ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問題轉(zhuǎn)移

ISA防火墻網(wǎng)絡(luò)負(fù)載均衡地問題轉(zhuǎn)移

在部署了網(wǎng)絡(luò)負(fù)載均衡（NLB）的網(wǎng)絡(luò)中，當(dāng)某個客戶針對NLB虛擬地址發(fā)起連接請求時，NLB通過某種NLB算法來確定（通常是根據(jù)發(fā)起請求的客戶端源地址來決定）為客戶服務(wù)的NLB節(jié)點。在NLB節(jié)點沒有變動之前，對于某個客戶，將總是由某個對應(yīng)的NLB節(jié)點為它提供服務(wù)。ISA防火墻企業(yè)版中的集成NLB依賴于Windows服務(wù)器系統(tǒng)的NLB服務(wù)，對于客戶發(fā)起的請求，也是采用相同的方式進(jìn)行處理。

例如，對于一個具有三個NLB節(jié)點（ISA1、ISA2、ISA3）的ISA防火墻NLB陣列，當(dāng)一個客戶（10.1.1.1）發(fā)起連接請求時，NLB通過NLB算法確定由ISA1為此客戶服務(wù)；而當(dāng)另外一個客戶（10.1.1.2）發(fā)起連接時，NLB通過NLB算法確定由ISA2為此客戶服務(wù)。在NLB節(jié)點沒有變動時，客戶10.1.1.1的連接請求將會始終通過NLB節(jié)點ISA1來進(jìn)行處理；而客戶10.1.1.2的連接請求則會始終通過NLB節(jié)點ISA2來進(jìn)行處理。

當(dāng)某個NLB節(jié)點出現(xiàn)故障時，NLB將在所有節(jié)點上重新進(jìn)行匯聚，并重新根據(jù)NLB算法來確定為客戶提供服務(wù)的NLB節(jié)點。例如，此時ISA1節(jié)點出現(xiàn)故障，無法再提供NLB服務(wù)；則NLB重新進(jìn)行匯聚，如果客戶10.1.1.1再發(fā)起連接請求，則就是ISA2或者ISA3來為它進(jìn)行服務(wù)。

當(dāng)NLB節(jié)點失效時，NLB可以讓其他NLB節(jié)點來為客戶提供服務(wù)。但是，如果NLB節(jié)點的NLB服務(wù)沒有失效但是所提供的其他服務(wù)失效時，怎么辦呢？

如下圖所示，兩臺ISA防火墻屬于相同的NLB陣列，分別通過不同的外部鏈路連接到Internet，并且對內(nèi)部網(wǎng)絡(luò)提供NLB服務(wù)。兩臺ISA防火墻允許內(nèi)部網(wǎng)絡(luò)中的用戶通過自己來訪問外部網(wǎng)絡(luò)，正在為不同的客戶提供服務(wù)；如果此時，ISA1上的外部鏈路突然斷開，會出現(xiàn)什么情況呢？

此時，由于ISA1上的NLB服務(wù)并沒有出現(xiàn)故障，所以NLB會認(rèn)為ISA1仍然是有效的NLB節(jié)點，并且同樣會分配客戶給它。但是，由于外部鏈路斷開，ISA1所服務(wù)的客戶卻不能再連接到Internet了。這當(dāng)然就不能有效的實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡中的容錯特性。

那么，出現(xiàn)這種情況時，該怎么辦呢？

答案很簡單，當(dāng)出現(xiàn)這種情況時，停止ISA1上的NLB服務(wù)，這樣，NLB會認(rèn)為ISA1上的NLB服務(wù)已經(jīng)失效，將重新匯聚NLB，并且重新分配客戶。從而原來屬于ISA1的客戶可以通過仍然運行正常的ISA2來訪問外部網(wǎng)絡(luò)。

