(+ super notatki z ENCOR)

Wersja webowa | NSSletter 039 - 12/03/2024 | Archiwum

Ktoś przekazał Ci ten newsletter? Zapisz się tutaj..

Cześć i czołem 👋

Udanego NSSletterowego wtorku!

Poniżej znajdziesz najnowsze treści dla sieciowców głodnych wiedzy.

Problem z asymetrycznym routingiem

Damian Michalak

Na łamach Na Styku Sieci poruszaliśmy już tematykę Hairpinning’u i jego potencjalnych konsekwencji - a konkretniej problem z NATowaniem. 

Tutaj chcielibyśmy kontynuować ten temat, i omówić nierzadko spotykany oraz ważny problem z asymetrycznym routingiem.

Spójrzmy na diagram:

Jeśli host A będzie nawiązywał komunikację z hostem B to ASA (default gateway) zarejestruje tylko pakiet SYN, a reszta komunikacji będzie już przechodziła bezpośrednio przez Internal Router.

Na Cisco ASA zaobserwujemy zatem sporo niekompletnych sesji, nie zmienia to jednak faktu, że będzie to działać.

Co innego, gdy to host B będzie inicjował komunikację. W takiej sytuacji pierwszym pakietem, który zauważy ASA będzie SYN-ACK co spowoduje, że nasza biedna ASA będzie zdezorientowana i zacznie drapować ruch. Tak to wygląda na diagramie:

Pośrednim rozwiązaniem tego problemu jest zastosowanie funkcji "tcp state bypass ", konfigurowalnej z poziomu Modular Policy Framework (MPF):

ASA(config)#access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.0 any
ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0 any
ASA(config)#class-map tcp_bypass
ASA(config-cmap)#match access-list tcp_bypass
ASA(config-cmap)#policy-map tcp_bypass_policy
ASA(config-pmap)#class tcp_bypass
ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
ASA(config-pmap-c)#service-policy tcp_bypass_policy outside
ASA(config-pmap-c)#static (inside,inside) 192.168.1.0 192.168.1.0 netmask 255.255.255.0
ASA(config-pmap-c)#static (inside,inside) 192.168.2.0 192.168.2.0 netmask 255.255.255.0

Dzięki temu ASA zacznie akceptować również sesje, dla których pierwszym dostrzeżonym pakietem jest SYN-ACK (oczywiście ACL musi zezwalać na komunikację między sieciami).

Czytaj cały artykuł "Hairpinning w teorii – przegląd technologii" →

Super notatki z ENCOR

Użytkownik TheVirtualMoose podzielił się na Reddicie swoimi notatkami z przygotowań do CCNP ENCOR. Stanowią one fajny przegląd kluczowych zagadnień z tego egzaminu. Zdecydowanie warto z nich skorzystać.

Czy terminologia klasowa jest poprawna?

Jeśli chodzi o temat subnettingu, nadal często spotyka się użycie terminologii związanej z routingiem klasowym. Dziś w zasadzie każdy sieciowiec preferuje notację ukośnikową - ale zrozumienie historycznych korzeni klasowego routingu może być przydatne dla interpretacji literatury sieciowej.

Więcej tego typu znalezisk znajdziesz na naszym Twitterze (X).

Źródło: Instagram nastykusieci

Chcesz podzielić się z kimś tym wydaniem NSSlettera?
Wystarczy, że skopiujesz i wkleisz link poniżej:

Do zobaczenia za tydzień 👋

Pozdrawiam,
Damian Michalak
Alvortech Damian Michalak

ul. Piękna 25B/33
50-506 Wrocław
Polska

O newsletterze: Otrzymujesz ten e-mail, ponieważ zapisałeś/aś się do niego przez portal Na Styku Sieci lub zakupiłeś/aś jeden z produktów Szkoły Sieci.

Zaktualizuj swoje preferencje: Zrezygnuj z otrzymywania NSSlettera, lub zrezygnuj ze wszystkich maili (również z informacji o naszych przyszłych produktach i usługach). W razie dodatkowych pytań, odpisz proszę na tego maila.