Aszimmetrikus útválasztás több hálózati elérési úttal

  • Cikk
  • 6 perc alatt elolvasható

Ez a cikk azt ismerteti, hogy a hálózati forgalom hogyan haladhat különböző útvonalakon, ha több útvonal érhető el a hálózati forrás és a cél között.

Az aszimmetrikus útválasztás megértéséhez két fogalmat kell ismernie. Az első a több hálózati útvonal hatása. A másik az, hogy az eszközök, például a tűzfalak hogyan tartják meg az állapotot. Az ilyen típusú eszközöket állapot-nyilvántartó eszközöknek nevezzük. A két tényező kombinálásakor olyan forgatókönyvet hozhatnak létre, amelyben az állapotalapú eszköz eldobja a hálózati forgalmat. A rendszer elveti a forgalmat, mert nem észlelte, hogy a forgalom önmagából származik.

Több hálózati elérési út

Ha egy vállalati hálózat csak egy internetes kapcsolattal rendelkezik az internethez egy internetszolgáltatón keresztül, az internetre irányuló és onnan érkező összes forgalom ugyanazon az úton halad. Gyakran előfordul, hogy a vállalatok több kapcsolatcsoportot vásárolnak, hogy redundáns útvonalakat hozzanak létre a hálózati üzemidő javítása érdekében. Ezzel a konfigurációtípussal lehetséges, hogy a forgalom egy internetre mutató hivatkozást vezet, és egy másik kapcsolaton keresztül tér vissza. Ezt a forgatókönyvet gyakran aszimmetrikus útválasztásnak is nevezik. Aszimmetrikus útválasztás esetén a visszatérő hálózati forgalom más útvonalat használ, mint az eredeti kimenő forgalom.

Network with multiple paths

Bár az aszimmetrikus útválasztás általában az internetre való ugráskor fordul elő. Ez akkor is előfordul, ha több útvonal kombinációját vezetik be. Az első példa az, ha van egy internetes és egy privát elérési útja, amely ugyanahhoz a célhoz vezet. A második példa az, ha több privát elérési út is ugyanarra a célhelyre kerül.

A forrás és a cél közötti útvonal minden útválasztója kiszámítja a legjobb útvonalat a cél eléréséhez. Az útválasztó két fő tényező alapján határozza meg a lehető legjobb útvonalat:

  • A külső hálózatok közötti útválasztást az általában csak BGP néven emlegetett útválasztási protokoll, a peremátjáró protokoll (Border Gateway Protocol) határozza meg. A BGP átveszi a szomszédok hirdetményeit, és különböző műveleteket futtat rajtuk annak érdekében, hogy megállapítsa a célhoz vezető legjobb utat. A legjobb útvonalat az útválasztó beírja az útvonaltáblába.
  • Az útvonalhoz társított alhálózati maszk hossza befolyásolja az útválasztási útvonalakat. Ha egy útválasztó több hirdetést kap ugyanahhoz az IP-címhez, az útválasztó a hosszabb alhálózati maszkkal rendelkező útvonalat választja ki, mivel ez egy pontosabb útvonalnak számít.

Állapot-nyilvántartó eszközök

Az útválasztók az útválasztás megállapítása során a csomag IP-fejlécét veszik alapul. Bizonyos eszközök még mélyebben megvizsgálják a csomagot. Ezek az eszközök általában a 4. réteg – Tcp vagy User Datagram Protocol (UDP) fejléceket, vagy akár a 7. rétegbeli (alkalmazásréteg) fejléceket tekintik meg. Ezek az eszközök általában biztonsági vagy sávszélesség-optimalizáló eszközök.

Gyakori állapot-nyilvántartó eszközök például a tűzfalak. A tűzfal különböző feltételek alapján engedélyezi vagy elutasítja a csomagokat, hogy áthaladjanak az interfészeken. Ezek a feltételek magukban foglalják többek között a protokollt, a TCP/UDP-portot és az URL-fejléceket. A csomagvizsgálat ezen szintje nagy feldolgozási terhelést okozhat az eszközön.

