注意： 本製品は既に生産⁄販売を終了しております。

電子商取引における
Cisco Web Network Services

• Cisco CSS 11000 シリーズ Content Services Switch の製品情報ページ

セキュアかつスケーラブルな電子商取引ネットワーク・サービスの実装

電子商取引の運営は、今や「ドット・コム」および従来の企業にとってビジネスの根本的な必要条件となり、また重要な収入源になりつつあります。ビジネスは、急成長する電子商取引 Web サイトのパフォーマンスを向上させるとともに、ビジネス・トランザクションの完全性、カスタマが快適にショッピングを行える環境、仮想商店の継続的なアベイラビリティを確保する必要があります。

Web ビジネスは、トランザクションの応答時間を短くし、季節的なトラフィックの増加や予測外のカスタマの需要の急増によるピーク期間の容量レベルを管理できなければなりません。カスタマは、常に高水準な信頼性を備えた電子商取引サイトには再びアクセスします。また、応答時間が長かったり、ショッピングを快適に行えなかったり、正常に買い物を行えなかったサイトは避けます。継続的なビジネス運営が可能な電子商取引サイトを構築するには、カスタマと電子商取引サーバ間の「持続的な」ネットワーク接続をサポートすることが重要であり、購入トランザクションが完了する前にショッピング・カートが喪失する状況を阻止しなければなりません。

さらに、競争が激化するビジネス環境で、カスタマの忠誠を獲得するのは、カスタマおよびコンテンツを重視した差別化サービスを提供する、人気のある電子商取引サイトです。今日の Web 環境では、どのカスタマも、良好で信頼できるパフォーマンスを期待しています。また、ビジネスに対する戦略的価値への考慮から、特定のカスタマまたはコンテンツに対して優先サービスを提供する必要もあります。

Cisco CSS 11000 シリーズ・コンテンツ・サービス・スイッチで Cisco Web NS（Web Network Services）ソフトウェアを実行すると、e ビジネス企業は、大容量の電子商取引にも対応でき、ユーザが常に快適に利用でき、また重要なカスタマやコンテンツに対して優先サービスを提供できる、セキュアで信頼性が高くスケーラブルな電子商取引サイトを構築できます。

競争力のある電子商取引 Web インフラストラクチャを構築するための技術的な課題は、次の 3 つの一般的なトラフィック・シナリオに関連付けることができます。

• 認証⁄非暗号化 HTTP（Hypertext Transfer Protocol）ベースのトランザクション--カタログ・ブラウジングなど、セキュリティ要件がそれほど厳しくなく、サイトに高いパフォーマンスが求められる場合に適しています。
• エンドツーエンドに暗号化される SSL（Secure Sockets Layer）ベースのトランザクション--金融取引やオンライン取引など、非常に高いセキュリティが求められる電子商取引アプリケーションに適しています。
• 認証⁄暗号化トランザクション--ブラウジングのための HTTP 接続と購入トランザクションのための SSL 接続を組み合わせたもので、クレジット・カードやその他の個人情報が含まれる接続の SSL オーバヘッドを制限することにより、サイト・パフォーマンスを最大化する必要のある大容量購入アプリケーションに適しています。

電子商取引は、効率良く買い手と売り手を直接結び付け、販売コストを削減できることから、爆発的に普及しつつあります。電子商取引インフラストラクチャの開発と管理は、すでにこのようなサイトを確立している企業やこれから参入する企業にとって、重要な課題です。1 つの Web ベースのトランザクションが複数のサーバ、アプリケーション、およびデータベースに及ぶこともあり、企業には、ショッピング・セッションの間、ユーザをこれらのリソースにシームレスに接続する能力が求められています。これは、使用される接続タイプ（HTTP、SSL、または HTTP/SSL の組み合わせ）にかかわらず、カスタマと 1 台のサーバ間に「持続的な接続」を確立するだけで解決できます。

電子商取引サイトを成功させるには、この他にも克服しなければならない課題があります。電子商取引を急成長させるには、「ホット」なコンテンツに見られるフラッシュ・クラウドや需要の急増に対応できるサイト・キャパシティの迅速なスケーリングなど、トラフィックの劇的な増加に対処できるスケーラブルなソリューションの作成能力が必要です。

