Настройка отказоустойчивости и балансировки нагрузки для Windows 2003 ISA Firewall/VPN-серверов

Настройка отказоустойчивости и балансировки нагрузки для Windows 2003 ISA Firewall/VPN-серверов
Томас Шиндер, доктор медицины

Вы можете настроить серверы ISA firewall/VPN на основе Windows Server 2003 для высокой доступности, воспользовавшись службой балансировки сетевой нагрузки (NLB) Windows Server 2003. Служба NLB предоставляет две основные функции, помогающие повысить доступность VPN-соединений для ваших VPN-клиентов:

• Переключение при сбое, когда один из брандмауэров ISA/VPN-серверов
• Переключение при отказе позволяет другим членам массива брандмауэра ISA/VPN-серверов обслуживать запросы на подключение от VPN-клиентов, когда один из серверов становится недоступным. Все VPN-серверы в массиве «слушают» VPN-подключения на одном и том же IP-адресе. Когда сеанс VPN прерывается после отключения одного из членов массива VPN, соединение восстанавливается с другим членом массива, использующим тот же IP-адрес. Пользователю VPN не нужно перенастраивать клиентское программное обеспечение VPN для автоматического восстановления соединения.
• Балансировка нагрузки для VPN-соединений
• Сеансы VPN могут сильно загружать процессор. Шифрование и дешифрование данных могут занимать значительный процент процессорных циклов, доступных брандмауэру ISA/VPN-серверу в единицу времени. Служба балансировки сетевой нагрузки может автоматически распределять соединения между всеми членами массива, чтобы ни один член массива не получал непропорциональное количество запросов на соединение. NLB пытается даже распределить запросы на соединение между всеми членами массива NLB брандмауэра ISA/VPN-сервера.

Примечание. Подробное описание протокола NLB и принципов его работы выходит за рамки этой статьи. Дополнительные сведения о том, как работает NLB и как настроить конфигурацию NLB для целей, не связанных с VPN, см. в файле справки Windows Server 2003.

В этой статье мы обсудим следующее:

• Описание примера VPN-сети, используемого в этой статье.
• Настройка массива NLB
• Установка ISA Server 2000 на члены массива NLB Windows Server 2003
• Запуск мастера VPN ISA Server 2000 на членах массива NLB
• Настройка фильтров пакетов ISA Server 2000 для поддержки соединений с адресом массива

Пример сети VPN-массива

На рис. 1 показаны детали нашего примера сети VPN Array. Обратите внимание, что я перечислил только соответствующих игроков в конфигурации. В сети могут быть десятки, сотни или даже тысячи машин. Сетевая диаграмма включает только те машины, которые важны для работы конфигурации. Возможно, вы захотите распечатать схему сети на отдельной странице, чтобы обращаться к ней при чтении этой статьи или при тестировании процедур в лаборатории.

фигура 1

На серверах ISA firewall/VPN установлены только Windows Server 2003 и ISA Server 2000. На элементы массива NLB не устанавливаются никакие посторонние службы Windows и сторонние приложения. Все машины являются членами одного и того же домена Windows Server 2003 Active Directory.

На контроллере домена во внутренней сети установлены следующие службы:

• ВЫИГРЫШИ

WINS не является обязательной сетевой службой. Однако, если вы хотите разрешить VPN-клиентам просматривать серверы во внутренней сети, WINS-сервер упростит этот процесс.

• DNS

В сети Active Directory требуется DNS-сервер. VPN-клиентам можно назначить адрес DNS-сервера через DHCP, если агент DHCP-ретрансляции установлен и настроен для поддержки ваших VPN-клиентов. См . Использование DHCP с клиентами ISA/VPN Server.

• DHCP

Сервер DHCP назначает адреса узлам внутренней сети и клиентам VPN. Вы можете настроить DHCP-сервер для назначения пользовательских параметров DHCP (таких как адреса WINS- и DNS-серверов и имя основного домена) с помощью агента DHCP-ретрансляции на брандмауэре ISA/VPN-сервере.

