切换到宽版
  • 7472阅读
  • 0回复

[分享]为中继连接器配置硬件负载均衡器 [复制链接]

上一主题 下一主题
 

只看楼主 倒序阅读 0楼  发表于: 2013-09-16
上周末,我在一家客户处安装Exchange2010 SP1以升级当前的Exchange2003环境。他们用两台服务器DAG同时也希望使用两台硬件负载均衡器。这篇文章我想说说基于硬件负载均衡器的中继连接器设置。

我创建好两个中继连接器,每台HUB上面各一个。通常情况下,我一般讲连接器配置成仅接受特定IP段的连接,这样的话就不会对非法访问开放中继。

由于有硬件负载均衡器(HLB),我们不需要将客户直连到HUB上,而是连接到HLB的虚拟IP上。这就意味着HLB会建立到中继连接器的连接。

现在的局面下,可有以下多种连接选择:如果HLB使用默认的设置,它将会为你自动新建与中继连接器的连接。这就意味着当有客户连接到relay.customer.local(即HLB中继的虚拟地址),HLB将使用自己的IP地址与中继连接器通信。这将导致所有人都可以通过HLB来中继邮件。

梭子鱼(BARRACUDA)的硬件负载均衡器产品有一个独特的选项叫“客户端模仿”。这个功能将HLB的IP略过,而将实际客户端的IP地址接入。这样就实现了模拟实际客户端的效果。不错的功能...实战中有个不可避免的问题是:当你telnet到relay.customer.local(HLB的地址)的25端口是,会收到黑屏的响应,甚至没有一句HELO。

我尝试解释下缘由:当请求发送至HLB时,HLB就模仿该请求发起端连接到某一台Exchange服务器,由于数据包中的source是客户端的IP,那Exchange就直接将信息返还给客户端,这样我们就好理解为什么当用户telnet到HLB无法得到响应的原因了。


这就意味着当你将LB设置成Exchange服务器的默认网关时,所有Exchange服务器的应答将通过HLB然后传送到用户。这个设置建议的环境是,您的客户端处在与Exchange以及梭子鱼所不同的子网,否则Exchange不会使用网关IP地址。在我的例子中,所有的客户端IP地址都属于同一个子网,Exchange自然不会使用网关,而是直接发给客户端。


所以如果你的整个网络(客户端,服务器以及NLB)都处在同一个子网内,将HLB设为默认网关完全是多此一举。这种情况下要启用客户端过滤只有在HLB上设置白名单并将“客户端模仿”设为“禁用”。


这是不是说我在Exchange中继连接器上就不用设置白名单了?绝对不是,因为你不希望你的客户端直接连到Exchange服务器,所以必须保持HLB与Exchange的白名单一致。
Exchange中文站10周年献礼。Exchange2016中文视频教程热销中:edu.exchangecn.com/course/12
分享到
快速回复
限60 字节
 
上一个 下一个