Sdílet prostřednictvím

Asymetrické směrování s několika síťovými cestami

  • Článek

Tento článek vysvětluje, jak může síťový provoz trvat různé cesty, když je mezi zdrojem sítě a cílem k dispozici více tras.

Poznámka:

  • Tento článek popisuje problémy, ke kterým může dojít s asymetrickým směrováním v síti s více odkazy na cíl. Nemělo by se používat jako referenční informace k návrhu sítě s asymetrickým směrováním, protože Microsoft tuto architekturu nedoporučuje ani nepodporuje.

Existují dva koncepty, které potřebujete vědět, abyste porozuměli asymetrickému směrování. První je účinek více síťových cest. Druhým je způsob, jakým zařízení, jako je stav udržování brány firewall. Pro tyto typy zařízení se používá označení stavová zařízení. Když se tyto dva faktory zkombinují, můžou vytvořit scénář, ve kterém dojde k vyřazení síťového provozu stavovým zařízením. Provoz se zahodí, protože nezjistil, že provoz pochází ze sebe.

Několik síťových cest

Pokud má podniková síť pouze jeden odkaz na internet prostřednictvím poskytovatele internetových služeb, veškerý provoz do a z internetu cestuje stejnou cestou. Je běžné, že společnosti kupují více okruhů, aby vytvořily redundantní cesty pro zlepšení doby provozu sítě. S tímto typem konfigurace je možné, že provoz přejde jedním odkazem na internet a vrátí se přes jiný odkaz. Tento scénář se běžně označuje jako asymetrické směrování. V asymetrickém směrování přebírá návratový síťový provoz jinou cestu než původní probíhající tok.

Síť s více cestami

I když asymetrického směrování obvykle dochází při přechodu na internet. K tomu dochází také v případě, že se zavede kombinace více cest. První příklad je, když máte internetovou cestu a soukromou cestu, která přejde do stejného cíle. Druhým příkladem je, když máte více privátních cest, které také přejdou do stejného cíle.

Každý směrovač podél cesty mezi zdrojem a cílem vypočítá nejlepší cestu k dosažení cíle. Směrovač určuje nejlepší možnou cestu na základě dvou hlavních faktorů:

  • Směrování mezi externími sítěmi je založené na směrovacím protokolu BGP (Border Gateway Protocol). Protokol BGP přijímá inzerování z okolí a provádí s nimi řadu kroků, podle kterých určí nejlepší cestu do požadovaného cíle. Nejlepší cestu uloží do své směrovací tabulky.
  • Na cesty směrování má vliv délka masky podsítě přidružené k trase. Pokud směrovač obdrží více reklam pro stejnou IP adresu, směrovač vybere cestu s delší maskou podsítě, protože se považuje za konkrétnější trasu.

Stavová zařízení

Směrovače si pro účely směrování čtou hlavičku protokolu IP paketu. Některá zařízení zkoumají paket i hlouběji. Tato zařízení se obvykle dívají na hlavičky vrstvy 4 – TCP (Transmission Control Protocol) nebo UDP (User Datagram Protocol) nebo dokonce na hlavičky vrstvy 7 (Aplikační vrstva). Tyto typy zařízení patří buď mezi zařízení zabezpečení, nebo mezi zařízení optimalizace šířky pásma.

Brána firewall je obvyklým příkladem stavového zařízení. Brána firewall povoluje nebo odmítá pakety předávat přes svá rozhraní na základě různých kritérií. Mezi tato kritéria patří mimo jiné protokol, port TCP/UDP a hlavičky adres URL. Tato úroveň kontroly paketů může na zařízení tížit zpracování.

Aby se zvýšil výkon, brána firewall kontroluje první paket toku. Pokud to umožní, aby paket prošel jeho rozhraním, uchovává informace o toku v tabulce stavů. Na základě počátečního stanovení se pak povolí všechny pakety související s tímto tokem. Paket, který je součástí existujícího toku, může dorazit na bránu firewall, ze které nepochází. Vzhledem k tomu, že nemá žádné předchozí informace o počátečním toku stavu, brána firewall paket zahodí.

Asymetrické směrování s ExpressRoute

Když se připojíte k Microsoftu prostřednictvím Azure ExpressRoute, vaše síť se změní takto:

  • Máte k Microsoftu víc propojení. Jedním z odkazů je vaše stávající připojení k internetu a druhý je prostřednictvím připojení ExpressRoute. Určitý provoz určený pro Microsoft může projít připojením k internetu, ale vrátit se přes vaše připojení ExpressRoute. Totéž může také nastat, když provoz prochází přes ExpressRoute, ale vrací se přes internet.
  • Získali jste konkrétnější IP adresy z okruhu ExpressRoute. Takže když provoz z vaší sítě přejde do Microsoftu pro služby nabízené prostřednictvím ExpressRoute, vaše směrovače vždy dávají přednost připojení ExpressRoute.

