prácticas recomendadas para el rendimiento de isa server 2006

Prcticas recomendadas para el rendimiento de ISA Server 2006Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft

Pgina 1

Buscar Microsoft .comHomeInicio Biblioteca Entrenamiento Descarga Soporte Comunidad Seguridad TechCenters Ms Populares Aceleradores de Soluciones Adminitracin de Sistemas Windows Medianas Empresas Office Servidores Evaluacin de Software

| Suscrbase | Descarga | Contctenos | Simplified

Prcticas recomendadas para el rendimiento de ISA Server 2006Microsoft Internet Security and Acceleration (ISA) Server 2006 proporciona acceso seguro y controlado entre redes y sirve de proxy de almacenamiento en cach de web ofreciendo capacidades de rpida respuesta web y de descarga, as como publicacin en Web segura para acceso remoto . Su arquitectura multicapa y motor de directivas avanzadas ofrecen control granular del equilibrio entre el nivel de seguridad que usted necesita y los recursos requeridos. Como servidor perimetral que conecta muchas redes, ISA Server administra grandes cantidades de trfico en comparacin con otros servidores de una organizacin . Por este motivo, est diseado para ofrecer un alto rendimiento . Este artculo proporciona instrucciones para la implementacin de ISA Server con el mejor rendimiento posible y una capacidad adecuada.

Resumen ejecutivoEn la mayora de los casos, el ancho de banda de red disponible , especialmente el del vnculo de Internet, puede protegerse con ISA Server en ejecucin en el hardware ms bsico disponible . Una implementacin predeterminada tpica de ISA Server que protege el acceso web de salida para trfico de Protocolo de transferencia de hipertexto (HTTP) requiere configuraciones de hardware especficas para diferentes vnculos de Internet. Estas configuraciones del hardware se muestran en la tabla siguiente . (Para ms detalles , consulte los Escenarios proxy web en este documento).

Ancho de banda del vnculo de Internet Procesadores /ncleos Tipo de procesador

Hasta 5 T1

Hasta 25 Mbps

Hasta T3

Hasta 90 Mbps 2 /2 Xeon Doble Ncleo AMD Doble Ncleo 2 .0 3 .0 GHz

1 Pentium III a 750 megahercios (MHz) o superior

1 Pentium 4 a 3, 0 4 ,0 gigahercios (GHz)

2 Xeon a 3 ,0 4 ,0 GHz

Memoria

512 megabytes (MB)

512 MB

1 gigabyte (GB)

2 GB

Espacio en disco Adaptadores de red

150 MB 10/100 Mbps

2 ,5 GB 10 /100 Mbps

5 GB 100/1000 Mbps 850

10 GB 100/1000 Mbps 2000

Conexiones de acceso remoto de red privada virtual (VPN) simultneas .

150

700

El empleo de filtrado activo de capa de transporte en lugar del filtro de proxy web mejora 10 veces la utilizacin de CPU para las mismas pautas de trfico . Tanto el filtrado activo como el filtrado de aplicacin pueden ser utilizados en paralelo para proporcionar control granular sobre el rendimiento . Principio de la pgina

Planificacin de la capacidad de ISA ServerLa obtencin de ms informacin sobre sus requisitos de capacidad es el primer paso para determinar los recursos necesarios para una implementacin de ISA Server. Hay diferentes casos para un amplio espectro de implementaciones . En general, es probable que tenga la mtrica siguiente:

Los anchos de banda disponibles y reales de cada red vinculada a un equipo ISA Server. El nmero de usuarios de su organizacin. Varias mtricas del nivel de aplicacin (por ejemplo, el tamao medio de buzn en un servidor de correo).

La mtrica ms importante para la capacidad de ISA Server son los anchos de banda real de la red , porque generalmente representan sus necesidades reales de capacidad. En muchos casos , el ancho de banda de la red , y en concreto el del vnculo de Internet , puede determinar la capacidad de ISA Server. El nmero de usuarios es menos indicativo de sus necesidades de capacidad porque cada usuario tiene su propio modo de uso, en funcin de sus necesidades y de las directivas de red de su organizacin . A veces, el nmero de usuarios, as como la mtrica en el nivel de aplicacin, pueden resultar tiles para calcular el trfico de red. Todos los casos de planificacin de la capacidad de ISA Server se encuentran en una de las categoras siguientes:

Todo el ancho de banda de la red puede ser servido por un equipo individual bsico ISA Server. Para obtener ms informacin, consulte Equipo individual bsico en este documento . El ancho de banda de la red es mayor de lo que puede llegar a servir cualquier equipo individual y se utiliza ISA Server para proteger las aplicaciones a escala de empresa. Para obtener ms informacin, consulte Escala de empresa en este documento .

Las secciones siguientes describen estos casos con mayor detalle.

Equipo individual bsico

http://www.microsoft.com/latam/technet/isa/2006/perf_bp.mspx

15/01/2012 12:20:47 p.m.

Prcticas recomendadas para el rendimiento de ISA Server 2006

Pgina 2

En la mayora de situaciones, un equipo individual tiene suficiente capacidad de procesamiento para proteger el trfico a travs de vnculos estndar de Internet . Segn los informes de investigacin de mercado sobre el uso de Internet , la mayora de anchos de banda de los vnculos de Internet corporativos se encuentran entre 2 y 20 Mbps. Esto indica que un equipo bsico con un procesador simple o doble ser suficiente para la mayora de implementaciones de ISA Server. Segn los resultados de las pruebas de firewall de salida , ISA Server en ejecucin en un procesador Pentium 4 simple a 2, 4 GHz puede suministrar un rendimiento de aproximadamente 25 Mbps con la CPU al 75 por ciento de utilizacin . Esto significa que para cada vnculo de Internet T1 (1 ,5 Mbps), el servicio de firewall de Microsoft usar slo el 4 ,5 por ciento de los recursos de CPU. Los procesadores Dual Xeon a 2 ,4 GHz pueden proporcionar un rendimiento de aproximadamente 45 Mbps (T 3) a un 75 por ciento de utilizacin de la CPU o a un 2, 5 por ciento de CPU para cada T 1. Un equipo individual bsico funciona tambin en sucursales que conectan con recursos corporativos a travs de vnculos de Internet de red de rea extensa (WAN) independientes con los lmites de ancho de banda descritos en el prrafo anterior.

Escala de empresaPara sitios grandes a escala de empresa con ms de 500 usuarios, la situacin es ms compleja. Este caso requiere de una planificacin ms elaborada, ya que el ancho de banda de Internet es suficientemente grande para trasladar el cuello de botella de rendimiento a los recursos de CPU del sistema. El ancho de banda de la conexin de Internet impone un lmite en el nmero de equipos que pueden usar completamente la conexin y este mximo puede ser suficiente para la mayora de las estimaciones de capacidad. Inicialmente , la planificacin para la capacidad mxima de la red puede ser conservadora , ya que los requisitos de capacidad a menudo aumentan con el tiempo. Para acomodar el crecimiento futuro, deber planificar tambin las actualizaciones de capacidad de procesamiento . Para una descripcin de tcnicas de escalado de hardware , de sus caractersticas de rendimiento y de otros beneficios del escalado , consulte Escalado de ISA Server en este documento . Principio de la pgina

Instrucciones de ajuste de rendimientoCuando haya decidido qu opcin de capacidad se ajusta a sus necesidades, su siguiente tarea ser ajustarla para un mejor rendimiento. Para ISA Server a escala de empresa, esto se traduce en el diseo de recursos de hardware adecuados para hacer que el sistema dependa de su potencia de CPU como origen de un posible cuello de botella. Para un equipo individual bsico ISA Server, el ancho de banda de Internet es el origen de un posible cuello de botella, y no el procesador que usted elija .

Ajuste del hardware para un mximo uso de la CPULa capacidad del ISA Server depende de los recursos de hardware de CPU, memoria, red y disco. Cada recurso tiene un lmite de capacidad y mientras se consuman todos los recursos por debajo de su lmite, el sistema en su conjunto funcionar correctamente, cumpliendo sus objetivos de rendimiento . El rendimiento disminuye considerablemente cuando se alcanza uno de estos lmites, producindose un cuello de botella. En este caso , se dice que el sistema est enlazado a ese recurso. Cada cuello de botella produce determinados sntomas en el rendimiento general del sistema que pueden servir de ayuda para detectar el recurso con capacidad inadecuada . Cuando se descubra un cuello de botella, bastar agregar ms capacidad al recurso de capacidad inadecuada para eliminarlo. Desde la perspectiva de costos, lo ms eficiente es disear un sistema que est basado en recursos de CPU. Esto se debe a que es el recurso ms caro de actualizar. Otras carencias de recursos son menos costosas de corregir: Agregue otro disco, agregue otro adaptador de red, o bien ample la memoria. Le recomendamos que ajuste el hardware del sistema para maximizar el uso de la CPU. Compruebe que un sistema no tenga cuellos de botella de rendimiento antes de alcanzar el uso completo de la CPU. Si la capacidad de procesamiento de la CPU puede soportar la carga esperada , nunca se producir un cuello de botella. Para ello , todos los dems recursos deben tener la capacidad adecuada. Las secciones siguientes describen cmo disear un sistema maximizado para la CPU con la capacidad adecuada en cada recurso, cmo supervisar cada recurso y cmo solucionar un cuello de botella en cada recurso.

Determinar la capacidad de la CPU y de la arquitectura del sistemaComo la mayora de las aplicaciones de servidor que sirven numerosas solicitudes de cliente , el rendimiento del ISA Server tambin se beneficia de una mayor velocidad de la CPU, de una mayor cach de procesador y de una arquitectura mejorada del sistema:

Velocidad de la CPU. Como en la mayora de aplicaciones, ISA Server se beneficia de CPU ms rpidas . Sin embargo, aumentar la velocidad de la CPU no garantiza un aumento lineal del rendimiento . Debido al frecuente y gran efecto de acceso a la memoria, aumentar la velocidad de la CPU puede producir ms ciclos de CPU inactivos desaprovechados a la espera de la memoria. Tamao de cach L 2/ L3 . El manejo de grandes cantidades de datos requiere de frecuentes accesos a la memoria. Una cach L2 /L3 mejora el rendimiento en recuperaciones de memoria grandes. Arquitectura del sistema. Debido a que ISA Server transfiere grandes cargas de datos entre dispositivos de red, memoria y la CPU, los elementos de sistema alrededor de la CPU afectan tambin al rendimiento de ISA Server. Un bus de memoria frontal ms rpido y buses de E /S ms rpidos mejoran la capacidad general .

