F5 和 Windows Server 2012 DirectAccess/远程访问服务
对于 Windows 8 和 Windows Server 2012,Microsoft 采用了以前版本的 Windows Server、DirectAccess 和 VPN Server 中的两项远程访问技术,并将它们纳入称为“远程访问”的同一管理框架之下。 可以部署 F5 技术来管理流量并平衡这些服务的负载。
DirectAccess 最初在 Windows Server 2008 R2 和 Windows 7 中引入,它取代了以前的远程访问技术。 与在用户级别手动发起连接的传统 VPN 不同,DirectAccess 使用无缝的系统级连接。 这意味着远程、加入域的系统将在启动时自动且安全地建立企业网络存在。
VPN,以前称为远程访问服务 (RAS),是在 Windows NT 中引入的,包括传统的 Windows VPN 技术,包括 IKEv2、SSTP、PPTP 和 L2TP。 Windows Server 2012 客户可以部署 DirectAccess、VPN 或两者,并且同时部署两者通常会带来好处。 DirectAccess 为已加入域且被授予适当权限的 Windows 7(及更高版本)客户端提供远程访问,而 VPN 则为未加入域或尚未运行 Windows 7 的计算机提供远程访问。
Windows Server 2012 中 DirectAccess 的新功能是支持本地和广域负载均衡。 F5 BIG-IP 本地流量管理器 (LTM) 可用于提供本地区域负载均衡,而 F5 BIG-IP 全局流量管理器 (GTM) 可提供广域(又称全局)负载均衡。
F5 产品在 Windows Server 2012远程访问部署中可以发挥重要作用。
高可用性通过了解实际的 DirectAccess/VPN 服务,BIG-IP LTM 可以确保始终将用户发送到准备好进行新连接的 DirectAccess/VPN 服务器,从而消除将用户发送到故障或性能不佳的服务器的情况。 此外,BIG-IP LTM 还具有跨服务的持久性功能。 这在处理点对点隧道协议(PPTP) 等流量时非常有利,该协议自 Windows 95 R2 以来就随每个版本的 Windows 客户端一起提供,使其在客户端计算机上具有非常广泛的覆盖范围。 通过 PPTP 连接到 DirectAccess 的每个客户端都会创建两个独立但必需的流 - 控制连接和数据连接 - 并且在进行负载均衡时,来自每个客户端的两个流都必须发送到同一个 PPTP 服务器以避免断开连接。 BIG-IP LTM 可以智能地将两个流从特定客户端发送到同一服务器,从而确保连接保持不中断。
可扩展性通过智能地管理流量,BIG-IP LTM 可以将吞吐量分配给多站点的 DirectAccess/VPN 服务器,从而使系统能够扩展到比其原本可以处理的用户数量多得多的用户数量。
性能 BIG-IP LTM 可以通过多种方式帮助提高性能,从 TCP 优化和 SSL 卸载到服务器性能感知。 其结果是,用户可以获得更快的访问速度和最佳的网络体验。 特别是,BIG-IP LTM SSL/TLS 加密卸载可以减轻 DirectAccess/VPN 服务器的大量工作负载。 通过终止与客户端的 SSL 连接并将未加密的流量发送到服务器,BIG-IP LTM 释放服务器 CPU 来为客户端提供服务。
安全性为 DirectAccess/VPN 服务器提供流量管理的相同 BIG-IP LTM 设备是 ICSA 认证的网络防火墙,符合数据中心安全标准,允许企业将其部署为双重用途application交付控制器 (ADC) 和周边安全设备。
仔细考虑适合 DirectAccess/VPN 的网络架构是部署过程中的关键一步。 可以使用许多选项和拓扑,这里并不是针对所有部署的详尽列表,而只是对主要决策标准和一些推荐的拓扑的回顾。 通常影响部署拓扑的标准包括规模、安全要求、预算和服务水平协议 (SLA)。 由于这些考虑因素通常会推动某种架构或禁止其他架构,因此最好在部署之前咨询 F5 和 Microsoft 团队。
