[技术分享 – TMG 篇] TMG 为 ISP 连接系上双保险

最新推荐文章于 2017-04-13 21:01:54 发布
最新推荐文章于 2017-04-13 21:01:54 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: [技术分享 - TMG 篇] 文章标签: 服务器 网络 internet 任务 微软
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MSSecurity/article/details/5381370
版权

目前,越来越多的业务依赖于 ISP 来处理 Internet 的访问,发邮件,上网等,这些业务依赖于 ISP 线路的高可用性。

保持一个稳定的,可用的,可靠的 ISP 连接对每个网管员来说,都是极其重要的任务。

Forefront TMG 提供了一个以往 ISA 没有的重要特性: ISP 冗余链路,TMG 可以同时支持两条 ISP 链路。拥有两种冗余模式:

Load balancing with failover capability: 网络流量分布在两条链路上,如果一条链路断开或者没有响应,所有的流量会定向到另外一条。

Failover only: 两条链路中的一条会作为主链路,处理所有网络流量,如果主链路不可用,所有流量会由备用的链路处理。

如下图所示:

clip_image002

对于 Load balancing with failover capability 模式,您可以选择 ISP 冗余负载比例。

clip_image004

对于 Failover only 模式,您需要选择哪条链路是主用链路。

clip_image006

一般来说为了避免外网卡上指定的外部 DNS 解析的问题,我们推荐不设置任何外网卡的 DNS 服务器,而只在 TMG 内网卡上设置内部 DNS 服务器。

如果您在两块外部网卡上分别指定了外部 DNS 服务器,那么可能会出现访问链路1上的 DNS 服务器会通过链路2进行,这时您必须要对每个 DNS 服务器的解析增加静态路由,因为 ISP 冗余功能仅对 NAT 流量有效,对于来自 TMG 本地主机的流量,不会进行 ISP 冗余选择处理。

clip_image007

在部署 TMG 的 ISP 冗余前,您需要注意一下以下问题。

  1. 在源网络和目标网络之间的关系必须是 NAT 的关系,如果是路由的关系,则无法应用ISP冗余的功能。 TMG 本机到任何网络的流量不会有 ISP 冗余,因为 TMG 本机到任何网络的关系一定是路由关系。
  2. 每条 ISP 链路必须连到不同的网段的网关上,同时 TMG 的外部 IP 地址也必须属于不同的网段。
  3. TMG 外部网卡不能启用 DHCP 的方式来获取 IP 地址,家庭用户使用 ADSL 拨号不支持 TMG 的 ISP 冗余。

 

James Yi
微软安全支持专家

MSSecurity
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
实测TMG结合Bandwidth Splitter限制带宽与流量
06-21
实测TMG结合Bandwidth Splitter限制带宽与流量
Lync 小技巧-58-使用Pfsense代替TMG或者F5为Lync卖命
weixin_34119545的博客
09-30 176
 在学习Lync与Skype for Busiess Server 2015,单一公网IP,可能会遇到如下问题:1. 用TMG反向代理,TMG停产了,你想用,没保障,功能没问题。2. 用IISARR反向代理,配置麻烦。(需要额外的安装软件,本软件我记得免费。)3. 用Web Application Proxy反向代理,配置简单。(集成在Windows Server 2012 R2功能中,不需要单独...
[技术分享TMG ] 新版MSN Live Messenger 2011不能通过ISA/TMG代理登陆问题
微软大中华区安全博客
02-28 2511
<br />在安装新的MSN Live Messenger 2011软件后,Messenger客户端可能无法通过ISA代理服务器正常登录。<br />如果通过抓包分析,您可以看到MSN始终在尝试与MSN的gateway进行登陆尝试。但是永远无法成功。<br /><br />问题原因<br />=====<br />新的MSN Live Messenger 2011软件虽然在用户界面上可以手动设置代理服务器,但事实上,MSN并没有完全使用到web代理登陆(只有一部分登陆过程用到web代理)。<br />解决方
TMG2010新特性----ISP双线路冗余
weixin_34226182的博客
06-22 138
在ISA Server2004/2006产品中,一直得不到大型企业广泛应用的原因之一,就是ISA Server2004/2006不支持双ISP线路支持。当然,我们可以把双线路在路由、某些硬件防火墙来绑定。但对于ISA定位一款企业级防火墙,就有必须考虑对多线路的支持。在TMG 2010中这一功能终于实现了,以下为如何对TMG 2010来配置双线路。 ISP:网通、电信 打开...
pfSense
weixin_34318956的博客
02-05 180
本文章载体多处来自网友kidz的一繁体中文pfsense文章,因考虑众多国内pfsense初学者,原文经本人改为简体中文并语气化。因首次是在m0n0发布,所以印有m0n0china.org,望文章中的原作者们多多海涵(感谢理解) pfSense是一款功能强大的免费路由器软件,它是在著名的路由器软件mOnOwall基础上开发的,增加了许多mOnOwall没有的功...
【NP-TMG033】雷达安装调试指导20190918.jpg
05-24
海康威视停车场【NP-TMG033】雷达安装调试指导
tmg.rar_Excel VBA_TMG_VBa
09-24
Tmg航天器软件数据分析软件,基于excel VBA,工程密码1111
【NP-TMG022】车检器调试以及线圈施工规范一指禅.rar
05-24
海康威视【NP-TMG022】车检器调试以及线圈施工规范一指禅
超详细TMG2010安装配置说明
06-11
超详细TMG2010安装配置说明,微软产品,很好很强大,特别作为代理功能。
RFID技术中的基于nRF24E1与TMG2023的汔车防撞系统的研制与实现
12-10
阐述了信号处理当中的相关运算理论,并将该理论与上述两个芯片为核心的电路相结合,用于汽车防撞系统当中,从而增强了汽车防撞系统的防撞能力。 关键词:射频收发 相关运算 防撞系统随着时代的发展及社会的进步,...
Forefront TMG 服务器中如何规划和实现高可用性
weixin_34067102的博客
10-18 97
前段时间一直在做TMG在企业中的高可用性的规划与实施,在windows产品中高可用性一般最常用到的也就是“群集(Cluster)”与“网络负载均衡(NLB)”,那么在TMG中我们要想实现高可用性如何进行操作呢? 在微软TMG产品中实现高可用性用,我们一般依托”TMG阵列”+“网络负载均衡(NLB)”来实现,目前在企业安全边界规划中,我们一般使用一个或多个 ...
基于ISA/TMG的双线接入
weixin_34270606的博客
05-19 140
公司(www.n-pass.cn)为节约成本,采用双线接入,一条8M电信ADSL,一条6M联通专线,专线除了用于普通上网外,还承担着公司对外的业务,具体拓扑如下:思路:由于公司客户多为国外客户,才用联通访问延迟要比电信小,因此我将ISA的默认路由指向联通线路,即上面拓扑他防火墙(172.25.82.254),再有防火墙转发出去。找出电信的IP段,将电信的IP段路由都指向ADS...
TMG 远程端口发布
weixin_34265814的博客
06-13 177
本人自己做的文档希望对兄弟们有所帮助!有错的欢迎指正··· 转载于:https://blog.51cto.com/zmadmin/1221319
TMG2010 安装配置指南(一)
weixin_34405354的博客
04-03 748
TMG2010安装配置指南:环境说明:公司内部100人左右,网络拓扑如下,要求搭建TMG 实现代理上网及web访问权限分配。网上有很多资料都是千一律配置TMG边缘防火墙。在此环境下没必要,所以我搭建的是单一网络适配器模式。硬件配置:网卡配置:准备工具:开始安装:(图片太多我就不一一上传了,只传一些碰到的问题及解决方案,安装过程就不传图片了,相信安装对于大家来说根本不是问题,...
TMG 2010 L2tpOverIpsec 安卓设备拨入掉线问题解决
weixin_34297300的博客
08-15 255
大家都知道 微软TMG/ ISA防火墙 支持的×××类型有三种 PPTP ,L2tp/IPsec,及SSTP。虽然SSTP更安全,但PPTP和L2tp/Ipsec为所有异构系统所支持。就安全性来讲PPTP没有安全性可言也为一些ISP所屏蔽,所以L2tp/IPSEC作为一种中和的方案为用户所通用。今天的问题主要就是在安卓设备拨入×××(采用l2tp/ipsec PSK(共享密钥...
网络防火墙实战-基于pfsense(1)
weixin_34270865的博客
10-14 126
pfSense是一个免费的,开源的FreeBSD作为防火墙和路由器专为使用自定义版本。除了 是一个功能强大的,灵活的防火墙和路由平台,它包括一个长长的清单相关的功能,并允许进一步的扩展包,不添加膨胀和潜在的安全漏洞的基地分布。pfSense是一项民心工程,自成立以来,有超过100万次的下载无数从小型家庭网络,保护PC和Xbox大型企业,大学和其他组织保护数以千计的网络设备的安装和成熟的。 下载 ...
Forefront_TMG_2010-TMG发布SSL Web服务器
weixin_34043301的博客
11-13 105
1.环境拓扑图:2.在DMZ中安装WEB服务器后,再安装CA服务器首先安装Web服务器:在DMZ区域的Web服务器进行测试:之后我们安装CA证书服务器:下一步:选择“证书颁发机构”和“证书颁发机构Web注册”:选择“独立CA”:选择“根CA”:新建私钥:配置加密方式:配置CA名称:配置证书有效期:配置数据库位置:下一步:安装Web相关组件:开始安装:完成CA的安装:打开证书颁发机构管理控制台:...
Forefront TMG 2010 (四)-- 添加静态路由实现多网段互访
weixin_34326179的博客
04-13 317
昨天把 TMG 2010 安装上去了,简单的配置好,可以通WEB代理正常的上网后,同一个网段也可以正常的使用 Radmin 远程连接,刚感觉到有一点点的成功感时,悲催的事来了。因公司有几个网段,今天用的是笔记本,所以使用无线。今天一开机,想通过 Radmin 再远程进去 TMG2010 机器操作时,发现居然没办法连接上去。蒙了一下后,就想到可能是不同的网段...
TMG学习(九),DMZ非军事区
weixin_33836874的博客
12-13 225
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样...
在/tmg.下建立 dir5 级子目录,如“/tmp/dirl/dir2/dir3/dir4/dir5”,要 求每个目录中有//*.conf 文件。最后删除 dir5 目录。
最新发布
06-06
可以使用以下命令在Linux的/tmp目录下创建一个名为"dir5"的5级子目录,并在每个目录中创建名为"*.conf"的空文件: ``` mkdir -p /tmp/dir1/dir2/dir3/dir4/dir5 touch /tmp/dir1/gt.s/*.conf touch /tmp/dir1/dir2/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值