Tài liệu Tính năng ISP Redundancy của TMG 2010 (P.2) docx

>> Tính năng ISP Redundancy của TMG 2010 P.1 Trong phần hai này chúng ta sẽ thực hiện cấu hình cho ISP Redundancy, sau đó tìm hiểu phương thức hoạt động của ISP Redundancy.. Chúng ta có

Trang 1

Tính năng ISP Redundancy của TMG 2010 (P.2)

Trong phần đầu của loạt bài viết này chúng ta đã tìm hiểu đôi nét về hệ thống mạng ảo và một số thao tác cần thực hiện với các giao tiếp để chúng hỗ trợ Multi-ISP

Trang 2

>> Tính năng ISP Redundancy của TMG 2010 (P.1)

Trong phần hai này chúng ta sẽ thực hiện cấu hình cho ISP Redundancy, sau

đó tìm hiểu phương thức hoạt động của ISP Redundancy

Cấu hình ISP Redundancy

Trước tiên, mở TMG Firewall Console rồi click vào node Networking trong bảng bên trái của Console này Trong Task Pane, chọn tab Tasks sau

đó click vào liên kết Configure ISP Redundancy như trong hình 1

Hình 1

Khi đó ISP Redundancy Configuration Wizard sẽ xuất hiện Trên trang Welcome to the ISP Redundancy Configuration Wizard, nhấn Next

Trang 3

Hình 2

Trên trang ISP Redundancy Mode, chúng ta có thể lựa chọn một trong hai tùy chọn sau:

Load balancing with failover capability Tùy chọn này cho phép chúng ta

sử dụng đồng thơi cả hai ISP Chúng ta có thể đặt một ISP ưu tiên với phần lớn lưu lượng chuyển qua, hoặc chúng ta có thể cài đặt lưu lượng cho hai ISP này như nhau Lựa chọn tùy chọn này nếu chúng ta muốn sử dụng tối đa băng thông mà không chú ý tới chi phí băng thông cho cả hai ISP này Nếu một ISP ngừng hoạt động, mọi lưu lượng sẽ chuyển qua kết nối ISP còn lại

Failover only Lựa chọn tùy chọn này nếu chúng ta chỉ muốn sử dụng một

Trang 4

ISP, nhưng muốn ISP còn lại được sử dụng dự phòng trong trường hợp ISP đâu tiên không hoạt động Lựa chọn tùy chọn này nếu chúng ta không muốn trả chi phí băng thông cho cả hai ISP, mà vẫn muốn đảm bảo rằng chúng ta

có thể kết nối ngay cả khi ISP chính bị lỗi Đây là một tùy chọn phù hợp nếu chúng ta phải trả chi phí băng thông cho ISP thứ hai

Trong ví dụ này chúng ta sẽ lựa chon tùy chọn Load balancing with

failover capability rồi nhấn Next

Hình 3

Trên trang ISP Connection 2 chúng ta sẽ cấu hình cho liên kết ISP thứ nhất

Chúng ta sẽ đặt tên cho kết nối này là RRAS1 vì đây sẽ là kết nối qua máy

Trang 5

chủ NAT RRAS1 thực hiện mô phỏng ISP thứ nhất Do đang sử dụng các

NIC (Network Interface Controller – Trình điều khiển giao tiếp mạng) riêng biệt cho mỗi kết nối ISP nên chúng ta có thể lựa chọn NIC kết nối chúng ta

tới RRAS1 trong danh sách thả xuống Network adapter (optional) Lưu ý

rằng sau khi lựa chọn NIC này, địa chỉ mạng thứ cấp giúp xác định cổng

mặc định cho NIC đó trong địa chỉ nội bộ của máy chủ NAT RRAS1, được

liệt kê trong hộp Subnet Cần nhớ rằng mỗi ISP phải nằm trên một Network

ID khác nhau, có nghĩa là mỗi kết nối ISP nằm trên một mạng thứ cấp riêng

biệt Thực hiện xong nhấn Next

Hình 4

Trên trang ISP Connection 1 – Configuration, kiểm tra Gateway address

Trang 6

và Mask Đồng thời xác nhận xem hộp Subnet có Subnet Mask chính xác hay chưa Chúng ta có thể nhập một Primary DNS Server và một

