Il arrive que je rencontre des clients qui ont ce que je définis comme un « routage asymétrique » dans leurs réseaux. Simplement dit, ils ont deux passerelles sur le même sous-réseau IP. Les clients sont configurés pour pointer vers une passerelle (cest-à-dire 172.16.1.1) mais il y a un autre périphérique (cest-à-dire 172.16.1.2) qui se connecte et achemine vers quelque part. La plupart du temps, jai vu ce type de configuration quand il y a 2 types différents de connexions WAN: 1 connexion Internet et 1 connexion MPLS dentreprise.
Personnellement, je ne suis pas attiré par le type de conception de réseau ci-dessus: chacun le sous-réseau doit avoir une et une seule passerelle. De mon point de vue, le scénario ci-dessus peut créer des problèmes pour les clients, car ils envoient un paquet à leur passerelle par défaut (172.16.1.1) et ces paquets sont ensuite transférés vers lautre routeur (172.16.1.2) et lorsquils reçoivent une réponse à, ils atteignent le client en passant simplement par 172.16.1.2. Les clients sattendent ou devraient sattendre à ce que les paquets de réponse proviennent de 172.16.1.1, ou est-ce que je me trompe ici?
Je serais heureux davoir vos opinions et points de vue techniques sur ce problème.
Commentaires
- Une réponse vous a-t-elle aidé? Si oui, vous devriez accepter la réponse afin que la question ne ‘ t apparaît pour toujours, à la recherche dune réponse. Vous pouvez également publier et accepter votre propre réponse.
Réponse
Je vous recommande de vous pencher sur les protocoles de redondance du premier saut comme HSRP ou VRRP.
En fait, avoir deux passerelles peut être une très bonne conception de réseau, car si un routeur tombe en panne, lautre routeur peut prendre Cependant, comme vous le savez, il n’est pas facile d’effectuer cette transition si vous devez effectuer une reconfiguration manuelle de chaque client sur un sous-réseau.
Des protocoles comme HSRP (ou VRRP si vous avez un équipement non-Cisco) vous permettent davoir deux (ou plus) routeurs (ou commutateur L3 s) sur un sous-réseau partagent une seule adresse IP. Vous aurez votre premier routeur avec une adresse de .2, le second avec une adresse de .3 et une « adresse IP virtuelle » de .1 que les deux routeurs sont conscients de la configuration. Lorsque le routeur principal échoue, le secondaire est capable de détecter cela et de prendre en charge ladresse IP virtuelle, ce qui signifie que vos clients ont juste besoin davoir .1 configuré comme leur passerelle et vous êtes prêt à partir.
En termes de conception de routage, ce serait dépendent largement de la configuration actuelle. Il est possible que les deux passerelles mènent au même bord Internet, auquel cas vous naurez peut-être pas de problème. Le routage asymétrique peut être mauvais, principalement parce que vous risquez que les paquets soient livrés dans le mauvais ordre, mais encore une fois, cela dépend grandement de la topologie vous parlez.
De nombreux principes de conception sont impliqués dans ce que je viens de dire. Je vous suggère de rechercher les deux protocoles et de déterminer ce qui est le mieux pour votre environnement. Si vous utilisez du matériel Cisco, HSRP est une méthode largement utilisée et bien comprise pour résoudre ce problème.
Commentaires
- and don ‘ t oublier quil y a aussi GLBP qui fait la même sorte de chose HSRP / VRRP (enfin un peu) mais permet les deux passerelles pour équilibrer la charge du trafic. Cela devient un peu plus difficile à déboguer parfois car certains clients peuvent être sur R1 et dautres peuvent être sur R2
- @mierdin, le routage asymétrique na rien à voir avec la réorganisation des paquets … résultat des routes multi-chemins pour le même préfixe …
Réponse
Tout Internet est construit sur un routage asymétrique , donc cest très courant. Les clients sont intéressés par linterface sur laquelle ils reçoivent le paquet et la source du paquet, pas par quel routeur le leur a transmis sur cette interface.
