Mô hình triển khai Squid 3 Transparent Proxy

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận mạng và thiết bị mạng

Mô hình triển khai Squid 3 Transparent Proxy

[Question] Mô hình triển khai Squid 3 Transparent Proxy	11/04/2013 16:20:27 (+0700) \| #1 \| 274867

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi all,

Theo mình được biết triển khai Squid 3 Transparent Proxy có thể sử dụng 03 phương án sau:

+ Policy based routing (1)
+ Using smart switching (2)
+ Squid box as a Gateway (trước giờ mình hay sử dụng phương pháp án này)

- Cho mình hỏi ưu nhược điểm của các phương án trên?
- Các phương án sẽ được áp dụng vào những môi trường nào là thích hợp?
- Đối với sites hơn 1000 user thì nên dùng phương án nào? Thực tế tại VN thì các cty thường hay sử dụng phương án nào?

Nếu được các bạn cho mình thông tin tham khảo về cách thức triển khai của phương án (1) và (2) với nhé.

Thanks.

[Question] Mô hình triển khai Squid 3 Transparent Proxy	12/04/2013 16:41:12 (+0700) \| #2 \| 274887

invalid-password
Member

Joined: 09/03/2010 21:22:46
Messages: 161
Offline

"Using smart switching" có phải là cách đặt thiết bị kiểu inline không vậy ?

Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh

[Question] Mô hình triển khai Squid 3 Transparent Proxy	20/04/2013 18:02:10 (+0700) \| #3 \| 275088

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Biết mỗi về policy based-routing thôi. Cái thứ 2 ko biết là gì :-D.

Với 1000 user, với công ty không phải là Internet Working (ví dụ 1000 user không như là tòa soạn điện tử hay game online) thì giải pháp số 3 dự sức chạy được.
Nếu 1 box làm gateway cảm thấy không đủ, thì làm 2, 3 cái. Routing cũng ko cần policy-based mà routing bình thường theo destination. Ví dụ 1000 người dùng 2 kênh cáp quang, 1 của FPT, 1 của VNPT. Thoi quen người dùng hay vào ngoisao.net và vnexpress.net, thì làm 2 gate, gate1 nối với kênh FPT và định tuyến mọi đích đến là FPT sẽ định tuyến đến gate1, còn lại default gate2.
Mình đã từng có kinh nghiệm với 1000 user, chỉ 1 squid server kiêm gateway + 4 kênh cáp quang tổng lên đến 80Mbit/s, chạy OK chả làm sao.
Xong.

[Question] Mô hình triển khai Squid 3 Transparent Proxy	18/05/2013 17:00:26 (+0700) \| #4 \| 275804

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi anh myquartz,

- Trong bài này nó đề cập đến 03 loại em nêu http://www.visolve.com/squid/mysql-squid-log/Technical-White-Papers/trans_caching.php

- Với giải pháp anh triển khai thì user có cần khai báo tường minh không anh? Đối với các traffic không phải là www thì xử lý như thế nào là hợp lý, nhất là với ssl.

- Với giải pháp policy based-routing thì router hoặc switch layer 3 hướng traffic www đến squid, các traffic còn lại thì không đi qua squid mà đi thẳng ra internet, client không cần cấu hình trên trình duyệt, rủi ro cũng ít khi squid có die...

- Chắc phải nhờ anh tư vấn cụ thể case anh đã triển khai, anh nói ngắn gọn quá em chưa nắm được hết ý

Thân.

[Question] Mô hình triển khai Squid 3 Transparent Proxy	18/05/2013 17:00:38 (+0700) \| #5 \| 275805

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

[Question] Mô hình triển khai Squid 3 Transparent Proxy	19/05/2013 21:10:24 (+0700) \| #6 \| 275825

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Hello!
Đọc qua link bạn gửi thì hiểu cái smart switching là gì, thực chất nó cũng là policy routing thôi.

Qua trao đổi riêng và ở đây. Tóm lại nếu mô hình transparent thì:
Ưu điểm:
- Client không phải thay đổi gì, hoạt động trong suốt.
- Các giao thức phi HTTP cũng không bị ảnh hưởng gì bởi squid.

