Forefront TMG 新特性之ISP 冗余传输链路.docx
- 文档编号:9353972
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:11
- 大小:635.72KB
Forefront TMG 新特性之ISP 冗余传输链路.docx
《Forefront TMG 新特性之ISP 冗余传输链路.docx》由会员分享,可在线阅读,更多相关《Forefront TMG 新特性之ISP 冗余传输链路.docx(11页珍藏版)》请在冰豆网上搜索。
ForefrontTMG新特性之ISP冗余传输链路
ForefrontTMG新特性之ISP冗余传输链路(ISP-R)
在王者再现-ForefrontTMG新特性介绍一文中,我给大家介绍了在ForefrontTMG中,新增了ISP冗余传输链路功能:
在TMG中,你可以同时使用两条活动的外部链路,使用模式分为以下两种:
∙故障转移模式:
在主要链路工作正常的情况下,所有的流量都通过主要链路进行,只有当主要链路出现故障的时候,才将所有的流量转移到被动链路上;
∙负载均衡模式:
这种模式下,所有的链路都作为活动链路,按照用户定义的比例来分担访问流量。
其实在WindowsServer2008/2008R2中,在TCP/IP路由架构层面,仍然和过去的版本一样,针对相同的目的地,在同一时刻只能使用一个默认网关。
在这种情况下,是不能通过Windows底层的TCP/IP自身实现多路由的并行使用。
在ForefrontTMG中,ISP冗余传输链路是通过TMG防火墙核心组件实现的强制路由选择,并且,要实现这一功能,需要满足以下条件:
∙两条活动的外部链路分别位于不同的子网,并且具有不同的默认网关;另外,你需要在Windows系统中同时配置这些默认网关。
你可以在单网卡上同时设置这两个外部链路,但是这种配置不推荐;
∙这两条外部链路均属于TMG中默认的外部网络;
∙ISP-R功能仅对NAT流量有效。
因此对于来自TMG本地主机的流量,不会进行ISP-R路由选择处理。
在此需要特别注意TMG本地主机到DNS服务器的访问,如果你同时在多个网卡上配置了DNS服务器(例如在不同的链路上分别配置有不同的DNS服务器),那么可能会出现访问链路1上的DNS服务器通过链路2进行的情况。
在这种情况下,最好在TMG中创建静态路由,让访问不同DNS服务器的流量固定从对应的链路进行。
∙需要注意的是,网络规则比ISP-R具有更高的优先级。
因此如果在网络规则中要求从链路1进行访问,那么如果链路1出现故障,该网络规则所对应的流量仍然不会通过链路2进行。
∙另外,为了避免潜在的网络路由选择故障,建议对两个默认网关设置不同的度量值,该度量值可以在网卡的TCP/IP高级属性中进行修改。
在默认情况下,对于这两条链路状态的验证,是分别通过这两条链路对Internet上的根提示服务器列表轮流发送TCP53端口的连接请求来实现。
默认情况下,每60秒进行一次验证,如果连续3次无法成功建立TCP连接,则认为该链路失败;当某条链路失败后,会在暂停5分钟后再次按照每60秒发送一次连接请求进行验证,如果连续3次都能建立TCP连接,则认为该链路恢复正常,TMG将恢复对该链路的使用。
关于链路状态验证所使用的服务器地址、端口和间隔,可以参考这篇文章进行修改。
其实这个地方还有我的一点小功劳:
),在最开始的时候,ForefrontTMG产品组并没有计划允许用户自定义链路验证所使用的方式。
后来我认为这个特性非常重要,因此在TMGBeta2的时候给产品组发了一封邮件,从用户的角度强调这个功能的重要性,于是在TMGRC版本中就加入了这个自定义功能。
在满足上述条件的前提下,配置ISP-R其实是一件很容易的事情:
我所使用的测试环境中的ForefrontTMG网络配置如下图所示,两块外部网卡的IP/默认网关分别为36.1.1.2/36.1.1.1和61.1.1.2/61.1.1.1。
这两块网卡均位于默认的外部网卡,在ForefrontTMG的内部网络地址定义中只包括10.1.1.0/24网段。
作者:
风间子
在ForefontTMG的管理控制台中,在左侧节点中选择网络,然后在右侧的任务面板中选择配置ISP冗余;
在弹出的欢迎向导上点击下一步;
在ISP链路1选择页,输入外部链路1的名称和选择对应的网卡(链路1、链路2的选择没有先后之分,因此选择任何一条均可),完成之后点击下一步;
然后在ISP链路1-配置页,输入默认网关的IP地址、子网掩码和对应的外部DNS服务器地址;在此所设置的外部DNS服务器IP地址会被自动增加到固定从链路1进行访问的计算机集(下一页)中,完成之后点击下一步;
在ISP链路1-专用服务器页,可以设置针对哪些服务器IP地址的访问均从该链路进行。
默认情况下已经添加上一页设置的DNS服务器,你可以自行添加其他的服务器,然后点击下一步;
在链路2选择、配置和专用服务器页的配置和链路1的配置完全一致,配置完成后点击下一步;
在负载均衡配置页,选择链路冗余的工作模式-故障转移或者负载均衡,如果选择负载均衡,那么可以设置负载均衡的比例。
这个比例是基于访问请求进行分配的。
最后,在完成向导页上点击完成;
最后,TMG会建议你为不同的DNS服务器静态路由从而确保TMG到不同DNS服务器的正常访问。
完成后的配置如下图所示,点击应用按钮并等待TMG完成配置同步;
此时,在TMG的监视节点中,将会出现对应的网络状态监控,如下图所示:
目前我配置的ISP-R工作模式为50/50负载均衡,但是由于没有足够的内部客户端计算机来测试负载均衡效果,因此我只有使用比较简单的测试办法,即先在内部网络的一个客户10.1.1.8上访问外部网络118.1.1.20上的Web服务,如下图所示,可以看出是从36.1.1.2这条链路访问的,然后我断开此外部链路模拟链路故障,
大约3分钟后,新的客户访问则自动从另外一条61.1.1.2链路进行访问,如下图所示:
然后,我将ISP-R修改为故障转移模式进行测试,修改方法为在任务面板中选择变更ISP-R模式为故障转移,如下图所示;
修改后的故障转移模式如下图所示,
然后在客户端访问进行测试,然后断开主要链路之后,再进行访问测试,
从TMG的访问日志中,可以看出新的访问请求则自动从备用链路进行,如下图所示:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Forefront TMG 新特性之ISP 冗余传输链路 特性 ISP 冗余 传输
![提示](https://static.bdocx.com/images/bang_tan.gif)