[技术分享 – TMG 篇] TMG 为 ISP 连接系上双保险


目前,越来越多的业务依赖于 ISP 来处理 Internet 的访问,发邮件,上网等,这些业务依赖于 ISP 线路的高可用性。

保持一个稳定的,可用的,可靠的 ISP 连接对每个网管员来说,都是极其重要的任务。

Forefront TMG 提供了一个以往 ISA 没有的重要特性: ISP 冗余链路,TMG 可以同时支持两条 ISP 链路。拥有两种冗余模式:

Load balancing with failover capability: 网络流量分布在两条链路上,如果一条链路断开或者没有响应,所有的流量会定向到另外一条。

Failover only: 两条链路中的一条会作为主链路,处理所有网络流量,如果主链路不可用,所有流量会由备用的链路处理。

如下图所示:

clip_image002

对于 Load balancing with failover capability 模式,您可以选择 ISP 冗余负载比例。

clip_image004

对于 Failover only 模式,您需要选择哪条链路是主用链路。

clip_image006

一般来说为了避免外网卡上指定的外部 DNS 解析的问题,我们推荐不设置任何外网卡的 DNS 服务器,而只在 TMG 内网卡上设置内部 DNS 服务器。

如果您在两块外部网卡上分别指定了外部 DNS 服务器,那么可能会出现访问链路1上的 DNS 服务器会通过链路2进行,这时您必须要对每个 DNS 服务器的解析增加静态路由,因为 ISP 冗余功能仅对 NAT 流量有效,对于来自 TMG 本地主机的流量,不会进行 ISP 冗余选择处理。

clip_image007

在部署 TMG 的 ISP 冗余前,您需要注意一下以下问题。

  1. 在源网络和目标网络之间的关系必须是 NAT 的关系,如果是路由的关系,则无法应用ISP冗余的功能。 TMG 本机到任何网络的流量不会有 ISP 冗余,因为 TMG 本机到任何网络的关系一定是路由关系。
  2. 每条 ISP 链路必须连到不同的网段的网关上,同时 TMG 的外部 IP 地址也必须属于不同的网段。
  3. TMG 外部网卡不能启用 DHCP 的方式来获取 IP 地址,家庭用户使用 ADSL 拨号不支持 TMG 的 ISP 冗余。

James Yi
微软安全支持专家

Comments (0)

Skip to main content