双ISA 双CSS 进行NLB方案之4服务器实例
出处:http://bbs.winos.cn/ 作者:caidanfeng 时间:2008-2-16 10:12:49
网络负载均衡介绍:
(NLB)可以实现网络服务的负载均衡和容错,当某个NLB节点或外部链路出现故障时,NLB将在所有节点上重新进行汇聚,并重新根据NLB算法来确定为客户提供服务的NLB节点并重新分配给客户。从而使原来属于ISA1的客户可以通过运行正常的ISA2来访问外部网络, 实现ISA防火墙网络负载均衡的故障转移,从而实现真正的容错.
实施目的:
保证公司内部网络到外部网络的连接正常并安全,当一台ISA服务器当机不能工作时候另一台ISA能够迅速的自动切换过来,供内部网络到外部网络安全的连接,实现容错.
两台ISA企业版服务器做阵列并配置成NLB, 2台ISA服务器通过硬件防火墙连接外部网络 ,2台ISA服务器从2台配置存储服务器读取配置信息(配置服务器是主从关系)。
正常情况下ISA1和ISA2分别响应内网所有客户端的外网访问请求,ISA通过FIREWALL访问外部网络,当ISA1(ISA2)服务器出现故障ISA2(ISA1)自动响应原来ISA1(ISA2)的客户请求,使原ISA1(ISA2)客户端仍能正常访问外部网络从而实现ISA服务器的负载以及容错.当主配置存储服务器损坏时,ISA从副配置服务器读取配置信息。
PS:我们公司是前面有路由的,如果直接外线直接连的话也是一样配置的,只是外围网卡地址变成公网地址而已。
优缺点:
优点是比较完整的容错方案,2台ISA共同响应客户端减轻了服务器的负荷,当一台服务器出现故障,停止响应客户端请求时另一台服务器自动接替故障服务器的客户端请求,内部客户端仍能不受影响访问外部网络.而当主配置服务器出错时副CSS会顶替主CSS为ISA服务器提供配置信息。
缺点是用4台服务器成本比较大,2台ISA公用一条外部链路不能起到增大带宽加快网速的作用,当周边设备(如外部链路,上游防火墙)出问题而没有一套快速的恢复方案.这套方案也无能为力。
环境:
AD/DNS:192.168.100.1/24
内网段:192.168.100.0/24
外围网:192.167.0.0/16
ISA1(isaserver1.simton.com)
内网卡: IP:192.168.100.2/24 DNS:192.168.100.1 (GW不设)
外网卡:IP:192.167.100.167/16 GW:192.167.1.117
ISA2(isaii.simton.com)
内网卡: IP:192.168.100.3/24 DNS:192.168.100.1 (GW不设)
外网卡:IP:192.167.100.161/16 GW:192.167.1.1
CSS1:192.168.100.4/24 DNS:192.168.100.1 GW:192.168.100.100
CSS2:192.168.100.1/24 DNS:192.168.100.1 GW:192.168.100.100
NLB IP:192.168.100.100
ISA版本:ISA 2004 EE 简体中文企业版
1.安装配置第一台配置存储服务器,然后安装第一台ISA服务器.
下一步 直至完成CSS1的安装 然后在ISA1上安装ISA服务。
下一步 选择连接的CSS就是刚装的那台 并创建第一个阵列
下一步到完成
完成后在ISA控制台里建立阵列内完全允许策略以使第二台能顺利安装。
2.安装第2台ISA服务器 并加入阵列
NEXT 至安装完成.
此时在控制台里能看到两台ISA服务器, 2台ISA已经和配置存储服务器同步
3.开启NLB 查看运行状况
3.开启NLB 查看运行状况
下一步,直至完成
在ISA1和2上分别查看各自的内网IP,可以看到已经添加一个虚拟IP。
查看ISA管理控制台里NLB是否运行正常
4.测试客户端上网情况以及NLB容错状况。
已经添加了内部和本机允许访问外网规则 在客户机上测试可以上网
在ISA控制台里可以看到两台ISA共同为客户端提供上网服务
测试NLB容错
先禁用一台ISA的网卡 模拟故障的发生 查看客户端上网情况
在ISA控制台里可以看到一台ISA无法工作了
然后再测试客户端上网情况
OK 可以 这时候是由一台ISA为他提供服务,在测试过程中发现NLB重新进行汇聚时间小于1分钟。
恢复这台ISA网络连接 并再另外一台ISA做NLB测试 情况一样。
5.为了保证一台存储配置服务器若出现故障ISA服务器仍能读取配置信息以修改策略规则,再建立一台从存储配置服务器。
最后想提醒一点 做NLB的网卡 一定不能是RELTEK8139的 记住!
用内网卡做阵列通讯网卡 必须要2003 SP1以上版本哦。