Funktioniert der Windows IIS-ARR-Load Balancer mit einer MAC-gebundenen IP-Adresse oder ist eine virtuelle IP-Adresse für den ARR-Load Balancing-Server zwingend erforderlich? Ich beziehe mich auf diesen ARRhttps://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/http-load-balancing-using-application-request-routing. Ich möchte die Machbarkeit prüfen, da eine virtuelle IP wesentlich teurer ist als eine MAC-gebundene IP für den ARR-Server.
Antwort1
Bei Verwendung von TCP/IP über Ethernet müssen alle IP-Adressen Mac-gebunden sein, um kommunizieren zu können.
„Virtuelle IP“ vs. „Mac-gebundene IP“ ist nur ein Verkaufsgespräch Ihres ISPs, alle IP-Adressen sind bei der Verwendung von Ethernet tatsächlich Mac-gebunden.
Die sogenannte „Mac-gebundene“ IP ist lediglich ein vom ISP-Netzwerk implementierter Filter, der so konfiguriert ist, dass er eine vordefinierte Mac-Adresse erfordert, um eine vordefinierte IP-Adresse zu verwenden. Auf diese Weise kann Ihr ISP auf einfache Weise sicherstellen, dass nur ein Computer die Verbindung verwendet. Eine Maßnahme, die leicht umgangen werden kann, wenn zwischen dem ISP und den Computern, die die Verbindung verwenden, ein NAT-Gateway, also ein Proxy wie eine Firewall, platziert wird.
Um die Frage zu beantworten: IIS/ARR funktioniert als „virtueller IP-verbundener“ Server genauso gut wie als „Mac-gebundener“ Server. Ihr Server wird den Unterschied tatsächlich nicht erkennen können. Die Netzwerkabteilung und die Rechnungsabteilung des ISP werden den Unterschied jedoch sehen, und Sie werden ihn auch sehen, wenn Sie versuchen, die vom ISP bereitgestellte IP-Adresse an einen anderen Netzwerkadapter zu binden, der eine andere Mac-Adresse hat als die, die bei Ihrem ISP registriert ist.
Allerdings ist es nicht sicher, einen Server direkt mit dem Internet zu verbinden. Sie sollten eine Firewall direkt mit dem Internet verbinden, sie Ihre eigene Mac-Adresse Ihrem ISP präsentieren lassen und die öffentliche IP-Adresse beanspruchen. Verbinden Sie dann Ihren IIS-Server mit dem internen Netzwerk dieser Firewall und konfigurieren Sie ihn mit einer privaten Adresse aus Ihrem internen Adressraum.
Mithilfe der Portweiterleitung in der Firewall können Sie Ihren IIS von innen (unter einer privaten Adresse) und von außen (unter einer öffentlichen Adresse) aus dem Internet verfügbar machen. Und indem Sie dies tun, schützen Sie Ihren Server nicht nur auf die grundlegendste Weise, sondern umgehen auch den ISP-Filter, der Ihnen als „Mac-gebundene IP-Adresse“ verkauft wird (der ISP sieht nicht einmal die Mac-Adresse Ihres Servers, sondern nur die Mac-Adresse der Firewall). Mithilfe der Portweiterleitung in Ihrer Firewall könnten Sie praktisch jede beliebige Anzahl von Servern über die „Mac-gebundene“ IP-Adresse veröffentlichen, da Ihr ISP nur die Mac-Adresse der Firewall sieht, da die Mac-Adressen Ihrer Server dahinter verborgen sind.
Dies ist ein empfohlener Ansatz und eine bewährte Vorgehensweise in der Branche (aber nicht die einzige). Sie sollten jedoch einen Blick auf die Vereinbarung mit Ihrem ISP werfen und prüfen, ob dieser die Anzahl der Server begrenzt hat, auf denen Sie durch die Firewall veröffentlichen dürfen. Dies ist eine Frage Ihres Gewissens und der Rechtsabteilung Ihres ISPs.
Weitere Informationen zur Beziehung zwischen Mac- und IP-AdressenHierUndHier