بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
آموزش راه اندازی ISP Redundancy در TMG 2010
یکی از معظلاتی که در شبکه های امروزی برای ما مدیران وجود دارد این است که ممکن است چندین لینک اینترنت در شبکه داشته باشیم و بخواهیم آنها را بصورت همزمان یا بصورت Failover مورد استفاده قرار بدهیم. امروزه تقریبا هیچ سازمان یا حتی شرکتی را مشاهده نمی کنید که برای عملیات های اینترنتی خود فقط یک لینک اینترنت در اختیار داشته باشد و با توجه به حساسیت موضوع معمولا دو تا سه لینک اینترنت در یک شبکه وجود دارد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- معرفی قابلیت ISP Redundancy در TMG
- حالت های مختلف کاری قابلیت ISP Redundancy در فایروال TMG
- آماده سازی Network Interface ها برای راه اندازی ISP Redundancy در TMG
- پیکربندی قابلیت ISP Redundancy در TMG
- عوض کردن حالت عملیاتی ISP Redundancy در TMG
- چگونه قابلیت ISP Redundancy در فایروال TMG را مانیتور یا پایش کنیم ؟
معرفی قابلیت ISP Redundancy در TMG
سالهاست که مایکروسافت را با محصول فایروال ISA Server می شناسیم و هیچوقت موضوع چند لینک ارتباطی همزمان بر روی این فایروال به درستی تعریف نشده بود تا اینکه با عرضه محصول TMG قابلیتی به نام ISP-Redundancy که به صورت اختصاری ISP-R گفته می شود برای پشتیبانی از چندین ارتباط شبکه برای اینترنت ارائه شد. با قابلیت استفاده همزمان از دو یا بیشتر از دو ارتباط اینترنتی یا WAN شما دیگر می توانید براحتی قابلیت های Fault Tolerance و Redundancy را در خصوص این لینک ها ایجاد کنید.
در این مقاله فرض را بر این گذاشته ایم که شرکتی به نام انجمن تخصصی فناوری اطلاعات ایران دارای چندین لینک اینرنتی است و می خواهیم برای این لینک ها Redundancy ایجاد کنیم ، در این مقاله بصورت کامل قابلیت های موجود در ISP-R را به شما معرفی خواهیم کرد و سپس Mode های کاری مختلف ، الگوریتم های مورد استفاده این سیستم برای انجام عملیات Load Balancing ، روش و فرآیند تشخیص dead شدن لینک ها و سناریو های مختلفی که می توانیم برای یک شرکت با استفاده از ISP-R ایجاد کنیم را بررسی خواهیم کرد.
حالت های مختلف کاری قابلیت ISP Redundancy در فایروال TMG
قابلیت ISP-R در TMG در دو حالت مختلف عملیاتی به شکل Load Balancing و Failover می تواند سرویس دهی داشته باشد.در حالت Load Balancing ارتباطات بصورت زوجی ( بصورت پیشفرض ، قابل تغییر توسط مدیر ) بین ارتباطات خارجی شبکه متعادل یا Balance می شود. اگر یکی از ارتباطات خارجی در این میان به مشکل بخورد و از مدار خارج شود ، تمامی ترافیک از سایر لینک های فعال منتقل خواهند شد. در حالت Failover یکی از ارتباطات های اینترنتی شما به عنوان ارتباط اصلی یا Primary Connection و سایر Connection ها به عنوان ارتباطات ثانوی یا Secondary Connections به TMG معرفی می شوند.
همه ترافیک در وهله اول بر روی لینک اصلی ارسال می شود و در صورتیکه لینک اصلی ما دچار مشکل و خراب شود ( Down ) ، تمامی ترافیک به لینک های Secondary منتقل خواهند شد. اگر در این حین ارتباط اصلی ای همان Primary Connection مجددا به مدار باز گردد ، ترافیک مجددا به حالت اولیه برگشته و از لینک اصلی منتقل خواهد شد. این کاملا بر حسب نیاز شما است که از کدام حالت استفاده کنید ، در سناریو ما در شرکت انجمن تخصصی فناوری اطلاعات ایران یا همان itpro ممکن است از هر دوی این حالت ها استفاده شود بنابراین تا انتهای مقاله با ما باشید.
