Windows IIS-ARR 负载平衡器将与 MAC 绑定 IP 一起使用,还是必须为 ARR 负载平衡服务器提供虚拟 IP。我指的是这个 ARR https://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/http-load-balancing-using-application-request-routing。我想检查这种可行性,因为虚拟 IP 比为 ARR 服务器获取 MAC 绑定 IP 成本高。
AskOverflow.Dev
使用以太网上的 TCP/IP,所有 IP 地址都需要绑定 MAC 才能进行通信。
“Virtual ip”与“mac-bound ip”只是您的 ISP 的推销,所有 ip 地址在使用以太网时实际上都是 mac-bound。
所谓的“mac-bound”ip只是ISP网络实现的一个过滤器,配置成需要一个预定义的mac地址才能使用一个预定义的ip地址。这是您的 ISP 确保只有一台计算机在使用连接的简单方法。一种可以通过 NAT 网关轻松绕过的措施,即在 ISP 和使用连接的计算机之间设置的代理,例如防火墙。
所以回答一下,IIS/ARR 将与“虚拟 ip 连接”服务器和“mac-bound connected”服务器一样工作。您的服务器实际上无法区分。但是,ISP 网络部门和 ISP 计费部门会看到差异,如果您尝试将 ISP 提供的 IP 地址绑定到另一个网络适配器,该网络适配器的 MAC 地址与在您的 ISP 注册的网络适配器不同。
但是,将服务器直接连接到 Internet 并不是一种安全的做法。您应该将防火墙直接连接到互联网,让它向您的 ISP 提供自己的 mac 地址并声明公共 IP 地址,然后将您的 IIS 服务器连接到该防火墙的内部网络,并使用您的内部地址中的私有地址对其进行配置空间。
使用防火墙中的端口转发,您可以使内部的 IIS(使用私有地址)在外部的 Internet 上可用(使用公共地址)。通过这样做,您不仅可以以最基本的方式保护您的服务器,还可以绕过作为“mac-bound ip address”出售给您的 ISP 过滤器(ISP 甚至不会看到您的服务器的 mac 地址,只有防火墙MAC地址)。在您的防火墙中使用端口转发,您实际上可以通过“mac-bound” IP 地址发布任何数量的服务器,因为您的 ISP 只会看到防火墙 MAC 地址,因为您的服务器 MAC 地址将隐藏在它后面.
这是推荐的方法和行业最佳实践(但不是唯一的)。但是,您应该查看与您的 ISP 的协议,看看他们是否限制了您被允许通过防火墙发布的服务器数量,这取决于您的良心和您的 ISP 的法律部门。
有关 mac 和 ip 地址之间关系的更多信息,请点击此处和此处