Alternate DNS Server nếu muốn, tuy nhiên chúng ta không nên cấu hình

cho tường lửa sử dụng những máy chủ DNS ngoài, và tốt nhất chúng ta không nên nhập địa chỉ nào vào hai hộp này Cũng có những trường hợp chúng ta cần nhập địa chỉ IP ngoài cho các máy chủ DNS trên hệ thống tường lửa TMG, nhưng trong trường hợp này là không cần thiết Sau đó

nhấn Next

Hình 5

Trên trang ISP Connection 1 – Dedicated Servers, nhập địa chỉ IP của

những máy chủ thường xuyên sử dụng kết nối ISP này Thông thường đây là

Trang 7

những máy chủ trên mạng của ISP mà không thể truy cập từ những mạng ngoài, như những máy chủ Time và DNS Ngoài ra những máy chủ SMTP cũng thường được đặt trên mạng ISP cho những mail ngoài mà không xuất hiện từ mạng ngoài Do không sử dụng các bộ chuyển tiếp trong ví dụ này,

và đang sử dụng các máy chủ Internet Time, nên chúng ta sẽ không nhập những địa chỉ Ip bất kì cho các máy chủ chuyên dụng

Lưu ý rằng nếu chúng ta nhập địa chỉ IP cho các máy chủ chuyên dụng, và nếu ISP đó bị sập thì kết nối sẽ không được chuyển tiếp sang ISP khác Tuy nhiên, đây không phải là vấn đề nghiêm trọng vì những địa chỉ IP này sẽ

không thể truy cập từ những mạng ngoài Sau đó nhấn Next

Hình 6

Trang 8

Trên trang ISP Connection 2, chúng ta sẽ thực hiện lại các thao tác đã thực

hiện trên các trang tương tự của ISP 1 Trong ví dụ này, ISP2 sẽ thực hiện

kết nối qua máy chủ NAT RRAS2 Lưu ý rằng Subnet nằm trên Network ID

khác với kết nối ISP thứ nhất Thực hiện xong nhấn Next

Hình 7

Kiểm tra các cài đặt trên trang ISP Connection 2 – Configuration rồi nhấn Next

Trang 9

Hình 8

Trên trang ISP Connection 2 – Dedicated Servers, nhập địa chỉ IP của

những máy chủ có thể truy cập từ kết nối ISP thứ hai Những giới hạn và nguyên lý của kết nối ISP thứ nhất sẽ được áp dụng với kết nối ISP này

Thực hiện xong nhấn Next

Trang 10

Hình 9

Trên trang Load Balancing Configuration, chúng ta sẽ cấu hình lưu lượng

cho các kết nối Nếu các kết nối có tốc độ như nhau, thì thông thường chúng

ta sẽ cài đặt lưu lượng cho chúng bằng nhau Tuy nhiên, nếu các ISP có sự chênh lệnh về tốc độ, chúng ta sẽ cài đặt lưu lượng lớn hơn cho kết nối ISP

có tốc độ cao Trong ví dụ này, RRAS2 nhanh hơn RRAS1, do đó chúng ta

sẽ cài đặt cho chúng tiếp nhận 75% lưu lượng, và RRAS1 là 25% Những kết nối dựa trên phương thức mà chúng ta đã nhắc tới trong phần 1 Thực

hiện xong nhấn Next

Trang 11

Hình 10

Kiểm tra các cài đặt trên trang Completing the ISP Redundancy Configuration Wizard rồi nhấn Finish

Trang 12

Hình 11

Sau khi nhấn Finish, một hộp thoại sẽ xuất hiện yêu cầu bổ sung một tuyến

tĩnh cho mỗi địa chỉ IP của DNS được cấu hình trên các adapter mạng ngoài trên mọi máy chủ Forefront TMG Chúng ta cần thực hiện thao tác này để đảm bảo rằng các yêu cầu DNS được chuyển qua adapter mạng phù hợp

Lí do chúng ta cần tạo thủ công các tuyến tĩnh cho ISP đó là tiến trình định tuyến tự động làm việc với ISP Redundancy chỉ hoạt động khi có một mối quan hệ NAT giữa nguồn và đích Vì các kết nối DNS đến từ TMG Firewall, nên kết nối này sẽ có một quan hệ tuyến, đó là do mọi kết nối từ Local Host Network tới mọi mạng khác đều sử dụng một quan hệ tuyến Sau đó nhấn

OK

Trang 13

Hình 12

Nhấn Apply để lưu cấu hình tường lửa Nhập mô tả thay đổi trong hộp thoại Configuration Change Description nếu muốn, sau đó nhấn Apply trên hộp thoại này Nhấn tiếp OK trong hộp thoại Saving Configuration Changes Phương thức hoạt động của ISP Redundancy

Tiếp theo chúng ta sẽ tìm hiểu phương thức hoạt động của tính năng ISP

Reducdancy Đối tượng đầu tiên sẽ là Dashboard Tại đây chúng ta có thể thấy những thông tin về Network Status cho các kết nối ISP Trong hình

13, chúng ta có thể thấy Status (trạng thái), Uptime (thời gian vận hành) và Bytes/Sec (tốc độ Byte/giây) đang được mọi ISP sử dụng

Trang 14

Hình 13

Chúng ta sẽ phải làm gì để thay đổi các cài đặt của ISP Redundancy? Chỉ

cần click vào node Networking trong bảng trái của TMG Firewall Console

rồi click đúp vào kết nối ISP muốn thay đổi Trong hình 14, chúng ta có thể

thấy tab General của hộp thoai RRAS1 Properties Tại đây chúng ta có thể thay đổi Name, Gateway IP Address, Mask, Subnet, Connectivity

Detection và Load Balancing Ratio

Lưu ý rằng Connectivity Detection không được hiển thị trong Wizard này

Nó có ba tùy chọn, bao gồm:

Trang 15

 Disable, connection is down Tùy chọn này hủy bỏ tiến trình kiểm tra

ISP có hoạt động hay không đồng thời vô hiệu hóa kết nối ISP Chúng

ta có thể sử dụng tùy chọn này nếu muốn vô hiệu hóa ISP này trong một khoảng thời gian nhất định

 Disbale, connection is up Tùy chọn này hủy bỏ tiến trình kiểm tra

xem ISP có haotj động hay không, tuy nhiên sẽ để kết nối này hoạt động Chúng ta có thể sử dụng tùy chọn này trong trường hợp muốn

sử dụng kết nối ISP mọi lúc mà không cần chú ý tới trạng thái của kết nối này

 Enabled Đây là tùy chọn mặc định

Có thể bạn đang tự hỏi rằng làm thế nào để TMG Firewall phát hiện được một kết nối ISP có hoạt động hay không? Những gì mà TMG thực hiện là gửi các yêu cầu kết nối tới những máy chủ DNS gốc trên Internet Nếu kết nối thành công, thì kết nối này đang hoạt động, nếu không, kết nối này đã bị ngắt

Trang 16

Hình 14

Chúng ta có thể xác nhận điều này bằng cách kiểm tra một phần của Netmon

như trong hình 15 Địa chỉ IP 10.0.2.3 và 10.0.1.3 là những địa chỉ ngoài

Trang 17

trên TMG Firewall đang kết nối tới mỗi kết nối ISP Địa chỉ đích

192.33.4.12 là địa chỉ IP của một trong những máy chủ DNS gốc trên mạng

Internet Tuy nhiên, thực ra chúng không phải là những truy vấn DNS, mà chỉ là những kết nối qua cổng TCP 53 tới các máy chủ DNS gốc Nếu kiểm tra phần giải mã, chúng ta sẽ thấy rằng không có bất kì thông tin nào về giao thức DNS Chúng ta chỉ thấy một kết nối ba chiều

Hình 15

Phương pháp mà TMG Firewall xác định một kết nối bị ngắt và phương pháp nó xác định một kết nối hoạt động trở lại?

