Explorando ISP Redundncia no Forefront Threat Management Gateway (TMG)

2010
Introduo
Uma das muitas caractersticas novas em TMG que tem sido muito solicitados por
firewall ISA administradores a sua capacidade para suportar mltiplas conexes de
rede externas. Redundncia ISP (ISP-R) j oferece esse recurso. Com suporte para dois
ISPs nico (ou mais precisamente, as conexes de rede externas), agora podemos ter
tolerncia a falhas e redundncia para a nossa Internet ou conexes WAN. Neste artigo
vamos explorar o recurso de ISP-R em detalhes, olhar para os diferentes modos de
operao, explicar o algoritmo de balanceamento de carga, e investigar o processo de
deteco morto link. Tambm vamos discutir vrios cenrios de implantao e
consideraes a serem feitas ao projetar e implementar ISP-R.
Modos de Operao
ISP-R no TMG tem dois modos de operao - Balanceamento de carga e failover. No
modo de balanceamento de carga, as ligaes so equilibradas entre duas redes externas
uniformemente (por padro) ou irregularmente (configurvel pelo administrador). Se
uma ligao externa vai para baixo, toda a comunicao ser enviada atravs da
conexo disponvel restante. No modo de Failover, uma rede externa esteja configurada
como a ligao primria, ea outra configurado como a ligao secundria. Toda a
comunicao enviada pela conexo primria. Se a conexo principal cair, toda a
comunicao ser desviada para a conexo secundria. Uma vez que a conexo primria
est disponvel novamente, toda a comunicao ser novamente enviado pela conexo
primria.
Preparando as Interfaces de Rede
anncio
ISP-R suporta apenas duas conexes de rede externa, e cada conexo deve estar em uma
sub-rede exclusiva. Para o funcionamento adequado e um melhor desempenho, as duas
interfaces de rede externas devem ser configuradas de forma idntica (prestar especial
ateno s configuraes do driver NIC de descarregamento). Idealmente, os cartes de
interface de rede deve ser o mesmo modelo.
Comece dando a cada interface de rede um nome descritivo (por exemplo
External_Sprint e External_Verizon). Configure a primeira interface de rede externa,
com um endereo IP, mscara de sub-rede e gateway padro. Se o seu firewall TMG
no membro de um domnio e no se comunica com os recursos da rede interna pelo
nome, voc pode especificar os servidores DNS do ISP aqui. Se o seu firewall TMG
um membro do domnio, no especificar servidores DNS do ISP aqui (servidores DNS
internos esto configurados na interface de rede interna apenas). Uma vez concludo,
clique no boto Avanado. ...

A Figura 1

Desmarque a caixa marcada Mtrica automtica e digite 1 na interface mtrica: caixa.

A Figura 2
Repita essas etapas para configurar a segunda interface de rede externa, desta vez usando
uma interface mtrica: valor de 2. Certifique-se de configurar um gateway padro nesta
segunda interface externa. Geralmente isso no recomendado, eo Windows ir queixar-se
quando voc tentar fazer isso.

A Figura 3
Neste cenrio, seguro ignorar este aviso e selecione Sim para continuar.

Nota:
Se os seus ISPs usar DHCP para atribuir endereos, voc no ser capaz de configurar
vrios gateways padro. Neste caso voc vai criar padro persistentes rotas estticas
antes de configurar o ISP-R. No nosso exemplo aqui, as rotas seria configurado como se
segue:
route add-p 0.0.0.0 mask 0.0.0.0 131.107.54.46
route add-p 0.0.0.0 mask 0.0.0.0 207.213.91.214
Configurando ISP Redundncia
Uma vez que a configurao da interface inicial da rede completo, abra o console de
gerenciamento do TMG e na rede destaque rvore de console, em seguida, selecione a
guia Redundncia ISP.

A Figura 4

No painel Tarefas, clique em Configurar ISP redundncia.

A Figura 5
Escolha Em seguida, selecione o modo de redundncia ISP que atenda s suas
necessidades. Para fins de demonstrao, vamos selecionar o padro de balanceamento
de carga com capacidade de opo de failover.

A Figura 6
Especifique o nome da conexo ISP: e selecione um adaptador de rede a partir da lista dropdown.

