【IT168专稿】TMG长期以来一直为众多ISA防火墙管理员所期盼的新功能之一就是能够支持多个外部网络连接。现在,ISP冗余(ISP Redundancy,ISP-R)提供了这一功能。利用其对两个或多个独立的ISP的支持,可以为互联网或广域网连接提供冗余容错功能。本文将详细探讨ISP-R的功能以及各种不同的操作模式,介绍负载平衡算法和死链接的检测过程。此外,还将讨论在不同的环境中设计和实施ISP-R时,如何选取各种部署方案。
工作模式
TMG中的ISP-R有两种工作模式:负载均衡和故障转移。在负载均衡模式下,两个外部网络连接之间的流量均匀(默认状态)或不均匀(需由管理员配置)地分配。如果其中任何一个外部连接出现故障,所有的通信将发送到其它的可用连接。在故障转移模式下,一个外部网络被配置为主连接,另一个则作为备用连接。所有通信都发送到主连接。如果主连接出现故障,所有的通信流量将转往备用连接。一旦主连接再次可用,所有的通信流量则重新发送到主连接。
准备网络接口
ISP-R仅支持两个外部网络连接,并且每个连接必须位于一个独立子网。为正确操作并使性能得到优化,两个外部网络接口应该配置相同。理想状态下,网络接口卡应配置为相同的模式。
分别为每个网络接口选取一个描述性名称(如External_Sprint和External_Verizon)。为第一个外部网络连接指定IP地址、子网掩码及默认网关。如果TMG防火墙不是域成员,并且不与任何名称的内部网络资源通信,那么用户可以在这里指定ISP的DNS服务器。如果TMG防火墙是某个域的成员,则不需在这里指定ISP的DNS服务器(内部DNS服务器仅能在内部网络界面进行配置)。完成后,单击“高级...”按钮。
图1
取消选中“自动度量值”(Automatic metric),在“接口度量值” (Interface metric)框里输入 “1”。
图2
重复以上步骤配置第二个外部网络接口,将接口度量值设置为2。一般情况下,不推荐在第二个外部接口配置“默认网关”(default gateway)选项。如果尝试这样做,Windows会出现如图3所示的警告信息。
图3
如果ISP使用DHCP进行地址分配,将无法配置多个默认网关。在这种情况下,可以在配置ISP-R之前创建默认的永久静态路由。本文示例中,路由配置方法如下:
route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46
route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214
配置ISP冗余
网络接口配置完成后,打开管理控制台,导航至“网络”节点,然后选择“ISP冗余”选项卡。
在“任务”面板,点击“配置ISP冗余”(Configure ISP Redundancy)。
图4
接下来,根据需求选择ISP冗余模式。本文示例选取默认选项“附带故障转移功能的负载均衡”(Load balancing with failover capability)。
图5
指定ISP连接名称,从下拉列表中选择网络适配器。
图6
确认网关地址和子网掩码,确保其正确。如果TMG防火墙不是域成员,并且不与任何名称的内部网络资源通信,那么用户可以在这里指定ISP的DNS服务器。如果TMG防火墙是某个域的成员,则不需在这里指定ISP的DNS服务器(内部DNS服务器仅能在内部网络接口配置)。
在某些情况下,外部服务器只能通过特定的外部链接访问,ISP的DNS服务器或邮件服务器可能就是这样的特例。如果有必要,在这里输入这些服务器。用户可以指定特定计算机、计算机组或地址范围。
对第二个外部网络连接重复上述步骤,然后通过相应的移动滑块选择分配比例。如果这两个外部链接具有相同的带宽,可以将这个值设置为50%。如果一个外部链接的带宽超过另一个,就将这个链接配置为接收更大比例的流量。
图7
点击“完成”结束ISP-R配置。
如果已在外部网络界面配置DNS服务器,务必要创建相应的永久静态路由,以确保对这些资源的请求通过正确的网络接口路由。
图8
本文示例中,路由配置如下:
route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46
route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214
配置完成后,TMG管理控制台将显示每个ISP连接的信息以及当前配置的冗余模式。
图9
配置完ISP-R后,如要更改某个特定ISP链接的配置,可以右键单击连接,然后选择“属性”。
