SSL-VPNのちょっとしたトラブル
ちょっとしたトラブルです。F5社Firepass。
まあ、アプライアンスが悪いんじゃなくて、コンテンツ、Webサイト上のJavaScriptがいけなかったんですが。
あるWebサイトの表示がFirePassのWebアクセス(リバースプロキシ的な接続)したときだけ遅いという話で。
パケットダンプしたり、クライアントにWebScarab(解析用のクライアントプロキシ)をかましたり、
いろいろとやってみた結果、どうもFirePassは悪くないんじゃない?ということで、
WebScarabの結果をみていくと、どうも特定のスクリプトの前後でクライアントからのHTTPリクエストが
長い間出てこない。
その付近のコンテンツとかを見ていくと、一箇所だけ、JavaScriptの中でループを組んでいるものがある。
そのループ回数を100回から10回にして、テストWebサイトを作って動かしてみると、
格段に早い。
なんでー?と考えていて、ふと思いたって、URLの書き換えを行わないオプションを
FirePass側でOnにして、ループ回数100回のままでトライすると、これも早い。
ついでにクライアントのプロセスを見てみると、IEがCPU100%近く食べている。
<仮説>
そのループ内で処理しているURLの長さがSSL-VPNのURL書き換えで200Byte超になり、
ループ100回でJavaScript処理をしているInternetExplorer用のバッファがいっぱいになって、
ディスクへのページングが開始され、CPUが食べられてしまった。
</仮説>
というわけで、FirePassに限らず、SSL-VPNには危険な罠がたくさんあると思います。
結局、レイヤ7まで見ることになる。
Webサイト作る人たちもレイヤ3のことまで考えて作ってくれたらいいのにね。
そこまで求めるのは酷なのかな。
IPsec時代に戻りたい。。。いや。もうVPNとかやめたい。。。
社内に余計なWebサーバ立てんな、お前ら。。。
Webの簡易さと縦割りな組織が結びついて、もう、なんだか。
たくさんのWebサーバとWebサイトがあるってことは、
そんだけ情報が分割されているってことですからね。
集めておけよ!
まあ、まとめてくれている事業部もあるんですがね。
その事業部は事業のほうも安定しているしなあ。
結局は人とか組織の問題なのかなあ。
そんで、どこの会社もこんなことで悩んでいるのかなあ。
コメント
いや・・・コンテンツが集約されてない会社とかおかしいですから(笑)
どんどん独自のコンテンツを増やす犯人Aより。
投稿者: IGA | 2007年01月08日 01:25
増やしてもいいけど、、、集約しておいてね(泣)。
設計やってる人たちとかひどいから。
投稿者: Asataka_Kirikuzudo | 2007年01月13日 11:09