完成ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問(wèn)題轉(zhuǎn)移
完成ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問(wèn)題轉(zhuǎn)移
在部署了網(wǎng)絡(luò)負(fù)載均衡(NLB)的網(wǎng)絡(luò)中,當(dāng)某個(gè)客戶針對(duì)NLB虛擬地址發(fā)起連接請(qǐng)求時(shí),NLB通過(guò)某種NLB算法來(lái)確定(通常是根據(jù)發(fā)起請(qǐng)求的客戶端源地址來(lái)決定)為客戶服務(wù)的NLB節(jié)點(diǎn)。在NLB節(jié)點(diǎn)沒(méi)有變動(dòng)之前,對(duì)于某個(gè)客戶,將總是由某個(gè)對(duì)應(yīng)的NLB節(jié)點(diǎn)為它提供服務(wù)。ISA防火墻企業(yè)版中的集成NLB依賴于Windows服務(wù)器系統(tǒng)的NLB服務(wù),對(duì)于客戶發(fā)起的請(qǐng)求,也是采用相同的方式進(jìn)行處理。
例如,對(duì)于一個(gè)具有三個(gè)NLB節(jié)點(diǎn)(ISA1、ISA2、ISA3)的ISA防火墻NLB陣列,當(dāng)一個(gè)客戶(10.1.1.1)發(fā)起連接請(qǐng)求時(shí),NLB通過(guò)NLB算法確定由ISA1為此客戶服務(wù);而當(dāng)另外一個(gè)客戶(10.1.1.2)發(fā)起連接時(shí),NLB通過(guò)NLB算法確定由ISA2為此客戶服務(wù)。在NLB節(jié)點(diǎn)沒(méi)有變動(dòng)時(shí),客戶10.1.1.1的連接請(qǐng)求將會(huì)始終通過(guò)NLB節(jié)點(diǎn)ISA1來(lái)進(jìn)行處理;而客戶10.1.1.2的連接請(qǐng)求則會(huì)始終通過(guò)NLB節(jié)點(diǎn)ISA2來(lái)進(jìn)行處理。
當(dāng)某個(gè)NLB節(jié)點(diǎn)出現(xiàn)故障時(shí),NLB將在所有節(jié)點(diǎn)上重新進(jìn)行匯聚,并重新根據(jù)NLB算法來(lái)確定為客戶提供服務(wù)的NLB節(jié)點(diǎn)。例如,此時(shí)ISA1節(jié)點(diǎn)出現(xiàn)故障,無(wú)法再提供NLB服務(wù);則NLB重新進(jìn)行匯聚,如果客戶10.1.1.1再發(fā)起連接請(qǐng)求,則就是ISA2或者ISA3來(lái)為它進(jìn)行服務(wù)。
當(dāng)NLB節(jié)點(diǎn)失效時(shí),NLB可以讓其他NLB節(jié)點(diǎn)來(lái)為客戶提供服務(wù)。但是,如果NLB節(jié)點(diǎn)的NLB服務(wù)沒(méi)有失效但是所提供的其他服務(wù)失效時(shí),怎么辦呢?
如下圖所示,兩臺(tái)ISA防火墻屬于相同的NLB陣列,分別通過(guò)不同的外部鏈路連接到Internet,并且對(duì)內(nèi)部網(wǎng)絡(luò)提供NLB服務(wù)。兩臺(tái)ISA防火墻允許內(nèi)部網(wǎng)絡(luò)中的用戶通過(guò)自己來(lái)訪問(wèn)外部網(wǎng)絡(luò),正在為不同的客戶提供服務(wù);如果此時(shí),ISA1上的外部鏈路突然斷開(kāi),會(huì)出現(xiàn)什么情況呢?
此時(shí),由于ISA1上的NLB服務(wù)并沒(méi)有出現(xiàn)故障,所以NLB會(huì)認(rèn)為ISA1仍然是有效的NLB節(jié)點(diǎn),并且同樣會(huì)分配客戶給它。但是,由于外部鏈路斷開(kāi),ISA1所服務(wù)的客戶卻不能再連接到Internet了。這當(dāng)然就不能有效的實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡中的容錯(cuò)特性。
那么,出現(xiàn)這種情況時(shí),該怎么辦呢?
答案很簡(jiǎn)單,當(dāng)出現(xiàn)這種情況時(shí),停止ISA1上的NLB服務(wù),這樣,NLB會(huì)認(rèn)為ISA1上的NLB服務(wù)已經(jīng)失效,將重新匯聚NLB,并且重新分配客戶。從而原來(lái)屬于ISA1的客戶可以通過(guò)仍然運(yùn)行正常的ISA2來(lái)訪問(wèn)外部網(wǎng)絡(luò)。
要實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移比較簡(jiǎn)單,微軟已經(jīng)考慮到了。你可以通過(guò)配置ISA防火墻的連接性驗(yàn)證工具來(lái)實(shí)現(xiàn)當(dāng)外部鏈路出現(xiàn)故障時(shí)進(jìn)行相關(guān)的操作,但是要停止ISA防火墻上的NLB服務(wù)不是一件容易的事情。由于ISA防火墻上的NLB服務(wù)是和ISA防火墻服務(wù)集成的,所以你不能通過(guò)Windows的NLB stop命令來(lái)停止ISA防火墻上的NLB服務(wù);微軟也沒(méi)有相關(guān)的關(guān)于如何停止ISA防火墻上的NLB服務(wù)的說(shuō)明。在這種情況下,只能通過(guò)停止ISA防火墻服務(wù)來(lái)停止ISA防火墻上的NLB服務(wù)。
但是停止ISA防火墻服務(wù)后,無(wú)法依靠ISA防火墻本身啟動(dòng)ISA防火墻服務(wù),這樣又給故障恢復(fù)時(shí)的處理帶來(lái)難題。當(dāng)外部鏈路恢復(fù)的時(shí)候,還是需要你手動(dòng)啟動(dòng)ISA防火墻服務(wù)才能將這臺(tái)ISA防火墻正常加入NLB陣列中運(yùn)行,這造成了額外的管理負(fù)擔(dān)。不過(guò)你可以通過(guò)第三方的鏈路監(jiān)測(cè)軟件實(shí)現(xiàn)NLB的故障轉(zhuǎn)移和自動(dòng)恢復(fù),例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它們當(dāng)外部鏈路出現(xiàn)問(wèn)題時(shí)停止ISA防火墻服務(wù),而當(dāng)外部鏈路恢復(fù)時(shí)啟動(dòng)ISA防火墻。
在此我給大家演示一下如何實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移,網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示:
內(nèi)部網(wǎng)絡(luò)地址范圍為10.1.1.0/24,部署了兩臺(tái)ISA企業(yè)版防火墻Florence和Firenze,操作系統(tǒng)均為Windows server 2003 SP1,IP地址分別為10.1.1.1和10.1.1.2。對(duì)內(nèi)部網(wǎng)絡(luò)配置了NLB,NLB虛擬地址為10.1.1.254,
兩臺(tái)ISA防火墻上的NLB服務(wù)均工作正常。
Berlin是內(nèi)部網(wǎng)絡(luò)中的客戶,IP地址為10.1.1.8,默認(rèn)網(wǎng)關(guān)配置為NLB的虛擬地址10.1.1.254。
我已經(jīng)創(chuàng)建了允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部網(wǎng)絡(luò)的訪問(wèn)規(guī)則,已經(jīng)確認(rèn)所有網(wǎng)絡(luò)連接工作正常。在進(jìn)行整個(gè)部署之前,你必須預(yù)先考慮好如何配置有效的連接性驗(yàn)證方式,以及什么時(shí)候觸發(fā)警告。如果要驗(yàn)證外部鏈路是否連接正常,你可以Ping離你最近的外部網(wǎng)絡(luò)中的某臺(tái)持續(xù)在線的服務(wù)器或路由器的IP地址。在此我通過(guò)配置連接性驗(yàn)證工具Ping我的DNS服務(wù)器61.139.2.69實(shí)現(xiàn),如果連續(xù)兩次不能Ping通時(shí),則停止ISA防火墻服務(wù)。
本文中的操作步驟如下:
-
配置連接性驗(yàn)證工具;
-
配置警告操作;
-
測(cè)試;
配置連接性驗(yàn)證工具
打開(kāi)ISA管理控制臺(tái),展開(kāi)陣列,點(diǎn)擊監(jiān)視節(jié)點(diǎn),點(diǎn)擊右邊面板的連接性標(biāo)簽,最后點(diǎn)擊創(chuàng)建新的連接性驗(yàn)證程序鏈接;
在彈出的歡迎使用新建連接性驗(yàn)證程序向?qū)?/B>頁(yè),輸入連接性驗(yàn)證程序的名稱,在此我命名為Ping 61.139.2.69,點(diǎn)擊下一步;
在連接性驗(yàn)證細(xì)節(jié)頁(yè),在監(jiān)視到此服務(wù)器或 URL 的連接欄,輸入IP地址為61.139.2.69,然后在驗(yàn)證方法欄,選擇發(fā)送一個(gè) Ping 請(qǐng)求,點(diǎn)擊下一步;
注:關(guān)于連接性驗(yàn)證工具的使用及詳細(xì)描述,請(qǐng)參見(jiàn)理解ISA 2004的連通性驗(yàn)證工具一文;
在正在完成連接性驗(yàn)證程序向?qū)?/B>頁(yè),點(diǎn)擊完成;
此時(shí),我們的連接性驗(yàn)證工具就創(chuàng)建好了,如下圖所示,驗(yàn)證結(jié)果均正常。
配置警告操作
接下來(lái)我們就需要配置當(dāng)連接性驗(yàn)證工具出現(xiàn)無(wú)連接的警告時(shí),停止ISA防火墻服務(wù)。在ISA防火墻管理控制臺(tái)中點(diǎn)擊警報(bào)標(biāo)簽,然后在右邊的任務(wù)面板中點(diǎn)擊配置警報(bào)定義鏈接;
在彈出的警報(bào)屬性對(duì)話框,在列表中找到無(wú)連接警報(bào),然后點(diǎn)擊編輯按鈕;
在彈出的無(wú)連接屬性對(duì)話框,首先在常規(guī)標(biāo)簽確認(rèn)它是啟用的,
然后在事件標(biāo)簽,由于我想當(dāng)連續(xù)兩次出現(xiàn)無(wú)連接事件(即連續(xù)兩次不能Ping通61.139.2.69)時(shí)觸發(fā)警告,所以勾選發(fā)生次數(shù),然后輸入2,其他保持默認(rèn),點(diǎn)擊操作標(biāo)簽,
在操作標(biāo)簽,勾選停止選擇的服務(wù),然后點(diǎn)擊選擇按鈕;
在彈出的選擇 ISA 服務(wù)器服務(wù)對(duì)話框,勾選Microsoft 防火墻,然后點(diǎn)擊確定;
點(diǎn)擊兩次確定返回到ISA管理控制臺(tái),最后點(diǎn)擊應(yīng)用按鈕保存修改和更新防火墻配置,并且等待直到所有ISA防火墻服務(wù)器完成配置的同步。
測(cè)試
我們現(xiàn)在在客戶機(jī)Berlin上訪問(wèn)ISA中文站進(jìn)行測(cè)試,訪問(wèn)成功。
ISA防火墻的實(shí)時(shí)日志如下圖所示,可以清楚的看到,是由Firenze為它提供的服務(wù)。
現(xiàn)在,我們把Firenze上的外部鏈路斷開(kāi),由于默認(rèn)情況下連接性驗(yàn)證程序每30秒執(zhí)行一次,所以等待大約1分鐘后,你會(huì)發(fā)現(xiàn)Firenze上的ISA防火墻服務(wù)已經(jīng)自動(dòng)停止了,如果在Firenze上的ISA管理控制臺(tái)的警告中查看,你可以看到觸發(fā)了以下三個(gè)警告,如圖所示。
現(xiàn)在我們?cè)?B>Berlin上試試?yán)^續(xù)訪問(wèn)呢,訪問(wèn)仍然成功。
但是,你可以從ISA防火墻的實(shí)時(shí)日志中看到,已經(jīng)不是Firenze而是Florence為它提供的服務(wù)了。
至此,ISA防火墻NLB的故障轉(zhuǎn)移就完全配置成功了。
非常好我支持^.^
(0) 0%
不好我反對(duì)
(0) 0%
相關(guān)閱讀:
- [電子說(shuō)] NVIDIA Isaac 平臺(tái)先進(jìn)的仿真和感知工具助力 AI 機(jī)器人技術(shù)加速發(fā)展 2023-10-20
- [電子說(shuō)] 可定制RISC-V ISA的優(yōu)勢(shì) 2023-09-21
- [電子說(shuō)] 從 0 到 1 搭建機(jī)器人 | 利用 NVIDIA Isaac Sim 創(chuàng)建虛擬環(huán)境進(jìn)行仿真開(kāi)發(fā)與測(cè)試 2023-08-07
- [制造/封裝] WiSA E開(kāi)發(fā)套件開(kāi)始向全球發(fā)貨,旨在統(tǒng)一非Sonos音頻市場(chǎng) 2023-08-04
- [電子說(shuō)] 曙光數(shù)創(chuàng)榮獲NIISA聯(lián)盟2022年度技術(shù)創(chuàng)新特等獎(jiǎng) 2023-08-03
- [電子說(shuō)] Zaxis Isaac HD真空衰減氣密測(cè)試多功能檢漏儀的優(yōu)點(diǎn)有哪些 2023-07-31
- [電子說(shuō)] 百大案例 | 智慧校園,引領(lǐng)未來(lái)!UNISA攜手華為打造全球先進(jìn)的教育網(wǎng)絡(luò)基礎(chǔ)設(shè) 2023-07-27
- [制造/封裝] WiSA推出兩款功能強(qiáng)大的新工具,用于實(shí)現(xiàn)、管理和測(cè)試WiSA技術(shù)支持的產(chǎn)品 2023-07-26
( 發(fā)表人:admin )