ISA防火墻網絡負載均衡地問題轉移

在部署了網絡負載均衡（NLB）的網絡中，當某個客戶針對NLB虛擬地址發起連接請求時，NLB通過某種NLB算法來確定（通常是根據發起請求的客戶端源地址來決定）為客戶服務的NLB節點。在NLB節點沒有變動之前，對于某個客戶，將總是由某個對應的NLB節點為它提供服務。ISA防火墻企業版中的集成NLB依賴于Windows服務器系統的NLB服務，對于客戶發起的請求，也是采用相同的方式進行處理。

例如，對于一個具有三個NLB節點（ISA1、ISA2、ISA3）的ISA防火墻NLB陣列，當一個客戶（10.1.1.1）發起連接請求時，NLB通過NLB算法確定由ISA1為此客戶服務；而當另外一個客戶（10.1.1.2）發起連接時，NLB通過NLB算法確定由ISA2為此客戶服務。在NLB節點沒有變動時，客戶10.1.1.1的連接請求將會始終通過NLB節點ISA1來進行處理；而客戶10.1.1.2的連接請求則會始終通過NLB節點ISA2來進行處理。

當某個NLB節點出現故障時，NLB將在所有節點上重新進行匯聚，并重新根據NLB算法來確定為客戶提供服務的NLB節點。例如，此時ISA1節點出現故障，無法再提供NLB服務；則NLB重新進行匯聚，如果客戶10.1.1.1再發起連接請求，則就是ISA2或者ISA3來為它進行服務。

當NLB節點失效時，NLB可以讓其他NLB節點來為客戶提供服務。但是，如果NLB節點的NLB服務沒有失效但是所提供的其他服務失效時，怎么辦呢？

如下圖所示，兩臺ISA防火墻屬于相同的NLB陣列，分別通過不同的外部鏈路連接到Internet，并且對內部網絡提供NLB服務。兩臺ISA防火墻允許內部網絡中的用戶通過自己來訪問外部網絡，正在為不同的客戶提供服務；如果此時，ISA1上的外部鏈路突然斷開，會出現什么情況呢？

此時，由于ISA1上的NLB服務并沒有出現故障，所以NLB會認為ISA1仍然是有效的NLB節點，并且同樣會分配客戶給它。但是，由于外部鏈路斷開，ISA1所服務的客戶卻不能再連接到Internet了。這當然就不能有效的實現網絡負載均衡中的容錯特性。

那么，出現這種情況時，該怎么辦呢？

答案很簡單，當出現這種情況時，停止ISA1上的NLB服務，這樣，NLB會認為ISA1上的NLB服務已經失效，將重新匯聚NLB，并且重新分配客戶。從而原來屬于ISA1的客戶可以通過仍然運行正常的ISA2來訪問外部網絡。

要實現ISA防火墻NLB的故障轉移比較簡單，微軟已經考慮到了。你可以通過配置ISA防火墻的連接性驗證工具來實現當外部鏈路出現故障時進行相關的操作，但是要停止ISA防火墻上的NLB服務不是一件容易的事情。由于ISA防火墻上的NLB服務是和ISA防火墻服務集成的，所以你不能通過Windows的NLB stop命令來停止ISA防火墻上的NLB服務；微軟也沒有相關的關于如何停止ISA防火墻上的NLB服務的說明。在這種情況下，只能通過停止ISA防火墻服務來停止ISA防火墻上的NLB服務。

但是停止ISA防火墻服務后，無法依靠ISA防火墻本身啟動ISA防火墻服務，這樣又給故障恢復時的處理帶來難題。當外部鏈路恢復的時候，還是需要你手動啟動ISA防火墻服務才能將這臺ISA防火墻正常加入NLB陣列中運行，這造成了額外的管理負擔。不過你可以通過第三方的鏈路監測軟件實現NLB的故障轉移和自動恢復，例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它們當外部鏈路出現問題時停止ISA防火墻服務，而當外部鏈路恢復時啟動ISA防火墻。

在此我給大家演示一下如何實現ISA防火墻NLB的故障轉移，網絡拓樸結構如下圖所示：

內部網絡地址范圍為10.1.1.0/24，部署了兩臺ISA企業版防火墻Florence和Firenze，操作系統均為Windows server 2003 SP1，IP地址分別為10.1.1.1和10.1.1.2。對內部網絡配置了NLB，NLB虛擬地址為10.1.1.254，

兩臺ISA防火墻上的NLB服務均工作正常。

Berlin是內部網絡中的客戶，IP地址為10.1.1.8，默認網關配置為NLB的虛擬地址10.1.1.254。

我已經創建了允許內部網絡的所有用戶訪問外部網絡的訪問規則，已經確認所有網絡連接工作正常。在進行整個部署之前，你必須預先考慮好如何配置有效的連接性驗證方式，以及什么時候觸發警告。如果要驗證外部鏈路是否連接正常，你可以Ping離你最近的外部網絡中的某臺持續在線的服務器或路由器的IP地址。在此我通過配置連接性驗證工具Ping我的DNS服務器61.139.2.69實現，如果連續兩次不能Ping通時，則停止ISA防火墻服務。

本文中的操作步驟如下：

• 配置連接性驗證工具；

• 配置警告操作；

• 測試；

配置連接性驗證工具

打開ISA管理控制臺，展開陣列，點擊監視節點，點擊右邊面板的連接性標簽，最后點擊創建新的連接性驗證程序鏈接；

在彈出的歡迎使用新建連接性驗證程序向導頁，輸入連接性驗證程序的名稱，在此我命名為Ping 61.139.2.69，點擊下一步；

在連接性驗證細節頁，在監視到此服務器或 URL 的連接欄，輸入IP地址為61.139.2.69，然后在驗證方法欄，選擇發送一個 Ping 請求，點擊下一步；

注：關于連接性驗證工具的使用及詳細描述，請參見理解ISA 2004的連通性驗證工具一文；

在正在完成連接性驗證程序向導頁，點擊完成；

此時，我們的連接性驗證工具就創建好了，如下圖所示，驗證結果均正常。

配置警告操作

接下來我們就需要配置當連接性驗證工具出現無連接的警告時，停止ISA防火墻服務。在ISA防火墻管理控制臺中點擊警報標簽，然后在右邊的任務面板中點擊配置警報定義鏈接；

在彈出的警報屬性對話框，在列表中找到無連接警報，然后點擊編輯按鈕；

在彈出的無連接屬性對話框，首先在常規標簽確認它是啟用的，

然后在事件標簽，由于我想當連續兩次出現無連接事件（即連續兩次不能Ping通61.139.2.69）時觸發警告，所以勾選發生次數，然后輸入2，其他保持默認，點擊操作標簽，

在操作標簽，勾選停止選擇的服務，然后點擊選擇按鈕；

在彈出的選擇 ISA 服務器服務對話框，勾選Microsoft 防火墻，然后點擊確定；

點擊兩次確定返回到ISA管理控制臺，最后點擊應用按鈕保存修改和更新防火墻配置，并且等待直到所有ISA防火墻服務器完成配置的同步。

測試

我們現在在客戶機Berlin上訪問ISA中文站進行測試，訪問成功。

ISA防火墻的實時日志如下圖所示，可以清楚的看到，是由Firenze為它提供的服務。

現在，我們把Firenze上的外部鏈路斷開，由于默認情況下連接性驗證程序每30秒執行一次，所以等待大約1分鐘后，你會發現Firenze上的ISA防火墻服務已經自動停止了，如果在Firenze上的ISA管理控制臺的警告中查看，你可以看到觸發了以下三個警告，如圖所示。

現在我們在Berlin上試試繼續訪問呢，訪問仍然成功。

但是，你可以從ISA防火墻的實時日志中看到，已經不是Firenze而是Florence為它提供的服務了。

至此，ISA防火墻NLB的故障轉移就完全配置成功了。