Los cuellos de botella de la CPU se caracterizan por situaciones en las que\Processor\% Processor Time las cifras del contador de rendimiento son elevadas mientras que el adaptador de red y las E /S del disco permanecen por debajo de su capacidad. En este caso, (que es el sistema maximizado para la CPU idneo), llegar al 100 por cien significa que se debe aumentar la CPU, bien actualizando a una CPU ms rpida , o bien agregando ms procesadores. Para obtener ms informacin acerca de opciones de escalado de CPU, consulte Escalado de ISA Server en este documento. Si ISA Server contina teniendo tiempos de respuesta altos, pero los porcentajes de CPU son bajos , significa que el cuello de botella est en otra parte . Las capacidades de Hyper-threading tambin pueden ayudar a reducir los niveles de uso de CPU cuando consuma menos del 60 por ciento de la CPU. En niveles ms altos de uso de CPU, si se habilita Hyper-threading se consumir la misma capacidad de procesamiento que si est deshabilitado .

Determinar la capacidad de memoriaLa memoria de ISA Server se utiliza para:

Almacenar sockets de red (principalmente desde agrupaciones no paginadas ) Estructuras de datos internos Objetos de solicitudes pendientes

En escenarios de almacenamiento en cach proxy web, la memoria se utiliza tambin para :


15/01/2012 12:20:47 p.m.


Pgina 3

La estructura de directorios de la memoria cach de disco Almacenamiento en memoria cach

Debido a que ISA Server administra numerosas conexiones simultneas que necesitan memoria de sistema no paginada, el factor limitador de la memoria es el tamao de la agrupacin no paginada , en funcin del tamao total de memoria. Para sistemas operativos Microsoft Windows Server 2003 y Windows 2000 Server, los valores mnimo y mximo del tamao de agrupacin no paginada se muestran en la tabla siguiente .

Memoria fsica (MB) Tamao mnimo de agrupacin no paginada Tamao mximo de agrupacin no paginada

128 4 50

256 8 100

512 16 200

1 ,024 32 256

2 ,048 64 256

4 ,096 128 256

Cundo no est habilitado el almacenamiento en cach de web, 512 MB deberan ser suficientes para equipos de procesador nico, 1 .024 MB son suficientes para equipos con doble procesador y 2. 048 MB son suficientes para equipos con doble procesador y doble ncleo. Estas cantidades pueden almacenar tambin la capacidad total de memoria del conjunto de trabajo. La prueba ms crtica de que la memoria no est correctamente ajustada es cuando \Memory\Pages/sec (que mide los errores severos de pgina por segundo ) es elevado (superior a 10) durante cargas de pico. Si esto sucede, la primera accin depende de si est habilitado el almacenamiento en cach de web: 1. Si est deshabilitado el almacenamiento en cach de web, deber determinar si se necesita ms memoria fsica supervisando la memoria utilizada por todos procesos del sistema. Los siguientes contadores del rendimiento le ayudarn:

\ Memory\ Pages/ sec\ Memory\ Pool Nonpaged Bytes\ Memory\ Pool Paged Bytes\ Process(*)\Working Set

2.

Si est habilitado el almacenamiento en cach de web, primero pruebe a reducir el tamao de la memoria cach al 10 por ciento de memoria fsica . Si an hay errores severos de pgina, siga con el paso 1 .

Implementacin de servidor virtual Nota: Se admite la instalacin de ISA Server 2006 en Microsoft Virtual Server 2005 R2 . Debido a que el sistema operativo de Windows que aloja Virtual Server no puede ser protegido por ISA Server en un servidor virtual , ISA Server en un entorno Virtual Server no debe ser utilizado en un escenario de firewall perimetral, y esta configuracin no se admite. Usted puede usar esta configuracin de forma segura en otros escenarios, tales como:

Una implementacin en produccin en la que ISA Server sobre Virtual Server ofrece servicios proxy web tales como proxy de reenvo, publicacin y almacenamiento en cach y est protegido por un firewall perimetral , como un equipo ISA Server o una matriz adicionales . Una implementacin en laboratorio

Si usted encuentra altos \Process \wspsrv \Virtual Bytes valores de contador del rendimiento (valores de 1. 800.000.000 (1, 8 GB) indican que puede haber un problema ), puede considerar la utilizacin de ISA Server sobre Virtual Server 2005 R2 , como una alternativa a la compra de otro equipo ISA Server:

Defina el nmero de sistemas operativos invitados alojados por el servidor virtual . Cuando los bytes virtuales superen 1 ,8 GB, debera considerar agregar un sistema operativo virtual al equipo despus de agregar 2 GB de memoria de acceso aleatorio (RAM ). Agregue RAM al equipo host (2 GB para cada sistema operativo invitado). Instale Microsoft Virtual Server 2005 R 2 en su servidor. Para ms detalles , consulte el sitio web de Microsoft Virtual Server . Siga las recomendaciones de rendimiento en Ayuda y soporte tcnico de Microsoft . Instale sistemas operativos invitados . Instale y configure ISA Server en cada sistema operativo invitado. Utilice un equilibrador de carga externo, como por ejemplo, operacin por turnos DNS (sistema de nombres de dominio) basado en hardware o equilibrio de carga de red de Windows (NLB), para propagar el trfico entre los equipos ISA Server.

Las mediciones de una llamada a procedimiento remoto (RPC) sobre un escenario de publicacin HTTP seguro (HTTPS) en un servidor con doble procesador o procesador de doble ncleo a 2,2 GHz con 8 GB de RAM mostraron lo siguiente :

Una nica instalacin de ISA Server en un equipo host administr 40. 000 conexiones simultneas con aproximadamente 2 GB de memoria virtual . Tres equipos ISA Server instalados sobre tres sistemas operativos virtuales administraron 60 .000 conexiones simultneas y cada equipo virtual emple slo 1,3 GB. Este modelo podra ser escalado a ms equipos virtuales (por ejemplo, cuatro, ocho, etctera) en funcin de la cantidad de RAM y de la capacidad de procesamiento del servidor host. Las pruebas fueron ejecutadas en tres equipos. El uso de CPU en ambos casos fue casi igual.

Determinar la capacidad de la redCada dispositivo de red que existe en una conexin tiene su lmite de capacidad. Entre estos dispositivos se incluyen los adaptadores de red del cliente y del servidor, los enrutadores, conmutadores y los concentradores que los interconectan. Una capacidad adecuada de red significa que ninguno de estos dispositivos de red est saturado. La supervisin de la actividad de la red es esencial para asegurar que las cargas reales sobre todos dispositivos de red estn por debajo de su capacidad mxima. Hay dos casos generales donde la capacidad de red afecta al rendimiento de ISA Server:


15/01/2012 12:20:47 p.m.


Pgina 4

ISA Server est conectado a Internet mediante un vnculo WAN. En la mayora de las situaciones, el ancho de banda de la conexin a Internet establece el lmite para la cantidad de trfico. Es probable que la causa de un rendimiento bajo durante horas punta de trfico sea la sobreutilizacin del vnculo de Internet . Esto se aplica tambin a un escenario de sucursal, donde los equipos ISA Server de la sucursal estn conectados al equipo ISA Server en la sede central sobre una conexin lenta.

ISA Server est conectado slo a redes LAN . En este caso , es importante disponer de una infraestructura que soporte los requisitos de trfico mximo. Sin embargo, en la mayora de las situaciones, esto no es un problema debido al bajo precio de las redes LAN de 100 Mbps y de 1 Gbps.

Para supervisar la actividad de la red, use el contador del rendimiento :\Network Interface(*)\ Bytes Total/ secSi su valor es superior al 75 por ciento del ancho de banda mximo de cualquier interfaz de red, considere aumentar el ancho de banda de la infraestructura de la red que no sea adecuado. O bien considere la utilizacin de las caractersticas avanzadas de ISA Server 2006 como se detalla en Almacenamiento en cach BITS y Compresin HTTP en este documento .

Determinar la capacidad de almacenamiento en discoISA Server utiliza el almacenamiento en disco para:

Registrar la actividad del firewall Almacenamiento en cach de web

Si ambos estn deshabilitados o no hay trfico, ISA Server no realizar ninguna actividad de E /S de disco . En una instalacin tpica de ISA Server, el registro est habilitado y configurado para usar el registro de Microsoft SQL Server 2005 Desktop Engine (MSDE 2005). Para la mayora de las implementaciones , un solo disco es suficiente para servir la tasa mxima de registro. Si est habilitado el almacenamiento en cach de web, la capacidad de almacenamiento en disco debe ser planificada cuidadosamente tal como se explica en Almacenamiento en cach de web en este documento. El factor limitador de cualquier sistema de almacenamiento en disco es el nmero de accesos fsicos a disco por segundo . Este nmero vara en funcin de lo aleatorios que sean estos accesos y de lo rpido que el disco gire fsicamente . Generalmente , el lmite est entre 100 y 200 accesos por segundo. El contador de rendimiento que se debe usar para supervisar la tasa de acceso a disco es :\PhysicalDisk (*)\Disk Transfers/ secSi se alcanza este lmite en un disco durante un espacio de tiempo prolongado es probable que el sistema se ralentice, lo que usted advertir por un aumento en el tiempo de respuesta del sistema. Para eliminar este cuello de botella, la solucin inmediata es reducir los accesos a disco agregando ms discos fsicos. Otra causa de una alta tasa de acceso a disco son los errores severos de pgina. Para solucionar esta situacin, consulte Almacenamiento en cach de web en este documento .

Filtros web y de aplicacinISA Server utiliza filtros de aplicacin para realizar la inspeccin de seguridad del nivel de aplicacin. Un filtro de aplicacin es una biblioteca de vnculos dinmicos (DLL) que se registra en un puerto de protocolo especfico . Siempre que se enva un paquete a este puerto de protocolo, se pasa al filtro de aplicacin, que lo inspecciona segn la lgica de aplicacin y decide qu hacer segn la directiva. Cundo no se asigna un filtro de aplicacin a un protocolo, los datos se someten a filtrado activo TCP. En este nivel, ISA Server slo comprueba la informacin de encabezado TCP/IP. En general, el filtrado en el nivel de aplicacin requiere ms procesamiento que el filtrado activo TCP por varios motivos:

Los filtros de aplicaciones inspeccionan la carga de datos y el filtrado activo TCP inspecciona slo la informacin de encabezado TCP/IP. Los filtros de aplicaciones pueden realizar otras acciones con la carga de datos, como inspeccionarla y bloquearla, o cambiar el contenido segn la lgica de aplicacin. Los filtros de aplicacin funcionan en espacio de modo de usuario. El filtrado en el nivel de transporte funciona en modo de ncleo. Esto implica una sobrecarga de procesamiento extra para pasar los datos a travs de la pila de red del sistema operativo.

Debido a que los filtros de aplicacin son ampliaciones de procesamiento del firewall , pueden tener una repercusin en el rendimiento. Recomendamos:

Obtener informacin de rendimiento de los filtros que usted utiliza y ajustarlos para que sean lo ms eficientes posible . Un ejemplo es el filtro web HTTP que puede ser configurado para inspeccionar la carga de HTTP y buscar firmas especficas . Habilitar esta caracterstica provoca un procesamiento adicional que reducir las demandas sobre el equipo ISA Server. Donde proceda, considere emplear las reglas de ISA Server en vez de un filtro. Por ejemplo, el bloqueo de sitio utilizando conjuntos de destino de reglas de acceso puede ser ms eficiente que un filtro web que hace lo mismo. Si desarrolla un filtro, optimcelo para un mejor rendimiento. Esto se recomienda para cualquier software, especialmente para un firewall o servidor proxy de importancia vital . ISA Server admite la utilizacin de filtrado de aplicacin y filtrado activo TCP de nivel inferior para el mismo puerto de aplicacin en funcin de las redes de origen y de destino . Por ejemplo, puede filtrar el trfico de Internet en el nivel de aplicacin, mientras utiliza proteccin de filtrado de transporte sobre el trfico existente entre todas las dems redes.

RegistroISA Server ofrece dos mtodos principales para registrar la actividad del firewall :

Registro MSDE. Este mtodo es el mtodo de registro predeterminado para el firewall y la actividad web. ISA Server escribe registros de log directamente en una base de datos de MSDE para permitir consultas sofisticadas en lnea sobre los datos registrados. Registro sobre archivos. Con este mtodo, ISA Server escribe los registros de log en un archivo de texto de forma secuencial.

Comparando los dos mtodos, MSDE tiene ms caractersticas, pero utiliza ms recursos del sistema. Concretamente, es probable que en general se produzca una mejora del 10 al 20 por ciento en la utilizacin del procesador al cambiar a registro sobre archivos desde MSDE. El registro MSDE tambin consume ms recursos de almacenamiento en disco . El registro MSDE realiza aproximadamente dos accesos a disco para cada megabit . El registro sobre archivos requerir la misma cantidad de accesos a disco para 10 megabits . Una forma de mejorar el rendimiento del ISA Server es cambiar de registro MSDE a registro sobre archivos. Esto se recomienda slo cuando haya un problema de rendimiento provocado por la saturacin de un procesador o de accesos a disco. ISA Server 2006 Enterprise Edition proporciona tambin registro remoto SQL, que puede ser utilizado para registrar sobre una base de datos SQL administrada de forma central. El registro remoto SQL consume recursos de CPU a medio camino entre los utilizados por registro MSDE y registro sobre archivos y no utiliza casi E/S a disco . Sin embargo, el registro remoto SQL presenta otros requisitos de capacidad que deben ser tenidos en cuenta, ya que todos los datos de registro se escriben en una base de datos central remota :

Las conexiones de red entre equipos ISA Server y la base de datos remota SQL necesitan usar un ancho de banda dedicado de gigabit


15/01/2012 12:20:47 p.m.


Pgina 5

La tabla siguiente ofrece una estimacin de la tasa de transacciones y del ancho de banda de registro para los tres anchos de banda del vnculo de Internet.

Ancho de banda del vnculo con Internet Transacciones SQL por segundo Ancho de banda de la transaccin SQL

1 Mbps 25 92 kilobits por segundo (Kbps)

5 T 1 (7 ,5 Mbps ) 188 700 Kbps

25 Mbps 625 2 ,3 Mbps

T 3 (45 Mbps ) 1 ,125 4 ,2 Mbps

90 Mbps 3, 250 12,1 Mbps

Para anchos de banda mayores , las cifras de la tabla anterior pueden ser extrapoladas linealmente . Principio de la pgina

EscenariosISA Server es compatible con una amplia variedad de escenarios de implementacin y aplicacin. Las secciones siguientes describen la mayora de los escenarios y sus caractersticas de rendimiento .

Escenarios de implementacinLos escenarios de implementacin se refieren a la ubicacin de un equipo ISA Server dentro de una intranet corporativa. Debido a consideraciones de seguridad y rendimiento , varios escenarios populares han evolucionado con el paso de los aos y las secciones siguientes describen cada uno de ellos bajo una perspectiva de rendimiento y capacidad.

Firewall perimetral de InternetLas organizaciones con necesidades de capacidad a escala de empresa pueden considerar la implementacin un equipo ISA Server como un firewall perimetral de Internet dedicado que acte como puerta de enlace segura a Internet para todos los clientes corporativos . Para mantener altos niveles de rendimiento de cientos de Mbps entre las redes internas e Internet, el ISA Server puede ser configurado para ofrecer slo filtrado en el nivel de paquetes y de capa de transporte activo. El filtrado ms avanzado en el nivel de aplicacin que proporciona ISA Server se habilitar en la segunda capa de defensa, que est compuesta por equipos ISA Server con firewall back-end.

Firewall departamental o back-endLa siguiente lnea de defensa para organizaciones a escala de empresa incluye varios equipos ISA Server que son implementados como firewalls de departamento o back-end de red que ofrecen control de acceso entrante y saliente seguro dentro y fuera de redes LAN protegidas. Las organizaciones con infraestructuras de firewall ya existentes pueden mantener sus firewalls de alto rendimiento actuales en el permetro de Internet y descargar el sofisticado filtrado de capa de aplicacin hacia equipos ISA Server en el permetro de LAN. Esto permitira a una organizacin usar las actuales conexiones de Internet de alta velocidad y beneficiarse a la vez del nivel nico de proteccin ofrecido por las capacidades de filtrado de capa de aplicacin de ISA Server 2006. Desde una perspectiva del rendimiento , es necesario un firewall de departamento para soportar slo una parte del trfico total que pasa por el firewall perimetral, permitiendo la ejecucin de ms caractersticas de seguridad que consuman recursos, tales como filtros de aplicacin.

Firewall de sucursalISA Server puede ser utilizado para conectar de forma segura redes de sucursales a una oficina principal utilizando conexiones de red privada virtual (VPN) de sitio a sitio. En esta implementacin, ISA Server se sita en una sucursal donde acta tanto de firewall , protegiendo la red de la sucursal, como de puerta de enlace VPN, conectando la red de la sucursal a la red de la oficina principal . En general, una VPN de sitio a sitio filtrada en el nivel de transporte consume slo un 25 por ciento de la capacidad de procesamiento por unidad de trfico que se necesita para el acceso a Internet filtrado en el nivel de aplicacin. Nota: En una VPN de sitio a sitio filtrada en el nivel de transporte , el trfico que pasa por el tnel no lo inspeccionan filtros en el nivel de aplicacin. El filtrado en el nivel de aplicacin para trfico VPN de sitio a sitio, como cualquier otro trfico , est habilitado en una base por protocolo.

Escenarios proxy webLa mayora del trfico en Internet y dentro de las actuales redes corporativas utiliza HTTP. Un anlisis de pautas de trfico de muchos protocolos indica que HTTP es exigente en trminos de rendimiento de la red. Por lo tanto, las simulaciones tpicas de carga de trabajo de trfico web son realistas para medir la capacidad y las caractersticas de rendimiento de cualquier firewall . Nota: Una mtrica tpica para validar el rendimiento de la red es la cantidad de transacciones intercambiadas mediante conexin TCP. Los valores tpicos para HTTP (3 a 5 de media ) son reducidos en comparacin con otros protocolos. La tabla siguiente resume las recomendaciones de hardware para soportar el trfico HTTP en tres implementaciones tpicas con equipo individual segn el ancho de banda del vnculo de Internet .

Vnculo de Internet Procesadores /ncleos Tipo de procesador

Hasta 5 T1 (7,5 Mbps) 1 Pentium III a 550 MHz (o superior )

Hasta 25 Mbps 1 Pentium 4 a 2 ,0 3 ,0 GHz

Hasta T3 (45 Mbps) 2 Xeon a 2,0 3,0 GHz

Hasta 90 Mbps 2/2 Xeon Doble Ncleo AMD Doble Ncleo 2,0 3,0 GHz

Memoria Espacio en disco Interfaz de red

256 MB 150 MB 10 /100 Mbps

512 MB 2, 5 GB 10/100 Mbps

1 GB 5 GB 100/1000 Mbps

2 GB 10 GB 100/1000 Mbps


15/01/2012 12:20:47 p.m.


Pgina 6

Los requisitos de la tabla anterior son para la configuracin predeterminada de la instalacin de ISA Server 2006 y una configuracin de la directiva que contiene centenares de reglas . Esto incluye todo el filtrado web y de aplicacin predeterminado, as como el registro MSDE. Lo siguiente se refiere a la tabla anterior:

Ancho de banda del vnculo de Internet. Las cifras del ancho de banda se refieren a una carga de trabajo donde ISA Server 2006 se utiliza como proxy web transparente con filtrado completo de capa de aplicacin HTTP. Al servir de proxy web de reenvo o inverso , ISA Server puede duplicar el rendimiento, lo que significa que el equipo mnimo recomendado para un ancho de banda T 3 es un procesador Pentium 4 simple y un equipo con doble procesador para dos conexiones T3 . Para ms detalles acerca de diferencias de rendimiento entre varios escenarios proxy web, consulte Escenarios proxy en este documento . En las implementaciones que slo necesiten filtrado activo (sin necesidad de mayor filtrado en el nivel de aplicacin), el hardware recomendado alcanza las velocidades de cable LAN. Para ms detalles , consulte Filtrado activo en este documento . Si est habilitado el almacenamiento en cach de web, se puede reducir el ancho de banda del vnculo de Internet entre un 20 y un 30 por ciento en funcin de la relacin de aciertos de byte. Para ms detalles , consulte Almacenamiento en cach de web en este documento .

Procesadores . Las cifras fueron obtenidas mediante la simulacin de trfico HTTP en miles de direcciones IP, cargando un procesador ISA Server hasta un 70 -80 por ciento de utilizacin . Tipo de procesador. Tambin se pueden considerar otros procesadores que emulen el conjunto de instrucciones IA -32 con una potencia comparable. Memoria. Los requisitos de la memoria no tienen en cuenta el espacio de memoria para el almacenamiento en cach de web. Para ms informacin acerca de la memoria adicional para el almacenamiento en cach de web, consulte Almacenamiento en cach de web en este documento . Espacio en disco. Los requisitos de espacio en disco indican la cantidad de espacio en disco libre que se recomienda para los registros del ISA Server. Para planificar los requisitos de espacio en disco para el almacenamiento en cach de web, consulte Almacenamiento en cach de web en este documento. Interfaz de red . Los requisitos de interfaz de la red son para redes internas (las que no estn conectadas a Internet ).

ISA Server protege el trfico HTTP mediante su filtro proxy web integrado. Este filtro de aplicaciones admite tres escenarios diferentes: Proxy de reenvo y proxy transparente para proteger el acceso de salida a Internet para usuarios corporativos y proxy inverso para proteger el acceso entrante de usuarios de Internet a sitios web internos. Las secciones siguientes describen cada uno de estos escenarios desde una perspectiva del rendimiento y explican cmo se puede usar el almacenamiento en cach para mejorar el rendimiento.

