负载均衡和死链接检测

　　ISP-R对网络流量进行分布而不是加载，将流量分发到哪一个外部网络接口通过对源IP地址和目标IP地址执行一个哈希算法决定，每个出站连接都要进行这种哈希计算。计算的结果是介于0和100之间的一个数字。如果这个数字小于分配给第一个ISP连接的比例，TMG将使用此外部网络连接。反之，TMG将使用另一个连接。这种做法保证了会话亲和性(Session Affinity)—针对某个特定的源/目标地址对的所有连接将通过相同的外部网络接口发送。

　　为确定某个特定ISP连接的可用性，TMG在TCP 53端口通过轮询从13个互联网DNS根服务器(Root DNS Servers)中随机选取一个进行死链接监测(dead link detection)。如果选定的根DNS服务器响应，TMG即认为该连接可用。如果没有响应，TMG将在一分钟的间隔后轮询其他根DNS服务器。如果连续三次尝试后没有收到应答，TMG就认为该连接不可用，并且发出警告。一旦TMG将连接标记为不可用，将会在等待5分钟之后尝试再次轮询。TMG收到回应后，间隔一分钟的时间再次轮询。当连续收到三个应答之后，TMG将该连接标记为可用。

　　部署环境

　　ISP-R的工作模式主要受互联网或广域网连接类型的影响。例如，如果用户有两个带宽类似的互联网连接，负载均衡模式是一个不错的选择。如果两个连接的带宽有高有低，则选择故障转移模式更为合适。虽然这一技术被称为“ISP冗余”，但它并不只局限于互联网连接。ISP-R也可用于为分支机构与总部之间的广域网连接提供负载均衡和故障转移。

　　其他注意事项

　　设计和部署ISP-R时，还有一些事项应该加以注意：

　　•仅在网络地址转换时生效 ：ISP-R仅为从TMG保护的网络向默认外部网络发送的流量提供负载均衡和故障转移，并且只有当网络关系配置为网络地址转换(NAT)时才起作用。如果本地主机网络与外部网络之间的关系网络配置为“路由”，来自TMG防火墙本身的流量不会由ISP-R来处理，因此ISP-R将无法工作。

　　•E-NAT优先于ISP-R：由于流量需由利用E-NAT (Enhanced NAT，增强型NAT)配置的网络规则来处理，因此E-NAT有更高的优先级别，它将覆盖ISP-R的路由任务。

　　•负载均衡的效果并不完美：ISP-R的负载均衡机制并不能完美地分发流量。由于各个连接将流量进行分发而不是加载，因此分发的比例会呈不对称状态，某些连接可能会比其他连接消耗更多的带宽。

　　前文中已经提到，TMG将通过随机询问互联网根DNS服务器的方式来验证连接是否可用。如果利用ISP-R为分支机构的广域网连接提供负载均衡或故障转移，可能运用默认的死链接检测机制并不恰当。例如，将TMG防火墙配置为在分支机构与总部之间进行流量网络地址转换时，如果总部互联网连接不可用，TMG则认为上述分支机构和总部的广域网连接都不可用，而事实并非如此。

　　在某些情况下，分支机构的TMG防火墙可能无法直接连接到互联网，这将使得TMG不能轮询互联网根DNS服务器。在这种情况下，直接轮询位于广域网连接另一端的服务是更优方案。

　　结语

　　TMG的ISP冗余是一个为外部网络连接提供容错和冗余的新功能，尤其是在部署边缘防火墙或为分支机构提供广域网连接的环境中。负载均衡和故障转移的工作模式提供了更为灵活的配置选项，以符合外部网络配置，详细的警示功能为TMG防火墙管理员随时了解外部网络的连接状态提供了便利。