Network Load Balancing 11 . pdf

(1)

Contents

I. Yêu cầu cài đặt TMG 2010 ... 2

II. Cài đặt TMG 2010 ... 4

III. Network Load Balancing trên TMG 2010... 14

1/ Giới thiệu Network Load Balancing trên TMG 2010. ... 14

2/ Mô hình triển khai Network Load Balancing TMG 2010 ... 16

3/ Triển khai Network Load Balancing trên TMG 2010 ... 18

4/ Update service pack cho TMG ... 24

5/ Cấu hình Service Principle Names cho Intra-Array communications ... 27

6/ Chuẩn bị trước khi cấu hình Network Load balancing TMG 2010 ... 29

7/ Join Array Standalone TMG 2010 ... 36

8/ Tạo Rule để enable Network Load Balancing giao tiếp trên Intra-Array. ... 47

9/ Enable Load balancing TMG 2010 ... 58

(2)

I. Yêu cầu cài đặt TMG 2010

- Forefront Threat Management Gateway (TMG) 2010 là phiên bản

"Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống được nâng cao đáng kể.

- Yêu cầu tối thiếu đối với hệ thống:

 Hệ điều hành hỗ trợ: Windows Server 2008 SP2 or Windows Server 2008 R2

(3)

(4)

II. Cài đặt TMG 2010

- Nhấn Next để tiến hành cài đặt TMG 2010.

(5)

- Các bạn chọn “Run Windows Update” để kích hoạt Windows Update.

(6)

(7)

- Nhấn “Install” để tiến hành cài đặt các gói update mà windows update đã

(8)

- Sau khi cài đặt các update xong, chúng ta tiến hành chạy “Run preparation

(9)

(10)

- Check vào “I accept the terms of the License Agreements” và nhấn “Next”

(11)

- Chọn “Forefront TMG Services and Management” để cài đặt các

Preparation tool cho TMG service và management console để quản lý và cấu

(12)

(13)

(14)

Last edited: Jun 18, 2016 root, Jun 18, 2016

#1

2.

III. Network Load Balancing trên TMG 2010

1/ Giới thiệu Network Load Balancing trên TMG 2010.

(15)

 Các PC trong Lan của chúng ta sẽ sử dụng default

gateway là Virtual IP. Traffic trong mạng LAN có thể load balancing chạy qua 2 Firewall để ra bên ngoài.

 Các traffic đi ra bên ngoài và từ bên ngoài vô hệ

thống cũng sẽ được load blancing trên 2 TMG 2010.

 Khi có 1 TMG server bị lỗi hoặc down thì vẫn còn 1

TMG khác đảm nhiệm để hệ thống vẫn hoạt động bình thư ng.

Network Load Balancing TMG 2010 sử dụng Array để các TMG thành viên join vào Array này. Traffic sẽ được load balancing trên các TMG thành viên nằm trong Array.

TMG 2010 lưu các dữ liệu cấu hình của nó thông qua 2 kỹ thuật mới được sử dụng trong Forefront TMG.

- EMS (Enterprise Management Server)

 Enterprise Management Server (EMS) là một server

dùng để quản lý TMG Enterprise Array hoặc là một

standalone server để quản lý các TMG Firewall.

 EMS phải được cài đặt trên một server domain

member và không có các dịch vụ Forefront TMG khác được cài đặt trên đó. có thể nâng cấp phiên bản Forefront TMG Standard thành Forefront TMG Enterprise mà không cần cài đặt lại.

- CSS (Configuration Storage Server)

 Configuration Storage Server (CSS) có thể được cài

(16)

 Mỗi TMG đều có một CSS local.

 Chúng ta có thể cho một TMG join server vào một

TMG Array khác, TMG Server local sẽ dùng

Enterprise CSS (EMS). Khi Enterprise CSS (EMS)

được áp dụng, CSS local sẽ bị vô hiệu hóa.

2/ Mô hình triển khai Netwo

rk Load Balancing TMG 2010

- Để cấu hình NLB trên 2 TMG. Chung ta cần chuẩn bị 2 server TMG01 và

TMG02 đã join domain svuit.vn

- Domain Controller: đã nâng cấp domain svuit.vn

- Trước khi cài đặt Network Load Balancing TMG 2010, các bạn phải cấu hình chính xác các Network Adapter của TMG.

- Cấu hình IP trên TMG01

- Cấu hình IP trên TMG02

(17)

(18)

2.

3/

Triển khai Network Load Balancing trên TMG 2010

1/ Cấu hình TMG 01:

- Cấu hình IP cho 3 interface trên TMG01 như sau:

 Inside: 192.168.10.251 (dùng cho các PC bên trong

mạng LAN)

 Intra-Array: 172.16.10.11 ( Dùng để giao tiếp giữa 2

Firewall TMG 2010)

 Outside: 10.123.10.131 (Dùng để kết nối ra bên

(19)

- Các bạn vào phần “Networking của TMG01” và add đúng các Network cho

(20)

- Các bạn vào mục “System” sẽ thấy hiện tại chỉ có 1 TMG01 được quản lý

(21)

2/ Cấu hình TMG 02

Tương tự các bạn kiểm tra cấu hình IP trên các interface của TMG02 xem đúng chưa

 Inside: 192.168.10.252 (dùng cho các PC bên trong

mạng LAN)

 Intra-Array: 172.16.10.12 ( Dùng để giao tiếp giữa 2

Firewall TMG 2010)

 Outside: 10.123.10.132 (Dùng để kết nối ra bên

(22)

- Các bạn vào phần “Networking” của TMG02 và add đúng các Network cho

TMG01 như hình dưới đây. Nếu chưa có đủ các interface thì các bạn add

(23)

(24)

root, Jun 18, 2016

#2

3.

