Network Load Balancing 11 . pdf
Contents
I. Yêu cầu cài đặt TMG 2010 .............................................................................................. 2
II. Cài đặt TMG 2010 .......................................................................................................... 4
III. Network Load Balancing trên TMG 2010................................................................... 14
1/ Giới thiệu Network Load Balancing trên TMG 2010. .............................................. 14
2/ Mô hình triển khai Network Load Balancing TMG 2010 ......................................... 16
3/ Triển khai Network Load Balancing trên TMG 2010 ............................................... 18
4/ Update service pack cho TMG .................................................................................. 24
5/ Cấu hình Service Principle Names cho Intra-Array communications ...................... 27
6/ Chuẩn bị trước khi cấu hình Network Load balancing TMG 2010 ................... 29
7/ Join Array Standalone TMG 2010 ............................................................................ 36
8/ Tạo Rule để enable Network Load Balancing giao tiếp trên Intra-Array. ................ 47
9/ Enable Load balancing TMG 2010 ........................................................................... 58
IV. Testing Network Load Balancing trên TMG 2010 ..................................................... 66
I. Yêu cầu cài đặt TMG 2010
- Forefront Threat Management Gateway (TMG) 2010 là phiên bản
"Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với
những tính năng bảo mật hệ thống được nâng cao đáng kể.
- Yêu cầu tối thiếu đối với hệ thống:
Hệ điều hành hỗ trợ: Windows
Server 2008 SP2 or Windows Server
2008 R2
CPU 2 core (1 CPU x dual core) 64bit processor
RAM 2GB
cứng tối thiểu 2.5 GB. Phần này
không bao g m đĩa để lưu trữ
cache và cấc file cảnh báo hệ
thống…
cứng lưu trữ TMG phải được định
dạng NTFS
Có một card mạng để kết nối với
Internet.
Thêm tối thiểu 1 card mạng đại diện
cho mỗi mạng kết nối trực tiếp với
Forefront TMG Server
- Yêu cầu khuyên dùng đối với hệ thống:
Hệ điều hành hỗ trợ: Windows
Server 2008 SP2 or Windows Server
2008 R2
Máy tính với CP 4 core (2 CPU x
dual core or 1 CPU x quad core) 64bit processor
RAM 4 GB
Bộ nhớ cứng tối thiểu 2.5 GB. Phần
này không bao g m đĩa để lưu trữ
cache và cấc file cảnh báo hệ
thống…
Tốt nhất có 1 cứng cho hệ thống
và file log, 1 cho caching và chống
malware.
Một card mạng để kết nối với
Internet.
Thêm tối thiểu 1 card mạng đại diện
cho mỗi mạng kết nối trực tiếp với
Forefront TMG Server
II. Cài đặt TMG 2010
- Nhấn Next để tiến hành cài đặt TMG 2010.
- Các bạn chọn nơi lưu cài đặt TMG 2010
- Các bạn chọn “Run Windows Update” để kích hoạt Windows Update.
Windows Update sẽ cập nhập các service pack, hot fix… cho cả Windows và
TMG 2010 trước khi chúng ta tiến hành cài đặt TMG 2010.
- Windows update sẽ tiến hành update service pạk, hot fix… từ server
Microsoft.
- Nhấn “Install” để tiến hành cài đặt các gói update mà windows update đã
download trên về..
- Sau khi cài đặt các update xong, chúng ta tiến hành chạy “Run preparation
Tool” để cài đặt các công cụ, package yêu cầu trước khi cài đặt TMG 2010.
- Nhấn Next để tiến hành cài đặt các công cụ mà TMG yêu cầu.
- Check vào “I accept the terms of the License Agreements” và nhấn “Next”
để tiếp tục cài đặt các Prepare tool cho TMG 2010.
- Chọn “Forefront TMG Services and Management” để cài đặt các
Preparation tool cho TMG service và management console để quản lý và cấu
hình TMG 2010.
- Các bạn đợi chút để nó cài đặt các Preparation tool chuẩn bị cho việc cài đặt
TMG 2010.
- Nhấn “Finish” để hoàn thành việc cài đặt các Preparation tools cho TMG
2010.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
III. Network Load Balancing trên TMG 2010
1/ Giới thiệu Network Load Balancing trên TMG 2010.
Network Load Balancing TMG 2010 cho phép chúng ta cấu hình 2 TMG sử
dụng cho 1 virtual IP để PC.