A teljesítmény javítása érdekében a tűzfalak általában csak az adatfolyamok első csomagját vizsgálják meg. Ha lehetővé teszi, hogy a csomag áthaladjon az interfészeken, a folyamatinformációkat az állapottáblában tartja. Ezután a kezdeti meghatározás alapján engedélyezve lesznek az ehhez a folyamathoz kapcsolódó, az azt követő csomagok. Előfordulhat, hogy egy meglévő folyamat részét képező csomag megérkezik arra a tűzfalra, amelyről nem származik. Mivel nincsenek előzetes állapotinformációi a kezdeti folyamatról, a tűzfal elveti a csomagot.

Aszimmetrikus útválasztás az ExpressRoute-tal

Ha az Azure ExpressRoute segítségével csatlakozik a Microsofthoz, a hálózata az alábbiak szerint módosul:

  • Több kapcsolat jön létre a Microsofthoz. Az egyik kapcsolat a meglévő internetkapcsolat, a másik pedig az ExpressRoute-kapcsolaton keresztül. Előfordulhat, hogy a Microsoft felé irányuló bizonyos forgalom az internetkapcsolaton keresztül halad át, de az ExpressRoute-kapcsolaton keresztül tér vissza. Ugyanez akkor is előfordulhat, ha a forgalom az ExpressRoute-on halad át, de az internetes útvonalon tér vissza.
  • Konkrétabb IP-címeket kapott az ExpressRoute-kapcsolatcsoporttól. Így amikor a hálózatról a Microsoft felé irányuló forgalom az ExpressRoute-on keresztül kínált szolgáltatásokhoz érkezik, az útválasztók mindig az ExpressRoute-kapcsolatot részesítik előnyben.

Ha meg szeretné érteni, hogy milyen hatással van ez a két változás a hálózatra, vegyünk néhány forgatókönyvet. Például van egy kapcsolatcsoportja az internethez, és az összes Microsoft-szolgáltatások az interneten keresztül használja. A hálózatról a Microsoft felé és onnan érkező forgalom ugyanazon az internetes kapcsolaton halad át, és egy tűzfalon halad át. A tűzfal rögzíti a folyamatot, amikor az első csomagot látja. A beszélgetés minden következő csomagja engedélyezett, mert a folyamat megtalálható az állapottáblában.

Asymmetric routing with ExpressRoute

Ezután egy ExpressRoute-kapcsolatcsoportot hoz létre a Microsoft által az ExpressRoute-on keresztül kínált szolgáltatások felhasználásához. A Microsoft minden más szolgáltatása az interneten keresztül érhető el. Az ExpressRoute-kapcsolathoz csatlakozó külön tűzfalat telepít a peremhálózaton. A Microsoft konkrétabb előtagokat hirdet meg a hálózaton az ExpressRoute-on keresztül bizonyos szolgáltatásokhoz. Az útválasztási infrastruktúra ezért ezeknél az előtagoknál az ExpressRoute elérés utat fogja előnyben részesíteni.

Ha nem hirdeti meg nyilvános IP-címeit a Microsoftnak az ExpressRoute-on keresztül. A Microsoft az interneten keresztül kommunikál az Ön nyilvános IP-címeivel. A hálózatról a Microsoftnak küldött forgalom az ExpressRoute-kapcsolatot használja, de a Microsofttól visszaküldött forgalom az internetes útvonalat fogja használni. Ha a peremhálózati tűzfal egy olyan folyamat válaszcsomagját látja, amelyről nem tud, eldobja ezeket a csomagokat.

