Избавляемся от резервирования ISP в TMG 2010 RC — Часть 2: Включение резервирования ISP

Опубликовано: 9 Апреля, 2023

Введение

В первой части этой серии статей мы рассмотрели лабораторную сеть и то, что вам нужно сделать с интерфейсами, чтобы подготовить их к поддержке нескольких интернет-провайдеров. Теперь, когда у нас есть базовая основа, давайте перейдем к самой интересной части!

Для начала откройте консоль брандмауэра TMG и щелкните узел Networking на левой панели консоли. В области задач щелкните вкладку «Задачи». На вкладке Tasks нажмите ссылку Configure ISP Redundancy, как показано на рисунке ниже.

Изображение 23680
фигура 1

Откроется страница Добро пожаловать на страницу мастера настройки резервирования ISP. Нажмите «Далее».

Изображение 23681
фигура 2

На странице ISP Redundancy Mode вы можете выбрать один из двух вариантов:

  • Балансировка нагрузки с возможностью аварийного переключения. Эта опция позволяет вам использовать обоих интернет-провайдеров одновременно. Вы можете установить предпочтительного провайдера, при котором большая часть трафика будет исходить от предпочтительного провайдера, или вы можете использовать трафик обоих провайдеров в равной степени. Используйте этот вариант, если вы хотите увеличить общую пропускную способность и не беспокоиться об оплате пропускной способности для обоих интернет-провайдеров. Если один из провайдеров выходит из строя, весь трафик будет выходить через соединение с другим провайдером.
  • Только отказоустойчивость. Используйте этот вариант, если вы хотите использовать только одного провайдера, но хотите, чтобы в случае отказа первого провайдера использовался другой. Используйте этот вариант, если вы не хотите платить за пропускную способность для обоих интернет-провайдеров, но хотите быть уверены, что сможете оставаться в сети в случае сбоя основного интернет-провайдера. Это хороший вариант, если вам нужно платить за пропускную способность для второго интернет-провайдера.

В этом примере мы выберем вариант Балансировка нагрузки с возможностью аварийного переключения. Нажмите «Далее».

Изображение 23682
Рисунок 3

На странице Соединение с провайдером 1 вы настраиваете параметры для первого соединения с провайдером. В этом примере мы назовем соединение RRAS1, так как это будет соединение через NAT-сервер RRAS1, который имитирует первого интернет-провайдера. Поскольку мы используем отдельные сетевые адаптеры для каждого соединения с провайдером, мы можем выбрать сетевой адаптер, который подключает нас к RRAS1, в раскрывающемся списке Сетевой адаптер (необязательно). Обратите внимание, что после выбора сетевого адаптера адрес подсети, определяющий шлюз по умолчанию для этого сетевого адаптера, который является внутренним адресом сервера NAT RRAS1, отображается в текстовом поле «Подсеть». Помните, что у каждого провайдера должен быть свой идентификатор сети, а это означает, что каждое соединение с провайдером находится в другой подсети.

Нажмите «Далее».

Изображение 23683
Рисунок 4

На странице ISP Connection 1 — Configuration подтвердите адрес шлюза и маску. Также убедитесь, что в текстовом поле «Подсеть» указана правильная маска подсети. Вы можете ввести первичный DNS-сервер и альтернативный DNS-сервер, если хотите, но, поскольку настоятельно рекомендуется не настраивать брандмауэр для использования внешних DNS-серверов, я предлагаю вам никогда не вводить какие-либо адреса в эти текстовые поля. Будут времена, когда вам нужно будет ввести внешний IP-адрес для DNS-серверов на брандмауэре TMG, но это не один из них.

Нажмите «Далее».

Изображение 23684
Рисунок 5

На странице Соединение с провайдером 1 — Выделенные серверы вы вводите IP-адреса серверов, которые вы всегда хотите использовать для этого соединения с провайдером. Обычно это серверы в сети интернет-провайдера, недоступные из внешних сетей, такие как DNS и серверы времени. SMTP-серверы также часто размещаются в сети интернет-провайдера для исходящих сообщений, недоступных из внешних сетей. Поскольку в этом примере мы не используем серверы пересылки и используем серверы времени в Интернете, мы не будем вводить IP-адреса для выделенных серверов.

Обратите внимание, что если вы введете IP-адреса для выделенных серверов, то в случае отказа этого интернет-провайдера соединения не будут переадресовываться другому интернет-провайдеру. Однако это не должно быть большой проблемой, поскольку эти IP-адреса в любом случае не будут доступны из внешних сетей.

Нажмите «Далее».

