資源描述:
《ISA負(fù)載均衡配置》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)����。
1、實(shí)現(xiàn)ISA防火墻網(wǎng)絡(luò)負(fù)載均衡的故障轉(zhuǎn)移在部署了網(wǎng)絡(luò)負(fù)載均衡(NLB)的網(wǎng)絡(luò)中�����,當(dāng)某個(gè)客戶針對(duì)NLB虛擬地址發(fā)起連接請(qǐng)求時(shí)���,NLB通過(guò)某種NLB算法來(lái)確定(通常是根據(jù)發(fā)起請(qǐng)求的客戶端源地址來(lái)決定)為客戶服務(wù)的NLB節(jié)點(diǎn)���。在NLB節(jié)點(diǎn)沒(méi)有變動(dòng)之前,對(duì)于某個(gè)客戶��,將總是由某個(gè)對(duì)應(yīng)的NLB節(jié)點(diǎn)為它提供服務(wù)��。ISA防火墻企業(yè)版中的集成NLB依賴于Windows服務(wù)器系統(tǒng)的NLB服務(wù)�,對(duì)于客戶發(fā)起的請(qǐng)求����,也是采用相同的方式進(jìn)行處理。例如�,對(duì)于一個(gè)具有三個(gè)NLB節(jié)點(diǎn)(ISA1、ISA2���、ISA3)的ISA防火墻NLB陣列�,當(dāng)一個(gè)客戶(10.1.1.1)發(fā)起連接請(qǐng)求
2�����、時(shí)��,NLB通過(guò)NLB算法確定由ISA1為此客戶服務(wù)�;而當(dāng)另外一個(gè)客戶(10.1.1.2)發(fā)起連接時(shí)��,NLB通過(guò)NLB算法確定由ISA2為此客戶服務(wù)����。在NLB節(jié)點(diǎn)沒(méi)有變動(dòng)時(shí)�����,客戶10.1.1.1的連接請(qǐng)求將會(huì)始終通過(guò)NLB節(jié)點(diǎn)ISA1來(lái)進(jìn)行處理����;而客戶10.1.1.2的連接請(qǐng)求則會(huì)始終通過(guò)NLB節(jié)點(diǎn)ISA2來(lái)進(jìn)行處理。當(dāng)某個(gè)NLB節(jié)點(diǎn)出現(xiàn)故障時(shí)��,NLB將在所有節(jié)點(diǎn)上重新進(jìn)行匯聚,并重新根據(jù)NLB算法來(lái)確定為客戶提供服務(wù)的NLB節(jié)點(diǎn)��。例如�,此時(shí)ISA1節(jié)點(diǎn)出現(xiàn)故障�����,無(wú)法再提供NLB服務(wù)��;則NLB重新進(jìn)行匯聚����,如果客戶10.1.1.1再發(fā)起連接請(qǐng)求,則就是
3����、ISA2或者ISA3來(lái)為它進(jìn)行服務(wù)。當(dāng)NLB節(jié)點(diǎn)失效時(shí)�,NLB可以讓其他NLB節(jié)點(diǎn)來(lái)為客戶提供服務(wù)。但是���,如果NLB節(jié)點(diǎn)的NLB服務(wù)沒(méi)有失效但是所提供的其他服務(wù)失效時(shí)����,怎么辦呢?如下圖所示����,兩臺(tái)ISA防火墻屬于相同的NLB陣列,分別通過(guò)不同的外部鏈路連接到Internet���,并且對(duì)內(nèi)部網(wǎng)絡(luò)提供NLB服務(wù)���。兩臺(tái)ISA防火墻允許內(nèi)部網(wǎng)絡(luò)中的用戶通過(guò)自己來(lái)訪問(wèn)外部網(wǎng)絡(luò),正在為不同的客戶提供服務(wù)�����;如果此時(shí)�����,ISA1上的外部鏈路突然斷開(kāi)���,會(huì)出現(xiàn)什么情況呢?此時(shí)�����,由于ISA1上的NLB服務(wù)并沒(méi)有出現(xiàn)故障���,所以NLB會(huì)認(rèn)為ISA1仍然是有效的NLB節(jié)點(diǎn)�,并且同樣會(huì)分
4���、配客戶給它����。但是��,由于外部鏈路斷開(kāi)���,ISA1所服務(wù)的客戶卻不能再連接到Internet了。這當(dāng)然就不能有效的實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡中的容錯(cuò)特性����。那么,出現(xiàn)這種情況時(shí)���,該怎么辦呢���?答案很簡(jiǎn)單����,當(dāng)出現(xiàn)這種情況時(shí)�,停止ISA1上的NLB服務(wù),這樣�,NLB會(huì)認(rèn)為ISA1上的NLB服務(wù)已經(jīng)失效,將重新匯聚NLB�,并且重新分配客戶。從而原來(lái)屬于ISA1的客戶可以通過(guò)仍然運(yùn)行正常的ISA2來(lái)訪問(wèn)外部網(wǎng)絡(luò)��。要實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移比較簡(jiǎn)單�,微軟已經(jīng)考慮到了。你可以通過(guò)配置ISA防火墻的連接性驗(yàn)證工具來(lái)實(shí)現(xiàn)當(dāng)外部鏈路出現(xiàn)故障時(shí)進(jìn)行相關(guān)的操作����,但是要停止ISA防火墻
5��、上的NLB服務(wù)不是一件容易的事情����。由于ISA防火墻上的NLB服務(wù)是和ISA防火墻服務(wù)集成的,所以你不能通過(guò)Windows的NLBstop命令來(lái)停止ISA防火墻上的NLB服務(wù)�����;微軟也沒(méi)有相關(guān)的關(guān)于如何停止ISA防火墻上的NLB服務(wù)的說(shuō)明�。在這種情況下,只能通過(guò)停止ISA防火墻服務(wù)來(lái)停止ISA防火墻上的NLB服務(wù)��。但是停止ISA防火墻服務(wù)后�����,無(wú)法依靠ISA防火墻本身啟動(dòng)ISA防火墻服務(wù)����,這樣又給故障恢復(fù)時(shí)的處理帶來(lái)難題。當(dāng)外部鏈路恢復(fù)的時(shí)候�����,還是需要你手動(dòng)啟動(dòng)ISA防火墻服務(wù)才能將這臺(tái)ISA防火墻正常加入NLB陣列中運(yùn)行�,這造成了額外的管理負(fù)擔(dān)�����。不過(guò)你可
6�、以通過(guò)第三方的鏈路監(jiān)測(cè)軟件實(shí)現(xiàn)NLB的故障轉(zhuǎn)移和自動(dòng)恢復(fù),例如KS-SoftAdvancedHostMonitor或者GFINetworkServerMonitor�。你可以配置它們當(dāng)外部鏈路出現(xiàn)問(wèn)題時(shí)停止ISA防火墻服務(wù)��,而當(dāng)外部鏈路恢復(fù)時(shí)啟動(dòng)ISA防火墻����。在此我給大家演示一下如何實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移�����,網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示:內(nèi)部網(wǎng)絡(luò)地址范圍為10.1.1.0/24��,部署了兩臺(tái)ISA企業(yè)版防火墻Florence和Firenze����,操作系統(tǒng)均為Windowsserver2003SP1,IP地址分別為10.1.1.1和10.1.1.2����。對(duì)內(nèi)部網(wǎng)
7、絡(luò)配置了NLB�,NLB虛擬地址為10.1.1.254�,兩臺(tái)ISA防火墻上的NLB服務(wù)均工作正常。Berlin是內(nèi)部網(wǎng)絡(luò)中的客戶���,IP地址為10.1.1.8�����,默認(rèn)網(wǎng)關(guān)配置為NLB的虛擬地址10.1.1.254�����。我已經(jīng)創(chuàng)建了允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)規(guī)則�,已經(jīng)確認(rèn)所有網(wǎng)絡(luò)連接工作正常。在進(jìn)行整個(gè)部署之前����,你必須預(yù)先考慮好如何配置有效的連接性驗(yàn)證方式,以及什么時(shí)候觸發(fā)警告�。如果要驗(yàn)證外部鏈路是否連接正常,你可以Ping離你最近的外部網(wǎng)絡(luò)中的某臺(tái)持續(xù)在線的服務(wù)器或路由器的IP地址���。在此我通過(guò)配置連接性驗(yàn)證工具Ping我的DNS服務(wù)器61.139
8���、.2.69實(shí)現(xiàn),如果連續(xù)兩次不能Ping通時(shí)����,則停止ISA防火墻服務(wù)。本文中的操作步驟如下:配置連接性驗(yàn)證工
