Birden çok ağ yoluyla Asimetrik yönlendirme

Bu makalede, ağ kaynağı ile hedef arasında birden çok yol kullanılabilir olduğunda ağ trafiğinin nasıl farklı yollara ulaşabileceği açıklanmaktadır.

Not

• Bu makalede, bir hedefe birden çok bağlantı içeren bir ağda asimetrik yönlendirme ile oluşabilecek sorunlar ele alınmaktadır. Microsoft bu mimariyi önermediğinden veya desteklemediğinden, asimetrik yönlendirmeli bir ağ tasarlamak için başvuru olarak kullanılmamalıdır.

Asimetrik yönlendirmeyi anlamak için bilmeniz gereken iki kavram vardır. Birincisi, birden çok ağ yolunun etkisidir. Diğeri ise güvenlik duvarı gibi cihazların durumunu koruma şeklidir. Bu tür cihazlara durum bilgisi olan cihazlar denir. Bu iki faktör birleştirildiğinde, ağ trafiğinin durum bilgisi olan cihaz tarafından bırakıldığı bir senaryo oluşturabilirler. Trafiğin kendisinden geldiğini algılamadığından trafik bırakılır.

Birden çok ağ yolu

Bir kurumsal ağın İnternet servis sağlayıcısı üzerinden İnternet'e tek bir bağlantısı olduğunda, İnternet'e giden ve giden tüm trafik aynı yolda ilerler. Şirketlerin, ağ çalışma süresini iyileştirmek için yedekli yollar oluşturmak için birden çok devre satın alması yaygın bir durumdur. Bu tür bir yapılandırmayla, trafiğin İnternet'e tek bir bağlantıdan çıkıp farklı bir bağlantı üzerinden döndürülüyor olması mümkündür. Bu senaryo genellikle asimetrik yönlendirme olarak bilinir. Asimetrik yönlendirmede, dönüş ağ trafiği özgün giden akıştan farklı bir yol alır.

Asimetrik yönlendirme genellikle İnternet'e gidildiğinde gerçekleşse de. Ayrıca, birden çok yolun birleşimi tanıtıldığında da gerçekleşir. İlk örnek, bir İnternet yolunuz ve aynı hedefe giden özel bir yolunuz olmasıdır. İkinci örnek, aynı hedefe giden birden çok özel yolunuz olmasıdır.

Kaynak ve hedef arasındaki yol boyunca her yönlendirici hedefe ulaşmak için izlenilecek en iyi yolu hesaplar. Yönlendirici, iki ana faktöre göre mümkün olan en iyi yolu belirler:

• Dış ağlar arası yönlendirme, Sınır Ağ Geçidi Protokolü (BGP) olarak bilinen bir yönlendirme protokolüne bağlıdır. BGP, komşulardan tanıtımları toplar ve bunları bir dizi adımdan geçirip hedefe yönelik en uygun yolu belirler. BGP, bu en uygun yolu yönlendirme tablosunda depolar.
• Bir rota ile ilişkili alt ağ maskesinin uzunluğu yönlendirme yollarını etkiler. Bir yönlendirici aynı IP adresi için birden çok reklam alırsa, yönlendirici daha uzun alt ağ maskesine sahip yolu seçer çünkü daha belirli bir yol olarak kabul edilir.

Durum bilgisi olan cihazlar

Yönlendiriciler, yönlendirme amacıyla paketlerin IP üst bilgisine bakar. Bazı cihazlar, pakete daha da ayrıntılı şekilde bakar. Bu cihazlar genellikle Katman 4 - İletim Denetimi Protokolü (TCP) veya Kullanıcı Veri Birimi Protokolü (UDP) ve hatta Katman 7 (Uygulama Katmanı) üst bilgilerine bakar. Bu tür cihazlar, güvenlik cihazları ya da bant genişliği iyileştirme cihazlarıdır.

Durum bilgisi olan cihazlar için tipik bir örnek güvenlik duvarıdır. Güvenlik duvarı, paketlerin çeşitli ölçütlere göre arabirimlerinden geçmesine izin verir veya reddeder. Bu ölçütler protokol, TCP/UDP bağlantı noktası ve URL üst bilgilerini içerir ancak bunlarla sınırlı değildir. Bu paket inceleme düzeyi, cihaza ağır bir işlem yükü yükleyebilir.

Güvenlik duvarı, performansı artırmak için bir akıştaki ilk paketi denetler. Paketin arabirimlerinden geçmesine izin veriyorsa akış bilgilerini durum tablosunda tutar. Daha sonra ilk belirlemeye göre bu akışla ilgili tüm paketlere izin verilir. Mevcut bir akışın parçası olan bir paket, kaynağı olmayan güvenlik duvarına gelebilir. İlk akış hakkında önceden durum bilgisi olmadığından güvenlik duvarı paketi bırakır.

ExpressRoute ile asimetrik yönlendirme

Azure ExpressRoute üzerinden Microsoft’a bağlandığınızda, ağınız aşağıdaki şekilde değişir:

• Birden fazla Microsoft bağlantınız var. Bağlantılardan biri mevcut İnternet bağlantınız, diğeri ise ExpressRoute bağlantınız üzerinden yapılır. Microsoft'u hedefleyen belirli trafik İnternet bağlantısı üzerinden gidebilir ancak ExpressRoute bağlantınız üzerinden geri dönebilir. Aynı durum, trafik ExpressRoute üzerinden geçtiğinde ancak İnternet yolu üzerinden geri döndüğünde de gerçekleşebilir.
• ExpressRoute bağlantı hattından daha belirli IP adresleri aldınız. Bu nedenle ağınızdan gelen trafik ExpressRoute aracılığıyla sunulan hizmetler için Microsoft'a gittiğinde yönlendiricileriniz her zaman ExpressRoute bağlantısını tercih eder.

