[請益] 兩端系統伺服器之中間網路發生去回不同路

看板MIS (IT資訊人員)作者 (愛咪)時間4年前 (2020/05/22 23:58), 編輯推噓3(3028)
留言31則, 9人參與, 4年前最新討論串1/1
如題 兩端系統伺服器主機都被兩邊網路防火牆給保護 中間網路跑OSPF,且網路線路有redundancy機制(HA) 跟同事討論,若兩邊都沒有防火牆,只有router 則封包去回不同路,沒關係 但兩邊有防火牆,封包去回不同路,我們之前就有發生過問題(但我算沒經歷過,同事有) 我目前想到幾點 1.封包送出後,經過很多router或L2 switch 封包中的source ip與destination ip都不會變,但L2 source and dest. mac會一直變 因routing是看dest. ip(從頭到尾不變),router依據目的ip網段而轉發到next hop 2.封包去回不同路,可能回的網路品質不佳(packet drop)或找不到next hop 請問各位先進與大大 是否有其他去回不同路而發生障礙的可能原因? 感恩 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.136.108.21 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1590163091.A.242.html

05/23 00:26, 4年前 , 1F
其實防火牆有封包檢查機制,不過這個機制是可以關掉的,
05/23 00:26, 1F

05/23 00:26, 4年前 , 2F
基於資安考量通常都不建議關掉
05/23 00:26, 2F

05/23 01:47, 4年前 , 3F
HA(Master)掛掉的時候 連線中的Session可能就會出現
05/23 01:47, 3F

05/23 01:47, 4年前 , 4F
封包去回不同路的狀況
05/23 01:47, 4F

05/23 01:50, 4年前 , 5F
所以HA有個機制會讓Master&Slaver建立虛擬共用IP&MAC
05/23 01:50, 5F

05/23 01:51, 4年前 , 6F
避免讓接收端認為去回不同路(被攻擊)而把封包Drop
05/23 01:51, 6F

05/23 01:54, 4年前 , 7F
另外有讀過類似的情境是Triangular Routing Problem
05/23 01:54, 7F

05/23 01:56, 4年前 , 8F
但看起來比較像ISP端處理Routing的作法 跟企業環境的
05/23 01:56, 8F

05/23 01:57, 4年前 , 9F
Rouring應該比較沒關係 我想這個應該不是你要問的XD
05/23 01:57, 9F

05/23 09:21, 4年前 , 10F
防火牆的TCP inspection會檢查TCP封包是不是屬於同一個
05/23 09:21, 10F

05/23 09:23, 4年前 , 11F
connection(看序號等資訊),預設值都是不符合就丟棄
05/23 09:23, 11F

05/23 09:24, 4年前 , 12F
非對稱路由會造成TCP封包有些經過防火牆、有些沒有
05/23 09:24, 12F

05/23 09:25, 4年前 , 13F
所以TCP溝通容易出問題,不過就如一樓講的,可以關掉
05/23 09:25, 13F

05/23 09:26, 4年前 , 14F
要注意的是會生這問題的架構,通常防火牆不是唯一閘道
05/23 09:26, 14F

05/23 09:27, 4年前 , 15F
例如企業常有MPLS VPN,又透過防火牆做site to siteVPN
05/23 09:27, 15F

05/23 09:28, 4年前 , 16F
路由設計的時候就要考慮到會發生去回不同路的情境
05/23 09:28, 16F

05/23 10:50, 4年前 , 17F
去回不同路沒關係?
05/23 10:50, 17F

05/23 17:52, 4年前 , 18F
BGP 就去回不同路了..你上網有影響?
05/23 17:52, 18F

05/23 20:04, 4年前 , 19F
你確定封包來去不同路,怎麼可能,收到一個封包沒頭沒尾
05/23 20:04, 19F

05/23 20:06, 4年前 , 20F
早就被Drop掉了
05/23 20:06, 20F

05/23 20:08, 4年前 , 21F
整個封包session都是一連串有關連ID互相辨識的
05/23 20:08, 21F

05/23 20:17, 4年前 , 22F
去回不同路是指中間路由經過不同路徑,來源目的沒變好嗎
05/23 20:17, 22F

05/23 20:19, 4年前 , 23F
只要TCP沒丟包到連線逾時,來源跟目的根本不在乎路徑如
05/23 20:19, 23F

05/23 20:21, 4年前 , 24F
何走,只要中間沒有防火牆、路由黑洞,通常不會察覺問題
05/23 20:21, 24F

05/23 20:45, 4年前 , 25F
Firewall或是資安設備是AA mode? 動態路由沒刻意調整演
05/23 20:45, 25F

05/23 20:45, 4年前 , 26F
算法下,去回不同路是很正常的
05/23 20:45, 26F

05/25 19:58, 4年前 , 27F
在ECMP VXLAN EVPN環境下去回不同路實屬正常
05/25 19:58, 27F

05/25 20:00, 4年前 , 28F
調整Firewall的架構(不是enable asymroute) 也是正常
05/25 20:00, 28F

05/26 12:52, 4年前 , 29F
感謝各位大大集思廣益,但我還是不能想像,各種原因造成障礙
05/26 12:52, 29F

05/26 12:53, 4年前 , 30F
可能還沒有遇過這樣問題吧! 我們firewall是AS mode
05/26 12:53, 30F

05/26 12:57, 4年前 , 31F
firewall是唯一閘道與唯一出入口,沒有其他link
05/26 12:57, 31F
文章代碼(AID): #1Un_QJ92 (MIS)
文章代碼(AID): #1Un_QJ92 (MIS)