Định tuyến không đối xứng - nguyên nhân và ảnh hưởng?

Nó xảy ra rằng tôi chạy qua các khách hàng có những gì tôi xác định là "định tuyến không đối xứng" trong mạng của họ. Nói một cách đơn giản, họ có hai cổng trên cùng một mạng con IP. Các máy khách được cấu hình để trỏ đến một cổng (tức là 172.16.1.1) nhưng có một thiết bị khác (tức là 172.16.1.2) kết nối và định tuyến đến một nơi nào đó. Hầu hết tôi đã thấy loại thiết lập này khi có 2 loại kết nối WAN khác nhau: 1 kết nối internet và 1 kết nối MPLS công ty.

Cá nhân tôi không bị thu hút bởi kiểu thiết kế mạng ở trên: mỗi mạng con phải có một và chỉ một cổng. Theo quan điểm của tôi, kịch bản trên có thể tạo ra một số vấn đề cho khách hàng, vì họ gửi một gói đến cổng mặc định của họ (172.16.1.1) và các gói đó sau đó được chuyển tiếp ra khỏi bộ định tuyến khác (172.16.1.2) và khi chúng được trả lời đến, họ tiếp cận khách hàng chỉ đơn giản là đi qua 172.16.1.2. Các khách hàng sẽ hoặc nên mong đợi các gói trả lời đến từ 172.16.1.1, hoặc tôi sai ở đây?

Tôi rất vui khi có ý kiến ​​và quan điểm kỹ thuật của bạn về vấn đề này.

Tôi khuyên bạn nên xem xét các Giao thức dự phòng Hop Hop đầu tiên như HSRP hoặc VRRP.

Trên thực tế, có hai cổng có thể là một thiết kế mạng rất tốt, bởi vì nếu một bộ định tuyến bị lỗi, bộ định tuyến khác có thể tiếp quản một cách liền mạch. Tuy nhiên, như bạn biết, không dễ để thực hiện chuyển đổi này nếu bạn phải thực hiện cấu hình lại thủ công của từng khách hàng trên mạng con.

Các giao thức như HSRP (hoặc VRRP nếu bạn có thiết bị không phải của Cisco) cho phép bạn có hai (hoặc nhiều) bộ định tuyến (hoặc bộ chuyển mạch L3) trên mạng con chia sẻ một địa chỉ IP duy nhất. Bạn sẽ có bộ định tuyến đầu tiên có địa chỉ .2, seond có địa chỉ .3 và "địa chỉ IP ảo" .1 mà cả hai bộ định tuyến đều biết thông qua cấu hình. Khi bộ định tuyến chính bị lỗi, bộ thứ cấp có thể phát hiện ra điều này và chiếm lấy địa chỉ IP ảo, nghĩa là khách hàng của bạn chỉ cần có cấu hình .1 làm cổng của họ và bạn sẽ ổn.

Về mặt thiết kế định tuyến, điều đó phần lớn phụ thuộc vào thiết lập hiện tại. Có thể cả hai cổng dẫn đến cùng một cạnh internet, trong trường hợp đó bạn có thể không gặp vấn đề gì. Định tuyến không đối xứng có thể xấu, chủ yếu là do bạn có nguy cơ các gói được gửi sai thứ tự, nhưng một lần nữa, phụ thuộc rất lớn vào cấu trúc liên kết mà bạn đang nói đến.

Rất nhiều nguyên tắc thiết kế ngụ ý trong những gì tôi vừa nói. Tôi đề nghị bạn nghiên cứu cả hai giao thức và xác định những gì tốt nhất cho môi trường của bạn. Nếu bạn đang sử dụng thiết bị của Cisco, HSRP là một phương pháp được sử dụng rộng rãi và được hiểu rõ để giải quyết vấn đề này.

Toàn bộ internet được xây dựng trên định tuyến không đối xứng, vì vậy nó rất phổ biến. Khách hàng quan tâm đến giao diện mà họ nhận được gói và nguồn của gói, chứ không phải bộ định tuyến nào đã chuyển nó cho họ trên giao diện đó.