آماده سازی Network Interface ها برای راه اندازی ISP Redundancy در TMG
قابلیت ISP Redundancy که در TMG وجود دارد فقط از دو ارتباط اینترنت یا بهتر بگوییم ارتباط خارجی شبکه پشتیبانی می کند و قطعا این دو connection باید در Subnet های مختلفی نسبت به هم قرار داشته باشند. ترجیحا اگر می خواهید این قابلیت را بر روی سرورهای خود داشته باشید ، از آنجاییکه در ایران یک مدل جالب به نام PC Server وجود دارد ، توجه کنید که کارت شبکه هایی که در TMG استفاده می کنید و به ویژه برای لینک های خارجی از یک نوع و با یک نوع درایور باشند ، این یک پیشنهاد است و در آن الزامی نیست اما کار از محکم کاری عیب نمی کند.
هر کدام از این کارت های شبکه باید بصورت جداگانه پیکربندی شوند بنابراین همین نکات ریز می تواند برخی اوقات کارآمد باشد. اولین گام در راه اندازی سرویس ISP-R نامگذاری و مشخص کردن اسم برای کارت های شبکه یا Network Connection ها می باشد ، اینکار را تقریبا در همه کلاس های شبکه بنده به دانشجویان پیشنهاد می کنم . در این خصوص بنده در همین وب سایت یک نکته با عنوان نامگذاری کارت شبکه های موجود بر روی سرورها و کلاینت ها نوشته ام که می توانید به آن مراجعه کنید اما بصورت کلی در اینجا مثلا اگر دو لینک اینترنت خارجی دارید یکی را به شکل Pars-Online-Internet و دیگری را به نام Mobin-Net-Internet و شبکه داخلی را به شکل Internal یا Private نامگذاری کنید.
اولین کارت شبکه خارجی را با یک آدرس IP ، Subnet Mask و Default Gateway پیکربندی کنید ، اگر TMG شما عضو دامین شبکه داخلی نیست و هیچ کاری هم با شبکه داخلی ندارد می توانید آدرس DNS مربوط به ISP خود را در قسمت DNS قرار دهید اما به هیچ عنوان اینکار را پیشنهاد نمی کنیم ، ترجیجا همیشه آدرس DNS در کارت شبکه داخلی و سپس Forwarding از طریق DNS سرور را انجام دهید. زمانیکه اینکار را انجام دادید مشابه تصویر زیر بر روی دکمه Advanced کلیک کنید.
همانطور که در تصویر پایین مشاهده می کنید تیک قسمت Automatic metric برداشته و عدد 1 را در قسمت Interface metric وارد کنید.
همین عملیات را مجددا برای کارت شبکه دوم خارجی نیز انجام دهید با این تفاوت که اینبار مقدار Interface metric را عدد 2 قرار بدهید. مطمئن شوید که برای این کارت شبکه نیز یک آدرس Default gateway قرار داده اید. معمولا اینکار بر روی سیستم عامل های مایکروسافت پیشنهاد نمی شود که بر روی دو کارت شبکه دو عدد آدرس default gateway داشته باشیم اما به هر حال این لازمه طراحی ISP Redundancy ما است و بعد از اینکه OK کردید با پیغام هشدار زیر روبرو خواهید شد که البته شما در تصویر زیر Yes را انتخاب می کنید چون راه دیگری وجود ندارد.
"Warning: Multiple default gateways are intended to provide redundancy to a single network such as and Intranet or the Internet. They will not function properly when the gateways are on two separate, disjoint networks (such as one on your intranet and one on the Internet). Do you want to save this configuration?"