Các PC trong Lan của chúng ta sẽ sử dụng default
gateway là Virtual IP. Traffic trong mạng LAN có thể
load balancing chạy qua 2 Firewall để ra bên ngoài.
Các traffic đi ra bên ngoài và từ bên ngoài vô hệ
thống cũng sẽ được load blancing trên 2 TMG 2010.
Khi có 1 TMG server bị lỗi hoặc down thì vẫn còn 1
TMG khác đảm nhiệm để hệ thống vẫn hoạt động
bình thư ng.
Network Load Balancing TMG 2010 sử dụng Array để các TMG thành viên
join vào Array này. Traffic sẽ được load balancing trên các TMG thành viên
nằm trong Array.
TMG 2010 lưu các dữ liệu cấu hình của nó thông qua 2 kỹ thuật mới được sử
dụng trong Forefront TMG.
- EMS (Enterprise Management Server)
Enterprise Management Server (EMS) là một server
dùng để quản lý TMG Enterprise Array hoặc là một
standalone server để quản lý các TMG Firewall.
EMS phải được cài đặt trên một server domain
member và không có các dịch vụ Forefront TMG
khác được cài đặt trên đó.
EMS cũng không thể cài đặt trên Windows Domain
Controller Server.
EMS hỗ trợ miễn phí.
Với Forefront TMG, bạn có thể join hoặc disjoin vào
một mảng array sau khi cài đặt TMG. Điều này cho
phép cấu hình tr nên linh động hơn vì bạn không
phải hủy bỏ cài đặt và cài đặt lại Forefront TMG
Server để join vào các mảng TMG khác và bạn cũng
có thể nâng cấp phiên bản Forefront TMG Standard
thành Forefront TMG Enterprise mà không cần cài
đặt lại.
- CSS (Configuration Storage Server)
Configuration Storage Server (CSS) có thể được cài
đặt trên tất cả các cài đặt TMG local. Nó cung cấp khả
năng lưu trữ cho cấu hình TMG Server.
Mỗi TMG đều có một CSS local.
Chúng ta có thể cho một TMG join server vào một
TMG Array khác, TMG Server local sẽ dùng
Enterprise CSS (EMS). Khi Enterprise CSS (EMS)
được áp dụng, CSS local sẽ bị vô hiệu hóa.
2/ Mô hình triển khai Network Load Balancing TMG 2010
- Để cấu hình NLB trên 2 TMG. Chung ta cần chuẩn bị 2 server TMG01 và
TMG02 đã join domain svuit.vn
- Domain Controller: đã nâng cấp domain svuit.vn
- Trước khi cài đặt Network Load Balancing TMG 2010, các bạn phải cấu
hình chính xác các Network Adapter của TMG.
- Cấu hình IP trên TMG01
- Cấu hình IP trên TMG02
- Sơ đ triển khai Network Load balancing trên TMG 2010
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
3/ Triển khai Network Load Balancing trên TMG 2010
1/ Cấu hình TMG 01:
- Cấu hình IP cho 3 interface trên TMG01 như sau:
Inside: 192.168.10.251 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.11 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.131 (Dùng để kết nối ra bên
ngoài internet)
- Các bạn vào phần “Networking của TMG01” và add đúng các Network cho
TMG01 như hình dưới đây. Phần khai báo Network các bạn có thể xem lại
các bài lab phần trước.
- Các bạn vào mục “System” sẽ thấy hiện tại chỉ có 1 TMG01 được quản lý
b i chính nó.
2/ Cấu hình TMG 02
Tương tự các bạn kiểm tra cấu hình IP trên các interface của TMG02 xem
đúng chưa
Inside: 192.168.10.252 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.12 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.132 (Dùng để kết nối ra bên
ngoài internet)
- Các bạn vào phần “Networking” của TMG02 và add đúng các Network cho
TMG01 như hình dưới đây. Nếu chưa có đủ các interface thì các bạn add
thêm interface của TMG phần này cho đủ nhé.
- Các bạn vào phần “System” thì thấy TMG02 được quản lý b i chính nó.
root, Jun 18, 2016
#2
3.
