Epäsymmetrinen reititys – syyt ja seuraukset?

Sattuu, että törmän asiakkaisiin, joiden verkoissa on määritelty ”epäsymmetrinen reititys”. Yksinkertaisesti sanottuna, heillä on kaksi yhdyskäytävää samassa IP-aliverkossa. Asiakkaat on konfiguroitu osoittamaan yhteen yhdyskäytävään (ts. 172.16.1.1), mutta on olemassa toinen laite (ts. 172.16.1.2), joka yhdistää ja reitittää jonnekin. Enimmäkseen olen nähnyt tällaisen asennuksen, kun WAN-yhteyksiä on 2 erilaista: 1 Internet-yhteys ja 1 yrityksen MPLS-yhteys.

Edellä mainittu verkkomuotoilu ei minua houkuttele henkilökohtaisesti: kukin aliverkossa on oltava yksi ja vain yksi yhdyskäytävä. Minun näkökulmastani yllä oleva skenaario voi luoda joitain ongelmia asiakkaille, koska he lähettävät paketin oletusyhdyskäytävälle (172.16.1.1) ja nämä paketit välitetään sitten toiselle reitittimelle (172.16.1.2) ja kun he saavat vastauksen , he saavuttavat asiakkaan yksinkertaisesti läpi 172.16.1.2. Asiakkaat odottavat tai heidän pitäisi odottaa vastauspakettien olevan peräisin 172.16.1.1: stä, vai olenko väärässä täällä?

Olisin iloinen saadessani mielipiteesi ja tekniset näkemyksesi tästä asiasta.

Kommentit

  • Oliko vastauksista apua? Jos on, hyväksy vastaus, jotta kysymys ei jää ’ avautuu ikuisesti etsimällä vastausta. Vaihtoehtoisesti voit lähettää ja hyväksyä oman vastauksesi.

Vastaa

Suosittelen, että tutustut First Hop Redundancy -protokolliin, kuten HSRP tai VRRP.

Oikeastaan kahden yhdyskäytävän käyttäminen voi olla erittäin hyvä verkkosuunnittelu, koska jos reititin epäonnistuu, toinen reititin voi ottaa Kuitenkin, kuten ”tiedät, ei ole helppoa tehdä tätä siirtymistä, jos joudut määrittämään manuaalisesti jokaisen aliverkon asiakkaan.

Protokollat, kuten HSRP (tai VRRP jos sinulla on muu kuin Cisco-vaihde), voit käyttää kahta (tai useampaa) reititintä (tai L3-kytkintä s) aliverkossa jakaa yhden IP-osoitteen. Sinulla on ensimmäinen reitittimesi, jonka osoite on .2, seondin osoite .3 ja ”virtuaalinen IP-osoite” .1, joista molemmat reitittimet ovat tietoisia kokoonpanon kautta. Kun ensisijainen reititin epäonnistuu, toissijainen pystyy havaitsemaan tämän ja ottamaan haltuun virtuaalisen IP-osoitteen, mikä tarkoittaa, että asiakkaillesi on vain määritettävä .1 yhdyskäytäväksi ja sinulla on hyvä mennä.

Reitityksen suunnittelun kannalta se riippuvat suurelta osin nykyisestä asetuksesta. On mahdollista, että molemmat yhdyskäytävät johtavat samaan Internet-reunaan, jolloin sinulla ei ehkä ole ongelmaa. Epäsymmetrinen reititys voi olla huono lähinnä siksi, että saatat paketteja toimittaa väärässä järjestyksessä, mutta riippuu jälleen suuresti topologiasta sinä puhut.

Paljon suunnitteluperiaatteita sisältyy siihen, mitä juuri sanoin. Ehdotan, että tutkit molemmat protokollat ja määrität, mikä on parhaiten ympäristöäsi varten. Jos käytät Cisco-vaihdetta, HSRP on laajalti käytetty ja hyvin ymmärretty tapa ratkaista tämä ongelma.

Kommentit

  • ja älä ’ älä unohda, että on myös GLBP, joka tekee saman sorta-asian HSRP / VRRP (hyvin kinda) mutta sallii molemmat yhdyskäytävät tosiasiallisesti kuormituksen tasapainottamiseen. Vianmääritys muuttuu joskus hieman vaikeammaksi, koska jotkut asiakkaat voivat olla R1: llä ja toiset R2: lla.
  • @mierdin, epäsymmetrisellä reitityksellä ei ole mitään tekemistä pakettien uudelleenjärjestämisen kanssa. saman etuliitteen monireittireittien tulos …

Vastaus

Koko Internet on rakennettu epäsymmetriselle reititykselle , joten se on hyvin yleistä. Asiakkaat ovat kiinnostuneita käyttöliittymästä, johon he saavat paketin, ja paketin lähteestä, ei siitä, mikä reititin välitti sen heille kyseisellä käyttöliittymällä.