Nhiều máy chủ được tham dò để xác nhận xem có vấn đề kết nối qua một ISP cụ thể hay không Nếu nhiều máy chủ DNS gốc không thể phản hồi qua một ISP cụ thể, thì TMG sẽ thử lại kết nối này (tối đa là ba lần) sau mỗi 60 giây trước khi chuyển qua kết nối ISP dự phòng, đồng thời cho biết kết nối này bị ngắt

Do đó, nếu RRAS1 bị ngắt lúc 12:58PM, thì TMG sẽ kiểm tra kết nối tới những máy chủ DNS gốc vào lúc 12:59PM tới 1:00PM Nếu cả hai lần cố gắng kết nối lại thất bại, thì kết nối này sẽ được đánh dấu là bị ngắt

(“down”) Trong khoảng thời gian giữa 12:58PM tới 1:00PM, các kết nối

Trang 18

vẫn được thực hiện qua ISP bị ngắt này

Sau khi kết nối ISP được đánh dấu bị ngắt, TMG Firewall sẽ kiểm tra ISP bị ngắt này sau mỗi 5 phút, và khi kết nối này phản hồi trở lại, thì ít nhất phải

có hai yêu cầu trong vòng 60 giây được thực hiện thành công thì kết nối chính này mới được coi là hoạt động trở lại Sau đó TMG sẽ tạo các kết nối mới sử dụng kết nối ISP chính

Do đó nếu RRAS1 được đánh dấu là bị ngắt lúc 1:00PM, thì nó sẽ không được kiểm tra lại cho tới 1:05PM Vào lúc 1:05PM TMG sẽ tiến hành kiểm tra Nếu thành công nó sẽ kiểm tra lại vào lúc 1:06PM và 1:07PM Nếu cả hai tiến trình kiểm tra đều thành công, thì kết nối này sẽ được đánh dấu là hoạt động trở lại và các kết nối sẽ được chuyển hướng trở lại kết nối đó

Để kiểm tra những gì đã xảy ra khi một ISP bị ngắt, chúng ta chỉ cần tắt

RRAS2, sau đó dợi 2 đến 3 phút chúng ta sẽ thấy trong node Dashboard

trong bảng trái của TMG Firewall, Status sẽ chuyển sang Local (cục bộ)

Hình 16

Tuy nhiên có một vấn đề phát sinh Khi truy vào máy trạm rồi tải một file thì

Trang 19

nó sẽ tự động chuyển sang RRAS1 Cần nhớ rằng nếu máy trạm đang sử dụng ISP bị ngắt để truy cập vào một trang nào đó, thì chúng ta cần phải đợi khoảng 2 phút trước khi trang Web đó được chuyển sang ISP trực tuyến

Nếu kiểm tra tab Alerts, chúng ta sẽ thấy một thông báo được tạo cho biết

kết nối ISP này không hoạt động (hình 17)

Hình 17

Trong tất cả các thông báo, chỉ có một số là liên quan tới ISP Redundancy như trong hình 18

Trang 20

Hình 18

Kết luận

Trong phần hai này chúng ta đã tìm hiểu phương thức hoạt động của ISP Redundancy, phương pháp cài đặt NIC để chuẩn bị cho ISP Redundancy, và phương pháp cấu hình tính năng này Lưu ý rằng loạt bài viết này đề cập tới một trường hợp cụ thể, trong đó các NIC chuyên dụng được sử dụng cho mỗi ISP Tuy nhiên, đây không phải là điều kiện bắt buộc Chúng ta có thể đưa cả địa chỉ Gateway và IP của ISP vào một NIC duy nhất

Định dạng
Số trang	20
Dung lượng	2,37 MB

Tiêu đề	Tính năng ISP Redundancy của TMG 2010 (P.2)
Thể loại	bài viết