企業は、買い手がオンラインで製品やサービスを迅速かつ簡単に購入できるように、常に高速な応答時間を提供する必要があります。勘定カウンタに長い列ができる小売店が、待つことを好まないカスタマを失うように、電子商取引サイトでは、長い待ち時間や不快なエラーによってカスタマを失わないようにする必要があります。高い信頼性を実現するには、電子商取引カスタマが求める無休のアベイラビリティを提供できるキャリア級の機器が必要です。

また、セキュリティも電子商取引サイトの展開を成功させる大きな課題です。DoS（Denial-of-Service）攻撃による機器の障害や、収益低下につながるダウンタイムの余地を残さないことです。一般に、これらの DoS 攻撃には、標準プロトコルの悪用や、ターゲット Web サーバに過負荷をかけサーバを使用不能にする目的での接続プロセスが含まれます。そのため、企業には、パフォーマンスを低下させることなく、フローごとにコンテンツ要求をフィルタリングする能力が必要です。これにより、送信元アドレス、宛先アドレス、プロトコル・タイプ、またはコンテンツの URL（Universal Resource Locator）の任意の組み合わせを考慮するポリシ・ベースのセキュリティを実装することができます。

個人情報の保護も、重要なセキュリティの課題です。企業は、サイトごとに最適なセキュリティ・レベルを評価し、暗号化技術によるサイトのスケーラビリティやパフォーマンスへの影響を分析する必要があります。さらに、電子商取引ビジネスは、従来のファイアウォールに付随するパフォーマンスのボトルネックを発生させることなく、必要不可欠なバックエンド・システムを保護しなければなりません。

応答時間が短く、効率的なスケーリングが可能で高度にセキュアな電子商取引サイトを構築する能力は、電子商取引の展開を成功させる上で重要な課題です。そして、この課題を解決できる企業が、このエキサイティングな市場において大きな成功を収めることができるのです。

混雑した電子商取引サイト、従来のレイヤ 4 スイッチ、および新たな「コンテンツ対応」のスイッチは、優れたパフォーマンス、Web サーバ・ファームおよびキャッシング・リソース間でのトラフィックのロード・バランシングを実現するには不十分です。従来のロード・バランサおよびレイヤ 4 スイッチは、もともとアドレス・ベースのスイッチングのために設計されたもので、アプリケーションの区別は、一般的な TCP ポートと送信元および宛先 IP アドレスの識別だけによって行われます。

しかし、ほとんどの電子商取引トラフィックは、コンテンツに対する HTTP 要求で構成されます。従来のロード・バランサでは、異なるコンテンツの URL に対する複数の HTTP 要求を区別したり、ユーザの「cookie」に基づいて個々のカスタマを区別することができません。

コンテンツ対応ソフトウェアでアップグレードしたレイヤ 4 スイッチのアーキテクチャでは、認識できる HTTP ヘッダ情報が限られます（連続する 40 から 80 バイト）。電子商取引ソリューションには、Cisco CSS 11000 シリーズ・スイッチが備えるさらに大きな能力が必要です。

Cisco Web NS--Cisco Web NS ソフトウェアでは、業界で最も包括的な URL および cookie ベースのスイッチングが行われます。ネットワーク管理者は、カスタマまたはコンテンツごとにサービス契約を確約し、得意先カスタマにプレミアム・サービスを提供し、ストリーミング・オーディオ⁄ビデオ、ディスタンス・ラーニング、およびインターネット・オーディオ⁄ビデオ放送を行うコンテンツ配信サービスを配備できます。また、IP アドレス、SSL セッション ID、および cookie に基づく持続的な接続がサポートされるため、電子商取引トランザクションの信頼性とセキュリティが確保されます。さらに、シスコ固有のコンテンツ・レプリケーション・テクノロジーにより、「ホット」なコンテンツに見られる突然の「フラッシュ・クラウド」や、サーバを陥れる季節的なピーク・トラフィックが発生しても、サイト・キャパシティをダイナミックに拡張することができます。

図 1：Cisco Web Network Servers

Cisco CSS 1100 シリーズ・スイッチでは、特許を取得したコンテント・スイッチング・テクノロジーを備えた Cisco Web NS ソフトウェアを実行することにより、次の内容が認識されます。

