[技术分享 – TMG 篇] TMG 为 ISP 连接系上双保险

目前，越来越多的业务依赖于 ISP 来处理 Internet 的访问，发邮件，上网等，这些业务依赖于 ISP 线路的高可用性。

保持一个稳定的，可用的，可靠的 ISP 连接对每个网管员来说，都是极其重要的任务。

Forefront TMG 提供了一个以往 ISA 没有的重要特性: ISP 冗余链路，TMG 可以同时支持两条 ISP 链路。拥有两种冗余模式:

Load balancing with failover capability: 网络流量分布在两条链路上，如果一条链路断开或者没有响应，所有的流量会定向到另外一条。

Failover only: 两条链路中的一条会作为主链路，处理所有网络流量，如果主链路不可用，所有流量会由备用的链路处理。

如下图所示：





对于 Load balancing with failover capability 模式，您可以选择 ISP 冗余负载比例。





对于 Failover only 模式，您需要选择哪条链路是主用链路。





一般来说为了避免外网卡上指定的外部 DNS 解析的问题，我们推荐不设置任何外网卡的 DNS 服务器，而只在 TMG 内网卡上设置内部 DNS 服务器。

如果您在两块外部网卡上分别指定了外部 DNS 服务器，那么可能会出现访问链路1上的 DNS 服务器会通过链路2进行，这时您必须要对每个 DNS 服务器的解析增加静态路由，因为 ISP 冗余功能仅对 NAT 流量有效，对于来自 TMG 本地主机的流量，不会进行 ISP 冗余选择处理。





在部署 TMG 的 ISP 冗余前，您需要注意一下以下问题。

在源网络和目标网络之间的关系必须是 NAT 的关系，如果是路由的关系，则无法应用ISP冗余的功能。 TMG 本机到任何网络的流量不会有 ISP 冗余，因为 TMG 本机到任何网络的关系一定是路由关系。

每条 ISP 链路必须连到不同的网段的网关上，同时 TMG 的外部 IP 地址也必须属于不同的网段。

TMG 外部网卡不能启用 DHCP 的方式来获取 IP 地址，家庭用户使用 ADSL 拨号不支持 TMG 的 ISP 冗余。

 

James Yi
微软安全支持专家