F5 et services d'accès à distance/DirectAccess de Windows Server 2012

Pour Windows 8 et Windows Server 2012, Microsoft a repris deux technologies d'accès à distance présentes dans les versions précédentes de Windows Server, DirectAccess et VPN Server, et les a regroupées sous le même parapluie de gestion appelé simplement Accès à distance. Les technologies F5 peuvent être déployées pour gérer le trafic et équilibrer les charges sur ces services.

Initialement introduit dans Windows Server 2008 R2 et Windows 7, DirectAccess a remplacé la technologie d’accès à distance précédente. Contrairement aux VPN traditionnels, dans lesquels les connexions ont été initiées manuellement au niveau de l'utilisateur, DirectAccess utilise une connexion transparente au niveau du système. Cela signifie que les systèmes distants joints à un domaine créeront automatiquement et en toute sécurité une présence sur le réseau d'entreprise au démarrage.

VPN, anciennement connu sous le nom de Remote Access Services (RAS), a été introduit dans Windows NT et inclut les technologies VPN Windows traditionnelles, notamment IKEv2, SSTP, PPTP et L2TP. Les clients Windows Server 2012 peuvent déployer DirectAccess, VPN ou les deux, et il est souvent avantageux de déployer les deux. DirectAccess fournit un accès à distance aux clients Windows 7 (et versions ultérieures) joints au domaine qui ont reçu les autorisations appropriées, tandis que VPN offre un accès à distance aux machines qui ne sont pas jointes au domaine ou qui n'exécutent pas encore Windows 7.

La nouveauté de DirectAccess dans Windows Server 2012 est la prise en charge de l’équilibrage de charge local et étendu. Le gestionnaire de trafic local (LTM) de F5 BIG-IP peut être utilisé pour fournir un équilibrage de charge au niveau local, et le gestionnaire de trafic global (GTM) de F5 BIG-IP peut fournir un équilibrage de charge au niveau étendu (également appelé global).

Les produits F5 peuvent jouer un rôle important dans un déploiement d’accès à distance Windows Server 2012.

• Haute disponibilité Grâce à la connaissance des services DirectAccess/VPN réels, BIG-IP LTM peut garantir que les utilisateurs sont toujours envoyés vers un serveur DirectAccess/VPN prêt pour de nouvelles connexions, éliminant ainsi les situations dans lesquelles un utilisateur est envoyé vers un serveur en panne ou peu performant. De plus, BIG-IP LTM dispose d’une fonctionnalité de persistance sur tous les services. Ceci est avantageux lors de la gestion du trafic tel que le protocole de tunneling point à point (PPTP), fourni avec chaque version du client Windows depuis Windows 95 R2, lui offrant une couverture incroyablement large sur les ordinateurs clients. Chaque client se connectant à DirectAccess via PPTP crée deux flux indépendants mais obligatoires : la connexion de contrôle et la connexion de données. Lors de l'équilibrage de charge, les deux flux de chaque client doivent être envoyés au même serveur PPTP pour éviter de rompre la connexion. BIG-IP LTM possède l'intelligence nécessaire pour envoyer les deux flux d'un client particulier vers le même serveur, garantissant ainsi que la connexion reste ininterrompue.

• Évolutivité En gérant intelligemment le trafic, BIG-IP LTM peut distribuer le débit à une batterie multisite de serveurs DirectAccess/VPN, permettant au système de s'adapter à un nombre d'utilisateurs bien plus important qu'il ne pourrait autrement gérer.

• Performances BIG-IP LTM peut contribuer aux performances de diverses manières, depuis les optimisations TCP et le déchargement SSL jusqu'à la connaissance des performances du serveur. Le résultat est un accès plus rapide et la meilleure expérience réseau possible pour les utilisateurs. En particulier, le déchargement du cryptage SSL/TLS BIG-IP LTM peut soulager les serveurs DirectAccess/VPN de charges de travail importantes. En mettant fin à la connexion SSL avec le client et en envoyant le trafic non chiffré aux serveurs, BIG-IP LTM libère le processeur du serveur pour servir les clients.

• Sécurité Le même périphérique BIG-IP LTM qui assure la gestion du trafic pour les serveurs DirectAccess/VPN est un pare-feu réseau certifié ICSA, répondant aux normes de sécurité des centres de données qui permettent aux entreprises de le déployer en tant que contrôleur de distribution d'applications (ADC) à double usage et dispositif de sécurité périmétrique.

Une réflexion approfondie sur l’architecture réseau appropriée pour DirectAccess/VPN est une étape cruciale du processus de déploiement. De nombreuses options et topologies peuvent être utilisées, et ce qui est présenté ici n’est pas destiné à être une liste exhaustive abordant tous les déploiements, mais simplement un aperçu des principaux critères de décision et de quelques topologies recommandées. Les critères qui affectent généralement les topologies de déploiement incluent l’échelle, les exigences de sécurité, les budgets et les accords de niveau de service (SLA). Étant donné que ces considérations déterminent souvent une certaine architecture ou en interdisent d’autres, il est préférable de consulter les équipes F5 et Microsoft avant le déploiement.

