×××是“Virtual Private Network”的简称,中文名称叫“虚拟专用网”。×××可以通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条通过不安全的公用网络建立一条安全、专用催动隧道,从而创建一个“相当专用”的网络。×××可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

目前许多的大中型的集团公司、具有多个分公司或办事处的企业,都已经组建了×××网络。但随着单位网络的近一步扩大,目前传统的×××设备已经不能满足需要(例如,支持800个×××通道的×××设备就比较少了),如果单位需要组建几千线、上万线甚至十万线的×××网络,传统的基于硬件的×××设备就不能满足要求了。而随着软、硬件技术的发展,使用普通的服务器、Windows Server 2008、Forefront TMG等产品,可以采用多台服务器,组成陈列的方式,组建×××陈列,以满足大型或特大型企业的×××组网要求。本文将介绍基于Forefront TMG 2010企业版组建×××陈列的内容。

10.1 Forefront TMG陈列概述

 

Forefront TMG是Forefront Threat Management Gateway的简称,它是Microsoft推出的最新一代的集防火墙、代理服务器、***检测、安全网关于一体的安全产品,相对于它的上一个版本ISA(是Internet Security and Acceleration的简称) Server 2006,它属于全新的架构:只支持64位平台并且需要Windows Server 2008(及其以上)的操作系统。它可以更好的发挥现在的硬件的性能、可以更好的利用Windows Server 2008的安全性及最新功能。

Forefront TMG 阵列是 Forefront TMG 服务器集合,这些服务器通过一个管理接口进行集中管理。Forefront TMG企业版可以组建Forefront TMG陈列,实现下列功能:

ü 高可用性 - 确保 Forefront TMG 部署的持续运行,包括在部署中的一台或多台 Forefront TMG 服务器停机时。阵列中所有服务器的 Forefront TMG 配置设置都相同,从而可以在一个或多个阵列成员发生故障转移时提供不间断服务。

ü 可伸缩性 - 满足不断增长的性能需求。例如,对于越来越多的用户或希望增加其 Internet 活动的用户,需要额外的网络带宽。随着组织需求的增长,您可以从单一 Forefront TMG 部署轻松升级到 Forefront TMG 阵列部署,并增加现有阵列中的成员数目或增加阵列数目。

ü 分布式永久缓存 - 使用最新阵列管理器配置更新所有服务器,从而使用户能够按需指定新阵列管理器。该信息是永久信息,会在部署中的一台或多台 Forefront TMG 服务器停机时得以保留。

10.1.1 Forefront TMG支持的陈列类型

Forefront TMG 企业支持两种阵列类型:

ü 独立阵列 - 根据选择的负载平衡方法,独立阵列最多可以具有 50 台由一个充当阵列管理器的阵列成员管理的 Forefront TMG 服务器。如果 Forefront TMG 部署在单一逻辑位置且处理中等通讯负载,请使用此阵列类型。

ü EMS 管理的阵列 - EMS 管理的阵列最多可以具有 200 个 Forefront TMG 阵列,每个阵列最多包含 50 台由企业管理器服务器 (EMS) 管理的 Forefront TMG 服务器。建立 EMS 管理的阵列后,您可以复制其设置,并使用相同设置最多管理 15 个 EMS 管理的阵列,从而允许对最多 150,000 台 Forefront TMG 服务器进行集中管理。

【说明】(1)Forefront TMG标准版可以加入由EMS管理的陈列。

(2)Forefront TMG标准版可以通过输入Forefront TMG企业版的序列号,升级到企业版,但不能从企业版“降级”到标准版。

10.1.2 对陈列中的Forefront TMG服务器实现负载平衡

负载平衡旨在平衡阵列成员之间的网络通讯,以便在所有可用服务器中优化通讯。Windows Server 2008的NLB(Network Load Balancing Services,网络负载平衡)功能已集成到 Forefront TMG 中。

在Forefront TMG 阵列中,NLB 支持最多在八个阵列成员之间实现负载平衡。实现负载平衡的这一方法具有诸多优势:

ü 由于无需购买任何硬件设备,因此节约了成本。

ü 由于可以在 Forefront TMG 管理控制台中直接管理 NLB,因此简化了管理和监视。您可以对所有阵列成员轻松应用 NLB 配置。

ü 由于可以通过 Forefront TMG 管理控制台管理和用尽节点,因此简化了节点管理。

ü 自动配置防火墙规则和设置。

【注意】使用集成 NLB 是在 Forefront TMG 中实现 NLB 的推荐方法。该方法使您能够利用集中管理、配置、维护和疑难解答的优势,如果通过基于 Windows 的 NLB 工具直接配置 NLB,则无法利用这些优势。

10.1.3 在Forefront TMG陈列中配置×××服务器的事项

如果要想使用Forefront TMG陈列配置×××服务器,以实现高可用性、实现大型×××网络,则需要注意以下问题:

(1)陈列中的×××服务器(远程访问服务器)需要添加到Active Directory的“远程访问服务器”列表中,所以,如果要使用×××陈列,需要Active Directory的支持。

