完成ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問題轉(zhuǎn)移

完成ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問題轉(zhuǎn)移

在部署了網(wǎng)絡(luò)負(fù)載均衡（NLB）的網(wǎng)絡(luò)中，當(dāng)某個(gè)客戶針對(duì)NLB虛擬地址發(fā)起連接請(qǐng)求時(shí)，NLB通過某種NLB算法來確定（通常是根據(jù)發(fā)起請(qǐng)求的客戶端源地址來決定）為客戶服務(wù)的NLB節(jié)點(diǎn)。在NLB節(jié)點(diǎn)沒有變動(dòng)之前，對(duì)于某個(gè)客戶，將總是由某個(gè)對(duì)應(yīng)的NLB節(jié)點(diǎn)為它提供服務(wù)。ISA防火墻企業(yè)版中的集成NLB依賴于Windows服務(wù)器系統(tǒng)的NLB服務(wù)，對(duì)于客戶發(fā)起的請(qǐng)求，也是采用相同的方式進(jìn)行處理。

例如，對(duì)于一個(gè)具有三個(gè)NLB節(jié)點(diǎn)（ISA1、ISA2、ISA3）的ISA防火墻NLB陣列，當(dāng)一個(gè)客戶（10.1.1.1）發(fā)起連接請(qǐng)求時(shí)，NLB通過NLB算法確定由ISA1為此客戶服務(wù)；而當(dāng)另外一個(gè)客戶（10.1.1.2）發(fā)起連接時(shí)，NLB通過NLB算法確定由ISA2為此客戶服務(wù)。在NLB節(jié)點(diǎn)沒有變動(dòng)時(shí)，客戶10.1.1.1的連接請(qǐng)求將會(huì)始終通過NLB節(jié)點(diǎn)ISA1來進(jìn)行處理；而客戶10.1.1.2的連接請(qǐng)求則會(huì)始終通過NLB節(jié)點(diǎn)ISA2來進(jìn)行處理。

當(dāng)某個(gè)NLB節(jié)點(diǎn)出現(xiàn)故障時(shí)，NLB將在所有節(jié)點(diǎn)上重新進(jìn)行匯聚，并重新根據(jù)NLB算法來確定為客戶提供服務(wù)的NLB節(jié)點(diǎn)。例如，此時(shí)ISA1節(jié)點(diǎn)出現(xiàn)故障，無法再提供NLB服務(wù)；則NLB重新進(jìn)行匯聚，如果客戶10.1.1.1再發(fā)起連接請(qǐng)求，則就是ISA2或者ISA3來為它進(jìn)行服務(wù)。

當(dāng)NLB節(jié)點(diǎn)失效時(shí)，NLB可以讓其他NLB節(jié)點(diǎn)來為客戶提供服務(wù)。但是，如果NLB節(jié)點(diǎn)的NLB服務(wù)沒有失效但是所提供的其他服務(wù)失效時(shí)，怎么辦呢？

如下圖所示，兩臺(tái)ISA防火墻屬于相同的NLB陣列，分別通過不同的外部鏈路連接到Internet，并且對(duì)內(nèi)部網(wǎng)絡(luò)提供NLB服務(wù)。兩臺(tái)ISA防火墻允許內(nèi)部網(wǎng)絡(luò)中的用戶通過自己來訪問外部網(wǎng)絡(luò)，正在為不同的客戶提供服務(wù)；如果此時(shí)，ISA1上的外部鏈路突然斷開，會(huì)出現(xiàn)什么情況呢？

此時(shí)，由于ISA1上的NLB服務(wù)并沒有出現(xiàn)故障，所以NLB會(huì)認(rèn)為ISA1仍然是有效的NLB節(jié)點(diǎn)，并且同樣會(huì)分配客戶給它。但是，由于外部鏈路斷開，ISA1所服務(wù)的客戶卻不能再連接到Internet了。這當(dāng)然就不能有效的實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡中的容錯(cuò)特性。

那么，出現(xiàn)這種情況時(shí)，該怎么辦呢？

答案很簡(jiǎn)單，當(dāng)出現(xiàn)這種情況時(shí)，停止ISA1上的NLB服務(wù)，這樣，NLB會(huì)認(rèn)為ISA1上的NLB服務(wù)已經(jīng)失效，將重新匯聚NLB，并且重新分配客戶。從而原來屬于ISA1的客戶可以通過仍然運(yùn)行正常的ISA2來訪問外部網(wǎng)絡(luò)。

要實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移比較簡(jiǎn)單，微軟已經(jīng)考慮到了。你可以通過配置ISA防火墻的連接性驗(yàn)證工具來實(shí)現(xiàn)當(dāng)外部鏈路出現(xiàn)故障時(shí)進(jìn)行相關(guān)的操作，但是要停止ISA防火墻上的NLB服務(wù)不是一件容易的事情。由于ISA防火墻上的NLB服務(wù)是和ISA防火墻服務(wù)集成的，所以你不能通過Windows的NLB stop命令來停止ISA防火墻上的NLB服務(wù)；微軟也沒有相關(guān)的關(guān)于如何停止ISA防火墻上的NLB服務(wù)的說明。在這種情況下，只能通過停止ISA防火墻服務(wù)來停止ISA防火墻上的NLB服務(wù)。

但是停止ISA防火墻服務(wù)后，無法依靠ISA防火墻本身啟動(dòng)ISA防火墻服務(wù)，這樣又給故障恢復(fù)時(shí)的處理帶來難題。當(dāng)外部鏈路恢復(fù)的時(shí)候，還是需要你手動(dòng)啟動(dòng)ISA防火墻服務(wù)才能將這臺(tái)ISA防火墻正常加入NLB陣列中運(yùn)行，這造成了額外的管理負(fù)擔(dān)。不過你可以通過第三方的鏈路監(jiān)測(cè)軟件實(shí)現(xiàn)NLB的故障轉(zhuǎn)移和自動(dòng)恢復(fù)，例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它們當(dāng)外部鏈路出現(xiàn)問題時(shí)停止ISA防火墻服務(wù)，而當(dāng)外部鏈路恢復(fù)時(shí)啟動(dòng)ISA防火墻。

在此我給大家演示一下如何實(shí)現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移，網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

內(nèi)部網(wǎng)絡(luò)地址范圍為10.1.1.0/24，部署了兩臺(tái)ISA企業(yè)版防火墻Florence和Firenze，操作系統(tǒng)均為Windows server 2003 SP1，IP地址分別為10.1.1.1和10.1.1.2。對(duì)內(nèi)部網(wǎng)絡(luò)配置了NLB，NLB虛擬地址為10.1.1.254，

兩臺(tái)ISA防火墻上的NLB服務(wù)均工作正常。

Berlin是內(nèi)部網(wǎng)絡(luò)中的客戶，IP地址為10.1.1.8，默認(rèn)網(wǎng)關(guān)配置為NLB的虛擬地址10.1.1.254。

我已經(jīng)創(chuàng)建了允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部網(wǎng)絡(luò)的訪問規(guī)則，已經(jīng)確認(rèn)所有網(wǎng)絡(luò)連接工作正常。在進(jìn)行整個(gè)部署之前，你必須預(yù)先考慮好如何配置有效的連接性驗(yàn)證方式，以及什么時(shí)候觸發(fā)警告。如果要驗(yàn)證外部鏈路是否連接正常，你可以Ping離你最近的外部網(wǎng)絡(luò)中的某臺(tái)持續(xù)在線的服務(wù)器或路由器的IP地址。在此我通過配置連接性驗(yàn)證工具Ping我的DNS服務(wù)器61.139.2.69實(shí)現(xiàn)，如果連續(xù)兩次不能Ping通時(shí)，則停止ISA防火墻服務(wù)。

本文中的操作步驟如下：

• 配置連接性驗(yàn)證工具；

• 配置警告操作；

• 測(cè)試；

配置連接性驗(yàn)證工具

打開ISA管理控制臺(tái)，展開陣列，點(diǎn)擊監(jiān)視節(jié)點(diǎn)，點(diǎn)擊右邊面板的連接性標(biāo)簽，最后點(diǎn)擊創(chuàng)建新的連接性驗(yàn)證程序鏈接；

在彈出的歡迎使用新建連接性驗(yàn)證程序向?qū)?/B>頁，輸入連接性驗(yàn)證程序的名稱，在此我命名為Ping 61.139.2.69，點(diǎn)擊下一步；

在連接性驗(yàn)證細(xì)節(jié)頁，在監(jiān)視到此服務(wù)器或 URL 的連接欄，輸入IP地址為61.139.2.69，然后在驗(yàn)證方法欄，選擇發(fā)送一個(gè) Ping 請(qǐng)求，點(diǎn)擊下一步；

注：關(guān)于連接性驗(yàn)證工具的使用及詳細(xì)描述，請(qǐng)參見理解ISA 2004的連通性驗(yàn)證工具一文；

在正在完成連接性驗(yàn)證程序向?qū)?/B>頁，點(diǎn)擊完成；

此時(shí)，我們的連接性驗(yàn)證工具就創(chuàng)建好了，如下圖所示，驗(yàn)證結(jié)果均正常。