Будет ли балансировщик нагрузки Windows IIS-ARR работать с привязанным к MAC IP или обязательно иметь виртуальный IP для сервера балансировки нагрузки ARR. Я имею в виду этот ARRhttps://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/http-load-balancing-using-application-request-routingЯ хочу проверить эту возможность, поскольку виртуальный IP обходится гораздо дороже, чем получение привязанного к MAC-адресу IP для сервера ARR.
решение1
При использовании TCP/IP через Ethernet для связи все IP-адреса должны быть привязаны к MAC-адресу.
«Виртуальный IP» или «IP, привязанный к MAC-адресу» — это всего лишь рекламный ход вашего интернет-провайдера. На самом деле все IP-адреса привязаны к MAC-адресу при использовании Ethernet.
Так называемый ”mac-bound” ip — это просто фильтр, реализованный сетью интернет-провайдера, настроенный на требование предопределенного mac-адреса для использования предопределенного ip-адреса. Это простой способ для вашего интернет-провайдера гарантировать, что только один компьютер использует соединение. Мера, которую можно легко обойти с помощью NAT-шлюза, то есть прокси-сервера, например брандмауэра, установленного между интернет-провайдером и компьютерами, использующими соединение.
Итак, отвечая, IIS/ARR будет функционировать так же хорошо как сервер «подключенный по виртуальному IP» и как сервер «подключенный по MAC-адресу». Ваш сервер фактически не сможет заметить разницу. Сетевой отдел провайдера и отдел выставления счетов провайдера, однако, увидят разницу, и вы тоже увидите, если попытаетесь привязать предоставленный провайдером IP-адрес к другому сетевому адаптеру с другим MAC-адресом, отличным от зарегистрированного у вашего провайдера.
Однако подключение сервера напрямую к Интернету не является безопасной практикой. Вам следует подключить брандмауэр напрямую к Интернету, позволив ему предоставить свой собственный mac-адрес вашему интернет-провайдеру и заявив о публичном IP-адресе, затем подключить ваш сервер IIS к внутренней сети этого брандмауэра и настроить его с использованием частного адреса из вашего внутреннего адресного пространства.
Используя переадресацию портов в брандмауэре, вы можете сделать свой IIS внутри (используя частный адрес) доступным из Интернета снаружи (используя публичный адрес). И сделав это, вы не только защитите свой сервер самым простым способом, но и обойдёте фильтр интернет-провайдера, проданный вам как «IP-адрес, привязанный к MAC» (интернет-провайдер даже не увидит MAC-адрес вашего сервера, только MAC-адрес брандмауэра). Используя переадресацию портов в брандмауэре, вы фактически сможете опубликовать практически любое количество серверов через IP-адрес, привязанный к MAC, поскольку ваш интернет-провайдер увидит только MAC-адрес брандмауэра, поскольку MAC-адреса ваших серверов будут скрыты за ним.
Это рекомендуемый подход и передовая практика отрасли (но не единственная). Однако вам следует ознакомиться с соглашением с вашим интернет-провайдером и посмотреть, ограничили ли они количество серверов, которые вам разрешено публиковать через брандмауэр, это вопрос вашей совести и юридического отдела вашего интернет-провайдера.
Дополнительная информация о связи между MAC- и IP-адресамиздесьиздесь