Share via

Asymmetrische routering met meerdere netwerkpaden

  • Artikel

In dit artikel wordt uitgelegd hoe netwerkverkeer verschillende paden kan aannemen wanneer er meerdere routes beschikbaar zijn tussen de netwerkbron en het doel.

Notitie

  • In dit artikel worden de problemen besproken die kunnen optreden met asymmetrische routering in een netwerk met meerdere koppelingen naar een bestemming. Het mag niet worden gebruikt als referentie voor het ontwerpen van een netwerk met asymmetrische routering, omdat Microsoft deze architectuur niet aanbeveelt of ondersteunt.

Er zijn twee concepten die u moet kennen om asymmetrische routering te begrijpen. De eerste is het effect van meerdere netwerkpaden. De andere is hoe apparaten, zoals een firewall, de status behouden. Dit soort apparaten worden stateful apparaten genoemd. Wanneer deze twee factoren worden gecombineerd, kunnen ze een scenario maken waarin netwerkverkeer wordt verwijderd door het stateful apparaat. Het verkeer wordt verwijderd omdat er niet is gedetecteerd dat het verkeer afkomstig is van zichzelf.

Meerdere netwerkpaden

Wanneer een bedrijfsnetwerk slechts één koppeling naar internet heeft via een internetprovider, loopt al het verkeer van en naar internet hetzelfde pad. Het is gebruikelijk dat bedrijven meerdere circuits aanschaffen om redundante paden te maken om de netwerktijd te verbeteren. Met dit type configuratie is het mogelijk dat verkeer één koppeling naar internet gaat en via een andere koppeling terugkeert. Dit scenario wordt ook wel asymmetrische routering genoemd. Bij asymmetrische routering neemt het retournetwerkverkeer een ander pad dan de oorspronkelijke uitgaande stroom.

Netwerk met meerdere paden

Hoewel asymmetrische routering meestal plaatsvindt wanneer u naar internet gaat. Het gebeurt ook wanneer een combinatie van meerdere paden wordt geïntroduceerd. Het eerste voorbeeld is wanneer u een internetpad en een privépad hebt dat naar dezelfde bestemming gaat. Het tweede voorbeeld is wanneer u meerdere privépaden hebt die ook naar dezelfde bestemming gaan.

Elke router langs het pad tussen de bron en bestemming berekent het beste pad dat u moet nemen om de bestemming te bereiken. De router bepaalt het best mogelijke pad op basis van twee hoofdfactoren:

  • Routering tussen externe netwerken is gebaseerd op een routeringsprotocol, het Border Gateway Protocol (BGP). BGP kijkt naar aankondigingen van neighbors en voert hier een aantal stappen op uit om het beste pad naar de bestemming te bepalen. Het beste pad wordt opgeslagen in de routeringstabel.
  • De routeringspaden worden beïnvloed door de lengte van een subnetmasker dat aan een route is gekoppeld. Als een router meerdere advertenties voor hetzelfde IP-adres ontvangt, selecteert de router het pad met het langere subnetmasker omdat deze als een specifiekere route wordt beschouwd.

Stateful apparaten

Routers kijken naar de IP-header van een pakket voor routeringsdoeleinden. Er zijn echter apparaten die nog dieper in het pakket kijken. Normaal gesproken kijken deze apparaten naar Layer 4- Transmission Control Protocol (TCP) of UDP (User Datagram Protocol) of zelfs Layer 7-headers (Application Layer). Dergelijke apparaten zijn beveiligingsapparaten of apparaten die de bandbreedte optimaliseren.

Een firewall is een algemeen voorbeeld van een stateful apparaat. Een firewall staat pakketten toe of weigert pakketten om de interfaces door te geven op basis van verschillende criteria. Deze criteria omvatten, maar zijn niet beperkt tot protocol, TCP/UDP-poort en URL-headers. Dit niveau van pakketinspectie kan een zware verwerkingsbelasting op het apparaat brengen.

Om de prestaties te verbeteren, inspecteert de firewall het eerste pakket van een stroom. Als het pakket de interfaces doorgeeft, blijft de stroominformatie in de statustabel behouden. Alle uitgevende pakketten met betrekking tot deze stroom worden vervolgens toegestaan op basis van de eerste bepaling. Een pakket dat deel uitmaakt van een bestaande stroom, kan binnenkomen bij de firewall waarvan het niet afkomstig is. Omdat er geen voorafgaande statusinformatie over de initiële stroom is, wordt het pakket door de firewall verwijderd.

Asymmetrische routering met ExpressRoute

Wanneer u via ExpressRoute verbinding maakt met Microsoft, verandert het netwerk als volgt:

  • U hebt meerdere koppelingen naar Microsoft. De ene koppeling is uw bestaande internetverbinding en de andere is via uw ExpressRoute-verbinding. Bepaalde verkeer dat bestemd is voor Microsoft, kan via de internetverbinding gaan, maar keer terug via uw ExpressRoute-verbinding. Hetzelfde kan ook gebeuren wanneer verkeer via ExpressRoute gaat, maar via het internetpad terugkeert.
  • U hebt specifiekere IP-adressen ontvangen van het ExpressRoute-circuit. Dus wanneer verkeer van uw netwerk naar Microsoft gaat voor services die via ExpressRoute worden aangeboden, geven uw routers altijd de voorkeur aan de ExpressRoute-verbinding.

