در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

مکانیزم کاری ISP Redundancy در TMG و نکات مهم در خصوص این سرویس

در مقاله قبلی بنده با عنوان آموزش گام به گام راه اندازی ISP Redundancy در Forefront Threat Management Gateway 2010 با روش راه اندازی سرویس ISP Redundancy آشنا شدیم و قرار شد در این مقاله به بررسی یک سری نکات در خصوص این سرویس بپردازیم. اولین نکته بسیار مهم در خصوص این سرویس این است که ISP Redundancy در واقع ترافیک را در بین Connection های اینترنت تقسیم یا بهتر بگوییم توزیع می کند و عملیات Load یا بارگذاری نمی کند در واقع چیزی به نام Load Balancing واقعی در TMG وجود ندارد و این فقط یک نامگذاری روی این سرویس است. روشی که در آن ISP-R تصمیم می گیرد که چگونه ترافیک را در بین Interface های اینترنت توزیع کند روش جالبی است که با استفاده از عملیات Hashing ای انجام می شود که توسط این سرویس از آدرس IP مبدا و آدرس IP مقصد ایجاد می شود. شما نمی توانید نتیجه این محاسبه توسط سرویس ISP-R را مشاهده کنید اما نتیجه قطعا عددی بین صفر تا صد خواهد بود ، اگر خاطرتان باشد در مقاله قبلی روش تعیین درصد ترافیک عبوری از Connection ها را یاد گرفتیم ، اگر نتیجه Hash عدد در محدوده درصدی باشد که برای لینک ISP اول باشد ، ترافیک به لینک اینترنت اول ارسال می شود و اگر از محدوده درصد لینک اول ISP خارج باشد TMG ترافیک را به سمت Connection دوم ارسال می کند. این موضوع باعث پیوستگی Session برقرار شده مبدا و مقصد می شود ، تمامی ارتباطاتی که برای یک آدرس مبدا و مقصد مشخص هستند همیشه از یک لینک اینترنتی خارجی عبور می کنند. برای مثال اگر شما ارتباطی با وب سایت انجمن تخصصی فناوری اطلاعات ایران یا www.tosinso.com برقرار کنید در اولین اتصال شما آدرس IP مبدا و مقصد با محاسبه به شکل Hash در می آید ، TMG تصمیم می گیرد که بر روی کدام لینک اینترنتی خارجی Session را برقرار کند و در نهایت همیشه تا قطع شدن Session شما این ارتباط را از لینک ISP تعیین شده عبور می دهد ، این یعنی تقسیم یا توزیع درست ترافیک که باعث برقراری دائم Session شما می شود.

برای هر connection ای که به خارج از شبکه ارسال می شود یک Hash محاسبه می شود. برای تعیین در دسترس بودن یک لینک اینترنت ، TMG از مکانیزم جالبی استفاده می کند این فایروال با هر یک از 13 عدد Root DNS Server موجود در دنیا ( البته بیشتر از 13 تا هستن قطعا ) بصورت تصادفی ارتباط برقرار می کند که این ارتباط از طریق پورت TCP شماره 53 که پورت سرویس DNS می باشد انجام می شود ، بنابراین اگر TMG شما پشت سر یک فایروال دیگر قرار داشته باشد که پورت 53 را بسته باشد عملا نمی تواند به درستی سرویس ISP Redundancy را ارائه دهد ، به این عملیات dead link detection گفته می شود. اگر هر یک از این root DNS Server ها به TMG پاسخ دادند در نتیجه TMG این خط اینترنت را به عنوان یک connection در دسترس یا Available شناسایی می کند و اگر پاسخی از یکی از این DNS Server ها دریافت نکرد DNS سرورهای بعدی را مرتب بررسی می کند و اگر بعد از چند دقیقه پاسخی از هیچیک از این سرورها دریافت نکرد لینک اینترنت را به عنوان یک لینک خارج از دسترس یا Unavailable در نظر می گیرد و در قسمت Monitoring در TMG یک Alert با همین مضمون به شما نمایش می دهد. اگر TMG تشخیص دهد که یک لینک اینترنت Unavailable است 5 دقیقه صبر می کند و سپس مجددا عملیات آزمایش ارتباط را انجام می دهد. اگر متوجه شد که ارتباط برقرار شده است مجددا هر دقیقه یکبار TMG عملیات تست را به همین روش انجام می دهد ، اگر سه بار پشت سر هم پاسخ درست از سرورهای اینترنتی دریافت شد TMG متوجه می شود که سرویس فعال و در حال کار است و آن را به حالت Available در می آورد.