Pour une haute disponibilité, F5 recommande fortement le déploiement des appareils BIG-IP LTM à l'aide d'un modèle de déploiement actif/veille ou d'un groupe de deux ou plusieurs appareils se prenant en charge activement, ce qui peut être appelé modèle activeN. Ces deux modèles permettent un basculement BIG-IP LTM sans aucune interruption des connexions réseau. Dans les diagrammes suivants, une seule icône BIG-IP LTM représente une paire de basculement ou un groupe activeN.

Pour assurer la distribution des applications et l'équilibrage de la charge pour DirectAccess, les organisations déploient souvent BIG-IP LTM devant leurs serveurs DirectAccess/VPN en tant que serveur frontal formel. Entre autres choses, ce dispositif BIG-IP devient responsable de la surveillance de la disponibilité des services DirectAccess/VPN et de la distribution des connexions client entrantes aux serveurs.

Batterie de serveurs Windows Server 2012 DirectAccess

Bien que cela ne soit pas nécessaire pour un équilibrage de charge simple DirectAccess/VPN, le placement d'appareils BIG-IP LTM entre la batterie de serveurs DirectAccess et le réseau d'entreprise offre également des avantages significatifs. Plus précisément, cette configuration permet un scénario de « gestion sortante » dans lequel les clients ou les serveurs du réseau interne peuvent initier des connexions de gestion aux clients DirectAccess connectés à distance. De plus, les fermes internes de serveurs d'applications peuvent être équilibrées en charge et soumises à d'autres opérations utiles de gestion du trafic.

La présence d'un périphérique BIG-IP LTM devant la batterie de serveurs DirectAccess/VPN est considérée comme une exigence pour une disponibilité optimale, et un autre périphérique du côté du réseau d'entreprise de la batterie de serveurs est fortement recommandé. Cela ne nécessite pas nécessairement des périphériques BIG-IP LTM distincts. Le modèle en couches peut être facilement déployé en réutilisant le même périphérique BIG-IP LTM pour les rôles externes et internes. Voir la figure 3.

Réseau d'entreprise BIG-IP de la ferme DirectAccess Windows Server 2012

Outre la sélection d'une approche frontale ou en couches, les organisations doivent également choisir de déployer leurs serveurs d'accès direct/VPN avec une interface double hébergée/en réseau ou un seul contrôleur d'interface réseau (NIC).

DirectAccess prend en charge une configuration routée à double interface qui segmente le réseau externe du réseau d'entreprise. Cette configuration permet un déploiement segmenté et est requise pour l'utilisation des protocoles d'accès Teredo disponibles dans la suite DirectAccess. Conçu pour être léger et sécurisé, le protocole Teredo est compatible avec la traduction d'adresses réseau (NAT).

DirectAccess prend également en charge les modèles de déploiement d'interface unique dans lesquels chaque serveur DirectAccess ne dispose que d'une seule carte réseau. Réseau d'entreprise.

Les déploiements avec de grandes bases d'utilisateurs multinationales ou des exigences de résilience au niveau du site peuvent opter pour un déploiement multisite. Dans un tel scénario, F5 BIG-IP GTM peut être déployé en plus de BIG-IP LTM pour fournir une gestion du trafic sur une large zone et un équilibrage de charge sensible au contexte.

BIG-IP GTM est un dispositif de gestion du trafic global qui étend les avantages de la plate-forme BIG-IP en surveillant l'état du site, en gérant le trafic (y compris les demandes des clients distants) provenant de l'extérieur du site et en fournissant des capacités de reprise après sinistre au niveau du site. Parmi les fonctionnalités de BIG-IP GTM figurent la reconnaissance géographique et la direction des utilisateurs distants vers la ferme DirectAccess géographiquement la plus proche. BIG-IP GTM assure également le basculement au niveau du site vers les centres de données actifs en cas de pannes planifiées ou imprévues.

Quelle que soit la topologie de configuration la mieux adaptée à l’architecture et aux besoins d’une organisation, les produits F5 peuvent jouer un rôle important dans un déploiement Windows Server 2012 DirectAccess/VPN. BIG-IP LTM et BIG-IP GTM peuvent fonctionner ensemble pour fournir une résilience au niveau du serveur et du site pour les services DirectAccess et d'accès à distance. En gérant intelligemment le trafic avec la connaissance du service, du contexte et de l'utilisateur, la persistance du service et des capacités de débit inégalées, la plate-forme BIG-IP maximise la disponibilité et garantit l'évolutivité. Les technologies d’optimisation sophistiquées basées sur le matériel et le déchargement du cryptage/décryptage augmentent les performances du système et la capacité du serveur tout en améliorant l’expérience utilisateur. Pare-feu réseau certifié ICSA ainsi qu'ADC, BIG-IP LTM fonctionne également comme un dispositif de sécurité périmétrique et peut être encore amélioré avec d'autres modules de gestion des politiques et de sécurité de la famille BIG-IP. En déployant les produits BIG-IP avec DirectAccess/VPN, les organisations peuvent maximiser les avantages globaux et la sécurité de leurs investissements en accès à distance.