Encaminhamento assimétrico com vários caminhos de rede

  • Artigo

Este artigo explica como o tráfego de rede pode seguir caminhos diferentes quando estão disponíveis várias rotas entre a origem de rede e o destino.

Existem dois conceitos que precisa de saber para compreender o encaminhamento assimétrico. O primeiro é o efeito de vários caminhos de rede. A outra é a forma como os dispositivos, como uma firewall, mantêm o estado. Estes tipos de dispositivos são chamados dispositivos com monitorização de estado. Quando estes dois fatores são combinados, podem criar um cenário em que o tráfego de rede é ignorado pelo dispositivo com monitorização de estado. O tráfego é removido porque não detetou que o tráfego teve origem em si.

Vários caminhos de rede

Quando uma rede empresarial tem apenas uma ligação à Internet através de um fornecedor de serviços internet, todo o tráfego de e para a Internet percorre o mesmo caminho. É comum que as empresas comprem vários circuitos para criar caminhos redundantes para melhorar o tempo de atividade da rede. Com este tipo de configuração, é possível que o tráfego saia de uma ligação para a Internet e regresse através de uma ligação diferente. Este cenário é normalmente conhecido como encaminhamento assimétrico. No encaminhamento assimétrico, o tráfego de rede de retorno assume um caminho diferente do fluxo de saída original.

Rede com vários caminhos

Embora o encaminhamento assimétrico ocorra normalmente ao aceder à Internet. Também acontece quando é introduzida uma combinação de vários caminhos. O primeiro exemplo é quando tem um caminho da Internet e um caminho privado que vai para o mesmo destino. O segundo exemplo é quando tem vários caminhos privados que também vão para o mesmo destino.

Cada router ao longo do caminho entre a origem e o destino calcula o melhor caminho a seguir para chegar ao destino. O router determina o melhor caminho possível com base em dois fatores principais:

  • O encaminhamento entre redes externas baseia-se num protocolo de encaminhamento, o BGP (Border Gateway Protocol). O BGP pega nos anúncios de vizinhos e sujeita-os a uma série de passos para determinar o melhor caminho para o destino pretendido. Armazena o melhor caminho na sua tabela de encaminhamento.
  • O comprimento de uma máscara de sub-rede associada a uma rota influencia os caminhos de encaminhamento. Se um router receber vários anúncios para o mesmo endereço IP, o router seleciona o caminho com a máscara de sub-rede mais longa porque é considerado uma rota mais específica.

Dispositivos com monitorização de estado

Os routers observam o cabeçalho IP de um pacote para fins de encaminhamento. Alguns dispositivos observam ainda de forma mais aprofundada o interior do pacote. Normalmente, estes dispositivos analisam a Camada 4 – Protocolo de Controlo de Transmissão (TCP) ou o Protocolo UDP (User Datagram Protocol) ou até cabeçalhos de Camada 7 (Camada de Aplicação). Estes tipos de dispositivos são dispositivos de segurança ou dispositivos de otimização de largura de banda.

Uma firewall é um exemplo comum de um dispositivo com monitorização de estado. Uma firewall permite ou rejeita pacotes para passar pelas respetivas interfaces com base em vários critérios. Estes critérios incluem, mas não estão limitados ao protocolo, porta TCP/UDP e cabeçalhos de URL. Este nível de inspeção de pacotes pode colocar uma carga de processamento pesada no dispositivo.

Para melhorar o desempenho, a firewall inspeciona o primeiro pacote de um fluxo. Se permitir que o pacote passe pelas respetivas interfaces, mantém as informações do fluxo na respetiva tabela de estado. Todos os pacotes subsequentes relacionados com este fluxo são então permitidos com base na determinação inicial. Um pacote que faz parte de um fluxo existente pode chegar à firewall da qual não teve origem. Uma vez que não tem informações de estado anteriores sobre o fluxo inicial, a firewall remove o pacote.

Encaminhamento assimétrico com o ExpressRoute

Quando se liga à Microsoft através do Azure ExpressRoute, a sua rede muda da seguinte forma:

  • Tem várias ligações à Microsoft. Uma ligação é a sua ligação à Internet existente e a outra é através da sua ligação do ExpressRoute. Determinado tráfego destinado à Microsoft pode passar pela ligação à Internet, mas regressar através da sua ligação do ExpressRoute. O mesmo pode acontecer quando o tráfego passa pelo ExpressRoute, mas regressa através do caminho da Internet.
  • Recebeu endereços IP mais específicos do circuito do ExpressRoute. Assim, quando o tráfego da sua rede for enviado para a Microsoft para serviços oferecidos através do ExpressRoute, os routers preferem sempre a ligação do ExpressRoute.

