首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > ForeFront TMG > TMG-通用 > Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
现在时间是: 2018-11-17 18:40
Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)

(2009-12-20 19:09)
来源:ISA中文站

Forefront TMG 新特性之

ISP 冗余传输链路(ISP-R)

 

王者再现 - Forefront TMG 新特性介绍一文中,我给大家介绍了在 Forefront TMG 中,新增了ISP 冗余传输链路功能:在 TMG 中,你可以同时使用两条活动的外部链路,使用模式分为以下两种:

  • 故障转移模式:在主要链路工作正常的情况下,所有的流量都通过主要链路进行,只有当主要链路出现故障的时候,才将所有的流量转移到被动链路上;

  • 负载均衡模式:这种模式下,所有的链路都作为活动链路,按照用户定义的比例来分担访问流量。

其实在 Windows Server 2008 / 2008 R2 中,在 TCP/IP 路由架构层面,仍然和过去的版本一样,针对相同的目的地,在同一时刻只能使用一个默认网关。在这种情况下,是不能通过 Windows 底层的 TCP/IP 自身实现多路由的并行使用。在 Forefront TMG 中,ISP 冗余传输链路是通过 TMG 防火墙核心组件实现的强制路由选择,并且,要实现这一功能,需要满足以下条件:

  • 两条活动的外部链路分别位于不同的子网,并且具有不同的默认网关;另外,你需要在 Windows 系统中同时配置这些默认网关。你可以在单网卡上同时设置这两个外部链路,但是 这种配置不推荐;

  • 这两条外部链路均属于 TMG 中默认的外部网络;

  • ISP-R 功能仅对 NAT 流量有效。因此对于来自 TMG 本地主机的流量,不会进行 ISP-R 路由选择处理。在此需要特别注意 TMG 本地主机到 DNS 服务器的访问,如果你同时在多个网卡上配置了 DNS 服务器(例如在不同的链路上分别配置有不同的 DNS 服务器),那么可能会出现访问链路1上的 DNS 服务器通过链路2进行的 情况。在这种情况下,最好在 TMG 中创建静态路由,让访问不同 DNS 服务器的流量固定从对应的链路进行。

  • 需要注意的是,网络规则比 ISP-R 具有更高的优先级。因此如果在网络规则中要求从链路1进行访问,那么如果链路1出现故障,该网络规则所对应的流量仍然不会通过链路2进行。

  • 另外,为了避免潜在的网络路由选择故障,建议对两个默认网关设置不同的度量值,该度量值可以在网卡的TCP/IP高级属性中进行修改。

在默认情况下,对于这两条链路状态的验证,是分别通过这两条链路对Internet上的根提示服务器列表轮流发送 TCP 53 端口的连接请求来实现。默认情况下,每60秒进行一次验证,如果连续3次无法成功建立 TCP 连接,则认为该链路失败;当某条链路失败后,会在暂停5分钟后再次按照每60秒发送一次连接请求进行验证,如果连续3次都能建立 TCP 连接,则认为该链路恢复正常,TMG 将恢复对该链路的使用。

关于链路状态验证所使用的服务器地址、端口和间隔,可以参考这篇文章进行修改。其实这个地方还有我的一点小功劳:),在最开始的时候,Forefront TMG 产品组并没有计划允许用户自定义链路验证所使用的方式。后来我认为这个特性非常重要,因此在 TMG Beta 2 的时候给产品组发了一封邮件,从用户的角度强调这个功能的重要性,于是在 TMG RC 版本中就加入了这个自定义功能。

在满足上述条件的前提下,配置 ISP-R 其实是一件很容易的事情:

我所使用的测试环境中的 Forefront TMG 网络配置如下图所示,两块外部网卡的IP/默认网关分别为 36.1.1.2/36.1.1.1和61.1.1.2/61.1.1.1。这两块网卡均位于默认的外部网卡,在 Forefront TMG 的内部网络地址定义中只包括 10.1.1.0/24 网段。



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] 下一页>>
上一篇:Forefront TMG 新特性之 HTTPS 扫描
下一篇:Forefront TMG 新特性之 增强 NAT 功能
相关信息:

Forefront TMG 新特性之 HTTPS 扫描
微软大中华区安全组文章合集 - URL 类别覆盖
[重要] TMG 防火墙客户端远程执行漏洞(MS11-040安全公告)
王者再现 - Forefront TMG 新特性介绍(修改版)
微软大中华区安全组文章合集 - MSN登录与网络适配器错误

热点信息 TOP 10
王者再现 - Forefront TMG 新特性介绍(修改版)
Forefront TMG 新特性之 HTTPS 扫描
Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
Forefront TMG 新特性之 HTTP 非法软件扫描
Forefront TMG 新特性之 增强 NAT 功能
Forefront TMG SP2 发布!
Forefront TMG 2010 相关工具和SDK下载
Forefront TMG SP2 Rollup 2 发布
Forefront TMG SP1 发布!
Forefront TMG SP1 软件更新2 发布

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..