Jump to content
  • entries
    83
  • comments
    41
  • views
    25732

Exploring ISP Redundancy in Forefront Threat Management Gateway (TMG) 2010


Jordan_Tsafaridis

748 views

 Share

Εισαγωγή

Ένα από τα νέα χαρακτηριστικά του TMG, το οποίο μάλιστα ήταν εδώ και καιρό απαίτηση των administrator προς την ομάδα ανάπτυξης του TMG, είναι η δυνατότητα υποστήριξης πολλαπλών εξωτερικών δικτυακών συνδέσεων. Η λειτουργία αυτή ονομάζεται σύμφωνα με την διεθνή ορολογία ISP Redundancy (ISP-R), η οποία αποτελεί πλέον αναπόσπαστο κομμάτι του TMG 2010. Ο σκοπός του άρθρου αυτού είναι να διερευνήσουμε τις δυνατότητες τις οποίες μα παρέχει αυτή η υπηρεσία του TMG 2010, σε επίπεδο operating modes, εξήγηση του αλγορίθμου load balancing, και τέλος το Dead link process. συνεπώς με την δυνατότητα υποστήριξης δύο μοναδικών και ανεξάρτητων συνδέσεων σε δύο διαφορετικούς ISP's, μπορούμε πλέον να έχουμε fault tolerance και redundancy μεταξύ των Internet ή των WAN συνδέσεων, τις οποίες έχουμε σε χρήση.

 

Operating Modes

Η λειτουργία ISP-R στον TMG έχει δύο operating modes – Load Balancing και

Failover. Στο Load Balancing mode, οι συνδέσεις εξυπηρετούνται

(balanced) μεταξύ δύο εξωτερικών δικτύων evenly (by default) ή unevenly

(configurable by the administrator). Εάν κάποια από τις εξωτερικές συνδέσεις καταστεί μη διαθέσιμη τότε όλη η επικοινωνία δρομολογείται από την σύνδεση εκείνη η οποία είναι ενεργή. Στο Failover mode, το ένα από τα δύο εξωτερικά δίκτυα ρυθμίζεται ως primary connection, και το δεύτερο εξωτερικό δίκτυο ως secondary

connection. Όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το primary connection. Εάν το primary connection καταστεί μη διαθέσιμο, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται από το secondary connection. Όταν το primary connection καταστεί διαθέσιμο και πάλι, τότε όλες οι υπηρεσίες επικοινωνίας δρομολογούνται ξανά από το primary connection.

Προετοιμάζοντας τα Network Interfaces

Το ISP-R υποστηρίζει μόνον δύο συνδέσεις εξωτερικών δικτύων (external network connections), και κάθε σύνδεση θα πρέπει να βρίσκεται σε ένα και μοναδικό subnet. Για την σωστή λειτουργία και την βέλτιστη απόδοση του συστήματος, είναι απαραίτητο και τα δύο external network interfaces νε ρυθμιστούν ταυτόσημα (identically - δώστε ιδιαίτερη προσοχή στο NIC driver

offload settings). Το ιδανικό θα είναι οι δύο network interface cards να είναι του ιδίου κατασκευαστή και τύπου.

Ξεκινώντας θα πρέπει να δώσουμε σε κάθε network interface ένα χαρακτηριστικό όνομα (π.χ.

External_Otenet and External_Vodafone). Εν συνεχεία ρυθμίζουμε το πρώτο fexternal

network interface με IP address, subnet mask, και default gateway. Εάν ο TMG firewallδεν είναι μέλος ενός domain και δεν επικοινωνεί με κανένα εσωτερικό δίκτυο τότε μπορούμε να χρησιμοποιήσουμε τους ISP’s DNS servers. Ωστόσο, εάν ο TMG firewall είναι domain member, μην χρησιμοποιήσετε εδώ τους ISP DNS servers (Οι Internal DNS servers χρησιμοποιούνται μόνον στο internal network interface). Μόλις ολοκληρώσουμε τις ρυθμίσεις, κάνουμε κλικ στο Advanced…

button.

