目前，越来越多的业务依赖于 ISP 来处理 Internet 的访问，发邮件，上网等，这些业务依赖于 ISP 线路的高可用性。

保持一个稳定的，可用的，可靠的 ISP 连接对每个网管员来说，都是极其重要的任务。

Forefront TMG 提供了一个以往 ISA 没有的重要特性: ISP 冗余链路，TMG 可以同时支持两条 ISP 链路。拥有两种冗余模式:

Load balancing with failover capability: 网络流量分布在两条链路上，如果一条链路断开或者没有响应，所有的流量会定向到另外一条。

Failover only: 两条链路中的一条会作为主链路，处理所有网络流量，如果主链路不可用，所有流量会由备用的链路处理。

如下图所示：

http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image002_thumb.jpg

对于 Load balancing with failover capability 模式，您可以选择 ISP 冗余负载比例。

http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image004_thumb.jpg

对于 Failover only 模式，您需要选择哪条链路是主用链路。

http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image006_thumb.jpg

一般来说为了避免外网卡上指定的外部 DNS 解析的问题，我们推荐不设置任何外网卡的 DNS 服务器，而只在 TMG 内网卡上设置内部 DNS 服务器。

如果您在两块外部网卡上分别指定了外部 DNS 服务器，那么可能会出现访问链路1上的 DNS 服务器会通过链路2进行，这时您必须要对每个 DNS 服务器的解析增加静态路由，因为 ISP 冗余功能仅对 NAT 流量有效，对于来自 TMG 本地主机的流量，不会进行 ISP 冗余选择处理。

http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/TMGTMGISP_B19D/clip_image007_thumb.jpg

在部署 TMG 的 ISP 冗余前，您需要注意一下以下问题。

1. 在源网络和目标网络之间的关系必须是 NAT 的关系，如果是路由的关系，则无法应用ISP冗余的功能。 TMG 本机到任何网络的流量不会有 ISP 冗余，因为 TMG 本机到任何网络的关系一定是路由关系。
2. 每条 ISP 链路必须连到不同的网段的网关上，同时 TMG 的外部 IP 地址也必须属于不同的网段。
3. TMG 外部网卡不能启用 DHCP 的方式来获取 IP 地址，家庭用户使用 ADSL 拨号不支持 TMG 的 ISP 冗余。

James Yi
微软安全支持专家