4/ Update service pack cho TMG
- Các bạn cần đảm bảo cả 2 TMG đều được update lên phiên bản SP (Service
Pack)
Nếu TMG của bạn đã được update service Pack 1 (hoặc cao hơn) thì có thể
bỏ qua bước này. Tuy nhiên, nếu TMG của bạn có version thấp hơn thì bạn
nên update lên Service Pack 1 là tối thiểu. Nếu không khi bạn cấu hình
Network Load balancing trên 2 TMG sẽ bị lỗi.
- Chọn server TMG mà bạn muốn update service pack và nhâp thông tin
username và password của server TMG bạn cần update.
- Sau đó nhấn cài đặt.
Sau khi update xong thì bạn restart lại server TMG
Các bạn thực hiện update service pack tương tự trên TMG02 nhé
5/ Cấu hình Service Principle Names cho Intra-Array
communications
- Đảm bảo trên Activce Directory các bạn đã phân giải được domain name
của 2 server TMG01 và TMG02.
Các CSS (Configuration Storage Server) của các TMG giao tiếp với nhau
thông qua card “Intra-Array” thì yêu cầu Kerberos để yêu cầu các SPNs của
các TMG.
Để tạo các SPN cho các TMG server chúng ta có thể sử dụng lệnh sau:
Code:
setspn -a ldap/[Intra-array DNS Name] [NETBIOS Name]
setspn -a ldap/[Intra-array DNS Name] :2171 [NETBIOS Name]
Ví dụ
Code:
setspn –a ldap/TMG01.svuit.vn TMG01
setspn –a ldap/TMG01.svuit.vn:2171 TMG01
- Để kiểm tra xem các SPN đã cấu hình chính xác chưa, chúng ta sử dụng
lệnh
Code:
“setspn –L [NETBIOS Name]”
Notes: Chúng ta cần cấu hình SPN trên các TMG array member.
6/ Chuẩn bị trước khi cấu hình Network Load balancing
TMG 2010
- Trên TMG01 các bạn vào “Firewall Policy > Toolbox” các bạn add TMG01
và TMG02 vào group “Managed Server Computers”.
- Tiến hành add TMG01 vào Group “Managed Server Computers”.
- Tương tự các bạn cũng thực hiện add TMG01 và TMG02 vào group
“Remote management Console”
- Add TMG01 và TMG02 sử dụng IP của Intra-Array của các TMG
- Sau khi cấu hình xong các bạn nhấn “Apply” để áp phê các cấu hình chúng
ta đã cấu hình trên.
- Chúng ta đã save cấu hình
trên thành công.
1.
7/ Join Array Standalone TMG 2010
- Trên TMG01 chúng ta tiến hành “Join Array” của TMG02. Sauk hi join
Array thành công chúng ta có thể sử dụng TMG02 để quản lý và cấu hình
cho cả 2 TMG01 và TMG02.
- Phải chuột lên TMG01 và chọn “Join Array”.
- Các bạn chọn “stand-alone array” để TMG01 join vào Array của TMG02.
- Các bạn điền IP hoặc domain name của TMG01 và nhập thông tin username
và password domain để chứng thực.
- Sử dụng Certificate có sẵn trên TMG.
- Như vậy mình đã join TMG01 vào Array của TMG02 thành công.
- bây gi bạn vào mục “System” bạn sẽ thấy 2 server TMG01 (local: chính là
nó) và TMG02 (là remote TMG02).
- Tương tự các bạn vào server TMG02 các bạn cũng sẽ thấy 2 server TMG
TMG01: là remote Server, nó đang
thực hiện join vào Array của
TMG02
TMG02: là local TMG hiện tại trên
server này.
- Trong menu “System” các bạn chọn server TMG01 và click vào
“Configure Selected Server”. đây bạn sẽ thấy “Intra-Array
Communication” sử dụng card “Intra-Array” có IP 172.16.10.11 để giao
tiếp với TMG02.
- Tương tự các bạn kiểm tra giao tiếp trên TMG02 đảm bảo TMG02 sử dụng
card “Intra-Array” của TMG02 để giao tiếp với TMG01.
Vào “Configure Array Properties” để kiểm tra Roles của TMG Array. Hiện
tại Array của TMG này đang Roles “Standalone Array”.
- Các bạn vào tab “monitoring” để kiểm tra việc đ ng bộ cấu hình giữa 2
TMG.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
8/ Tạo Rule để enable Network Load Balancing giao tiếp
trên Intra-Array.