• РАДИУС

Сервер RADIUS может централизовать политику RRAS для всех членов массива VPN. Сервер RADIUS упрощает задачу создания политики RRAS, так что вы можете создать единую политику на сервере RADIUS и применить эту политику ко всем членам массива VPN. RADIUS также позволяет использовать учетные записи пользователей домена Active Directory, не требуя, чтобы члены массива VPN были частью одного и того же домена Active Directory. Пожалуйста, ознакомьтесь со статьями ISA Server 2000 VPN Deployment Kit о настройке RADIUS для поддержки VPN-клиентов (бета-версия VPN Deployment Kit будет доступна на этом сайте на следующей неделе).

• Активный каталог

Active Directory требуется на контроллерах домена Windows Server 2003.

Настройка массива NLB

Редакции Windows Server 2003 Standard, Enterprise и Datacenter поддерживают службу балансировки сетевой нагрузки Windows Server 2003. Одним из основных усовершенствований службы балансировки сетевой нагрузки, входящей в состав Windows Server 2003, является новый диспетчер балансировки сетевой нагрузки. NLB Manager позволяет создавать, настраивать и управлять массивами NLB с помощью интуитивно понятного графического интерфейса.

Создайте массив после того, как вы установили программное обеспечение Windows Server 2003 на машины, которые будут членами массива брандмауэра ISA/VPN-сервера, но до включения службы маршрутизации и удаленного доступа с помощью мастера ISA Server 2000 VPN.

Выполнять все задачи по управлению массивом из LOCALISAVPN1. Выполните следующие шаги, чтобы создать массивы балансировки сетевой нагрузки Windows Server 2003:

• Нажмите «Пуск», выберите «Администрирование » и нажмите «Диспетчер балансировки сетевой нагрузки» (рис. 2).

фигура 2

2. Откроется консоль Network Load Balancing Manager (рис. 3). Массивы балансировки сетевой нагрузки по умолчанию не настроены. Вам нужно будет создать массив NLB, который позволит всем серверам брандмауэра ISA/VPN прослушивать один IP-адрес на внешнем интерфейсе.

Рисунок 3

3. Щелкните меню Cluster и выберите команду New (рисунок 4).

Рисунок 4

4. Заполните следующую информацию в диалоговом окне Cluster Parameters (рисунок 5):

айпи адрес

Это виртуальный IP-адрес, используемый всеми членами массива NLB. NLB Manager автоматически привяжет этот адрес к внешнему интерфейсу всех членов массива.

Маска подсети

Это маска подсети для виртуального IP-адреса.

Полное интернет-имя

Это полное доменное имя используется для доступа к IP-адресу кластера для удаленного администрирования из командной строки. Введите здесь имя, если вы решите разрешить удаленное администрирование из командной строки. Это имя также должно быть введено в общедоступный DNS.

Режим работы кластера

Служба NLB Windows Server 2003 может работать как в одноадресном, так и в многоадресном режиме. Выберите многоадресный режим, если у вас нет маршрутизаторов или коммутаторов Cisco в том же сегменте сети, что и внешний интерфейс, и эти маршрутизаторы или коммутаторы не поддерживают сопоставление одноадресных IP-адресов с многоадресными MAC-адресами. Дополнительные сведения о режимах NLB, одноадресной и многоадресной рассылки см. в справке Windows Server 2003.

Разрешить удаленное управление

Поставьте галочку в этом поле, если хотите разрешить удаленное управление параметрами массива NLB из командной строки. Мы не хотим разрешать удаленное управление из командной строки на массиве внешних интерфейсов. Не устанавливайте этот флажок.

Удаленный пароль

Если бы было доступно удаленное администрирование из командной строки, вы бы ввели пароль в это текстовое поле.

Подтвердить Пароль

Если бы было доступно удаленное администрирование из командной строки, вы бы подтвердили пароль в этом текстовом поле.

Нажмите «Далее».

Рисунок 5

5. Вы можете добавить дополнительные виртуальные IP-адреса в массив в диалоговом окне Cluster IP Addresses (рис. 6). Нажмите кнопку «Добавить», чтобы добавить больше VIP-персон. В этом примере мы не будем использовать дополнительные VIP. Нажмите «Далее».

