Архив

Posts Tagged ‘ISP Redundancy’

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 2 : ISP Load Balancing – обеспечение балансировки нагрузки


TMG2010

В предыдущем посте по избыточности поставщиков услуг Интернет я рассмотрел настройку Forefront TMG 2010 для обеспечения отказоустойчивости линков. В этом посте я продолжу тему настройки  избыточности поставщиков услуг Интернет и рассмотрю как настроить второй режим избыточности – балансировку нагрузки (ISP Load Balancing), для чего: 

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункт “Сети” (Networks), переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-14-21-05-42

2. Выбираем режим избыточности Load Balancing with failover capability:

forefront-tmg-2011-03-14-21-05-56

3. Далее необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-14-21-06-15

4. Проверяем сетевые параметры подключения к первому ISP-провайдеру, при необходимости изменяем. Как и в предыдущем посте напоминаю, что все сделанные изменения будут применены к настройкам сетевого адаптера, привязанного к этому подключению:

forefront-tmg-2011-03-14-21-06-36

5. Далее необходимо остановиться на следующем: иногда есть необходимость пропуска трафика к каким-либо узлам/подсетям/диапазонам адресов именно через определенный канал (определенный ISP-провайдер). В таком случае необходимо в следующем окне добавить соответственно IP-адрес(а) узла/подсети/диапазона адресов:   я приведу пример на узле, т.е. добавлю IP-адрес сервера времени ISP-провайдера: 

forefront-tmg-2011-03-14-21-07-05

Далее нажимаем New

forefront-tmg-2011-03-14-21-07-59

и из меню выбираем Computer:

forefront-tmg-2011-03-14-21-08-23

В появившемся диалоговом окне вводим понятное обозначение для этого узла и его IP-адрес:

forefront-tmg-2011-03-14-21-09-22

Далее нажимаем Добавить (Add):

forefront-tmg-2011-03-14-21-09-36

Как Вы могли заметить в перечне есть один узел, который добавляется всегда по умолчанию – это адрес DNS-сервера ISP-провайдера на текущем линке. Мы добавили для этого подключения еще один узел (в данном случае для демонстрации — это не всегда нужно в реальности). Нажимаем далее для продолжения:

forefront-tmg-2011-03-14-21-09-43

6. Для второго линка (второго ISP-провайдера) выполняем аналогичные действия как и для первого:

forefront-tmg-2011-03-14-21-09-59

проверяем настройки:

forefront-tmg-2011-03-14-21-10-10

и нажимаем Далее (Next) – для этого подключения кроме адреса DNS-сервера провайдера мы не будем добавлять выделенных узлов (Dedicated Servers):

forefront-tmg-2011-03-14-21-10-14

7. Теперь осталось сделать заключительное действие – правильно распределить нагрузку на каналы:

forefront-tmg-2011-03-14-21-10-20

Для равномерной нагрузки необходимо ползунок установить посредине (50/50). Тут также стоить не забывать о том, что каналы к ISP-провайдерам могут быть не одинаковые по скорости, а также разные по стоимости оплаты трафика. Вообще все это зависит от конкретной ситуации, поэтому как распределить нагрузку между линками решать Вам.

8. Для завершения конфигурации нажимаем Finish:

forefront-tmg-2011-03-14-21-10-31

9. Применяем наши настройки (Apply):

forefront-tmg-2011-03-14-21-11-05

можно добавить описание наших действий:

forefront-tmg-2011-03-14-21-11-10

Вот и все – балансировка нагрузка между двумя каналами ISP завершена:

forefront-tmg-2011-03-14-21-11-29

Еще хотел упомянуть момент о том, что если для линков IP-адреса  назначаются  динамически, то необходимо добавить вручную маршруты до шлюзов по умолчанию для каждого из подключений. Это можно сделать как я рассказывал в предыдущем посте или через графический интерфейс:  

forefront-tmg-2011-03-14-21-22-23

На этом пока все.

Реклама

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 1 : ISP Failover – обеспечение отказоустойчивости


TMG2010Доступность IT-сервисов является очень важным моментом в  работе IT-инфраструктуры любого предприятия, тем более теперь, когда от работы IT-инфраструктуры зависят бизнес-процессы.  Не исключением из этого правила является работа Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) в качестве точке взаимоподключения корпоративной сети предприятия и сети Интернет. При наличии двух независимых подключений к сети Интернет на узле Forefront TMG 2010, возможно их использовать для:

1. Обеспечения отказоустойчивости (ISP Failover) – при “падении” одного из линков траффик будет перенаправляться через второй линк;
2. Обеспечения балансировки нагрузки (ISP Load Balancing) на узле Forefront TMG 2010.

В этом посте я постараюсь описать как сконфигурировать Forefront TMG 2010 с использованием двух подключений к сети Интернет для первого варианта – обеспечения отказоустойчивости.

В режиме обеспечения отказоустойчивости для соединения с Интернет активным является один из двух ISP-линков.

