelle situazioni in cui il server tiene traccia del cliente e della sua storia all interno del servizio erogato; in questo caso l utente, dopo una connessione iniziale, deve ritornare allo stesso server reale al quale si era connesso precedentemente. Tipici casi di utilizzo della persistenza sono i siti con contenuti che vengono generati dinamicamente, quali ad esempio i siti di e-commerce, che utilizzano un carrello (shopping kart o shopping basket), i servizi di prenotazione on-line, etc. La persistenza puo` basarsi sul controllo di vari elementi, di seguito riportati. Source IP Con questa modalita`, l apparato si basa per la persistenza, sul source IP del client. Questo metodo pero` risulta inefficiente in caso di utilizzo di proxy da parte dell ISP del cliente. Infatti, tutti gli utenti di questo ISP si presentano con lo stesso indirizzo IP sorgente, e quindi sarannno indirizzati sulllo stesso server reale.

19 Cookie Con questa modalita`, l apparato si basa, per la persistenza, sul cookie memorizzato sul computer dell utente in modo da permettergli di riconnettersi allo stesso server contattato in precedenza. Esistono varie tecniche per fare persistenza su cookie, le piu` comuni sono: 1. la modalita INSERT, in cui il load balancer introduce un cookie proprietario nella Http response del server reale. Nel cookie e` contenuta l informazione di quale server e` stato contattato. 2. La modalita REWRITE, in cui il load balancer intercetta un blank cookie proprietario, e scrive in esso le informazioni sul server reale contattato. Tale modalita` implica una riconfigurazione dei server web reali per l invio di tale cookie. 3. la modalita PASSIVE, in cui il load balancer non inserisce o modifica alcun cookie esistente, ma richiede che il server reale invii un cookie gia` formattato con le informazioni del server stesso. 4. la modalita HASH in cui il load balancer esamina l header dei cookies inviati dai server reali, e automaticamente fa un associazione tra la richiesta del client e un server reale scelto univocamente dal load balancer. Una criticita` di questo metodo e` che non puo` essere utilizzato con connessioni Http criptate. SSL session ID E` un tipo di persistenza che tiene traccia delle connessioni SSL, (cioe` quelle Https), utilizzando il valore SSL Session ID, un parametro contrattato durante l apertura della sessione SSL. In questo fase il cliente ha la possibilita` di utilizzare i parametri di sicurezza di una sessione sicura precedente, o stabilire una nuova sessione SSL. Una criticita` per questo tipo di persistenza e` legata alll utilizzo del browser Internet Explorer, che richiede una nuova SSL Session-ID dopo un tempo pari a circa 5-10 minuti. Allo trascorrere di tale intervallo non viene piu` mantenuta la persistenza sul server iniziale. Aspetti di Traffic Management (Bandwidth Management) Questa funzionalita` permette di riservare determinate porzioni della banda disponibile per specifici servizi o utenti. Per esempio permette di limitare la banda concessa per ogni server virtuale definito sul load balancer; in questo modo si possono avere sulla stessa server farm, servizi con qualita` differenziata. La classificazione del traffico e` ottenuta tramite gestione con priorita differente per le varie code. Tale funzionalità può essere utile per un ISP allo scopo di applicare, al servizio Web hosting/housing, tariffe differenziate a seconda delle esigenze di banda.

20 Aspetti di sicurezza?? Possibilità di impostare dei filtri in deny o permission su base indirizzo IP e porta TCP/UDP: i load balancer sono in grado di autorizzare o bloccare in modo dettagliato gli accessi dal lato esterno verso le server farm per la loro amministrazione. Nello stesso tempo sono in grado di bloccare tutte le richieste di servizio non esplicitamente autorizzate.?? Capacita del Load Balance r di resistere ad un attacco di categoria DoS (Denial of Service): Tale funzionalità permette di prevenire gli attacchi alla sicurezza di tipo DoS (Syn flood, data flood, ping of the death, ecc.); vengono cosi limitate le indisponibilità di servizio dovute ad attacchi esterni senza bloccare il traffico legittimato. Le modalita di funzionamento che permettono al load balancer di prevenire attacchi di tipo DoS sono: 1. Chiusura di tutte le porte TCP/UDP statiche/dinamiche non espressamente autorizzate. 2. Protegge da attacchi basati su SYN flooding impostando una soglia massima sulle richieste di SYN non completate.?? Mascheramento dei server reali che utilizzano porte TCP/UDP statiche: 1. Gli SLB operano una sorta di virtualizzazione degli indirizzi IP dei server reali rispondendo al loro posto alle richieste di connessione degli utenti. Di conseguenza non e possibile venire a conoscenza dell indirizzo IP del server reale proteggendolo da possibili attacchi diretti. In questo modo si evita di inserire altri meccanismi di protezione come i Reverse Proxy. 2. Gli SLB permetono l Inserimento dei server reali in reti di classe di IP privati cioe non instradabili; i Load Balancer sono in grado cosi di aumentare il livello di sicurezza dei server reali permettendo loro di appartenere ad una rete di indirizzi IP privati. Tale funzionalita puo essere realizzata dagli SLB in due modi:?? Configurati come router (nulla vieta comunque l utilizzo di un router esterno per il raggiungimento a livello IP della subnet di classe di IP privati da parte del Load Balancer).?? Configurati come switch con utilizzo di meccanismi di Source NAT e funzionalita di bridge disabilitata. Tale scelta e sconsigliata nel caso in cui i server devono prendere delle decisioni sulla base dell indirizzo IP del cliente.