Encaminhamento assimétrico com vários caminhos de rede
Este artigo explica como o tráfego de rede pode tomar caminhos diferentes quando várias rotas estão disponíveis entre a origem e o destino da rede.
Nota
- Este artigo discute os problemas que podem ocorrer com o roteamento assimétrico em uma rede com vários links para um destino. Ele não deve ser usado como referência para projetar uma rede com roteamento assimétrico, pois a Microsoft não recomenda ou oferece suporte a essa arquitetura.
Há dois conceitos que você precisa saber para entender o roteamento assimétrico. O primeiro é o efeito de vários caminhos de rede. A outra é como os dispositivos, como um firewall, mantêm o estado. Estes tipos de dispositivos são chamados dispositivos com monitorização de estado. Quando esses dois fatores são combinados, eles podem criar um cenário no qual o tráfego de rede é descartado pelo dispositivo com monitoração de estado. O tráfego é interrompido porque não detetou que o tráfego se originou de si mesmo.
Vários caminhos de rede
Quando uma rede empresarial tem apenas uma ligação à Internet através de um fornecedor de serviços de Internet, todo o tráfego de e para a Internet percorre o mesmo caminho. É comum que as empresas comprem vários circuitos para criar caminhos redundantes para melhorar o tempo de atividade da rede. Com este tipo de configuração é possível que o tráfego saia de um link para a internet e retorne através de um link diferente. Esse cenário é comumente conhecido como roteamento assimétrico. No roteamento assimétrico, o tráfego de rede de retorno toma um caminho diferente do fluxo de saída original.
Embora o roteamento assimétrico geralmente ocorre quando se vai para a internet. Isso também acontece quando uma combinação de vários caminhos é introduzida. O primeiro exemplo é quando você tem um caminho de internet e um caminho privado que vai para o mesmo destino. O segundo exemplo é quando você tem vários caminhos privados que também estão indo para o mesmo destino.
Cada roteador ao longo do caminho entre a origem e o destino calcula o melhor caminho a ser seguido para chegar ao destino. O roteador determina o melhor caminho possível com base em dois fatores principais:
- O encaminhamento entre redes externas baseia-se num protocolo de encaminhamento, o BGP (Border Gateway Protocol). O BGP pega nos anúncios de vizinhos e sujeita-os a uma série de passos para determinar o melhor caminho para o destino pretendido. Armazena o melhor caminho na sua tabela de encaminhamento.
- O comprimento de uma máscara de sub-rede associada a uma rota influencia os caminhos de encaminhamento. Se um roteador receber vários anúncios para o mesmo endereço IP, o roteador selecionará o caminho com a máscara de sub-rede mais longa porque é considerado uma rota mais específica.
Dispositivos com monitorização de estado
Os routers observam o cabeçalho IP de um pacote para fins de encaminhamento. Alguns dispositivos observam ainda de forma mais aprofundada o interior do pacote. Normalmente, esses dispositivos examinam os cabeçalhos Layer 4 - Transmission Control Protocol (TCP) ou User Datagram Protocol (UDP), ou até mesmo Layer 7 (Application Layer). Estes tipos de dispositivos são dispositivos de segurança ou dispositivos de otimização de largura de banda.
Uma firewall é um exemplo comum de um dispositivo com monitorização de estado. Um firewall permite ou rejeita a passagem de pacotes por suas interfaces com base em vários critérios. Esses critérios incluem, mas não estão limitados a, protocolo, porta TCP/UDP e cabeçalhos de URL. Esse nível de inspeção de pacotes pode colocar uma carga de processamento pesada no dispositivo.
Para melhorar o desempenho, a firewall inspeciona o primeiro pacote de um fluxo. Se ele permitir que o pacote passe por suas interfaces, ele manterá as informações de fluxo em sua tabela de estado. Quaisquer pacotes subsequentes relacionados com este fluxo são então permitidos com base na determinação inicial. Um pacote que faz parte de um fluxo existente pode chegar ao firewall do qual não se originou. Como não tem informações de estado anteriores sobre o fluxo inicial, o firewall descarta o pacote.
Encaminhamento assimétrico com o ExpressRoute
Quando se liga à Microsoft através do Azure ExpressRoute, a sua rede muda da seguinte forma:
- Tem várias ligações à Microsoft. Um link é sua conexão de Internet existente e o outro é através de sua conexão de Rota Expressa. Determinado tráfego destinado à Microsoft pode passar pela conexão com a Internet, mas retornar pela sua conexão de Rota Expressa. O mesmo também pode acontecer quando o tráfego passa pela Rota Expressa, mas retorna pelo caminho da Internet.
- Você recebeu endereços IP mais específicos do circuito ExpressRoute. Assim, quando o tráfego da sua rede vai para a Microsoft para serviços oferecidos através da Rota Expressa, os seus routers preferem sempre a ligação da Rota Expressa.
Para entender o efeito de como essas duas mudanças têm em uma rede, vamos considerar alguns cenários. Como exemplo, você tem um circuito para a internet e consome todos os serviços da Microsoft através da internet. O tráfego da sua rede de e para a Microsoft atravessa o mesmo link de internet e passa por um firewall. O firewall registra o fluxo quando vê o primeiro pacote. Todos os pacotes subsequentes dessa conversa são permitidos porque o fluxo existe na tabela de estados.
Em seguida, você abre um circuito de Rota Expressa para consumir serviços oferecidos pela Microsoft pela Rota Expressa. Todos os outros serviços da Microsoft são consumidos pela Internet. Você implanta um firewall separado na borda que está conectado à conexão de Rota Expressa. A Microsoft anuncia prefixos mais específicos para a sua rede através da Rota Expressa para determinados serviços. A infraestrutura de encaminhamento escolhe o ExpressRoute como o caminho preferido para esses prefixos.
Se você não anunciar seus endereços IP públicos para a Microsoft pela Rota Expressa. A Microsoft comunica com os seus endereços IP públicos através da Internet. O tráfego enviado da sua rede para a Microsoft usa a conexão ExpressRoute, mas o tráfego de retorno da Microsoft usa o caminho da Internet. Quando o firewall na borda vê um pacote de resposta para um fluxo que ele não conhece, ele descarta esses pacotes.
Se você optar por anunciar o mesmo pool de conversão de endereços de rede (NAT) para a Rota Expressa e para a Internet. Você vê problemas semelhantes com os clientes em sua rede em endereços IP privados. As solicitações de serviços como o Windows Update passarão pela Internet porque os endereços IP desses serviços não são anunciados pela Rota Expressa. No entanto, o tráfego de retorno retorna através da Rota Expressa. Como a Microsoft recebeu um endereço IP com a mesma máscara de sub-rede da Internet e da Rota Expressa, o caminho preferido é sempre a Rota Expressa. Se um firewall ou outro dispositivo com monitoração de estado na borda da rede voltado para a conexão da Rota Expressa não tiver informações prévias sobre um fluxo, ele descartará esses pacotes.
Soluções de encaminhamento assimétrico
Você tem duas opções disponíveis para resolver o problema de roteamento assimétrico. O primeiro é através de roteamento, e o segundo é usando um NAT baseado em fonte (SNAT).
Encaminhamento
Certifique-se de que os seus endereços IP públicos são anunciados para links de rede de longa distância (WAN) apropriados. Por exemplo, se você quiser usar a Internet para o tráfego de autenticação e a Rota Expressa para o tráfego de email. Não anuncie seus endereços IP públicos dos Serviços de Federação do Ative Directory (AD FS) pela Rota Expressa. Certifique-se também de não expor seu servidor AD FS local aos endereços IP que o roteador recebe pela Rota Expressa. As rotas recebidas através do ExpressRoute são mais específicas, pelo que tornam o ExpressRoute o caminho preferido para o tráfego de autenticação para a Microsoft. Se você não prestar atenção em como o roteamento é feito em sua rede, problemas de roteamento assimétrico podem surgir.
Se você quiser usar a Rota Expressa para autenticação, verifique se está anunciando endereços IP públicos do AD FS na Rota Expressa sem NAT. Quando configurado dessa forma, o tráfego originado da Microsoft vai para o servidor AD FS local e passa pela Rota Expressa. O tráfego de retorno da sua rede que vai para a Microsoft usa o ExpressRoute porque é a rota preferida pela Internet.
NAT baseado na origem
Outra maneira de resolver o problema de roteamento assimétrico é usando SNAT. Por exemplo, você opta por não anunciar o endereço IP público de um servidor SMTP (Simple Mail Transfer Protocol) local pela Rota Expressa. Em vez disso, você pretende usar a internet para esse tipo de comunicação. Uma solicitação originada da Microsoft que vai para o seu servidor SMTP local atravessa a Internet. Faz o SNAT do pedido de entrada para um endereço IP interno. O tráfego de retorno do servidor SMTP vai para o firewall de borda (que você usa para NAT) em vez de através da Rota Expressa. Como resultado, o tráfego de retorno toma o caminho da internet.
Deteção de encaminhamento assimétrico
O Traceroute é a melhor forma de garantir que o tráfego de rede atravessa o caminho esperado. Se você espera que o tráfego do servidor SMTP local para a Microsoft siga o caminho da Internet, o traceroute esperado é do servidor SMTP para o Microsoft 365. O resultado valida que o tráfego está realmente saindo da sua rede em direção à internet e não em direção à Rota Expressa.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários