Sucede que me encuentro con clientes que tienen lo que yo defino como un "enrutamiento asimétrico" en sus redes. Simplemente dicho, tienen dos puertas de enlace en la misma subred IP. Los clientes están configurados para apuntar a una puerta de enlace (es decir, 172.16.1.1) pero hay otro dispositivo (es decir, 172.16.1.2) que se conecta y enruta a algún lugar. Principalmente, he visto este tipo de configuración cuando hay 2 tipos diferentes de conexiones WAN: 1 conexión a internet y 1 conexión MPLS corporativa.
Personalmente, no me atrae el tipo de diseño de red anterior: cada subred debe tener una y solo una puerta de enlace. Desde mi punto de vista, el escenario anterior puede crear algunos problemas para los clientes, ya que envían un paquete a su puerta de enlace predeterminada (172.16.1.1) y esos paquetes se reenvían al otro enrutador (172.16.1.2) y cuando reciben respuesta para llegar al cliente simplemente pasando por 172.16.1.2. Los clientes deberían o deberían esperar que los paquetes de respuesta provengan de 172.16.1.1, ¿o me equivoco aquí?
Estaré encantado de tener sus opiniones y opiniones técnicas sobre este tema.
Respuestas:
Le recomendaría que consulte los protocolos de redundancia del primer salto como HSRP o VRRP.
En realidad, tener dos puertas de enlace puede ser un muy buen diseño de red, porque si un enrutador fallara, el otro enrutador puede asumir el control sin problemas. Sin embargo, como sabe, no es fácil realizar esta transición si tiene que realizar una reconfiguración manual de cada cliente en una subred.
Los protocolos como HSRP (o VRRP si tiene equipos que no son de Cisco) le permiten tener dos (o más) enrutadores (o conmutadores L3) en una subred que comparten una sola dirección IP. Tendrá su primer enrutador con una dirección de .2, el segundo con una dirección de .3 y una "dirección IP virtual" de .1 que ambos enrutadores conocen a través de la configuración. Cuando el enrutador primario falla, el secundario puede detectar esto y hacerse cargo de la dirección IP virtual, lo que significa que sus clientes solo necesitan tener .1 configurado como su puerta de enlace y listo.
En términos de diseño de enrutamiento, eso dependería en gran medida de la configuración actual. Es posible que ambas puertas de enlace conduzcan al mismo borde de Internet, en cuyo caso es posible que no tenga un problema. El enrutamiento asimétrico puede ser malo, principalmente porque corre el riesgo de que los paquetes se entreguen en el orden incorrecto, pero nuevamente, depende en gran medida de la topología de la que esté hablando.
Muchos principios de diseño implicados en lo que acabo de decir. Le sugiero que investigue ambos protocolos y determine qué es lo mejor para su entorno. Si está utilizando el equipo de Cisco, HSRP es un método ampliamente utilizado y bien entendido para resolver este problema.
fuente
Todo el Internet está construido sobre enrutamiento asimétrico, por lo que es muy común. Los clientes están interesados en la interfaz en la que reciben el paquete y la fuente del paquete, no en qué enrutador se los pasó en esa interfaz.
Sin embargo, el enrutamiento asimétrico puede ser problemático cuando los dispositivos que realizan un seguimiento del estado (especialmente los firewalls) y NAT están involucrados, pero por lo que puedo decir, este no es el caso en su ejemplo.
fuente
Los clientes de la red identifican flujos de tráfico basados en la combinación de 4 valores:
Para cada conexión diferente, los 4 valores anteriores forman una combinación diferente que se utiliza para hacer coincidir los paquetes de respuesta con el flujo correcto. Como puede ver, la puerta de enlace o la dirección del siguiente salto no están incluidas en la lista y, por lo tanto, al cliente no le importará si un paquete regresa a través de la misma puerta de enlace que utilizó para enviar sus paquetes. Por lo tanto, a los clientes de la red no les importa el enrutamiento asimétrico tan pronto como puedan recibir el tráfico desde el extremo remoto. En realidad, TCP / IP se diseñó originalmente para admitir el enrutamiento asimétrico.
Sin embargo, si nos centramos en dispositivos intermedios de red, el enrutamiento asimétrico no se tolera tan pronto como esté utilizando cualquier dispositivo / tecnología que necesite ver todos los paquetes en una conexión para proporcionar una funcionalidad determinada. Por ejemplo: NAT, firewalls con estado o algunos optimizadores de WAN. El enrutamiento asimétrico en dicho escenario provocaría que no se proporcionara la funcionalidad prevista o, lo que es peor, que se cayeran los paquetes haciendo imposible la comunicación.
fuente
Estoy de acuerdo con las respuestas que tengo ante mí, pero tengo que agregar algo: si hay algún filtrado en alguna de las puertas de enlace, o en cualquier salto que se pase por solo 1 de las 2 puertas de enlace, ¡es probable que surjan problemas! (los saltos que se pasan a través de ambas puertas de enlace, como la máquina de origen, la máquina de destino y cualquier salto "común a ambas rutas de puerta de enlace", no están relacionados con los siguientes escenarios)
Por ejemplo, si A envía paquetes a B a través de la puerta de enlace1, y los paquetes regresan a través de la puerta de enlace2, es muy probable que el paquete de respuesta se descarte si la puerta de enlace2 está filtrando (porque esa puerta de enlace no vio el paquete de conexión inicial, por lo que no t espera respuesta, por lo tanto, si el destino / puerto del paquete de respuesta generalmente se filtra, se filtrará).
(Por supuesto, hay muchos escenarios similares)
fuente
Otras dos áreas donde las rutas asimétricas causarán problemas son: 1. Descubrimiento de MTU: si la MTU más pequeña de las dos rutas difiere, el descubrimiento de ruta de MTU de punto final podría resultar en una de las dos MTU más grandes, lo que a su vez provocará una caída de paquetes de tamaño máximo. Por ejemplo, si una ruta atraviesa un túnel VPN y la otra no, el túnel VPN tendrá una MTU más pequeña. ping funcionará bien, pero la transferencia de archivos grandes fallará constantemente. 2. La resolución de problemas de conectividad será más difícil si uno de los dos caminos está roto pero el otro no. El viejo "traceroute" no será de ninguna ayuda, ya que no podrá detectar los puntos intermedios de la ruta inversa, a menos que se ejerza desde ambos lados de la conexión, lo que requiere un canal de administración fuera de banda ...
fuente