Laten we een aantal scenario's overwegen om inzicht te krijgen in het effect van deze twee wijzigingen in een netwerk. Als voorbeeld hebt u een circuit naar internet en gebruikt u alle Microsoft-services via internet. Het verkeer van uw netwerk naar en van Microsoft doorkruist dezelfde internetkoppeling en passeert een firewall. De firewall registreert de stroom wanneer het eerste pakket wordt weergegeven. Alle uitgevende pakketten van dat gesprek zijn toegestaan omdat de stroom bestaat in de statustabel.

Asymmetrische routering met ExpressRoute

Vervolgens haalt u een ExpressRoute-circuit op om services te gebruiken die door Microsoft via ExpressRoute worden aangeboden. Alle andere services van Microsoft worden via internet gebruikt. U implementeert een afzonderlijke firewall aan uw rand die is verbonden met de ExpressRoute-verbinding. Microsoft adverteert specifiekere voorvoegsels naar uw netwerk via ExpressRoute voor bepaalde services. De routeringsinfrastructuur kiest ExpressRoute als het voorkeurspad voor die voorvoegsels.

Als u uw openbare IP-adressen niet via ExpressRoute naar Microsoft adverteert. Microsoft communiceert met uw openbare IP-adressen via internet. Verkeer dat van uw netwerk naar Microsoft wordt verzonden, maakt gebruik van de ExpressRoute-verbinding, maar het retourverkeer van Microsoft maakt gebruik van het internetpad. Wanneer de firewall aan uw rand een antwoordpakket ziet voor een stroom waarover de firewall niet weet, worden deze pakketten niet weergegeven.

Als u ervoor kiest om dezelfde NAT-pool (Network Address Translation) voor ExpressRoute en internet te adverteren. U ziet vergelijkbare problemen met de clients in uw netwerk op privé-IP-adressen. Aanvragen voor services zoals Windows Update worden via internet verzonden omdat IP-adressen voor deze services niet via ExpressRoute worden geadverteerd. Het retourverkeer komt echter terug via ExpressRoute. Omdat Microsoft een IP-adres met hetzelfde subnetmasker van internet en ExpressRoute heeft ontvangen, is het voorkeurspad altijd ExpressRoute. Als een firewall of een ander stateful apparaat aan de rand van uw netwerk met de ExpressRoute-verbinding geen voorafgaande informatie over een stroom heeft, worden deze pakketten verwijderd.

Oplossingen voor asymmetrische routering

U hebt twee beschikbare opties om het probleem van asymmetrische routering op te lossen. De eerste is via routering en de tweede is met behulp van een op bron gebaseerde NAT (SNAT).

Routering

Zorg ervoor dat uw openbare IP-adressen worden geadverteerd naar de juiste WAN-koppelingen (Wide Area Network). Als u bijvoorbeeld internet wilt gebruiken voor verificatieverkeer en ExpressRoute voor uw e-mailverkeer. Public IP-adressen van Active Directory Federation Services (AD FS) niet adverteren via ExpressRoute. Zorg er ook voor dat u uw on-premises AD FS-server niet blootstelt aan IP-adressen die de router ontvangt via ExpressRoute. Routes die worden ontvangen via ExpressRoute zijn specifieker, zodat ExpressRoute het voorkeurspad wordt voor verificatieverkeer naar Microsoft. Als u geen aandacht besteedt aan de wijze waarop routering wordt uitgevoerd in uw netwerk, kunnen er asymmetrische routeringsproblemen optreden.

Als u ExpressRoute wilt gebruiken voor verificatie, moet u ervoor zorgen dat u openbare AD FS-IP-adressen via ExpressRoute zonder NAT reclame maakt. Wanneer dit op deze manier is geconfigureerd, gaat het verkeer dat afkomstig is van Microsoft naar uw on-premises AD FS-server via ExpressRoute. Het retourverkeer van uw netwerk dat naar Microsoft gaat, gebruikt ExpressRoute omdat dit de voorkeursroute via internet is.

Brongebaseerde NAT

Een andere manier om het asymmetrische routeringsprobleem op te lossen, is door SNAT te gebruiken. U kiest er bijvoorbeeld voor om het openbare IP-adres van een on-premises SMTP-server (Simple Mail Transfer Protocol) niet te adverteren via ExpressRoute. In plaats daarvan bent u van plan internet te gebruiken voor dit type communicatie. Een aanvraag die afkomstig is van Microsoft die naar uw on-premises SMTP-server gaat, gaat via internet. U verzendt de inkomende aanvraag via SNAT naar een intern IP-adres. Het retourverkeer van de SMTP-server gaat naar de edge-firewall (die u voor NAT gebruikt) in plaats van via ExpressRoute. Als gevolg hiervan neemt het retourverkeer het internetpad.

Brongebaseerde NAT-netwerkconfiguratie

Detectie van asymmetrische routering

Traceroute is de beste manier om ervoor te zorgen dat uw netwerkverkeer via het verwachte pad loopt. Als u verwacht dat verkeer van uw on-premises SMTP-server naar Microsoft het internetpad neemt, is de verwachte traceroute van de SMTP-server naar Microsoft 365. Het resultaat valideert dat verkeer inderdaad uw netwerk verlaat naar internet en niet naar ExpressRoute.