- Dưới menu “Firewall policy” bên tay phải tab “Toolbox”. Các bạn chọn
“new → Protocol” để tạo protocol giao tiếp giữa 2 TMG Array.
- Đặt tên cho protocol mà chúng ta muốn định nghĩa.
- Tạo protocol mới sử dụng giao thức TCP với range port giao tiếp giữa 2
TMG là từ 10000 đến 14000.
- Bỏ qua phần cấu hình range port secondary cho giao thức bạn mới tạo.
- Nhấn Finish để hoàn thành việc tạo giao thức mới.
- Tạo rule cho phép traffic giao thiếp giữa 2 TMG Array.
- Cho phép traffic giữa các TMG Array được phép đi qua.
- bạn chọn giao thức giao tiếp giữa các TMG array mà chúng ta đã tạo
trên.
- Chọn source từ “localhost” và “Intra-Aray”.
- Và chọn destination tương tự như source.
-Rule chúng ta tạo sẽ được apply cho tất cả các user
- Nhấn apply để áp phê rule chúng ta tạo.
1.
9/ Enable Load balancing TMG 2010
- Để enable Network load balancing trên TMG 2010. Các bạn vào menu
“Networking” bên phải màn hình các bạn chọn “Tasks → Enable Network
Load Balancing Integration” để enable load balancing trên TMG.
- Nhấn “Next” để tiếp tục cấu hình.
- Các bạn chọn card Internal để cấu hình load balancing cho 2 card internal
của 2 TMG. Trên interface Internal của TMG01 có IP 192.168.10.251 và
TMG02 có IP 192.168.10.252. Chúng ta sẽ tạo 1 Virtual IP 192.168.10.250.
- Các PC trong mạng Lan sẽ trỏ default gateway về virtual IP
192.168.10.254. Vì vậy, khi một trong 2 TMG bị fail thì vẫn còn 1 TMG để
đảm bảo hệ thống vẫn hoạt động.
- Tương tự chúng ta cấu hình Load balancing cho interface External. Đảm
bảo khi 1 TMG bị fail thì hệ thống vẫn đi ra được bên ngoài thông qua TMG
còn lại.
- Nhấn Finish để hoàn thành cấu hình Network Load Balancing.
- Nhấn Apply để áp phê cấu hình và chọn restart lại service.
- Sau khi cấu hình xong các bạn vào mục “monitoring” và tab “Services” để
kiểm tra trạng thái của service “Network Load Balancing” đã start chưa. Như
hình dưới đây thì service Network Load Balancing đã start thành công.
- các bạn vào TMG01 kiểm tra sẽ thấy 2 interface Inside và External của
TMG01 đều có 1 Private IP 192.168.10.251 và 10.123.10.251. Ngoài ra trên
2 interface Inside và External của TMG01 đều có Virtual IP 192.168.10.254
và 10.123.10.250.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
IV. Testing Network Load Balancing trên TMG 2010
- Các bạn sử dụng PC đặt IP thuộc LAN 192.168.10.0/24 và trỏ default
gateway về Virtual IP mà chúng ta đã cấu hình Network Load Balancing trên
card Inside của 2 TMG01 và TMG 02.
- Các bạn thử dùng PC
trên để ping tới
Virtual IP inside của 2 TMG:
192.168.10.254
Virtual IP outside của 2 TMG:
10.123.10.130
- bây gi trên PC các bạn thử dùng tracert để kiểm tra xem traffic của PC
đang đi qua TMG01 hay TMG02.
- Như hình chúng ta thấy
traffic của PC đi đến google.com thì
Virtual Gateway TMG sẽ được điều
hướng qua TMG01.
traffic của PC đi đến svuit.vn thì
Virtual Gateway sẽ được điều hướng
qua TMG02.
- Bây gi chúng ta thử disable 1 interface inside của TMG01 để giả lập
TMG01 đang bị fail. Lúc này traffic của các PC trong Lan sẽ được Virtual
Gateway điều hướng sang TMG02.
- Trên PC các bạn vẫn có thể ping được đến virtual gateway, inside của
TMG02. Nhưng PC không thể ping đến card inside 192.168.10.251 của
TMG01.
- Sử dụng lệnh tracert trên PC đến google.com và svuit.vn chúng ta thấy
traffic đều phải đi qua TMG02. B i vì TMG01 đã bị down interface inside.