Epäsymmetrinen reititys voi kuitenkin olla ongelmallista kun laitteita (erityisesti palomuureja) ja NAT: a seurataan, mutta sikäli kuin voin kertoa, tämä ei ole esimerkissäsi.

Kommentit

  • Se voi myös olla ongelma, kun suoritat jonkinlaista käänteisen reitin edelleenlähetystä. Muuten se ei ole niin iso asia
  • Miksi se olisi ongelma? Reitti on olemassa ja vastaa rajapintoja, joten tiukka RPF ei ’ t laukaise tätä.
  • jos reitittimessä on kaksi ulkoista rajapintaa pakettien kanssa yhdellä tavalla ( seuraamalla IGP: tä) ja palaamalla takaisin toiseen, se pudottaisi kyseisen paketin. Saapuva paketti epäonnistuu tiukassa RPF-tarkistuksessa, elleivät tietenkään kustannukset ole samat

Answer

Verkkoasiakkaat tunnista liikennevirrat neljän arvon yhdistelmän perusteella:

  • Lähdeosoite
  • Lähdeportti
  • Kohdeosoite
  • Kohdeportti

Jokaista erilaista yhteyttä varten yllä olevat 4 arvoa muodostavat erilaisen yhdistelmän, jota käytetään vastaamaan vastauspaketit oikeaan suuntaan.Kuten näette, yhdyskäytävää tai seuraavan hypyn osoitetta ei sisälly luetteloon, joten asiakas ei välitä siitä, tuleeko paketti takaisin saman yhdyskäytävän kautta, jota käytettiin pakettiensa lähettämiseen. Joten verkkoasiakkaat eivät välitä epäsymmetrisestä reitityksestä heti, kun he voivat vastaanottaa liikennettä etäpäästä. Itse asiassa TCP / IP suunniteltiin alun perin tukemaan asymmetristä reititystä.

Jos kuitenkin keskitymme verkon välilaitteisiin, asymmetristä reititystä ei sallita heti, kun käytät laitetta / tekniikkaa, joka tarvitsee nähdä kaikki paketit yhteydessä tarjotakseen tietyn toiminnallisuuden. Esimerkiksi: NAT, tilalliset palomuurit tai jotkut WAN-optimoijat. Asymmetrinen reititys tällaisessa skenaariossa aiheuttaisi joko suunnitellun toiminnallisuuden puuttumisen tai, mikä pahinta, pakettien pudottamisen tekisi viestinnästä mahdotonta.

Answer

Olen samaa mieltä edessäni olevien vastausten kanssa, mutta minun on lisättävä jotain: jos jossakin yhdyskäytävässä tai missä tahansa hyppyyn suodatetaan vain yksi kahdesta yhdyskäytävästä, ongelmat todennäköisesti syntyvät! (humalat, jotka kulkevat molempien yhdyskäytävien kautta, kuten lähdekone, kohdekone ja kaikki ”molemmille yhdyskäytäväreiteille yhteiset” humalat, eivät koske seuraavia tilanteita)

Esimerkiksi, jos A lähetä paketteja B: lle yhdyskäytävän1 kautta, ja paketit palaavat yhdyskäytävän2 kautta, on erittäin todennäköistä, että vastauspaketti pudotetaan, jos yhdyskäytävä2 tekee suodatusta (koska kyseinen yhdyskäytävä ei nähnyt aloitettavaa yhteyspakettia, joten se ei odota vastausta , joten jos vastepaketin dest / portti suodatetaan yleensä, se suodatetaan.)

(On tietysti monia vastaavia skenaarioita) Vastaus

Kaksi muuta aluetta, joilla epäsymmetriset reitit aiheuttavat ongelmia, ovat seuraavat: 1. MTU-löytö – jos pienin MTU kahdesta polusta eroaa, päätepisteen MTU-polun löytäminen voisi johtaa suurimpaan kahdesta MTU: sta, mikä puolestaan johtaa maksimikokoisten pakettien pudottamiseen. Jos esimerkiksi yksi polku kulkee VPN-tunnelin läpi ja toinen ei, VPN-tunnelilla on pienempi MTU. ping toimii hyvin, mutta suurten tiedostojen siirtäminen epäonnistuu jatkuvasti. 2. Yhteysongelmien kuvaaminen on vaikeampaa, jos toinen polusta on rikki, mutta toinen ei. Vanha hyvä ”traceroute” ei ole lainkaan apua, koska se ei pysty havaitsemaan käänteisen reitin välipisteitä, ellei sitä käytetä yhteyden molemmilta puolilta, mikä vaatii kaistan ulkopuolisen hallintakanavan …

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *