ISA防火墙网络负载均衡的故障转移(2)

　　要实现ISA防火墙NLB的故障转移比较简单，微软已经考虑到了。你可以通过配置ISA防火墙的连接性验证工具来实现当外部链路出现故障时进行相关的操作，但是要停止ISA防火墙上的NLB服务不是一件容易的事情。由于ISA防火墙上的NLB服务是和ISA防火墙服务集成的，所以你不能通过Windows的NLB stop命令来停止ISA防火墙上的NLB服务；微软也没有相关的关于如何停止ISA防火墙上的NLB服务的说明。在这种情况下，只能通过停止ISA防火墙服务来停止ISA防火墙上的NLB服务。

　　但是停止ISA防火墙服务后，无法依靠ISA防火墙本身启动ISA防火墙服务，这样又给故障恢复时的处理带来难题。当外部链路恢复的时候，还是需要你手动启动ISA防火墙服务才能将这台ISA防火墙正常加入NLB阵列中运行，这造成了额外的管理负担。不过你可以通过第三方的链路监测软件实现NLB的故障转移和自动恢复，例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它们当外部链路出现问题时停止ISA防火墙服务，而当外部链路恢复时启动ISA防火墙。

　　在此我给大家演示一下如何实现ISA防火墙NLB的故障转移，网络拓朴结构如下图所示：

　　内部网络地址范围为10.1.1.0/24，部署了两台ISA企业版防火墙Florence和Firenze，操作系统均为Windows server 2003 SP1，IP地址分别为10.1.1.1和10.1.1.2。对内部网络配置了NLB，NLB虚拟地址为10.1.1.254，

　　两台ISA防火墙上的NLB服务均工作正常。

　　Berlin是内部网络中的客户，IP地址为10.1.1.8，默认网关配置为NLB的虚拟地址10.1.1.254。

　　我已经创建了允许内部网络的所有用户访问外部网络的访问规则，已经确认所有网络连接工作正常。在进行整个部署之前，你必须预先考虑好如何配置有效的连接性验证方式，以及什么时候触发警告。如果要验证外部链路是否连接正常，你可以Ping离你最近的外部网络中的某台持续在线的服务器或路由器的IP地址。在此我通过配置连接性验证工具Ping我的DNS服务器61.139.2.69实现，如果连续两次不能Ping通时，则停止ISA防火墙服务。

　　本文中的操作步骤如下：

　　配置连接性验证工具；

　　配置警告操作；

　　测试；

　　配置连接性验证工具

　　打开ISA管理控制台，展开阵列，点击监视节点，点击右边面板的连接性标签，最后点击创建新的连接性验证程序链接；