Last edited: Jun 18, 2016
I. Yêu cầu cài đặt TMG 2010 .............................................................................................. 2
II. Cài đặt TMG 2010 .......................................................................................................... 4
III. Network Load Balancing trên TMG 2010................................................................... 14
1/ Giới thiệu Network Load Balancing trên TMG 2010. .............................................. 14
2/ Mô hình triển khai Network Load Balancing TMG 2010 ......................................... 16
3/ Triển khai Network Load Balancing trên TMG 2010 ............................................... 18
4/ Update service pack cho TMG .................................................................................. 24
5/ Cấu hình Service Principle Names cho Intra-Array communications ...................... 27
6/ Chuẩn bị trước khi cấu hình Network Load balancing TMG 2010 ................... 29
7/ Join Array Standalone TMG 2010 ............................................................................ 36
8/ Tạo Rule để enable Network Load Balancing giao tiếp trên Intra-Array. ................ 47
9/ Enable Load balancing TMG 2010 ........................................................................... 58
IV. Testing Network Load Balancing trên TMG 2010 ..................................................... 66
I. Yêu cầu cài đặt TMG 2010
- Forefront Threat Management Gateway (TMG) 2010 là phiên bản
"Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với
những tính năng bảo mật hệ thống được nâng cao đáng kể.
- Yêu cầu tối thiếu đối với hệ thống:
Hệ điều hành hỗ trợ: Windows
Server 2008 SP2 or Windows Server
2008 R2
CPU 2 core (1 CPU x dual core) 64bit processor
RAM 2GB
cứng tối thiểu 2.5 GB. Phần này
không bao g m đĩa để lưu trữ
cache và cấc file cảnh báo hệ
thống…
cứng lưu trữ TMG phải được định
dạng NTFS
Có một card mạng để kết nối với
Internet.
Thêm tối thiểu 1 card mạng đại diện
cho mỗi mạng kết nối trực tiếp với
Forefront TMG Server
- Yêu cầu khuyên dùng đối với hệ thống:
Hệ điều hành hỗ trợ: Windows
Server 2008 SP2 or Windows Server
2008 R2
Máy tính với CP 4 core (2 CPU x
dual core or 1 CPU x quad core) 64bit processor
RAM 4 GB
Bộ nhớ cứng tối thiểu 2.5 GB. Phần
này không bao g m đĩa để lưu trữ
cache và cấc file cảnh báo hệ
thống…
Tốt nhất có 1 cứng cho hệ thống
và file log, 1 cho caching và chống
malware.
Một card mạng để kết nối với
Internet.
Thêm tối thiểu 1 card mạng đại diện
cho mỗi mạng kết nối trực tiếp với
Forefront TMG Server
II. Cài đặt TMG 2010
- Nhấn Next để tiến hành cài đặt TMG 2010.
- Các bạn chọn nơi lưu cài đặt TMG 2010
- Các bạn chọn “Run Windows Update” để kích hoạt Windows Update.
Windows Update sẽ cập nhập các service pack, hot fix… cho cả Windows và
TMG 2010 trước khi chúng ta tiến hành cài đặt TMG 2010.
- Windows update sẽ tiến hành update service pạk, hot fix… từ server
Microsoft.
- Nhấn “Install” để tiến hành cài đặt các gói update mà windows update đã
download trên về..
- Sau khi cài đặt các update xong, chúng ta tiến hành chạy “Run preparation
Tool” để cài đặt các công cụ, package yêu cầu trước khi cài đặt TMG 2010.
- Nhấn Next để tiến hành cài đặt các công cụ mà TMG yêu cầu.
- Check vào “I accept the terms of the License Agreements” và nhấn “Next”
để tiếp tục cài đặt các Prepare tool cho TMG 2010.
- Chọn “Forefront TMG Services and Management” để cài đặt các
Preparation tool cho TMG service và management console để quản lý và cấu
hình TMG 2010.
- Các bạn đợi chút để nó cài đặt các Preparation tool chuẩn bị cho việc cài đặt
TMG 2010.
- Nhấn “Finish” để hoàn thành việc cài đặt các Preparation tools cho TMG
2010.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
III. Network Load Balancing trên TMG 2010
1/ Giới thiệu Network Load Balancing trên TMG 2010.
Network Load Balancing TMG 2010 cho phép chúng ta cấu hình 2 TMG sử
dụng cho 1 virtual IP để PC.
