如題
兩端系統伺服器主機都被兩邊網路防火牆給保護
中間網路跑OSPF，且網路線路有redundancy機制(HA)
跟同事討論，若兩邊都沒有防火牆，只有router
則封包去回不同路，沒關係
但兩邊有防火牆，封包去回不同路，我們之前就有發生過問題(但我算沒經歷過，同事有)
我目前想到幾點
1.封包送出後，經過很多router或L2 switch
封包中的source ip與destination ip都不會變，但L2 source and dest. mac會一直變
因routing是看dest. ip(從頭到尾不變)，router依據目的ip網段而轉發到next hop
2.封包去回不同路，可能回的網路品質不佳(packet drop)或找不到next hop
請問各位先進與大大
是否有其他去回不同路而發生障礙的可能原因?
感恩

其實防火牆有封包檢查機制，不過這個機制是可以關掉的，基於資安考量通常都不建議關掉

HA(Master)掛掉的時候 連線中的Session可能就會出現封包去回不同路的狀況所以HA有個機制會讓Master&Slaver建立虛擬共用IP&MAC避免讓接收端認為去回不同路(被攻擊)而把封包Drop另外有讀過類似的情境是Triangular Routing Problem但看起來比較像ISP端處理Routing的作法 跟企業環境的Rouring應該比較沒關係 我想這個應該不是你要問的XD

防火牆的TCP inspection會檢查TCP封包是不是屬於同一個connection(看序號等資訊)，預設值都是不符合就丟棄非對稱路由會造成TCP封包有些經過防火牆、有些沒有所以TCP溝通容易出問題，不過就如一樓講的，可以關掉要注意的是會生這問題的架構，通常防火牆不是唯一閘道例如企業常有MPLS VPN，又透過防火牆做site to siteVPN路由設計的時候就要考慮到會發生去回不同路的情境

去回不同路沒關係？

BGP 就去回不同路了..你上網有影響?

你確定封包來去不同路，怎麼可能，收到一個封包沒頭沒尾早就被Drop掉了整個封包session都是一連串有關連ID互相辨識的

去回不同路是指中間路由經過不同路徑，來源目的沒變好嗎只要TCP沒丟包到連線逾時，來源跟目的根本不在乎路徑如何走，只要中間沒有防火牆、路由黑洞，通常不會察覺問題

Firewall或是資安設備是AA mode? 動態路由沒刻意調整演算法下，去回不同路是很正常的

其實防火牆有封包檢查機制，不過這個機制是可以關掉的，基於資安考量通常都不建議關掉

HA(Master)掛掉的時候 連線中的Session可能就會出現封包去回不同路的狀況所以HA有個機制會讓Master&Slaver建立虛擬共用IP&MAC避免讓接收端認為去回不同路(被攻擊)而把封包Drop另外有讀過類似的情境是Triangular Routing Problem但看起來比較像ISP端處理Routing的作法 跟企業環境的Rouring應該比較沒關係 我想這個應該不是你要問的XD

防火牆的TCP inspection會檢查TCP封包是不是屬於同一個connection(看序號等資訊)，預設值都是不符合就丟棄非對稱路由會造成TCP封包有些經過防火牆、有些沒有所以TCP溝通容易出問題，不過就如一樓講的，可以關掉要注意的是會生這問題的架構，通常防火牆不是唯一閘道例如企業常有MPLS VPN，又透過防火牆做site to siteVPN路由設計的時候就要考慮到會發生去回不同路的情境

去回不同路沒關係？

BGP 就去回不同路了..你上網有影響?

你確定封包來去不同路，怎麼可能，收到一個封包沒頭沒尾早就被Drop掉了整個封包session都是一連串有關連ID互相辨識的

去回不同路是指中間路由經過不同路徑，來源目的沒變好嗎只要TCP沒丟包到連線逾時，來源跟目的根本不在乎路徑如何走，只要中間沒有防火牆、路由黑洞，通常不會察覺問題

Firewall或是資安設備是AA mode? 動態路由沒刻意調整演算法下，去回不同路是很正常的

在ECMP VXLAN EVPN環境下去回不同路實屬正常調整Firewall的架構(不是enable asymroute) 也是正常

感謝各位大大集思廣益,但我還是不能想像,各種原因造成障礙可能還沒有遇過這樣問題吧! 我們firewall是AS modefirewall是唯一閘道與唯一出入口,沒有其他link

在ECMP VXLAN EVPN環境下去回不同路實屬正常調整Firewall的架構(不是enable asymroute) 也是正常

感謝各位大大集思廣益,但我還是不能想像,各種原因造成障礙可能還沒有遇過這樣問題吧! 我們firewall是AS modefirewall是唯一閘道與唯一出入口,沒有其他link