Para compreender o efeito destas duas alterações numa rede, vamos considerar alguns cenários. Por exemplo, tem um circuito para a Internet e consome todos os serviços Microsoft através da Internet. O tráfego da sua rede de e para a Microsoft atravessa a mesma ligação à Internet e passa por uma firewall. A firewall regista o fluxo quando vê o primeiro pacote. Todos os pacotes subsequentes dessa conversação são permitidos porque o fluxo existe na tabela de estado.

Encaminhamento assimétrico com o ExpressRoute

Em seguida, vai criar um circuito do ExpressRoute para consumir serviços oferecidos pela Microsoft através do ExpressRoute. Todos os outros serviços da Microsoft são consumidos através da Internet. Implementa uma firewall separada no edge que está ligada à ligação do ExpressRoute. A Microsoft anuncia prefixos mais específicos para a sua rede através do ExpressRoute para determinados serviços. A infraestrutura de encaminhamento escolhe o ExpressRoute como o caminho preferido para esses prefixos.

Se não anunciar os seus endereços IP públicos à Microsoft através do ExpressRoute. A Microsoft comunica com os seus endereços IP públicos através da Internet. O tráfego enviado da sua rede para a Microsoft utiliza a ligação do ExpressRoute, mas o tráfego de retorno da Microsoft utiliza o caminho da Internet. Quando a firewall no edge vê um pacote de resposta para um fluxo que não conhece, remove esses pacotes.

Se optar por anunciar o mesmo conjunto de tradução de endereços de rede (NAT) para o ExpressRoute e para a Internet. Verá problemas semelhantes com os clientes na sua rede em endereços IP privados. Os pedidos de serviços como Windows Update irão passar pela Internet porque os endereços IP para estes serviços não são anunciados através do ExpressRoute. No entanto, o tráfego de retorno volta através do ExpressRoute. Uma vez que a Microsoft recebeu um endereço IP com a mesma máscara de sub-rede da Internet e do ExpressRoute, o caminho preferencial é sempre o ExpressRoute. Se uma firewall ou outro dispositivo com monitorização de estado na margem da rede com acesso à ligação do ExpressRoute não tiver informações anteriores sobre um fluxo, remove esses pacotes.

Soluções de encaminhamento assimétrico

Tem duas opções disponíveis para resolver o problema do encaminhamento assimétrico. O primeiro é através do encaminhamento e o segundo é através de um NAT baseado na origem (SNAT).

Encaminhamento

Certifique-se de que os seus endereços IP públicos são anunciados para ligações de rede alargada (WAN) adequadas. Por exemplo, se quiser utilizar a Internet para o tráfego de autenticação e o ExpressRoute para o tráfego de correio. Não anuncie os seus endereços IP públicos Serviços de Federação do Active Directory (AD FS) (AD FS) através do ExpressRoute. Certifique-se também de que não expõe o servidor do AD FS no local a endereços IP que o router recebe através do ExpressRoute. As rotas recebidas através do ExpressRoute são mais específicas, pelo que tornam o ExpressRoute o caminho preferido para o tráfego de autenticação para a Microsoft. Se não prestar atenção à forma como o encaminhamento é feito na sua rede, podem surgir problemas de encaminhamento assimétrico.

Se quiser utilizar o ExpressRoute para autenticação, certifique-se de que está a anunciar endereços IP públicos do AD FS através do ExpressRoute sem NAT. Quando configurado desta forma, o tráfego proveniente da Microsoft vai para o servidor do AD FS no local e passa pelo ExpressRoute. O tráfego de retorno da sua rede que vai para a Microsoft utiliza o ExpressRoute porque é a rota preferencial através da Internet.

NAT baseado na origem

Outra forma de resolver o problema de encaminhamento assimétrico é através do SNAT. Por exemplo, opta por não anunciar o endereço IP público de um servidor SMTP (Simple Mail Transfer Protocol) no local através do ExpressRoute. Em vez disso, pretende utilizar a Internet para este tipo de comunicação. Um pedido com origem na Microsoft que vai para o seu servidor SMTP no local atravessa a Internet. Faz o SNAT do pedido de entrada para um endereço IP interno. O tráfego de retorno do servidor SMTP vai para a firewall edge (que utiliza para NAT) em vez de através do ExpressRoute. Como resultado, o tráfego de retorno assume o caminho da Internet.

Configuração de rede NAT baseada na origem

Deteção de encaminhamento assimétrico

O Traceroute é a melhor forma de garantir que o tráfego de rede atravessa o caminho esperado. Se espera que o tráfego do seu servidor SMTP no local para a Microsoft siga o caminho da Internet, o traceroute esperado é do servidor SMTP para o Microsoft 365. O resultado valida que o tráfego está, de facto, a sair da sua rede para a Internet e não para o ExpressRoute.