Các PC trong Lan của chúng ta sẽ sử dụng default
gateway là Virtual IP. Traffic trong mạng LAN có thể
load balancing chạy qua 2 Firewall để ra bên ngoài.
Các traffic đi ra bên ngoài và từ bên ngoài vô hệ
thống cũng sẽ được load blancing trên 2 TMG 2010.
Khi có 1 TMG server bị lỗi hoặc down thì vẫn còn 1
TMG khác đảm nhiệm để hệ thống vẫn hoạt động
bình thư ng.
Network Load Balancing TMG 2010 sử dụng Array để các TMG thành viên
join vào Array này. Traffic sẽ được load balancing trên các TMG thành viên
nằm trong Array.
TMG 2010 lưu các dữ liệu cấu hình của nó thông qua 2 kỹ thuật mới được sử
dụng trong Forefront TMG.
- EMS (Enterprise Management Server)
Enterprise Management Server (EMS) là một server
dùng để quản lý TMG Enterprise Array hoặc là một
standalone server để quản lý các TMG Firewall.
EMS phải được cài đặt trên một server domain
member và không có các dịch vụ Forefront TMG
khác được cài đặt trên đó.
EMS cũng không thể cài đặt trên Windows Domain
Controller Server.
EMS hỗ trợ miễn phí.
Với Forefront TMG, bạn có thể join hoặc disjoin vào
một mảng array sau khi cài đặt TMG. Điều này cho
phép cấu hình tr nên linh động hơn vì bạn không
phải hủy bỏ cài đặt và cài đặt lại Forefront TMG
Server để join vào các mảng TMG khác và bạn cũng
có thể nâng cấp phiên bản Forefront TMG Standard
thành Forefront TMG Enterprise mà không cần cài
đặt lại.
- CSS (Configuration Storage Server)
Configuration Storage Server (CSS) có thể được cài
đặt trên tất cả các cài đặt TMG local. Nó cung cấp khả
năng lưu trữ cho cấu hình TMG Server.
Mỗi TMG đều có một CSS local.
Chúng ta có thể cho một TMG join server vào một
TMG Array khác, TMG Server local sẽ dùng
Enterprise CSS (EMS). Khi Enterprise CSS (EMS)
được áp dụng, CSS local sẽ bị vô hiệu hóa.
2/ Mô hình triển khai Network Load Balancing TMG 2010
- Để cấu hình NLB trên 2 TMG. Chung ta cần chuẩn bị 2 server TMG01 và
TMG02 đã join domain svuit.vn
- Domain Controller: đã nâng cấp domain svuit.vn
- Trước khi cài đặt Network Load Balancing TMG 2010, các bạn phải cấu
hình chính xác các Network Adapter của TMG.
- Cấu hình IP trên TMG01
- Cấu hình IP trên TMG02
- Sơ đ triển khai Network Load balancing trên TMG 2010
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
3/ Triển khai Network Load Balancing trên TMG 2010
1/ Cấu hình TMG 01:
- Cấu hình IP cho 3 interface trên TMG01 như sau:
Inside: 192.168.10.251 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.11 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.131 (Dùng để kết nối ra bên
ngoài internet)
- Các bạn vào phần “Networking của TMG01” và add đúng các Network cho
TMG01 như hình dưới đây. Phần khai báo Network các bạn có thể xem lại
các bài lab phần trước.
- Các bạn vào mục “System” sẽ thấy hiện tại chỉ có 1 TMG01 được quản lý
b i chính nó.
2/ Cấu hình TMG 02
Tương tự các bạn kiểm tra cấu hình IP trên các interface của TMG02 xem
đúng chưa
Inside: 192.168.10.252 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.12 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.132 (Dùng để kết nối ra bên
ngoài internet)
- Các bạn vào phần “Networking” của TMG02 và add đúng các Network cho
TMG01 như hình dưới đây. Nếu chưa có đủ các interface thì các bạn add
thêm interface của TMG phần này cho đủ nhé.
- Các bạn vào phần “System” thì thấy TMG02 được quản lý b i chính nó.
root, Jun 18, 2016
#2
3.
