Asymmetrische routering met meerdere netwerkpaden

  • Artikel

In dit artikel wordt uitgelegd hoe netwerkverkeer verschillende paden kan nemen wanneer er meerdere routes beschikbaar zijn tussen netwerkbron en doel.

Er zijn twee concepten die u moet kennen om asymmetrische routering te begrijpen. De eerste is het effect van meerdere netwerkpaden. De andere is hoe apparaten, zoals een firewall, de status behouden. Dit soort apparaten worden stateful apparaten genoemd. Wanneer deze twee factoren worden gecombineerd, kunnen ze een scenario maken waarin netwerkverkeer wordt verwijderd door het stateful apparaat. Het verkeer wordt verwijderd omdat niet is gedetecteerd dat het verkeer van zichzelf afkomstig is.

Meerdere netwerkpaden

Wanneer een bedrijfsnetwerk slechts één verbinding met internet heeft via een internetprovider, gaat al het verkeer van en naar internet via hetzelfde pad. Het is gebruikelijk dat bedrijven meerdere circuits aanschaffen om redundante paden te maken om de uptime van het netwerk te verbeteren. Met dit type configuratie is het mogelijk dat verkeer één koppeling naar internet uitgaat en via een andere koppeling terugkeert. Dit scenario wordt asymmetrische routering genoemd. Bij asymmetrische routering neemt het retournetwerkverkeer een ander pad dan de oorspronkelijke uitgaande stroom.

Netwerk met meerdere paden

Hoewel asymmetrische routering meestal optreedt wanneer u naar internet gaat. Dit gebeurt ook wanneer een combinatie van meerdere paden wordt geïntroduceerd. Het eerste voorbeeld is wanneer u een internetpad en een privépad hebt dat naar dezelfde bestemming gaat. Het tweede voorbeeld is wanneer u meerdere privépaden hebt die ook naar dezelfde bestemming gaan.

Elke router langs het pad tussen de bron en de bestemming berekent het beste pad om de bestemming te bereiken. De router bepaalt het best mogelijke pad op basis van twee belangrijke factoren:

  • Routering tussen externe netwerken is gebaseerd op een routeringsprotocol, het Border Gateway Protocol (BGP). BGP kijkt naar aankondigingen van neighbors en voert hier een aantal stappen op uit om het beste pad naar de bestemming te bepalen. Het beste pad wordt opgeslagen in de routeringstabel.
  • De routeringspaden worden beïnvloed door de lengte van een subnetmasker dat aan een route is gekoppeld. Als een router meerdere advertenties voor hetzelfde IP-adres ontvangt, selecteert de router het pad met het langere subnetmasker omdat dit wordt beschouwd als een specifiekere route.

Stateful apparaten

Routers kijken naar de IP-header van een pakket voor routeringsdoeleinden. Er zijn echter apparaten die nog dieper in het pakket kijken. Normaal gesproken kijken deze apparaten naar Layer 4 - Transmission Control Protocol (TCP) of User Datagram Protocol (UDP) of zelfs Layer 7-headers (Application Layer). Dergelijke apparaten zijn beveiligingsapparaten of apparaten die de bandbreedte optimaliseren.

Een firewall is een algemeen voorbeeld van een stateful apparaat. Een firewall staat pakketten toe of weigert deze door de interfaces op basis van verschillende criteria. Deze criteria omvatten, maar zijn niet beperkt tot protocol, TCP/UDP-poort en URL-headers. Dit niveau van pakketinspectie kan een zware verwerkingsbelasting op het apparaat met zich brengen.

Om de prestaties te verbeteren, inspecteert de firewall het eerste pakket van een stroom. Als het pakket via de interfaces kan worden doorgegeven, blijft de stroominformatie in de statustabel behouden. Alle volgende pakketten met betrekking tot deze stroom worden vervolgens toegestaan op basis van de eerste bepaling. Een pakket dat deel uitmaakt van een bestaande stroom, kan binnenkomen bij de firewall waarvan het niet afkomstig is. Omdat er geen eerdere statusinformatie over de initiële stroom is, wordt het pakket verwijderd door de firewall.

Asymmetrische routering met ExpressRoute

Wanneer u via ExpressRoute verbinding maakt met Microsoft, verandert het netwerk als volgt:

  • U hebt meerdere koppelingen naar Microsoft. De ene koppeling is uw bestaande internetverbinding en de andere is via uw ExpressRoute-verbinding. Bepaald verkeer dat is bestemd voor Microsoft, gaat mogelijk via de internetverbinding, maar keert terug via uw ExpressRoute-verbinding. Hetzelfde kan ook gebeuren wanneer verkeer via ExpressRoute gaat, maar via het internetpad terugkeert.
  • U hebt specifiekere IP-adressen van het ExpressRoute-circuit ontvangen. Dus wanneer verkeer van uw netwerk naar Microsoft gaat voor services die via ExpressRoute worden aangeboden, geven uw routers altijd de voorkeur aan de ExpressRoute-verbinding.

