ネットワークで「非対称ルーティング」と定義したものを使用している顧客に出くわすことがあります。簡単に言うと、同じIPサブネット上に 2つのゲートウェイがあります。クライアントは1つのゲートウェイ(つまり172.16.1.1)を指すように構成されていますが、別のデバイス(つまり、172.16.1.2)が接続され、どこかにルーティングされます。ほとんどの場合、この種のセットアップは、2つの異なるタイプのWAN接続(1つのインターネット接続と1つの企業MPLS接続)があるときに見ました。
私は個人的に、上記の種類のネットワーク設計に惹かれていません。サブネットには、ゲートウェイが1つだけ必要です。私の見解では、上記のシナリオでは、クライアントがデフォルトゲートウェイ(172.16.1.1)にパケットを送信し、それらのパケットが他のルーター(172.16.1.2)に転送され、応答されたときに、いくつかの問題が発生する可能性があります。に、172.16.1.2を通過するだけでクライアントに到達します。クライアントは、応答パケットが172.16.1.1から送信されることを期待するか、期待する必要がありますか、それともここで間違っていますか?
この問題について、ご意見や技術的な見解をいただければ幸いです。
コメント
- 何か答えが役に立ちましたか?もしそうなら、質問が維持されないように答えを受け入れる必要があります'永遠にポップアップし、答えを探します。または、自分の答えを投稿して受け入れることもできます。
答え
HSRPやVRRPなどのファーストホップ冗長プロトコルを調べることをお勧めします。
実際には、ルーターに障害が発生した場合、もう一方のルーターがただし、ご存知のように、サブネット上の各クライアントを手動で再構成する必要がある場合は、この移行を行うのは簡単ではありません。
HSRP(またはVRRPの場合)などのプロトコルシスコ以外の機器を使用している場合は、2つ(またはそれ以上)のルーター(またはL3スイッチ)を使用できますs)サブネット上で単一のIPアドレスを共有します。最初のルーターのアドレスは.2、seondのアドレスは.3、「仮想IPアドレス」は.1で、両方のルーターが構成を通じて認識します。プライマリルーターに障害が発生すると、セカンダリルーターに障害が発生します。はこれを検出して仮想IPアドレスを引き継ぐことができます。つまり、クライアントは.1をゲートウェイとして構成するだけで、「準備完了」です。
ルーティング設計に関しては、現在の設定に大きく依存します。両方のゲートウェイが同じインターネットエッジにつながる可能性があります。その場合、問題は発生しません。非対称ルーティングは、主にパケットが間違った順序で配信されるリスクがあるために悪い場合がありますが、これもトポロジに大きく依存します。あなたは「話している」。
私が今言ったことには多くの設計原則が含まれている。両方のプロトコルを調査し、環境に最適なものを決定することをお勧めします。シスコの機器を使用している場合、HSRPは、この問題を解決するために広く使用され、よく理解されている方法です。
コメント
- そして'同じようなHSRP / VRRPを実行するGLBPもあることを忘れないでください(まあまあ)が両方を許可します実際にトラフィックを負荷分散するためのゲートウェイ。一部のクライアントがR1にあり、他のクライアントがR2にある可能性があるため、デバッグが少し難しくなることがあります。
- @mierdin、非対称ルーティングはパケットの並べ替えとは関係ありません…並べ替えは通常、同じプレフィックスのマルチパスルートの結果…
回答
インターネット全体が非対称ルーティングに基づいて構築されています、したがって、それは非常に一般的です。クライアントは、パケットを受信するインターフェイスとパケットの送信元に関心があり、そのインターフェイスでどのルーターがパケットを渡したかではありません。
ただし、非対称ルーティングは問題になる可能性があります。状態を追跡するデバイス(特にファイアウォール)とNATが関係しているが、私が知る限り、これはあなたの例には当てはまりません。
コメント
- ある種のリバースパス転送を実行している場合にも問題になる可能性があります。そうでなければ、それほど大きな問題ではありません
- なぜそれが問題になるのでしょうか?ルートが存在し、インターフェースと一致するため、厳密なRPFでも'ここではトリガーされません。
- ルーターに2つの外部インターフェースがあり、パケットが一方向に送信される場合( IGPに続いて)、別のパケットに戻ると、そのパケットはドロップされます。もちろんコストが等しくない限り、着信パケットは厳密なRPFチェックに失敗します
回答
ネットワーククライアント4つの値の組み合わせに基づいてトラフィックフローを識別します。
- 送信元アドレス
- 送信元ポート
- 宛先アドレス
- 宛先ポート
接続ごとに、上記の4つの値が異なる組み合わせを形成し、応答パケットを適切なフローに一致させるために使用されます。ご覧のとおり、ゲートウェイまたはネクストホップアドレスはリストに含まれていないため、クライアントは、パケットの送信に使用したのと同じゲートウェイを介してパケットが戻ってきてもかまいません。したがって、ネットワーククライアントは、リモートエンドからトラフィックを受信できるようになるとすぐに、非対称ルーティングを気にしません。実際、TCP / IPは元々、非対称ルーティングをサポートするように設計されていました。
ただし、ネットワーク中間デバイスに焦点を当てる場合、特定の機能を提供するために接続内のすべてのパケットを確認する必要があるデバイス/テクノロジーを使用するとすぐに、非対称ルーティングは許容されません。例:NAT、ステートフルファイアウォール、または一部のWANオプティマイザー。このようなシナリオでの非対称ルーティングは、意図した機能が提供されないか、最悪の場合、パケットがドロップされて通信が不可能になる原因になります。
回答
私は私の前の答えに同意しますが、何かを追加する必要があります。ゲートウェイのいずれか、または2つのゲートウェイのうち1つだけを通過するホップにフィルタリングがある場合、問題が発生する可能性があります。 (送信元マシン、宛先マシンなどの両方のゲートウェイを介して渡されるホップ、および「両方のゲートウェイパスに共通」のホップは、次のシナリオには関係しません)
たとえば、Aゲートウェイ1を介してBにパケットを送信し、ゲートウェイ2を介してパケットが返されると、ゲートウェイ2がフィルタリングを実行している場合、応答パケットがドロップされる可能性が高くなります(ゲートウェイが開始接続パケットを認識しなかったため、応答を期待しないため)したがって、応答パケットの宛先/ポートが通常フィルタリングされる場合、それはフィルタリングされます。)
(もちろん、多くの同様のシナリオがあります)
回答
非対称ルートが問題を引き起こす他の2つの領域は、次のとおりです。1。MTU検出-2つのパスの最小MTUが異なる場合、エンドポイントMTUパス検出は次のようになります。その結果、2つのMTUのうち最大のものが生成され、その結果、最大サイズのパケットがドロップされます。たとえば、一方のパスがVPNトンネルを通過し、もう一方のパスが通過しない場合、 VPNトンネルのMTUは小さくなります。 pingは正常に機能しますが、大きなファイルの転送は一貫して失敗します。 2. 2つのパスの一方が壊れているが、もう一方が壊れていない場合、接続のトラブルシューティングはより困難になります。古き良き「traceroute」は、帯域外管理チャネルを必要とする接続の両側から実行されない限り、リバースパス中間ポイントを検出できないため、まったく役に立ちません。