Roteamento assimétrico – causas e efeitos?

Acontece que encontro clientes que têm o que defino como um “roteamento assimétrico” em suas redes. Simplificando, eles têm dois gateways na mesma sub-rede IP. Os clientes são configurados para apontar para um gateway (ou seja, 172.16.1.1), mas há outro dispositivo (ou seja, 172.16.1.2) que se conecta e roteia para algum lugar. Geralmente, eu vi esse tipo de configuração quando há 2 tipos diferentes de conexões WAN: 1 conexão à Internet e 1 conexão MPLS corporativa.

Pessoalmente, não me sinto atraído pelo tipo de design de rede acima: cada um a sub-rede deve ter um e apenas um gateway. Do meu ponto de vista, o cenário acima pode criar alguns problemas para os clientes, porque eles enviam um pacote para seu gateway padrão (172.16.1.1) e esses pacotes são encaminhados para o outro roteador (172.16.1.2) e quando são respondidos para, eles alcançam o cliente simplesmente passando por 172.16.1.2. Os clientes deveriam ou deveriam esperar que os pacotes de resposta viessem de 172.16.1.1, ou estou errado aqui?

Ficaria feliz em ter suas opiniões e visões técnicas sobre este problema.

Comentários

  • Alguma resposta ajudou você? Se sim, você deve aceitar a resposta para que a pergunta não ‘ se mantenha aparecendo sempre em busca de uma resposta. Como alternativa, você pode postar e aceitar sua própria resposta.

Resposta

Eu recomendaria que você olhasse os protocolos de redundância de primeiro salto, como HSRP ou VRRP.

Na verdade, ter dois gateways pode ser um projeto de rede muito bom, porque se um roteador falhar, o outro pode demorar de forma integrada. No entanto, como você sabe, não é fácil fazer essa transição se você tiver que fazer uma reconfiguração manual de cada cliente em uma sub-rede.

Protocolos como HSRP (ou VRRP se você tem equipamento não Cisco) permite que você tenha dois (ou mais) roteadores (ou chave L3 s) em uma sub-rede compartilham um único endereço IP. Você terá seu primeiro roteador com um endereço de .2, o segundo com um endereço de .3 e um “endereço IP virtual” de .1 que ambos os roteadores conhecem por meio da configuração. Quando o roteador primário falha, o secundário é capaz de detectar isso e assumir o endereço IP virtual, o que significa que seus clientes só precisam ter .1 configurado como gateway e você está pronto para prosseguir.

Em termos de design de roteamento, isso seria depende muito da configuração atual. É possível que os dois gateways levem à mesma borda da Internet, caso em que você não terá problemas. O roteamento assimétrico pode ser ruim, principalmente porque você corre o risco de os pacotes serem entregues na ordem errada, mas, novamente, depende muito da topologia você está falando.

Muitos princípios de design implícitos no que acabei de dizer. Eu sugiro que você pesquise os dois protocolos e determine o que é melhor para o seu ambiente. Se você estiver usando equipamento Cisco, o HSRP é um método amplamente usado e bem conhecido de resolver esse problema.

Comentários

  • e não ‘ não se esqueça de que também há GLBP que faz a mesma coisa HSRP / VRRP (bem meio), mas permite os dois gateways para realmente balancear a carga do tráfego. Apenas se torna um pouco mais difícil de depurar às vezes, pois alguns clientes podem estar em R1 e outros podem estar em R2
  • @mierdin, o roteamento assimétrico não tem nada a ver com reordenamento de pacotes … o reordenamento normalmente vem como o resultado de rotas multipath para o mesmo prefixo …

Resposta

Toda a internet é construída em roteamento assimétrico , por isso é muito comum. Os clientes estão interessados na interface em que recebem o pacote e na origem do pacote, e não em qual roteador o passou para eles nessa interface.

O roteamento assimétrico pode ser problemático, no entanto quando dispositivos que monitoram o estado (especialmente firewalls) e NAT estão envolvidos, mas, pelo que posso dizer, esse não é o caso em seu exemplo.

Comentários

  • Também pode ser um problema quando você está executando algum tipo de encaminhamento de caminho reverso. Caso contrário, não é um problema tão grande
  • Por que isso seria um problema? A rota existe e corresponde às interfaces, portanto, mesmo RPF estrito não ‘ dispararia aqui.
  • se um roteador tiver duas interfaces externas com pacotes saindo em uma direção ( seguindo o IGP) e voltando para outro, ele descartaria esse pacote. O pacote de entrada falharia em uma verificação de RPF estrita, a menos que os custos sejam iguais

Resposta

Clientes de rede identificar fluxos de tráfego com base na combinação de 4 valores:

  • Endereço de origem
  • Porta de origem
  • Endereço de destino
  • Porta de destino

Para cada conexão diferente, os 4 valores acima formam uma combinação diferente que é usada para combinar os pacotes de resposta com o fluxo correto.Como você pode ver, o gateway ou o endereço de próximo salto não está incluído na lista e, portanto, o cliente não se importará se um pacote voltar pelo mesmo gateway usado para enviar seus pacotes. Portanto, os clientes da rede não se preocupam com o roteamento assimétrico assim que podem receber o tráfego da extremidade remota. Na verdade, o TCP / IP foi projetado originalmente para oferecer suporte ao roteamento assimétrico.

No entanto, se nos concentrarmos em dispositivos intermediários de rede, o roteamento assimétrico não será tolerado assim que você estiver usando qualquer dispositivo / tecnologia que precise ver todos os pacotes em uma conexão para fornecer uma determinada funcionalidade. Por exemplo: NAT, firewalls com estado ou alguns otimizadores de WAN. O roteamento assimétrico em tal cenário faria com que a funcionalidade pretendida não fosse fornecida ou, pior ainda, os pacotes seriam descartados, tornando a comunicação impossível.

Resposta

Eu concordo com as respostas antes de mim, mas tenho que acrescentar algo: se houver alguma filtragem em qualquer um dos gateways, ou em qualquer salto que seja passado por apenas 1 dos 2 gateways, provavelmente surgirão problemas! (saltos que são passados por ambos os gateways, como a máquina de origem, a máquina de destino e quaisquer saltos “comuns a ambos os caminhos de gateway”, não se preocupam com os seguintes cenários)

Por exemplo, se A enviar pacotes para B através do gateway1 e os pacotes retornarem através do gateway2, então é altamente provável que o pacote de resposta seja descartado se o gateway2 estiver fazendo a filtragem (porque esse gateway não viu o pacote de conexão inicial, então não espera uma resposta , portanto, se o destino / porta do pacote de resposta normalmente é filtrado, ele será filtrado.)

(Existem, é claro, muitos cenários semelhantes)

Resposta

Outras duas áreas onde as rotas assimétricas causarão problemas são: 1. Detecção de MTU – se a menor MTU dos dois caminhos for diferente, a descoberta de caminho de MTU de ponto final pode resultará em um maior dos dois MTU, o que por sua vez resultará na perda de pacotes de tamanho máximo. Por exemplo, se um caminho passa por um túnel VPN e o outro não, o túnel VPN terá um MTU menor. o ping funcionará bem, mas a transferência de arquivos grandes falhará consistentemente. 2. A resolução de problemas de conectividade será mais difícil se um dos dois caminhos estiver quebrado, mas o outro não. O bom e velho “traceroute” não ajudará em nada, pois não será capaz de detectar os pontos intermediários do caminho reverso, a menos que seja exercido de ambos os lados da conexão, o que requer um canal de gerenciamento fora de banda …

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *