Perutean asimetris dengan beberapa jalur jaringan
Artikel ini menjelaskan bagaimana lalu lintas jaringan mungkin mengambil jalur yang berbeda ketika beberapa rute tersedia antara sumber jaringan dan tujuan.
Catatan
- Artikel ini membahas masalah yang mungkin terjadi dengan perutean asimetris dalam jaringan dengan beberapa tautan ke tujuan. Ini tidak boleh digunakan sebagai referensi untuk merancang jaringan dengan perutean asimetris, karena Microsoft tidak merekomendasikan atau mendukung arsitektur ini.
Ada dua konsep yang perlu Anda ketahui untuk memahami perutean asimetris. Yang pertama adalah efek dari beberapa jalur jaringan. Yang lainnya adalah bagaimana perangkat, seperti firewall menjaga status. Jenis perangkat ini disebut perangkat stateful. Ketika kedua faktor ini digabungkan, keduanya dapat membuat skenario yang lalu lintas jaringannya diturunkan oleh perangkat yang stateful. Lalu lintas diturunkan karena tidak mendeteksi bahwa lalu lintas berasal dari dirinya sendiri.
Beberapa jalur jaringan
Ketika jaringan perusahaan hanya memiliki satu tautan ke internet melalui penyedia layanan internet, semua lalu lintas ke dan dari internet menempuh jalur yang sama. Adalah umum bahwa perusahaan membeli beberapa sirkuit untuk membuat jalur redundan guna meningkatkan waktu aktif jaringan. Dengan jenis konfigurasi ini, ada kemungkinan lalu lintas keluar dari satu tautan ke internet dan kembali melalui tautan yang berbeda. Skenario ini umumnya dikenal sebagai perutean asimetris. Dalam perutean asimetris, lalu lintas jaringan kembali mengambil jalur yang berbeda dari arus keluar asli.
Meskipun perutean asimetris biasanya terjadi ketika keluar ke internet. Perutean ini juga terjadi ketika kombinasi beberapa jalur ditetapkan. Contoh pertama adalah ketika Anda memiliki jalur internet dan jalur privat yang masuk ke tujuan yang sama. Contoh kedua adalah ketika Anda memiliki beberapa jalur privat yang juga akan masuk ke tujuan yang sama.
Setiap router di sepanjang jalur antara sumber dan tujuan menghitung jalur terbaik yang harus diambil untuk mencapai tujuan. Router menentukan kemungkinan jalur terbaik berdasarkan dua faktor utama:
- Perutean di antara jaringan eksternal didasarkan pada protokol perutean, Border Gateway Protocol (BGP). BGP mengambil iklan dari tetangga dan menjalankannya melalui serangkaian langkah untuk menentukan jalur terbaik ke tujuan yang dimaksud. Ini menyimpan jalur terbaik di tabel peruteannya.
- Panjang subnet mask yang terkait dengan rute memengaruhi jalur perutean. Jika router menerima beberapa iklan untuk alamat IP yang sama, router memilih jalur dengan subnet mask yang lebih panjang karena dianggap sebagai rute yang lebih spesifik.
Perangkat stateful
Router melihat header IP paket untuk tujuan perutean. Beberapa perangkat terlihat lebih dalam di dalam paket. Biasanya, perangkat ini melihat Layer 4 - Protokol Kendali Transmisi (TCP) atau Protokol Datagram Pengguna (UDP), atau bahkan header Layer 7 (Lapisan Aplikasi). Jenis perangkat ini adalah perangkat keamanan atau perangkat pengoptimalan bandwidth.
Firewall adalah contoh umum perangkat stateful. Firewall mengizinkan atau menolak paket untuk melewati antarmukanya berdasarkan berbagai kriteria. Kriteria ini termasuk, tetapi tidak terbatas pada protokol, port TCP/UDP, dan header URL. Tingkat pemeriksaan paket ini dapat menempatkan muatan pemrosesan yang berat pada perangkat.
Untuk meningkatkan performa, firewall memeriksa paket pertama aliran. Jika firewall mengizinkan paket melewati antarmukanya, informasi aliran akan disimpan dalam tabel statusnya. Tiap paket berikutnya yang terkait dengan alur ini kemudian diizinkan berdasarkan penentuan awal. Paket yang merupakan bagian dari alur yang ada dapat tiba di firewall yang bukan asal paket tersebut. Karena tidak memiliki informasi status sebelumnya mengenai alur awal, firewall menurunkan paket.
Perutean asimetris dengan ExpressRoute
Saat Anda tersambung ke Microsoft melalui Azure ExpressRoute, jaringan Anda berubah seperti ini:
- Anda memiliki beberapa tautan ke Microsoft. Satu tautan adalah koneksi Internet Anda yang ada dan yang lainnya adalah melalui koneksi ExpressRoute Anda. Lalu lintas tertentu yang ditujukan untuk Microsoft mungkin keluar melalui koneksi internet, tetapi kembali melalui koneksi ExpressRoute Anda. Hal yang sama juga dapat terjadi ketika lalu lintas keluar melewati ExpressRoute, tetapi kembali melalui jalur internet.
- Anda menerima alamat IP yang lebih spesifik dari sirkuit ExpressRoute. Jadi, ketika lalu lintas dari jaringan Anda masuk ke Microsoft untuk layanan yang ditawarkan melalui ExpressRoute, router Anda selalu lebih suka koneksi ExpressRoute.
