مشاركة عبر

التوجيه غير المتماثل باستخدام مسارات شبكة متعددة

  • مقالة

تشرح هذه المقالة إمكانية اتخاذ نسبة استخدام الشبكة مسارات مختلفة عند توفر مسارات متعددة بين مصدر الشبكة والوجهة.

إشعار

  • تتناول هذه المقالة المشكلات التي قد تحدث مع التوجيه غير المتماثل في شبكة مع ارتباطات متعددة إلى وجهة. يجب عدم استخدامه كمرجع لتصميم شبكة ذات توجيه غير متماثل، حيث لا توصي Microsoft بهذه البنية أو تدعمها.

هناك مفهومان تحتاج إلى معرفتهما لفهم التوجيه غير المتماثل. الأول هو تأثير مسارات الشبكة المتعددة. والآخر هو كيفية حفاظ الأجهزة، مثل جدار الحماية، على الحالة. تسمى هذه الأنواع من الأجهزة بالأجهزة ذات الحالة. عند الجمع بين هذين العاملين، يمكنهم إنشاء سيناريو تُسقط فيه نسبة استخدام الشبكة بواسطة الجهاز ذي الحالة. تُسقط نسبة استخدام الشبكة لأنها لم تكتشف أن الشبكة نشأت من نفسها.

مسارات شبكة متعددة

عند امتلاك شبكة مؤسسة ارتباطاً واحداً فقط بالإنترنت من خلال مزود خدمة الإنترنت، فإن كل نسبة استخدام الشبكة من وإلى الإنترنت تنتقل في نفس المسار. من الشائع شراء الشركات دوائر متعددة لإنشاء مسارات زائدة عن الحاجة لتحسين وقت تشغيل الشبكة. باستخدام هذا النوع من التكوين، من الممكن أن تخرج نسبة استخدام الشبكة رابطاً واحداً إلى الإنترنت وتعود من خلال رابط مختلف. يُعرف هذا السيناريو عادةً باسم التوجيه غير المتماثل. في التوجيه غير المتماثل، تأخذ نسبة استخدام الشبكة العائدة مساراً مختلفاً عن التدفق الأصلي الخارج.

شبكة ذات مسارات متعددة

على الرغم من أن التوجيه غير المتماثل يحدث عادةً عند الانتقال إلى الإنترنت. فقد يحدث أيضاً عند تقديم مجموعة من المسارات المتعددة. المثال الأول: عندما يكون لديك مسار إنترنت ومسار خاص يذهب إلى نفس الوجهة. المثال الثاني: عندما يكون لديك عدة مسارات خاصة تنتقل أيضاً إلى نفس الوجهة.

يحسب كل جهاز توجيه على طول المسار بين المصدر والوجهة أفضل مسار يجب اتخاذه للوصول إلى الوجهة. يحدد الموجه أفضل مسار ممكن بناءً على عاملين رئيسين:

  • يعتمد التوجيه بين الشبكات الخارجية على بروتوكول التوجيه، بروتوكول بوابة الحدود (BGP). تأخذ BGP الإعلانات من الجيران وتديرها من خلال سلسلة من الخطوات لتحديد أفضل مسار ممكن إلى الوجهة المقصودة. يخزن أفضل مسار في جدول التوجيه الخاص به.
  • يؤثر طول قناع الشبكة الفرعية المرتبط بالمسار على مسارات التوجيه. إذا تلقى جهاز التوجيه إعلانات متعددة لنفس عنوان IP، يحدد الموجه المسار بقناع الشبكة الفرعية الأطول لأنه يعتبر مسارا أكثر تحديدا.

الأجهزة ذات الحالة

تنظر أجهزة التوجيه إلى عنوان IP للحزمة لأغراض التوجيه. تبدو بعض الأجهزة أعمق داخل الحزمة. عادةً ما تنظر هذه الأجهزة إلى الطبقة الرابعة - بروتوكول التحكم في الإرسال (TCP)، أو بروتوكول مخطط بيانات المستخدم (UDP)، أو حتى رؤوس الطبقة 7 (طبقة التطبيق). هذه الأنواع من الأجهزة تكون: إما أجهزة أمان، أو أجهزة تحسين النطاق الترددي.