Định tuyến không đối xứng có thể gặp vấn đề tuy nhiên khi các thiết bị theo dõi trạng thái (đặc biệt là tường lửa) và NAT có liên quan, nhưng theo tôi có thể nói đây không phải là trường hợp trong ví dụ của bạn.

Các máy khách mạng xác định luồng lưu lượng dựa trên sự kết hợp của 4 giá trị:

• Địa chỉ nguồn
• Cổng nguồn
• Địa chỉ đích
• Cảng đích

Đối với mỗi kết nối khác nhau, 4 giá trị ở trên tạo thành một kết hợp khác nhau được sử dụng để khớp các gói trả lời với luồng đúng. Như bạn có thể thấy, cổng hoặc địa chỉ hop tiếp theo không được bao gồm trong danh sách và do đó máy khách sẽ không quan tâm nếu một gói trở lại qua cùng một cổng mà nó đã sử dụng để gửi các gói của nó. Vì vậy, các máy khách mạng không quan tâm đến việc định tuyến đối xứng ngay khi họ có thể nhận được lưu lượng truy cập từ đầu cuối. Trên thực tế, TCP / IP ban đầu được thiết kế để hỗ trợ định tuyến đối xứng.

Tuy nhiên, nếu chúng tôi tập trung vào các thiết bị trung gian mạng, định tuyến đối xứng sẽ không được chấp nhận ngay khi bạn đang sử dụng bất kỳ thiết bị / công nghệ nào cần xem tất cả các gói trong kết nối để cung cấp chức năng nhất định. Ví dụ: NAT, tường lửa có trạng thái hoặc một số trình tối ưu hóa mạng WAN. Định tuyến không đối xứng trong kịch bản như vậy sẽ khiến chức năng dự định không được cung cấp hoặc thậm chí tệ nhất là các gói bị rớt khiến việc liên lạc không thể thực hiện được.

Tôi đồng ý với các câu trả lời trước tôi, nhưng tôi phải thêm một điều: nếu có bất kỳ bộ lọc nào trên bất kỳ cổng nào, hoặc trên bất kỳ bước nhảy nào chỉ được truyền qua 1 trong 2 cổng, các vấn đề có thể phát sinh! (các bước nhảy được truyền qua cả hai cổng, chẳng hạn như máy nguồn, máy đích và bất kỳ bước nhảy "chung nào cho cả hai đường cổng", không liên quan đến các tình huống sau)

Ví dụ: nếu A gửi các gói đến B qua gateway1 và các gói trả về qua gateway2, thì rất có khả năng gói trả lời sẽ bị hủy nếu gateway2 đang thực hiện lọc (vì cổng đó không thấy gói kết nối khởi tạo, vì vậy nó không ' t mong đợi trả lời, do đó, nếu số phận / cổng của gói trả lời thường được lọc, nó sẽ được lọc.)

(Tất nhiên, có nhiều kịch bản tương tự)

Hai khu vực khác mà các tuyến không đối xứng sẽ gây ra sự cố là: 1. Phát hiện MTU - nếu MTU nhỏ nhất của hai đường khác nhau, phát hiện đường MTU điểm cuối có thể dẫn đến lớn nhất trong hai MTU, do đó sẽ dẫn đến giảm gói kích thước tối đa. Ví dụ: nếu một đường dẫn đi qua một đường hầm VPN và đường dẫn kia thì không, đường hầm VPN sẽ có MTU nhỏ hơn. ping sẽ hoạt động tốt, nhưng chuyển các tệp lớn sẽ thất bại liên tục. 2. Việc xử lý sự cố kết nối sẽ khó khăn hơn nếu một trong hai đường dẫn bị hỏng nhưng đường kia thì không. "Traceroute" cũ sẽ không giúp ích gì cả, vì nó sẽ không thể phát hiện các điểm trung gian đường dẫn ngược, trừ khi nó được thực hiện từ cả hai phía của kết nối, đòi hỏi phải có kênh quản lý ngoài băng ...