Untuk memahami efek dari bagaimana kedua perubahan ini ada di jaringan, mari kita pertimbangkan beberapa skenario. Sebagai contoh, Anda memiliki sirkuit ke internet dan Anda mengonsumsi semua layanan Microsoft melalui internet. Lalu lintas dari jaringan Anda ke dan dari Microsoft melintasi tautan internet yang sama dan melewati firewall. Firewall merekam alur ketika melihat paket pertama. Tiap paket berikutnya dari percakapan itu diizinkan karena aliran ada dalam tabel status.
Anda selanjutnya memunculkan sirkuit ExpressRoute untuk mengonsumsi layanan yang ditawarkan oleh Microsoft melalui ExpressRoute. Semua layanan lain dari Microsoft dikonsumsi melalui internet. Anda menyebarkan firewall terpisah di tepi Anda yang terhubung ke koneksi ExpressRoute. Microsoft menetapkan awalan yang lebih spesifik ke jaringan Anda melalui ExpressRoute untuk layanan tertentu. Infrastruktur perutean Anda memilih ExpressRoute sebagai jalur pilihan untuk awalan tersebut.
Jika Anda tidak menetapkan alamat IP publik ke Microsoft melalui ExpressRoute. Microsoft berkomunikasi dengan alamat IP publik Anda melalui internet. Lalu lintas yang dikirim dari jaringan Anda ke Microsoft menggunakan koneksi ExpressRoute tetapi lalu lintas kembali dari Microsoft menggunakan jalur internet. Ketika firewall di tepi Anda melihat paket respons untuk alur yang tidak diketahuinya, firewall akan menjatuhkan paket tersebut.
Jika Anda memilih untuk menetapkan kumpulan terjemahan alamat jaringan (NAT) yang sama untuk ExpressRoute dan untuk internet. Anda melihat masalah serupa dengan klien di jaringan Anda pada alamat IP privat. Permintaan untuk layanan seperti Windows Update akan keluar melalui internet karena alamat IP untuk layanan ini tidak ditetapkan melalui ExpressRoute. Namun, lalu lintas kembali melalui ExpressRoute. Karena Microsoft menerima alamat IP dengan subnet mask yang sama dari internet dan ExpressRoute, jalur pilihannya selalu ExpressRoute. Jika firewall atau perangkat stateful lain di tepi jaringan Anda yang menghadap ke koneksi ExpressRoute tidak memiliki informasi sebelumnya tentang alur, firewall akan menghilangkan paket tersebut.
Solusi perutean asimetris
Anda memiliki dua opsi yang tersedia untuk memecahkan masalah perutean asimetris. Yang pertama adalah melalui perutean dan yang kedua adalah dengan menggunakan NAT berbasis sumber (SNAT).
Perutean
Pastikan alamat IP publik Anda ditetapkan ke tautan jaringan area luas (WAN) yang sesuai. Misalnya, jika Anda ingin menggunakan internet untuk lalu lintas autentikasi dan ExpressRoute untuk lalu lintas email Anda. Jangan tetapkan alamat IP publik Layanan Federasi Direktori Aktif (AD FS) Anda melalui ExpressRoute. Pastikan juga untuk tidak mengekspos server Layanan Federasi Direktori Aktif lokal Anda ke alamat IP yang diterima router melalui ExpressRoute. Rute yang diterima melalui ExpressRoute lebih spesifik sehingga menjadikan ExpressRoute jalur pilihan untuk lalu lintas autentikasi ke Microsoft. Jika Anda tidak memperhatikan bagaimana perutean dilakukan di jaringan Anda, masalah perutean asimetris dapat muncul.
Jika Anda ingin menggunakan ExpressRoute untuk autentikasi, pastikan Anda menetapkan alamat IP publik Layanan Federasi Direktori Aktif melalui ExpressRoute tanpa NAT. Ketika dikonfigurasi dengan cara ini, lalu lintas yang berasal dari Microsoft yang masuk ke server Layanan Federasi Direktori Aktif lokal Anda akan melewati ExpressRoute. Lalu lintas kembali dari jaringan Anda yang masuk ke Microsoft menggunakan ExpressRoute karena ini adalah rute yang disukai melalui internet.
NAT berbasis sumber
Cara lain untuk mengatasi masalah perutean asimetris adalah dengan menggunakan SNAT. Misalnya, Anda memilih untuk tidak menetapkan alamat IP publik server Protokol Transfer Surat Sederhana (SMTP) lokal melalui ExpressRoute. Sebaliknya Anda berniat menggunakan internet untuk jenis komunikasi ini. Permintaan yang berasal dari Microsoft yang masuk ke server SMTP lokal Anda melintasi internet. Anda melakukan SNAT permintaan masuk ke alamat IP internal. Lalu lintas kembali dari server SMTP masuk ke firewall tepi (yang Anda gunakan untuk NAT) alih-alih melalui ExpressRoute. Akibatnya, lalu lintas kembali mengambil jalur internet.
Deteksi perutean asimetris
Traceroute adalah cara terbaik untuk memastikan bahwa lalu lintas jaringan Anda melintasi jalur yang diharapkan. Jika Anda mengharapkan lalu lintas dari server SMTP lokal Anda ke Microsoft mengambil jalur internet, traceroute yang diharapkan berasal dari server SMTP ke Microsoft 365. Hasilnya memvalidasi bahwa lalu lintas memang meninggalkan jaringan Anda menuju internet dan tidak menuju ExpressRoute.