Om het effect van deze twee wijzigingen op een netwerk te begrijpen, gaan we enkele scenario's overwegen. U hebt bijvoorbeeld een internetcircuit en u gebruikt alle Microsoft-services via internet. Het verkeer van uw netwerk naar en van Microsoft gaat via dezelfde internetkoppeling en passeert een firewall. De firewall registreert de stroom wanneer het eerste pakket wordt weergegeven. Alle volgende pakketten van dat gesprek zijn toegestaan omdat de stroom bestaat in de statustabel.

Asymmetrische routering met ExpressRoute

Vervolgens opent u een ExpressRoute-circuit om services te gebruiken die door Microsoft via ExpressRoute worden aangeboden. Alle andere services van Microsoft worden via internet gebruikt. U implementeert een afzonderlijke firewall aan de rand die is verbonden met de ExpressRoute-verbinding. Microsoft adverteert specifiekere voorvoegsels naar uw netwerk via ExpressRoute voor bepaalde services. De routeringsinfrastructuur kiest ExpressRoute als het voorkeurspad voor die voorvoegsels.

Als u uw openbare IP-adressen niet via ExpressRoute aan Microsoft adverteert. Microsoft communiceert met uw openbare IP-adressen via internet. Verkeer dat van uw netwerk naar Microsoft wordt verzonden, maakt gebruik van de ExpressRoute-verbinding, maar het retourverkeer van Microsoft gebruikt het internetpad. Wanneer de firewall aan de rand een antwoordpakket ziet voor een stroom die niet bekend is, worden die pakketten weggezakt.

Als u ervoor kiest om dezelfde NAT-pool (Network Address Translation) te adverteren voor ExpressRoute en internet. U ziet vergelijkbare problemen met de clients in uw netwerk op privé-IP-adressen. Aanvragen voor services zoals Windows Update gaan via internet omdat IP-adressen voor deze services niet via ExpressRoute worden geadverteerd. Het retourverkeer komt echter terug via ExpressRoute. Omdat Microsoft een IP-adres met hetzelfde subnetmasker van internet en ExpressRoute heeft ontvangen, is het voorkeurspad altijd ExpressRoute. Als een firewall of een ander stateful apparaat aan de rand van het netwerk tegenover de ExpressRoute-verbinding geen eerdere informatie over een stroom heeft, worden die pakketten verwijderd.

Oplossingen voor asymmetrische routering

U hebt twee beschikbare opties om het probleem van asymmetrische routering op te lossen. De eerste is via routering en de tweede is met behulp van een op bron gebaseerde NAT (SNAT).

Routering

Zorg ervoor dat uw openbare IP-adressen worden geadverteerd naar de juiste WAN-koppelingen (Wide Area Network). Bijvoorbeeld als u internet wilt gebruiken voor verificatieverkeer en ExpressRoute voor uw e-mailverkeer. Maak geen reclame voor uw openbare IP-adressen Active Directory Federation Services (AD FS) via ExpressRoute. Zorg er ook voor dat u uw on-premises AD FS-server niet blootstelt aan IP-adressen die de router via ExpressRoute ontvangt. Routes die worden ontvangen via ExpressRoute zijn specifieker, zodat ExpressRoute het voorkeurspad wordt voor verificatieverkeer naar Microsoft. Als u geen aandacht besteedt aan de wijze waarop routering in uw netwerk wordt uitgevoerd, kunnen asymmetrische routeringsproblemen optreden.

Als u ExpressRoute wilt gebruiken voor verificatie, moet u ervoor zorgen dat u openbare IP-adressen van AD FS adverteren via ExpressRoute zonder NAT. Wanneer deze manier is geconfigureerd, gaat het verkeer dat afkomstig is van Microsoft naar uw on-premises AD FS-server via ExpressRoute. Het retourverkeer van uw netwerk dat naar Microsoft gaat, maakt gebruik van ExpressRoute omdat dit de voorkeursroute is via internet.

Brongebaseerde NAT

Een andere manier om het probleem met asymmetrische routering op te lossen, is met behulp van SNAT. U kiest er bijvoorbeeld voor om het openbare IP-adres van een on-premises SMTP-server (Simple Mail Transfer Protocol) niet te adverteren via ExpressRoute. In plaats daarvan wilt u internet gebruiken voor dit type communicatie. Een aanvraag van Microsoft die naar uw on-premises SMTP-server gaat, gaat via internet. U verzendt de inkomende aanvraag via SNAT naar een intern IP-adres. Het retourverkeer van de SMTP-server gaat naar de randfirewall (die u gebruikt voor NAT) in plaats van via ExpressRoute. Als gevolg hiervan neemt het retourverkeer het internetpad.

Brongebaseerde NAT-netwerkconfiguratie

Detectie van asymmetrische routering

Traceroute is de beste manier om ervoor te zorgen dat uw netwerkverkeer via het verwachte pad loopt. Als u verwacht dat verkeer van uw on-premises SMTP-server naar Microsoft het internetpad neemt, is de verwachte traceroute van de SMTP-server naar Microsoft 365. Het resultaat valideert dat verkeer inderdaad uw netwerk verlaat richting internet en niet naar ExpressRoute.