- PR -

透過プロキシの構築について

1
投稿者投稿内容
まこ
会議室デビュー日: 2006/11/16
投稿数: 3
投稿日時: 2006-11-16 21:30
こんばんは。
まこと申します。

透過プロキシの構築について、皆様にご教示頂きたいことがあります。


現状、NetcacheとBIG-IPを組み合わせて透過プロキシを構成している
お客様がみえます。
プロキシにフィルタリングを備えたサーバを新たに追加するのですが、
追加するプロキシサーバがポートフォワーディング(IPアドレス変換)
による透過プロキシでないと対応していないことが判明しました。


そのため、BIG-IPにおいてポートフォワーディングによる振り分けを
行おうと思ったのですが、既存のNetcacheがMACアドレス変換による
透過プロキシによる構成をとっていることもわかり、かつ、BIG-IPでは
とある販社に確認したところ、ポートフォワーディングとMACアドレス変換
を混在した負荷分散をとることが難しいとのことでした。

※実際にNetcacheの手前でパケットキャプチャして頂いたところ、
宛先IPはグローバルなもので、NetcacheのIPアドレスには変換されて
いなかったこともわかりました。



既存のNetcacheについて、とある販社に確認したところ、”Netcacheは
宛先MACアドレスが自Netcache宛でないといけない”との事だったのですが、
ポートフォワーディングでNetCacheへ振り分けた場合であっても、
宛先MACアドレスは、Netcacheになるかと思うのですが、どうなのでしょうか。


非常にわかりにくい文章の上に初歩的な質問で恐縮ですが、皆様から
アドバイスなど頂戴できれば幸いです。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-11-17 11:17
こんにちは。なんか厄介な案件ですね。

ここで技術面を質問するより、実現したい内容を明確化しサポートベンダに
任せては? と思います。

相談者の対応は、プロキシサーバの追加対応がどこまで進んでいるかによって
変わると思います。

導入契約前であれば、同等の環境下での動作確認をベンダに依頼するのが妥当
だと思われます。(実費程度の費用発生は考慮必要)
→ PROXY二重化の目的が不明ですが、状況によっては既設のNetcache自体を
  リプレースする方向性も視野に入れたほうが良いかも知れません。

導入契約が完了している状況であれば、BIG-IPのサポートベンダに状況説明し
対応を依頼する他なさそうに思えます。(状況によりBIG-IPの増設可能性有り)
→ プロジェクトがかなり進んだ状況で発生した不整合は、責任者を通じて
  速やかにクライアントに報告を入れることが重要です。

直接回答でなくて恐縮です。
余計なお世話かも知れませんが、ここで質問しているよりも他にすることが
あるのでは? と感じました。

Tasuku
大ベテラン
会議室デビュー日: 2006/09/14
投稿数: 106
お住まい・勤務地: tokyo
投稿日時: 2006-11-17 12:53
以下がないと分かりにくいです。

・Netcache、BIG-IP、内部N/W、外部N/Wがどのような順番になっているのか
・どこにフィルタサーバを入れようとしているのか
・それぞれの機器の仕様

ちなみに、負荷分散・キャッシュ・フィルタという要件であれば、
それを1台(冗長構成で複数台)で実現できる製品を検討するのも
ひとつの手ではないかと思いますけど(Bluecoatとか)

Netcacheって販売終息しませんでしたっけ?
まこ
会議室デビュー日: 2006/11/16
投稿数: 3
投稿日時: 2006-11-17 21:26
Tasuku様

ご返信ありがとうございます。

ネットワーク構成は以下のイメージとなります。


外部FW

L3SW---負荷分散装置---Netcache

内部FW


このような構成で負荷分散装置下に増設する想定となります。
Bluecoatは選択肢としてはあがったのですが当初予算の都合で
没となりました。
Netcacheは終息に向かっているものの、かろうじて(?)
お取り扱いのあるところがありました。

機器仕様についてはどういった情報が必要であるかすら
絞込みできなかったので、申し訳ありません・・・。
まこ
会議室デビュー日: 2006/11/16
投稿数: 3
投稿日時: 2006-11-17 21:39
Backboor様

ご返信、ありがとうございます。

現状は契約間近というタイミングとなります。
たしかに既存機器が関係している以上、お客様や
業者様に与える影響も非常に大きいと痛感しております。

事実を事実のままお伝えして、サポートを仰ぎながら
よりよい方向に導いていくことが第一であると思いました。

その上でできる限り現状を理解したうえで、話を進めていきたい
ので、少しでも皆様にご意見を頂ければと思い、投稿した次第です。


此度のBackdoor様のご意見、冷静に現状を把握するために非常に参考と
なりました。ありがとうございますm(__)m
Tasuku
大ベテラン
会議室デビュー日: 2006/09/14
投稿数: 106
お住まい・勤務地: tokyo
投稿日時: 2006-11-20 16:25
残念ながらまだまだ情報不足です...
・Netcacheって複数台あるんですよね?
・Big-IPも複数台ですか?
・追加するフィルタサーバは複数台ですか?
・登場する機器が全部載った物理ネットワーク構成図をかけますか?
・Netcache・フィルタサーバは1対1の対応でいいですか?
・それとも、Netcache・フィルタサーバともに個別に負荷分散したいですか?
・内部FW、外部FW、負荷分散装置の各2つのインタフェースのネットワーク・アドレスは?
・それぞれでNAT/IP-Masqなどかけてないですか?
1

スキルアップ/キャリアアップ(JOB@IT)