Quản trị mạng - Một trong những tính năng đáng chú ý trong phiên bản TMG Firewall 2010 là khả năng cân bằng tải ISP. Nếu đã từng sử dụng ISA Firewall bạn có thể thấy rằng khả năng hỗ trợ cho cho nhiều ISP là một tính năng cần thiết kể từ khi ISA 2004 được phát hành. Và tính năng này sẽ được tích hợp trong phiên bản TMG Firewall 2010 sắp tới.
Trong phần 1 của bài viết này chúng ta sẽ thực hiện cấu hình cho hệ thống ảo và các giao tiếp của TMG Firewall.
Trước khi tìm hiểu tính năng multi-ISP của TMG, chúng ta sẽ khái quát một số điểm cơ bản của TMG Firewall:
- Trong khi thuật ngữ được sử dụng cho tính năng này là hỗ trợ multi-ISP, để cho rõ ràng hơn chúng ta có thể gọi hỗ trợ này là dual ISP vì nó chỉ cho phép tối đa 2 ISP.
- Sẽ phải có một mối quan hệ NAT giữa mạng đích và mạng nguồn, do đó nếu đang sử dụng một mối quan hệ định tuyến trên bất kì Protected Network nào của TMG Firewall thì chúng cũng không thể tận dụng được nhiều ISP.
- Mỗi kết nối ISP cần kết nối tới một cổng nối mặc định trên một ID mạng khác nhau như ISP khác, cả hai cổng nối mặc định không thể tồn tại trên cùng một ID mạng (có nghĩa là những địa chỉ mạng ngoài trên TMG Firewall cũng không thể có cùng một ID mạng).
- Không thể sử dụng DHCP để lấy địa chỉ của những giao tiếp ngoài, nếu đang sử dụng kết nối ISP kiểu người dùng tại nhà thì bạn không được hỗ trợ multi-ISP.
- Bạn có thể lưu trữ cả hai kết nối ISP trên một hoặc hai NIC. Trong bài viết này chúng ta sẽ tìm hiểu cấu hình gồm 2 NIC trong đó mỗi kết nối ISP được hiển thị bởi giao tiếp ngoài riêng.
- Xử lý chuyển tải mạng cần được cài đặt bật (on) hoặc tắt (off) trên cả hai NIC, nếu một trong hai NIC này ở trạng thái mở và NIC còn lại ở trạng thái tắt thì xử lý chuyển tải sẽ bị tắt bỏ trên NIC đang bật.
Sử dụng ISP trên Multi-ISP
Hỗ trợ Multi-ISP cho phép chúng ta sử dụng ISP theo một trong hai cách sau:
Failover only (Chỉ chuyển đổi trạng thái). Trong chế độ này một ISP sẽ luôn được sử dụng cho đến khi nó không còn sử dụng được nữa. Khi tình huống này xảy ra các kết nối sẽ được chuyển tiếp tới ISP phụ. Đây là một sự lựa chọn đúng đắn khi sử dụng một liên kết tốc độ cao và một liên kết tốc độ thấp, ngoài ra chúng ta sẽ không phải tiêu tốn chi phí cho băng thông rộng mà chỉ sử dụng đến khi cần thiết.
Failover and load balancing (Chuyển tiếp và cân bằng tải). Trong chế độ này cả hai liên kết sẽ được sử dụng. Chúng ta có một tùy chọn để cài đặt dung lượng cho mỗi liên kết, do đó bạn sẽ không phải sử dụng đồng thời cả hai liên kết này. Nếu một trong hai liên kết thất bại mọi kết nối sẽ chuyển sang liên kết đang trực tuyến.
Hỗ trợ Multi-ISP cho môi trường ảo
Tiếp theo chúng ta sẽ thực hiện một số thao tác để môi trường ảo cũng nhận được hỗ trợ Multi-ISP. Trong bài viết này chúng ta sẽ sử dụng VMWare Workstation, ngoài ra bạn có thể sử dụng Windows Virtual PC, ESX Server hay Microsoft Hyper-V. Không có quá nhiều sự khác biệt giữa các phần mềm này vì chúng đều sử dụng những nguyên lý giống nhau.