نکته مهم : اگر ISP که از آن اینترنت می گیرید آدرس های خود را در قالب سرویس DHCP و بصورت Automatic می دهد شما نمی توانید چند default gateway برای کارت شبکه ها تعرفی کنید در چنین مواقعی شما باید یک route بصورت دستی برای هر کدام از gateway های خود بصورت persistent یا ماندگار بنویسید تا بتوانید به مرحله بعدی راه اندازی ISP Redundancy برسید. در شبکه ای که ما در انجمن تخصصی فناوری اطلاعات ایران داریم دو آدرس Gateway به شرح زیر وجود دارد که برای دو ISP مختلف است که آنها را به شکل زیر و بصورت دستی در Command Prompt اضافه می کنیم ، ساختار دستور به شکل زیر می باشد :
route add –p 0.0.0.0 mask 0.0.0.0 192.168.0.1 route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1
پیکربندی قابلیت ISP Redundancy در TMG
بعد از اینکه تنظیمات اولیه کارت های شبکه و احیانا دستورات مورد نیاز جهت اضافه شدن route ها را بر روی سیستم اجرا کردید کنسول مدیریتی TMG را باز کنید و به قسمت Networking وارد شوید و بر روی تب ISP Redundancy کلیک کنید. مشابه آنچه که در تصویر پایین مشاهده می کنید.
از قسمت Tasks بر روی گزینه Configure ISP Redundancy مشابه تصویر زیر کلیک کنید.
بعد از کلیک بر روی گزینه بالا با تصویر زیر مواجه خواهید شد ، از میان حالت های مختلف قابلیت ISP Redundancy حالتی که نیاز شما را برطرف می کند را انتخاب کنید با توجه به اینکه در شرکت ما یا همان tosinso.com ما نیازمند همزمانی استفاده و همچنین استفاده بهینه از پهنای باند اینترنت هستیم ، گزینه پیشفرض که در اینجا Load balancing with failover capability را انتخاب می کنیم و بر روی Next کلیک می کنیم.
بعد از کلیک کردن بر روی Next با تصویر زیر مواجه خواهید شد از میان گزینه های موجود ابتدا در قسمت ISP Connection Name نام ISP ای که از سرویس های اینترنت آن استفاده می کنید را بنویسید سپس از قسمت Network adapter کارت شبکه ای که مرتبط به ISP مربوطه است را انتخاب کنید.
مطمئن شوید که آدرس Gateway و همچنین Subnet Mask به درستی نمایش داده شوند. باز هم در اینجا تاکید می کنم اگر فایروال TMG شما عضو دامین یا شبکه داخلی نیست و از منابع شبکه داخلی با اسم به جای IP استفاده نمی کند بهتر است در همین قسمت آدرس DNS سرور مربوط به ISP را وارد کنید در غیر اینصورت به هیچ عنوان بر روی کارت شبکه های خارجی خود آدرس DNS سرور قرار ندهید کما اینکه ما نیز در اینجا آدرس قرار نداده ایم. اگر TMG شما عضو شبکه دومین داخلی است فقط در کارت شبکه Internal خود آدرس DNS شبکه داخلی را تعریف کرده و سپس در قالب Forwarder عملیات Name Resolution را انجام می دهیم.
برخی اوقات برای شما مواردی پیش می آید که مثلا یک سرور خاص با آدرس IP مشخص فقط از طریق یکی از لینک های اینترنتی شما قابل دسترس می باشد و بصورت ویژه برای این خط و سرویس اینترنتی قابل دسترس می باشد ، مثلا سرویس DNS سرور شرکت پارس آنلاین فقط در لینک ParsOnline قابل دسترس است ، در چنین مواقعی حتما باید ترافیکی که قرار است به این آدرس یا سرور برسد از لینک مربوطه عبور داده شود نه لینک دیگر ، با استفاده از این قسمت شما می توانید سرورها یا کامپیوترهایی را که می خواهید حتما از طریق این لینک ارتباطی با آنها ارتباط برقرار شود را مشخص کنید ، شما می توانید در این قسمت حتی یک محدوده یا Range آدرس هم تعریف کنید. بعد از اینکه آدرس های مورد نظرتان را وارد کردید بر روی Next کلیک کنید.