Рисунок 6

6. В диалоговом окне Port Rules появится правило по умолчанию (рис. 7). Вы можете создавать настраиваемые правила для портов, которые определяют, как распределяется нагрузка соединений между всеми серверами в массиве. Щелкните правило порта по умолчанию, а затем нажмите кнопку «Изменить».

Рисунок 7

7. Подробная информация о правиле порта по умолчанию отображается в диалоговом окне «Добавить/редактировать правило порта» (рис. 8). Правило порта по умолчанию включает следующие параметры:

IP-адрес кластера

Эта запись определяет, к какому IP-адресу применяется это правило. Правило порта по умолчанию применяется ко всем адресам в массиве NLB.

Диапазон портов

Эта запись определяет, к каким входящим портам применяется правило. Правило порта по умолчанию применяется ко всем входящим портам.

Протоколы

Вы можете применить правило к TCP, UDP или к обоим. Правило порта по умолчанию применяется как к протоколам TCP, так и к протоколам UDP. Обратите внимание, что правила порта NLB Windows Server 2003 могут применяться только к протоколам TCP и UDP. Вы не можете применять правила портов к другим протоколам, таким как ICMP.

Режим фильтрации

Существует три режима фильтрации:

Несколько хостов

Указывает, обрабатывают ли несколько узлов в кластере сетевой трафик для связанного правила порта. Правило порта по умолчанию применяется ко всем хостам в массиве, а для параметра Affinity установлено значение Single.

Один хост

Указывает, что сетевой трафик для связанного правила порта должен обрабатываться одним узлом в кластере в соответствии с заданным приоритетом обработки. Этот режим фильтрации обеспечивает отказоустойчивость конкретного порта для обработки сетевого трафика.

Отключить диапазон портов

Указывает, будет ли блокироваться весь сетевой трафик для связанного правила порта.

Дополнительные сведения о NLB см. в моих статьях о NLB Windows 2000 на сайте www.isaserver.org. Это включает:

• Использование NLB с ISA Server, часть 1: как работает балансировка сетевой нагрузки http://www.isaserver.org/tutorials/basicnlbpart1.html
• Использование NLB с ISA Server, часть 2: развлечения уровня 2 с режимами одноадресной и многоадресной рассылки http://www.isaserver.org/articles/basicnlbpart2.html
• Использование NLB с ISA Server, часть 3: настройка параметров массива NLB http://www.isaserver.org/tutorials/nlbpart3.html

Рисунок 8

8. Нажмите «Далее» на странице «Правила порта» (рис. 9).

Рисунок 9

9. Введите имя компьютера, на котором запущено приложение NLB Manager, в текстовом поле «Хост» на странице «Подключение». В этом примере мы запускаем NLB Manager на LOCALISAVPN1. Нажмите кнопку Подключить (рис. 10). Вы увидите список интерфейсов на этом компьютере в интерфейсе, доступном для настройки нового списка кластеров. Нажмите на внешний интерфейс члена массива брандмауэра ISA/VPN. В этом примере внешний интерфейс называется WAN (это имя отображается в окне «Сеть и удаленный доступ к сети» ; мы переименовали интерфейсы, чтобы сделать их более наглядными). Нажмите «Далее».

Рисунок 10

10. Подробная информация об элементе массива NLB отображается на странице Host Parameters (рис. 11).

приоритет

Указывает уникальный идентификатор для каждого хоста.

айпи адрес

Это IP-адрес на внешнем интерфейсе члена массива NLB для трафика, не связанного с кластером (например, доступ по Telnet к определенному узлу в кластере). Введите IP-адрес в стандартной нотации Интернета с точками (например, wxyz). Этот IP-адрес используется для индивидуальной адресации каждого хоста в кластере и, следовательно, должен быть уникальным для каждого хоста.

Маска подсети

Это маска подсети для указанного IP-адреса. Введите маску в стандартной точечной записи Интернета (например, 255.255.255.0).

Состояние по умолчанию

Указывает состояние узла по умолчанию для кластера балансировки сетевой нагрузки при запуске Windows. Выберите вариант Запущено, если хотите, чтобы узел сразу же присоединялся к кластеру при запуске Windows. Выберите параметр «Остановлено», если вы хотите, чтобы этот узел запускался без присоединения к кластеру. Выберите параметр «Приостановлено», если вы хотите, чтобы этот хост запускался без присоединения к кластеру, а вместо этого переходил в состояние «приостановлено».

