반응형
참고
-
HTTP는 Stateless 한데 로그인은 어떻게 구현할 수 있을까? (세션/쿠키를 이용한 인증) - DevTaek의 개발노트
-
다중 서버 환경에서 Session은 어떻게 공유하고 관리할까? - 4편 (Redis vs Memcached) - DevTaek의 개발노트
-
asymroute enable 할 경우 FortiGate는? - by 이브레인테크
-
비대칭 라우팅 사용 - Route-XP
비대칭 경로가 발생한다는 것이 무엇인지 이해하는데 도움을 줄 수 있는 내용입니다.
자세한 내용은 참고 링크나 별도로 검색해 보시기 바랍니다.
원본 pptx
728x90
근래에 비대칭 경로에 대해 접하게 되었는데, 미래에 나를 위해 비대칭 경로란 무엇인지 기록을 남겨봅니다.
그림도 많이 남겨 놨으니 다음엔 그림만 봐도 무릎을 딱! 칠 수 있으리라 생각 합니다.
먼저 아래와 같은 네트워크 환경이 있습니다.
기존에는 크게 세 가지 연결 구간이 있었습니다.
Office에서
-
Azure와의 통신은 VWan의 S2S VPN으로 연결되고
-
IDC로는 Fortigate S2S VPN으로 직접 통신 됩니다.
Azure에서
-
IDC로의 통신은 VWan ER로 연결 됩니다.
위 환경에서 (이유는 묻지 마시고... ㅡㅡㅋ) Office에서 Azure를 거쳐 IDC로 가는 경로를 추가하려 합니다.
그래서 IDC에 새로운 CIDR(10.200.10.0/24)를 추가하고,
Office 라우터에 새로운 CIDR은 Azure VPN으로 던지도록 설정합니다.
이처럼 설정을 마친 후 VWan의 hub들과 ER의 Route table을 확인해보면
IDC까지 (실제로는 ER 파트너의 게이트웨이까지) 잘 던지도록 설정 되어 있는것을 확인 했습니다. (Route table 캡쳐 생략)
하지만 Office에서 새로운 CIDR(10.200.10.0/24)에 배포된 머신들까지 통신이 되질 않습니다.
반응형
비대칭 경로가 발생했기 때문입니다.
Office에서 연결 수립을 위해 IDC까지 도착할 때와 되돌아올 때 경로가 다르기 때문에
되돌아온 패킷이 무시되며 연결요청이 계속 대기하는 상태가 반복됩니다.
IPSec 장비들의 경로 선택에 대해 설정을 추가하면 가능할 것 같지만,
Office, IDC쪽은 서포트 대상도 아니거니와 자칫 화를 부를 수 있는....
만약 해당 사이트의 네트워크 담당자가 이를 해결하지 못하고 있다면
아래 세 가지 방안 정도 이야기 해볼 수 있을 것 같습니다.
-
비대칭 경로 허용
-
Office와 IDC 직통 삭제
-
IDC의 새로운 CIDR과 Office의 특정 CIDR간 통신만 Azure를 거치도록
그림으로
Asymmetric routing을 활성화 하면 보안에 이슈가 될 수도 있다는 글이 있었는데
어떤 이유인지는 자세히 찾아보지 않았습니다.
또, '가용성을 목적으로 사용한다면 오히려 좋은 것 아닌가?' 라는 생각을 잠깐 해봤습니다.
정리해 놓고 내용을 다시 훑어보니 참 짧은 내용인데... 정리하는데 오래 걸렸습니다. ㅠㅠ
보너스로, 비대칭 네트워크 환경 조사하면서 헛갈렸던 두 개 개념 정리 합니다.
-
ECMP : 오가는 길은 같아야 하지만 여러 길로 다닐 수 있다.
-
Asymmetric route : 오가는 길이 달라도 된다.
-
반응형
LIST
'IT > Azure' 카테고리의 다른 글
| Azure Migrate 자료조사 (0) | 2023.04.21 |
|---|---|
| [Azure] Blockchain Service 자료조사 (0) | 2023.04.21 |
| App Service (Web App) - 화이트 리스트 구성 (0) | 2023.04.21 |
| AppService Plan 프로덕션 계층 선택 (0) | 2023.04.21 |
| [Azure] App Service 자료 모음 (0) | 2023.04.21 |
