Exploring ISP Redundancy in Forefront Threat Management Gateway (TMG) 2010
Εισαγωγή
Ένα από τα νέα χαρακτηριστικά του TMG, το οποίο μάλιστα ήταν εδώ και καιρό απαίτηση των administrator προς την ομάδα ανάπτυξης του TMG, είναι η δυνατότητα υποστήριξης πολλαπλών εξωτερικών δικτυακών συνδέσεων. Η λειτουργία αυτή ονομάζεται σύμφωνα με την διεθνή ορολογία ISP Redundancy (ISP-R), η οποία αποτελεί πλέον αναπόσπαστο κομμάτι του TMG 2010. Ο σκοπός του άρθρου αυτού είναι να διερευνήσουμε τις δυνατότητες τις οποίες μα παρέχει αυτή η υπηρεσία του TMG 2010, σε επίπεδο operating modes, εξήγηση του αλγορίθμου load balancing, και τέλος το Dead link process. συνεπώς με την δυνατότητα υποστήριξης δύο μοναδικών και ανεξάρτητων συνδέσεων σε δύο διαφορετικούς ISP's, μπορούμε πλέον να έχουμε fault tolerance και redundancy μεταξύ των Internet ή των WAN συνδέσεων, τις οποίες έχουμε σε χρήση.
Operating Modes
Η λειτουργία ISP-R στον TMG έχει δύο operating modes – Load Balancing και
Failover. Στο Load Balancing mode, οι συνδέσεις εξυπηρετούνται
(balanced) μεταξύ δύο εξωτερικών δικτύων evenly (by default) ή unevenly
(configurable by the administrator). Εάν κάποια από τις εξωτερικές συνδέσεις καταστεί μη διαθέσιμη τότε όλη η επικοινωνία δρομολογείται από την σύνδεση εκείνη η οποία είναι ενεργή. Στο Failover mode, το ένα από τα δύο εξωτερικά δίκτυα ρυθμίζεται ως primary connection, και το δεύτερο εξωτερικό δίκτυο ως secondary
connection. Όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το primary connection. Εάν το primary connection καταστεί μη διαθέσιμο, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το secondary connection. Όταν το primary connection καταστεί διαθέσιμο και πάλι, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται ξανά από το primary connection.
Προετοιμάζοντας τα Network Interfaces
Το ISP-R υποστηρίζει μόνον δύο συνδέσεις εξωτερικών δικτύων (external network connections), και κάθε σύνδεση θα πρέπει να βρίσκεται σε ένα και μοναδικό subnet. Για την σωστή λειτουργία και την βέλτιστη απόδοση του συστήματος, είναι απαραίτητο και τα δύο external network interfaces νε ρυθμιστούν ταυτόσημα (identically - δώστε ιδιαίτερη προσοχή στο NIC driver
offload settings). Το ιδανικό θα είναι οι δύο network interface cards να είναι του ιδίου κατασκευαστή και τύπου.
Ξεκινώντας θα πρέπει να δώσουμε σε κάθε network interface ένα χαρακτηριστικό όνομα (π.χ.
External_Otenet and External_Vodafone). Εν συνεχεία ρυθμίζουμε το πρώτο fexternal
network interface με IP address, subnet mask, και default gateway. Εάν ο TMG firewallδεν είναι μέλος ενός domain και δεν επικοινωνεί με κανένα εσωτερικό δίκτυο τότε μπορούμε να χρησιμοποιήσουμε τους ISP’s DNS servers. Ωστόσο, εάν ο TMG firewall είναι domain member, μην χρησιμοποιήσετε εδώ τους ISP DNS servers (Οι Internal DNS servers χρησιμοποιούνται μόνον στο internal network interface). Μόλις ολοκληρώσουμε τις ρυθμίσεις, κάνουμε κλικ στο Advanced…
button.
Figure 1
Uncheck το κουτί με τίτλο Automatic metric, και στην συέχεια εισάγεται την τιμή 1στο κουτί Interface metric.
Figure 2
Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network
interface, χρησιμοποιώντας τώρα Interface metric: με τιμή 2. Θα πρέπει να βεβαιωθείταιότι έχετε όρίσει default gateway στο δεύτερο external
interface. Μιλώντας σε ενιαία βάση αυτό κανονικά δεν συνιστάται, με συνέπεια τα Windows να παραπονεθούν όταν επιχειρήσετε να το ενεργοποιήσετε.