(2)由于“远程访问服务器”需要Active Directory支持,所以,在配置×××陈列的时候,最好是安装EMS管理服务器,用于管理×××陈列。

(3)在配置×××陈列的时候,在“外部”与“内部”网络接口启用NLB,而对外、对内公布的是Forefront TMG的NLB地址,而不是陈列中每台Forefront TMG的内、外网地址。如果不启用NLB功能,则用户呼叫×××服务器的时候,需要由用户自己选择陈列内的每台×××服务器。如果不启用NLB功能,×××客户端与“网络内部”的关系,需要更改为“NAT”,而不是默认的“路由”关系,否则不能访问内部的服务器或内部网络。

(4)陈列中的×××服务器需要使用RADIUS服务器进行身份验证。

10.2 使用Forefront TMG组建×××陈列概述

本文通过案例的方式,介绍使用Forefront TMG企业版,组建×××陈列的内容。本文网络拓扑如图10-1所示。

clip_p_w_picpath002

图10-1 ×××陈列拓扑图

在图10-1中,有4台服务器,其中服务器1安装Active Directory服务器,域名为msft.com,IP地址是192.168.1.253,网关192.168.1.251是Forefront TMG组成陈列后的内网NLB地址;服务器2安装Forefront TMG陈列管理服务器EMS,其IP地址是192.168.1.252;服务器3与服务器4是加入到Active Directory中的计算机,安装Forefront TMG企业版,组成Forefront TMG陈列。在此基础上,可以通过安装更多的Forefront TMG计算机加入到陈列中。

服务器1、2、3、4的DNS地址是Active Directory服务器1的IP地址192.168.1.253。

服务器3与服务器4组成的Forefront TMG,启用了网络负载平衡,对内的地址是192.168.1.241,在网络中的核心交换机上,默认路由应该指向此地址;陈列对外的地址是202.206.197.121,通过Forefront TMG陈列发布的Web服务器、×××服务器的地址需要是该地址。对于Internet用户来说,访问陈列地址202.206.197.121,再由陈列根据服务器的负载情况,转发给服务器3的IP地址202.206.197.125或转发给服务器4的IP地址202.206.197.126。当然,用户也可以直接访问服务器3或服务器4的外网地址,只是不能由NLB进行负载平衡而且。

要组建图10-1的×××陈列,主要步骤如下:

(1)在服务器1上安装Active Directory服务器。

(2)服务器2,加入Active Directory,安装Forefront TMG的EMS服务器。

(3)服务器3,加入Active Directory,安装Forefront TMG企业版,并加入EMS陈列。

(4)服务器4,加入Active Directory,安装Forefront TMG企业版,并加入EMS陈列。

(5)配置EMS陈列,启用×××服务器。

(6)在×××客户端进行测试。

下面将介绍详细的实现步骤。

【说明】在本案例中,服务器1~服务器4安装的是Windows Server 2008 R2操作系统。

10.3 Active Directory服务器的配置

在服务器1中,按照图10-1的方式,设置IP地址、升级到Active Directory服务器、创建×××用户、添加并配置RADIUS服务器。主要步骤如下:

(1)设置IP地址:在服务器1中,设置IP地址为192.168.1.253、网关为192.168.1.251、DNS为192.168.1.253。

(2)升级到Active Directory:运行Active Directory升级向导,设置域名为msft.com(如图10-3所示)、设置“设置林功能级别”为“Windows Server 2008 R2”,如图10-4所示。

clip_p_w_picpath004 clip_p_w_picpath006

图10-3 设置域名 图10-4 设置林功能级别

(3)Active Directory安装完成后,重新启动计算机。

(4)安装RADIUS服务器:再次进入系统后,进入 “服务器管理器”,安装 “网络策略服务器”和“主机凭据授权协议”角色,如图10-5所示。

clip_p_w_picpath008

图10-5 角色服务

(5)配置RADIUS服务器:打开“服务器管理器”,定位到“角色→网络策略和访问服务→NPS(本地)→RADIUS客户端和服务器”,用鼠标右键单击“RADIUS客户端”,在弹出的快捷菜单中选择“新建”;在“新建RADIUS客户端”对话框中,选择“启用此RADIUS客户端”,然后在“友好名称”处,键入新添加的RADIUS客户端的描述信息,在“地址”处键入要添加的RADIUS客户端原IP地址,在本例中,分别添加“服务器3”和“服务器4”为RADIUS客户端,如图10-8所示。

clip_p_w_picpath010

图10-8 添加服务器4为RADIUS客户端

(7)添加×××用户:进入“服务器管理器”,定位到“角色→Active Directory域用户→Active Directory用户和计算机”节,创建×××用户并设置拨入权限。在本例中,设置用户名为×××,密码为a1b2c3D4,并允许用户拨入,如图10-10所示。

clip_p_w_picpath012

图10-10 允许访问

(8)配置访问策略:定位到“网络策略和访问服务→NPS→策略→连接请求策略”,在请求策略中,选中“改写网络策略身份验证设置”,根选中“Microsoft加密的身份验证版本2”、“Microsoft加密的身份验证版本”、添加“Microsoft:受保护的EAP(PEAP)”和“Microsoft:案例密码(EAP-MSCHAP v2)”,如图10-11所示。

clip_p_w_picpath014

图10-11 配置访问策略

至此,服务器1部分配置完成。

【说明】这是《×××网络组建案例实录》第2版第10章的部分内容,该书已经出版,有兴趣的可以参看

http://www.amazon.cn/gp/product/B0056EBSE2?ie=UTF8&tag=linnan&linkCode=xm2&camp=536&creativeASIN=B0056EBSE2