在这里,可以更改连接的名称、IP地址/子网掩码信息,启用或禁用该链接,修改负载均衡的比例,添加、改变或移除专用服务器。
图10
更改ISP-R工作模式
本文示例中,将ISP-R的工作模式配置为负载均衡。如要更改ISP-R的工作模式,在“任务”面板中点击“将ISP冗余模式更改为故障转移”(Change ISP Redundancy Mode to Failover)即完成更改。
从负载均衡模式转变为故障转移模式时,务必要编辑连接属性并为连接选择适当的“连接角色”。切记:在故障转移模式下,所有流量将通过主外部连接发送,而备用连接仅在主连接不可用时使用。
图11
监测ISP-R状态
要查看每个ISP连接的状态,在控制台中导航至“Dashboard”操作面板。
“网络状态”(Network Status)框中将显示每个ISP链接的状态。
图12
如果某个链接不可用,连接状态将显示告警信息。
另外,在“报警”标签页下还可以看到“连接不可用”(Connections Unavailable)的报警信息。
图13
当连接重新上线时,TMG将发出一个提示信息,通知管理员该连接再次可用。
图14
ISP-R的特定报警信息有许多种,用以将外部网络连接的状态和健康情况通知TMG防火墙管理员。
图15
负载均衡和死链接检测
ISP-R对网络流量进行分布而不是加载,将流量分发到哪一个外部网络接口通过对源IP地址和目标IP地址执行一个哈希算法决定,每个出站连接都要进行这种哈希计算。计算的结果是介于0和100之间的一个数字。如果这个数字小于分配给第一个ISP连接的比例,TMG将使用此外部网络连接。反之,TMG将使用另一个连接。这种做法保证了会话亲和性(Session Affinity)—针对某个特定的源/目标地址对的所有连接将通过相同的外部网络接口发送。
为确定某个特定ISP连接的可用性,TMG在TCP 53端口通过轮询从13个互联网DNS根服务器(Root DNS Servers)中随机选取一个进行死链接监测(dead link detection)。如果选定的根DNS服务器响应,TMG即认为该连接可用。如果没有响应,TMG将在一分钟的间隔后轮询其他根DNS服务器。如果连续三次尝试后没有收到应答,TMG就认为该连接不可用,并且发出警告。一旦TMG将连接标记为不可用,将会在等待5分钟之后尝试再次轮询。TMG收到回应后,间隔一分钟的时间再次轮询。当连续收到三个应答之后,TMG将该连接标记为可用。
部署环境
ISP-R的工作模式主要受互联网或广域网连接类型的影响。例如,如果用户有两个带宽类似的互联网连接,负载均衡模式是一个不错的选择。如果两个连接的带宽有高有低,则选择故障转移模式更为合适。虽然这一技术被称为“ISP冗余”,但它并不只局限于互联网连接。ISP-R也可用于为分支机构与总部之间的广域网连接提供负载均衡和故障转移。
其他注意事项
设计和部署ISP-R时,还有一些事项应该加以注意:
•仅在网络地址转换时生效 :ISP-R仅为从TMG保护的网络向默认外部网络发送的流量提供负载均衡和故障转移,并且只有当网络关系配置为网络地址转换(NAT)时才起作用。如果本地主机网络与外部网络之间的关系网络配置为“路由”,来自TMG防火墙本身的流量不会由ISP-R来处理,因此ISP-R将无法工作。
•E-NAT优先于ISP-R:由于流量需由利用E-NAT (Enhanced NAT,增强型NAT)配置的网络规则来处理,因此E-NAT有更高的优先级别,它将覆盖ISP-R的路由任务。
•负载均衡的效果并不完美:ISP-R的负载均衡机制并不能完美地分发流量。由于各个连接将流量进行分发而不是加载,因此分发的比例会呈不对称状态,某些连接可能会比其他连接消耗更多的带宽。
前文中已经提到,TMG将通过随机询问互联网根DNS服务器的方式来验证连接是否可用。如果利用ISP-R为分支机构的广域网连接提供负载均衡或故障转移,可能运用默认的死链接检测机制并不恰当。例如,将TMG防火墙配置为在分支机构与总部之间进行流量网络地址转换时,如果总部互联网连接不可用,TMG则认为上述分支机构和总部的广域网连接都不可用,而事实并非如此。
在某些情况下,分支机构的TMG防火墙可能无法直接连接到互联网,这将使得TMG不能轮询互联网根DNS服务器。在这种情况下,直接轮询位于广域网连接另一端的服务是更优方案。
结语
TMG的ISP冗余是一个为外部网络连接提供容错和冗余的新功能,尤其是在部署边缘防火墙或为分支机构提供广域网连接的环境中。负载均衡和故障转移的工作模式提供了更为灵活的配置选项,以符合外部网络配置,详细的警示功能为TMG防火墙管理员随时了解外部网络的连接状态提供了便利。