Изображение 23685
Рисунок 6

На странице ISP Connection 2 вы делаете то же самое, что и на аналогичной странице для ISP 1. В этом примере ISP2 будет тем, кто подключается через NAT-сервер RRAS2. Обратите внимание, что подсеть находится в другом сетевом идентификаторе, отличном от первого подключения к провайдеру.

Нажмите «Далее».

Изображение 23686
Рисунок 7

Подтвердите настройки на странице ISP Connection 2 — Configuration и нажмите Next.

Изображение 23687
Рисунок 8

На странице Соединение с провайдером 2 — Выделенные серверы вы вводите IP-адреса серверов, которые доступны через второе соединение с провайдером. Здесь применяются те же принципы и ограничения, что и при первом подключении к провайдеру.

Нажмите «Далее».

Изображение 23688
Рисунок 9

На странице конфигурации балансировки нагрузки вы решаете, как вы хотите взвешивать соединения. Если соединения имеют одинаковую скорость, вы обычно настраиваете его для одинакового использования обоих интернет-провайдеров. Однако, если один интернет-провайдер быстрее другого, вы захотите дать мне вес более быстрому интернет-провайдеру. В этом примере RRAS2 быстрее, чем RRAS1, поэтому я предоставлю ему 75% подключений, а RRAS1 — 25% подключений. Соединения основаны на методе, который я описал в первой статье этой серии, поэтому, если вы хотите узнать, как брандмауэр TMG назначает соединения, ознакомьтесь с частью 1 этой серии.

Нажмите «Далее».

Изображение 23689
Рисунок 10

Проверьте настройки на странице «Завершение работы мастера настройки резервирования ISP» и нажмите «Готово».

Изображение 23690
Рисунок 11

После нажатия кнопки «Готово» появится диалоговое окно с сообщением о том, что необходимо добавить постоянный статический маршрут для каждого IP-адреса DNS, настроенного на внешних сетевых адаптерах на каждом сервере Forefront TMG. Это необходимо для того, чтобы DNS-запросы направлялись через соответствующий сетевой адаптер.

Причина, по которой вам необходимо вручную создавать статические маршруты для интернет-провайдеров, заключается в том, что автоматическая маршрутизация, которая работает с резервированием интернет-провайдеров, работает только при наличии связи NAT между источником и местом назначения. Поскольку DNS-соединения исходят от самого брандмауэра TMG, соединение будет иметь отношение маршрута, так как все соединения из локальной хост-сети с любой другой сетью используют отношение маршрута.

Нажмите ОК.

Изображение 23691
Рисунок 12

Нажмите «Применить», чтобы сохранить конфигурацию брандмауэра. Если хотите, введите описание изменения в диалоговом окне «Описание изменения конфигурации», затем нажмите «Применить» в этом диалоговом окне. Нажмите «ОК» в диалоговом окне «Сохранение изменений конфигурации ».

Теперь давайте посмотрим, как работают некоторые функции ISP Redundancy. Во-первых, давайте взглянем на панель инструментов. Здесь вы можете увидеть информацию о состоянии сети для соединений с провайдером. На рисунке ниже вы можете увидеть статус, время безотказной работы и количество байт/сек, используемых каждым интернет-провайдером. Обратите внимание, что RRAS2 использует большую полосу пропускания, потому что в то время, когда я делал снимок экрана, я загружал Windows XP SP2 через брандмауэр TMG.

Изображение 23692
Рисунок 13

Что делать, если вы хотите изменить конфигурацию параметров ISP Redundancy? Просто щелкните узел «Сеть» в левой панели консоли брандмауэра TMG и дважды щелкните соединение с провайдером, которое вы хотите изменить. На рисунке ниже вы можете увидеть вкладку «Общие» диалогового окна «Свойства RRAS1». Здесь вы можете изменить Имя, IP-адрес шлюза, Маску, Подсеть, Обнаружение подключения и Коэффициент балансировки нагрузки.

Обратите внимание, что в мастере не отображается параметр обнаружения подключения. Здесь у вас есть три варианта:

  • Отключить, соединение не работает. Это отключает определение того, работает ли ISP или нет, и отключает соединение с ISP. Возможно, вы захотите установить это, если хотите отключить этого интернет-провайдера на некоторое время для административных или тестовых целей.
  • Отключено, соединение установлено. Это отключает определение того, работает ли интернет-провайдер или нет, но оставляет соединение активным. Опять же, вы можете включить эту опцию, если хотите, чтобы соединение с провайдером использовалось постоянно, независимо от состояния соединения.
  • Включено. Это значение по умолчанию.