Figure 3
Σε αυτό το σενάριο είναι απολύτως ασφαλές να αγνοήσουμε την προεοδοποίηση και επιλέγουμε Yes για να συνεχίσουμε.
Σημείωση :
Εάν οι ISPs που είστε συνδεδεμένοι χρησιμοποιούν DHCP για να αναθέτουν IP addresses, τότε δεν έχετε την δυαντότητα να χρησιμοποιήτε multiple default gateways. Στην περίπτωση αυτή είμαστε υποχρεωμένοι να εισαγάγουμε default persistent static routes πριν από την ρύθμιση των ISP-R. Στο συγκεκριμένο παράδειγμα, τα routes θα πρέπει να ρυθμιστούν όπως περιγράφεται παρακάτω :
route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46
route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214
Ρυθμίσεις του ISP Redundancy
Μόλις το αρχικό network interface configuration ολοκληρωθεί , ανοίγουμε την TMG management console και στο console tree επιλέγουμε Networking,και εν συνεχεία επιλέγουμε το ISP Redundancy tab.
Figure 4
Στο Tasks pane, κάνουμε κλικ στο Configure ISP Redundancy.
Figure 5
Επιλέγουμε Next, και ενσυνεχεία επιλέγουμε το ISP redundancy mode που εξυπηρετεί τις απαιτήσεις μας. Στην συγκεκριμένη περίπτωση θα επιλέξουμε το default
option Load balancing with failover capability.
Figure 6
Καθορίζουμε το ISP connection name:, και εν συνεχεία επιλέγουμε το network
adapter από το drop-down list.
Figure 7
Γίνεται έλεγχος, έτσι ώστε να επιβεβαιώσουμε ότι το gateway address και το subnet mask είναι τα σωστά. Εάν ο
TMG firewall δεν αποτελεί μέλος ενός domain και δεν επικοινωνεί με κανένα internal network κάνοντας χρήση ονομάτων (By name), τότε μπορούμε να ορίσουμε τους ISP’s DNS
servers εδώ. Εάν ο TMG firewall είναι μέλος domain, τοτε δεν καθορίζουμε εδώ τους
ISP DNS servers (Οι εσωτερικοί DNS servers ρυθμίζονται μόνον στο
internal network interface).
Figure 8
Σε ορισμένες περιπτώσεις κάποιοι external servers μπορούν να έχουν επικοινωνία μόνον διαμέσου ένός συγκεκριμένου external link. Ένα τέτοιο παράδειγμα μπορεί να είναι ο ISP DNS
server ή ένας mail server. Eάν απαιτείται θα πρέπει να εισαγάγουμε αυτούς τους servers εδώ. Έτσι λοιπόν σε αυτό το σημείο έχουμε την δυαντότητα να καθορίσουμε συγκεκριμένους computers, computer sets, ή address
ranges.
Figure 9
Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network connection,και στην συνέχεια επιλέγουμε το distribution percentage μετακινώντας το slider στην επιθυμητή θέση. Εφόσον και τα δύο external links έχουν το ίδιο bandwidth,τότε μπορείτε με ασφάλεια να αφήσετε την ρύθμιση στο 50%. Στην αντίθετη περίπτωση κατά την οποία το bandwidth του ενός link είναι μελύτερο από το άλλο, τότε ηρύθμισετε γίνεται έτσι ώστε το συγκεκριμένο link να δέχεται μεγαλύτερο ποσοστό
traffic.
Figure 10
Επιλέγουμε Finish για να ολοκληρωθεί η διαδικασία ISP-R configuration.
Figure 11
Εάν έχουμε ρυθμίσει DNS servers στα external network
interfaces, τότε θα πρέπει να βεβαιωθούμε ότι έχουμε δημιουργήσει τα αντίστοιχα persistent static routes έτσι ώστε να εξασφαλίσουμε ότι τα requests για τα συγκεκριμένα resources δρομολογούνται (routed) από το σωστό
network interface.
Figure 12
Στο παράδειγμά μας, τα routes αυτά είναι τα παρακάτω:
route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46
route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214
Μόλις τα ρυθμίσουμε, η TMG management console θα εμφανίσει την πληροφορία για κάθε σύνδεση ISP, καθώς και το προεπιλεγμένο
redundancy mode.
Figure 13
Μετά από την ρύθμιση του ISP-R, για να κάνουμε αλλαγές στην ρύθμιση κάποιου συγκεκριμένου
ISP connection κάνουμε right-click στο connection και επιλέγουμε Properties.