为了实现高可用性,F5 强烈建议使用主动/备用部署模型或一组两个或多个相互主动支持的设备来部署 BIG-IP LTM 设备,这可以称为 activeN 模型。 这两种模型都允许 BIG-IP LTM 故障转移,而不会中断网络连接。 在下图中,单个 BIG-IP LTM 图标代表一个故障转移对或 activeN 组。
为了为 DirectAccess 提供应用交付和负载均衡,组织通常在其 DirectAccess/VPN 服务器前面部署 BIG-IP LTM 作为正式前端。 除其他事项外,该 BIG-IP 设备还负责监控 DirectAccess/VPN 服务的可用性并将传入的客户端连接分发到服务器。
Windows Server 2012 DirectAccess 服务器场
虽然简单的 DirectAccess/VPN 负载均衡不需要,但在 DirectAccess 场和公司网络之间放置 BIG-IP LTM 设备也能带来显著的好处。 具体而言,此配置可实现“管理外部”方案,其中内部网络上的客户端或服务器可以启动与远程连接的 DirectAccess 客户端的管理连接。 此外,应用服务器内部场可以实现负载均衡,并可进行其他有用的流量管理操作。
在 DirectAccess/VPN 场前面安装一个 BIG-IP LTM 设备被认为是实现最佳可用性的必要条件,并且强烈建议在场的企业网络侧安装另一台设备。 这并不一定需要单独的 BIG-IP LTM 设备。 通过重复使用相同的 BIG-IP LTM 设备来充当外部和内部角色,可以轻松部署分层模型。 见图 3。
Windows Server 2012 DirectAccess Farm BIG-IP 企业网络
除了选择前端或分层方法之外,组织还必须选择是否使用双宿主/网络接口或单网络接口控制器 (NIC) 部署其直接访问/VPN 服务器。
DirectAccess 支持双接口路由配置,将外部网络与企业网络分隔开来。 此配置提供分段部署并且是使用 DirectAccess 套件中提供的 Teredo 访问协议所必需的。 Teredo 协议设计为轻量且安全的,并且支持网络地址转换 (NAT)。
DirectAccess 还支持单接口部署模型,其中每个 DirectAccess 服务器只有一个 NIC。企业网络。
具有大型、跨国用户群或对站点级弹性有要求的部署可以选择采用多站点部署。 在这种场景下,除了 BIG-IP LTM 之外,还可以部署 F5 BIG-IP GTM,以提供广域流量管理和上下文感知负载均衡。
BIG-IP GTM 是一种全球流量管理设备,它通过监控站点级运行状况、处理来自站点外部的流量(包括远程客户端请求)以及提供站点级灾难恢复功能来扩展 BIG-IP 平台的优势。 BIG-IP GTM 的功能包括地理感知和将远程用户引导至地理位置最近的 DirectAccess 场。 BIG-IP GTM 还可确保在发生计划内或计划外中断时,将故障转移到站点级活动数据中心。
无论哪种配置拓扑最适合组织的架构和需求,F5 产品都可以在 Windows Server 2012 DirectAccess/VPN 部署中发挥重要作用。 BIG-IP LTM 和 BIG-IP GTM 可以协同工作,为 DirectAccess 和远程访问服务提供服务器和站点级别的弹性。 通过以服务、环境和用户意识智能地管理流量;服务持久性;和无与伦比的吞吐能力,BIG-IP 平台可最大限度地提高可用性并确保可扩展性。 先进的基于硬件的优化技术和加密/解密的卸载可提高系统性能和服务器容量,同时改善用户体验。 BIG-IP LTM 不仅是经过 ICSA 认证的网络防火墙,还是 ADC,还可用作边界安全设备,并且可以通过 BIG-IP 系列的其他策略管理和安全模块进一步增强。 通过部署带有 DirectAccess/VPN 的 BIG-IP 产品,组织可以最大限度地提高其远程访问投资的整体效益和安全性。