Le routage asymétrique peut cependant devenir problématique lorsque les appareils qui suivent létat (en particulier les pare-feu) et le NAT sont impliqués, mais pour autant que je sache, ce nest pas le cas dans votre exemple.
Commentaires
- Cela peut également être un problème lorsque vous exécutez une sorte de transfert de chemin inverse. Sinon, ce nest pas un si gros problème
- Pourquoi serait-ce un problème? La route existe et correspond aux interfaces, donc même un RPF strict ne se déclencherait pas ‘ ici.
- si un routeur a deux interfaces externes avec des paquets sortant dans un sens ( suivant IGP) et en revenant dans un autre, il abandonnerait ce paquet. Le paquet entrant échouerait à un contrôle RPF strict, à moins bien sûr que les coûts soient égaux
Answer
Clients du réseau identifier les flux de trafic en fonction de la combinaison de 4 valeurs:
- Adresse source
- Port source
- Adresse de destination
- Port de destination
Pour chaque connexion différente, les 4 valeurs ci-dessus forment une combinaison différente qui est utilisée pour faire correspondre les paquets de réponse au bon flux.Comme vous pouvez le voir, la passerelle ou ladresse du prochain saut nest pas incluse dans la liste et par conséquent, le client ne se souciera pas si un paquet revient par la même passerelle que celle utilisée pour envoyer ses paquets. Ainsi, les clients du réseau ne se soucient pas du routage asymétrique dès quils peuvent recevoir le trafic de lextrémité distante. En fait, TCP / IP a été conçu à lorigine pour prendre en charge le routage asymétrique.
Cependant, si nous nous concentrons sur les périphériques réseau intermédiaires, le routage asymétrique nest pas toléré dès que vous utilisez un périphérique / une technologie qui a besoin de voir tous les paquets dans une connexion pour fournir une fonctionnalité donnée. Par exemple: NAT, pare-feu avec état ou certains optimiseurs WAN. Un routage asymétrique dans un tel scénario entraînerait la non-fourniture de la fonctionnalité prévue ou, pire encore, la perte de paquets rendant la communication impossible.
Réponse
Je suis daccord avec les réponses devant moi, mais je dois ajouter quelque chose: sil y a un filtrage sur lune des passerelles, ou sur nimporte quel saut qui est passé via seulement 1 des 2 passerelles, des problèmes sont susceptibles de survenir! (les sauts qui sont passés via les deux passerelles, tels que la machine source, la machine de destination et tout saut « commun aux deux chemins de passerelle », ne sont pas concernés par les scénarios suivants)
Par exemple, si A envoyer des paquets à B via gateway1, et les paquets retournent via gateway2, alors il est fort probable que le paquet de réponse soit abandonné si gateway2 effectue un filtrage (parce que cette passerelle na pas vu le paquet de connexion initial, donc elle nattend pas de réponse , donc si le dest / port du paquet de réponse est généralement filtré, il sera filtré.)
(Il existe bien sûr de nombreux scénarios similaires)
Réponse
Les deux autres domaines dans lesquels les routes asymétriques causeront des problèmes sont les suivants: 1. Découverte MTU – si le plus petit MTU des deux chemins diffère, la découverte du chemin MTU au point final pourrait résultent en un plus grand des deux MTU, ce qui à son tour entraînera la suppression de paquets de taille maximale. Par exemple, si un chemin passe par un tunnel VPN et lautre pas, le tunnel VPN aura un MTU plus petit. ping fonctionnera correctement, mais le transfert de fichiers volumineux échouera systématiquement. 2. Le dépannage de la connectivité sera plus difficile si lun des deux chemins est interrompu mais pas lautre. Le bon vieux « traceroute » ne sera daucune utilité, car il ne pourra pas détecter les points intermédiaires du chemin inverse, sauf sil est exercé des deux côtés de la connexion, ce qui nécessite un canal de gestion hors bande …