实现isa防火墙网络负载均衡的故障转移

《实现isa防火墙网络负载均衡的故障转移》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、实现ISA防火墙网络负载均衡的故障转移～教育资源库在部署了网络负载均衡（NLB）的网络中，当某个客户针对NLB虚拟地址发起连接请求时，NLB通过某种NLB算法来确定（通常是根据发起请求的客户端源地址来决定）为客户服务的NLB节点。在NLB节点没有变动之前，对于某个客户，将总是由某个对应的NLB节点为它提供服务。ISA防火墙企业版中的集成NLB依赖于Windoonitor或者GFINetonitor。你可以配置它们当外部链路出现问题时停止ISA防火墙服务，而当外部链路恢复时启动ISA防火墙。　　在此我给大家演

2、示一下如何实现ISA防火墙NLB的故障转移，网络拓朴结构如下图所示：　　内部网络地址范围为10.1.1.0/24，部署了两台ISA企业版防火墙Florence和Firenze，操作系统均为Windowsserver2003SP1，IP地址分别为10.1.1.1和10.1.1.2。对内部网络配置了NLB，NLB虚拟地址为10.1.1.254，　　两台ISA防火墙上的NLB服务均工作正常。　　Berlin是内部网络中的客户，IP地址为10.1.1.8，默认网关配置为NLB的虚拟地址10.1.1.254。　　我已

3、经创建了允许内部网络的所有用户访问外部网络的访问规则，已经确认所有网络连接工作正常。在进行整个部署之前，你必须预先考虑好如何配置有效的连接性验证方式，以及什么时候触发警告。如果要验证外部链路是否连接正常，你可以Ping离你最近的外部网络中的某台持续在线的服务器或路由器的IP地址。在此我通过配置连接性验证工具Ping我的DNS服务器61.139.2.69实现，如果连续两次不能Ping通时，则停止ISA防火墙服务。　　本文中的操作步骤如下：　　配置连接性验证工具；　　配置警告操作；　　测试；　　　配置连接性验证

4、工具　　打开ISA管理控制台，展开阵列，点击监视节点，点击右边面板的连接性标签，最后点击创建新的连接性验证程序链接；　　在弹出的欢迎使用新建连接性验证程序向导页，输入连接性验证程序的名称，在此我命名为Ping61.139.2.69，点击下一步；12下一页友情提醒：，特别！　　在连接性验证细节页，在监视到此服务器或URL的连接栏，输入IP地址为61.139.2.69，然后在验证方法栏，选择发送一个Ping请求，点击下一步；　　注：关于连接性验证工具的使用及详细描述，请参见理解ISA2004的连通性验证工具一文

5、；　　在正在完成连接性验证程序向导页，点击完成；　　此时，我们的连接性验证工具就创建好了，如下图所示，验证结果均正常。　　配置警告操作　　接下来我们就需要配置当连接性验证工具出现无连接的警告时，停止ISA防火墙服务。在ISA防火墙管理控制台中点击警报标签，然后在右边的任务面板中点击配置警报定义链接；　　在弹出的警报属性对话框，在列表中找到无连接警报，然后点击编辑按钮；　　在弹出的无连接属性对话框，首先在常规标签确认它是启用的，　　然后在事件标签，由于我想当连续两次出现无连接事件（即连续两次不能Ping通61

6、.139.2.69）时触发警告，所以勾选发生次数，然后输入2，其他保持默认，点击操作标签，　　在操作标签，勾选停止选择的服务，然后点击选择按钮；　　在弹出的选择ISA服务器服务对话框，勾选Microsoft防火墙，然后点击确定；　　点击两次确定返回到ISA管理控制台，最后点击应用按钮保存修改和更新防火墙配置，并且等待直到所有ISA防火墙服务器完成配置的同步。　　测试　　我们现在在客户机Berlin上访问ISA中文站进行测试，访问成功。　　ISA防火墙的实时日志如下图所示，可以清楚的看到，是由Firenze为

7、它提供的服务。　　现在，我们把Firenze上的外部链路断开，由于默认情况下连接性验证程序每30秒执行一次，所以等待大约1分钟后，你会发现Firenze上的ISA防火墙服务已经自动停止了，如果在Firenze上的ISA管理控制台的警告中查看，你可以看到触发了以下三个警告，如图所示。　　现在我们在Berlin上试试继续访问呢，访问仍然成功。　　但是，你可以从ISA防火墙的实时日志中看到，已经不是Firenze而是Florence为它提供的服务了。　　至此，ISA防火墙NLB的故障转移就完全配置成功了。上一页1

8、2友情提醒：，特别！