4/ Update service pack cho TMG
- Các bạn cần đảm bảo cả 2 TMG đều được update lên phiên bản SP (Service
Pack)
Nếu TMG của bạn đã được update service Pack 1 (hoặc cao hơn) thì có thể
bỏ qua bước này. Tuy nhiên, nếu TMG của bạn có version thấp hơn thì bạn
nên update lên Service Pack 1 là tối thiểu. Nếu không khi bạn cấu hình
Network Load balancing trên 2 TMG sẽ bị lỗi.
- Chọn server TMG mà bạn muốn update service pack và nhâp thông tin
username và password của server TMG bạn cần update.
- Sau đó nhấn cài đặt.
Sau khi update xong thì bạn restart lại server TMG
Các bạn thực hiện update service pack tương tự trên TMG02 nhé
5/ Cấu hình Service Principle Names cho Intra-Array
communications
- Đảm bảo trên Activce Directory các bạn đã phân giải được domain name
của 2 server TMG01 và TMG02.
Các CSS (Configuration Storage Server) của các TMG giao tiếp với nhau
thông qua card “Intra-Array” thì yêu cầu Kerberos để yêu cầu các SPNs của
các TMG.
Để tạo các SPN cho các TMG server chúng ta có thể sử dụng lệnh sau:
Code:
setspn -a ldap/[Intra-array DNS Name] [NETBIOS Name]
setspn -a ldap/[Intra-array DNS Name] :2171 [NETBIOS Name]
Ví dụ
Code:
setspn –a ldap/TMG01.svuit.vn TMG01
setspn –a ldap/TMG01.svuit.vn:2171 TMG01
- Để kiểm tra xem các SPN đã cấu hình chính xác chưa, chúng ta sử dụng
lệnh
Code:
“setspn –L [NETBIOS Name]”
Notes: Chúng ta cần cấu hình SPN trên các TMG array member.
6/ Chuẩn bị trước khi cấu hình Network Load balancing
TMG 2010
- Trên TMG01 các bạn vào “Firewall Policy > Toolbox” các bạn add TMG01
và TMG02 vào group “Managed Server Computers”.
- Tiến hành add TMG01 vào Group “Managed Server Computers”.
- Tương tự các bạn cũng thực hiện add TMG01 và TMG02 vào group
“Remote management Console”
- Add TMG01 và TMG02 sử dụng IP của Intra-Array của các TMG
- Sau khi cấu hình xong các bạn nhấn “Apply” để áp phê các cấu hình chúng
ta đã cấu hình trên.
- Chúng ta đã save cấu hình
trên thành công.
1.
7/ Join Array Standalone TMG 2010
- Trên TMG01 chúng ta tiến hành “Join Array” của TMG02. Sauk hi join
Array thành công chúng ta có thể sử dụng TMG02 để quản lý và cấu hình
cho cả 2 TMG01 và TMG02.
- Phải chuột lên TMG01 và chọn “Join Array”.
- Các bạn chọn “stand-alone array” để TMG01 join vào Array của TMG02.
- Các bạn điền IP hoặc domain name của TMG01 và nhập thông tin username
và password domain để chứng thực.
- Sử dụng Certificate có sẵn trên TMG.
- Như vậy mình đã join TMG01 vào Array của TMG02 thành công.
- bây gi bạn vào mục “System” bạn sẽ thấy 2 server TMG01 (local: chính là
nó) và TMG02 (là remote TMG02).
- Tương tự các bạn vào server TMG02 các bạn cũng sẽ thấy 2 server TMG
TMG01: là remote Server, nó đang
thực hiện join vào Array của
TMG02
TMG02: là local TMG hiện tại trên
server này.
- Trong menu “System” các bạn chọn server TMG01 và click vào
“Configure Selected Server”. đây bạn sẽ thấy “Intra-Array
Communication” sử dụng card “Intra-Array” có IP 172.16.10.11 để giao
tiếp với TMG02.
- Tương tự các bạn kiểm tra giao tiếp trên TMG02 đảm bảo TMG02 sử dụng
card “Intra-Array” của TMG02 để giao tiếp với TMG01.
Vào “Configure Array Properties” để kiểm tra Roles của TMG Array. Hiện
tại Array của TMG này đang Roles “Standalone Array”.
- Các bạn vào tab “monitoring” để kiểm tra việc đ ng bộ cấu hình giữa 2
TMG.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
8/ Tạo Rule để enable Network Load Balancing giao tiếp
trên Intra-Array.
- Dưới menu “Firewall policy” bên tay phải tab “Toolbox”. Các bạn chọn
“new → Protocol” để tạo protocol giao tiếp giữa 2 TMG Array.