Теперь вы можете задаться вопросом: «Как брандмауэр TMG определяет, активен ли канал интернет-провайдера или нет?» Это хороший вопрос. Что делает TMG, так это отправляет запросы на подключение к корневым DNS-серверам в Интернете. Если он соединяется, то соединение работает, если не соединяется, то соединение не работает.

Изображение 23693
Рисунок 14

Мы можем подтвердить это, взглянув на фрагмент трассировки NetMon на рисунке ниже. IP-адреса 10.0.2.3 и 10.0.1.3 являются внешними адресами на брандмауэре TMG, подключающемся к каждому из соединений с провайдером. Адрес назначения 192.33.4.12 — это IP-адрес одного из корневых DNS-серверов в Интернете. Здесь интересно то, что на самом деле это не DNS-запросы, а просто TCP-порт 53 для подключения к корневым DNS-серверам. Если вы посмотрите на расшифровку, вы обнаружите, что информация о протоколе DNS отсутствует. Вы видите только трехстороннее рукопожатие. Я уверен, что для этого есть веская причина, но я не знаю, какая.

Изображение 23694
Рисунок 15

Теперь, как брандмауэр TMG решает, что соединение не работает, и как он решает, что соединение снова установлено?

Несколько серверов опрашиваются, чтобы определить, есть ли какие-либо проблемы с подключением через конкретного интернет-провайдера. Если несколько корневых DNS-серверов не отвечают через определенного интернет-провайдера, TMG повторяет попытку подключения еще два раза (всего три попытки, включая первую) с интервалом в 60 секунд каждая, прежде чем переключиться на вторичное подключение к интернет-провайдеру и пометить другое соединение как «вниз».

Таким образом, если RRAS1 действительно вышел из строя в 12:58, он проверит подключение к корневым DNS-серверам в 12:59 и 13:00. Если обе попытки подключения не увенчались успехом, то ссылка помечается как «недоступная». В период с 12:58 до 13:00 соединения по-прежнему будут направляться через мертвого провайдера.

После того, как соединение с интернет-провайдером помечено как «недоступное», брандмауэр TMG будет проверять «неработающего» интернет-провайдера каждые 5 минут (300 секунд), а когда «неработающее» соединение отвечает в первый раз, еще два последовательных запроса с интервалом в 60 секунд. каждая из них должна быть успешной, прежде чем основная ссылка снова будет помечена как рабочая. Как только первичный канал считается рабочим, TMG создает новые соединения, используя первичный канал интернет-провайдера.

Таким образом, если RRAS1 был помечен как «отключенный» в 13:00, он не будет повторно тестироваться до 13:05. Затем проводится тест в 13:05. В случае успеха он снова будет протестирован в 13:06 и еще раз в 13:07. Если оба этих теста пройдены успешно, ссылка будет помечена как «активная», и соединения будут снова маршрутизироваться через это соединение.

Чтобы увидеть, что происходит, когда провайдер выходит из строя, я отключил RRAS2. Если вы подождете 2-3 минуты, вы увидите узел Dashboard в левой панели консоли брандмауэра TMG, так что Status изменится на Local.

Изображение 23695
Рисунок 16

Однако нет никаких проблем! Я пошел к своему клиенту и загрузил файл, и он автоматически переместился на RRAS1. Имейте в виду, что если клиент использовал отключенного интернет-провайдера для доступа к определенному сайту, потребуется около 2 минут, прежде чем этот сайт будет перенаправлен на онлайн-провайдера.

Если вы проверите Предупреждения, вы увидите сгенерированное сообщение о том, что соединение с провайдером недоступно, как показано на рисунке ниже.

Изображение 23696
Рисунок 17

Говоря об оповещениях, есть несколько из них, связанных с ISP Redundancy, как показано на рисунке ниже.

Изображение 23697
Рисунок 18

Резюме

В этой серии из двух частей я рассказал, как работает резервирование интернет-провайдера, как настроить сетевые карты для подготовки к резервированию интернет-провайдера и как настроить эту функцию. Обратите внимание, что эта серия статей относится к конкретному варианту использования, когда у вас есть выделенная сетевая карта для каждого интернет-провайдера. Это не требование. Вы можете разместить как IP-адрес провайдера, так и адрес шлюза на одном сетевом адаптере. Если кому-то интересно, я могу сделать отдельную статью об этой конфигурации, но она довольно проста и применимы те же принципы. Получайте удовольствие от TMG ISP Redundancy и дайте мне знать, что вы думаете об этом и как это работает для вас! Спасибо! -Том.

разделу Избыточность ISP TMG 2010 RC — Часть 1: Настройка виртуальной инфраструктуры и интерфейсов брандмауэра TMG

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023