要實現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移比較簡單，微軟已經(jīng)考慮到了。你可以通過配置ISA防火墻的連接性驗證工具來實現(xiàn)當(dāng)外部鏈路出現(xiàn)故障時進(jìn)行相關(guān)的操作，但是要停止ISA防火墻上的NLB服務(wù)不是一件容易的事情。由于ISA防火墻上的NLB服務(wù)是和ISA防火墻服務(wù)集成的，所以你不能通過Windows的NLB stop命令來停止ISA防火墻上的NLB服務(wù)；微軟也沒有相關(guān)的關(guān)于如何停止ISA防火墻上的NLB服務(wù)的說明。在這種情況下，只能通過停止ISA防火墻服務(wù)來停止ISA防火墻上的NLB服務(wù)。

但是停止ISA防火墻服務(wù)后，無法依靠ISA防火墻本身啟動ISA防火墻服務(wù)，這樣又給故障恢復(fù)時的處理帶來難題。當(dāng)外部鏈路恢復(fù)的時候，還是需要你手動啟動ISA防火墻服務(wù)才能將這臺ISA防火墻正常加入NLB陣列中運行，這造成了額外的管理負(fù)擔(dān)。不過你可以通過第三方的鏈路監(jiān)測軟件實現(xiàn)NLB的故障轉(zhuǎn)移和自動恢復(fù)，例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它們當(dāng)外部鏈路出現(xiàn)問題時停止ISA防火墻服務(wù)，而當(dāng)外部鏈路恢復(fù)時啟動ISA防火墻。

在此我給大家演示一下如何實現(xiàn)ISA防火墻NLB的故障轉(zhuǎn)移，網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

內(nèi)部網(wǎng)絡(luò)地址范圍為10.1.1.0/24，部署了兩臺ISA企業(yè)版防火墻Florence和Firenze，操作系統(tǒng)均為Windows server 2003 SP1，IP地址分別為10.1.1.1和10.1.1.2。對內(nèi)部網(wǎng)絡(luò)配置了NLB，NLB虛擬地址為10.1.1.254，

兩臺ISA防火墻上的NLB服務(wù)均工作正常。

Berlin是內(nèi)部網(wǎng)絡(luò)中的客戶，IP地址為10.1.1.8，默認(rèn)網(wǎng)關(guān)配置為NLB的虛擬地址10.1.1.254。

我已經(jīng)創(chuàng)建了允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部網(wǎng)絡(luò)的訪問規(guī)則，已經(jīng)確認(rèn)所有網(wǎng)絡(luò)連接工作正常。在進(jìn)行整個部署之前，你必須預(yù)先考慮好如何配置有效的連接性驗證方式，以及什么時候觸發(fā)警告。如果要驗證外部鏈路是否連接正常，你可以Ping離你最近的外部網(wǎng)絡(luò)中的某臺持續(xù)在線的服務(wù)器或路由器的IP地址。在此我通過配置連接性驗證工具Ping我的DNS服務(wù)器61.139.2.69實現(xiàn)，如果連續(xù)兩次不能Ping通時，則停止ISA防火墻服務(wù)。

本文中的操作步驟如下：

• 配置連接性驗證工具；

• 配置警告操作；

• 測試；

配置連接性驗證工具

打開ISA管理控制臺，展開陣列，點擊監(jiān)視節(jié)點，點擊右邊面板的連接性標(biāo)簽，最后點擊創(chuàng)建新的連接性驗證程序鏈接；

在彈出的歡迎使用新建連接性驗證程序向?qū)?/B>頁，輸入連接性驗證程序的名稱，在此我命名為Ping 61.139.2.69，點擊下一步；

在連接性驗證細(xì)節(jié)頁，在監(jiān)視到此服務(wù)器或 URL 的連接欄，輸入IP地址為61.139.2.69，然后在驗證方法欄，選擇發(fā)送一個 Ping 請求，點擊下一步；

注：關(guān)于連接性驗證工具的使用及詳細(xì)描述，請參見理解ISA 2004的連通性驗證工具一文；

在正在完成連接性驗證程序向?qū)?/B>頁，點擊完成；

此時，我們的連接性驗證工具就創(chuàng)建好了，如下圖所示，驗證結(jié)果均正常。