Abychom pochopili, jak tyto dvě změny v síti mají, podívejme se na některé scénáře. Například máte okruh k internetu a využíváte všechny služby Microsoft přes internet. Provoz z vaší sítě do a z Microsoftu prochází stejným internetovým propojením a prochází bránou firewall. Brána firewall zaznamená tok, když uvidí první paket. Každý výčet paketů této konverzace je povolený, protože tok existuje ve stavové tabulce.

Asymetrické směrování s ExpressRoute

Pak vytvoříte okruh ExpressRoute, který bude využívat služby nabízené Microsoftem přes ExpressRoute. Všechny ostatní služby od Microsoftu se využívají přes internet. Na hraničních zařízeních, která je připojená k připojení ExpressRoute, nasadíte samostatnou bránu firewall. Microsoft inzeruje konkrétnější předpony vaší sítě přes ExpressRoute pro určité služby. Vaše infrastruktura směrování zvolí jako upřednostňovanou cestu pro tyto předpony ExpressRoute.

Pokud neinzerujete své veřejné IP adresy Microsoftu přes ExpressRoute. Microsoft komunikuje s vašimi veřejnými IP adresami přes internet. Provoz odeslaný z vaší sítě do Microsoftu používá připojení ExpressRoute, ale návratový provoz od Microsoftu používá internetovou cestu. Když brána firewall na vašem hraničním zařízení uvidí paket odpovědi pro tok, o kterém neví, tyto pakety zahodí.

Pokud se rozhodnete inzerovat stejný fond překladu síťových adres (NAT) pro ExpressRoute a pro internet. Na privátních IP adresách se zobrazují podobné problémy s klienty ve vaší síti. Požadavky na služby, jako je služba Windows Update, projdou internetem, protože IP adresy těchto služeb se neinzerují přes ExpressRoute. Návratový provoz se ale vrátí přes ExpressRoute. Vzhledem k tomu, že Microsoft obdržel IP adresu se stejnou maskou podsítě z internetu a ExpressRoute, upřednostňovaná cesta je vždy ExpressRoute. Pokud brána firewall nebo jiné stavové zařízení v hraniční síti, které se nachází na hraničním zařízení ExpressRoute, nemá žádné předchozí informace o toku, tyto pakety zahodí.

Řešení asymetrického směrování

Máte dvě dostupné možnosti řešení problému asymetrického směrování. První se provádí směrováním a druhým je použití překladu adres (NAT) založeného na zdroji (SNAT).

Směrování

Ujistěte se, že se vaše veřejné IP adresy inzerují na odpovídající odkazy wan (Wide Area Network). Pokud například chcete pro přenosy pošty použít internet pro ověřování a ExpressRoute. Neinzerujte veřejné IP adresy Active Directory Federation Services (AD FS) (AD FS) přes ExpressRoute. Nezapomeňte také zveřejnit místní server SLUŽBY AD FS na IP adresy, které směrovač přijímá přes ExpressRoute. Trasy přijímané přes ExpressRoute jsou konkrétnější, takže se ExpressRoute stane upřednostňovanou cestou pro ověřovací provoz do Microsoftu. Pokud nezaměříte pozornost na to, jak se směrování provádí v asymetrickém směrování sítě, můžou nastat problémy.

Pokud chcete používat ExpressRoute k ověřování, ujistěte se, že inzerujete veřejné IP adresy služby AD FS přes ExpressRoute bez překladu adres (NAT). Při konfiguraci tímto způsobem se provoz pocházející z Microsoftu přesune na váš místní server AD FS přes ExpressRoute. Zpětný provoz z vaší sítě, která směřuje do Microsoftu, používá ExpressRoute, protože se jedná o upřednostňovanou trasu přes internet.

Překlad adres na základě zdroje

Dalším způsobem řešení problému asymetrického směrování je použití SNAT. Například se rozhodnete neinzerovat veřejnou IP adresu místního serveru SMTP (Simple Mail Transfer Protocol) přes ExpressRoute. Místo toho chcete pro tento typ komunikace používat internet. Požadavek pocházející z Microsoftu, který přejde na místní server SMTP, prochází internetem. U příchozího požadavku provedete překlad adresy zdroje na vnitřní IP adresu. Návratový provoz ze serveru SMTP přejde na hraniční bránu firewall (kterou používáte pro překlad adres (NAT) místo přes ExpressRoute. V důsledku toho návratový provoz přebírá cestu k internetu.

Konfigurace sítě s překladem adres na základě zdroje

Detekce asymetrického směrování

Nejlepším způsobem, jak zajistit, že provoz z vaší sítě prochází očekávanou cestou, je traceroute. Pokud očekáváte, že provoz z místního serveru SMTP do Microsoftu převezme internetovou cestu, očekávané trasování je ze serveru SMTP do Microsoftu 365. Výsledkem je ověření, že provoz skutečně opouští vaši síť směrem k internetu, a ne směrem k ExpressRoute.