- Đặt tên cho protocol mà chúng ta muốn định nghĩa.
- Tạo protocol mới sử dụng giao thức TCP với range port giao tiếp giữa 2
TMG là từ 10000 đến 14000.
- Bỏ qua phần cấu hình range port secondary cho giao thức bạn mới tạo.
- Nhấn Finish để hoàn thành việc tạo giao thức mới.
- Tạo rule cho phép traffic giao thiếp giữa 2 TMG Array.
- Cho phép traffic giữa các TMG Array được phép đi qua.
- bạn chọn giao thức giao tiếp giữa các TMG array mà chúng ta đã tạo
trên.
- Chọn source từ “localhost” và “Intra-Aray”.
- Và chọn destination tương tự như source.
-Rule chúng ta tạo sẽ được apply cho tất cả các user
- Nhấn apply để áp phê rule chúng ta tạo.
1.
9/ Enable Load balancing TMG 2010
- Để enable Network load balancing trên TMG 2010. Các bạn vào menu
“Networking” bên phải màn hình các bạn chọn “Tasks → Enable Network
Load Balancing Integration” để enable load balancing trên TMG.
- Nhấn “Next” để tiếp tục cấu hình.
- Các bạn chọn card Internal để cấu hình load balancing cho 2 card internal
của 2 TMG. Trên interface Internal của TMG01 có IP 192.168.10.251 và
TMG02 có IP 192.168.10.252. Chúng ta sẽ tạo 1 Virtual IP 192.168.10.250.
- Các PC trong mạng Lan sẽ trỏ default gateway về virtual IP
192.168.10.254. Vì vậy, khi một trong 2 TMG bị fail thì vẫn còn 1 TMG để
đảm bảo hệ thống vẫn hoạt động.
- Tương tự chúng ta cấu hình Load balancing cho interface External. Đảm
bảo khi 1 TMG bị fail thì hệ thống vẫn đi ra được bên ngoài thông qua TMG
còn lại.
- Nhấn Finish để hoàn thành cấu hình Network Load Balancing.
- Nhấn Apply để áp phê cấu hình và chọn restart lại service.
- Sau khi cấu hình xong các bạn vào mục “monitoring” và tab “Services” để
kiểm tra trạng thái của service “Network Load Balancing” đã start chưa. Như
hình dưới đây thì service Network Load Balancing đã start thành công.
- các bạn vào TMG01 kiểm tra sẽ thấy 2 interface Inside và External của
TMG01 đều có 1 Private IP 192.168.10.251 và 10.123.10.251. Ngoài ra trên
2 interface Inside và External của TMG01 đều có Virtual IP 192.168.10.254
và 10.123.10.250.
Last edited: Jun 18, 2016
root, Jun 18, 2016
#1
2.
IV. Testing Network Load Balancing trên TMG 2010
- Các bạn sử dụng PC đặt IP thuộc LAN 192.168.10.0/24 và trỏ default
gateway về Virtual IP mà chúng ta đã cấu hình Network Load Balancing trên
card Inside của 2 TMG01 và TMG 02.
- Các bạn thử dùng PC
trên để ping tới
Virtual IP inside của 2 TMG:
192.168.10.254
Virtual IP outside của 2 TMG:
10.123.10.130
- bây gi trên PC các bạn thử dùng tracert để kiểm tra xem traffic của PC
đang đi qua TMG01 hay TMG02.
- Như hình chúng ta thấy
traffic của PC đi đến google.com thì
Virtual Gateway TMG sẽ được điều
hướng qua TMG01.
traffic của PC đi đến svuit.vn thì
Virtual Gateway sẽ được điều hướng
qua TMG02.
- Bây gi chúng ta thử disable 1 interface inside của TMG01 để giả lập
TMG01 đang bị fail. Lúc này traffic của các PC trong Lan sẽ được Virtual
Gateway điều hướng sang TMG02.
- Trên PC các bạn vẫn có thể ping được đến virtual gateway, inside của
TMG02. Nhưng PC không thể ping đến card inside 192.168.10.251 của
TMG01.
- Sử dụng lệnh tracert trên PC đến google.com và svuit.vn chúng ta thấy
traffic đều phải đi qua TMG02. B i vì TMG01 đã bị down interface inside.
Last edited: Jun 18, 2016