Сохранять приостановленное состояние после перезагрузки компьютера

Указывает, будет ли узел оставаться в состоянии приостановки при перезапуске Windows, если узел был приостановлен до завершения работы.

Нажмите Готово.

Рисунок 11

11. Подробную информацию о конфигурации массива NLB можно увидеть в области записи журнала в нижней части окна консоли (рис. 12).

Рисунок 12

12. Следующим шагом будет добавление второй машины в массив. Щелкните правой кнопкой мыши имя массива в левой панели консоли Network Load Balancing Manager и выберите команду «Добавить хост в кластер» (рис. 13).

Рисунок 13

13. На странице «Подключение» введите имя компьютера, который вы хотите добавить в массив, в текстовом поле «Хост». В этом примере мы хотим добавить LOCALISAVPN2 в массив NLB (рис. 14). Выберите внешний интерфейс этого второго члена массива в интерфейсе, доступном для настройки списка кластеров. Нажмите «Далее».

Рисунок 14

14. Страница Host Parameters имеет следующие настройки (рисунок 15):

приоритет

Указывает уникальный идентификатор для каждого хоста.

айпи адрес

Это IP-адрес на внешнем интерфейсе члена массива NLB для трафика, не связанного с кластером (например, доступ по Telnet к определенному узлу в кластере). Введите IP-адрес в стандартной нотации Интернета с точками (например, wxyz). Этот IP-адрес используется для индивидуальной адресации каждого хоста в кластере и, следовательно, должен быть уникальным для каждого хоста.

Маска подсети

Это маска подсети для указанного IP-адреса. Введите маску в стандартной точечной записи Интернета (например, 255.255.255.0).

Состояние по умолчанию

Указывает состояние узла по умолчанию для кластера балансировки сетевой нагрузки при запуске Windows. Выберите вариант Запущено, если хотите, чтобы узел сразу же присоединялся к кластеру при запуске Windows. Выберите параметр «Остановлено», если вы хотите, чтобы этот узел запускался без присоединения к кластеру. Выберите параметр «Приостановлено», если вы хотите, чтобы этот хост запускался без присоединения к кластеру, а вместо этого переходил в состояние «приостановлено».

Сохранять приостановленное состояние после перезагрузки компьютера

Указывает, будет ли узел оставаться в состоянии приостановки при перезапуске Windows, если узел был приостановлен до завершения работы.

Нажмите Готово.

Рисунок 15

15. Подробную информацию о конфигурации массива можно просмотреть в области записи журнала в нижней части консоли (рис. 16). Дважды щелкните запись журнала с описанием Обновление 2 выполнено успешно [двойной щелчок для подробностей…].

Рисунок 16

16. Запись журнала содержит подробные сведения, связанные с этой записью (рис. 17). Нажмите «ОК» и закройте консоль «Диспетчер балансировки сетевой нагрузки».

Рисунок 17

Установка ISA Server 2000 на члены массива NLB Windows Server 2003

ISA Server 2000 должен быть установлен на каждом члене массива брандмауэра ISA/VPN. Существуют определенные требования к конфигурации массива. Пожалуйста, обратитесь к моей статье о том, как установить ISA Server 2000 на компьютер с Windows Server 2003.

Запуск мастера ISA Server VPN на членах массива NLB Windows Server 2003

В состав ISA Server 2000 входит мастер VPN-сервера, который включает службу маршрутизации и удаленного доступа и настраивает фильтры пакетов ISA Server, которые разрешают доступ к VPN-клиентам как PPTP, так и L2TP/IPSec. Мастер VPN-сервера ISA Server 2000 выполняет большинство необходимых задач. Однако вам следует настроить параметры, сделанные мастером VPN, в соответствии с требованиями вашей собственной сети.

См. Настройка ISA Server для входящих вызовов VPN для получения инструкций по запуску мастера ISA Server 2000 VPN.