4/ Update service pack cho TMG

- Các bạn cần đảm bảo cả 2 TMG đều được update lên phiên bản SP (Service Pack)

Nếu TMG của bạn đã được update service Pack 1 (hoặc cao hơn) thì có thể bỏ qua bước này. Tuy nhiên, nếu TMG của bạn có version thấp hơn thì bạn

nên update lên Service Pack 1 là tối thiểu. Nếu không khi bạn cấu hình

(25)

- Chọn server TMG mà bạn muốn update service pack và nhâp thông tin

(26)

(27)

Sau khi update xong thì bạn restart lại server TMG

Các bạn thực hiện update service pack tương tự trên TMG02 nhé

5 / Cấu hình Service Principle Names cho Intra

-Array

communications

- Đảm bảo trên Activce Directory các bạn đã phân giải được domain name

(28)

Các CSS (Configuration Storage Server) của các TMG giao tiếp với nhau

thông qua card “Intra-Array” thì yêu cầuKerberos để yêu cầu các SPNs của

các TMG.

(29)

Code:

setspn -a ldap/[Intra-array DNS Name] [NETBIOS Name] setspn -a ldap/[Intra-array DNS Name] :2171 [NETBIOS Name]

Ví dụ Code:

setspn –a ldap/TMG01.svuit.vn TMG01

setspn –a ldap/TMG01.svuit.vn:2171 TMG01

- Để kiểm tra xem các SPN đã cấu hình chính xác chưa, chúng ta sử dụng

lệnh Code:

“setspn –L [NETBIOS Name]”

Notes: Chúng ta cần cấu hình SPN trên các TMG array member.

6 / Chuẩn bị trước khi cấu hình Network Load balancing

TMG 2010

- Trên TMG01 các bạn vào “Firewall Policy > Toolbox” các bạn add TMG01

(30)

(31)

(32)

- Tương tự các bạn cũng thực hiện add TMG01 và TMG02 vào group

“Remote management Console”

(33)

- Sau khi cấu hình xong các bạn nhấn “Apply” để áp phê các cấu hình chúng

(34)

(35)

(36)

1.

7/ Join Array Standalone TMG 2010

- Trên TMG01 chúng ta tiến hành “Join Array” của TMG02. Sauk hi join

Array thành công chúng ta có thể sử dụng TMG02 để quản lý và cấu hình cho cả 2 TMG01 và TMG02.

(37)

(38)

- Các bạn điền IP hoặc domain name của TMG01 và nhập thông tin username

(39)

(40)

(41)

(42)

(43)

- Trong menu “System” các bạn chọn server TMG01 và click vào

“Configure Selected Server”. đây bạn sẽ thấy “Intra-Array

Communication” sử dụng card “Intra-Array” có IP 172.16.10.11 để giao

(44)

- Tương tự các bạn kiểm tra giao tiếp trên TMG02 đảm bảo TMG02 sử dụng

(45)

Vào “Configure Array Properties” để kiểm tra Roles của TMG Array. Hiện

(46)

- Các bạn vào tab “monitoring” để kiểm tra việc đ ng bộ cấu hình giữa 2

(47)

#1

2.

8 / Tạo Rule để enable Network Load Balancing giao tiếp

trên Intra-Array.

- Dưới menu “Firewall policy” bên tay phải tab “Toolbox”. Các bạn chọn

(48)

(49)

(50)

(51)

- Nhấn Finish để hoàn thành việc tạo giao thức mới.

(52)

(53)

(54)

(55)

(56)

-Rule chúng ta tạo sẽ được apply cho tất cả các user

(57)

(58)

1.

9/ Enable Load balancing TMG 2010

- Để enable Network load balancing trên TMG 2010. Các bạn vào menu

“Networking” bên phải màn hình các bạn chọn “Tasks → Enable Network

Load Balancing Integration” để enable load balancing trên TMG.

(59)

- Các bạn chọn card Internal để cấu hình load balancing cho 2 card internal

của 2 TMG. Trên interface Internal của TMG01 có IP 192.168.10.251 và TMG02 có IP 192.168.10.252. Chúng ta sẽ tạo 1 Virtual IP 192.168.10.250.

- Các PC trong mạng Lan sẽ trỏ default gateway về virtual IP

(60)

- Tương tự chúng ta cấu hình Load balancing cho interface External. Đảm

(61)

(62)

(63)

- Sau khi cấu hình xong các bạn vào mục “monitoring” và tab “Services” để

(64)

- các bạn vào TMG01 kiểm tra sẽ thấy 2 interface Inside và External của

TMG01 đều có 1 Private IP 192.168.10.251 và 10.123.10.251. Ngoài ra trên 2 interface Inside và External của TMG01 đều có Virtual IP 192.168.10.254

(65)

#1

(66)

IV. Testing Network Load Balancing trên TMG 2010

- Các bạn sử dụng PC đặt IP thuộc LAN 192.168.10.0/24 và trỏ default

gateway về Virtual IP mà chúng ta đã cấu hình Network Load Balancing trên card Inside của 2 TMG01 và TMG 02.

- Các bạn thử dùng PC trên để ping tới

 Virtual IP inside của 2 TMG:

(67)

 Virtual IP outside của 2 TMG:

10.123.10.130

- bây gi trên PC các bạn thử dùng tracert để kiểm tra xem traffic của PC

(68)

- Như hình chúng ta thấy

 traffic của PC đi đến google.com thì

(69)

- Trên PC các bạn vẫn có thể ping được đến virtual gateway, inside của

TMG02. Nhưng PC không thể ping đến card inside 192.168.10.251 của

TMG01.

(70)