Ha úgy dönt, hogy ugyanazt a hálózati címfordítási (NAT) készletet hirdeti meg az ExpressRoute és az internet számára. Hasonló problémákat fog tapasztalni a hálózatban lévő ügyfelekkel kapcsolatban a magánhálózati IP-címeken. Az olyan szolgáltatásokra vonatkozó kérések, mint a Windows Update, az interneten keresztül haladnak át, mivel ezeknek a szolgáltatásoknak az IP-címei nem az ExpressRoute-on keresztül vannak meghirdetve. A visszatérő forgalom azonban az ExpressRoute-on keresztül fog visszatérni. Mivel a Microsoft ugyanazt az alhálózati maszkot tartalmazó IP-címet kapott az internetről és az ExpressRoute-ból, az előnyben részesített elérési út mindig az ExpressRoute. Ha egy tűzfal vagy egy másik állapotalapú eszköz a hálózati peremhálózaton az ExpressRoute-kapcsolattal szemben nem rendelkezik korábbi információval egy folyamatról, az eldobja ezeket a csomagokat.

Megoldások az aszimmetrikus útválasztásra

Két lehetősége van az aszimmetrikus útválasztás problémájának megoldására. Az első az útválasztás, a második pedig egy forrásalapú NAT (SNAT) használatával történik.

Útválasztás

Győződjön meg arról, hogy a nyilvános IP-címek a megfelelő nagy kiterjedésű hálózati (WAN-) kapcsolatokon vannak meghirdetve. Ha például az internetet szeretné használni a forgalom hitelesítéséhez, az ExpressRoute-ot pedig a levelezési forgalomhoz. Ne hirdetje meg a Active Directory összevonási szolgáltatások (AD FS) (AD FS) nyilvános IP-címeit az ExpressRoute-on keresztül. Ügyeljen arra is, hogy ne tegye elérhetővé a helyszíni AD FS-kiszolgálót azoknak az IP-címeknek, amelyeket az útválasztó az ExpressRoute-on keresztül fogad. Az ExpressRoute-on keresztül kapott útvonalak konkrétabbak, ezért a rendszer az ExpressRoute-on keresztüli elérési utat részesíti előnyben a Microsoft felé irányuló hitelesítési forgalom esetén. Ha nem figyel arra, hogyan történik az útválasztás a hálózatban, aszimmetrikus útválasztási problémák merülhetnek fel.

Ha az ExpressRoute-ot szeretné használni a hitelesítéshez, győződjön meg arról, hogy az AD FS nyilvános IP-címeit NAT nélkül hirdeti meg az ExpressRoute-on keresztül. Ha így van konfigurálva, a Microsofttól érkező forgalom a helyszíni AD FS-kiszolgálóra halad át az ExpressRoute-on. A Hálózatról a Microsoft felé irányuló visszatérő forgalom az ExpressRoute-ot fogja használni, mert ez az előnyben részesített útvonal az interneten keresztül.

Forrásalapú NAT

Az aszimmetrikus útválasztási probléma megoldásának másik módja az SNAT használata. Például úgy dönt, hogy nem hirdeti meg egy helyszíni SMTP-kiszolgáló nyilvános IP-címét az ExpressRoute-on keresztül. Ehelyett az internetet szeretné használni az ilyen típusú kommunikációhoz. A Helyszíni SMTP-kiszolgálóra irányuló Microsoft-kérés bejárja az internetet. A beérkező kérelmet az SNAT használatával egy belső IP-címre irányítja át. Az SMTP-kiszolgálóról érkező visszatérő forgalom az ExpressRoute helyett a peremhálózati tűzfalra (amelyet a NAT-hoz használ). Ennek eredményeképpen a visszatérő forgalom az internetes útvonalat fogja használni.

Source-based NAT network configuration

Az aszimmetrikus útválasztás észlelése

A Traceroute a legjobb módszer annak vizsgálatához, hogy a forgalom a várt útvonalat járja-e be. Ha arra számít, hogy a helyszíni SMTP-kiszolgálóról a Microsoft felé irányuló forgalom átviszi az internetes útvonalat, a várt traceroute az SMTP-kiszolgálóról Microsoft 365. Az eredmény azt ellenőrzi, hogy a forgalom valóban elhagyja-e a hálózatot az internet felé, nem pedig az ExpressRoute felé.