Jump to content

Разные маршруты в разные стороны - проблемы HTTP

yuriy.ufa
 Share

Recommended Posts

yuriy.ufa

yuriy.ufa

Posted
Posted (edited)

Мы являемся организацией, обслуживающей корпоративную сеть Заказчика. Сеть построена "темных" волокнах, арендованных у оператора связи. Есть маршрутизаторы L3.

Так же у Заказчика другая компания внедряет программный продукт. Этот софт представляет из себя web-сервер, к которому через браузеры цепляются клиенты.

В один прекрасный день софт начал глючить - иногда при загрузке страницы браузер писал "соединение было сброшено". Скорость с рабочих станций до сервера под 100 мбит, все необходимые порты открыты, файрволлы убраны и т.п. Ошибка осталась.

Тогда компания-внедренец софта трейсроутом выяснила, что в сторону сервера пакеты ходят по одному пути, а обратно - по другому. Было предложено перемаршрутизировать так, что бы ходили по одному маршруту. По словам компании-внедренца это помогло.

Вопросы:

Как может влиять "одним или разными маршрутами ходят пакеты" на HTTP-трафик (и вообще на пользовательский трафик) ?

Подозревая, что на первый вопрос будет ответ "никак не должно", хотелось бы спросить

1) Где-нибудь в RFC есть запрет или разрешение на разные маршруты (требования к симметричной маршрутизации)?

2) Если все таки смена маршрутов действительно помогла, то в чем могут быть проблемы?

 

Тоннелей нет. Чистая маршрутизация.

Маршруты:

Было:

В одну сторону: Сервер - ХостА - ХостВ - Клиент

В другую сторону: Клиент - ХостВ - ХостБ - ХостА - Сервер

 

Поменяли на

В одну сторону: Сервер - ХостА - ХостБ - ХостВ - Клиент

В другую сторону: Клиент - ХостВ - ХостБ - ХостА - Сервер

 

ХостА, ХостБ и ХостВ находятся в одном широковещательном домене.

 

Исходная ситуация была связана с тем, что в Хосте В не было прямого маршрута на А и трафик ходил через маршрутизатор Б

 

Весь остальной трафик (интернет, СУБД на базе MS SQL, Lync, почта и т.п.) ходит нормально. Проблема с софтом Компании-внедренца непостоянна. Т.е. один раз из десяти связи нет.

Edited by yuriy.ufa
Ivan_83

Ivan_83

Posted
Posted

В случае л2 сегмента хосты общаются напрямую, и главное чтобы мак получателя не менялся.

В случае л3 хост шлёт пакеты роутеры и получает ответы от через него, либо от другого роутера. В общем особой разницы нет, ли бы дст мак и ип адреса были такими как ожидается.

В линуксах всякие rp фильтры могут трепать нервы дропая такие "неожиданные" пакеты, как ведёт себя винда не знаю, фря переваривает нормально.

 

Приведите сеть к такому виду чтобы конечные хосты ходили и получали ответы через единственный роутер с единственного адреса, а на роутерах это вылечится быстрее.

yuriy.ufa

yuriy.ufa

Posted
  • Author
Posted (edited)

Первое что лезет в голову - разное мту на трассах (может один из путей через какие-нибудь ip-ip/ip-gre туннели ходит).

Тоннелей нет. Чистая маршрутизация.

Маршруты отличаются следующим.

 

Маршруты:

Было:

В одну сторону: Сервер - ХостА - ХостВ - Клиент

В другую сторону: Клиент - ХостВ - ХостБ - ХостА - Сервер

 

Поменяли на

В одну сторону: Сервер - ХостА - ХостБ - ХостВ - Клиент

В другую сторону: Клиент - ХостВ - ХостБ - ХостА - Сервер

 

Исходная ситуация была связана с тем, что в Хосте В не было прямого маршрута на А и трафик ходил через маршрутизатор Б

 

 

 

Приведите сеть к такому виду чтобы конечные хосты ходили и получали ответы через единственный роутер с единственного адреса, а на роутерах это вылечится быстрее.

Конечные хостып получают пакеты на уровне L2 с единственного адреса.

 

Весь остальной трафик (интернет, СУБД на базе MS SQL, Lync, почта и т.п.) ходит нормально.

Edited by yuriy.ufa
yuriy.ufa

yuriy.ufa

Posted
  • Author
Posted (edited)

1. Чисто логически такого документа быть не должно. Как в диком интернете обеспечить симметричную маршрутизацию?

 

Корректно ли требование от Компании-внедренца - "Наличие симметричной маршрутизаци" ?

Edited by yuriy.ufa
7net7

7net7

Posted
Posted (edited)

ХостА, ХостБ и ХостВ находятся в одном широковещательном домене.

 

для чего тогда маршрутизация?

 

Исходная ситуация была связана с тем, что в Хосте В не было прямого маршрута на А и трафик ходил через маршрутизатор Б

 

если бы пакет обратно ходил то по одному, то по другому маршруту, то теоретически проблемы возможны.

а если все время по одному,имхо, маловероятны.

Edited by 7net7
7net7

7net7

Posted
Posted

В случае л2 сегмента хосты общаются напрямую, и главное чтобы мак получателя не менялся.

 

если имеют место игры с масками сетей, то проблемы может создавать маршрутизатор X с включенным proxy arp.

EDA_SPB

EDA_SPB

Posted
Posted

Корректно ли требование от Компании-внедренца - "Наличие симметричной маршрутизаци" ?

 

В общем случае, я думаю, да.

Тех. условия для внедрения компания вправе ставить любые.

Другое дело, соглашаться Вам с ними или нет.

Сферический веб сервер в вакууме работает с ассиметрией нормально, а точнее вообще о ней ничего не знает.

Но кто же знает что у вас установлено...

Tosha

Tosha

Posted
Posted

Если компания применяет FWSM или его аналоги, например, для NAT и на нем включены инспекции, то tcp сессия не установится, если эта железка не увидит оба SYN пакета.

 

И если подобная железка стоит на "ХостБ" то это все объясняет.

yuriy.ufa

yuriy.ufa

Posted
  • Author
Posted

Если компания применяет FWSM или его аналоги, например, для NAT и на нем включены инспекции, то tcp сессия не установится, если эта железка не увидит оба SYN пакета.

 

И если подобная железка стоит на "ХостБ" то это все объясняет.

NAT-в нет.

Хосты A Б и В - маршрутизаторы.

Tosha

Tosha

Posted
Posted (edited)

А какой именно маршрутизатор "ХостБ"?

 

Просто 76xx с FWSM это как бы тоже маршрутизатор... Просто с дополнительными функциями обеспечения безопасности.

 

В общем там весьма необычный маршрутизатор. Обычный маршрутизатор не заставишь проверить что обратный поток данных идет в обход.

Edited by Tosha
Tosha

Tosha

Posted
Posted

Ну значит на нем стоит таки какой-то модуль повышения безопасности.

Либо обходить этот хост стороной либо просить чтобы для Вас делали исключения инспекций или вообще в обход контроля.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.