Mi capita di imbattermi in clienti che hanno quello che io definisco un “routing asimmetrico” nelle loro reti. Detto semplicemente, hanno due gateway sulla stessa sottorete IP. I client sono configurati per puntare a un gateway (ad esempio 172.16.1.1) ma cè un altro dispositivo (ad esempio 172.16.1.2) che si connette e instrada da qualche parte. Per lo più ho visto questo tipo di configurazione quando ci sono 2 diversi tipi di connessioni WAN: 1 connessione Internet e 1 connessione MPLS aziendale.
Personalmente non sono attratto dal tipo di rete di cui sopra: ciascuna la sottorete deve avere un solo gateway. Dal mio punto di vista, lo scenario sopra potrebbe creare alcuni problemi per i client, perché inviano un pacchetto al loro gateway predefinito (172.16.1.1) e quei pacchetti vengono quindi inoltrati allaltro router (172.16.1.2) e quando ricevono risposta a, raggiungono il cliente semplicemente passando per 172.16.1.2. I client si aspetterebbero o dovrebbero aspettarsi che i pacchetti di risposta provengano da 172.16.1.1, o mi sbaglio qui?
Sarei felice di avere le tue opinioni e opinioni tecniche su questo problema.
Commenti
- Qualche risposta ti è stata daiuto? In tal caso, dovresti accettare la risposta in modo che la domanda non ‘ mantenga che appare per sempre, alla ricerca di una risposta. In alternativa, puoi pubblicare e accettare la tua risposta.
Risposta
Consiglierei di esaminare i protocolli di ridondanza First Hop come HSRP o VRRP.
In realtà, avere due gateway può essere un ottimo progetto di rete, perché se un router dovesse guastarsi, laltro router può abbastanza facilmente. Tuttavia, come sai, non è facile effettuare questa transizione se devi riconfigurare manualmente ogni client su una sottorete.
Protocolli come HSRP (o VRRP se hai dispositivi non Cisco) ti consentono di avere due (o più) router (o L3 switche s) su una sottorete condividono un singolo indirizzo IP. Avrai il tuo primo router con un indirizzo di .2, il secondo con un indirizzo di .3 e un “indirizzo IP virtuale” di .1 di cui entrambi i router sono a conoscenza durante la configurazione. Quando il router principale si guasta, il secondario è in grado di rilevare questo e prendere il controllo dellindirizzo IP virtuale, il che significa che i tuoi clienti devono solo avere configurato .1 come gateway e tu sei a posto.
In termini di progettazione del routing, ciò sarebbe dipendono in gran parte dalla configurazione corrente. È possibile che entrambi i gateway conducano allo stesso perimetro Internet, nel qual caso potresti non avere problemi. Linstradamento asimmetrico può essere dannoso, principalmente perché rischi che i pacchetti vengano consegnati nellordine sbagliato, ma ancora una volta, dipende molto dalla topologia stai parlando.
Molti principi di progettazione impliciti in quello che ho appena detto. Ti suggerisco di ricercare entrambi i protocolli e di determinare qual è il migliore per il tuo ambiente. Se stai utilizzando apparecchiature Cisco, HSRP è un metodo ampiamente utilizzato e ben compreso per risolvere questo problema.
Commenti
- e don ‘ per dimenticare che cè anche GLBP che fa la stessa cosa di sorta HSRP / VRRP (beh, un po ) ma consente entrambi gateway per bilanciare effettivamente il carico del traffico. A volte diventa un po più difficile eseguire il debug in quanto alcuni client potrebbero essere su R1 e altri potrebbero essere su R2
- @mierdin, il routing asimmetrico non ha nulla a che fare con il riordino dei pacchetti … il riordino tipicamente arriva come il risultato di percorsi multipath per lo stesso prefisso …
Answer
Lintera Internet è basata su routing asimmetrico , quindi è molto comune. I clienti sono interessati allinterfaccia su cui ricevono il pacchetto e allorigine del pacchetto, non a quale router lo ha passato su quellinterfaccia.
