none
Вопрос по топологии RRS feed

  • Вопрос

  • Возникла необходимость в модернизации существующей структуры. В связи с чем возник вопрос, по схеме.

    Планируется следующее. Кабель с интернет подключением от провайдера приходит на внешний интерфейс роутера (железка), далее в периметр планирую установить 2 сервера TMG в массив, для балансировки нагрузки и отказоустойчивости. насколько я понимаю клиенты будут подключаться на виртуальный ip массива TMG (TMG1 и TMG2) , далее массив TMG будет выводить каждый через свой внешний интерфейс на роутер и далее в глобальную сеть. Вопрос в следующем:

    1. Роутер держит несколько VPN тоннелей. соответственно в правилах TMG прописаны маршруты в subnet удаленных сетей. такая схема сейчас работает с одним сервером isa . Но что будет если их станет 2, т.е. если клиент будет посылать пакет через сервер tmg1, пакет уйдёт и вернётся по правилам маршрутизации роутера обратно и всё ок. Но что будет если пакет уйдёт через tmg2, Роутер должен будет вернуть пакет по своим правилам во внешний интерфейс TMG1. Не дропнет ли tmg1 этот пакет, ведь она его не запрашивала? Нужно ли будет тогда менять конфигурацию роутера, или массив сможет пробросить этот пакет корректно.

    2. И вопрос по поводу внешних интерфейсов массива. Внутренний как я понял будет единственным и виртуальным, а внешний должен быть разный, может ли он быть из одной подсети?

    3. Поддерживает ли TMG кластеризацию, насколько я помню isa2006 её не поддерживала, и если да, имеет ли смысл его конфигурировать, при моей схеме.

    8 декабря 2010 г. 8:04

Ответы

  • 1. сделай nlb и на внешних и на внутренних интерфейсах массива, на роутере маршрут указывай на виртуальный, и все будет ок
    2. не понял вопроса, внешние интерфейсы также кластеризуются в nlb как и внутренние - nlb как виндовая приблуда не различает кто внешний а кто внутренний :)
    3. что ты называешь кластеризацией? nlb в исе есть, в тмг я уверен что тоже есть. в failover кластере особого смысла не вижу.
    • Помечено в качестве ответа Snorlax 8 декабря 2010 г. 13:30
    8 декабря 2010 г. 9:32
    Отвечающий

Все ответы

  • 1. сделай nlb и на внешних и на внутренних интерфейсах массива, на роутере маршрут указывай на виртуальный, и все будет ок
    2. не понял вопроса, внешние интерфейсы также кластеризуются в nlb как и внутренние - nlb как виндовая приблуда не различает кто внешний а кто внутренний :)
    3. что ты называешь кластеризацией? nlb в исе есть, в тмг я уверен что тоже есть. в failover кластере особого смысла не вижу.
    • Помечено в качестве ответа Snorlax 8 декабря 2010 г. 13:30
    8 декабря 2010 г. 9:32
    Отвечающий
  • 1. если сделать nlb на внешних интерфейсах, то физически подключение не изменятся? т.е. с обеих сетевых карт я втыкаю кабели в порты рутера, и на рутере указываю виртуальный ip  массива и при падении одной из tmg, всё будет продолжать работать. т.е. всё будет прозрачно? роутинг останется, публикация внутренних ресурсов сети сохранится?

    И ещё вопрос, можно ли тогда на внешнем интерфейсе массива nlb создать несколько виртуальных ip?

    2. ну второй вопрос тогда отпадает, если можно создать внешний виртуальный ip.

    3. я имел ввиду кластеризацию приложений на базе windows server 2008, но опять же если NLB на внешних интерфейсах массива tmg будет работать корректно, то то всё отлично, схему можно реализовывать.

    8 декабря 2010 г. 9:48
  • 1. а куда им отваливаться то? главное на роутере указывай чтобы пакеты шли на виртуальный ип массива и все.
    можно, но смысл в этом бывает не часто, для публикаций например
    3. это и есть failover cluster, для сетевых приложений типа иса в нем нет особого смысла. если nlb на внутренних работает корректно то и на внешних будет - ему по барабану как иса называет интерфейсы :) у меня в похожей ситуации все работает, и публикации, и впн подключения клиентов к исе и т.д. главное чтобы роутер понимал nlb: когда я экспериментировал без внешней железки у меня снаружи на виртуальный ип не шел трафик - что то на стороне прова косячило
    8 декабря 2010 г. 11:28
    Отвечающий
  • 1. ну "отваливаться" в смысле выходит из строя один из серверов массива, ну или перегружается, то второй продолжает работу и клиенты остаются подключенными. Т.е. в идеале не будет перебоев? А если будут, то какие именно?

    3. по сути рутеру то вообще пофигу куда слать, если у него указан следующий хоп, то он и будет туда валить, при каких условиях этого может не быть?

    У меня рутер свой, надеюсь что с этим проблем не будет.

     

     

     

     

    8 декабря 2010 г. 11:38
  • 1. здесь все ограничения nlb, пока сервер доступен по arp на него будут идти попытки коннекта, если сервак выключается то все коннекты перебрасываются на другой. естественно может быть кратковременный реконнект у юзера, может аутенфикацию спросить заного, если это была веб публикация с аутенфикацией на исе. хуже если сервак как то сбойнул но сетевой интерфейс отвечает, в этом случае nlb неспособна определить фейл и клиенты могут продолжать коннектится на "плохой" сервер.

    3. тока если роутер не дружит с nlb, например цисковые свичи и роутеры не понимают мультикастовые маки, им нужно в arp таблицу вписывать их руками

    8 декабря 2010 г. 13:24
    Отвечающий
  • 1. ну с этим понятно, если один из серверов завис, но интерфейс отвечает, то тут без вариантов.

    3. Вписать руками я думаю не большая проблема.

     

    Спасибо за разъяснение.

    8 декабря 2010 г. 13:29