image0021272712470336.jpg

Figure 1

Uncheck το κουτί με τίτλο Automatic metric, και στην συέχεια εισάγεται την τιμή 1στο κουτί  Interface metric.

image0041272712470352.jpg

Figure 2

Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network

interface, χρησιμοποιώντας τώρα Interface metric: με τιμή 2. Θα πρέπει να βεβαιωθείταιότι έχετε όρίσει default gateway στο δεύτερο external

interface. Μιλώντας σε ενιαία βάση αυτό κανονικά δεν συνιστάται, με συνέπεια τα Windows να παραπονεθούν όταν επιχειρήσετε να το ενεργοποιήσετε.

image0061272712470352.jpg

Figure 3

Σε αυτό το σενάριο είναι απολύτως ασφαλές να αγνοήσουμε την προεοδοποίηση και επιλέγουμε Yes για να συνεχίσουμε.

Σημείωση :

Εάν οι ISPs που είστε συνδεδεμένοι χρησιμοποιούν DHCP για να αναθέτουν IP addresses, τότε δεν έχετε την δυαντότητα να χρησιμοποιήτε multiple default gateways. Στην περίπτωση αυτή είμαστε υποχρεωμένοι να εισαγάγουμε default persistent static routes πριν από την ρύθμιση των ISP-R. Στο συγκεκριμένο παράδειγμα, τα routes θα πρέπει να ρυθμιστούν όπως περιγράφεται παρακάτω :

route add –p 0.0.0.0 mask 0.0.0.0 131.107.54.46

route add –p 0.0.0.0 mask 0.0.0.0 207.213.91.214

Ρυθμίσεις του ISP Redundancy

Μόλις το αρχικό network interface configuration ολοκληρωθεί , ανοίγουμε την TMG management console και στο console tree επιλέγουμε Networking,και εν συνεχεία επιλέγουμε το  ISP Redundancy tab.

image0081272712470368.jpg

Figure 4

Στο Tasks pane, κάνουμε κλικ στο Configure ISP Redundancy.

image0101272712601914.jpg

Figure 5

Επιλέγουμε Next, και ενσυνεχεία επιλέγουμε το ISP redundancy mode που εξυπηρετεί τις απαιτήσεις μας. Στην συγκεκριμένη περίπτωση θα επιλέξουμε το default

option Load balancing with failover capability.

image0121272712601930.jpg

Figure 6

Καθορίζουμε το ISP connection name:, και εν συνεχεία επιλέγουμε το network

adapter από το drop-down list.

image0141272712601930.jpg

Figure 7

Γίνεται έλεγχος, έτσι ώστε να επιβεβαιώσουμε ότι το gateway address και το subnet mask είναι τα σωστά. Εάν ο

TMG firewall δεν αποτελεί μέλος ενός domain και δεν επικοινωνεί με κανένα internal network κάνοντας χρήση ονομάτων (By name), τότε μπορούμε να ορίσουμε τους ISP’s DNS

servers εδώ. Εάν ο TMG firewall είναι μέλος domain, τοτε δεν καθορίζουμε εδώ τους

ISP DNS servers (Οι εσωτερικοί DNS servers ρυθμίζονται μόνον στο

internal network interface).

image0161272712601930.jpg

Figure 8

Σε ορισμένες περιπτώσεις κάποιοι external servers μπορούν να έχουν επικοινωνία μόνον διαμέσου ένός συγκεκριμένου external link. Ένα τέτοιο παράδειγμα μπορεί να είναι ο  ISP DNS

server ή ένας mail server. Eάν απαιτείται θα πρέπει να εισαγάγουμε αυτούς τους servers εδώ. Έτσι λοιπόν σε αυτό το σημείο έχουμε την δυαντότητα να καθορίσουμε συγκεκριμένους computers, computer sets, ή address

ranges.

