Главная > ForeFront Threat Management Gateway > Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 1 : ISP Failover – обеспечение отказоустойчивости

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 1 : ISP Failover – обеспечение отказоустойчивости


TMG2010Доступность IT-сервисов является очень важным моментом в  работе IT-инфраструктуры любого предприятия, тем более теперь, когда от работы IT-инфраструктуры зависят бизнес-процессы.  Не исключением из этого правила является работа Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) в качестве точке взаимоподключения корпоративной сети предприятия и сети Интернет. При наличии двух независимых подключений к сети Интернет на узле Forefront TMG 2010, возможно их использовать для:

1. Обеспечения отказоустойчивости (ISP Failover) – при “падении” одного из линков траффик будет перенаправляться через второй линк;
2. Обеспечения балансировки нагрузки (ISP Load Balancing) на узле Forefront TMG 2010.

В этом посте я постараюсь описать как сконфигурировать Forefront TMG 2010 с использованием двух подключений к сети Интернет для первого варианта – обеспечения отказоустойчивости.

В режиме обеспечения отказоустойчивости для соединения с Интернет активным является один из двух ISP-линков.

Для начала расскажу немного теории, а именно при каких условиях Forefront TMG 2010 считает, что основной линк “упал”:   

TMG 2010 проверяет “доступность”  линка путем опроса корневых DNS-серверов по протоколу  UDP через порт 53. TMG 2010  опрашивает эти DNS-сервера каждые 60 секунд. Несколько корневых серверов опрашиваются последовательно (при каждой попытке опрашивается один из корневых DNS-серверов) чтобы определить, есть ли какие-либо  проблемы с подключением к определенному из корневых серверов DNS. Если несколько корневых DNS-серверов не отвечают на запросы с первого раза, TMG 2010 повторяет попытки соединения еще 2 раза (всего 3 попытки соединения с учетом первой) с интервалом в 60 секунд между каждой из попыток. Если и эти попытки соединения не увенчались успехом, Forefront TMG 2010 переключается на резервный линк и пропускает клиентский трафик через него.  После переключения TMG 2010 с основного линка на резервный, TMG будет тестировать доступность основного линка каждые 300 секунд. Как только основной линк станет доступным (первая попытка соединения будет успешной), TMG 2010 будет опрашивать основной линк еще 2 раза с интервалом  в 60 секунд и если на все 3 попытки опроса будет положительный ответ, то TMG 2010 пометит основной канал как доступным и будет его использовать для пропуска клиентского трафика.

Сразу отвечу на один из возможных вопросов : значения по умолчанию интервала опроса линков и количества попыток соединения в TMG 2010 не настраиваются через графический интерфейс, а конфигурируются через изменения в настройках COM-объекта ISPPredundancyConfig .

Необходимо еще отметить некоторые ограничения в ISP-избыточности, в частности:

  • Сетевые ISP-подключения,  должны   существовать  только  в стандартной внешней
    сети (default external network);
  • Каждое ISP-подключение должно иметь уникальные адреса IP-подсети и использовать уникальный шлюз по умолчанию. На этом нюансе необходимо остановиться детальнее: операционная система Windows не поддерживает несколько шлюзов по умолчанию для линков с динамически назначаемыми IP-адресами. Т.е., если первый и второй провайдер выдают для подключений IP-адреса по DHCP на основном и резервном линках, то Windows добавит только один шлюз по умолчанию в таблицу маршрутизации, в связи с чем второй необходимо добавить самостоятельно  с помощью команды route –p add.  Рекомендуется  добавить  маршруты по умолчанию на первый и второй шлюзы провайдеров вручную перед включением ISP-избыточности в TMG 2010  следующими командами
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE1;
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE2,
    где IPGATE1 и IPGATE2 – IP-адреса шлюзов ISP-провайдеров.
  • ISP-избыточность поддерживает только  два соединений с поставщиком услуг Интернет;
  • Поддерживается только NAT и Web proxy трафик;
  • Все сетевые адаптеры всех членов массива TMG должны иметь одинаковые настройки таких параметров как checksum offloading settings. Желательно использовать одинаковые сетевые адаптеры для предотвращения несовместимости.

Теперь перейдем непосредственно к практике настройки отказоустойчивости Интернет-соединения (ISP Failover):

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункту “Сети” (Networks),переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-12-23-27-46
Откроется мастер конфигурации ISP-избыточности, нажимаем Next для продолжения:

forefront-tmg-2011-03-12-23-28-24
2.  Выбираем один из видов ISP-избыточности -  ISP Failover или ISP Load Balancing:

forefront-tmg-2011-03-12-23-28-30

в нашем случае выбираем ISP Failover и нажимаем Next:

forefront-tmg-2011-03-12-23-28-38
3. Теперь необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-12-23-28-54

Нажимаем Next: 

forefront-tmg-2011-03-12-23-44-05

4. В следующем окне будет предложено проверить существующую конфигурацию подключения к первому ISP-провайдеру и, при необходимости, внести соответствующие изменения. Хочется отметить, что внесенные в этом диалоговом окне изменения, будут применены к соответствующему сетевому адаптеру.

После проверки и, при надобности, внесения изменений нажимаем Next:

forefront-tmg-2011-03-12-23-44-21

5. Аналогичные действия делаем для подключения ко второму ISP-провайдеру:

forefront-tmg-2011-03-12-23-44-36

Проверяем конфигурацию:

forefront-tmg-2011-03-12-23-44-47

6. Теперь необходимо выбрать какой из линков будет основным, для примера я выбрал первый (ISP1):

forefront-tmg-2011-03-12-23-44-56

7. Для окончания настройки нажимаем Finish:

forefront-tmg-2011-03-12-23-45-04

Для применения конфигурации необходимо нажать Apply:

forefront-tmg-2011-03-12-23-45-26

Нажимаем Применить (Apply):

forefront-tmg-2011-03-12-23-45-35

Нажимаем для завершения OK:

forefront-tmg-2011-03-12-23-45-48

После всех наших настроек в консоли управления Forefront TMG 2010 мы можем увидеть перечень сконфигурированных линков их конфигурацию и роль:

forefront-tmg-2011-03-13-00-32-03

На этом конфигурация отказоустойчивости подключения к Интернет закончено. Думаю ничего сложного не было, Smile

Реклама
  1. 29.12.2011 в 08:28

    Олег, добрый день!

    Подскажите, пожалуйста, все таки как изменить COM-объект ISPPredundancyConfig, для уменьшения интервала опроса линков и количества попыток соединения?

    Спасибо!

  2. 29.12.2011 в 13:45

    Для ответа на свой вопрос посмотрите вот эту статью http://blogs.technet.com/b/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx

  3. 30.12.2011 в 05:49

    Спасибо, обязательно попробую.

  4. 29.03.2012 в 21:16

    Добрый день.
    А не подскажите как быть с соединением vpn site-to-site?
    Есть ли возможность на противоположном TMG настроить оба внешних IP сервера с ISP?

  1. No trackbacks yet.

Добавить комментарий

Please log in using one of these methods to post your comment:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: