配置ISA Server 2004企业版中的网络负载均衡 - 【网络安全技术】 - 我是网管论坛

blazewind

版主

网络安全技术

UID 504934
精华 4
积分 692
帖子 1275
MST币 10136 点
BST币 692 点赚取
阅读权限 180
注册 2007-3-25
来自河北
状态在线

大中小

[ 使用道具 ]

发表于 2007-6-25 17:16 [ 资料 ] [ 博客 ] [ 主页 ] [ 短消息 ] [ 加为好友 ]

配置ISA Server 2004企业版中的网络负载均衡

本帖发表在我是网管论坛，帖子地址：http://bbs.54master.com/173431,1,1

转自ISA中文站网络负载均衡技术（Network Load Balancing，NLB）采用完全分配算法来为集群中的服务器分配进入的访问流量，当集群中的某台服务器失效时，NLB会自动转发数据到其他可用的服务器上。这个过程完全是NLB自动进行的，对于客户而言，只是在初始化连接时稍为有点延迟。通过NLB，你可以把最多31台服务器配置成为一个集群，使你的网络具有高度的扩展性和稳定性，为客户提供不间断的服务。在Windows 2000高级服务器版和Windows 2003服务器企业版中，均集成了网络负载均衡技术。在ISA Server 2004企业版中，利用ISA Server 2004全新的多网络核心，集成了网络负载均衡技术。阵列中的任何一个物理连接的网络都可以实现NLB，并且，通过良好的控制界面，你只需要简单的几个步骤，就可以实现网络负载均衡。网络负载均衡是基于阵列启用的，每个阵列都可以配置NLB为下列两种模式之一：

集成NLB模式（推荐模式）。在这种模式下，你使用ISA Server管理控制台来配置NLB，你可以享受到集成方便的管理和维护特性；
非集成NLB模式。在这种模式下，你使用Windows系统提供的NLB工具来对NLB进行配置，而不是通过ISA Server的管理控制台。

　默认情况下，在安装ISA Server 2004企业版后，集成NLB并未启用（NLB由操作系统系统提供）。你需要在ISA Server 2004管理控制台中启用集成NLB。当阵列启用NLB后，你可以为阵列的任何一个物理连接的网络启用NLB。微软推荐你除了用于域内通信的网络外，为其他任何物理连接的网络启用NLB。在启用NLB时，你需要为此网络在原有的IP地址外指定一个不冲突的虚拟IP地址，这个虚拟IP地址是给此集群中的所有服务器共用。当在集成NLB模式下，ISA Server会自动修改网络适配器的TCP/IP属性来添加对应的虚拟IP地址。此网络适配器原有的IP地址称为专用IP地址，启用了NLB的ISA Server服务器的每个网络适配器必须拥有一个专用IP地址用于集群内部之间的通信。虚拟IP地址必须和专用IP地址属于同个子网，并且具有相同的子网掩码。 NLB允许一个子网内的所有集群成员服务器同时检测到进入的的通往集群IP地址（虚拟IP地址）的网络流量，在每个集群主机上，NLB驱动扮演这网络适配器驱动和TCP/IP协议栈之间的过滤器角色，来在主机之间分配流量。ISA Server 2004接管了这一点，允许在更复杂的网络环境中配置NLB，例如在包含VPN、CARP和防火墙客户等等的网络中。当你启用集成NLB模式时，ISA Server会对指定的网络进行网络负载均衡，并自动决定哪个网络适配器应该被NLB所用，每个网络只能使用一个网络适配器。ISA Server使用以下算法来选择NLB使用的网络适配器：

看启用NLB的网络的对应的网络适配器是否具有静态IP地址，没有静态IP地址的接口将会被去除；
从NLB候选列表中把用于域内通信的网络适配器移除；
按字母顺序对网络适配器的名字进行排序；
选择第一个具有和指定的虚拟IP地址相同子网的网络适配器；

这样，你可以通过修改网络适配器的名字来控制使用哪个网络适配器，修改后需要重启Microsoft Firewall服务。下图是我们的试验网络，在这个试验中，我们将对外部网络（Internet）配置NLB（虚拟IP地址为61.139.0.254），然后在虚拟IP地址上发布内部网络Client1上的Web站点，然后在外部网络的主机Sydeny上访问发布的Web站点，测试在一台集群的主机发生故障时网络的负载均衡功能。

网络连接已经确认正常工作，Florence和Istanbul已经安装了ISA Server服务，共享安装在Florence上的配置存储服务器，并且同属FLORENCE阵列，在FLORENCE阵列防火墙策略中，已经建立了一条允许所有网络访问所有网络的所有服务的访问规则（仅在试验环境中使用，商用网络中切忌不可）。此次试验不涉及DNS，各台服务器的DNS服务器设置为空，各服务器的TCP/IP设置如下： Florence Internal：

IP：192.168.0.1/24
DG：None

External：

IP：61.139.0.1/24
DG：61.139.0.1

Istanbul Internal：

IP：192.168.0.8/24
DG：None

External：

IP：61.139.0.8/24
DG：None

Client1

IP:192.168.0.10/24
DG:None

Sydeny

IP:61.139.0.10/24
DG:None

　我们按照以下步骤进行试验：

启用并配置集成NLB；
发布内部的Web站点；
测试网络负载均衡功能；

　 NLB是在阵列成功配置的基础上才能使用的，关于如何安装阵列，请参见ISA中文站技术文章“ISA Server 2004企业版Beta安装指南”，本文不涉及ISA Server 2004企业版的安装及阵列的配置。

1、启用并配置集成NLB 我们先得启用集成NLB，打开ISA Server 2004企业版管理控制台，依次展开左面板的阵列、FLORENCE、配置、网络，然后在右边的任务面板的任务标签下，点击启用集成网络负载均衡；

在弹出的欢迎使用集成网络负载均衡向导页，点击下一步；

在弹出的选择负载均衡网络页，勾选外部，然后点击设置虚拟IP，在弹出的设置虚拟IP地址对话框，输入你想设置的虚拟IP地址和掩码，在此我输入61.139.0.254和255.255.255.0。注意，这个不能随便输入，必须：1、虚拟IP地址和此网络对应的专用IP地址（在此是61.139.0.1）必须在一个子网内；2、虚拟IP地址的子网掩码必须和此网络对应的专用IP地址的子网掩码一致。点击确定；

完成后如下图所示，点击下一步；

最后点击完成；

在弹出的提示窗口上点击确定（提示你注意配置存储服务器名字的访问）。

NLB的启用和配置就完成了。

2、发布内部的Web站点现在我们来发布内部网络中Client1上的的Web站点，右击防火墙策略，然后点击新建，选择Web服务器发布规则，

在弹出的欢迎使用新建Web发布规则向导页，输入规则名字，在此我命名为Publish Internal web site，点击下一步；在规则动作页，选择允许，点击下一步；在定义发布的Web站点页，输入内部Web服务器的IP地址192.168.0.10，点击下一步；

在公共名字细节页，选择所有域名，然后点击下一步；在选择Web侦听器页，点击新建，在弹出的欢迎使用新建Web侦听器向导页，输入侦听器的名字，在此我输入Listen 254'tcp 80，点击下一步；在IP地址页，勾选外部，然后点击地址，

在外部网络侦听IP地址选择对话框，选择指定IP地址，然后点击左框的61.139.0.254，点击添加，然后点击确定，

完成后如下图所示，点击下一步；

在指定端口页，接受默认的80端口，点击下一步；然后在正在完成新建Web侦听器向导页，点击完成；然后在选择Web侦听器页，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；最后在正在完成新建Web发布规则向导页，点击完成。　现在，我们需要应用策略，点击应用按钮保存修改和更新防火墙策略，ISA弹出提示框，提示你修改需要重启ISA服务，点击保存修改和重启服务，点击确定；

等一会后，ISA提示你应用成功，点击确定，然后在监视的配置状态里面确认两台ISA Server的配置已经同步。
3、测试网络负载均衡功能现在我们来测试一下网络负载均衡功能，首先，我们在外部的Sydeny上访问发布的Web站点（http://61.139.0.254），

访问成功。关闭浏览器，我们在监视的会话里面看看，注意看黄色的那行，为外部的Sydeny提供的服务的ISA Server是Florence，

现在我们把Florence上的Microsoft Firewall服务停止试试，在服务里面右击Florence的Microsoft Firewall服务，选择停止，

服务已经成功停止了，

在Sydeny上，我们先清空本地缓存文件，然后再访问访问发布的Web站点（http://61.139.0.254），一样可以访问，并且没有感觉到延迟，

但是，从会话里面可以看见，此时提供服务的已经是Istanbul了。

[ 点这里复制网址，推荐给你QQ/MSN上的好友们! ]

本站声明：以上内容由网友 blazewind 提供，与54master立场无关！

亡人为鬼，鬼入轮回而投身六界。这是人生的终站，也是人生的起点。多少人捧着一腔血茫然而来，多少不甘愿也只能化做一回眸。过奈何桥，喝孟婆汤，六道轮回之后是冤屈的第一生啼哭，三生石上，又被刻下深深一笔，记下该了的债，该还的情……

[ 顶部 ]