Александр Шаповал Microsoft Firewall-кластер на базе ISA Server 2000 Enterprise Edition Варианты реализации
Для чего нужен Firewall- кластер? Масштабируемость Обслуживание сети предприятия требуемого масштаба Линейное увеличение производительности с ростом количества серверов Высокий уровень доступности Отказоустойчивость Отсутствие «единой точки отказа»
Как можно построить firewall-кластер? Средства ISA Server 2000 Enterprise Edition ISA Server array + CARP Средства операционной системы Cluster Service Network Load Balancing (NLB)
Массив ISA Server Enterprise Edition Локальная сеть InternetInternet ISA 1 ISA 2 ISA n Группа ISA-серверов, управляемых как единое целое
Массив ISA Server Enterprise Edition Требует наличия Active Directory Модифицирует схему Active Directory Члены массива должны быть в одном домене и в одном сайте Члены массива должны работать в одном режиме Cache, firewall или integrated режим Члены массива должны иметь одинаковый набор расширений
Политики управления Массив 1 Сервер 1Сервер 2 Массив N Сервер 1Сервер M Уровень домена Политика предприятия Локальная политика массива
CARP – Cache Array Routing Protocol CARP-массив – набор серверов ISA, функционирующих как единый распределенный кэш Хэш-функция обеспечивает равномерное распределение объектов в кэше Отсутствует дублирование информации в кэше
Принцип работы CARP Клиент Server 1 Server 2 Server 3 Cache#1 Cache#2 Cache#3 Internet Hash(URL, Load factor) = 3
Клиент с поддержкой CARP CARP Клиент Server 1 Server 2 Server 3 Cache#1 Cache#2 Cache#3 Internet Array.dll?Get. Routing.Script Array Membership List
Клиент без поддержки CARP Клиент Server 1 Server 2 Server 3 Cache#1 Cache#2 Cache#3 CARP Internet
Отказоустойчивость Клиент Server 1 Server 2 Server 3 Cache#1 Cache#2 Cache#3 Internet Array.dll?Get. Routing.Script Array Membership List X
Особенности CARP Использует стандартный HTTP Хранит конфигурацию в AD ISA генерирует сценарий маршрутизации Браузер скачивает скрипт по специльному URL Поддерживается IE 3.02+/ Navigator2+ Для автоматического обнаружения сервера ISA используется WPAD
Настройка CARP LONDON Properties OKCancel Add… GeneralOutgoing Web RequestsIncoming Web Requests PoliciesAuto DiscoveryPerformanceSecurity Use the same listener configuration for all internal IP addresses. Configure listeners individually per IP address Identification Enable SSL listeners ServerIP AddressDisplay N…Authentic…Server C… LONDON
Исходящий трафик: (NLB internal) Балансировка сетевой нагрузки со стороны клиентов Возможна для всех типов клиентов ISA Server Может работать совместно со службой CARP для клиентов Web Proxy Входящий трафик: (NLB external) Балансировка сетевой нагрузки со стороны Интернета Целесообразна при публикации Web- ресурсов Поддержка служб сетевой балансировки (NLB)
Проблема двусторонней балансировки Source IP: A Dest IP: B DATA Source IP: D Dest IP: A DATA Internet IP address A IP address BIP address C IP address D Source IP: A Dest IP: D DATA ? Почтовый сервер NLB Клиент ISA 1 ISA 2
NLB в Windows Server 2003 NLB можно включить на нескольких адаптерах Двунаправленная аффинность VPN (PPTP, L2TP) ISA Server 2000
NLB в Windows Server 2003 Source IP: A Dest IP: B DATA Source IP: D Dest IP: A DATA Internet IP address A IP address BIP address C IP address D Source IP: A Dest IP: D DATA Почтовый сервер NLB Клиент ISA 1 ISA 2
NLB vs CARP Возможные режимы балансировки для разных типов клиентов Клиетны SecureNAT NLB Клиенты Web Proxy CARP Клиенты Firewall Встроенная поддержка массивов Уровни OSI CARP работает на уровне Application NLB работает на уровне Network Структура NLB предполагает дублирование содержимого, CARP - нет