[技术分享 – TMG 篇] TMG 为 ISP 连接系上双保险
目前,越来越多的业务依赖于 ISP 来处理 Internet 的访问,发邮件,上网等,这些业务依赖于 ISP 线路的高可用性。保持一个稳定的,可用的,可靠的 ISP 连接对每个网管员来说,都是极其重要的任务。
Forefront TMG 提供了一个以往 ISA 没有的重要特性: ISP 冗余链路,TMG 可以同时支持两条 ISP 链路。拥有两种冗余模式:
Load balancing with failover capability: 网络流量分布在两条链路上,如果一条链路断开或者没有响应,所有的流量会定向到另外一条。
Failover only: 两条链路中的一条会作为主链路,处理所有网络流量,如果主链路不可用,所有流量会由备用的链路处理。
如下图所示:
http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image002_thumb.jpg
对于 Load balancing with failover capability 模式,您可以选择 ISP 冗余负载比例。
http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image004_2.jpg
对于 Failover only 模式,您需要选择哪条链路是主用链路。
http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image006_thumb.jpg
一般来说为了避免外网卡上指定的外部 DNS 解析的问题,我们推荐不设置任何外网卡的 DNS 服务器,而只在 TMG 内网卡上设置内部 DNS 服务器。
如果您在两块外部网卡上分别指定了外部 DNS 服务器,那么可能会出现访问链路1上的 DNS 服务器会通过链路2进行,这时您必须要对每个 DNS 服务器的解析增加静态路由,因为 ISP 冗余功能仅对 NAT 流量有效,对于来自 TMG 本地主机的流量,不会进行 ISP 冗余选择处理。
http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image007_2.jpg
在部署 TMG 的 ISP 冗余前,您需要注意一下以下问题。
在源网络和目标网络之间的关系必须是 NAT 的关系,如果是路由的关系,则无法应用ISP冗余的功能。 TMG 本机到任何网络的流量不会有 ISP 冗余,因为 TMG 本机到任何网络的关系一定是路由关系。
每条 ISP 链路必须连到不同的网段的网关上,同时 TMG 的外部 IP 地址也必须属于不同的网段。
TMG 外部网卡不能启用 DHCP 的方式来获取 IP 地址,家庭用户使用 ADSL 拨号不支持 TMG 的 ISP 冗余。
James Yi
微软安全支持专家
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/MSSecurity/archive/2010/03/15/5381370.aspx
页:
[1]