image0181272712728696.jpg

Figure 9

Επαναλαμβάνουμε την ίδια διαδικασία και για το δεύτερο external network connection,και στην συνέχεια επιλέγουμε το  distribution percentage μετακινώντας το slider στην επιθυμητή θέση. Εφόσον και τα δύο external links έχουν το ίδιο bandwidth,τότε μπορείτε με ασφάλεια να αφήσετε την ρύθμιση στο 50%. Στην αντίθετη περίπτωση κατά την οποία το bandwidth του ενός link είναι μελύτερο από το άλλο, τότε ηρύθμισετε γίνεται έτσι ώστε το συγκεκριμένο link να δέχεται μεγαλύτερο ποσοστό

traffic.

image0201272712728696.jpg

Figure 10

Επιλέγουμε Finish για να ολοκληρωθεί η διαδικασία ISP-R configuration.

image0221272712728711.jpg

Figure 11

Εάν έχουμε ρυθμίσει DNS servers στα external network

interfaces, τότε θα πρέπει να βεβαιωθούμε ότι έχουμε δημιουργήσει τα αντίστοιχα persistent static routes έτσι ώστε να εξασφαλίσουμε ότι τα requests για τα συγκεκριμένα resources δρομολογούνται (routed) από το σωστό

network interface.

image0241272712728711.jpg

Figure 12

Στο παράδειγμά μας, τα routes αυτά είναι τα παρακάτω:

route add -p 131.107.54.200 mask 255.255.255.255 131.107.54.46

route add -p 207.213.91.214 mask 255.255.255.255 207.213.91.214

Μόλις τα ρυθμίσουμε, η TMG management console θα εμφανίσει την πληροφορία για κάθε σύνδεση ISP, καθώς και το προεπιλεγμένο

redundancy mode.

image0261272712855164.jpg

Figure 13

Μετά από την ρύθμιση του ISP-R, για να κάνουμε αλλαγές στην ρύθμιση κάποιου συγκεκριμένου

ISP connection κάνουμε right-click στο connection και επιλέγουμε Properties.

image0281272712855164.jpg

Figure 14

Εδώ μπορούμε να λλάξουμε το όνομα της σύνδεσης, να μεταβάλλουμε την πληροφορία IP

address/subnet mask, να ενεροποιήσουμε ή να απενεροποιήσουμε την συγκεκριμένη σύνδεση, να τροποιήσουμε το load balancing ratio, ή να προσθέσουμε, να αλλάξουμε, ή να διαγράψουμε dedicated

servers.

image0301272712855180.jpg

Figure 15

Αλλαγή του ISP-R Operating Mode

Στο συγκεκριμένο παράδειγμα έχουμε ρυθμίσει το ISP-R για Load Balancing. Εάν θέλουμε να αλλάξουμε το ISP-R operating mode, κάνουμε κλικ στο Change ISP Redundancy

Mode to Failover στο Tasks pane.

 

image0321272712855180.jpg

Figure 16

Όταν γίνεται αλλαγή από το Load Balancing mode στο Failover

mode, θα πρέπει να κάνουμε edit στα connection properties και να επιλέξουμε το ενδεδειγμένο connection role για την συγκεκριμένη σύνδεση. Θυμηθείτε, ότι στο Failover

mode όλο το traffic θα σταλεί διαμέσου του primary external connection και το secondary connection θα χρησιμοποιηθεί τότε και μόνον τότεόταν το primary connection καταστεί μη διαθέσιμο.

image0341272712975727.jpg

Figure 17

Monitoring ISP-R

Για να δούμε το status του κάθε ISP connection, highlight Dashboard στο console tree.

image0361272712975727.jpg

Figure 18

Το status του κάθε ISP link θα εμφανιστεί στο Network

Status frame.

image0381272712975727.jpg

Figure 19

Εάν καποιο από τα link καταστεί μη διαθέσιμο, τότε το connection status θα εμφανίσει ένα

alert.

image0401272712975727.jpg

Figure 20

Επιπροσθέτως μπορούμε να παρακολουθήσουμε τα Connections Unavailable alert κάτω από το  Alerts tab.

image0421272713134883.jpg

Figure 21

Όταν η σύνδεση είναι και πάλι online, ο TMG θα εμφανίσει ένα informative

alert ενημερώνοντας ότι η σύνδεσηείναι και πάλι διαθέσιμη.

image0441272713134883.jpg

Figure 22

Υπάρχει ένας αριθμός από ISP-R alerts με σκοπό ο TMG firewall

administrator να είναι πάντοτε ενημερωμένος για το the status και το health των external

network connections.

image0461272713134883.jpg

Figure 23

Load Balancing και Dead Link Detection

Είναι σημαντικό να αντιληφθούμε ότι το ISP-R διανέμει συνδέσεις, και όχι φορτίο. Ο τρόπος με τον οποίο το ISP-R αποφασίζει σε ποιο από τα external interface θα διανείμει το traffic καθορίζεται από την εκτέλεση ενός hash στην source

IP address και στην destination IP address. Το αποτέλεσμα είναι ένας αριθμός μεταξύ 0 και 100. Εάν το αποτέλεσμα είναι κάτω από το ποσοστό το οποίο έχει επιλεγεί για το πρώτο ISP connection, τότε οTMG θα χρησιμοποιήσει αυτό το connection. Εάν όχι, τότε ο

TMG θα χρησιμοποιήσει το άλλο external connection. Αυτό εξασφαλίζει το session

affinity(Ορολογία - Affinity : all connections for a specific source/destination address

pair will be delivered through the same external network interface). Το

hash υπολογίζεται για κάθε εξερχόμενη σύμδεση. (Outgoing Connection)

Για να καθοριστεί η διαθεσιμότητα ενός συγκεκριμένου ISP connection, ο TMG εκτελεί περιοδικά ένα dead link detection επιλέγοντας τυχαία έναν από τουε δεκατρείς (13) Internet root DNS servers στο TCP port 53 (Εάν ο TMG  έχει εγκατασταθεί ωςback firewall, βεβαιωθείτε ότι το TCP port 53 είναι ανοιχτό στο Internet). Εάν ο επιλεγμένος root DNS server ανταποκριθεί, τότε ο TMG θεωρεί ότι το συγκεκριμένο connection είναι διαθέσιμο. Εάν δεν απαντήσει, τότε TMG θα χρησιμοποιήσει επιπλέον root DNS servers σε χρονικά διαστήματα του ενός λεπτού. Εάν και πάλι δεν ληφθούν απαντήσεις μετά από τρεις συνεχείς προσπάθειες, τότε ο TMG θεωρεί ότι το συγκεκριμένο

connection είναι μη διαθέσιμο και εμφανίζει ένα alert. Εφόσον ο TMG διαπιστώσει ότι ένα

connection είναι μη διαθέσιμο, θα περιμένει πέντε λεπτά πριν επιχειρήσει ξανά να διαπιστώσει εάν είναι διαθέσιμο ή όχι. Όταν τελικά λάβει μια απάντηση, τότε ο TMG θα συνεχίσει να ρωτά εάν είναιδιαθέσιμο κάθε ένα λεπτό. Όταν τρεις συνεχόμενες απαντήσεις έχουν ληφθεί, τότε ο TMG θα θεωρήσει ότι το connection είναι και πάλι διαθέσιμο.