Escenarios proxyEsta seccin ofrece escenarios para proxy de reenvo , proxy transparente y proxy inverso . Proxy de reenvo En proxy de reenvo, los exploradores web cliente estn enterados de la presencia del proxy. En Microsoft Internet Explorer, por ejemplo, esto se hace configurando Utilizar un servidor proxy o Detectar la configuracin automticamente en Opciones de Internet. Cuando los clientes web tienen en cuenta el proxy, abren conexiones directamente al proxy y envan las solicitudes proxy para ubicaciones en Internet. (Por ejemplo, Internet Explorer abrir dos conexiones al proxy al enviar solicitudes HTTP 1 .1 ). Cundo ISA Server recibe una solicitud para un servidor , abre una conexin a este servidor y lo vuelve a emplear para otras solicitudes procedentes de otros clientes al mismo servidor. Esto lleva a una topologa de conexin en estrella . La ventaja del rendimiento de este escenario es que permite una gran reutilizacin de las conexiones , lo que minimiza el nmero de conexiones abiertas , as como la tasa conexiones . Proxy transparente En proxy transparente, los exploradores web cliente no advierten la presencia del proxy. Detectan que son enrutados directamente a servidores en Internet sin agentes de por medio . Concretamente, los clientes web tienen acceso directo a servidores de Internet abriendo conexiones con los sitios web de destino. Esto conduce a un aumento considerable de la tasa de conexiones, ya que despus de que un usuario pida una pgina en un nuevo servidor, el explorador web cierra sus conexiones con el servidor web actual y abre conexiones nuevas con el nuevo servidor web. Esto es tpico de proxy transparente y afecta al rendimiento de ISA Server. Normalmente , la tasa de conexiones en el lado del cliente en proxy transparente es aproximadamente tres veces ms alta que en proxy de reenvo, que consume aproximadamente el doble de ciclos de procesador por solicitud . Proxy transparente es un escenario popular porque es fcil de implementar, especialmente para proveedores de servicios de Internet (ISP) con una base de clientes heterognea. Por este motivo, hay considerables mejoras de rendimiento en este escenario. En general, ISA Server requiere el doble de recursos de CPU para proxy transparente que para proxy de reenvo . Proxy inverso Proxy inverso o publicacin en Web funcionan de la misma manera que proxy de reenvo, pero la direccin es de entrada en lugar de salida . En este escenario, ISA Server acta como un sitio web al que tienen acceso clientes en Internet. Los clientes no saben que el sitio web al que tienen acceso es realmente un proxy. Al igual que con proxy de reenvo, el nmero de conexiones y la tasa de conexiones son mnimos , debido a la eficiente reutilizacin de conexiones. Proxy inverso se utiliza para la publicacin segura de servidores web, como Microsoft Internet Information Services (IIS), Microsoft Office Outlook Web Access 2003, Microsoft Office Sharepoint Portal Server y muchos ms. Desde una perspectiva de rendimiento , el proxy inverso tiene caractersticas semejantes al proxy de reenvo. La diferencia principal es que la mayor cantidad de trfico fluye desde el ISA Server a usuarios de Internet, lo cual requiere una gran conexin a Internet . Como se explica en la seccin siguiente , el proxy de reenvo y el proxy inverso tienen diferentes repercusiones de rendimiento cuando est habilitado el almacenamiento en cach de web.

Almacenamiento en cach de webEl almacenamiento en cach de web es una caracterstica para mejorar el rendimiento de ISA Server en todos los escenarios proxy web. Pero el efecto de la mejora del rendimiento es diferente cuando se habilita la memoria cach para escenarios de salida (proxy de reenvo y proxy transparente) y el escenario de proxy inverso de entrada. La diferencia principal entre almacenamiento en cach de reenvo (transparente) e inverso es el propsito de la memoria cach. El almacenamiento en cach de reenvo (y transparente) est pensado para ahorrar costos de ancho de banda de Internet y para reducir el tiempo de respuesta mediante la colocacin de contenido popular almacenable en la memoria cach cerca de los usuarios . El almacenamiento en cach inverso se utiliza para descargar los servidores web back -end. El almacenamiento en cach inverso no afecta al tiempo de respuesta e incluso aumentar el tiempo de espera para objetos que no estn almacenados en la memoria cach. En trminos de ahorro, el almacenamiento en cach de reenvo ahorra intentos de acceso a servidores web en Internet al atender esos intentos desde la memoria cach, lo cual implica un ahorro en ancho de banda necesario del vnculo de Internet . Por ejemplo, si la


15/01/2012 12:20:47 p.m.


Pgina 7

relacin de aciertos de byte de cach es del 20 por ciento y el rendimiento pico en los vnculos internos es de 10 Mbps, el rendimiento pico en el vnculo de Internet sera slo de 8 Mbps . Nota: La relacin de aciertos de objeto de cach es la proporcin de objetos que se atienden desde la memoria cach del total de objetos atendidos por el proxy. Igualmente , la relacin de aciertos de byte de cach es la proporcin de bytes que se atienden desde la memoria cach del total de bytes atendidos por el proxy. Los valores medios comunes son aproximadamente el 35 por ciento de la relacin de aciertos de objeto y aproximadamente el 20 por ciento de la relacin de aciertos de byte. El almacenamiento en cach inverso ayuda a la consolidacin de servidores web, reduciendo tanto los costos de hardware como de administracin. Por ejemplo, si el 80 por ciento de los datos de un sitio web es esttico y almacenable en cach y un objeto dinmico requiere cuatro veces ms ciclos de CPU en comparacin con un objeto esttico, la utilizacin de un proxy inverso reducir el nmero de servidores web en un 50 por ciento. Nota: Supongamos que un objeto esttico necesita X ciclos de CPU y un objeto dinmico requiere 4 X ciclos. Si 80 de cada 100 solicitudes son estticas, el nmero total de ciclos necesarios para 100 solicitudes es 80X + (100-80)4 X = 160X, y el 50 por ciento de los utilizados para contenido esttico sern servidos por una cach de ISA Server. Otra diferencia entre la memoria cach inversa y de reenvo es la magnitud del conjunto de trabajo almacenado en cach. En cach inversa , el tamao del conjunto de trabajo del cliente es ilimitado, pero el conjunto de trabajo del servidor contiene slo varios sitios web y un nmero relativamente pequeo de objetos. En la mayora de los casos , ISA Server puede disearse con la memoria y el espacio en disco razonables para almacenar todo el contenido almacenable en cach alojado en su cach, para que slo el contenido dinmico no almacenable en cach sea dirigido a los servidores web alojados. Preferiblemente, toda la memoria cach puede ser guardada y servida en memoria. En cach de reenvo, el espacio de servidor contiene un nmero ilimitado de sitios y objetos web, de modo que el conjunto de trabajo en cach es ilimitado . Para mantener un conjunto de trabajo tan grande, deber definir cachs de disco grandes. Las secciones siguientes describen cmo planificar y ajustar la capacidad cach de web para el almacenamiento en cach inverso y de reenvo . Ajuste de discos y memoria cach de reenvo En el almacenamiento en cach de reenvo , la relacin de aciertos de objeto y la tasa de solicitudes pico HTTP se utilizan para determinar el nmero de discos necesarios segn la frmula siguiente: Nmero_ de_ discos = (Tasa_ solicitudes _ pico X Relacin_ aciertos_objeto) /100 Por ejemplo, si la tasa de las solicitudes pico es de 900 solicitudes por segundo y la relacin de aciertos de objeto es del 35 por ciento, se necesitan cuatro discos. Nota: El nmero 100 en la frmula anterior es emprico y significa que el disco fsico de rendimiento medio (que gira hasta 10.000 revoluciones por minuto) puede atender 100 operaciones E /S por segundo . Un disco ms rpido girando a 15 .000 revoluciones por minuto puede realizar entre 130140 operaciones E /S por segundo. Recomendamos usar discos dedicados del mismo tipo y de igual capacidad. Si se usa un subsistema de almacenamiento RAID, debe configurarse como RAID 0 (sin tolerancia a errores). Se recomiendan discos pequeos, preferiblemente de hasta 40 GB. El ajuste de la memoria cach es ms complicado. En los escenarios cach, la memoria se usa para:

Objetos de solicitudes pendientes. El nmero de objetos de solicitudes pendientes es proporcional al nmero de conexiones de clientes al equipo ISA Server. En la mayora de los casos , ser menor del 50 por ciento de las conexiones de clientes. Cada solicitud pendiente necesita aproximadamente 15 KB. Para 10.000 conexiones simultneas , el conjunto de trabajo de la memoria del proxy web tiene hasta 50% 10.000 15 KB = 75 MB asignados a objetos de solicitudes pendientes. Sin embargo en un RPC sobre escenario de publicacin HTTP o HTTPS, todas las conexiones tienen un objeto de solicitud pendiente. Siguiendo el ejemplo anterior, un total de 100% 10.000 15 KB = 150 MB estn asignados a objetos de solicitudes pendientes.

Directorio de cach . El directorio que contiene una entrada de 48 bytes por cada objeto almacenado en cach. El tamao del directorio de cach se determina directamente por el tamao de la memoria cach y del tamao medio de respuesta. Por ejemplo, una cach de 50 GB que aloja 7.000.000 objetos (aproximadamente 7 KB cada uno como media ) necesita 48 7. 000.000 = 336 MB. Almacenamiento en memoria cach. El propsito del almacenamiento en memoria cach es servir las solicitudes de objetos populares almacenados en cach directamente desde la memoria, reduciendo las recuperaciones desde la memoria cach de disco . Pero puesto que el contenido almacenable en cach es ilimitado en el almacenamiento en cach de reenvo , el tamao de la memoria cach tiene un efecto limitado sobre el rendimiento.

De forma predeterminada, la memoria cach es el 10 por ciento de la memoria fsica total y es configurable . En general, recomendamos usar la configuracin predeterminada a menos que se produzcan errores severos de pgina. Los errores severos de pgina producen una grave degradacin del rendimiento. La manera ms fcil de corregir esta situacin cuando se usa almacenamiento en cach es reducir el tamao de la memoria cach. Teniendo en cuenta esta informacin, use el proceso siguiente para ajustar el tamao de la memoria cach: 1. 2. Ajuste el tamao de la memoria cach de disco , como se explica en el apartado anterior. Calcule la memoria necesaria como el resultado de: 1. 2. 3. 4. Objetos de solicitudes pendientes (50% 15 KB pico-conexiones-establecidas ). Tamao de directorio de cach (48 x direccionesURL -en-cach). Tamao de memoria cach (de forma predeterminada, el 10 por ciento de la memoria total). La memoria del sistema requiere aproximadamente 50 MB ms 2 KB por conexin (50 MB + 2 KB x pico-conexiones establecidas ). Al menos 100 MB para otros procesos en ejecucin en el sistema.

5. 3.

Supervise el uso de memoria y cambie el tamao de la memoria cach como corresponda. Los contadores informativos del rendimiento son:

\ ISA Server Cache\ Memory Cache Allocated Space (KB ) \ ISA Server Cache\ Memory URL Retrieve Rate (URL/sec) \ ISA Server Cache\ Memory Usage Ratio Percent (% )


15/01/2012 12:20:47 p.m.


Pgina 8

Ajuste de discos y memoria cach inversa En el almacenamiento en cach inverso, el tamao del conjunto de trabajo es tan pequeo en comparacin con el almacenamiento en cach de reenvo que es relevante tratar de ponerlo todo en memoria. El tamao del conjunto de trabajo es la cantidad total de objetos almacenables en cach en el sitio web que aloja la memoria cach. Se recomienda que el tamao del disco y de la memoria cach sea aproximadamente el doble del tamao del conjunto de trabajo para mantener todos los objetos almacenables en cach y para justificar la directiva de fragmentacin en la asignacin de discos y de actualizacin de cach. Por ejemplo, un conjunto de trabajo de 500 MB requiere una cach de disco de 1. 000 MB y una memoria de 1 .500 MB con un tamao de cach de memoria al 66 por ciento. Debido a que la mayora de recuperaciones de cach se sirven desde la memoria cach, la tasa de E /S sobre el disco es baja. En la mayora de los casos, un solo disco fsico es suficiente, sin llegar a ser un cuello de botella. Utilizar el modificador /3 GB en boot.ini Para grandes sistemas con ms de 2 GB de memoria, Windows Server 2003 y Windows 2000 Advanced Server ofrecen la caracterstica de ajuste 4 GT RAM. Esta caracterstica divide un espacio de la memoria del proceso en 3 GB para la memoria de aplicacin y 1 GB para la memoria de sistema. Esta caracterstica permite que los procesos se beneficien de ms de 2 GB de RAM de espacio de usuario y se habilita agregando el modificador /3 GB al archivo boot. ini. (Para ms detalles , consulte el artculo Q171793, "Informacin sobre el uso de aplicacin del ajuste 4 GT RAM " en la Microsoft Knowledge Base). Esta caracterstica puede ser beneficiosa para ISA Server, especialmente para el almacenamiento en cach inverso que aloja un sitio web grande. Sin embargo, el empleo de esta caracterstica reduce el tamao mximo de la agrupacin no paginada (a 128 MB en lugar de 256 MB); de ah el nmero mximo de conexiones TCP simultneas .

Almacenamiento en cach BITSEl Servicio de transferencia inteligente en segundo plano (BITS), introducido en ISA Server 2004 Service Pack 2 (SP2) e incluido en ISA Server 2006, habilita el almacenamiento en cach de solicitudes de intervalo HTTP para Windows Update. BITS ofrece un ahorro considerable en el consumo de ancho de banda y reduce la demora en la descarga de actualizaciones en implementaciones con bajo ancho de banda, lo que es importante debido a la creciente demanda de actualizaciones a travs de Web . La medicin del rendimiento de almacenamiento en cach BITS mostr lo siguiente :

El almacenamiento en cach BITS duplica la relacin general de aciertos durante el proceso de actualizacin mensual del 10 por ciento al 20 por ciento. Durante la actualizacin mensual, hubo un ahorro del 18 por ciento del trfico total. El trfico administrado con el almacenamiento en cach BITS funciona mucho mejor que cualquier otro trfico web, debido al rendimiento medio extraordinariamente alto por conexin y relacin de aciertos. Por ejemplo, en el mismo hardware , el almacenamiento en cach BITS puede atender tres o cuatro veces ms bits con la misma utilizacin de procesador que el trfico web administrado sin BITS. La habilitacin del almacenamiento en cach BITS para Windows Update no tiene repercusin negativa en las caractersticas de rendimiento del trfico que no est asociado a Windows Update .

Compresin HTTPISA Server 2006 ofrece una caracterstica de compresin del protocolo de transferencia de hipertexto (HTTP ). Cuando se configura la compresin HTTP, ISA Server puede comprimir el contenido para conservar el ancho de banda limitado . Esto es til, por ejemplo, en escenarios donde una oficina principal proxy dirige las solicitudes de Internet directamente a Internet y las sucursales dirigen sus solicitudes a travs de la oficina principal , sobre una red con ancho de banda limitado . La caracterstica utiliza un algoritmo de compresin muy conocido (GZip) para comprimir los datos HTTP , mientras que la razn de compresin vara en funcin del tipo de datos de destino. (De manera predeterminada, slo se comprimen los datos basados en texto). Nota: Cuando los filtros web de ISA Server inspeccionan el contenido comprimido entrante, se descomprime el contenido comprimido . Una vez descomprimido , el contenido se almacena en la memoria cach en forma de texto descomprimido . Si ISA Server recibe una peticin del contenido almacenado en cach , lo vuelve a comprimir antes de enviarlo, lo que aumenta el tiempo de respuesta. Al medir la compresin HTTP sobre una lnea de 56 Kbps con una latencia de 50 milisegundos (msec), en conexin con un equipo ISA Server en la sede central a mltiples equipos ISA Server en las sucursales y pasando un total de 96 Mbps (descomprimidos ), los datos mostraron lo siguiente :

La compresin HTTP posee el mayor impacto en una red lenta. Mejora el uso de red en un 28 por ciento y de esta manera mejora el rendimiento total del sistema. La latencia entre la sede central y las sucursales mejor en un factor de 15 . El impacto en la CPU habilitando compresin HTTP en el sistema probado (dual Xeon a 2 ,4 GHz) fue del 15 por ciento.

Autenticacin webHay muchos mtodos para realizar la autenticacin web y cada uno tiene su propia repercusin en el rendimiento . La tabla siguiente resume las ventajas y las desventajas de cada mtodo.

Esquema de autenticacin

Seguridad

Cundo se realiza la autenticacin Por tiempo Por tiempo/contador Por conexin Por conexin Por conexin Por sesin de explorador Por solicitud Por tiempo

Sobrecarga por solicitud Baja Ninguna Ninguna Ninguna Ninguna Ninguna Alta Baja

Sobrecarga por lote Ninguna Alta Alta Alta Media Media Ninguna Ninguna

Bsica Digest NTLM NTLMv2 Kerberos SecurID RADIUS por solicitud RADIUS por tiempo de espera (predeterminado)

Baja Media Media Alta Alta Alta Alta Media


15/01/2012 12:20:47 p.m.


Pgina 9

Desde la perspectiva del rendimiento , un esquema de autenticacin funciona mejor sin sobrecarga por solicitud y con una sobrecarga por lote baja. Decidir qu esquema de autenticacin usar depende de la seguridad y la infraestructura. Igualmente , la autenticacin proxy web puede ser configurada al nivel de escucha proxy web o al nivel de regla. Elija el nivel de escucha slo si la autenticacin es necesaria para todos los accesos web. De otro modo, elija el nivel de regla, lo que significa que esa autenticacin ser realizada slo cuando sea necesario segn las reglas.

Filtros webAl igual que los filtros de aplicacin, los filtros web pueden tener tambin una repercusin en el rendimiento, en funcin de lo que hagan. ISA Server incorpora varios filtros web que realizan tareas especificadas . De stos , los que ms CPU consumen son el filtro HTTP y el filtro de traduccin de vnculos . Un filtro HTTP inspecciona cada solicitud y respuesta web, comprobando que cumplen la utilizacin normal del protocolo HTTP. Est habilitado de forma predeterminada, y su configuracin predeterminada proporciona los lmites de tamao a encabezados HTTP y direccin URL. Otras caractersticas disponibles incluyen bloqueo por mtodos, por extensiones, por encabezados y por carga de firmas HTTP. Estas funciones no tienen repercusin en el rendimiento cuando se seleccionan , excepto bloqueo de firma, que requiere un 10 por ciento ms de ciclos de CPU. Se recomienda un filtro HTTP para proteger el trfico web. La traduccin de vnculos se utiliza especficamente en escenarios de publicacin en Web. Se inspeccionan los cuerpos de las respuestas en HTML , buscando hipervnculos absolutos, y se modifican para que apunten al equipo ISA Server en su lugar . De forma predeterminada, la traduccin de vnculos inspecciona los cuerpos de respuesta y encabezados HTTP , de modo que hay una notable repercusin en el rendimiento . Cuando est habilitada la inspeccin de cuerpos, comprueba de forma predeterminada slo el contenido HTML, provocando un incremento general del 15 por ciento en la utilizacin de la CPU.

Publicacin en Web seguraUtilizando capa de sockets seguros (SSL), ISA Server mejora la publicacin segura de una variedad de contenido web. ISA Server, junto con SSL, habilita el acceso privado a sitios web publicados y, para usuarios corporativos, protege el acceso a varios recursos de red internos , tales como correo electrnico, sitios web compartidos , servicios de Terminal Server , etc. SSL es un protocolo TCP que utiliza el puerto 443. SSL se conoce tambin como HTTP seguro (HTTPS ), ya que define un entorno seguro, autenticacin y cifrado para el contenido HTTP . Desde la perspectiva del rendimiento , el cifrado y el descifrado SSL crean una capa de procesamiento adicional, ms all del procesamiento HTTP normal. Esta capa incluye dos fases intensivas importantes de CPU:

Protocolo de enlace SSL. Una vez establecida una conexin TCP, SSL crea un contexto de seguridad entre los extremos utilizando una infraestructura de clave pblica (PKI). Esto se conoce como protocolo de enlace SSL. En trminos de aumento de trfico de red , un protocolo de enlace SSL consume una capacidad de procesamiento proporcional a la tasa de conexiones (medida en conexiones por segundo ).

Cifrado. Una vez que se ha establecido el contexto de seguridad, un extremo lo utiliza para cifrar o descifrar el contenido HTTP, mediante cifrado simtrico . Este procesamiento es realizado en cada byte de datos HTTP. Por lo tanto , consume ciclos de procesador en proporcin al rendimiento de red agregado (medido en megabits por segundo).

La proporcin entre el rendimiento agregado y la tasa de conexiones determina la media del nmero de bits que son procesados en cada conexin. Esta proporcin se define como bits por conexin y , en la prctica, cada aplicacin tiene un valor caracterstico para esta proporcin. A continuacin se muestran algunos ejemplos . Outlook Web Access Cuando un cliente web se conecta a un servidor front-end de Outlook Web Access Exchange Server , carga la pgina web de Outlook que contiene los iconos de la interfaz de usuario y los encabezados de los mensajes que hay actualmente en el buzn. En consecuencia, cualquier operacin que el usuario realice (tal como Abrir, Enviar, o Mover a carpeta ) genera una nueva conexin HTTP que transfiere un promedio de 10 a 20 kilobytes (KB). Cuando se suma el comportamiento de Outlook Web Access de muchos usuarios , el cliente web crea normalmente un valor de bits por conexin relativamente bajo (del orden de 100 kilobits por conexin). RPC sobre HTTP con Outlook 2003 en modo de Exchange en cach La llamada a procedimiento remoto (RPC) sobre HTTP es una caracterstica de Microsoft Exchange Server 2003 que permite a los clientes Outlook 2003 tener acceso a un Exchange Server en la red corporativa interna desde Internet. Al conectarse a Exchange Server , un cliente Outlook 2003 que funcione en modo de Exchange en cach normalmente comienza con una sincronizacin del contenido del buzn sobre un archivo de cach local. Cuando se ha completado la sincronizacin , se producen conexiones intermitentes, en las que se transfieren los nuevos mensajes. Para un trabajador con conocimientos con un perfil de uso intenso, la operacin de sincronizacin transfiere muchos bytes de datos sobre un nmero pequeo de conexiones, de modo que el valor caracterstico general de bits por conexin es bastante elevado (del orden de 500 kilobits por conexin). Nota: Cada RPC sobre cliente HTTP establece aproximadamente 10 conexiones , de modo que debe considerar tambin la cantidad total de conexiones (el nmero de clientes x 10) al planificar su implementacin. Sitio web Hay muchas maneras de disear e implementar un sitio web. Por tanto , los sitios web no tienen un valor de bits por conexin tpico. Sin embargo, despus de que un sitio web sirva solicitudes , usted puede medir los bits acumulados por conexin. En la prctica, los sitios web tienen valores de bits por conexin medios (entre 100 y 500 kilobits por conexin).

Protocolo de puente SSLCundo usted implementa ISA Server con publicacin en Web segura, los clientes web seguros en la red externa pueden conectarse al puerto SSL. El protocolo de puente SSL es una caracterstica de ISA Server, que le permite especificar cmo se comunica ISA Server con el servidor web back-end que est publicado. Esta caracterstica permite que usted pueda elegir entre los dos tipos siguientes de protocolo de puente:

Protocolo de puente SSL a SSL. En este tipo de protocolo de puente, ISA Server obtiene acceso al servidor back-end mediante SSL. ISA Server realiza protocolos de enlace SSL separados con el servidor back -end y debe usar cifrado para cada paquete que recibe o enva al servidor back-end. Protocolo de puente HTTP a SSL. En este tipo de protocolo de puente, ISA Server obtiene acceso al servidor back-end mediante HTTP descifrado .


15/01/2012 12:20:47 p.m.


Pgina 10

Protocolo de puente SSL a SSL refuerza la seguridad en la red Interna, pero agrega el costo de procesamiento del doble cifrado a cada paquete que se transfiere entre ISA Server y el servidor back -end. Protocolo de puente SSL a SSL cuesta aproximadamente un 10 por ciento ms que el protocolo de puente SSL a HTTP.

Determinar la capacidad SSLPara determinar el tamao del equipo ISA Server que debe tener para cargas de trfico de red pico, deber primero medir los kilobits tpicos por conexin de su trfico de red y despus medir el trfico agregado total. Utilice el procedimiento siguiente para determinarlo: 1. Utilice la herramienta monitor de rendimiento del sistema para supervisar el trfico de red de cada servidor de aplicaciones para las dos horas punta de la actividad del servidor . Recopile los contadores siguientes : \ Network Interface \Bytes Total/sec . ste es el contador de la interfaz publicado por ISA Server. Utilice el valor medio como el rendimiento medio de la duracin. Este valor tambin se utiliza para calcular el trfico agregado total .\TCPv4\Connections Active. El valor de este contador es el nmero total de conexiones creadas durante la sesin de supervisin . Para determinar la media de conexiones por segundo dentro de esta duracin, divida la diferencia entre los valores mximos y mnimos entre la duracin total. Calcule el nmero de kilobits por conexin de esta forma: kilobits por conexin = (total de bytes por segundo 8 por 1000) por (conexiones por segundo). 2. Determine la media total de kilobits por conexin como la media ponderada de kilobits por conexin de cada servidor de aplicaciones . El peso para cada servidor es el rendimiento de ese servidor dividido por el rendimiento total de todos servidores. 3. 4. Determine el trfico agregado total agregando el trfico medido en cada servidor . Utilice la tabla siguiente para determinar el nmero de megaciclos que se necesitan por cada megabit de trfico SSL que procesa ISA Server, segn los kilobits por conexin medidos en el Paso 2.

Kilobits por conexin 1 procesador, SSL a HTTP 1 procesador, SSL a SSL 2 procesadores, SSL a HTTP 2 procesadores, SSL a SSL

100 (Outlook Web Access) 91 120 128 142

200 (Web) 500 (RPC sobre HTTP) 77 96 104 120 69 83 91 104

5.

Para determinar la velocidad del procesador que necesaria para soportar el trfico agregado total, multiplique los megaciclos por megabit , de la tabla del Paso 4 por el rendimiento total, tal como se midi en el Paso 3. Nota: A causa de la variedad de configuraciones de ISA Server, escenarios de uso y de plataformas de hardware , los nmeros anteriormente citados slo para propsitos de estimacin . Para implementaciones con un ancho de banda del vnculo de Internet superior a 10 megabits por segundo, recomendamos hacer una prueba piloto para comprobar estas estimaciones .

Por ejemplo, supongamos que los kilobits por conexin calculados en el Paso 2 son 200, el rendimiento agregado total es de 15 megabits y necesita que ISA Server realice protocolo de puente SSL a SSL. Segn se extrae de la tabla anterior, un solo procesador necesita 96 megaciclos por megabit o 96 15 = 1440 megaciclos por 15 megabits por segundo. Un procesador Intel Pentium 4 simple a 2,4 GHz es suficiente para esta carga y se utiliza a 1440/2400 = 60% a rendimiento pico. Un equipo con doble procesador con dos procesadores Intel Pentium 4 a 2 ,4 GHz necesita 120 megaciclos por megabit o 120 15 = 1800 megaciclos por 15 megabits por segundo y se usa al 1800/ (2 2400) = 38 % a rendimiento pico. La tabla siguiente muestra la cantidad del trfico en megabits que un procesador a 2 ,4 GHz puede procesar al mximo de utilizacin recomendado (80 por ciento).

Kilobits por conexiones 1 procesador, SSL a HTTP 1 procesador, SSL a SSL 2 procesadores, SSL a HTTP 2 procesadores, SSL a SSL

100 21 16 30 27

200 25 20 37 32

500 28 23 42 37

Esta tabla es especfica para implementaciones en las que ISA Server se utiliza slo para trfico SSL. Si tiene previsto implementar ISA Server para trfico SSL y HTTP no cifrado, puede estimar la capacidad de procesamiento que necesita calculando una media ponderada de megaciclos segn la cantidad de trfico de cada escenario multiplicada por los megaciclos por megabit, mostrados en la tabla siguiente .

Escenario 1 procesador 2 procesadores

Proxy transparente 74 86

Proxy de reenvo 37 43

Tnel SSL 30 35

Por ejemplo, supongamos que desea implementar ISA Server en un escenario de firewall perimetral en el cual el 40 por ciento del trfico pico de 20 megabits por segundo es proxy transparente, el 35 por ciento es proxy de reenvo y el 25 por ciento es SSL a SSL con 200 kilobits por conexin. La cantidad total de megaciclos necesarios para que ISA Server procese este trfico en un equipo con un solo procesador es : megaciclos = 20 megabits por segundo (74 40% + 37 35 % + 96 25% ) = 1331 Un procesador Intel Pentium 4 a 2,4 GHz es suficiente para procesar esta carga y se utiliza al 1331/2400 = 55% de rendimiento pico. Un equipo de doble procesador requiere 20 (86 40% + 43 35 % + 120 25% ) = 1589 megaciclos , que utiliza 1589/ (2400 2) = 33 % de dos procesadores Intel Pentium 4 a 2 ,4 GHz a rendimiento pico.

Filtrado activo


15/01/2012 12:20:47 p.m.


Pgina 11

Filtrado activo inspecciona los datos en el nivel de transporte y est implementado en el controlador de modo de ncleo del Motor de Paquete firewall de ISA Server. Filtrado activo evala las direcciones IP de origen y destino , opciones y nmeros de puerto con marca TCP/ UDP y los tipos y cdigos del Protocolo de mensajes de control de Internet (ICMP). Utiliza esta informacin para determinar el estado de la conexin, y admite paquetes que se ajustan a este estado y rechaza paquetes que no se ajustan. Filtrado activo necesita slo una pequea cantidad de los recursos que necesita el filtrado de nivel de aplicacin. La misma cantidad de trfico HTTP que usa el 75 por ciento de la CPU con filtrado proxy web usar slo el 8 por ciento de la CPU con filtrado activo (un factor de aumento del rendimiento de 10 ).

VPNUna red privada virtual (VPN) consiste en dos escenarios bsicos: VPN de acceso remoto y VPN de sitio a sitio. Ambos pueden usar varios protocolos y trabajar en conjuncin con filtrado de aplicacin o con filtrado activo. Los protocolos basados en seguridad de protocolo de Internet (IPsec) pueden usar tambin las capacidades de descarga de hardware disponibles en muchos adaptadores de red , lo que mejora la utilizacin general del procesador. Algunos protocolos pueden funcionar con compresin para aumentar el rendimiento o ahorrar ancho de banda. Todas estas caractersticas afectan al rendimiento , como se explica en las secciones siguientes .

VPN de acceso remotoLos clientes remotos que llaman desde Internet utilizan acceso remoto por VPN para tener acceso a sus redes corporativas. Los protocolos empleados en el acceso remoto son protocolo de tnel punto a punto (PPTP) y protocolo de tnel de capa dos (L2TP ) sobre seguridad de protocolo de Internet (IPsec). Ambos protocolos son compatibles con la compresin, que est recomendada porque ahorra ancho de banda y capacidad de procesamiento necesarias para el cifrado. Para determinar la capacidad adecuada para un servidor VPN ISA Server, primero necesitar evaluar el nmero mximo de conexiones remotas simultneas que su equipo ISA Server necesita soportar . Por ejemplo, si espera que menos del 5 por ciento de los empleados de su organizacin establezcan conexiones remotas simultneamente y su organizacin tiene 5 .000 empleados, 250 conexiones simultneas de acceso remoto VPN simultneas es la capacidad que necesita. La tabla siguiente indica el nmero mximo de conexiones simultneas de acceso remoto VPN admitidas por cada plataforma de hardware. Estas cifras implican una configuracin de ISA Server lista para funcionar que incorpora filtrado proxy web, registro MSDE y compresin tanto para PPTP como L2TP sobre protocolos IPsec.

Protocolo

Conexiones y ancho de banda

Procesador Pentium 4 simple a 3 GHz

Procesadores Dual Xeon a 3 GHz

Procesador dual de doble ncleo Xeon a 2 ,800 GHz

PPTP Conexiones Ancho de banda L2 TP sobre IPsec Conexiones Ancho de banda 700 10,5 Mbps 850 12, 75 Mbps 2 ,450 63, 75 Mbps 600 9 Mbps 760 11, 4 Mbps 2 ,200 33 Mbps

Lo siguiente se refiere a la tabla anterior:

Las cifras de ancho de banda son el ancho de banda necesario del vnculo de Internet. El ancho de banda real es el doble de la cantidad mostrada en la tabla anterior, debido a la compresin. Las cifras de ancho de banda suponen un rendimiento medio de 30 Kbps por conexin, lo que equivale aproximadamente a una conexin de acceso telefnico de 56 KB.

En las implementaciones donde los clientes VPN son de mayor confianza, se puede deshabilitar el filtrado del nivel de aplicacin, lo que mejora la capacidad total y reduce el nivel de seguridad. La tabla siguiente muestra las cifras cuando est deshabilitado el filtro proxy web.

