Asymetrické směrování s několika síťovými cestami

  • Článek

Tento článek vysvětluje, jak může síťový provoz nabírat různé cesty, když je mezi zdrojem sítě a cílem k dispozici více tras.

Existují dva koncepty, které potřebujete znát, abyste porozuměli asymetrickému směrování. První je účinek více síťových cest. Druhým je způsob, jakým zařízení, jako je brána firewall, udržují stav. Pro tyto typy zařízení se používá označení stavová zařízení. Když se tyto dva faktory zkombinují, můžou vytvořit scénář, ve kterém stavové zařízení zahodí síťový provoz. Provoz se zahodí, protože nezjistil, že provoz pochází ze sebe.

Několik síťových cest

Pokud má podniková síť pouze jedno propojení s internetem prostřednictvím poskytovatele internetových služeb, veškerý provoz směřující do a z internetu prochází stejnou cestou. Je běžné, že společnosti kupují více okruhů, aby vytvořily redundantní cesty pro zlepšení provozuschopnosti sítě. U tohoto typu konfigurace je možné, že provoz vyjede jedním odkazem na internet a vrátí se přes jiný odkaz. Tento scénář se běžně označuje jako asymetrické směrování. V asymetrickém směrování má zpětný síťový provoz jinou cestu než původní odchozí tok.

Síť s více cestami

I když při přechodu na internet obvykle dochází k asymetrickému směrování. Stává se to také při zavedení kombinace více cest. První příklad je, když máte internetovou cestu a soukromou cestu, která vede do stejného cíle. Druhý příklad je, když máte více privátních cest, které také vedou do stejného cíle.

Každý směrovač podél cesty mezi zdrojem a cílem vypočítá nejlepší cestu k dosažení cíle. Směrovač určí nejlepší možnou cestu na základě dvou hlavních faktorů:

  • Směrování mezi externími sítěmi je založené na směrovacím protokolu BGP (Border Gateway Protocol). Protokol BGP přijímá inzerování z okolí a provádí s nimi řadu kroků, podle kterých určí nejlepší cestu do požadovaného cíle. Nejlepší cestu uloží do své směrovací tabulky.
  • Na cesty směrování má vliv délka masky podsítě přidružené k trase. Pokud směrovač obdrží více oznámení o stejné IP adrese, vybere cestu s delší maskou podsítě, protože se považuje za konkrétnější trasu.

Stavová zařízení

Směrovače si pro účely směrování čtou hlavičku protokolu IP paketu. Některá zařízení zkoumají paket i hlouběji. Tato zařízení se obvykle dívají na hlavičky vrstvy 4 – TCP (Transmission Control Protocol), UDP (User Datagram Protocol) nebo dokonce na hlavičky vrstvy 7 (aplikační vrstva). Tyto typy zařízení patří buď mezi zařízení zabezpečení, nebo mezi zařízení optimalizace šířky pásma.

Brána firewall je obvyklým příkladem stavového zařízení. Brána firewall na základě různých kritérií povoluje nebo odmítá průchod paketů přes její rozhraní. Mezi tato kritéria patří mimo jiné protokol, port TCP/UDP a hlavičky adres URL. Tato úroveň kontroly paketů může zařízení zatěžovat velkým zatížením.

Aby se zvýšil výkon, brána firewall kontroluje první paket toku. Pokud umožní paketu procházet jeho rozhraními, uchovává informace o toku ve své stavové tabulce. Všechny následné pakety související s tímto tokem jsou pak povoleny na základě počátečního určení. Paket, který je součástí existujícího toku, může přijít do brány firewall, ze které nepochází. Vzhledem k tomu, že nemá žádné předchozí informace o počátečním toku, brána firewall paket zahodí.

Asymetrické směrování s ExpressRoute

Když se připojíte k Microsoftu prostřednictvím Azure ExpressRoute, vaše síť se změní takto:

  • Máte k Microsoftu víc propojení. Jedním z odkazů je vaše stávající připojení k internetu a druhým přes připojení ExpressRoute. Určitý provoz určený pro Microsoft může projít přes připojení k internetu, ale vrátit se přes vaše připojení ExpressRoute. Totéž může nastat také v případě, že provoz prochází přes ExpressRoute, ale vrací se přes internet.
  • Z okruhu ExpressRoute jste obdrželi konkrétnější IP adresy. Takže když provoz z vaší sítě směřuje do Microsoftu pro služby nabízené prostřednictvím ExpressRoute, vaše směrovače vždy preferují připojení ExpressRoute.

Abychom pochopili dopad těchto dvou změn na síť, podívejme se na některé scénáře. Například máte okruh k internetu a všechny služby Microsoftu využíváte prostřednictvím internetu. Provoz z vaší sítě do a z Microsoftu prochází stejným internetovým propojením a prochází bránou firewall. Brána firewall zaznamená tok, když uvidí první paket. Všechny následné pakety této konverzace jsou povolené, protože tok existuje ve stavové tabulce.