يعد جدار الحماية مثالاً شائعاً للجهاز ذي الحالة. يسمح جدار الحماية أو يرفض مرور الحزم عبر واجهاته بناءً على معايير مختلفة. تتضمن هذه المعايير -على سبيل المثال لا الحصر- البروتوكول، ومنفذ TCP / UDP، ورؤوس URL. يمكن أن يؤدي هذا المستوى من فحص الحزمة إلى تحميل عبء معالجة ثقيل على الجهاز.

يفحص جدار الحماية الحزمة الأولى من التدفق بغرض تحسين الأداء. في حالة السماح للحزمة بالمرور عبر واجهاتها، فإنها تحتفظ بمعلومات التدفق في جدول الحالة الخاص بها. ثم يُسمح بالمرور لأي حزم لاحقة تتعلق بهذا التدفق بناءً على التحديد الأولي. قد تصل الحزمة -التي تعد جزءاً من تدفق موجود- إلى جدار الحماية الذي لم تنشأ منه. نظراً إلى عدم وجود معلومات حالة مسبقة حول التدفق الأولي، يقوم جدار الحماية بإسقاط الحزمة.

التوجيه غير المتماثل مع ExpressRoute

عند الاتصال بـ Microsoft عبر Azure ExpressRoute تتغير شبكتك كما يلي:

  • لديك روابط متعددة إلى Microsoft. أحد الروابط هو اتصالك الحالي بالإنترنت، والآخر من خلال اتصال ExpressRoute الخاص بك. قد تمر حركة مرور معينة موجهة إلى Microsoft عبر اتصال الإنترنت ولكنها تعود عبر اتصال ExpressRoute الخاص بك. يمكن أن يتكرر هذا الأمر أيضاً عندما تمر نسبة استخدام الشبكة عبر ExpressRoute ولكنها تعود عبر مسار الإنترنت.
  • لقد تلقيت عناوين IP أكثر تحديداً من دائرة ExpressRoute. لذلك عندما تنتقل نسبة استخدام الشبكة من شبكتك إلى Microsoft للحصول على الخدمات المقدمة من خلال ExpressRoute، تفضل أجهزة التوجيه دائما اتصال ExpressRoute.

لفهم تأثير هذين التغييرين على الشبكة، دعنا نفكر في بعض السيناريوهات. على سبيل المثال: لديك دائرة للإنترنت وتستهلك جميع خدمات Microsoft عبر الإنترنت. تمر نسبة استخدام الشبكة من شبكتك من وإلى Microsoft خلال ارتباط الإنترنت نفسه، وتمر عبر جدار حماية. يسجل جدار الحماية التدفق عندما يرى الحزمة الأولى. كل الحزم اللاحقة لتلك المحادثة مسموح بها؛ لأن التدفق موجود في جدول الحالة.

التوجيه غير المتماثل مع ExpressRoute

أحضر دائرة ExpressRoute لاستهلاك الخدمات التي تقدمها Microsoft عبر ExpressRoute. تُستهلك جميع خدمات Microsoft الأخرى عبر الإنترنت. انشر جدار حماية منفصل على الحافة الخاصة بك متصل باتصال ExpressRoute. تعلن Microsoft عن بادئات أكثر تحديداً لشبكتك عبر ExpressRoute لخدمات معينة. تختار البنية الأساسية للتوجيه ExpressRoute بصفته مسار مفضل لتلك البادئات.

إذا لم تعلن عن عناوين IP العامة الخاصة بك إلى Microsoft عبر ExpressRoute. تتواصل Microsoft مع عناوين IP العامة عبر الإنترنت. تستخدم نسبة استخدام الشبكة المرسلة من شبكتك إلى Microsoft اتصال ExpressRoute ولكن نسبة استخدام الشبكة المرتجوعة من Microsoft تستخدم مسار الإنترنت. عندما يرى جدار الحماية على الحافة حزمة استجابة لتدفق لا يعرف عنه، فإنه يسقط هذه الحزم.