Σενάρια Deployment

Η επιλογή των ISP-R operating modes επηρεάζεται πρωτίστως από τον τύπο των Internet ή των WAN connections τα οποία έχετε. Για παράδειγμα, εάν έχετε δύο όμοια Ιnternet connections όσον αφορά το bandwidth,το Load

Balancing mode είναι μια καλή επιλογή. Εάν όμως έχετε ένα high bandwidth

connection και ένα low bandwidth connection, τότε το Failover mode είναι η σωστή επιλογή. Παρόλα αυτά αν και αυτή η τεχνολογία ονομάζεται ‘ISP’

redundancy, δεν περιορίζεται μόνον στα Internet-connected links. Το ISP-R μπορεί να χρησιμοποιηθεί για να παρέχει load balancing και failover για WAN links μεταξύ ενός υποκαταστήματος και των κεντρικών γραφείων μιας επιχείρησης.

Επιπλέον Θέματα

Θα πρέπει να λάβετε υπόψην σας τα παρακάτω όταν σχεδιάζεται και υλοποιείται μια εγκατάσταση ISP-R :

Τα παρακάτω είναι στην Αγγλική γλώσσα, προκειμένου να μην αλλοιωθεί το νόημά τους μιας και προέρχονται από το Microsoft Technet.

 

  • Works with NAT only – ISP-R will only provide load balancing

    and failover for traffic originating from TMG protected networks and

    destined for the default External network, and will only work when the

    network relationship is configured as NAT. If the network relationship

    is configured as route, ISP-R will not function. This is

    important because traffic originating from the TMG firewall itself will

    not be processed by ISP-R, as the network relationship between the Local

    Host network and the External network is route.

     

  • E-NAT overrides ISP-R – For traffic processed by a

    network rule configured with Enhanced NAT (E-NAT), E-NAT takes

    precedence and will override any routing decisions made by ISP-R.

     

  • Load balancing is not perfect – The load balancing

    mechanism in ISP-R does not distribute traffic perfectly. Since traffic

    is distributed by connections, not load, the potential exists for some

    connections to consume more bandwidth than others, skewing the

    distribution percentage.

When ISP-R is configured to provide load balancing or failover for

branch office WAN connections, the default dead link detection mechanism

may not be appropriate. If you recall, TMG will randomly poll Internet

root DNS servers to verify connectivity. If, for example, the TMG

firewall is configured to NAT traffic between a branch office and a main

office and the main office Internet connection is unavailable, TMG will

report both of its WAN connections as being unavailable, when in fact

they are.

In some cases, branch office TMG firewalls may not have direct

connectivity to the Internet, which will prevent TMG from polling

Internet root DNS servers. In this branch office firewall scenario it

would be better to poll services located directly on the other side of

the WAN connection. To change the default link detection parameters and

to make changes to polling frequency, please refer to this article

[http://blogs.technet.com/isablog/archive/2009/11/26/tmg-isp-redundancy-unleashed.aspx]

on the Forefront TMG product team blog.

Συμπέρασμα

Το ISP Redundancy αποτελεί ένα πολύτιμο χαρακτηριστικό του TMG διότι παρέχει fault

tolerance και redundancy για εξωτερικές συνδέσεις δικτύου (external network connections); Επίσης σε περιπτώσεις κατά τις οποίες έχουμε ISP

connections σε ανάπτυξη edge firewall, ή WAN links σε

branch office firewall scenario. Τα Load Balancing και Failover operating

modes παρέχουν την δυνατότητα ευέλικτων ρυθμίσεων έτσι ώστε να προσαρμόζονται με βάση τις προδιαγραφές των οποιονδήποτε εξωτερικών δικτύων, και σε συνδυασμό με τις απεριόριστες δυνατότητες πληροφόρησης κρατούν πάντοτε τον TMG

firewall administrator ενημερωμένο για την κατάσταση των εξωτερικών συνδέσεων δικτύου. (Εxternal network connection

status)

 Share

3 Comments


Recommended Comments

ΑΨΟΓΟΣ!

 

Όντως σε ευχαριστούμε Jordan για τη λεπτομερή και ιδιαίτερα χρήσιμη ενημέρωση. Και τώρα από τη θεωρία μπορούμε να πάμε στην πράξη !

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...