Trước tiên chúng ta sẽ bắt đầu với lược đồ mạng ảo cơ bản. Chúng ta sẽ sử dụng 4 mạng ảo hay phần chuyển đổi ảo, mỗi mạng thuộc về một phân đoạn phát tán Ethernet ảo hay vật lý khác nhau.
- Bridged: Đây là mạng đang sử dụng trong hệ thống mạng của công ty. Những NIC ảo sẽ được kết nối tới mạng này, sẽ có một số địa chỉ IP hợp lệ trên mạng đang sử dụng và sử dụng mạng này để kết nối Internet.
- VMNet3: Đây là một phần chuyển đổi ảo biểu trưng cho phân đoạn Ethernet thực hiện kết nối TMG Firewall tới ISP đầu tiên.
- VMNet4: Đây là một phần chuyển đổi ảo đại diện cho phân đoạn Ethernet thực hiện kết nối TMG Firewall tới ISP thứ hai.
- VMNet2: Đây là một phần chuyển đổi ảo đại diện cho phân đoạn Ethernet thực hiện kết nối TMG Firewall tới mạng Internet mặc định.
Hình 1 hiển thị các VMNet và những thiết bị kết nối tới chúng:
- RRAS1: Đây là một máy ảo Windows Server 2003 với dịch vụ RRAS được cấu hình như một máy chủ NAT. Giao tiếp ngoài của máy ảo này được kết nối Bridged Network, và giao tiếp nội bộ được kết nối tới VMNet3, thực hiện kết nối NIC trên TMG Firewall được sử dụng cho RRAS1 ISP tới máy chủ RRAS Windows 2003 NAT.
- RRAS2: Đây là một máy ảo Windows Server 2003 với dịch vụ RRAS được cấu hình như một máy chủ NAT. Giao tiếp ngoài được được kết nối tới Bridged Network và giao tiếp nội bộ được được kết nối tới VMNet4, thực hiện kết nối NIC trên TMG Firewall được RRAS2 ISP sử dụng tới máy chủ RRAS Windows NAT.
- TMG Firewall: TMG Firewall có ba NIC. Một kết nối tới VMNet3 (VMNet3 kết nối NIC này tới RRAS1 ISP), một kết nối tới VMNet4 (được kết nối tới RRAS2 ISP), và NIC còn lại kết nối tới VMNet2 (kết nối TMG Firewall tới mạng Internet mặc định).
- DC: Là một Domain Controller của Windows Server 2003 cho miền msfirewall.org. TMG Firewall thuộc về miền này và được kết nối tới VMNet2.
Một số lưu ý khi thực hiện cấu hình:
1. Node RRAS1 và RRAS2 hiển thị các Gateway mặc định chúng ta sẽ xử dụng khi cấu hình ISP cho toàn hệ thống. Do đó, địa chỉ IP nội bộ của RRAS1 hiển thị Gateway mặc định của ISP đầu tiên, và địa chỉ IP nội bộ của RRAS2 đại diện cho Gateway mặc định của ISP thứ hai. Hệ thống thử nghiệm của chúng ta hoàn toàn khác, trong đó kết nối Internet được thực hiện qua Bridged Network, vì vậy những giao tiếp ngoài trên RRAS1 và RRAS2 cùng sử dụng Gateway mặc định.
2. Chúng ta đang sử dụng những NIC chuyên dụng trên TMG Firewall cho mỗi ISP. Điều này là không cần thiết, nhưng trong phần tiếp theo chúng ta sẽ thực hiện cấu hình các kết nối ISP khi không có NIC chuyên dụng.
3. Chúng ta có thể tạo ra phân đoạn mạng tương tự với một số công cụ ảo khác (như Windows Virtual PC, ESX và Hyper-V) có hỗ hỗ trợ phương thức phân đoạn mạng tương tự.
Hình 1
TIN HÔM NAY
RSS
Bản in
Gửi cho bạn bè
Phản hồi