• HTTP ヘッダ内のユーザの cookie を完全に確認できるため、カスタマがだれであるかを判断できます。
• カスタマが要求している情報またはトランザクションを判断できます。
• ネットワーク、アプリケーション、およびサーバの状態に関する包括的かつ最新の情報に基づき、グローバルに分散された Web インフラストラクチャの任意の場所から、カスタマへのサービス提供に最善の場所を判断できます。

この革新的ソフトウェアを装備した Cisco CSS 11000 シリーズ・スイッチでは、完全 URL や要求ごとにヘッダ内を移動する cookie など、TCP や HTTP に組み込まれている情報にアクセスできます。この情報によって、先進のロード・バランシング、要求のルーティング、セキュリティ（DoS およびアクセス制御）、重要なカスタマ向けの優先アクセス、および持続的な接続の提供が可能になります。Cisco CSS 11000 スイッチは、ネーム・ベースのスイッチングのために設計されており、カスタマの照会や購入に対し、URL 全体と cookie を使用してその時点で最適なサイトおよびサーバを選択する唯一のスイッチです。

Cisco CSS 11000 シリーズ・スイッチでは、コンテンツ要求が詳細に検査され、混雑したサイトや過負荷のサイトを避けながらユーザがその時点で最適なサイトとサーバに接続されます。また、ホットなコンテンツがネットワークに渡ってダイナミックに複製されるため、組織は信頼性と応答時間を向上させることができます。ユーザがサーバに接続すると、Cisco CSS 11000 シリーズ・スイッチにより、送信元 IP アドレスまたはアドレス範囲、TCP ポート、SSL セッション ID、さらにユーザ要求に組み込まれた「cookie」に基づき、トランザクションの間、単一のサーバへの継続的な接続が確立されます。「コンテンツ対応」のソリューションでは、複雑な cookie ストリームを処理できないため、cookie ベースのポリシとトランザクションの SSL 暗号化部分との間に適切なトランザクションを提供できません。

電子商取引サイトは、パフォーマンスを犠牲にすることなく、コンテンツ要求をフローごとにフィルタリングする Cisco CSS 11000 シリーズ・スイッチの FlowWall セキュリティ機能により、サーバを陥れる DoS 攻撃を排除することができます。FlowWall セキュリティでは、一般的な DoS 攻撃や不審または悪質な接続要求を遮断する、インテリジェントなフロー検査テクノロジーが提供されます。また、送信元アドレス、宛先アドレス、プロトコル・タイプ、またはコンテンツの URL の任意の組み合わに基づくアクセス・ルールを実装することもできます。

Web ベースのトランザクションを保護する最も一般的な方法は、広く普及している SSL プロトコルを使用するものです。SSL は、エンドツーエンドの暗号化メカニズムで、今日の Web トランザクションの暗号化に最もよく使用されています。

SSL プロトコルは、インターネットを通じて暗号化され、認証された通信を実現するために、ネットスケープ・コミュニケーションズにより設計されました。主に Web サーバとブラウザ・クライアント間のセキュアな接続を確立し、プライバシ、認証、およびメッセージの完全性を確保するために使用されます。Web アドレスが HTTPs で始まる場合、ユーザがセキュアな暗号化された接続を確立しようとしていることを表します。SSL 接続では、リンクの両側からセキュリティ証明書または「セッション・キー」が伝送されます。サーバとブラウザの両方が、相手の証明書を使用してトラフィック・フローを暗号化し、意図した受信者だけが情報を復号化できるようにします。これにより、セッションが意図したユーザから送信されたもので、フローが途中で改ざんされていないことを確認できます。

しかし、SSL によってサーバに大きな処理オーバヘッドが生成されるため、電子商取引サイトのパフォーマンスが大幅に低下することがあります。SSL 処理オーバヘッドは、データの暗号化および復号化の両方によって増加するため、一般に、SSL のパフォーマンスを向上させるアプローチが取られますが、SSL のオーバヘッドのほとんどは、セッション・キーのネゴシエーションによるものです（図 2 参照）。

• 方法 1--従来は、暗号化を直接ビジネス・アプリケーションに組み込む方法が取られてきました。この方法では、トラフィック・フローがクライアントから直接アプリケーションまで暗号化されるため、最も堅実なセキュリティを実装できますが、コンピューティング中心の暗号化プロセスによって、Web サーバのリソースが大量に消費されます。
• 方法 2--Web サーバ自体に配備できるハードウェア・ベースの暗号化アクセラレータによって SSL のパフォーマンスを向上させる方法もあります。
• 方法 3--最近、サーバ・ファームへのパスに設置した専用デバイスにハードウェア・アクセラレータを配備し、そのサーバ・ファーム内の全サーバの SSL トラフィックをすべて処理する、新たなアプローチが開発されました。この方法では、処理を Web サーバから専用デバイスに移管できますが、管理が非常に複雑なため、混雑した Web サイトにスケーリングできない場合があります。この場合、ハードウェア・アクセラレータと、トラフィックが暗号化されない Web サーバとの間でセキュリティ違反が発生します。1 つの専用暗号化デバイスで、アクセラレートされていない 1 台または数台のサーバより多くの SSL 要求を処理できますが、サーバごとにハードウェア・アクセラレータを配備すれば、サーバを追加するたびにスケーラビリティが線形的に向上します。

シスコでは、SSL のアクセラレーションを実行する専用アプライアンス製品である、CSS 11000 SCA（セキュア・コンテント・アクセラレータ）を提供する他、CSS コンテント・サービス・スイッチの新機種でもある、CSS 11500 シリーズ製品では、SSL アクセラレータオプションが提供されており、これらの問題を解決しています。

図 2：SSL セッション・キーのキャッシングによる遅延およびパフォーマンスへの影響（出典：IBM; Cisco Communications）

シスコは、次の 2 つの方法で SSL トランザクションのパフォーマンスを最大化します。

電子商取引サイトには、それぞれのビジネス要件に応じて、求められるセキュリティとサイト・パフォーマンスの平衡を保つ柔軟性が必要です。また、持続的な接続を維持するには、次の 3 つの電子商取引セキュリティのシナリオをすべてサポートする必要があります。

• HTTP 接続に基づく、認証されたトランザクション
• SSL 接続によりエンドツーエンドで暗号化されたトランザクション
• これら 2 つの接続を組み合わせたハイブリッド・トランザクション

シスコの製品では、企業がそれぞれのセキュリティ要件に応じて適切な高性能ソリューションを実装できる柔軟性が提供されます。組織は、電子商取引を保護する 3 つの基本手段を評価し、将来的なカスタマの増加や新たなビジネス・イニシアチブに応じて効果的にスケーリングできるソリューションであることを確認した上で、最も適切なオプションを選択することができます。

多くのサイトでは、各カスタマの接続を暗号化せずに、ユーザが認証されます。このシナリオでは、暗号化されたデータ伝送が必要ない環境で、SSL 処理のオーバヘッドを最小限に抑え、高水準のスケーラビリティをサポートできます。

たとえば、カスタマがそれぞれ専用の調査にオンラインでアクセスできる市場調査サイトには、このアプローチが最適です。カスタマが自分の名前とパスワードを入力すると、システムによりデータベースのルックアップが行われ、サイトへのアクセス料金を支払っているユーザが認証され、セキュア・エリアへのアクセスが許可されます。

カスタマの満足を得るためには、認証済み加入者の継続的なセッションが失われないようにすることが不可欠です。カスタマは、セッションが別のサーバに引き渡されるたびに切断されることに我慢できません。また、再度アクセスするために再度認証を受けることにも耐えられません。そのため、電子商取引プロバイダは、認証済みユーザがセッションの完全性を維持しながら、快適に電子商取引を行うことができる環境を整えなければなりません。

HTTP では、これらのアプリケーションの状態情報が何も伝搬されないため、ユーザのトランザクションが完了するまで、HTTP 要求ごとにブラウザを同じサーバにマップすることが重要です。これにより、ユーザがセッション中に別のサーバにロード・バランスされたり、再ログインする必要がなくなります。シスコの製品により、複数のサーバ間で要求を分散し、サーバの負荷を管理し、持続的な接続を確立することによって、認証済みトランザクションを効果的に提供できます。