A Figura 7
Confirme se o endereo do gateway e mscara de sub-rede esto corretas. Se o seu firewall
TMG no membro de um domnio e no se comunica com os recursos da rede interna pelo
nome, voc pode especificar os servidores DNS do ISP aqui. Se o seu firewall TMG um

membro do domnio, no especificar servidores DNS do ISP aqui (servidores DNS internos
esto configurados na interface de rede interna apenas).

A Figura 8
Em alguns casos, haver servidores externos que s pode ser alcanado atravs de um link
externo especfico. Um exemplo disso seria um servidor DNS de ISP ou servidor de correio. Se
necessrio, introduza os servidores aqui. Voc tem a opo de especificar computadores
especficos, conjuntos de computadores ou intervalos de endereos.

A Figura 9
Repita os passos acima para a segunda conexo de rede externa, e, em seguida,
selecione a porcentagem de distribuio movendo o controle deslizante em
conformidade. Se ambos os links externos tm a mesma largura de banda, voc pode
deixar essa configurao em 50%. Se um link tem mais largura de banda do que a outra,
configurar que apontam para receber um maior percentagem de trfego.

A Figura 10
Escolha Concluir para concluir a configurao do ISP-R.

A Figura 11
Se voc configurou os servidores de DNS nas interfaces de rede externa, certifique-se
de criar correspondentes persistentes rotas estticas para garantir que os pedidos de que
esses recursos sejam encaminhados atravs da interface de rede correta.

A Figura 12
No nosso exemplo aqui, as rotas seria configurado como se segue:
route add-p 131.107.54.200 mscara 255.255.255.255 131.107.54.46
route add-p 207.213.91.2 mscara 255.255.255.255 207.213.91.214
Uma vez configurado, o console de gerenciamento TMG vai exibir informaes sobre

cada conexo ISP, juntamente com o modo de redundncia configurado atualmente.

A Figura 13
Depois de configurar ISP-R, para fazer alteraes na configurao de uma conexo ISP
especfico, voc pode boto direito do mouse a conexo e escolha Propriedades.

A Figura 14
Aqui voc pode alterar o nome da conexo, alterar as informaes de mscara de
endereo IP / sub-rede, ativar ou desativar a conexo, alterar a relao de equilbrio de
carga, ou adicionar, alterar ou remover servidores dedicados.

A Figura 15
Mudar ISP-R Modo de Operao
Neste exemplo, configurado ISP-R para balanceamento de carga. Se voc quiser mudar
o modo de operao ISP-R, clique em Alterar o Modo ISP redundncia de failover no
painel Tarefas.

A Figura 16
Ao alternar do modo de balanceamento de carga para o modo de Failover, certifique-se

de editar as propriedades da conexo e selecione a funo de conexo apropriada para a

conexo. Lembre-se, no modo failover todo o trfego ser enviada atravs da conexo
primria externo ea conexo secundria s sero utilizadas se a conexo principal no
est disponvel.

A Figura 17
Monitoramento ISP-R
Para visualizar o status de cada conexo ISP, destaque painel na rvore de console.

A Figura 18
O status de cada link ISP ser exibida no quadro de status da rede.

A Figura 19
Se um link se torna indisponvel, o status da conexo ser exibido um alerta.

A Figura 20
Alm disso, voc ver um alerta de Conexes no est disponvel na guia Alertas.

A Figura 21
Quando a conexo est de volta online, TMG ir gerar um alerta informativo indicando que a
conexo est novamente disponvel.

A Figura 22
H um nmero de ISP-R alertas especficos para manter o administrador do firewall TMG
informado sobre o estado de sade e das suas ligaes de rede externa.

