isa2004负载均衡配置.doc

窗体顶端标题：配置ISA Server 2004企业版中的网络负载均衡上一帖 | 下一帖 网络负载均衡技术（Network Load Balancing，NLB）采用完全分配算法来为集群中的服务器分配进入的访问流量，当集群中的某台服务器失效时，NLB会自动转发数据到其他可用的服务器上。这个过程完全是NLB自动进行的，对于客户而言，只是在初始化连接时稍为有点延迟。通过NLB，你可以把最多31台服务器配置成为一个集群，使你的网络具有高度的扩展性和稳定性，为客户提供不间断的服务。在Windows 2000高级服务器版和Windows 2003服务器企业版中，均集成了网络负载均衡技术。 在ISA Server 2004企业版中，利用ISA Server 2004全新的多网络核心，集成了网络负载均衡技术。阵列中的任何一个物理连接的网络都可以实现NLB，并且，通过良好的控制界面，你只需要简单的几个步骤，就可以实现网络负载均衡。 网络负载均衡是基于阵列启用的，每个阵列都可以配置NLB为下列两种模式之一：集成NLB模式（推荐模式）。在这种模式下，你使用ISA Server管理控制台来配置NLB，你可以享受到集成方便的管理和维护特性； 非集成NLB模式。在这种模式下，你使用Windows系统提供的NLB工具来对NLB进行配置，而不是通过ISA Server的管理控制台。 默认情况下，在安装ISA Server 2004企业版后，集成NLB并未启用（NLB由操作系统系统提供）。你需要在ISA Server 2004管理控制台中启用集成NLB。当阵列启用NLB后，你可以为阵列的任何一个物理连接的网络启用NLB。微软推荐你除了用于域内通信的网络外，为其他任何物理连接的网络启用NLB。 在启用NLB时，你需要为此网络在原有的IP地址外指定一个不冲突的虚拟IP地址，这个虚拟IP地址是给此集群中的所有服务器共用。当在集成NLB模式下，ISA Server会自动修改网络适配器的TCP/IP属性来添加对应的虚拟IP地址。此网络适配器原有的IP地址称为专用IP地址，启用了NLB的ISA Server服务器的每个网络适配器必须拥有一个专用IP地址用于集群内部之间的通信。虚拟IP地址必须和专用IP地址属于同个子网，并且具有相同的子网掩码。 NLB允许一个子网内的所有集群成员服务器同时检测到进入的的通往集群IP地址（虚拟IP地址）的网络流量，在每个集群主机上，NLB驱动扮演这网络适配器驱动和TCP/IP协议栈之间的过滤器角色，来在主机之间分配流量。ISA Server 2004接管了这一点，允许在更复杂的网络环境中配置NLB，例如在包含VPN、CARP和防火墙客户等等的网络中。 当你启用集成NLB模式时，ISA Server会对指定的网络进行网络负载均衡，并自动决定哪个网络适配器应该被NLB所用，每个网络只能使用一个网络适配器。ISA Server使用以下算法来选择NLB使用的网络适配器： 看启用NLB的网络的对应的网络适配器是否具有静态IP地址，没有静态IP地址的接口将会被去除； 从NLB候选列表中把用于域内通信的网络适配器移除； 按字母顺序对网络适配器的名字进行排序； 选择第一个具有和指定的虚拟IP地址相同子网的网络适配器； 这样，你可以通过修改网络适配器的名字来控制使用哪个网络适配器，修改后需要重启Microsoft Firewall服务。 下图是我们的试验网络，在这个试验中，我们将对外部网络（Internet）配置NLB（虚拟IP地址为54），然后在虚拟IP地址上发布内部网络Client1上的Web站点，然后在外部网络的主机Sydeny上访问发布的Web站点，测试在一台集群的主机发生故障时网络的负载均衡功能。 网络连接已经确认正常工作，Florence和Istanbul已经安装了ISA Server服务，共享安装在Florence上的配置存储服务器，并且同属FLORENCE阵列，在FLORENCE阵列防火墙策略中，已经建立了一条允许所有网络访问所有网络的所有服务的访问规则（仅在试验环境中使用，商用网络中切忌不可）。此次试验不涉及DNS，各台服务器的DNS服务器设置为空，各服务器的TCP/IP设置如下： FlorenceInternal： IP：/24 DG：None External： IP：/24 DG： IstanbulInternal： IP：/24 DG：None External： IP：/24 DG：None Client1IP:0/24 DG:None Sydeny IP:0/24 DG:None 我们按照以下步骤进行试验： 启用并配置集成NLB；发布内部的Web站点；测试网络负载均衡功能； NLB是在阵列成功配置的基础上才能使用的，关于如何安装阵列，请参见ISA中文站技术文章“ISA Server 2004企业版Beta安装指南”，本文不涉及ISA Server 2004企业版的安装及阵列的配置。