Roteamento assimétrico com vários caminhos de rede

  • Artigo

Este artigo explica como o tráfego de rede podem adotar caminhos diferentes quando há várias rotas disponíveis entre a origem e o destino da rede.

Há dois conceitos que você precisa conhecer para entender o roteamento assimétrico. O primeiro é o efeito de vários caminhos de rede. O outro é como dispositivos, como um firewall, mantêm o estado. Esses tipos de dispositivos são chamados de dispositivos com estado. Quando esses dois fatores são combinados, eles podem criar um cenário no qual o tráfego de rede é descartado pelo dispositivo com estado. O tráfego é descartado porque não detectou que o tráfego se originou de si mesmo.

Vários caminhos de rede

Quando uma rede corporativa tem apenas um link com a internet através de seu provedor de serviços de internet, todo o tráfego para e da internet percorre o mesmo caminho. É comum que as empresas adquiram vários circuitos para criar caminhos redundantes para melhorar o tempo de atividade da rede. Com esse tipo de configuração, é possível que o tráfego saia de um link para a internet e retorne por meio de um link diferente. Esse cenário é conhecido como roteamento assimétrico. No roteamento assimétrico, tráfego de rede de retorno pega um caminho diferente do fluxo original de saída.

Rede com vários caminhos

Embora o roteamento assimétrico geralmente ocorra ao ir para a internet. Isso também acontece quando uma combinação de vários caminhos é introduzida. O primeiro exemplo é quando você tem um caminho de internet e um caminho privado que vão para o mesmo destino. O segundo exemplo é quando você tem múltiplos caminhos privados que também vão para o mesmo destino.

Cada roteador ao longo do caminho entre a origem e o destino irá calcular o melhor caminho a ser seguido para chegar ao destino. O roteador determina o melhor caminho possível baseado em dois fatores principais:

  • O roteamento entre as redes externas é baseado em um protocolo de roteamento, BGP (Border Gateway Protocol). O BGP obtém os anúncios dos vizinhos e executa-os com várias etapas para determinar o melhor caminho para o destino pretendido. Ele armazena o melhor caminho em sua tabela de roteamento.
  • O comprimento de uma máscara da sub-rede associada a uma rota influencia os caminhos de roteamento. Se receber vários anúncios para o mesmo endereço IP, o roteador irá selecionar o caminho com a máscara de sub-rede mais longa, porque será considerado uma rota mais específica.

Dispositivos com estado

Os roteadores examinam o cabeçalho IP de um pacote para fazer o roteamento. Alguns dispositivos verificam ainda mais dentro do pacote. Normalmente, esses dispositivos examinam os cabeçalhos da Camada 4 (Protocolo de Controle de Transmissão (TCP) ou Protocolo do Datagrama de Usuário (UDP)) ou até mesmo da Camada 7 (Camada de Aplicativo). Esses tipos de dispositivos são dispositivos de otimização da largura de banda ou dispositivos de segurança.

O firewall é um exemplo comum de dispositivo com estado. Um firewall permite ou rejeita pacotes para passar pelas interfaces com base em vários critérios. Esses critérios incluem, mas não se limitam a protocolo, porta TCP/UDP e cabeçalhos de URL. Esse nível de inspeção de pacotes pode colocar uma pesada carga de processamento no dispositivo.

Para melhorar o desempenho, o firewall inspeciona o primeiro pacote de um fluxo. Se ele permitir que o pacote passe pelas interfaces, manterá as informações de fluxo em sua tabela de estado. Todos os pacotes seguintes relacionados a esse fluxo serão permitidos com base na determinação inicial. Um pacote que faz parte de um fluxo existente pode chegar ao firewall do qual ele não foi originado. Como não tem informações anteriores de estado sobre o fluxo inicial, o firewall descarta o pacote.

Roteamento assimétrico com o ExpressRoute

Quando você conecta a Microsoft por meio do ExpressRoute do Azure, sua rede muda da seguinte maneira:

  • Você tem vários links para a Microsoft. Um link é sua conexão com a internet existente, e o outro é por meio da sua conexão ExpressRoute. Determinado tráfego destinado à Microsoft pode passar pela conexão com a internet, mas retornar sobre a conexão do ExpressRoute. O mesmo também pode acontecer quando o tráfego passa pelo ExpressRoute, mas retorna pelo caminho da internet.
  • Você recebeu endereços de IP mais específicos do circuito do ExpressRoute. Assim, quando o tráfego da sua rede vai para a Microsoft para obter os serviços oferecidos por meio do ExpressRoute, seus roteadores sempre irão preferir a conexão do ExpressRoute.

Para entender o efeito de como essas duas alterações têm em uma rede, iremos considerar alguns cenários. Como exemplo, você tem um circuito para a internet e consome todos os serviços da Microsoft via internet. O tráfego de ida e volta de sua rede para a Microsoft atravessa o mesmo link da internet e passa pelo firewall. O firewall registra o fluxo quando vê o primeiro pacote. Todos os pacotes que podem ser revistos dessa conversa são permitidos, porque o fluxo existe na tabela de estado.

Roteamento assimétrico com o ExpressRoute

Em seguida, você coloca um circuito de ExpressRoute para consumir serviços oferecidos pela Microsoft por meio do ExpressRoute. Todos os outros serviços da Microsoft são consumidos por meio da internet. Você pode implantar um firewall separado em sua borda conectada à conexão do ExpressRoute. A Microsoft anuncia os prefixos mais específicos para sua rede por meio do ExpressRoute para alguns serviços. Sua infraestrutura de roteamento escolhe o ExpressRoute como o caminho preferido desses prefixos.

Se você não anunciar seus endereços de IP públicos para a Microsoft por meio do ExpressRoute. A Microsoft irá se comunicar com seus endereços IP públicos por meio da internet. O tráfego enviado de sua rede para a Microsoft usa a conexão do ExpressRoute, mas o tráfego de retorno da Microsoft usa o caminho da internet. Ao ver pacotes de resposta para um fluxo do qual não está a par, o firewall na sua borda irá descartar esses pacotes.

Se você optar por anunciar o mesmo pool de conversão de endereços de rede (NAT) para o ExpressRoute e para a internet. Você verá problemas semelhantes com os clientes de endereços IP privados na sua rede. As solicitações dos serviços como o Windows Update passarão pela internet, pois os endereços de IP para esses serviços não são divulgados pelo ExpressRoute. O tráfego de retorno, no entanto, volta por meio do ExpressRoute. Como a Microsoft recebeu um endereço de IP com a mesma máscara de sub-rede da internet e do ExpressRoute, o caminho preferencial é sempre o ExpressRoute. Se não tiverem informações anteriores sobre um fluxo, um firewall ou outro dispositivo com estado na borda da sua rede voltados para a conexão do ExpressRoute irão descartar esses pacotes.

Soluções do roteamento assimétrico

Você tem duas opções disponíveis para resolver o problema do roteamento assimétrico. A primeira é por meio do roteamento, e a segunda é usando uma NAT com base na origem (SNAT).

Roteamento

Certifique-se de que seus endereços de IP públicos são anunciados para os devidos links de rede de longa distância (WAN). Por exemplo, se você quiser usar a internet para tráfego de autenticação e o ExpressRoute para seu tráfego de e-mail. Não Anuncie seus endereços de IP públicos de Serviços de Federação do Active Directory (AD FS) por meio do ExpressRoute. Da mesma forma, não exponha um servidor AD FS local para os endereços de IP que o roteador recebe no ExpressRoute. As rotas recebidas no ExpressRoute são mais específicas, portanto, tornarão o ExpressRoute o caminho preferido do tráfego de autenticação para a Microsoft. Se você não estiver atento à forma como o roteamento é feito na sua rede, problemas assimétricos de roteamento podem surgir.

Se você quiser usar o ExpressRoute para a autenticação, verifique que está anunciando os endereços de IP públicos do AD FS no ExpressRoute sem a NAT. Quando configurado dessa forma, o tráfego originado da Microsoft que vai para seu servidor de AD FS local passará pelo ExpressRoute. O tráfego de retorno da sua rede que vai para a Microsoft usa o ExpressRoute porque se trata da rota preferida pela internet.

NAT com base em origem

Outra maneira de resolver o problema de roteamento assimétrico é usando o SNAT. Por exemplo, você opta por não anunciar o endereço de IP público de um servidor SMTP (Simple Mail Transfer Protocol) local no ExpressRoute. Em vez disso, você pretende usar a internet para esse tipo de comunicação. Uma solicitação que se origina na Microsoft e vai para o servidor SMTP local atravessa a internet. Você usa a SNAT na solicitação de entrada para um endereço IP interno. O tráfego de retorno do servidor SMTP vai para o firewall na borda (que você usa para NAT), em vez de voltar pelo ExpressRoute. Como resultado, o tráfego de retorno opta pelo caminho da internet.

Configuração de rede da NAT com base na origem

Detecção de roteamento assimétrico

O rastreamento de rotas é a melhor maneira de garantir que o tráfego de rede está atravessando o caminho esperado. Se você espera que o tráfego do servidor SMTP local para a Microsoft tome o caminho da Internet, o rastreamento de rotas esperado é do servidor SMTP para o Microsoft 365. O resultado valida que o tráfego realmente sai de sua rede para a internet, não na direção do ExpressRoute.