إذا اخترت الإعلان عن مجموعة ترجمة عناوين الشبكة نفسها (NAT) الخاصة بـ ExpressRoute والإنترنت. ترى مشكلات مشابهة مع العملاء في شبكتك على عناوين IP الخاصة. تُرسل طلبات الحصول على خدمات مثل Windows Update عبر الإنترنت؛ لأن عناوين IP لهذه الخدمات لا يُعلن عنها عبر ExpressRoute. ومع ذلك، تعود نسبة استخدام الشبكة المرتجوعة عبر ExpressRoute. نظراً إلى تلقي Microsoft عنوان IP بنفس قناع الشبكة الفرعية من الإنترنت وExpressRoute، فإن المسار المفضل دائماً هو ExpressRoute. إذا كان جدار حماية أو جهازا آخر ذو حالة على حافة الشبكة يواجه اتصال ExpressRoute لا يحتوي على معلومات مسبقة حول التدفق، فإنه يسقط هذه الحزم.

حلول التوجيه غير المتماثلة

لديك خياران متاحان لحل مشكلة التوجيه غير المتماثل. الأول من خلال التوجيه، والثاني باستخدام NAT القائم على المصدر (SNAT).

التوجيه

تأكد من الإعلان عن عناوين IP العامة الخاصة بك لروابط الشبكة الواسعة (WAN) المناسبة. على سبيل المثال: إذا كنت تريد استخدام الإنترنت لحركة مرور المصادقة وExpressRoute لحركة البريد الخاصة بك. لا تعلن عن عناوين IP العامة لخدمات اتحاد الدليل النشط (AD FS) عبر ExpressRoute. تأكد أيضاً من عدم تعريض خادم AD FS المحلي لعناوين IP المستقبَلة من الموجه عبر ExpressRoute. تعد المسارات المستقبَلة عبر ExpressRoute أكثر تحديداً، لذا فهي تجعل ExpressRoute المسار المفضل لحركة مرور المصادقة إلى Microsoft. إذا لم تكن مهتماً بكيفية إجراء التوجيه في الشبكة الخاصة بك يمكن أن تظهر مشاكل التوجيه غير المتماثل.

إذا كنت تريد استخدام ExpressRoute للمصادقة، فتأكد من إعلانك عن عناوين IP العامة لـ AD FS عبر ExpressRoute دون NAT. عند التكوين بهذه الطريقة، تنتقل نسبة استخدام الشبكة التي تنشأ من Microsoft إلى خادم AD FS الداخلي الخاص بك، وستنتقل عبر ExpressRoute. تستخدم نسبة استخدام الشبكة المرتجوعة من شبكتك التي تنتقل إلى Microsoft ExpressRoute لأنها المسار المفضل عبر الإنترنت.

NAT المستندة إلى المصدر

يمكن أيضَا حل مشكلة التوجيه غير المتماثل عن طريق استخدام SNAT. على سبيل المثال: اخترت عدم الإعلان عن عنوان IP العام لخادم بروتوكول نقل البريد البسيط (SMTP) الداخلي عبر ExpressRoute. بدلاً من ذلك، انوِ استخدام الإنترنت لهذا النوع من الاتصالات. طلب صادر من Microsoft يعبر الإنترنت ذهاباً إلى خادم SMTP الداخلي الخاص بك. يمكنك SNAT الطلب الوارد إلى عنوان IP داخلي. تنتقل نسبة استخدام الشبكة العائدة من خادم SMTP إلى جدار حماية الحافة (الذي تستخدمه ل NAT) بدلا من ExpressRoute. ونتيجة لذلك، تأخذ نسبة استخدام الشبكة العائدة مسار الإنترنت.

تكوين شبكة NAT القائمة على المصدر

كشف التوجيه غير المتماثل

يعد Traceroute هو أفضل طريقة للتأكد من أن نسبة استخدام الشبكة لديك تعبر المسار المتوقع. إذا كنت تتوقع أن تنتقل نسبة استخدام الشبكة من خادم SMTP الداخلي إلى Microsoft عبر مسار الإنترنت، فإن مسار التتبع المتوقع يكون من خادم SMTP إلى Microsoft 365. تؤكد النتيجة أن نسبة استخدام الشبكة تترك شبكتك بالفعل في اتجاه الإنترنت وليس نحو ExpressRoute.