Настройка фильтров пакетов ISA Server 2000 для поддержки адреса массива NLB

Мастер ISA Server 2000 VPN автоматически настраивает фильтры пакетов, которые позволяют VPN-клиентам PPTP и L2TP/IPSec подключаться к вашему брандмауэру ISA/VPN-серверу. Однако эти фильтры пакетов позволяют входящему VPN-клиенту обращаться к основному IP-адресу, связанному с внешними интерфейсами членов массива брандмауэра ISA/VPN-сервера. VIP (виртуальный IP-адрес), используемый службой балансировки сетевой нагрузки Windows Server 2003, не настроен в качестве основного IP-адреса, и эти фильтры пакетов VPN по умолчанию не будут работать.

Вам потребуется изменить эти фильтры пакетов, чтобы они поддерживали подключения к IP-адресу NLB VIP. Выполните следующие шаги для каждого члена массива брандмауэра ISA/VPN:

1. Откройте консоль управления ISA. Разверните узел «Серверы и массивы», затем разверните имя своего сервера. Разверните узел «Политика доступа» и щелкните узел «Фильтры IP-пакетов» (рис. 18). Обратите внимание на то, что в правой панели консоли мастер VPN-сервера ISA Server 2000 создал четыре фильтра пакетов, связанных с VPN. Дважды щелкните фильтр пакетов «Разрешить пакеты протокола PPTP (сервер)».

Рисунок 18

2. Перейдите на вкладку «Локальный компьютер» в диалоговом окне «Разрешить пакеты протокола PPTP (сервер)» (рис. 19). Выберите опцию Внешний IP-адрес этого ISA-сервера и введите IP-адрес виртуального IP-адреса в текстовом поле. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 19

3. Щелкните вкладку «Локальный компьютер» в диалоговом окне «Разрешить пакеты протокола PPTP (клиент)» (рис. 20). Выберите опцию Внешний IP-адрес этого ISA-сервера и введите IP-адрес виртуального IP-адреса в текстовом поле. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 20

4. Щелкните вкладку «Локальный компьютер» в диалоговом окне «Свойства: Разрешить пакеты протокола L2TP» (рис. 21). Выберите опцию Внешний IP-адрес этого ISA-сервера и введите IP-адрес виртуального IP-адреса в текстовом поле. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 21

5. Щелкните вкладку «Локальный компьютер» в диалоговом окне «Разрешить IKE-пакеты протокола L2TP» (рис. 22). Выберите опцию Внешний IP-адрес этого ISA-сервера и введите IP-адрес виртуального IP-адреса в текстовом поле. Нажмите «Применить», а затем нажмите «ОК».

Рисунок 22

Пакетные фильтры вступят в силу через несколько секунд. Вам не нужно перезапускать какую-либо службу ISA Server или сам сервер. Это может занять больше времени, если сервер очень загружен. Вы можете заставить фильтры пакетов работать немедленно, если перезапустите службу брандмауэра.

Массив брандмауэра ISA/VPN-сервера теперь готов принимать входящие клиентские соединения PPTP и L2TP/IPSec VPN. Входящие запросы будут равномерно распределены между всеми членами массива NLB. Если член массива отключится, пока подключен VPN-клиент, пользователь, использующий VPN, увидит, что соединение не установлено. Когда пользователь повторно подключается (или когда программное обеспечение VPN-клиента автоматически повторно набирает номер), устанавливается новое VPN-подключение к другому члену массива на том же виртуальном IP-адресе.

Вывод

С введением службы NLB в Windows Server 2003 мы видим реализацию обещания реального переключения при сбое и балансировки нагрузки для клиентов PPTP и L2TP/IPSec на машинах с программным обеспечением брандмауэра ISA Server 2000. Были некоторые серьезные проблемы, которые мешали вам использовать все преимущества NLB для VPN-подключений в Windows 2000. Эти ограничения были полностью сняты в Windows Server 2003. Я искренне рекомендую вам попробовать массив NLB Windows Server 2003, работающий под управлением брандмауэра ISA/VPN. серверные машины. Я думаю, вы будете впечатлены!

Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, перейдите на

http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001639#000000 и опубликуйте сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том