تمامی مراحل بالا را برای لینک دوم اینترنت خود نیز به ترتیب انجام دهید و سپس همانطور که در تصویر زیر مشاهده می کنید باید درصد عبور ترافیک از هر یک از لینک ها را مشخص کنید. شما می توانید اینکار را براحتی با استفاده از Slider موجود در صفحه انجام دهید. اگر هر دو لینک ارتباطی اینترنت شما دارای پهنای باند مساوی هستند می توانید این قسمت را بصورت 50 50 تعریف کنید ، این قسمت کاملا بستگی به پهنای باند هر یک از لینک های شما دارد ، هر چقدر پهنای باند لینک بیشتر درصد ترافیک ورودی به آن نیز بایستی بیشتر باشد.
خوب تا اینجا مراحل کار ما تقریبا تکمیل شده اند برای اتمام کار پیکربندی ISP-R بر روی دکمه Finish مشابه شکل زیر کلیک کنید.
اگر آدرس های DNS را بصورت دستی بر روی کارت شبکه های خود قرار داده اید بایستی یک route دستی Persistent ایجاد کنید تا مطمئن شوید درخواست های DNS ای که قرار است به سرور مذکور ارسال شوند دقیقا بر روی همان کارت شبکه ای ارسال می شوند که بر روی آنها آدرسشان قرار گرفته است. هشدار یا Warning زیر هم دقیقا بیانگر همین مسئله است و به شما می گوید به زبان خوش این route های دستی را به سیستم عامل اضافه کنید. خوب با توجه به مثال ما ، route ای که باید ایجاد شود به شکل زیر می باشد :
route add -p 8.8.8.8 mask 255.255.255.255 192.168.0.1 route add -p 4.2.2.4 mask 255.255.255.255 192.168.1.1
بعد از اینکه دستورات را وارد کردید در کنسول مدیریتی TMG و در قسمت ISP redundancy مشاهده می کنید که اطلاعاتی در خصوص هر کدام از ISP های شما ایجاد شده است و نمایش داده می شود. این پیکربندی ها دقیقا مشابه همان حالتی هستند که شما در ابتدا برای قابلیت ISP Redundancy انتخاب کردید که در حالت فعلی Load balancing with failover capability می باشد. تصویر زیر بیانگر این موضوع است.
بعد از انجام پیکربندی های مربوط به ISP-R برای اینکه مطمئن شوید تنظیما تبه درستی برای هر یک از ISP Connection ها انجام شده است کافیست بر روی هر یک از آنها راست کلیک کرده و گزینه Properties را انتخاب کنیم. مشابه آنچه در تصویر زیر مشاهده می کنید..
با گرفتن Properties از هر Connection شما می توانید مواردی از قبیل اسم connection ، آدرس IP و Subnet مربوط به Connection ، فعال یا غیر فعال کردن connection ، تنظیمات Load Balancing و درصد های آن ، اضافه و تغییر و یا حذف سرورهای اختصاصی را تغییر دهید. با کلیک کردن بر روی Properties تصویر زیر را مشاهده خواهید کرد که بیانگر اطلاعات مربوط به این Connection است.
عوض کردن حالت عملیاتی ISP Redundancy در TMG
طبیعی است که شما بخواهید در آینده سناریوی کاری خود را عوض کنید و از حالت Load Balancing به حالت Failover تغییر دهید. در این سناریو ما بصورت پیشفرض قابلیت Load Balancing در ISP Redundancy را انتخاب کردیم برای عوض کردن این حالت به حالت Failover کافیست بر روی گزینه Change ISP Redundancy Mode for Failover کلیک کنید تا ساختار بصورت کلی عوض شود. گزینه مورد نظر را می توانید در تصویر زیر مشاهده کنید.