Для начала расскажу немного теории, а именно при каких условиях Forefront TMG 2010 считает, что основной линк “упал”:   

TMG 2010 проверяет “доступность”  линка путем опроса корневых DNS-серверов по протоколу  UDP через порт 53. TMG 2010  опрашивает эти DNS-сервера каждые 60 секунд. Несколько корневых серверов опрашиваются последовательно (при каждой попытке опрашивается один из корневых DNS-серверов) чтобы определить, есть ли какие-либо  проблемы с подключением к определенному из корневых серверов DNS. Если несколько корневых DNS-серверов не отвечают на запросы с первого раза, TMG 2010 повторяет попытки соединения еще 2 раза (всего 3 попытки соединения с учетом первой) с интервалом в 60 секунд между каждой из попыток. Если и эти попытки соединения не увенчались успехом, Forefront TMG 2010 переключается на резервный линк и пропускает клиентский трафик через него.  После переключения TMG 2010 с основного линка на резервный, TMG будет тестировать доступность основного линка каждые 300 секунд. Как только основной линк станет доступным (первая попытка соединения будет успешной), TMG 2010 будет опрашивать основной линк еще 2 раза с интервалом  в 60 секунд и если на все 3 попытки опроса будет положительный ответ, то TMG 2010 пометит основной канал как доступным и будет его использовать для пропуска клиентского трафика.

Сразу отвечу на один из возможных вопросов : значения по умолчанию интервала опроса линков и количества попыток соединения в TMG 2010 не настраиваются через графический интерфейс, а конфигурируются через изменения в настройках COM-объекта ISPPredundancyConfig .

Необходимо еще отметить некоторые ограничения в ISP-избыточности, в частности:

  • Сетевые ISP-подключения,  должны   существовать  только  в стандартной внешней
    сети (default external network);
  • Каждое ISP-подключение должно иметь уникальные адреса IP-подсети и использовать уникальный шлюз по умолчанию. На этом нюансе необходимо остановиться детальнее: операционная система Windows не поддерживает несколько шлюзов по умолчанию для линков с динамически назначаемыми IP-адресами. Т.е., если первый и второй провайдер выдают для подключений IP-адреса по DHCP на основном и резервном линках, то Windows добавит только один шлюз по умолчанию в таблицу маршрутизации, в связи с чем второй необходимо добавить самостоятельно  с помощью команды route –p add.  Рекомендуется  добавить  маршруты по умолчанию на первый и второй шлюзы провайдеров вручную перед включением ISP-избыточности в TMG 2010  следующими командами
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE1;
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE2,
    где IPGATE1 и IPGATE2 – IP-адреса шлюзов ISP-провайдеров.
  • ISP-избыточность поддерживает только  два соединений с поставщиком услуг Интернет;
  • Поддерживается только NAT и Web proxy трафик;
  • Все сетевые адаптеры всех членов массива TMG должны иметь одинаковые настройки таких параметров как checksum offloading settings. Желательно использовать одинаковые сетевые адаптеры для предотвращения несовместимости.

Теперь перейдем непосредственно к практике настройки отказоустойчивости Интернет-соединения (ISP Failover):

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункту “Сети” (Networks),переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-12-23-27-46
Откроется мастер конфигурации ISP-избыточности, нажимаем Next для продолжения:

forefront-tmg-2011-03-12-23-28-24
2.  Выбираем один из видов ISP-избыточности -  ISP Failover или ISP Load Balancing:

forefront-tmg-2011-03-12-23-28-30

в нашем случае выбираем ISP Failover и нажимаем Next:

forefront-tmg-2011-03-12-23-28-38
3. Теперь необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-12-23-28-54

Нажимаем Next: 

forefront-tmg-2011-03-12-23-44-05

4. В следующем окне будет предложено проверить существующую конфигурацию подключения к первому ISP-провайдеру и, при необходимости, внести соответствующие изменения. Хочется отметить, что внесенные в этом диалоговом окне изменения, будут применены к соответствующему сетевому адаптеру.

После проверки и, при надобности, внесения изменений нажимаем Next:

forefront-tmg-2011-03-12-23-44-21

5. Аналогичные действия делаем для подключения ко второму ISP-провайдеру:

forefront-tmg-2011-03-12-23-44-36

Проверяем конфигурацию:

forefront-tmg-2011-03-12-23-44-47

6. Теперь необходимо выбрать какой из линков будет основным, для примера я выбрал первый (ISP1):

forefront-tmg-2011-03-12-23-44-56

7. Для окончания настройки нажимаем Finish:

forefront-tmg-2011-03-12-23-45-04

Для применения конфигурации необходимо нажать Apply:

forefront-tmg-2011-03-12-23-45-26

Нажимаем Применить (Apply):

forefront-tmg-2011-03-12-23-45-35

Нажимаем для завершения OK:

forefront-tmg-2011-03-12-23-45-48

После всех наших настроек в консоли управления Forefront TMG 2010 мы можем увидеть перечень сконфигурированных линков их конфигурацию и роль:

forefront-tmg-2011-03-13-00-32-03

На этом конфигурация отказоустойчивости подключения к Интернет закончено. Думаю ничего сложного не было, Smile

%d такие блоггеры, как: