Utiliser un cache de site sans toucher aux navigateurs, c est possible!

Transcription

1 Utiliser un cache de site sans toucher aux navigateurs, c est possible! C. Claveleira Cellule technique du CRU claveleira@cru.fr

2 Introduction Mettre en service un cache web, c est bien, l utiliser c est mieux! Problème de la configuration des navigateurs Solutions - manuelle : désignation explicite du ou des caches - semi-automatique : utilisation de fichier.pac préparé par l administrateur - par l utilisateur : nécessite sa collaboration - par l administrateur : plus sûr, plus de travail - risque de déconfiguration - couper le port HTTP en sortie du site -> plus de choix pour les utilisateurs - intercepter le trafic HTTP et le traiter par un proxy-cache : proxy transparent Introduction CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 2 / 15

3 Principe de l interception de trafic mettre sur le trajet du trafic réseau un équipement qui va détourner le trafic HTTP vers un proxy-cache cache HTTP Réseau du site Principe de l interception de trafic CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 3 / 15

4 ce peut être le cache lui-même : cache proxy routage Réseau du site - la machine cache route le trafic non-http vers l extérieur - elle intercepte et traite le trafic HTTP Principe de l interception de trafic CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 4 / 15

5 ce peut être un routeur : routeur cache HTTP Réseau du site - utilisation du policy-routing : décision de routage sur critères autres que l adresse de destination Principe de l interception de trafic CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 5 / 15

6 ou un "L4-switch" : routeur L4Switch cache HTTP Réseau du site - un switch travaillant au niveau 4 (ports TCP) oriente le trafic HTTP vers le proxy-cache le proxy-cache doit accepter ce trafic qui ne lui est pas destiné. La plupart des produits le permettent (Squid, NetCache,...) Principe de l interception de trafic CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 6 / 15

7 Proxy-cache intercepteur le proxy-cache joue également le rôle de routeur possible avec Linux +ipfwadm ou ipchains, *BSD et Solaris + ipfilter (ipnat) Exemple avec Linux : - générer un noyau avec CONFIG_FIREWALL=y CONFIG_INET=y CONFIG_IP_FORWARD=y CONFIG_IP_FIREWALL=y CONFIG_IP_TRANSPARENT_PROXY=y CONFIG_IP_ALWAYS_DEFRAG=Y - commandes ipfwadm (à exécuter au boot) : # this_host est l'adresse du proxy # prévention des boucles : ipfwadm -I -a accept -W lo ipfwadm -I -a accept -S this_host ipfwadm -I -a accept -D this_host # redirection proprement dite : ipfwadm -I -a accept -P tcp -D 0/0 80 -r 3128 Proxy-cache intercepteur CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 7 / 15

8 modifications de configuration pour squid 2 : http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on intéressant pour un petit site, un labo,... Proxy-cache intercepteur CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 8 / 15

9 Routeur-détourneur utilisation du policy-routing Cisco possible avec IOS 11.x problème de performance jusqu en 11.2, fast-switché à partir de 11.3 exemple de configuration : interface Ethernet1 ip address ip policy route-map proxy-redir! access-list 110 deny tcp host any eq www! pour éviter bouclage access-list 110 permit tcp any any eq www! restreindre éventuellement les adresses source route-map proxy-redir permit 10 match ip address 110 set ip next-hop ! le next hop est le proxy Routeur-détourneur CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 9 / 15

10 à surveiller : avantages - charge du routeur - fonctionnement du proxy-cache : nécessite une surveillance externe pour reconfigurer le routeur en cas de panne - pas besoin d équipement supplémentaire si routeur de site Cisco - possibilité de répartition du trafic sur plusieurs caches solution propriétaire : WCCP Cisco - bonne intégration routeur-cache - backup automatique - maintenant licencié à d autres constructeurs solution orientée moyenne à grosse configuration le routeur peut aussi être une machine Linux, *BSD ou Solaris Routeur-détourneur CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 10 / 15

11 L4 switch avantages - switch => hautes performances - partage de charge entre plusieurs caches - surveillance et backup automatique en cas de panne d un cache routeur cache cache cache L4Switch Réseau du site L4 switch CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 11 / 15

12 inconvénient - un élément de plus à traverser -> critique mais possibilité de redondance exemples de switches L4 : - Alteon : AceSwitch (jusqu à un Gb/s) - Foundry Networks : ServerIron (jusqu à un Gb/s) - Arrow Point : L7 switch (examen des urls) orienté grosse à très grosse configuration L4 switch CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 12 / 15

13 Restrictions, effets de bord FTP non traité (ni Gopher, Wais,...) pages "inattendues" affichées à l utilisateur en cas d erreurs attention - à la stabilité de route entre les clients et le (ou les) cache(s) - aux sites faisant du contrôle d accès sur adresse IP -> nécessité de gérer des listes d exceptions + de requêtes DNS faites par les navigateurs -> légers délais supplémentaires par rapport a proxy désigné dans la configuration du navigateur pas de connexions persistantes entre navigateurs et proxy transparent aléas de reload? Restrictions, effets de bord CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 13 / 15

14 Conclusion le proxy transparent permet de s affranchir des problèmes de configuration de navigateurs plusieurs façons de le mettre en oeuvre dont certaines très peu coûteuses demande quelques précautions : backup en cas de panne, listes d exceptions recommandations pour un site : inciter néanmoins les utilisateurs à configurer leurs navigateurs pour éviter les quelques effets de bord du proxy transparent et traiter ainsi au moins une partie de FTP Conclusion CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 14 / 15

15 Références la FAQ de Squid : la page du CRU : Network Appliance : Cisco WCCP : Références CRU-CT/CC ( ) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 15 / 15