Asymetrické směrování s ExpressRoute

Pak spustíte okruh ExpressRoute, který bude využívat služby nabízené Microsoftem přes ExpressRoute. Všechny ostatní služby od Microsoftu se využívají přes internet. Na hraničním zařízení nasadíte samostatnou bránu firewall, která je připojená k připojení ExpressRoute. Microsoft pro určité služby inzeruje do vaší sítě přes ExpressRoute konkrétnější předpony. Vaše infrastruktura směrování zvolí jako upřednostňovanou cestu pro tyto předpony ExpressRoute.

Pokud své veřejné IP adresy neinzerujete Microsoftu přes ExpressRoute. Microsoft komunikuje s vašimi veřejnými IP adresami přes internet. Provoz odesílaný z vaší sítě do Microsoftu používá připojení ExpressRoute, ale zpětný provoz od Microsoftu používá internetovou cestu. Když brána firewall na vašem hraničním zařízení uvidí paket odpovědi pro tok, o kterém neví, tyto pakety vyhodí.

Pokud se rozhodnete inzerovat stejný fond překladu síťových adres (NAT) pro ExpressRoute a pro internet. Na privátních IP adresách se zobrazují podobné problémy s klienty ve vaší síti. Požadavky na služby, jako je služba Windows Update, budou procházet internetem, protože IP adresy těchto služeb nejsou inzerovány přes ExpressRoute. Zpětný provoz se ale vrací přes ExpressRoute. Vzhledem k tomu, že Microsoft obdržel IP adresu se stejnou maskou podsítě z internetu a ExpressRoute, upřednostňovanou cestou je vždy ExpressRoute. Pokud brána firewall nebo jiné stavové zařízení na okraji sítě směřující k připojení ExpressRoute nemá žádné předchozí informace o toku, zahodí tyto pakety.

Řešení asymetrického směrování

Máte dvě dostupné možnosti řešení problému s asymetrickým směrováním. První je prostřednictvím směrování a druhá pomocí zdrojového překladu adres (NAT) (SNAT).

Směrování

Ujistěte se, že jsou vaše veřejné IP adresy inzerované na odpovídající propojení sítě WAN (Wide Area Network). Například pokud chcete používat internet pro ověřovací provoz a ExpressRoute pro váš poštovní provoz. Veřejné IP adresy Active Directory Federation Services (AD FS) (AD FS) neinzerujte přes ExpressRoute. Ujistěte se také, že místní server AD FS nezpřístupňujete IP adresám, které směrovač přijímá přes ExpressRoute. Trasy přijímané přes ExpressRoute jsou konkrétnější, takže se ExpressRoute stane upřednostňovanou cestou pro ověřovací provoz do Microsoftu. Pokud nevěčíte tomu, jak se ve vaší síti provádí směrování, může dojít k problémům s asymetrickým směrováním.

Pokud chcete k ověřování používat ExpressRoute, ujistěte se, že inzerujete veřejné IP adresy služby AD FS přes ExpressRoute bez překladu adres (NAT). Při konfiguraci tímto způsobem bude provoz, který pochází od Microsoftu, směrovat na váš místní server AD FS přes ExpressRoute. Zpětný provoz z vaší sítě, který směřuje do Microsoftu, používá ExpressRoute, protože je to upřednostňovaná trasa přes internet.

Překlad adres na základě zdroje

Dalším způsobem, jak vyřešit problém s asymetrickým směrováním, je použití SNAT. Například se rozhodnete neinzerovat veřejnou IP adresu místního serveru SMTP (Simple Mail Transfer Protocol) přes ExpressRoute. Místo toho chcete k tomuto typu komunikace používat internet. Žádost od Microsoftu, která se dostane na váš místní server SMTP, prochází internetem. U příchozího požadavku provedete překlad adresy zdroje na vnitřní IP adresu. Zpětný provoz ze serveru SMTP směřuje do hraniční brány firewall (kterou používáte pro PŘEKLAD ADRES) místo přes ExpressRoute. V důsledku toho se zpětný provoz dostane do internetové cesty.

Konfigurace sítě s překladem adres na základě zdroje

Detekce asymetrického směrování

Nejlepším způsobem, jak zajistit, že provoz z vaší sítě prochází očekávanou cestou, je traceroute. Pokud očekáváte, že provoz z místního serveru SMTP do Microsoftu přejde na internetovou cestu, je očekávaná trasa traceroute ze serveru SMTP do Microsoftu 365. Výsledek ověří, že provoz skutečně opouští vaši síť směrem k internetu, a ne směrem k ExpressRoute.