Linstradamento asimmetrico può tuttavia diventare problematico quando sono coinvolti dispositivi che tengono traccia dello stato (in particolare firewall) e NAT, ma per quanto ne so non è il caso del tuo esempio.
Commenti
- Potrebbe anche essere un problema quando esegui una sorta di inoltro del percorso inverso. Altrimenti non è un grosso problema
- Perché dovrebbe essere un problema? Il percorso esiste e corrisponde alle interfacce, quindi anche lRPF rigoroso non ‘ si attiva qui.
- se un router ha due interfacce esterne con pacchetti che escono in un modo ( seguendo IGP) e tornando in un altro, lascerebbe cadere quel pacchetto. Il pacchetto in arrivo fallirebbe un rigoroso controllo RPF, a meno che, ovviamente, i costi non siano uguali
Answer
Client di rete identificare i flussi di traffico in base alla combinazione di 4 valori:
- Indirizzo di origine
- Porta di origine
- Indirizzo di destinazione
- Porta di destinazione
Per ogni diversa connessione i 4 valori sopra formano una diversa combinazione che viene utilizzata per abbinare i pacchetti di risposta al flusso corretto.Come puoi vedere, il gateway o lindirizzo dellhop successivo non è incluso nellelenco e quindi al client non interesserà se un pacchetto ritorna attraverso lo stesso gateway utilizzato per inviare i suoi pacchetti. Pertanto, i client di rete non si preoccupano del routing asimmetrico non appena possono ricevere il traffico dallestremità remota. In realtà, TCP / IP è stato originariamente progettato per supportare il routing asimmetrico.
Tuttavia, se ci concentriamo sui dispositivi intermedi di rete, linstradamento asimmetrico non è tollerato non appena si utilizza un dispositivo / tecnologia che necessita di vedere tutti i pacchetti in una connessione per fornire una determinata funzionalità. Ad esempio: NAT, firewall stateful o alcuni ottimizzatori WAN. Linstradamento asimmetrico in tale scenario causerebbe la mancata fornitura della funzionalità prevista o, peggio ancora, la perdita di pacchetti rendendo impossibile la comunicazione.
Risposta
Sono daccordo con le risposte prima di me, ma devo aggiungere qualcosa: se cè qualche filtro su uno qualsiasi dei gateway, o su qualsiasi hop che viene passato solo tramite 1 dei 2 gateway, è probabile che sorgano problemi! (gli hop che vengono passati tramite entrambi i gateway, come la macchina di origine, la macchina di destinazione e qualsiasi salto “comune a entrambi i percorsi del gateway”, non sono interessati ai seguenti scenari)
Ad esempio, se A invia pacchetti a B tramite gateway1 e restituisce pacchetti tramite gateway2, quindi è altamente probabile che il pacchetto di risposta venga scartato se gateway2 sta filtrando (perché quel gateway non ha visto il pacchetto di connessione iniziale, quindi non si aspetta una risposta , quindi se la destinazione / porta del pacchetto di risposta viene solitamente filtrata, verrà filtrata.)
(Ci sono, ovviamente, molti scenari simili)
Risposta
Altre due aree in cui i percorsi asimmetrici causeranno problemi sono le seguenti: 1. Rilevamento MTU: se il MTU più piccolo dei due percorsi è diverso, il percorso MTU endpoint potrebbe si traduce in una più grande delle due MTU, che a sua volta comporterà la caduta dei pacchetti di dimensione massima. Ad esempio, se un percorso attraversa un tunnel VPN e laltro no, il tunnel VPN avrà una MTU più piccola. il ping funzionerà correttamente, ma il trasferimento di file di grandi dimensioni fallirà costantemente. 2. La risoluzione dei problemi di connettività sarà più difficile se uno dei due percorsi è interrotto ma laltro no. Il buon vecchio “traceroute” non sarà di alcun aiuto, in quanto non sarà in grado di rilevare i punti intermedi del percorso inverso, a meno che non venga esercitato da entrambi i lati della connessione, che richiede un canale di gestione fuori banda …