سناریوهای مختلف پیاده سازی ISP Redundancy در TMG 2010


انتخاب حالت کارکرد یا Operating Mode ای که برای ISP Redundancy در نظر می گیرید کاملا بستگی به نوع ارتباط خارجی است که در شبکه دارید ، قاعدتا یا لینک ارتباطی اینترنت یا شبکه WAN در Leg های External فایروال TMG وجود دارد. برای مثال اگر شما دو لینک اینترنت با یک سرعت و پهنای باند مشابه دارید انتخاب حالت Load Balancing بهترین گزینه است اما اگر دو لینک ارتباطی اینترنت دارید که یکی پهنای باند بسیار بالا و خوب دارد و یکی دیگر پهنای باند پایین و ضعیف دارد بهتر است از حالت Failover استفاده کنید. توجه کنید که درست است ما این سرویس را به عنوان ISP می شناسیم اما این به این معنا نیست که فقط در ارتباطهای اینترنتی ما می توانیم از این سرویس استفاده کنیم بلکه شما می توانید برای لینک های WAN خود نیز این حالت را داشته باشید ، معمولا لینک های WAN برای متصل کردن شعبات به دفتر اصلی مورد استفاده قرار می گیرند و شما می توانید هم Load Balancing و هم Failover را در این لینک ها هم داشته باشید. در هنگام طراحی و پیاده سازی سرویس ISP Redundancy به چند نکته مهم توجه داشته باشید :

  • ISP-R فقط با حالت NAT کار می کند : سرویس ISP-R فقط قابلیت های Load Balancing و Failover را در اختیار ترافیکی قرار می دهد که از شبکه هایی وارد TMG شوند که در حالت NAT با TMG کار می کنند و توسط TMGمحافظت می شوند. اگر رابطه شبکه ای که می خواهید با TMG سرویس ISP Redundancy را داشته باشد در حالت Route قرار بگیرد دیگر این سرویس کاری نمی تواند انجام دهد و بلا استفاده خواهد شد. این نکته بسیار مهم است زیرا ترافیکی که بصورت اصلی از فایروال TMG عبور می کند توسط ISP Redundancy پردازش نمی شود و این حالت فقط زمانی پیش می آید که دو شبکه در حالت route قرار داشته باشند.
  • قابلیت E-NAT نسبت به قابلیت ISP-R اولویت دارد : اگر یک Rule داشته باشید که به وسیله E-NAT یا Enhanced NAT پیکربندی شده باشد ، E-NAT بر روی تصمیم هایی که از طریق ISP-R برای مسیریابی یا Routing گرفته می شود اولویت دارد و در اینجا نیز ISP Redundancy کاربردی نخواهد داشت.
  • Load Balancing در ISP-R واقعی نیست : مکانیزم Load Balancing ای که در TMG و سرویس ISP-R انجام می شود ایده آل و واقعی نیست و ترافیک بصورت واقعی بین دو لینک توزیع نمی شود. از آنجایی که ترافیک بر اساس connection ها توزیع می شود نه بر اساس Load ترافیک ، ممکن است برخی از connection ها پهنای باند زیادی مصرف کنند مثلا یک عده خوره اینترنت به جان یکی از لینک های شما بیوفتند ، از انجاییکه برای ISP-R تعداد connection ها مهم است نه پهنای باند مصرفی بنابراین لینک ها کند می شوند و این همان نقطه ضعف اصلی ISP-R است.

اگر سرویس ISP-Redundancy را برای ارائه خدماتی از قبیل Load Balancing و Failover برای سرویس های WAN استفاده کنید طبیعی است که شناسایی Dead Link ها دیگر نمی تواند مثل شناسایی Dead Link های اینترنتی باشد. اگر خاطرتان باشد در همین مقاله اشاره کردیم که TMG برای درک دسترسی لینک اینترنت بصورت تصادفی DNS سرورهای اینترنتی را صدا می زند ، اما این روش برای سرویس های WAN کاربردی ندارد زیرا در شبکه های WAN ممکن است اصلا DNS سروری وجود نداشته باشد و اصلا ارتباط اینترنتی وجود نداشته باشد که این روش پاسخگو باشد. بی تعارف به شما اصلا استفاده از TMG و قابلیت ISP-R را در سرویس های WAN پیشنهاد نمی کنم زیرا با پیاده سازی این روش در WAN باید همه پارامترهای بررسی ارتباط آن را بصورت دستی تغییر دهید ، شاید در آینده در مورد این موضوع هم صحبت کنم اما فعلا اولویتی ندارد ، TMG ذاتا Router خوبی برای شبکه های WAN نیست.

نتیجه گیری


سرویس ISP Redundancy یکی از قابلیت های واقعا با ارزش در نرم افزار فایروال TMG به حساب می آید که می تواند در حد قابل قبولی سرویس های Load Balancing و Fault Tolerance را برای لینک های اینترنتی ما فراهم کند. بهتری سناریو استفاده از ISP-R در لینک های اینترنتی است زیرا در شبکه های WAN به دلیل وجود محدودیت های ساختاری مشکلات زیادی را برای شما ایجاد خواهد کرد. هیچوقت شما بصورت واقعی نمی توانید Load Balancing را در TMG با استفاده از ترافیک تعیین کنید زیرا ساختار کاری ISP-R بر حسب تعداد Connection است نه میزان ترافیک عبوری از هر لینک ، امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید.

نویسنده : محمد نصیری

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#ایجاد_redundancy_در_dhcp #آموزش_راه_اندازی_isp_redundancy #مشکل_در_پیاده_سازی_isp_redundancy_در_tmg #redundancy_در_dns #راه_اندازی_failover_در_tmg #سوال_در_مورد_isp_redundancy #استفاده_از_دو_لینک_اینترنت_همزمان #failover_در_tmg #مکانیزم_کارکرد_isp_redundancy #load_balancing_در_فایروال_tmg
عنوان
1 آموزش راه اندازی ISP Redundancy در TMG 2010 رایگان
2 مکانیزم کاری ISP Redundancy در TMG و نکات مهم در خصوص این سرویس رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....