使用TMG2010企业版组建大型***网络之3-配置NLB

10.5 配置***陈列

在Forefront TMG陈列中配置***服务器，与在Forefront TMG标准版中配置***服务器的步骤相差无己，只是由于Forefront TMG陈列中有多个Forefront TMG服务器，所以，你需要为每一台Forefront TMG的***服务器，分配不同的静态地址，而其他步骤则完全一致。下面介绍主要步骤：

（1）在服务器2、服务器3或服务器4中的任意一台计算机中，登录Forefront TMG控制控制台，进入“远程访问策略”节点，单击右侧的“定义地址分配”，如图10-74所示。

图10-74 定义地址分配

（2）在“地址分配”选项卡中，选中“静态地址”，单击“添加”按钮，在“选择服务器”列表中，依次选择每一台服务器，并为每一台服务器，分配不同的静态地址。在本例中，为tmg2010-1的***客户端分配172.30.1.0～172.30.10.255的地址（如图10-75所示）、为tmg2010-2分配172.30.11.0～172.30.20.255的地址。

图10-75 为tmg2010-1分配IP地址

分配地址后的界面如图10-76所示。

图10-76 分配***客户端地址

（3）设置地址之后，返回到Forefront TMG控制台，单击“配置***客户端访问”，进入“***客户端属性”对话框，在“常规”选项卡中，选中“启用***客户端访问”，并设置***客户端数量为2000，如图10-77所示。

图10-77 设置最大***客户端数量

（4）在启用***客户端后，返回到Forefront TMG控制台，单击“指定RADIUS配置”，在“RADIUS”选项卡中，选中“使用RADIUS进行身份验证”，单击“RADIUS服务器”按钮，添加RADIUS服务器的地址及验证信息，如图10-78所示。

图10-78 配置RADIUS服务器进行身份验证

（5）然后进入“防火墙策略”节点，创建访问策略，允许“***客户端”以“所有协议”访问“内部”，设置完成之后，单击“应用”按钮，让设置生效。

（6）配置完成之后，不需要重新启动Forefront TMG，陈列中的每一台Forefront TMG的***服务器，会自动启动。你可以在“监视→服务”中，看到陈列中每个服务的运行状态，如图10-79所示。

图10-79 查看陈列中服务器的运行状态

10.6 配置NLB

在接下来，将为***服务器配置网络负载平衡，在本例中，将Forefront TMG“内部”与“外部”地址分别启用网络负载平衡，设置负载平衡的IP分别是192.168.1.251、202.206.197.125。配置步骤如下：

（1）登录到Forefront TMG陈列，在“网络连接”节点中，单击“启用网络负载平衡集成”，如图10-80所示。

图10-80 启用网络负载平衡集成

（2）在“欢迎使用网络负载平衡集成向导”页，单击“下一步”按钮。

（3）在“选择负载平衡网络”页，分别为“内部”与“外部”配置负载平衡。为“外部”网络配置NLB，设置虚拟IP地址为202.206.197.121，为“内部”网络配置的NLB虚拟IP地址为192.168.1.251，“群集操作模式”为“多播”，如图10-82所示。

图10-82 配置NLB

（4）在“正在完成负载平衡向导”页，单击“完成”按钮。

（5）返回到Forefront TMG控制台后，单击“应用”按钮，让设置生效。在配置NLB后，需要重新启动Forefront TMG服务，如图10-84所示。

图10-84 重启服务

配置完成之后，等待一会，Forefront TMG会自动重启相应的服务。

10.7 客户端测试

在完成***陈列配置之后，接下来，在远程的计算机上，创建***客户端连接，进行测试，包括：

（1）创建***拨号连接，指定***服务器的地址为202.206.197.126（服务器4，第2台Forefront TMG服务器），呼叫成功之后，在***的状态中，可以看到，当前***服务器的“目标地址”是202.206.197.126、获得的客户端地址是172.30.11.1，如图10-85所示。这个地址正在服务器4的相关参数。

图10-85 ***服务器为202.206.197.126时的信息

（2）然后修改***服务器的地址为202.206.197.121，断开当前的***连接，重新呼叫***服务器，呼叫成功之后，在***的状态中，可以看到，当前***服务器的“目标地址”是202.206.197.121、获得的客户端地址是172.30.1.1，如图10-86所示。这个地址是“服务器3”做***服务器的相关参数。

图10-86 ***服务器为202.206.197.121时的信息

（3））在另外一台***客户端上，呼叫***服务器的地址为202.206.197.121，呼叫成功之后，在***的状态中，可以看到，当前***服务器的“目标地址”是202.206.197.121、获得的客户端地址是172.30.11.2，如图10-87所示。这个地址是“服务器4”做***服务器的相关参数。

图10-87 ***服务器为202.206.197.121时的信息

【说明】如果当前***的状态仍然是“服务器3”的信息，你可以在远程的***服务器中，强制断开服务器3的网络连接，例如拔掉服务器3的外网网线进行测试。

（4）拨叫成功之后，进入命令提示符，使用ping命令，测试到内网网络的连通性，如图10-88所示。

图10-88 测试连通性

【说明】要想测试成功，你需要在Forefront TMG的访问规则中，允许***客户端以“ping”协议访问“内部”。

10.8 ***陈列的注意事项

在本章案例中，如果没有配置NLB，或者网络中，有另外的防火墙做代理服务器，而本章中的Forefront TMG只作***服务器，则需要进入Forefront TMG的“网络规则”中，修改***客户端到内部网络的属性为“NAT”，这样，***客户端才能访问“内部”。修改的步骤如下：

（1）在Forefront TMG控制台中，定位到“网络连接”节点，在“网络规则”选项卡中，双击“***客户端到内部网络”，如图10-89所示。

图10-89 网络规则

（2）在弹出的“***客户端到内部网络属性”对话框中，在“网络关系”中，修改为“网络地址转换（NAT）”，如图10-90所示。

图10-90 修改网络关系

（3）修改之后如图10-91所示，然后单击“应用”按钮，让设置生效。

图10-91 修改后的网络关系

10.9 小记

本文介绍了使用Forefront TMG 2010企业版组建***陈列的方法。使用本方法，可以组建适合大型或特大型企业组建大数量并发连接需求的***网络（例如1万路、10万路并发***客户端）。在本文介绍了采用2台Forefront TMG 2010组建陈列的方法，你可以在此基础上，参照服务器3、服务器4的配置步骤，添加更多的服务器，组成更大的陈列，以满足企业的要求。

【说明】这是《***网络组建案例实录》第2版第10章的部分内容，该书已经出版，有兴趣的可以参看

http://www.amazon.cn/gp/product/B0056EBSE2?ie=UTF8&tag=linnan&linkCode=xm2&camp=536&creativeASIN=B0056EBSE2