Aszimmetrikus útválasztás több hálózati elérési úttal

  • Cikk

Ez a cikk azt ismerteti, hogy a hálózati forgalom hogyan haladhat különböző útvonalakon, ha több útvonal érhető el a hálózati forrás és a cél között.

Az aszimmetrikus útválasztás megértéséhez két fogalmat kell ismernie. Az első a több hálózati útvonal hatása. A másik az, hogy az eszközök, például a tűzfalak hogyan őrzik meg az állapotot. Az ilyen típusú eszközöket állapot-nyilvántartó eszközöknek nevezzük. A két tényező kombinálásakor olyan forgatókönyvet hozhatnak létre, amelyben az állapotalapú eszköz elveti a hálózati forgalmat. A rendszer elveti a forgalmat, mert nem észlelte, hogy a forgalom önmagából származik.

Több hálózati elérési út

Ha egy nagyvállalati hálózat csak egy internetes kapcsolattal rendelkezik egy internetszolgáltatón keresztül, az internetre érkező és onnan érkező összes forgalom ugyanazt az utat járja be. Gyakori, hogy a vállalatok több kapcsolatcsoportot vásárolnak, hogy redundáns útvonalakat hozzanak létre a hálózati üzemidő javítása érdekében. Ilyen típusú konfiguráció esetén lehetséges, hogy a forgalom egy internetes hivatkozáson keresztül tér vissza, és egy másik hivatkozáson keresztül tér vissza. Ezt a forgatókönyvet gyakran aszimmetrikus útválasztásnak nevezik. Az aszimmetrikus útválasztás során a visszatérési hálózati forgalom más útvonalat vesz fel, mint az eredeti kimenő forgalom.

Több elérési úttal rendelkező hálózatok

Bár az aszimmetrikus útválasztás általában az internetre való ugráskor fordul elő. Ez akkor is előfordul, ha több útvonal kombinációját vezetik be. Az első példa az, ha van egy internetes elérési útja és egy privát elérési útja, amely ugyanahhoz a célhoz vezet. A második példa az, ha több privát elérési út is van, amelyek szintén ugyanarra a célhelyre kerülnek.

A forrás és a cél közötti útvonal minden útválasztója kiszámítja a legjobb útvonalat a cél eléréséhez. Az útválasztó két fő tényező alapján határozza meg a lehető legjobb útvonalat:

  • A külső hálózatok közötti útválasztást az általában csak BGP néven emlegetett útválasztási protokoll, a peremátjáró protokoll (Border Gateway Protocol) határozza meg. A BGP átveszi a szomszédok hirdetményeit, és különböző műveleteket futtat rajtuk annak érdekében, hogy megállapítsa a célhoz vezető legjobb utat. A legjobb útvonalat az útválasztó beírja az útvonaltáblába.
  • Az útvonalhoz társított alhálózati maszk hossza befolyásolja az útválasztási útvonalakat. Ha egy útválasztó több hirdetést kap ugyanahhoz az IP-címhez, az útválasztó a hosszabb alhálózati maszkot tartalmazó útvonalat választja ki, mert ez egy konkrétabb útvonalnak számít.

Állapot-nyilvántartó eszközök

Az útválasztók az útválasztás megállapítása során a csomag IP-fejlécét veszik alapul. Bizonyos eszközök még mélyebben megvizsgálják a csomagot. Ezek az eszközök általában a 4. réteg – Átviteli vezérlési protokoll (TCP) vagy a User Datagram Protocol (UDP) vagy akár a 7. rétegbeli (Application Layer) fejléceket tekintik meg. Ezek az eszközök általában biztonsági vagy sávszélesség-optimalizáló eszközök.

Gyakori állapot-nyilvántartó eszközök például a tűzfalak. A tűzfal különböző feltételek alapján engedélyezi vagy elutasítja a csomagok továbbítását az interfészeken. Ezek a feltételek többek között a protokoll, a TCP/UDP-port és az URL-fejlécek. A csomagvizsgálat ezen szintje nagy feldolgozási terhelést okozhat az eszközön.