A Figura 23
Balanceamento de carga e Deteco Link Morto
importante compreender que ISP-R distribui as ligaes, e no de carga. A maneira
pela qual ISP-R decide quais interface externa para distribuir o trfego para
determinada atravs da realizao de um hash do endereo IP de origem eo endereo IP
de destino. O resultado um nmero entre 0 e 100. Se o resultado for inferior a
percentagem configurado para a ligao ISP primeiro, TMG ir usar esta ligao. Se
no for, TMG usar a outra conexo externa. Isso garante a afinidade de sesso - todas
as ligaes para um endereo especfico par origem / destino ser entregue atravs da
mesma interface de rede externa. O hash calculado para cada conexo de sada.
Para determinar a disponibilidade de uma conexo ISP particular, TMG realiza a
deteco de link morto por acaso votao um dos treze servidores raiz DNS da Internet
na porta TCP 53 (quando TMG implementado como um firewall de volta, a certeza de
que a porta TCP 53 aberta ao Internet). Se o selecionado servidor DNS raiz responde,
TMG considera a conexo disponvel. Se ele no responder, TMG ir pesquisar
servidores raiz DNS adicionais em intervalos de um minuto. Se no houver respostas
so recebidas aps trs tentativas consecutivas, TMG considera a conexo disponvel e
gera um alerta. Uma vez TMG identifica uma conexo como indisponvel, ele vai
esperar por cinco minutos antes de tentar novamente enquete. Uma vez que recebe uma
resposta, TMG continuar sondagem em intervalos de um minuto. Quando trs
respostas consecutivas foram recebidas, TMG ir considerar a conexo disponvel.
Cenrios de implantao

A escolha de modos de ISP-R funcionamento influenciado principalmente pelos tipos

de conexes WAN ou Internet voc tem. Por exemplo, se voc tem duas conexes de
Internet semelhantes em termos de largura de banda, o modo de balanceamento de carga
uma boa escolha. Se voc tiver uma conexo de banda larga e uma conexo de baixa
largura de banda, ento o modo failover seria mais apropriado. Embora esta tecnologia
chamado redundncia 'ISP', no est limitado a conectados Internet ligaes. ISP-R
pode ser usada para fornecer balanceamento de carga e failover de links de WAN entre
uma filial e um escritrio principal (veja as consideraes abaixo).
Consideraes adicionais
H algumas consideraes a serem feitas ao projetar e implantar ISP-R.
Funciona com o NAT s - ISP-R s vai fornecer balanceamento de carga e failover
para o trfego proveniente de redes protegidas TMG e destinado rede padro externo,
e s ir funcionar quando a relao de rede configurado como NAT. Se a relao de
rede configurado como rota, ISP-R no vai funcionar. Isto importante porque o
trfego proveniente do firewall TMG em si no ser processado pelo ISP-R, como a
relao de rede entre a rede Host Local ea rede externa rota.
E-NAT substitui ISP-R - Para o trfego processado por uma regra de rede
configurado com NAT avanado (E-NAT), E-NAT tem precedncia e prioridade sobre
quaisquer decises de roteamento feitas pelo ISP-R.
O balanceamento de carga no perfeito - O mecanismo de balanceamento de
carga no ISP-R no distribuir o trfego perfeitamente. Uma vez que o trfego
distribudo atravs de ligaes, no carregar, existe a possibilidade de algumas ligaes
para consumir mais banda do que outros, desviando o percentual de distribuio.
Quando ISP-R est configurado para fornecer balanceamento de carga ou failover para
conexes com filiais WAN, o padro mecanismo de deteco de mortos ligao pode
no ser apropriado. Se voc lembrar, TMG aleatoriamente sondar os servidores DNS
raiz da Internet para verificar a conectividade. Se, por exemplo, o firewall est
configurado para TMG NAT o trfego entre uma filial e um escritrio principal ea
ligao Internet do escritrio principal no estiver disponvel, TMG ir relatar suas
duas conexes WAN como indisponveis, quando na verdade eles so.
Em alguns casos, firewalls filiais TMG pode no ter conexo direta Internet, o que
impedir TMG a partir de votao na Internet servidores de DNS raiz. Neste cenrio de
firewall de filiais que seria melhor para os servios eleitorais localizadas diretamente do
outro lado da conexo WAN. Para alterar os parmetros padro de deteco da ligao e
fazer alteraes frequncia de consulta, consulte este artigo
[http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancyunleashed.aspx ] no blog da equipe do Forefront TMG produto.
Concluso
ISP A redundncia um recurso valioso no novo TMG que fornece tolerncia a falhas e
redundncia para conexes de rede externas; para conexes de ISP, no caso de uma
implantao de firewall de borda, ou links WAN em um cenrio de firewall de filiais.
Balanceamento de carga e modos de operao de failover fornecem opes de
configurao flexveis para coincidir com qualquer configurao de rede externa, e

capacidades de alerta detalhado manter o administrador do firewall TMG informado

sobre o status de rede externa de conexo.