Protocolo

Conexiones y ancho de banda

Pentium 4 a 3 GHz , Standard Edition

Doble Pentium 4 a 3 GHz, Enterprise Edition

Procesador dual de doble ncleo Xeon a 2 ,800 GHz

PPTP Conexiones Ancho de banda L2 TP sobre IPsec Conexiones Ancho de banda 1,000 15 Mbps 2, 320 35 Mbps 2,000 30 Mbps 1,000 15 Mbps 2, 500 38 Mbps 2000 30 Mbps



15/01/2012 12:20:47 p.m.


Pgina 12

El procesador Pentium 4 simple a 3 GHz es capaz de alcanzar el nmero mximo de conexiones simultneas (1 .000) en ISA Server 2006 Standard Edition. ISA Server 2006 Enterprise Edition no tiene dicho lmite. ISA Server Enterprise Edition debe ejecutarse en Windows Server 2003, Enterprise Edition, porque Windows Server 2003, Standard Edition tiene un lmite de 1 .000 conexiones. La descarga de hardware IPsec, disponible en muchos adaptadores de interfaz de red , puede aumentar los valores de rendimiento entre un 20 y un 25 por ciento. Tenga en cuenta, sin embargo, que para Windows Server 2003, est disponible slo para adaptadores de red a 100 Mbps . La tabla anterior muestra que para arquitectura de doble ncleo , el nmero mximo de conexiones y el rendimiento mximo son menores que para arquitectura de doble procesador. Esto est relacionado con la afinidad del procesador: Cuando un ncleo est al 85 por ciento de utilizacin y los otros tres ncleos estn al 15 por ciento, se produce un cuello de botella de CPU. Este problema se puede solucionar aplicando afinidad de interrupcin (utilizando la herramienta Intfiltr.exe disponible en herramientas de kit de recursos de Windows Server 2003).

VPN de sitio a sitioEn una VPN de sitio a sitio hay dos opciones principales desde una perspectiva de rendimiento y capacidad. Una opcin es usar PPTP o L2 TP sobre IPsec. Estos protocolos ofrecen compresin del trfico de la aplicacin, lo que duplica el rendimiento que puede ser transferido a travs del vnculo de sitio a sitio . Por ejemplo, el envo de archivo de 2 MB a travs de un tnel PPTP o L2 TP realmente pasar slo 1 MB. La otra opcin es usar tnel IPsec, que no incorpora compresin. As que de hecho, PPTP y L2 TP sobre IPsec ahorran rendimiento de sitio a sitio en un 50 por ciento, en comparacin con tnel IPsec. Con el filtro proxy web deshabilitado , L2TP sobre IPsec necesita un nico procesador Pentium III a 750 MHZ para un trfico de aplicacin de 15 Mbps . El paso de este trfico en una direccin requiere slo una capacidad de vnculo de 7, 5 Mbps , debido a la compresin. Un procesador Pentium 4 simple a 3 GHz puede controlar un trfico de aplicacin de hasta 90 Mbps que necesite una capacidad de vnculo T 3 (45 Mbps). Cuando el filtro proxy web est habilitado, un procesador Pentium III a 750 MHz puede soportar un trfico de aplicacin de 7 Mbps que requiere un ancho de banda de vnculo de Internet de 3,5 Mbps , mientras que un procesador Pentium 4 simple a 3 GHz administra un trfico de aplicacin de 34 Mbps que corresponde a un ancho de banda de Internet de 17 Mbps . Los procesadores Dual Xeon a 3 GHz pueden administrar un trfico de aplicacin de 53 Mbps que requiere un ancho de banda del vnculo de Internet de 26 ,5 Mbps. PPTP puede administrar aproximadamente entre un 15 y un 20 por ciento ms rendimiento para el mismo consumo de CPU. La segunda opcin es usar tnel IPsec, que no es compatible con la compresin, lo que significa que el trfico del vnculo de Internet es igual que el trfico de aplicacin. Al funcionar en conjuncin con filtrado activo (el filtro proxy web est deshabilitado ), el tnel IPsec puede administrar 10 Mbps en un nico procesador Pentium III procesador a 550 MHZ y 52 Mbps en un procesador Pentium 4 simple a 3 GHz. Cuando est habilitado el filtro proxy web, las cifras de rendimiento son 4 Mbps, 18 Mbps y 30 Mbps para el procesador Pentium III simple , Pentium 4 simple y las plataformas dual Xeon, respectivamente . La tabla siguiente resume estos resultados : los megabits reales admitidos por segundo al 75 por ciento de utilizacin de CPU. (Los nmeros entre parntesis representan los volmenes de trfico no comprimido ).

Mtodo VPN de sitio a sitio L2 TP sobre IPsec (comprimido )

Filtrado

Pentium 4 a 3 GHz

Pentium dual 4 a 3 GHz

Procesador dual de doble ncleo Xeon a 2,800 GHz

Deshabilitado Habilitado PPTP sobre IPsec (comprimido ) Deshabilitado Habilitado Tnel IPsec Deshabilitado Habilitado

45 (90 ) 17 (34 )

71 (142) 27 (53)

55 (110) 25 (50 )

52 (104) 20 (39 )

81 (162) 31 (61)

88 (176) 35 (70 )

52 18

87 30

94 33

La descarga de hardware IPsec, disponible en muchos adaptadores de interfaz de red , puede aumentar los valores de rendimiento entre un 20 y un 25 por ciento. VPN de sitio a sitio en varias sucursales En muchas organizaciones, es comn encontrar un escenario con varias sucursales y una sola sede central. En esta configuracin , varios equipos de sucursales estn conectados al mismo equipo en la sede central. Esto se conoce como topologa en estrella. Una medicin del escenario mostr que un solo equipo ISA Server en la sede central puede admitir hasta 60 equipos de sucursales conectados simultneamente, con una tasa de trfico de 200 Kbps. El hardware utilizado para esta prueba fue un procesador Quad AMD a 2 ,4 GHz con 2 GB de RAM . Los tneles VPN fueron creados utilizando L2 TP sobre IPsec. Principio de la pgina

Escalado de ISA ServerHay varias maneras de escalar un sistema ISA Server:

Mediante un equipo hardware de conmutacin de red de alto nivel. Estos conmutadores a menudo se denominan conmutadores L3 , L4 o L7 (capa 3 , capa 4 o capa 7 ) porque proporcionan capacidades de conmutacin basada en la informacin disponibles en diferentes capas de red . La conmutacin L3 se basa en informacin de capa de paquete (IP), L4 se basa en informacin de capa de transporte (TCP) y L7 realiza conmutacin basada en datos de aplicacin (encabezados HTTP). La informacin disponible en estos niveles puede proporcionar un sofisticado equilibrio de carga, segn el origen IP o las direcciones de destino, los puertos TCP de origen o destino , direccin URL y tipo de contenido. Debido a que los conmutadores son implementados como aparatos de hardware , tienen un rendimiento relativamente alto y tienen una alta disponibilidad y fiabilidad , pero son costosos. La mayora de los conmutadores pueden detectar condiciones de bloqueo de servidor, habilitando tolerancia a errores. Mediante resolucin de nombres de operacin por turnos DNS . A un clster de servidores se le puede asignar el mismo nombre en el Sistema de nombres de dominio (DNS). DNS responde a consultas para ese nombre examinando la lista de forma cclica . Se trata de una solucin econmica (sin costo), pero tiene inconvenientes. Un problema es que la carga no se distribuye necesariamente de manera uniforme entre los servidores del clster. Otro problema es que no proporciona tolerancia a errores.


15/01/2012 12:20:47 p.m.


Pgina 13

(aproximadamente entre el 10 y el 15 por ciento en escenarios ISA Server comunes) y tiene un lmite en el nmero de miembros en el clster (aproximadamente 8 equipos como mximo recomendado). Para ms informacin acerca de cmo implementar NLB, consulte "Conceptos de integracin de equilibrio de carga de red para Microsoft Internet Security and Acceleration (ISA) Server 2006" en el sitio web de Microsoft Technet.

Mediante el Protocolo de enrutamiento de matriz de cach . Para escenarios de almacenamiento en cach, ISA Server admite el Protocolo de enrutamiento de matriz de cach (CARP), que es un protocolo de equilibrio de carga en cach. No slo distribuye la carga entre los servidores , sino tambin el contenido almacenado en cach. Cada solicitud se enva a un equipo especfico del clster, para que los siguientes sean servidos de ese equipo.

Debido a que ISA Server mantiene un estado para cada secuencia que pasa a travs de l, todos los mtodos de escalado deben admitir adherencia para que todos los datos pasen por el equipo ISA Server . El escalado se utiliza para aumentar la capacidad de un sistema. Cada mtodo de escalado tiene sus ventajas y sus inconvenientes y, para ISA Server, tambin depende del escenario. Al decidir qu mtodo de escalado usar, considere lo siguiente :

Factor de rendimiento. El factor de multiplicacin para rendimiento agregado cuando se duplica el nmero de equipos en la matriz . Costo del sistema. Costo inicial de compra del sistema y no el costo de propiedad. Administracin del sistema. Nivel de complejidad en la administracin del sistema. Tiene consecuencias directas sobre los costos de propiedad del sistema. Tolerancia a errores . Mtodo utilizado por el sistema para posibilitar la alta disponibilidad y confiabilidad. Crecimiento del sistema . Mtodo utilizado para aumentar la capacidad de procesamiento del sistema. El costo de actualizaciones tambin es un factor importante.

A continuacin se muestran algunas implicaciones que considerar al decidir escalar:

nico punto de posibles errores contra tolerancia a errores . La disponibilidad de una implementacin con un solo equipo es ms susceptible de errores de hardware que un clster de varios equipos. Un error en la placa base o en el controlador de disco provocar que falle el sistema entero y necesite reparacin . Esto tambin es cierto para un equilibrador de carga de hardware que no funcione correctamente.

Crecimiento . Actualizar una solucin de equipo nico de un procesador a dos procesadores es sencillo, siempre y cuando haya una ranura de procesador vaca en el equipo (o puertos disponibles en el conmutador de equilibrio de carga de hardware ). En clsteres de varios equipos , agregar otro equipo es ms complicado.

La tabla siguiente resume los mtodos de escalado.