Nhược điểm:
- Không xác thực được.
- SSL không được hỗ trợ.
- Mô hình phức tạp, do hoặc là phải có policy-routing/smart switch, hoặc là squid server phải là gateway (mình có triển khai cái này rất lâu rồi).

Nếu mô hình khai báo tường minh proxy, thì ưu điểm là nhược điểm của mô hình transparent và ngược lại. Tuy việc khai báo proxy trong trình duyệt (và tất cả những gì chạy HTTP) phải làm bằng tay, nhưng nó lại có một số kỹ thuật như auto-proxy (wpad http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol) giúp giảm bớt công việc này.

Còn quan ngại về việc squid có ổn định hay không. Thật ra transparent thì squid die => HTTP vẫn chết, phải thay đổi bằng tay bỏ wwwect/bỏ routing thì mới chạy tiếp được.
Mình thiên hướng theo mô hình khai báo tường minh, nhưng squid thò 1 chân xuống mạng (không phải gateway) và Internet gateway độc lập phục vụ các giao thức không qua squid khác. Việc này đôi khi là bắt buộc vì mình phải xác thực được client nào truy cập Internet và kiểm soát họ cả những giao thức khác như Yahoo Chat, GTalk, Skype... mà mô hình transparent không làm được.

Squid die thì chỉ lo die phần cứng. Như thế thì làm 2 server, active/standby. Thậm chí có nhiều server hơn vừa cân bằng tải, vừa quét virus HTTP Response (sử dụng với HAVP), vừa content-based scanning, hay DLP gì đó.

[Question] Mô hình triển khai Squid 3 Transparent Proxy	23/05/2013 10:18:45 (+0700) \| #7 \| 275927

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi anh myquartz

-Vậy mô hình anh triển khai không phải là transparent đúng không ah smilie

- Nếu squid die (ping không thấy) thì policy-routing sẽ tự động chuyển hướng dựa vào IP SLA Tracking; chỉ sợ service die thì không check được. Nên thật ra không cần phải thay đổi bằng tay bỏ wwwect/bỏ routing thì mới chạy tiếp được.

ip access-list extended ACL_Routemap
permit tcp 10.x.x.0 0.0.0.255 any eq www

route-map route-map-http permit 10
match ip address ACL_Routemap
set ip next-hop verify-availability 177.17.37.7 1 track 1

- Nếu sử dụng policy-routing thì việc khai báo tường minh có vẻ không hợp lý, vì router/swithl3 chỉ chuyển hướng các traffic www, trong khi đó client sẽ request với port 3128 được khai báo tường minh smilie

- Chi tiết mô hình anh đã triển khai như thế nào vậy anh smilie

Thân.

[Question] Mô hình triển khai Squid 3 Transparent Proxy	23/05/2013 21:31:39 (+0700) \| #8 \| 275946

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

vikjava wrote:

Hi anh myquartz

- Chi tiết mô hình anh đã triển khai như thế nào vậy anh
Thân.

Mình không triển khai, chỉ PoC và vẽ cho người khác làm thôi.
Nó cũng đơn giản, nó là (nhiều của) mô hình sau:
client (khai báo proxy tường minh) => internal squid (authen/URL filter/RAM cache only) => HAVP (virus scanning) => external squid (Content filter, disk cache) => Internet.
Trong đó internal, HAVP và external squid có thể cài trên 1 hoặc 2, hoặc 3 server riêng rẽ (tùy thuộc mức độ tải) và có cặp nếu cần dự phòng nóng. Internal squid thì chạy active/standby 1 cặp, đẩy request cho các HAVP (nếu nhiều hơn 1) đều nhau. external squid thì thường là NAT gateway luôn, và mỗi NAT gateway thường có nhiều hơn 1 kênh Internet.

Gọi là nhiều lần của mô hình vì nó áp dụng theo site, tùy kích thước lớn bé và mô hình mạng mà to hay nhỏ, để tối ưu băng thông (chỗ quá nhiều user thì có luôn mô hình, chỗ ít thì kết nối qua WAN).

Go to:

Users currently in here
1 Anonymous