Geekly articles weekly

Behandlung von asymmetrischem FHRP-Routing

Was ist „asymmetrisches FHRP-Routing“?


Ein Routing-Status, in dem der Datenverkehr innerhalb einer Sitzung über einen FHRP-Master-Router (VRRP / HSRP) abläuft und über einen zweiten zurückkehrt.


Bild


Was ist daran so schlimm?


Wenn sich alle Router im selben LAN befinden - höchstwahrscheinlich nichts.
Probleme beginnen, wenn die Netzwerktopologie folgendermaßen aussieht:


Bild


1. MTU-Erkennung - Wenn sich die kleinste MTU der beiden Pfade unterscheidet, kann die Endpunkt-MTU-Pfaderkennung zu einer größten der beiden MTUs führen, was wiederum zum Verwerfen von Paketen maximaler Größe führt. Wenn beispielsweise ein Pfad durch einen VPN-Tunnel führt und der andere nicht, hat der VPN-Tunnel eine kleinere MTU. Ping funktioniert einwandfrei, aber die Übertragung großer Dateien schlägt konsistent fehl.
2. Die Behebung von Konnektivitätsproblemen ist schwieriger, wenn einer der beiden Pfade unterbrochen ist, der andere jedoch nicht. Eine gute alte "Traceroute" ist überhaupt keine Hilfe, da sie die Zwischenpunkte des umgekehrten Pfades nicht erkennen kann, es sei denn, sie wird von beiden Seiten der Verbindung ausgeübt, was einen Out-of-Band-Verwaltungskanal erfordert.

Quelle


Warum ist das so?


Der Upstream-Router (Core-R-1) verfügt nicht über Informationen zu den Rollen von Downstream-Routern in FHRP.


Die Entscheidung für eine Route wird autonom getroffen, basierend auf den Metriken des dynamischen Routing-Protokolls oder PBR.


Wie kann ich das beheben?


Unter dem Gesichtspunkt des Verkehrsflusses: Der Verkehr sollte über denselben Router und VPN-Tunnel wiederkommen


Bild


In Bezug auf das Routing:
Upstream-Router sollten FHRP-Statusinformationen erhalten.


Beispielsweise sollte eine Route zu einem Subnetz mit Endgeräten nur vom FHRP-Master bei normaler Entwicklung von Ereignissen angekündigt werden.


Wie funktioniert es


Bild


Prüfstand (GNS3, MikroTik, BGP, VRRP).


Bild


  1. Download-Link
  2. Router-Anmeldeinformationen:
    A. Login: admin
    B. Pass: Nein

Bonus für diejenigen, die bis zum Ende gelesen haben


Die Verwendung von 100.500 dedizierten / 30 IPv4-Subnetzen ist optional.
Um das Problem zu lösen, können dynamische verbindungslokale IPv6-Adressen verwendet werden, was die anfängliche Bereitstellung erheblich vereinfacht.


Die Lösung (in der Implementierung für MikroTik RouterOS) lautet wie folgt:
Bild


© Idea - Webfox , Artikel- und Standmontage - Maniak

Source: https://habr.com/ru/post/de427939/

More articles:


All Articles