如题
两端系统服务器主机都被两边网络防火墙给保护
中间网络跑OSPF，且网络线路有redundancy机制(HA)
跟同事讨论，若两边都没有防火墙，只有router
则封包去回不同路，没关系
但两边有防火墙，封包去回不同路，我们之前就有发生过问题(但我算没经历过，同事有)
我目前想到几点
1.封包送出后，经过很多router或L2 switch
封包中的source ip与destination ip都不会变，但L2 source and dest. mac会一直变
因routing是看dest. ip(从头到尾不变)，router依据目的ip网段而转发到next hop
2.封包去回不同路，可能回的网络品质不佳(packet drop)或找不到next hop
请问各位先进与大大
是否有其他去回不同路而发生障碍的可能原因?
感恩

其实防火墙有封包检查机制，不过这个机制是可以关掉的，基于资安考量通常都不建议关掉

HA(Master)挂掉的时候 连线中的Session可能就会出现封包去回不同路的状况所以HA有个机制会让Master&Slaver建立虚拟共用IP&MAC避免让接收端认为去回不同路(被攻击)而把封包Drop另外有读过类似的情境是Triangular Routing Problem但看起来比较像ISP端处理Routing的作法 跟企业环境的Rouring应该比较没关系 我想这个应该不是你要问的XD

防火墙的TCP inspection会检查TCP封包是不是属于同一个connection(看序号等资讯)，默认值都是不符合就丢弃非对称路由会造成TCP封包有些经过防火墙、有些没有所以TCP沟通容易出问题，不过就如一楼讲的，可以关掉要注意的是会生这问题的架构，通常防火墙不是唯一闸道例如企业常有MPLS VPN，又透过防火墙做site to siteVPN路由设计的时候就要考虑到会发生去回不同路的情境

去回不同路没关系？

BGP 就去回不同路了..你上网有影响?

你确定封包来去不同路，怎么可能，收到一个封包没头没尾早就被Drop掉了整个封包session都是一连串有关连ID互相辨识的

去回不同路是指中间路由经过不同路径，来源目的没变好吗只要TCP没丢包到连线逾时，来源跟目的根本不在乎路径如何走，只要中间没有防火墙、路由黑洞，通常不会察觉问题

Firewall或是资安设备是AA mode? 动态路由没刻意调整算法下，去回不同路是很正常的

其实防火墙有封包检查机制，不过这个机制是可以关掉的，基于资安考量通常都不建议关掉

HA(Master)挂掉的时候 连线中的Session可能就会出现封包去回不同路的状况所以HA有个机制会让Master&Slaver建立虚拟共用IP&MAC避免让接收端认为去回不同路(被攻击)而把封包Drop另外有读过类似的情境是Triangular Routing Problem但看起来比较像ISP端处理Routing的作法 跟企业环境的Rouring应该比较没关系 我想这个应该不是你要问的XD

防火墙的TCP inspection会检查TCP封包是不是属于同一个connection(看序号等资讯)，默认值都是不符合就丢弃非对称路由会造成TCP封包有些经过防火墙、有些没有所以TCP沟通容易出问题，不过就如一楼讲的，可以关掉要注意的是会生这问题的架构，通常防火墙不是唯一闸道例如企业常有MPLS VPN，又透过防火墙做site to siteVPN路由设计的时候就要考虑到会发生去回不同路的情境

去回不同路没关系？

BGP 就去回不同路了..你上网有影响?

你确定封包来去不同路，怎么可能，收到一个封包没头没尾早就被Drop掉了整个封包session都是一连串有关连ID互相辨识的

去回不同路是指中间路由经过不同路径，来源目的没变好吗只要TCP没丢包到连线逾时，来源跟目的根本不在乎路径如何走，只要中间没有防火墙、路由黑洞，通常不会察觉问题

Firewall或是资安设备是AA mode? 动态路由没刻意调整算法下，去回不同路是很正常的

在ECMP VXLAN EVPN环境下去回不同路实属正常调整Firewall的架构(不是enable asymroute) 也是正常

感谢各位大大集思广益,但我还是不能想像,各种原因造成障碍可能还没有遇过这样问题吧! 我们firewall是AS modefirewall是唯一闸道与唯一出入口,没有其他link

在ECMP VXLAN EVPN环境下去回不同路实属正常调整Firewall的架构(不是enable asymroute) 也是正常

感谢各位大大集思广益,但我还是不能想像,各种原因造成障碍可能还没有遇过这样问题吧! 我们firewall是AS modefirewall是唯一闸道与唯一出入口,没有其他link