従来のロード・バランサでも、送信元 IP アドレスおよび TCP ポートを使用した持続的な接続が可能ですが、セッションの間、クライアントが同じ送信元 IP アドレスを使用することを前提としています。ところが、ユーザが America Online ホストなどのメガ・プロキシ・サーバを通じてアクセスする場合、問題になります。従来のロード・バランシング製品では、トランザクションの間、ユーザを同じサーバに確実に接続できる十分な情報が保持されないためです。

発信クライアント・プロキシの場合、任意数のクライアントが同じ送信元 IP アドレスを使用できるため、送信元 IP アドレスだけでクライアントを識別することはできません。また、プロキシ・サーバがダウンしてバックアップ・サーバが起動した場合や、ルート変更イベントによって新たなプロキシ・サーバが強制的に使用された場合、送信元 IP アドレスが突然変化することがあります。このように、IP ヘッダだけでは、高い信頼性で個々のカスタマを識別することはできません。

高い信頼性で持続的な接続を維持できる唯一の方法は、cookie を使用して個々のカスタマを識別するものです。Cisco CSS 11000 シリーズ・スイッチでは、図 3 に示すように、HTTP トラフィック・フローのヘッダにあるサーバ固有の文字列である cookie 全体を読み取り、ユーザを識別して適切なサーバにルーティングできます。このサーバ固有の文字列は、Web サーバ・アプリケーションによって HTTP ヘッダ（つまり、サーバ 1）に書き込むことができ、Web スイッチは、HTTP 要求の [cookie: ] の後にある特定バイト範囲でこの文字列を見つけるよう設定されます。その後、Web スイッチにより、この cookie が特定のサービスに関連付けられ、要求がそのサーバに送信されます。この処理は、ユーザに対して透過的に行われますが、フロントエンドの HTTP に対するセッションは、トランザクションが複数のバックエンド・サーバやデータベースに渡っても維持されます。そのため、ユーザは、トランザクションの間、継続的な接続と最適な応答時間で快適に利用することができます。

cookie を見つけて処理するには、ダイナミックな上位層の情報が必要になります。従来のルータ、ロード・バランサ、およびコンテンツ対応のスイッチでは、この重要なタスクを十分にこなすことができません。Cisco CSS 11000 シリーズ・スイッチでは、送信元 IP アドレス、アドレス範囲、TCP ポート、および SSL セッション ID のほか、ユーザの HTTP ヘッダに組み込まれたユーザの cookie に基づく持続的な接続がサポートされます。これは、cookie に組み込まれた固有な情報に基づいて持続的なクライアント⁄サーバ接続を提供することにより、洗練された電子商取引アプリケーションを実現する上で重要な機能です。

図 3：持続的な接続

これは、数千に及ぶユーザが AOL サーバなどのメガ・プロキシを通じてサイトに着信する場合や、着信するクライアントが同じ送信元 IP アドレスを共有する場合、認証済みアプリケーションに持続的な接続を確保する唯一の方法です。また、メガ・プロキシ・クライアントがすべて同じサーバに接続した結果起こるサーバのクラッシュを排除し、サイトのパフォーマンス、信頼性、収益性を向上させることができます。

多くの電子商取引サイトには、Web を介したビジネス取引を確実に行うために、最高レベルのセキュリティが求められています。このような企業では、認証だけでは不十分です。買い手が何と名乗っているかを知るだけでは十分ではありません。また、クレジットカード番号やその他の個人情報など、トランザクションの間に使用される機密情報の保護も不可欠です。

たとえば、カスタマによる非常に個人的な情報へのアクセスを許可する銀行や仲買業には、暗号化されたエンドツーエンドのトランザクションが必要です。これらの企業は、Web によって売上を伸ばし、流通チャネルをサポートしており、暗号化によって得られるさらに高水準のセキュリティが必須です。

Cisco CSS 11000 シリーズ・スイッチでは、SSL セッション ID を使用して、SSL トランザクションの持続的な接続が維持されます。これは重要なことです。Web スイッチでは、SSL トランザクション用に暗号化される HTTP ヘッダ内にある cookie を読み取れないため、持続的な接続を維持することができません。

