Es kommt vor, dass ich auf Kunden stoße, die in ihren Netzwerken das haben, was ich als „asymetrisches Routing“ definiere. Einfach gesagt, sie haben zwei Gateways im selben IP-Subnetz. Die Clients sind so konfiguriert, dass sie auf ein Gateway zeigen (d. H. 172.16.1.1), aber es gibt ein anderes Gerät (d. H. 172.16.1.2), das eine Verbindung herstellt und an einen anderen Ort weiterleitet. Meistens habe ich diese Art der Einrichtung gesehen, wenn es zwei verschiedene Arten von WAN-Verbindungen gibt: 1 Internetverbindung und 1 MPLS-Verbindung für Unternehmen.
Ich persönlich bin von der oben genannten Art des Netzwerkdesigns nicht angezogen: jede Das Subnetz muss nur ein einziges Gateway haben. Aus meiner Sicht kann das obige Szenario einige Probleme für Clients verursachen, da sie ein Paket an ihr Standard-Gateway (172.16.1.1) senden und diese Pakete dann an den anderen Router (172.16.1.2) weitergeleitet werden und wenn sie beantwortet werden bis erreichen sie den Kunden einfach über 172.16.1.2. Die Kunden würden oder sollten erwarten, dass die Antwortpakete von 172.16.1.1 stammen, oder irre ich mich hier?
Ich würde mich über Ihre Meinungen und technischen Ansichten zu diesem Problem freuen.
Kommentare
- Hat Ihnen eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage ‚ nicht erhalten bleibt Für immer auftauchen und nach einer Antwort suchen. Alternativ können Sie Ihre eigene Antwort posten und akzeptieren.
Antwort
Ich würde empfehlen, dass Sie sich mit First Hop Redundancy-Protokollen wie HSRP oder VRRP befassen.
Zwei Gateways können ein sehr gutes Netzwerkdesign sein, denn wenn ein Router ausfällt, kann der andere Router dies tun Wie Sie wissen, ist es jedoch nicht einfach, diesen Übergang vorzunehmen, wenn Sie jeden Client in einem Subnetz manuell neu konfigurieren müssen.
Protokolle wie HSRP (oder VRRP if Sie haben Geräte, die nicht von Cisco stammen. Sie können zwei (oder mehr) Router (oder L3-Schalter) verwenden s) in einem Subnetz eine einzelne IP-Adresse gemeinsam nutzen. Sie haben Ihren ersten Router mit einer Adresse von .2, den zweiten mit einer Adresse von .3 und eine „virtuelle IP-Adresse“ von .1, die beiden Routern durch die Konfiguration bekannt ist. Wenn der primäre Router ausfällt, der sekundäre ist in der Lage, dies zu erkennen und die virtuelle IP-Adresse zu übernehmen, was bedeutet, dass Ihre Clients nur .1 als Gateway konfiguriert haben müssen und Sie loslegen können.
In Bezug auf das Routing-Design wäre dies der Fall hängen weitgehend vom aktuellen Setup ab. Es ist möglich, dass beide Gateways zu demselben Internet-Rand führen. In diesem Fall haben Sie möglicherweise kein Problem. Asymmetrisches Routing kann schlecht sein, hauptsächlich weil Sie riskieren, dass Pakete in der falschen Reihenfolge zugestellt werden, dies hängt jedoch wiederum stark von der Topologie ab Sie sprechen darüber.
Viele Designprinzipien sind in dem enthalten, was ich gerade gesagt habe. Ich schlage vor, dass Sie beide Protokolle untersuchen und herausfinden, was für Ihre Umgebung am besten ist. Wenn Sie Cisco-Geräte verwenden, ist HSRP eine weit verbreitete und gut verstandene Methode zur Lösung dieses Problems.
Kommentare
- und ‚ vergessen Sie nicht, dass es auch GLBP gibt, das das Gleiche tut wie HSRP / VRRP (na ja, irgendwie), aber beides erlaubt Gateways zum tatsächlichen Lastausgleich des Datenverkehrs. Das Debuggen wird manchmal etwas schwieriger, da sich einige Clients möglicherweise auf R1 und andere auf R2
- @mierdin befinden. Asymmetrisches Routing hat nichts mit der Neuordnung von Paketen zu tun Ergebnis von Mehrwegerouten für dasselbe Präfix …
Antwort
Das gesamte Internet basiert auf asymmetrischem Routing Daher sind Clients an der Schnittstelle interessiert, an der sie das Paket empfangen, und an der Quelle des Pakets, nicht an dem Router, der es an diese Schnittstelle an sie weitergeleitet hat.
Asymmetrisches Routing kann jedoch problematisch werden Wenn Geräte, die den Status (insbesondere Firewalls) und NAT verfolgen, beteiligt sind, aber soweit ich das beurteilen kann, ist dies in Ihrem Beispiel nicht der Fall.
Kommentare
- Es kann auch ein Problem sein, wenn Sie eine Art umgekehrte Pfadweiterleitung ausführen. Ansonsten ist es kein so großes Problem.
- Warum sollte das ein Problem sein? Die Route ist vorhanden und stimmt mit den Schnittstellen überein, sodass selbst eine strenge RPF ‚ hier nicht ausgelöst werden kann. nach IGP) und zurück in ein anderes, würde es dieses Paket verwerfen. Das eingehende Paket würde eine strenge RPF-Prüfung nicht bestehen, es sei denn, die Kosten sind natürlich gleich.
Antwort
Netzwerkclients Identifizieren Sie Verkehrsströme anhand der Kombination von 4 Werten:
- Quelladresse
- Quellport
- Zieladresse
- Zielport
Für jede unterschiedliche Verbindung bilden die 4 obigen Werte eine andere Kombination, die verwendet wird, um die Antwortpakete an den richtigen Fluss anzupassen.Wie Sie sehen können, ist die Gateway- oder Next-Hop-Adresse nicht in der Liste enthalten, und daher ist es dem Client egal, ob ein Paket über dasselbe Gateway zurückkommt, mit dem es seine Pakete gesendet hat. Daher interessieren sich Netzwerkclients nicht für asymmetrisches Routing, sobald sie den Datenverkehr vom Remote-Ende empfangen können. Tatsächlich wurde TCP / IP ursprünglich entwickelt, um asymmetrisches Routing zu unterstützen.
Wenn wir uns jedoch auf Netzwerkzwischengeräte konzentrieren, wird assymmetrisches Routing nicht toleriert, sobald Sie ein Gerät / eine Technologie verwenden, bei der alle Pakete in einer Verbindung angezeigt werden müssen, um eine bestimmte Funktionalität bereitzustellen. Zum Beispiel: NAT, Stateful Firewalls oder einige WAN-Optimierer. Ein asymmetrisches Routing in einem solchen Szenario würde dazu führen, dass entweder die beabsichtigte Funktionalität nicht bereitgestellt wird oder, schlimmstenfalls, Pakete verworfen werden, was die Kommunikation unmöglich macht.
Antwort
Ich stimme den vor mir liegenden Antworten zu, muss aber noch etwas hinzufügen: Wenn auf einem der Gateways oder auf einem Hop, der nur über eines der beiden Gateways geleitet wird, gefiltert wird, treten wahrscheinlich Probleme auf! (Hops, die über beide Gateways übertragen werden, z. B. den Quellcomputer, den Zielcomputer und alle Hops, die beiden Gateway-Pfaden gemeinsam sind, betreffen die folgenden Szenarien nicht.)
Wenn beispielsweise A. Senden Sie Pakete über Gateway1 an B, und Pakete werden über Gateway2 zurückgegeben. Dann ist es sehr wahrscheinlich, dass das Antwortpaket verworfen wird, wenn Gateway2 filtert (da dieses Gateway das initiierende Verbindungspaket nicht gesehen hat und daher keine Antwort erwartet Wenn also das Ziel / der Port des Antwortpakets normalerweise gefiltert wird, wird es gefiltert.)
(Es gibt natürlich viele ähnliche Szenarien)
Antwort
Andere zwei Bereiche, in denen asymmetrische Routen Probleme verursachen, sind folgende: 1. MTU-Erkennung – Wenn sich die kleinste MTU der beiden Pfade unterscheidet, kann die Endpunkt-MTU-Pfaderkennung erfolgen Dies führt zu einer größten der beiden MTUs, was wiederum dazu führt, dass Pakete mit maximaler Größe verworfen werden. Wenn beispielsweise ein Pfad durch einen VPN-Tunnel führt und der andere nicht, Der VPN-Tunnel wird eine kleinere MTU haben. Ping funktioniert einwandfrei, aber die Übertragung großer Dateien schlägt konsistent fehl. 2. Die Behebung von Konnektivitätsproblemen ist schwieriger, wenn einer der beiden Pfade unterbrochen ist, der andere jedoch nicht. Eine gute alte „Traceroute“ ist überhaupt keine Hilfe, da sie die Zwischenpunkte des umgekehrten Pfades nicht erkennen kann, es sei denn, sie wird von beiden Seiten der Verbindung ausgeübt, was einen Out-of-Band-Verwaltungskanal erfordert …