Figure 14
Εδώ μπορούμε να λλάξουμε το όνομα της σύνδεσης, να μεταβάλλουμε την πληροφορία IP
address/subnet mask, να ενεροποιήσουμε ή να απενεροποιήσουμε την συγκεκριμένη σύνδεση, να τροποιήσουμε το load balancing ratio, ή να προσθέσουμε, να αλλάξουμε, ή να διαγράψουμε dedicated
servers.
Figure 15
Αλλαγή του ISP-R Operating Mode
Στο συγκεκριμένο παράδειγμα έχουμε ρυθμίσει το ISP-R για Load Balancing. Εάν θέλουμε να αλλάξουμε το ISP-R operating mode, κάνουμε κλικ στο Change ISP Redundancy
Mode to Failover στο Tasks pane.
Figure 16
Όταν γίνεται αλλαγή από το Load Balancing mode στο Failover
mode, θα πρέπει να κάνουμε edit στα connection properties και να επιλέξουμε το ενδεδειγμένο connection role για την συγκεκριμένη σύνδεση. Θυμηθείτε, ότι στο Failover
mode όλο το traffic θα σταλεί διαμέσου του primary external connection και το secondary connection θα χρησιμοποιηθεί τότε και μόνον τότεόταν το primary connection καταστεί μη διαθέσιμο.
Figure 17
Monitoring ISP-R
Για να δούμε το status του κάθε ISP connection, highlight Dashboard στο console tree.
Figure 18
Το status του κάθε ISP link θα εμφανιστεί στο Network
Status frame.
Figure 19
Εάν καποιο από τα link καταστεί μη διαθέσιμο, τότε το connection status θα εμφανίσει ένα
alert.
Figure 20
Επιπροσθέτως μπορούμε να παρακολουθήσουμε τα Connections Unavailable alert κάτω από το Alerts tab.
Figure 21
Όταν η σύνδεση είναι και πάλι online, ο TMG θα εμφανίσει ένα informative
alert ενημερώνοντας ότι η σύνδεσηείναι και πάλι διαθέσιμη.
Figure 22
Υπάρχει ένας αριθμός από ISP-R alerts με σκοπό ο TMG firewall
administrator να είναι πάντοτε ενημερωμένος για το the status και το health των external
network connections.
Figure 23
Load Balancing και Dead Link Detection
Είναι σημαντικό να αντιληφθούμε ότι το ISP-R διανέμει συνδέσεις, και όχι φορτίο. Ο τρόπος με τον οποίο το ISP-R αποφασίζει σε ποιο από τα external interface θα διανείμει το traffic καθορίζεται από την εκτέλεση ενός hash στην source
IP address και στην destination IP address. Το αποτέλεσμα είναι ένας αριθμός μεταξύ 0 και 100. Εάν το αποτέλεσμα είναι κάτω από το ποσοστό το οποίο έχει επιλεγεί για το πρώτο ISP connection, τότε οTMG θα χρησιμοποιήσει αυτό το connection. Εάν όχι, τότε ο
TMG θα χρησιμοποιήσει το άλλο external connection. Αυτό εξασφαλίζει το session
affinity(Ορολογία - Affinity : all connections for a specific source/destination address
pair will be delivered through the same external network interface). Το
hash υπολογίζεται για κάθε εξερχόμενη σύμδεση. (Outgoing Connection)
Για να καθοριστεί η διαθεσιμότητα ενός συγκεκριμένου ISP connection, ο TMG εκτελεί περιοδικά ένα dead link detection επιλέγοντας τυχαία έναν από τουε δεκατρείς (13) Internet root DNS servers στο TCP port 53 (Εάν ο TMG έχει εγκατασταθεί ωςback firewall, βεβαιωθείτε ότι το TCP port 53 είναι ανοιχτό στο Internet). Εάν ο επιλεγμένος root DNS server ανταποκριθεί, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι διαθέσιμο. Εάν δεν απαντήσει, τότε TMG θα χρησιμοποιήσει επιπλέον root DNS servers σε χρονικά διαστήματα του ενός λεπτού. Εάν και πάλι δεν ληφθούν απαντήσεις μετά από τρεις συνεχείς προσπάθειες, τότε ο TMG θεωρεί ότι το συγκεκριμένο
connection είναι μη διαθέσιμο και εμφανίζει ένα alert. Εφόσον ο TMG διαπιστώσει ότι ένα
connection είναι μη διαθέσιμο, θα περιμένει πέντε λεπτά πριν επιχειρήσει ξανά να διαπιστώσει εάν είναι διαθέσιμο ή όχι. Όταν τελικά λάβει μια απάντηση, τότε ο TMG θα συνεχίσει να ρωτά εάν είναιδιαθέσιμο κάθε ένα λεπτό. Όταν τρεις συνεχόμενες απαντήσεις έχουν ληφθεί, τότε ο TMG θα θεωρήσει ότι το connection είναι και πάλι διαθέσιμο.
Σενάρια Deployment
Η επιλογή των ISP-R operating modes επηρεάζεται πρωτίστως από τον τύπο των Internet ή των WAN connections τα οποία έχετε. Για παράδειγμα, εάν έχετε δύο όμοια Ιnternet connections όσον αφορά το bandwidth,το Load
Balancing mode είναι μια καλή επιλογή. Εάν όμως έχετε ένα high bandwidth
connection και ένα low bandwidth connection, τότε το Failover mode είναι η σωστή επιλογή. Παρόλα αυτά αν και αυτή η τεχνολογία ονομάζεται ‘ISP’
redundancy, δεν περιορίζεται μόνον στα Internet-connected links. Το ISP-R μπορεί να χρησιμοποιηθεί για να παρέχει load balancing και failover για WAN links μεταξύ ενός υποκαταστήματος και των κεντρικών γραφείων μιας επιχείρησης.
Επιπλέον Θέματα
Θα πρέπει να λάβετε υπόψην σας τα παρακάτω όταν σχεδιάζεται και υλοποιείται μια εγκατάσταση ISP-R :
Τα παρακάτω είναι στην Αγγλική γλώσσα, προκειμένου να μην αλλοιωθεί το νόημά τους μιας και προέρχονται από το Microsoft Technet.
-
Works with NAT only – ISP-R will only provide load balancing
and failover for traffic originating from TMG protected networks and
destined for the default External network, and will only work when the
network relationship is configured as NAT. If the network relationship
is configured as route, ISP-R will not function. This is
important because traffic originating from the TMG firewall itself will
not be processed by ISP-R, as the network relationship between the Local
Host network and the External network is route.
-
E-NAT overrides ISP-R – For traffic processed by a
network rule configured with Enhanced NAT (E-NAT), E-NAT takes
precedence and will override any routing decisions made by ISP-R.
-
Load balancing is not perfect – The load balancing
mechanism in ISP-R does not distribute traffic perfectly. Since traffic
is distributed by connections, not load, the potential exists for some
connections to consume more bandwidth than others, skewing the
distribution percentage.
When ISP-R is configured to provide load balancing or failover for
branch office WAN connections, the default dead link detection mechanism
may not be appropriate. If you recall, TMG will randomly poll Internet
root DNS servers to verify connectivity. If, for example, the TMG
firewall is configured to NAT traffic between a branch office and a main
office and the main office Internet connection is unavailable, TMG will
report both of its WAN connections as being unavailable, when in fact
they are.
In some cases, branch office TMG firewalls may not have direct
connectivity to the Internet, which will prevent TMG from polling
Internet root DNS servers. In this branch office firewall scenario it
would be better to poll services located directly on the other side of
the WAN connection. To change the default link detection parameters and
to make changes to polling frequency, please refer to this article
[http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx]
on the Forefront TMG product team blog.
Συμπέρασμα
Το ISP Redundancy αποτελεί ένα πολύτιμο χαρακτηριστικό του TMG διότι παρέχει fault
tolerance και redundancy για εξωτερικές συνδέσεις δικτύου (external network connections); Επίσης σε περιπτώσεις κατά τις οποίες έχουμε ISP
connections σε ανάπτυξη edge firewall, ή WAN links σε
branch office firewall scenario. Τα Load Balancing και Failover operating
modes παρέχουν την δυνατότητα ευέλικτων ρυθμίσεων έτσι ώστε να προσαρμόζονται με βάση τις προδιαγραφές των οποιονδήποτε εξωτερικών δικτύων, και σε συνδυασμό με τις απεριόριστες δυνατότητες πληροφόρησης κρατούν πάντοτε τον TMG
firewall administrator ενημερωμένο για την κατάσταση των εξωτερικών συνδέσεων δικτύου. (Εxternal network connection
status)
3 Comments
Recommended Comments