Principe de répartition de charge

ADC, OWA, SSL

On parle désormais de solutions de type ADC, soit Application Delivery Controller, qui fonctionnellement vont plus loin qu’une simple répartition de charge avec surveillance de services.

Les ADC vont offrir des fonctionnalités de cache pour OWA, de compression, de déchargement SSL pour les serveurs Exchange, de gestion du trafic afin d’en limiter l’usage etc… Bref, selon le constructeur retenu et le budget consacré …, un certain nombre de fonctionnalités va améliorer, et sécuriser l’accès aux ressources Exchange.

La plupart des ADC que vous allez mettre en place auront une ou plusieurs connexions réseaux. Car dans la plupart des cas, ces dispositifs vont porter des adresses IP virtuelles (VIP) dans plusieurs sous réseaux de votre entreprise, à savoir la DMZ, le réseau Interne, le Vlan serveur etc… voir figure 2.

Dans le schéma 2, le répartiteur de charge va porter des adresses virtuelles (VIP) pour plusieurs services.

• Vip1 sera utilisée pour porter l’adresse IP pour le flux SMTP entrant.
• Vip2 sera utilisée pour porter l’adresse IP pour le flux http/https entrant
• Vip3 sera utilisée pour porter l’adresse IP pour le flux du Cas Array sur le réseau Interne
• Vip4 sera utilisée pour porter l’adresse IP pour le service Smtp Interne.

Principe de SNAT : Comme le ou les répartiteurs de charge vont porter votre adresse IP « load balancée » correspondant à votre CAS array, ce dernier devra modifier, lorsqu’il recevra le paquet client à destination des serveurs CAS, l’adresse source lors de la réémission des paquets vers le serveur Exchange choisi. (SNAT : Source Network Address Translation). Le serveur CAS devra quant à lui devra répondre à son tour non pas au client, mais au répartiteur de charge. Voir figure 3.

Soit votre matériel n’a qu’une seule carte réseau et une seule adresse IP et par conséquent l’adresse IP source modifiée va correspondre à son adresse interne, soit il possède plusieurs cartes réseau et c’est dans la configuration du répartiteur de charge que l’on va configurer la « patte (Carte/IP adresse) » de sortie.

La configuration d’un SNAT par défaut devrait suffire pour la plupart d’entre nous, sauf si vous envisagez d’héberger plus de 65 000 utilisateurs. Car dans ce cas, vous ne pourrez pas faire correspondre plus de 65 535 connexions vers un serveur avec une simple adresse IP. La solution de contournement, et qui est présente dans certains matériels de répartition de charge, est la mise en place de SNAT avec plusieurs adresses IP possibles que l’ADC va choisir. On parle chez certains constructeurs de pool SNAT.

Vous pensiez être tiré d’affaire, pas tout à fait car … dans l’environnement Exchange 2010 le protocole MAPI RPC, si il autorise le SNAT, ne supporte pas le fait que pour un client déterminé le SNAT se fasse avec plusieurs adresse IP sources différentes, ce qui peut être le cas si vous ne configurez pas correctement votre pool d’adresses de sortie. Il faudra donc garder pour un même client MAPI RPC la même adresse IP utilisée en sortie par l’ADC. Pas forcément compliqué, mais à prendre en compte.