Bu iki değişikliğin bir ağ üzerindeki etkisini anlamak için bazı senaryoları ele alalım. Örneğin, İnternet'e yönelik bir bağlantı hattınız vardır ve tüm Microsoft hizmetleri İnternet üzerinden tüketirsiniz. Ağınızdan Microsoft'a ve Microsoft'tan gelen trafik aynı İnternet bağlantısından geçer ve bir güvenlik duvarından geçer. Güvenlik duvarı, ilk paketi gördüğünde akışı kaydeder. Akış durum tablosunda bulunduğundan, bu konuşmanın her veren paketine izin verilir.

Ardından, ExpressRoute üzerinden Microsoft tarafından sunulan hizmetleri kullanmak için bir ExpressRoute bağlantı hattı getirirsiniz. Microsoft'un diğer tüm hizmetleri İnternet üzerinden tüketilir. Kenarınızda ExpressRoute bağlantısına bağlı ayrı bir güvenlik duvarı dağıtırsınız. Microsoft, belirli hizmetler için ExpressRoute üzerinden ağınıza daha belirli ön ekler sunar. Yönlendirme altyapınız bu ön ekler için tercih edilen yol olarak ExpressRoute’u seçer.

Genel IP adreslerinizi ExpressRoute üzerinden Microsoft'a tanıtmıyorsanız. Microsoft, genel IP adreslerinizle İnternet üzerinden iletişim kurar. Ağınızdan Microsoft'a gönderilen trafik ExpressRoute bağlantısını kullanır, ancak Microsoft'tan gelen dönüş trafiği İnternet yolunu kullanır. Kenarınızın güvenlik duvarı, bilmediği bir akış için yanıt paketi gördüğünde bu paketleri bırakır.

ExpressRoute ve İnternet için aynı ağ adresi çevirisi (NAT) havuzunu tanıtmayı seçerseniz. Ağınızdaki istemcilerle ilgili benzer sorunları özel IP adreslerinde görürsünüz. Bu hizmetlerin IP adresleri ExpressRoute üzerinden tanıtılmadığından, Windows Update gibi hizmetlere yönelik istekler İnternet üzerinden gider. Ancak dönüş trafiği ExpressRoute üzerinden geri gelir. Microsoft, İnternet'ten ve ExpressRoute'tan aynı alt ağ maskesine sahip bir IP adresi aldığından, tercih edilen yol her zaman ExpressRoute'tır. Ağ ucunuzda ExpressRoute bağlantısına bakan bir güvenlik duvarı veya durum bilgisi olan başka bir cihaz akış hakkında önceden bilgi içermiyorsa, bu paketleri bırakır.

Asimetrik yönlendirme çözümleri

Asimetrik yönlendirme sorununu çözmek için kullanabileceğiniz iki seçeneğiniz vardır. Birincisi yönlendirme, ikincisi ise kaynak tabanlı NAT (SNAT) kullanmaktır.

Yönlendirme

Genel IP adreslerinizin uygun geniş alan ağı (WAN) bağlantılarına tanıtıldığından emin olun. Örneğin, kimlik doğrulaması trafiği için İnternet'i ve posta trafiğiniz için ExpressRoute'u kullanmak istiyorsanız. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) genel IP adreslerinizi ExpressRoute üzerinden tanıtmayın. Ayrıca, şirket içi AD FS sunucunuzu yönlendiricinin ExpressRoute üzerinden aldığı IP adresleriyle kullanıma sunmamaya dikkat edin. ExpressRoute üzerinden alınan rotalar daha belirli olduğundan, bunlar Microsoft’a yönelik kimlik doğrulama trafiği için ExpressRoute’u tercih edilen yol haline getirir. Ağınızda yönlendirmenin nasıl yapıldığına dikkat etmiyorsanız asimetrik yönlendirme sorunları ortaya çıkabilir.

Kimlik doğrulaması için ExpressRoute kullanmak istiyorsanız AD FS genel IP adreslerini NAT olmadan ExpressRoute üzerinden tanıtdığınızdan emin olun. Bu şekilde yapılandırıldığında, Microsoft'tan kaynaklanan trafik şirket içi AD FS sunucunuza gider ve ExpressRoute üzerinden gider. Ağınızdan Microsoft'a giden dönüş trafiği, İnternet üzerinden tercih edilen yol olduğundan ExpressRoute kullanır.

Kaynak tabanlı NAT

Asimetrik yönlendirme sorununu çözmenin bir diğer yolu da SNAT kullanmaktır. Örneğin, ExpressRoute üzerinden şirket içi Basit Posta Aktarım Protokolü (SMTP) sunucusunun genel IP adresini tanıtmamayı seçersiniz. Bunun yerine, bu tür bir iletişim için İnternet'i kullanmayı planlıyorsunuz. Microsoft'tan kaynaklanan ve şirket içi SMTP sunucunuza giden bir istek İnternet üzerinden geçer. Gelen isteğe SNAT uygulayarak bir dahili IP adresine yönlendirirsiniz. SMTP sunucusundan gelen dönüş trafiği, ExpressRoute yerine uç güvenlik duvarına (NAT için kullandığınız) gider. Sonuç olarak, dönüş trafiği İnternet yolunu alır.

Asimetrik yönlendirmenin algılanması

Traceroute, ağ trafiğinizin beklenen yoldan gittiğinden emin olmanın en iyi yoludur. Şirket içi SMTP sunucunuzdan Microsoft'a giden trafiğin İnternet yolunu izlemesini bekliyorsanız, beklenen izleme yolu SMTP sunucusundan Microsoft 365'e olur. Sonuç, trafiğin ağınızdan ExpressRoute'a değil İnternet'e doğru ayrıldığını doğrular.