Caractersticas

Conmutador de hardware

Windows NLB

Operacin por turnos DNS 2

CARP

Factor de escala

2

1 ,75 para el trfico web 1 ,9 para SSL y acceso remoto VPN

Empezando en 1, 5 y aproximndose asintticamente a2

Costo del sistema. Tolerancia a errores

Costoso

Sin costo agregado

Sin costo agregado Ninguna

Sin costo agregado

Depende del conmutador (la mayora detecta equipos con errores y carga a los otros) Todos

Por deteccin mutua de equipos que fallan

Por deteccin mutua de equipos que fallan

Escenario

Todos

Todos

Slo almacenamiento en cach de reenvo


NLB requiere una sobrecarga de rendimiento del 15 por ciento cuando se habilita . Una matriz NLB con un solo miembro realizar el 15 por ciento menos que la misma matriz con NLB deshabilitado . Por lo tanto, al estimar la capacidad con escalado NLB, primero hay que reducir los valores de rendimiento para un solo equipo en un 15 por ciento y a continuacin aplicar los factores de escala. El factor de escala NLB para el trfico web implica una configuracin de afinidad bidireccional (al configurar ms de un clster de NLB en una matriz ). En muchos casos, la afinidad simple ser suficiente para el trfico web, en cuyo caso el factor de escala es 1,9 . Cuando se utiliza una VPN de sitio a sitio con NLB, no es posible equilibrar la carga de varios tneles que conectan dos sitios sobre varios miembros de la matriz. En este caso, NLB slo proporciona tolerancia a errores . Cuando se conecta un sitio sobre una matriz NLB a muchos sitios , ISA Server propagar los tneles sobre todos los miembros de la matriz . Principio de la pgina

Ajuste del tamao del Servidor de almacenamiento de configuracinUno de los componentes del servidor que se introduce con ISA Server 2006 Enterprise Edition es el componente del Servidor de almacenamiento de configuracin . El Servidor de almacenamiento de configuracin es el repositorio del diseo de la empresa y la configuracin para cada equipo ISA Server en la empresa. Este repositorio es un ejemplo de Active Directory Application Mode (ADAM). Cada equipo ISA Server tiene una copia local de su configuracin que es una rplica de la configuracin del servidor , que se encuentra en el Servidor de almacenamiento de configuracin. El nmero recomendado de equipos ISA Server que se pueden conectar a un solo Servidor de almacenamiento de configuracin es 300, y el mximo recomendado es 600. Estas cifras fueron estimadas con medidas de rendimiento de la operacin ms intensiva de recursos sobre el Servidor de almacenamiento de configuracin (la importacin de una directiva a gran escala con centenares de reglas con miles de referencias a objetos de directiva, dando como resultado un archivo de lenguaje de marcado extensible (XML ) de aproximadamente 6 MB. En este escenario, el Servidor de almacenamiento de configuracin importa el archivo XML y crea una nueva configuracin . Tan pronto como el Servidor de almacenamiento de configuracin comienza a escribir los datos de la nueva configuracin a disco , todos los equipos ISA Server conectados comienzan a recuperar esta configuracin al mismo tiempo, dando como resultado una carga considerable


15/01/2012 12:20:47 p.m.


Pgina 14

de CPU, red y E/S a disco en el Servidor de almacenamiento de configuracin. Utilizando un equipo con doble procesador Intel Pentium 4 a 3 ,6 GHz con 2 GB de memoria fsica para el Servidor de almacenamiento de configuracin , las mediciones muestran que el Servidor de almacenamiento de configuracin podra soportar un nivel de 2. 600 solicitudes de Protocolo ligero de acceso a directorios (LDAP ) por segundo . El nmero total de solicitudes LDAP por equipo ISA Server requeridas para la sincronizacin completa con importacin de directiva a gran escala es de 7 .000. Estas cifras se traducen en el tiempo necesario para una sincronizacin completa de todos los equipos ISA Server despus de que el Servidor de almacenamiento de configuracin importe un archivo XML de directiva a gran escala , de la siguiente manera: Tiempo total de importacin = Tiempo para la importacin XML + Tiempo para escribir la configuracin a disco + Tiempo para sincronizar la configuracin por todos los equipos ISA Server Donde : Tiempo para la importacin XML = 120 segundos Tiempo para escribir la configuracin a disco = 120 segundos Tiempo para sincronizar la configuracin por N equipos ISA Server = N 7000 / 2600 = 2 ,7 N segundos La tabla siguiente resume estos resultados .

Nmero de equipos ISA Server por Servidor de almacenamiento de configuracin Sincronizacin (minutos) Porcentaje de utilizacin de CPU durante la sincronizacin

160 8 100%

320 15 100%

640 28 100%

Durante las dos primeras fases (la importacin XML y escritura de la configuracin a disco ), el nivel de utilizacin de CPU fue aproximadamente del 50 por ciento. Esto se debe a que lo realiza un solo subproceso que no puede consumir ms del 50 por ciento de la capacidad de procesamiento de un equipo con doble procesador. En equipos de procesador nico, el consumo de CPU ser del 100 por cien en estas fases, una situacin que debe ser evitada. Por lo tanto , recomendamos implementar equipos de doble procesador para el Servidor de almacenamiento de configuracin o bien habilitar tecnologa Hyper-Threading en un equipo de procesador nico (con procesadores Pentium 4 ). Para obtener informacin detallada acerca de la implementacin del Servidor de almacenamiento de configuracin de ISA Server , consulte "Instrucciones de implementacin para ISA Server 2006 Enterprise Edition" en el sitio web de Microsoft Technet. Principio de la pgina

Referencia y ejemplo de ajuste de tamaoEsta seccin ofrece una referencia central y un resumen para ajustar el tamao de ISA Server 2006 Standard Edition y Enterprise Edition. La primera tabla proporciona los megaciclos por megabit para el proxy web, SSL, VPN y escenarios de filtrado activo.

Escenario Proxy web transparente Proxy web de reenvo Filtrado activo Tnel SSL

Pentium 4 simple 74 37 8 30

Xeon dual 86 43 10 35

Procesador dual Xeon de doble ncleo 62 32 9 38

AMD 36 18 5 40

SSL - SSL a HTTP

Escenario Outlook Web Access Web RPC sobre HTTP

Pentium 4 simple 91 77 69

Xeon dual 128 104 91

Procesador dual Xeon de doble ncleo 91 72 64

AMD 51 40 35

SSL - SSL a SSL

Escenario Outlook Web Access Web RPC sobre HTTP

Pentium 4 simple 120 96 83

Xeon dual 142 120 104

Procesador dual Xeon de doble ncleo 101 83 73

AMD 56 46 41

Acceso remoto VPN - filtro web habilitado

Escenario L2 TP sobre IPsec PPTP

Pentium 4 simple 214 (107) 250 (125)

Xeon dual 353 (177) 395 (198)

Procesador dual Xeon de doble ncleo 247 (124) 277 (239)

AMD 136 (68) 152 (76)


15/01/2012 12:20:47 p.m.

Prcticas recomendadas para el rendimiento de ISA Server 2006Acceso remoto VPN - filtro web deshabilitado

Pgina 15

Escenario L2 TP sobre IPsec PPTP

Pentium 4 simple 80 (40) 75 (38)

Xeon dual 128 (64) 118 (59)

Procesador dual Xeon de doble ncleo 115 (58 ) 106 (53 )

AMD 81 (41) 74 (37)

VPN de sitio a sitio - filtro web habilitado

Escenario L2 TP sobre IPsec Administre su perfil PPTP

Pentium 4 simple 132 (66) 113 (57)

Xeon dual 167 (84) 145 (73)

Procesador dual Xeon de doble ncleo 159 (80 ) 162 (81 )

AMD 89 (45) 105 (53) 149

Tnel IPsec 125 150 2012 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso168 Legal | Marcas registradas | Privacidad

VPN de sitio a sitio - filtro web deshabilitado

Escenario L2 TP sobre IPsec PPTP Tnel IPsec

Pentium 4 simple 50 (25) 43 (22) 43

Xeon dual 63 (32 ) 56 (28 ) 52

Procesador dual Xeon de doble ncleo 49 (25 ) 61 (31 ) 57

AMD 97 (49) 106 (53) 196


Para la publicacin en Web, use las cifras proporcionadas para proxy web de reenvo , pero tenga en cuenta que su carga y capacidad reales pueden diferir notablemente de sus estimaciones . Para una VPN, donde proceda, hay dos conjuntos de cifras: El primer conjunto representa los megaciclos por megabit comprimido real. El segundo conjunto (entre parntesis ) representa los megaciclos por megabit de aplicacin descomprimido . Use los valores para el trfico comprimido si mide el trfico en trminos de ancho de banda y use los valores para el trfico de aplicacin si le resulta ms fcil medir o estimar el trfico de aplicacin descomprimido .

Las cifras de la tabla anterior se obtuvieron utilizando los supuestos siguientes :

Se utiliza el registro MSDE. No se realiza ninguna autenticacin web. El filtro web HTTP est habilitado con la configuracin predeterminada. ISA Server se carga con el trfico web caracterstico . El hardware ISA Server se ajusta tal como se describe en Ajuste del hardware para un mximo uso de la CPU en este documento . La tabla siguiente proporciona factores de escala NLB para ser utilizados al aplicar escalado NLB para aumentar la capacidad. Nmero de miembros de la matriz NLB

Factor de escala 1 .9 1 .75

2 1. 053 1. 143

3 1.085 1.236

4 1 .108 1 .306

5 1 .126 1 .363

6 1 .142 1 .412

7 1. 155 1. 455

8 1.166 1.493


Se debe realizar un aumento inicial del +15 por ciento en todos los nmeros de la primera tabla al aplicar NLB. Utilice factor de escala 1, 75 slo cuando configure ms de un clster NLB en la matriz (por ejemplo, si utiliza afinidad bidireccional ) y slo para escenarios proxy web (proxy transparente, proxy de reenvo, publicacin en Web y tnel SSL) y filtrado activo. En el resto de casos , use un factor de escala 1 ,9.

El ejemplo siguiente ilustra cmo usar las tablas anteriores para calcular el hardware necesario para soportar los requisitos de trfico especficos. Supongamos que un sitio grande tiene un ancho de banda de vnculo de Internet de 80 megabits por segundo que se usa por completo en horas de utilizacin pico. Durante este tiempo, el 10 por ciento del trfico se utiliza para acceso VPN remoto (L2TP sobre IPsec con filtro web habilitado), el 20 por ciento se utiliza para Outlook Web Access (utilizando protocolo de puente SSL a HTTP ) y el 70 por ciento se utiliza para exploracin web de salida (50 por ciento para proxy transparente y 50 por ciento para proxy de reenvo ). Para calcular los megaciclos necesarios para este trfico, calcule primero los megaciclos ponderados por megabit , suponiendo una nica implementacin en equipo dual Xeon (sin equilibrado de carga ): Megaciclos /megabit = 353 10 % + 128 20% + 86 35 % + 43 35% = 107 La cantidad total de megaciclos por segundo necesarios para 80 megabits por segundo es 80 107 = 8560. Un equipo con doble procesador a 3 GHz tiene slo 2 3000 75 % = 4500 megaciclos cuando se utiliza al 75 por ciento, lo cual no es suficiente. Es necesario escalar con ms equipos . En este momento, no queda claro exactamente cunto se necesita probablemente dos, pero quiz tres. Para calcular el nmero factorizado de megaciclos necesarios por megabit, multiplique el nmero de megaciclos por megabit para cada de tipo de trfico por su factor de escala correspondiente y recuerde realizar otra factorizacin del +15 por ciento. Para


15/01/2012 12:20:47 p.m.


Pgina 16


15/01/2012 12:20:47 p.m.

prácticas recomendadas para el rendimiento de isa server 2006

Documents