Birden çok ağ yoluyla Asimetrik yönlendirme

Bu makalede, ağ kaynağı ile hedef arasında birden çok yol kullanılabilir olduğunda ağ trafiğinin nasıl farklı yollara gidebileceği açıklanmaktadır.

Asimetrik yönlendirmeyi anlamak için bilmeniz gereken iki kavram vardır. Birincisi, birden çok ağ yolunun etkisidir. Diğeri ise güvenlik duvarı gibi cihazların durumunu koruma şeklidir. Bu tür cihazlara durum bilgisi olan cihazlar denir. Bu iki faktör birleştirildiğinde, durum bilgisi olan cihaz tarafından ağ trafiğinin bırakıldığı bir senaryo oluşturabilirler. Trafiğin kendisinden geldiğini algılamadığı için trafik bırakılır.

Birden çok ağ yolu

Bir kurumsal ağın İnternet servis sağlayıcısı üzerinden İnternet'e tek bir bağlantısı olduğunda, İnternet'e gelen ve giden tüm trafik aynı yolda ilerler. Şirketlerin, ağ çalışma süresini geliştirmek için yedekli yollar oluşturmak için birden çok devre satın alması yaygındır. Bu tür bir yapılandırmayla, trafiğin İnternet'e tek bir bağlantı üzerinden gitmesi ve farklı bir bağlantı üzerinden geri döndürmesi mümkündür. Bu senaryo genellikle asimetrik yönlendirme olarak bilinir. Asimetrik yönlendirmede, dönüş ağ trafiği özgün giden akıştan farklı bir yol alır.

Birden çok yola sahip ağ

Asimetrik yönlendirme genellikle İnternet'e gidildiğinde gerçekleşse de. Birden çok yolun birleşimi tanıtıldığında da gerçekleşir. İlk örnek, bir İnternet yolunuz ve aynı hedefe giden özel bir yolunuz olmasıdır. İkinci örnek, aynı hedefe giden birden çok özel yolunuz olmasıdır.

Kaynak ve hedef arasındaki yol boyunca her yönlendirici hedefe ulaşmak için en iyi yolu hesaplar. Yönlendirici, iki ana faktöre göre mümkün olan en iyi yolu belirler:

  • Dış ağlar arası yönlendirme, Sınır Ağ Geçidi Protokolü (BGP) olarak bilinen bir yönlendirme protokolüne bağlıdır. BGP, komşulardan tanıtımları toplar ve bunları bir dizi adımdan geçirip hedefe yönelik en uygun yolu belirler. BGP, bu en uygun yolu yönlendirme tablosunda depolar.
  • Bir rota ile ilişkili alt ağ maskesinin uzunluğu yönlendirme yollarını etkiler. Yönlendirici aynı IP adresi için birden çok reklam alırsa, yönlendirici daha uzun alt ağ maskesine sahip yolu seçer çünkü daha belirli bir yol olarak kabul edilir.

Durum bilgisi olan cihazlar

Yönlendiriciler, yönlendirme amacıyla paketlerin IP üst bilgisine bakar. Bazı cihazlar, pakete daha da ayrıntılı şekilde bakar. Bu cihazlar genellikle Katman 4 - İletim Denetimi Protokolü (TCP) veya Kullanıcı Veri Birimi Protokolü (UDP) ve hatta Katman 7 (Uygulama Katmanı) üst bilgilerine bakar. Bu tür cihazlar, güvenlik cihazları ya da bant genişliği iyileştirme cihazlarıdır.

Durum bilgisi olan cihazlar için tipik bir örnek güvenlik duvarıdır. Güvenlik duvarı, paketlerin çeşitli ölçütlere göre arabirimlerinden geçmesine izin verir veya reddeder. Bu ölçütler protokol, TCP/UDP bağlantı noktası ve URL üst bilgilerini içerir ancak bunlarla sınırlı değildir. Bu paket inceleme düzeyi, cihaza ağır bir işlem yükü yükleyebilir.

Güvenlik duvarı, performansı artırmak için bir akıştaki ilk paketi denetler. Paketin arabirimlerinden geçmesine izin verirse akış bilgilerini durum tablosunda tutar. Daha sonra ilk belirlemeye göre bu akışla ilgili tüm paketlere izin verilir. Mevcut bir akışın parçası olan bir paket, kaynağı olmayan güvenlik duvarına gelebilir. İlk akış hakkında önceden durum bilgisi olmadığından güvenlik duvarı paketi bırakır.

ExpressRoute ile asimetrik yönlendirme

Azure ExpressRoute üzerinden Microsoft’a bağlandığınızda, ağınız aşağıdaki şekilde değişir:

  • Birden fazla Microsoft bağlantınız var. Bağlantılardan biri mevcut İnternet bağlantınız, diğeri de ExpressRoute bağlantınız üzerinden. Microsoft'u hedefleyen belirli trafik İnternet bağlantısı üzerinden gidebilir ancak ExpressRoute bağlantınız üzerinden geri dönebilir. Aynı durum, trafik ExpressRoute üzerinden geçtiğinde ancak İnternet yolu üzerinden geri döndüğünde de oluşabilir.
  • ExpressRoute bağlantı hattından daha belirli IP adresleri aldınız. Bu nedenle, ağınızdan gelen trafik ExpressRoute aracılığıyla sunulan hizmetler için Microsoft'a gittiğinde yönlendiricileriniz her zaman ExpressRoute bağlantısını tercih eder.

Bu iki değişikliğin bir ağ üzerindeki etkisini anlamak için bazı senaryoları ele alalım. Örneğin, İnternet'e yönelik bir bağlantı hattınız vardır ve tüm Microsoft hizmetlerini İnternet üzerinden kullanırsınız. Ağınızdan Microsoft'a ve Microsoft'tan gelen trafik aynı İnternet bağlantısından geçer ve bir güvenlik duvarından geçer. Güvenlik duvarı, ilk paketi gördüğünde akışı kaydeder. Akış durum tablosunda mevcut olduğundan, bu konuşmanın her veren paketine izin verilir.

ExpressRoute ile asimetrik yönlendirme

Ardından, Microsoft tarafından ExpressRoute üzerinden sunulan hizmetleri kullanmak için bir ExpressRoute bağlantı hattı getirirsiniz. Microsoft'un diğer tüm hizmetleri İnternet üzerinden tüketilir. Kenarınızda ExpressRoute bağlantısına bağlı ayrı bir güvenlik duvarı dağıtırsınız. Microsoft, belirli hizmetler için ExpressRoute üzerinden ağınıza daha belirli ön ekler sunar. Yönlendirme altyapınız bu ön ekler için tercih edilen yol olarak ExpressRoute’u seçer.

Genel IP adreslerinizi ExpressRoute üzerinden Microsoft'a tanıtmıyorsanız. Microsoft, genel IP adreslerinizle İnternet üzerinden iletişim kurar. Ağınızdan Microsoft'a gönderilen trafik ExpressRoute bağlantısını kullanır, ancak Microsoft'tan gelen trafik İnternet yolunu kullanır. Kenarınızın güvenlik duvarı bilmediği bir akış için yanıt paketi gördüğünde bu paketleri bırakır.

ExpressRoute ve İnternet için aynı ağ adresi çevirisi (NAT) havuzunu tanıtmayı seçerseniz. Ağınızdaki istemcilerle ilgili benzer sorunları özel IP adreslerinde görürsünüz. Windows Update gibi hizmetlere yönelik istekler İnternet üzerinden gider çünkü bu hizmetlerin IP adresleri ExpressRoute üzerinden tanıtılamaz. Ancak, dönüş trafiği ExpressRoute üzerinden geri gelir. Microsoft İnternet'ten ve ExpressRoute'tan aynı alt ağ maskesine sahip bir IP adresi aldığından, tercih edilen yol her zaman ExpressRoute'tır. Ağ ucunuzda ExpressRoute bağlantısına bakan bir güvenlik duvarı veya durum bilgisi olan başka bir cihaz akış hakkında önceden bilgi içermiyorsa, bu paketleri bırakır.

Asimetrik yönlendirme çözümleri

Asimetrik yönlendirme sorununu çözmek için kullanabileceğiniz iki seçenek vardır. Birincisi yönlendirme, ikincisi ise kaynak tabanlı NAT (SNAT) kullanmaktır.

Yönlendirme

Genel IP adreslerinizin uygun geniş alan ağı (WAN) bağlantılarına tanıtıldığına emin olun. Örneğin, kimlik doğrulaması trafiği için İnternet'i ve posta trafiğiniz için ExpressRoute'u kullanmak istiyorsanız. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) genel IP adreslerinizi ExpressRoute üzerinden tanıtmayın. Ayrıca şirket içi AD FS sunucunuzu yönlendiricinin ExpressRoute üzerinden aldığı IP adreslerine göstermemeye dikkat edin. ExpressRoute üzerinden alınan rotalar daha belirli olduğundan, bunlar Microsoft’a yönelik kimlik doğrulama trafiği için ExpressRoute’u tercih edilen yol haline getirir. Ağınızda yönlendirmenin nasıl yapıldığına dikkat etmezseniz asimetrik yönlendirme sorunları ortaya çıkabilir.

Kimlik doğrulaması için ExpressRoute kullanmak istiyorsanız AD FS genel IP adreslerini NAT olmadan ExpressRoute üzerinden tanıtdığınızdan emin olun. Bu şekilde yapılandırıldığında, Microsoft'tan kaynaklanan trafik şirket içi AD FS sunucunuza gider ve ExpressRoute üzerinden geçer. Ağınızdan Microsoft'a giden dönüş trafiği, İnternet üzerinden tercih edilen yol olduğundan ExpressRoute kullanır.

Kaynak tabanlı NAT

Asimetrik yönlendirme sorununu çözmenin bir diğer yolu da SNAT kullanmaktır. Örneğin, şirket içi Basit Posta Aktarım Protokolü (SMTP) sunucusunun genel IP adresini ExpressRoute üzerinden tanıtmamayı seçersiniz. Bunun yerine, interneti bu tür bir iletişim için kullanmayı planlıyorsunuz. Microsoft'tan kaynaklanan ve şirket içi SMTP sunucunuza giden bir istek İnternet'ten geçer. Gelen isteğe SNAT uygulayarak bir dahili IP adresine yönlendirirsiniz. SMTP sunucusundan gelen dönüş trafiği, ExpressRoute yerine uç güvenlik duvarına (NAT için kullandığınız) gider. Sonuç olarak, dönüş trafiği İnternet yolunu alır.

Kaynak tabanlı NAT ağ yapılandırması

Asimetrik yönlendirmenin algılanması

Traceroute, ağ trafiğinizin beklenen yoldan gittiğinden emin olmanın en iyi yoludur. Şirket içi SMTP sunucunuzdan Microsoft'a giden trafiğin İnternet yolunu almasını bekliyorsanız, beklenen izleme yolu SMTP sunucusundan Microsoft 365'e olur. Sonuç, trafiğin ağınızdan ExpressRoute'a değil İnternet'e doğru ayrıldığını doğrular.