本文介绍的方案是一个实际部署的、成熟的案例,已经在多家连锁机构应用。在本节中将以某连锁企业正在应用的托管服务器为例,一一介绍其关键的应用及配置。
1)该企业配置了一台DELLR720的服务器托管到单位机房,该服务器配置了2个E5-2620的CPU、64GB内存、6块1TB的企业级硬盘。该服务器安装的是VMwareESXi5.1.0(该服务器大约在2013年期间配置),如图4-2-2所示。
图4-2-2 配置好的服务器
2)6块1TB的硬盘采用RAID-10方式划分为两个卷,第1个卷大小为55GB(安装VM-wareESXi5.1.0,安装之后卷名为OS),第2个卷大小约为2.67TB,设置卷名为Data,如图4-2-3所示。当前一共配置了3台虚拟机(一台TMG2010的虚拟机、1台Web应用的虚拟机、1台NTP的虚拟机)。
图4-2-3 存储器配置信息
3)配置存储之后,浏览Data数据存储,在该存储中创建ISO的文件夹,并上传Windows Server 2008 R2、Forefront TMG 2010、SQL Server 2008 R2等安装镜像到该存储中,以方便后期的管理使用,如图4-2-4所示。
图4-2-4 上传所需软件的镜像到数据存储中
4)服务器共4块网卡,其中这4块网卡分配方式如下:
●第1块网卡与第2块网卡用于管理,其中第1块网卡绑定第一个标准交换机vSwitch0,设置管理地址222.x1.y1.143。该网卡连接到电信的线路。
●第2块网卡绑定第3个标准交换机vSwitch2,设置管理地址192.168.111.253,在安装配置期间,笔记本配置192.168.111.0/24的地址直接连接到这个网卡进行配置(建议千兆网络连接),调试完成之后拔掉网线,在托管到电信机房之后也不需要在此端口插网线;
●第3、4块网卡绑定第2个标准交换机vSwitch1,不设置管理地址,其中一个网卡连接到网通的线路。
在安装配置好VMware ESXi之后,在“配置→网络”选项中,修改第1个标准交换机vS⁃witch0(绑定第1块网卡,vmnic0)的“虚拟机端口组”为dx(表示“电信”的意思);然后添加第2个标准交换机(绑定第3、第4块网卡,网卡名称为vmnic2、vmnic3),修改虚拟机端口组为wt(表示“网通”的意思);添加第3个标准交换机(绑定第2块网卡,网卡名称为vmnic2),修改虚拟机端口组为lan,如图4-2-5所示。
图4-2-5 配置好的标准交换机
【说明】在连接管理VMware ESXi时,强烈建议管理工作站与服务器之间使用千兆网络连接。如果没有千兆的交换机,则使用带有千兆网卡的工作站,使用一条“直通”的网线连接服务器与工作站也可。
5)本案例中一共有3个虚拟机,其中用做防火墙与VPN服务器的虚拟机分配8GB内存、8个vCPU、2块硬盘(第1块硬盘60GB,精简置备,安装Windows Server 2008 R2企业版;第2块硬盘200GB,精简置备,安装Forefront TMG 2010)。TMG虚拟机有3块网卡,分别连接到dx、wt、lan三个标准交换机,如图4-2-6所示。
6)TMG 2010虚拟机安装Windows Server 2008R2企业版,如图4-2-7所示。
图4-2-6 TMG虚拟机配置
7)在TMG 2010虚拟机中执行ipconfig查看IP地址配置,如图4-2-8所示。
图4-2-7 TMG 2010虚拟机的操作系统
图4-2-8 TMG 2010虚拟机IP地址配置
在图4-2-8中可以看到,当前虚拟机有3块网卡,其中lan网卡配置的两个IP地址分别是192.168.111.111与192.168.222.254。其中192.168.111.111用于管理、登录ESXi;而192.168.222.254则为与其他虚拟机进行通信使用。
为名称为“wt”的网卡设置IP地址(本例为110.x.y.33,这需要根据ISP分配的参数设置)、子网掩码、网关地址;在名称为“dx”的网卡设置IP地址(本例为222.x.y.155)、子网掩码、网关地址。
8)TMG安装在D盘,TMG防火墙策略主要配置如图4-2-9所示。
图4-2-9 Forefront TMG防火墙策略
9)在Forefront TMG中配置了“ISP冗余”,如图4-2-10所示。
10)在TMG 2010的虚拟机中,每个VPN用户是在“计算机管理→本地用户和组→用户”中创建,如图4-2-11,这是部分创建好的用户。(www.xing528.com)
图4-2-10 ISP冗余的设置
图4-2-11 TMG2010虚拟机中部分创建好的VPN用户
11)在“路由和远程访问”窗口中,可以看到已经在线的VPN用户(每个用户即由一个接入的VPN路由器代表,每个路由器下面又接了几台到几十台不等的计算机),如图4-2-12所示。
图4-2-12 在线的VPN用户
12)在服务器托管到电信机房之后,使用远程桌面登录到Forefront TMG的虚拟机,在虚拟机中使用vSphere Client登录192.168.111.253的IP地址即可登录管理VMware ESXi。虽然此时VMware ESXi的第2块网卡没有插线,网卡状态“打叉”,但这不影响管理,使用ping命令也能ping通ESXi的管理地址,如图4-2-13所示。
图4-2-13 在TMG中管理VMware ESXi
13)如果不想通过“远程桌面”到虚拟机的方式管理ESXi,管理员也可以在远程计算机上使用vSphere Client直接登录ESXi的公网IP地址进行管理,如图4-2-14所示。这可以在TMG出现问题时对TMG进行调试。
图4-2-14 直接登录ESXi进行管理
14)对于应用服务器(Web应用),为其配置32GB内存、8个vCPU、两个硬盘(第1个硬盘为60GB精简置备,安装Windows Server 2008 R2,从模板直接复制;第2个硬盘划分为800GB,厚置备,用于安装应用程序及SQLServer数据库),虚拟机网卡为lan,如图4-2-15所示。
15)Web应用服务器虚拟机安装操作系统截图如图4-2-16所示。
16)Web应用服务器资源占用情况如图4-2-17所示。
图4-2-15 Web应用服务器虚拟机配置
图4-2-16 Web应用服务器的操作系统
图4-2-17 Web应用服务器资源占用情况
17)第3个虚拟机为NTP服务器,该服务器安装Windows Server 2008 R2,升级到Active Directory(只做NTP服务),该NTP服务器只为ESXi提供(修正时间)。该虚拟机分配1GB内存、1个vCPU、网卡为LAN,如图4-2-18所示。
18)在“配置→时间配置”选项中,指定NTP服务器,如图4-2-19所示。
图4-2-18 NTP虚拟机硬件配置
图4-2-19 指定NTP服务器
19)最后在“配置→虚拟机启动/关机”选项中,将TMG、Web应用服务器、NTP服务器设置为“自动启动”,如图4-2-20所示。
图4-2-20 将NTP服务器设为自动启动
以上介绍了实际应用中的配置情况,接下来介绍本案例的配置步骤。除了ESXi的版本换成较新的ESXi 6.0 U2或U3外,Forefront TMG所用的虚拟机操作系统仍然为Windows Server2008R2,而企业中的应用服务器则根据企业的实际情况进行选择配置,本文不会过多介绍。本章主要介绍用Forefront TMG安装、配置成VPN服务器,以及各分支机构所用路由器的配置调试等内容。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。