ブラウザとサーバ間で送受信される最初の SSL hello メッセージには、空のセッション ID フィールド（新しい SSL セッションを確立する場合）またはそのクライアントが最後に使用した SSL セッションが含まれます。ただし、このセッション ID がこれから行われる電子商取引セッションに使用されるわけではありません。サーバでは、クライアントの hello メッセージに対して、新しいセッション ID が選択され、このセッション ID を使用してそれ自身の hello メッセージがクライアントに返されます。Cisco CSS 11000 シリーズ・スイッチでは、サーバの hello メッセージに含まれる新しい SSL セッション ID が検出され、要求がその時点で最適なサーバにルーティングされます。また、その SSL セッション ID で行われる以降のすべての要求は、同じサーバにルーティングされます。

Cisco CSS 11000 シリーズ・スイッチでは、SSL タイムアウトの問題も解決されます。リソースを有効に活用するため、Web サーバは、何も行われない状態が特定期間続いた場合に、セッションを終了するようにプログラムされています。何も行われない状態が数分間続くと、サーバは時間切れになり、セッション ID が解放されます。ユーザが新しい要求を送信すると、サーバにより新しいユーザとして認識され、新しい SSL セッションが開始されます。抵当アプリケーションや信用貸しプロファイルなどの長いフォームに入力している場合は、それまでに入力した情報がすべて失われてしまうため、ユーザは最初からやり直さなければなりません。

Web スイッチでは、ユーザが再接続を試行したときにクライアントの SSL セッション ID が検出され、このセッション ID を使用してユーザが最後に接続していたサーバにルーティングされるため、この問題が解決されます。スイッチにより、サーバが作成した新しい SSL セッション ID が検出され、これを使用してユーザが同じサーバに接続されます。

コンテンツ・スマート Web スイッチングでは、暗号化されたセッションの持続的な接続を確立することにより、効率とカスタマの満足度が向上するだけでなく、アプリケーション・サーバの負荷を大幅に軽減できます。セッションを確立する SSL ハンドシェークでは公開鍵が交換されますが、これだけでコンピューティング・リソースが大量に消費されます。コンテンツ・スマート Web スイッチでは、セッション ID を代行受信し、失敗したセッションを透過的に再確立することにより、リンクの失敗後に行われる新しいセッションのネゴシエーションによる、大量の処理能力を消費するタスクが排除されます。

シスコの製品により、電子商取引サイトは、関連する処理オーバヘッドを最小限に抑えながら、暗号化された接続を提供できます。コンテンツ・スマート Web スイッチにより、カスタマのトランザクションが単純化され、電子商取引サイトの成功に不可欠なパフォーマンスと信頼性を確保する、安定したセキュアなトランザクションが維持されます。

最も一般的なセキュリティ・シナリオでは、認証された接続（HTTP）と暗号化された接続（SSL）のハイブリッドが使用されます。このようなトランザクションでは、電子商取引サイトは、トランザクションのステージごとに最大限のセキュリティを適用しながら、プロセッサのオーバヘッドを最小限に抑えることができます。この組み合わせアプローチでは、トランザクションに、保護されていないために一般ユーザが使用できる部分と、認証されているが暗号化されていない部分と、フローが認証され、暗号化される部分が含まれることがあります。

たとえば、小売サイトでは、製品情報を一般ユーザに公開し、詳細情報を見ることができる認証されたサービスを得意先カスタマに提供し、さらにオンラインで商品を購入する機能を提供することができます。このサイトでは、セキュリティ・テクノロジーを組み合わせて実装することにより、スケーラブルなセキュリティ・ソリューションを効率的に提供できます。

保護されていない一般製品情報は、すべてのブラウザから利用できます。また、得意先カスタマは、パスワードを入力することにより、価格や在庫などの製品の追加情報が含まれるサイトの特別なエリアにアクセスできます。トランザクションのこれらの段階の間、シスコの Web スイッチでは、送信元 IP アドレスまたはアドレス範囲、あるいは cookie を使用して、持続的な接続を維持できます。これにより、ユーザがショッピング・カートに商品を入れ、買い物を完了するまで、Web スイッチでコンテンツ要求を追跡し、持続的な接続を維持することができます。