A teljesítmény javítása érdekében a tűzfalak általában csak az adatfolyamok első csomagját vizsgálják meg. Ha lehetővé teszi, hogy a csomag áthaladjon az interfészeken, a folyamatinformációkat az állapottáblában tárolja. A folyamathoz kapcsolódó minden ezt követő csomag engedélyezve lesz a kezdeti meghatározás alapján. Előfordulhat, hogy egy meglévő folyamat részét képező csomag arra a tűzfalra érkezik, amelyből nem származik. Mivel nincs előzetes állapotinformációja a kezdeti folyamatról, a tűzfal elveti a csomagot.

Aszimmetrikus útválasztás az ExpressRoute-tal

Ha az Azure ExpressRoute segítségével csatlakozik a Microsofthoz, a hálózata az alábbiak szerint módosul:

  • Több kapcsolat jön létre a Microsofthoz. Az egyik hivatkozás a meglévő internetkapcsolat, a másik pedig az ExpressRoute-kapcsolaton keresztül. Előfordulhat, hogy a Microsoftnak szánt bizonyos forgalom az internetkapcsolaton keresztül halad át, de az ExpressRoute-kapcsolaton keresztül tér vissza. Ugyanez akkor is előfordulhat, ha a forgalom az ExpressRoute-on halad át, de az internetes útvonalon tér vissza.
  • Pontosabb IP-címeket kapott az ExpressRoute-kapcsolatcsoporttól. Így amikor a hálózatról a Microsoft felé irányuló forgalom az ExpressRoute-on keresztül kínált szolgáltatásokhoz jut el, az útválasztók mindig az ExpressRoute-kapcsolatot részesítik előnyben.

A két változás hálózatra gyakorolt hatásának megértéséhez tekintsünk át néhány forgatókönyvet. Például van egy kapcsolatcsoportja az internethez, és az interneten keresztül használja az összes Microsoft-szolgáltatást. A hálózatról a Microsoft felé és onnan érkező forgalom ugyanazt az internetes kapcsolatot járja be, és egy tűzfalon halad át. A tűzfal rögzíti a folyamatot, amikor meglátja az első csomagot. A beszélgetés minden azt követő csomagja engedélyezett, mert a folyamat az állapottáblában található.

Aszimmetrikus útválasztás az ExpressRoute-tal

Ezután létre kell hoznia egy ExpressRoute-kapcsolatcsoportot, amely a Microsoft által az ExpressRoute-on keresztül kínált szolgáltatásokat használja. A Microsoft minden más szolgáltatása az interneten keresztül érhető el. Egy külön tűzfalat helyez üzembe a peremhálózaton, amely csatlakozik az ExpressRoute-kapcsolathoz. A Microsoft konkrétabb előtagokat hirdet a hálózatra az ExpressRoute-on keresztül bizonyos szolgáltatások esetében. Az útválasztási infrastruktúra ezért ezeknél az előtagoknál az ExpressRoute elérés utat fogja előnyben részesíteni.

Ha nem hirdeti meg nyilvános IP-címeit a Microsoftnak az ExpressRoute-on keresztül. A Microsoft az interneten keresztül kommunikál az Ön nyilvános IP-címeivel. A hálózatról a Microsoftnak küldött forgalom az ExpressRoute-kapcsolatot használja, a Microsofttól érkező visszatérési forgalom azonban az internetes útvonalat használja. Ha a peremhálózaton lévő tűzfal egy olyan folyamat válaszcsomagját látja, amelyről nem tud, akkor a rendszer elveti ezeket a csomagokat.

Ha úgy dönt, hogy ugyanazt a hálózati címfordítási (NAT) készletet hirdeti az ExpressRoute-hoz és az internethez. Hasonló problémákat tapasztal a hálózatban lévő ügyfelekkel a magánhálózati IP-címeken. Az olyan szolgáltatásokra vonatkozó kérések, mint a Windows Update, az interneten keresztül mennek keresztül, mert az ilyen szolgáltatások IP-címei nem az ExpressRoute-on keresztül vannak meghirdetve. A visszaküldött forgalom azonban az ExpressRoute-on keresztül tér vissza. Mivel a Microsoft ugyanazt az alhálózati maszkot tartalmazó IP-címet kapott az internetről és az ExpressRoute-ból, az előnyben részesített elérési út mindig az ExpressRoute. Ha egy tűzfal vagy egy másik állapotalapú eszköz a hálózati peremhálózaton az ExpressRoute-kapcsolattal szemben nem rendelkezik korábbi információval egy folyamatról, az elveti ezeket a csomagokat.

Megoldások az aszimmetrikus útválasztásra

Két lehetősége van az aszimmetrikus útválasztás problémájának megoldására. Az első az útválasztás, a második pedig egy forrásalapú NAT (SNAT) használatával.

Útválasztás

Győződjön meg arról, hogy a nyilvános IP-címek megfelelő széles körű hálózati (WAN-) hivatkozásokon vannak meghirdetve. Ha például az internetet szeretné használni a hitelesítési forgalomhoz, az ExpressRoute-ot pedig a levelezési forgalomhoz. Ne hirdetje meg a Active Directory összevonási szolgáltatások (AD FS) (AD FS) nyilvános IP-címeit az ExpressRoute-on keresztül. Ügyeljen arra is, hogy ne tegye elérhetővé a helyszíni AD FS-kiszolgálót olyan IP-címeknek, amelyeket az útválasztó az ExpressRoute-on keresztül kap. Az ExpressRoute-on keresztül kapott útvonalak konkrétabbak, ezért a rendszer az ExpressRoute-on keresztüli elérési utat részesíti előnyben a Microsoft felé irányuló hitelesítési forgalom esetén. Ha nem figyel arra, hogyan történik az útválasztás a hálózatban, aszimmetrikus útválasztási problémák merülhetnek fel.

Ha az ExpressRoute-ot szeretné használni a hitelesítéshez, győződjön meg arról, hogy NAT nélkül hirdeti meg az AD FS nyilvános IP-címeit az ExpressRoute-on. Ha így van konfigurálva, a Microsofttól származó forgalom a helyszíni AD FS-kiszolgálóra kerül át az ExpressRoute-on. A Microsoft felé vezető hálózatról érkező forgalom expressRoute-ot használ, mert ez az előnyben részesített útvonal az interneten keresztül.

Forrásalapú NAT

Az aszimmetrikus útválasztási probléma megoldásának másik módja az SNAT használata. Például úgy dönt, hogy nem hirdeti meg a helyszíni Simple Mail Transfer Protocol (SMTP) kiszolgáló nyilvános IP-címét az ExpressRoute-on keresztül. Ehelyett az internetet szeretné használni az ilyen típusú kommunikációhoz. A Helyszíni SMTP-kiszolgálóra irányuló, a Microsofttól származó kérés bejárja az internetet. A beérkező kérelmet az SNAT használatával egy belső IP-címre irányítja át. Az SMTP-kiszolgálóról érkező forgalom az ExpressRoute helyett a peremhálózati tűzfalra kerül (amelyet a NAT-hoz használ). Ennek eredményeként a visszatérési forgalom az internetes útvonalat veszi át.

A forrásalapú NAT hálózati konfigurációja

Az aszimmetrikus útválasztás észlelése

A Traceroute a legjobb módszer annak vizsgálatához, hogy a forgalom a várt útvonalat járja-e be. Ha arra számít, hogy a helyszíni SMTP-kiszolgálóról a Microsoft felé érkező forgalom az internetes útvonalon halad, a várt nyomkövetési útvonal az SMTP-kiszolgálóról a Microsoft 365-be kerül. Az eredmény ellenőrzi, hogy a forgalom valóban az internet felé, nem pedig az ExpressRoute felé halad-e.