زمانیکه از حالت Load Balancing به حالت failover سویچ می کنید ، مطمئن شوید که تنظیمات Properties مربوط به Connection مورد نظر را تغییر داده اید و Connection Role درستی را انتخاب کرده اید. فراموش نکنید که زمانیکه شما حالت Load Balancing را به حالت Failover تغییر می دهید تمامی ترافیک از لینک اصلی ای Primary شما منتقل می شود و صرفا زمانیکه لینک Primary قطع شد یا دچار اختلال بود از لینک ثانوی یا Secondary استفاده می کنیم. همانطور که در تصویر زیر مشاهده می کنید connection role به دو حالت اصلی یا Primary و ثانوی یا Backup یا Secondary مشخص شده است ، این تنظیمات را حتما باید برای حالت Failover انجام دهید.
چگونه قابلیت ISP Redundancy در فایروال TMG را مانیتور یا پایش کنیم ؟
همانند همه قابلیت های موجود در TMG در ISP Redundancy نیز شما می توانید سرویس راه اندازی شده را برای بررسی مشکلات و خطاهای احتمالی مانیتور یا پایش کنید ، این مانیتورینگ شامل مواردی از قبلی وضعیت سلامت لینک ها و Connection ها ، اعلام وصل شدن یا قطع شدن آنها و سایر مواردی از این قبیل می باشد ، برای مانیتور کردن سرویس ISP-R کافیست از کنسول اصلی TMG وارد قسمت Dashboard شوید تا بتوانید همه موارد را مشاهده کنید ، شکل زیر قسمت Dashboard را در TMG نشان می دهد.
در فریم Network Status می توانید وضعیت لینک های ISP خود را مشابه شکل زیر مشاهده کنید :
اگر یکی از لینک ها دچار اختلال و به سرویس دسترسی نداشته باشد یک هشدار یا Alert زرد رنگ در Status آن مشابه شکل زیر نمایش داده میشود.
علاوه بر قسمت Network Status در قسمت Alerts نیز شما یک هشدار به شکل زیر با عنوان Connection Unavailable مشاهده می کنید.
اگر لینک ISP شما مجددا به حالت عملیات در بیاید در قسمت Alerts اعلان دسترسی مجدد به سرویس یا Connection Available را مشاهده خواهید کرد.
البته تعدادی هشدار یا Alert نیز بصورت ویژه برای سرویس ISP Redundancy برای مدیران فایروال TMG در نظر گرفته شده است که وضعیت سلامتی سرویس از جانب لینک های ارتباطی ISP ها را بصورت نمایش هشدار و اخطار به اطلاع مدیران می رساند ، مشابه چیزی که در تصویر زیر مشاهده می کنید.
تبریک ویژه ما را پذیرا باشید :D در حال حاضر شما سرویس ISP Redundancy در فایروال TMG مایکروسافت را پیاده سازی کرده اید و کاربران می توانند بصورت Load Balance و یا Failover از لینک های اینترنت شما به صورت بهینه استفاده کنند . راه اندازی این سرویس همین مواردی بود که در مقاله عنوان کردیم اما یک سری مفاهیم در این خصوص باقی می ماند که در مقاله بعدی به آن خواهیم پرداخت ، مواردی از قبیل اینکه چطور این سرویس متوجه می شود که یکی از لینک های اینترنتی شما قطع شده است و یا اینکه به چند روش و با چه سناریوهای مختلفی می توانیم در سازمان خود ISP Redundancy داشته باشیم ؟ همه این موارد را در مقاله بعدی با هم یاد می گیریم . امیدوارم مورد توجه شما قرار گرفته باشد.