<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 

 

 

 

 

 

 

 ISA Server 2006 集群负载均衡

方案建议书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第1章       方案背景

 

1.1 用户需求

1.2 系统的设计原则和设计目标

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 1.2.1 设计原则

1.2.2 设计要求

 

第2章       设计方案

 

2.1 方案构架

2.1.1 A ctive Directory 目录服务器

2.1.2 ISA Server 2006 服务器

2.1.3 灵活的客户端访问方式

2.2 系统组成及规划

2.2.1 ISA Server 企业版阵列部署

2.2.2 ISA Server 企业版NLB部署和规划

 

 

3章建议公司ISA Server NLB集群软硬件配置

3.1 服务器硬件建议配置

3.2 ISA Server 2006 NLB 集群软件需求


第1章 方案背景

1.1 用户需求

   目前准备在上海和沈阳分公司各架设一个ISA Server 2006负债均衡集群,用于上海和沈阳分公司员工Http访问外网的代理服务器。上海和沈阳大约共有3000个员工使用这两个集群代理访问internet

1.2 系统的设计原则和设计目标

1.2.1 设计原则

ISA Server 2006是微软公司开发的高级应用层防火墙,能提供与Windows AD域整合的Http上网管理和WEB缓存方案,为保证系统的广泛使用和稳定运行,系统的选择和设计应遵循以下原则:

 

l         ISA Server 2006集群策略统一管理

l         集群内ISA 服务器集群共享WEB Cache

l         系统稳定可靠

l         方便网络和系统的管理、安全性控制

l         方便的集群可扩展性

l         ISA集群内流量负载均衡

l         ISA集群内故障转移

 

1.2.2 设计要求

基于以上的设计原则,ISA Server WEB代理服务器集群系统的设计应达到以下目标:

l         现阶段为上海和沈阳员工提供http代理服务器功能,大约3000人左右。

l         高度可伸缩性的体系构架。能方便地扩充容量,以满足公司未来发展的需要。

l         方便的客户端设置

l         为管理员提供方便高效的统一管理工具,减少日常维护工作量

l         ISA集群内流量负载均衡,集群内服务器内网IP虚拟成一个IP

l         ISA集群内故障转移

l         AD域集成,通过AD服务器验证身份

 

 

第2章 设计方案

2.1 方案构架

 

方案采用了Windows Server 2003平台上的ISA Server 2006系统,以集群和网络负载均衡(NLB)的方式实现系统的高性能和高扩展性。

 

下图为采用托管方式的系统构架示意图:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

2.1.1 Active Directory目录服务器

在上图中Active Directory域服务器为ISA提供身份验证。为不同的用户组赋予不同的访问权限。

2.1.2 ISA Server 2006服务器

Microsoft Internet Security and Acceleration (ISA) Server 2006 是高级应用层防火墙、虚拟专用网络 (×××) Web 缓存解决方案,它使客户能够通过提高网络安全和性能,轻松地从现有的 IT 投资获得最大收益。ISA Server 2006 有两种可用版本:标准版和企业版。ISA Server 2006 企业版支持 多台ISA集群部署和NLB网络负载均衡,能够统一管理多台ISA服务器,并实现客户端流量负载均衡和故障转移。

2.1.3 灵活的客户端访问方式

ISA 2006具有对多种客户端灵活的支持能力。

l         不使用ISA server 2006客户端、在用户PCIE设置http 代理服务器地址到ISA 2006服务器内网地址,这样的设置只有当用户使用Http访问时才会通过ISA代理转发。其余Mail 通讯不会通过ISA

l         使用ISA Server 2006 客户端,在用户机器上安装ISA 客户端,这样的设置用户所有的Internet 访问数据流量都会通过ISA Server 转发。

l         不使用ISA 客户端、也不设置用户PCHttp代理服务器,直接把用户计算机网关改为ISA Server 2006 内网IP,这样设置用户所有的Internet 访问数据流量都会通过ISA Server 转发,但是这种方式不支持AD域用户身份验证。

     根据ABAN的用户需求,ISA Server 2006只做Http 代理服务器,因此采用第一种客户端连接方式。

2.2 系统组成及规划

2.2.1 ISA Server 2006 企业版阵列部署

通过将多个ISA Server2006计算机分组为多个阵列的方式,您可以集中管理整个企业的网络策略。你可以选择部署集中式企业策略,也可以对阵列管理员进行授权,让其自定义阵列策略。集中管理就意味着更高的安全性,所有管理任务都可以从一台计算机执行,并将配置应用于所有ISA Server服务器计算机,以确保所有服务器都具有相同的访问策略配置。这在大型企业的网络环境中尤为有用,每个企业可以划分为多个阵列,而每个阵列又可以包括很多台 ISA 服务器计算机。

2.2.2 ISA Server 2006 企业版NLB部署和规划。

对于企业用户来讲,如何确保系统的高可用性和高稳定性,是摆在IT人员面前的一个重要课题。NLB允许多达31ISA Server一起工作的群集来提供服务的高性能、高可用性和可扩展性,客户端使用一个虚拟的 IP 地址来访问群集。和Windows系统实现的NLB不同,ISA服务器提供的NLB集成到了ISA服务器中,从而使您可以轻松地管理受ISA服务器保护的不同网络之间的NLB

下图反映了ISA Server 2006 NLB的部署:

 

 

规划和调整 ISA 集群服务时要考虑的主要标准是:

l         用户数客户端数量

l         数据访问流量

l         可扩展性和故障转移

 

 目前大约3000用户需要使用ISA 2006 Server Http代理转发,根据500客户端大约需要一台ISA Server的部署规则。初步规划为2ISA Server NLB集群,上海公司一个ISA Server NLB集群,包含3ISA Server;沈阳公司一个ISA Server NLB集群,也包含3ISA Server 服务器。

ISA Server NLB集群具有良好的高可用性和可扩展性。集群中任何一台机器出现故障都不会影响集群的工作。当公司扩大,用户数增多时,也可以很方便的在现有集群中增加ISA Server 服务器。

 

第3章 建议ISA Server NLB集群软硬件配置

3.1 服务器硬件建议配置

建议采用 IBM X3550 (CPU4G内存、硬盘 SAS 72G*2 Raid1)、配3块网卡(一块内网、一块外网、一块心跳)

3.2 ISA Server 2006 NLB集群软件需求

软件需求:Win2003 标准版+ISA Server 2006 企业版