|
(+ super notatki z ENCOR)
|
|
|
|
Cześć i czołem 👋
Udanego NSSletterowego wtorku!
Poniżej znajdziesz najnowsze treści dla sieciowców głodnych wiedzy.
|
|
|
|
Problem z asymetrycznym routingiem
|
|
|
Na łamach Na Styku Sieci poruszaliśmy już tematykę Hairpinning’u i jego potencjalnych konsekwencji - a konkretniej problem z NATowaniem.
Tutaj chcielibyśmy kontynuować ten temat, i omówić nierzadko spotykany oraz ważny problem z asymetrycznym routingiem.
Spójrzmy na diagram:
|
|
|
|
Jeśli host A będzie nawiązywał komunikację z hostem B to ASA (default gateway) zarejestruje tylko pakiet SYN, a reszta komunikacji będzie już przechodziła bezpośrednio przez Internal Router.
Na Cisco ASA zaobserwujemy zatem sporo niekompletnych sesji, nie zmienia to jednak faktu, że będzie to działać.
Co innego, gdy to host B będzie inicjował komunikację. W takiej sytuacji pierwszym pakietem, który zauważy ASA będzie SYN-ACK co spowoduje, że nasza biedna ASA będzie zdezorientowana i zacznie drapować ruch. Tak to wygląda na diagramie:
|
|
|
|
Pośrednim rozwiązaniem tego problemu jest zastosowanie funkcji "tcp state bypass ", konfigurowalnej z poziomu Modular Policy Framework (MPF):
|
|
|
|
ASA(config)#access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.0 any ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0 any ASA(config)#class-map tcp_bypass ASA(config-cmap)#match access-list tcp_bypass ASA(config-cmap)#policy-map tcp_bypass_policy ASA(config-pmap)#class tcp_bypass ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass ASA(config-pmap-c)#service-policy tcp_bypass_policy outside ASA(config-pmap-c)#static (inside,inside) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 ASA(config-pmap-c)#static (inside,inside) 192.168.2.0 192.168.2.0 netmask 255.255.255.0
|
|
|
|
Super notatki z ENCOR
Użytkownik TheVirtualMoose podzielił się na Reddicie swoimi notatkami z przygotowań do CCNP ENCOR. Stanowią one fajny przegląd kluczowych zagadnień z tego egzaminu. Zdecydowanie warto z nich skorzystać.
|
|
|
|
Czy terminologia klasowa jest poprawna?
Jeśli chodzi o temat subnettingu, nadal często spotyka się użycie terminologii związanej z routingiem klasowym. Dziś w zasadzie każdy sieciowiec preferuje notację ukośnikową - ale zrozumienie historycznych korzeni klasowego routingu może być przydatne dla interpretacji literatury sieciowej.
|
|
|
|
Chcesz podzielić się z kimś tym wydaniem NSSlettera? Wystarczy, że skopiujesz i wkleisz link poniżej:
|
|
|
Do zobaczenia za tydzień 👋
Pozdrawiam, Damian Michalak
|
|
|
|
|