Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan bagaimana lalu lintas jaringan mungkin mengambil jalur yang berbeda ketika beberapa rute tersedia antara sumber jaringan dan tujuan.
Catatan
- Artikel ini membahas masalah yang mungkin terjadi dengan perutean asimetris dalam jaringan dengan beberapa tautan ke tujuan. Ini tidak boleh digunakan sebagai referensi untuk merancang jaringan dengan perutean asimetris, karena Microsoft tidak merekomendasikan atau mendukung arsitektur ini.
Ada dua konsep yang perlu Anda ketahui untuk memahami routing asimetris. Yang pertama adalah efek dari beberapa jalur jaringan. Satu lagi adalah bagaimana perangkat, seperti firewall, mempertahankan status. Jenis perangkat ini disebut perangkat yang memiliki status atau perangkat "stateful". Ketika kedua faktor ini digabungkan, ini dapat menciptakan skenario di mana lalu lintas jaringan dibuang oleh perangkat stateful. Lalu lintas dihentikan karena tidak mendeteksi bahwa lalu lintas berasal dari dirinya sendiri.
Beberapa jalur jaringan
Ketika jaringan perusahaan hanya memiliki satu tautan ke internet melalui penyedia layanan internet, semua lalu lintas ke dan dari internet menempuh jalur yang sama. Adalah umum bahwa perusahaan membeli beberapa sirkuit untuk membuat jalur redundan guna meningkatkan waktu aktif jaringan. Dengan jenis konfigurasi ini, ada kemungkinan lalu lintas keluar dari satu tautan ke internet dan kembali melalui tautan yang berbeda. Skenario ini umumnya dikenal sebagai perutean asimetris. Dalam perutean asimetris, lalu lintas jaringan kembali melewati jalur yang berbeda dari aliran keluar asli.
Meskipun perutean asimetris biasanya terjadi ketika mengakses internet. Ini juga terjadi ketika kombinasi beberapa jalur diperkenalkan. Contoh pertama adalah ketika Anda memiliki jalur internet dan jalur privat yang masuk ke tujuan yang sama. Contoh kedua adalah ketika Anda memiliki beberapa jalur privat yang juga akan menuju ke tujuan yang sama.
Setiap router di sepanjang jalur antara sumber dan tujuan menghitung jalur terbaik yang harus diambil untuk mencapai tujuan. Router menentukan kemungkinan jalur terbaik berdasarkan dua faktor utama:
- Pengarutan di antara jaringan eksternal didasarkan pada protokol pengarutan, Border Gateway Protocol (BGP). BGP mengambil iklan dari tetangga dan menjalankannya melalui serangkaian langkah untuk menentukan jalur terbaik ke tujuan yang dimaksud. Ini menyimpan jalur terbaik di tabel peruteannya.
- Panjang subnet mask yang terkait dengan rute memengaruhi jalur perutean. Jika router menerima beberapa iklan untuk alamat IP yang sama, router memilih jalur dengan subnet mask yang lebih panjang karena dianggap sebagai rute yang lebih spesifik.
Perangkat berstatus
Router melihat header IP paket untuk tujuan perutean. Beberapa perangkat mampu melihat lebih jauh ke dalam paket. Biasanya, perangkat ini melihat Layer 4 - Protokol Kendali Transmisi (TCP) atau Protokol Datagram Pengguna (UDP), atau bahkan header Layer 7 (Lapisan Aplikasi). Jenis perangkat ini adalah perangkat keamanan atau perangkat pengoptimalan bandwidth.
Firewall adalah sebuah contoh umum perangkat stateful. Firewall mengizinkan atau menolak paket untuk melewati antarmukanya berdasarkan berbagai kriteria. Kriteria ini termasuk, tetapi tidak terbatas pada protokol, port TCP/UDP, dan header URL. Tingkat pemeriksaan paket ini dapat menempatkan muatan pemrosesan yang berat pada perangkat.
Untuk meningkatkan performa, firewall memeriksa paket pertama aliran. Jika firewall mengizinkan paket melewati antarmukanya, informasi aliran akan disimpan dalam tabel statusnya. Tiap paket berikutnya yang terkait dengan alur ini kemudian diizinkan berdasarkan penentuan awal. Paket yang merupakan bagian dari alur yang ada dapat tiba di firewall yang bukan asal paket tersebut. Karena tidak memiliki informasi status sebelumnya mengenai alur awal, firewall menurunkan paket.
Perutean asimetris dengan ExpressRoute
Saat Anda tersambung ke Microsoft melalui Azure ExpressRoute, jaringan Anda berubah seperti ini:
- Anda memiliki beberapa tautan ke Microsoft. Satu tautan adalah koneksi Internet Anda yang ada dan yang lainnya adalah melalui koneksi ExpressRoute Anda. Lalu lintas tertentu yang ditujukan untuk Microsoft mungkin keluar melalui koneksi internet, tetapi kembali melalui koneksi ExpressRoute Anda. Hal yang sama juga dapat terjadi ketika lalu lintas keluar melewati ExpressRoute, tetapi kembali melalui jalur internet.
- Anda menerima alamat IP yang lebih spesifik dari sirkuit ExpressRoute. Jadi, ketika lalu lintas dari jaringan Anda masuk ke Microsoft untuk layanan yang ditawarkan melalui ExpressRoute, router Anda selalu lebih suka koneksi ExpressRoute.
Untuk memahami efek dari bagaimana kedua perubahan ini ada di jaringan, mari kita pertimbangkan beberapa skenario. Sebagai contoh, Anda memiliki sirkuit ke internet dan Anda mengonsumsi semua layanan Microsoft melalui internet. Lalu lintas dari jaringan Anda ke dan dari Microsoft melintasi tautan internet yang sama dan melewati firewall. Firewall merekam alur ketika melihat paket pertama. Tiap paket berikutnya dari percakapan itu diizinkan karena aliran ada dalam tabel status.
Anda selanjutnya memunculkan sirkuit ExpressRoute untuk mengonsumsi layanan yang ditawarkan oleh Microsoft melalui ExpressRoute. Semua layanan lain dari Microsoft dikonsumsi melalui internet. Anda menyebarkan firewall terpisah pada edge Anda yang terhubung dengan koneksi ExpressRoute. Microsoft mengiklankan awalan lebih spesifik ke jaringan Anda melalui ExpressRoute untuk layanan tertentu. Infrastruktur perutean Anda memilih ExpressRoute sebagai jalur yang diutamakan untuk awalan tersebut.
Jika Anda tidak mengumumkan alamat IP publik Anda ke Microsoft melalui ExpressRoute. Microsoft berkomunikasi dengan alamat IP publik Anda melalui internet. Lalu lintas yang dikirim dari jaringan Anda ke Microsoft menggunakan koneksi ExpressRoute tetapi lalu lintas kembali dari Microsoft menggunakan jalur internet. Ketika firewall di jaringan tepi Anda melihat paket respons untuk alur yang tidak diketahuinya, maka akan menjatuhkan paket tersebut.
Jika Anda memilih untuk mengiklankan kumpulan NAT yang sama untuk ExpressRoute dan internet. Anda melihat masalah serupa dengan klien di jaringan Anda pada alamat IP privat. Permintaan untuk layanan seperti Windows Update akan dikeluarkan melalui internet karena alamat IP untuk layanan ini tidak dialokasikan melalui ExpressRoute. Namun, lalu lintas kembali melalui ExpressRoute. Karena Microsoft menerima alamat IP dengan subnet mask yang sama dari internet dan ExpressRoute, jalur pilihannya selalu ExpressRoute. Jika firewall atau perangkat stateful lain di tepi jaringan Anda yang menghadap ke koneksi ExpressRoute tidak memiliki informasi sebelumnya tentang alur, firewall akan menghilangkan paket tersebut.
Solusi perutean asimetris
Anda memiliki dua opsi yang tersedia untuk memecahkan masalah perutean asimetris. Yang pertama adalah melalui perutean dan yang kedua adalah dengan menggunakan NAT berbasis sumber (SNAT).
Perutean
Pastikan alamat IP publik Anda diumumkan ke koneksi jaringan area luas (WAN) yang sesuai. Misalnya, jika Anda ingin menggunakan internet untuk lalu lintas autentikasi dan ExpressRoute untuk lalu lintas email Anda. Jangan memublikasikan alamat IP publik AD FS (Layanan Federasi Direktori Aktif) Anda melalui ExpressRoute. Pastikan juga untuk tidak mengekspos server AD FS lokal Anda ke alamat IP yang diterima router melalui ExpressRoute. Rute yang diterima melalui ExpressRoute lebih spesifik sehingga menjadikan ExpressRoute jalur pilihan untuk lalu lintas autentikasi ke Microsoft. Jika Anda tidak memperhatikan bagaimana perutean dilakukan di jaringan Anda, masalah perutean asimetris dapat muncul.
Jika Anda ingin menggunakan ExpressRoute untuk autentikasi, pastikan Anda mengiklankan alamat IP publik AD FS melalui ExpressRoute tanpa NAT (Network Address Translation). Ketika dikonfigurasi dengan cara ini, lalu lintas yang berasal dari Microsoft yang masuk ke server Layanan Federasi Direktori Aktif lokal Anda akan melewati ExpressRoute. Lalu lintas kembali dari jaringan Anda yang masuk ke Microsoft menggunakan ExpressRoute karena ini adalah rute yang disukai melalui internet.
NAT berbasis sumber
Cara lain untuk mengatasi masalah perutean asimetris adalah dengan menggunakan SNAT. Misalnya, Anda memilih untuk tidak mengumumkan alamat IP publik server Protokol Transfer Surat Sederhana (SMTP) di lokasi melalui ExpressRoute. Sebaliknya Anda berniat menggunakan internet untuk jenis komunikasi ini. Permintaan yang berasal dari Microsoft yang masuk ke server SMTP lokal Anda melintasi internet. Anda melakukan SNAT permintaan masuk ke alamat IP internal. Lalu lintas kembali dari server SMTP masuk ke firewall tepi (yang Anda gunakan untuk NAT) alih-alih melalui ExpressRoute. Akibatnya, lalu lintas pengembalian mengambil jalur internet.
Deteksi perutean asimetris
Traceroute adalah cara terbaik untuk memastikan bahwa lalu lintas jaringan Anda melintasi jalur yang diharapkan. Jika Anda mengharapkan lalu lintas dari server SMTP lokal Anda ke Microsoft melalui jalur internet, traceroute yang diharapkan adalah dari server SMTP ke Microsoft 365. Hasilnya memvalidasi bahwa lalu lintas memang meninggalkan jaringan Anda menuju internet dan tidak menuju ExpressRoute.