カスタマが「ショッピング・カート」に入れた商品を購入するために [購入] ボタンをクリックする勘定時点で、ブラウザとサーバとの間に新しい TCP 接続がセットアップされて SSL セッションが確立され、トランザクションのこの段階が暗号化されます。この時点でトランザクションは暗号化され、Web スイッチにより SSL セッション ID を使用して持続的な接続を維持できるようになります。ブラウザがトランザクションのどちらの段階でも同じ送信元 IP アドレスを使用する場合、Cisco CSS サービス・スイッチでは、十分な詳細情報が保持されるため、両方のトランザクション部分で安定した持続的な接続を維持できます。しかし、クライアントがメガ・プロキシ・サーバからサイトにアクセスする場合、トランザクションの間に複数の送信元 IP アドレスが使用される場合があります。

これは、厳密には、非 SSL と、実質的に新しい送信元 IP アドレスの使用を保証する SSL との間の遷移であり、ロード・バランシングによって、買い物の途中で買い手と元のサーバとの接続が切断されてしまいます。クライアントが買い物の途中で別のサーバに不適切に送られると、新しいサーバには、ショッピング・カートに入っている物の記録がないため、ユーザは、買い物を終えようとした瞬間にがっかりすることになります。

Cisco CSS 11000 シリーズ・スイッチでは、買い物が完了するまでの間、持続的な接続が維持されることにより、この問題が解決されます。最初の段階で、Web スイッチにより cookie が使用され、ユーザから特定サーバへの接続が維持されます。トランザクションが SSL 段階に入ると、[購入] ボタンがあるページに、トランザクションを同じサーバに解決するリンクが表示されます。これは、[購入] リンクのページに絶対 HREF1 を組み込む Web サーバ・アプリケーションによって行われます。href は、明示的なバーチャル IP（VIP2）アドレスを指し、このアドレスは、トランザクションの最初の部分での接続先と同じにすることも、そのサーバに関連付けられている固有な TCP ポートにすることもできます。Web スイッチでは、その VIP と TCP ポートを持つブラウザからの SSL hello メッセージが検出されると、その TCP ポートに関連付けられているサーバに要求がルーティングされます。シスコの Web スイッチでは、トランザクションの間、セッション ID に基づいて、さらにこの接続をサーバに接続することができます。

このシナリオには、cookie ベースのポリシと、異なる接続でサーバに着信する SSL の持続的な接続との関連付けを維持できる、複雑な「コンテンツ・ルール」を維持するスイッチの能力が必要となります。このレベルのきめ細かさと必要なコンテンツ・ルールの数は、コンテンツが詳細に認識されない実装ではサポートされません。

持続的な接続を確立するために使用される cookie は、特定のサービス、つまり仮想 Web サーバに関連付けられます。スイッチでは、cookie が含まれる要求が受信されると、その cookie に関連付けられているサービスに要求がルーティングされます。プレミアム・サービスに cookie を使用する場合の大きな違いは、cookie が「コンテンツ・ルール」に関連付けられ、さらにこのコンテンツ・ルールがサービスのグループに関連付けられることです。この場合、スイッチにより cookie が含まれる要求が受信されると、図 4 に示すように、そのコンテンツ・ルールと cookie に関連付けられている「プレミアム」サーバ・グループの中の最適なサーバに要求がルーティングされます。

プレミアム・グループのサーバは、トランザクションを限定したり、負荷の制限が最大になるように設定できるため、常に最高のサービスを提供できる十分なキャパシティを確保できます。プレミアム・サーバの加入カスタマが過剰になった場合には、Cisco CSS 11000 シリーズ・スイッチが備えるデマンド・ベースのコンテンツ・レプリケーション機能を使用して、追加のオーバフロー・サービスを設定することができます。この機能では、特定のコンテンツに対してしきい値を設定できます。設定したしきい値に達すると、スイッチによりホット・コンテンツがオーバフロー・サーバまたはキャッシュに複製されます。

図 4：プレミアム・サービス

プレミアム・サービスは、次のように行われます。

特許を取得したスイッチング・テクノロジーを装備した Cisco CSS 11000 シリーズ・スイッチでは、電子商取引サイトのリソースの割り当ておよび最大限の投資収益を生み出すサービスの作成に対して最大限のコントロールがもたらされます。電子商取引において Cisco CSS 11000 シリーズの Cisco Web NS を実装することにより、企業およびそのホスティング・パートナは、継続的なビジネス経営が可能な、信頼性、セキュリティ、パフォーマンスに優れた電子商取引を提供できます。