2005-10-21 14:261楼 顶部 Maiczhot 助理工程师 帖子 507 精华 19 无忧币 3687 积分 2462 阅读权限 40注册日期 2005-8-16最后登录 2007-9-14离线 查看资料 发短消息 Blog 【在线视频】VMware桌面安全系统ACE|【门诊】用思科网络设备打造安全稳定的企业网络|【市场】开放技术博客圈高手云集|【讨论+视频】ARP欺骗引发的“冤案”质问电信通IDC的服务质量|【活动】一起来晒晒你的工资，晒晒你每日的生活帐单发表于:2005-10-21 14:26 1、启用并配置集成NLB我们先得启用集成NLB，打开ISA Server 2004企业版管理控制台，依次展开左面板的阵列、FLORENCE、配置、网络，然后在右边的任务面板的任务标签下，点击启用集成网络负载均衡； 在弹出的欢迎使用集成网络负载均衡向导页，点击下一步； 在弹出的选择负载均衡网络页，勾选外部，然后点击设置虚拟IP，在弹出的设置虚拟IP地址对话框，输入你想设置的虚拟IP地址和掩码，在此我输入54和。注意，这个不能随便输入，必须：1、虚拟IP地址和此网络对应的专用IP地址（在此是）必须在一个子网内；2、虚拟IP地址的子网掩码必须和此网络对应的专用IP地址的子网掩码一致。点击确定； 完成后如下图所示，点击下一步； 最后点击完成； 在弹出的提示窗口上点击确定（提示你注意配置存储服务器名字的访问）。 NLB的启用和配置就完成了。2005-10-21 14:262楼 顶部 Maiczhot 助理工程师 帖子 507 精华 19 无忧币 3687 积分 2462 阅读权限 40注册日期 2005-8-16最后登录 2007-9-14离线 查看资料 发短消息 Blog 【在线视频】VMware桌面安全系统ACE|【门诊】用思科网络设备打造安全稳定的企业网络|【市场】开放技术博客圈高手云集|【讨论+视频】ARP欺骗引发的“冤案”质问电信通IDC的服务质量|【活动】一起来晒晒你的工资，晒晒你每日的生活帐单发表于:2005-10-21 14:27 2、发布内部的Web站点现在我们来发布内部网络中Client1上的的Web站点，右击防火墙策略，然后点击新建，选择Web服务器发布规则， 在弹出的欢迎使用新建Web发布规则向导页，输入规则名字，在此我命名为Publish Internal web site，点击下一步； 在规则动作页，选择允许，点击下一步； 在定义发布的Web站点页，输入内部Web服务器的IP地址0，点击下一步； 在公共名字细节页，选择所有域名，然后点击下一步； 在选择Web侦听器页，点击新建，在弹出的欢迎使用新建Web侦听器向导页，输入侦听器的名字，在此我输入Listen 254tcp 80，点击下一步； 在IP地址页，勾选外部，然后点击地址， 在外部网络侦听IP地址选择对话框，选择指定IP地址，然后点击左框的54，点击添加，然后点击确定， 完成后如下图所示，点击下一步； 在指定端口页，接受默认的80端口，点击下一步；然后在正在完成新建Web侦听器向导页，点击完成； 然后在选择Web侦听器页，点击下一步； 在用户集页，接受默认的所有用户，点击下一步； 最后在正在完成新建Web发布规则向导页，点击完成。 现在，我们需要应用策略，点击应用按钮保存修改和更新防火墙策略，ISA弹出提示框，提示你修改需要重启ISA服务，点击保存修改和重启服务，点击确定； 等一会后，ISA提示你应用成功，点击确定，然后在监视的配置状态里面确认两台ISA Server的配置已经同步。2005-10-21 14:273楼 顶部 Maiczhot 助理工程师 帖子 507 精华 19 无忧币 3687 积分 2462 阅读权限 40注册日期 2005-8-16最后登录 2007-9-14离线 查看资料 发短消息 Blog 发表于:2005-10-21 14:37 3、测试网络负载均衡功能现在我们来测试一下网络负载均衡功能，首先，我们在外部的Sydeny上访问发布的Web站点（54）， 访问成功。 关闭浏览器，我们在监视的会话里面看看，注意看黄色的那行，为外部的Sydeny提供的服务的ISA Server是Floren