→ voodist: 其實防火牆有封包檢查機制,不過這個機制是可以關掉的, 05/23 00:26
→ voodist: 基於資安考量通常都不建議關掉 05/23 00:26
推 a0952864901: HA(Master)掛掉的時候 連線中的Session可能就會出現 05/23 01:47
→ a0952864901: 封包去回不同路的狀況 05/23 01:47
→ a0952864901: 所以HA有個機制會讓Master&Slaver建立虛擬共用IP&MAC 05/23 01:50
→ a0952864901: 避免讓接收端認為去回不同路(被攻擊)而把封包Drop 05/23 01:51
→ a0952864901: 另外有讀過類似的情境是Triangular Routing Problem 05/23 01:54
→ a0952864901: 但看起來比較像ISP端處理Routing的作法 跟企業環境的 05/23 01:56
→ a0952864901: Rouring應該比較沒關係 我想這個應該不是你要問的XD 05/23 01:57
→ deadwood: 防火牆的TCP inspection會檢查TCP封包是不是屬於同一個 05/23 09:21
→ deadwood: connection(看序號等資訊),預設值都是不符合就丟棄 05/23 09:23
→ deadwood: 非對稱路由會造成TCP封包有些經過防火牆、有些沒有 05/23 09:24
→ deadwood: 所以TCP溝通容易出問題,不過就如一樓講的,可以關掉 05/23 09:25
→ deadwood: 要注意的是會生這問題的架構,通常防火牆不是唯一閘道 05/23 09:26
→ deadwood: 例如企業常有MPLS VPN,又透過防火牆做site to siteVPN 05/23 09:27
→ deadwood: 路由設計的時候就要考慮到會發生去回不同路的情境 05/23 09:28
推 gogohc: 去回不同路沒關係? 05/23 10:50
→ asdfghjklasd: BGP 就去回不同路了..你上網有影響? 05/23 17:52
→ slash66: 你確定封包來去不同路,怎麼可能,收到一個封包沒頭沒尾 05/23 20:04
→ slash66: 早就被Drop掉了 05/23 20:06
→ slash66: 整個封包session都是一連串有關連ID互相辨識的 05/23 20:08
→ deadwood: 去回不同路是指中間路由經過不同路徑,來源目的沒變好嗎 05/23 20:17
→ deadwood: 只要TCP沒丟包到連線逾時,來源跟目的根本不在乎路徑如 05/23 20:19
→ deadwood: 何走,只要中間沒有防火牆、路由黑洞,通常不會察覺問題 05/23 20:21
推 error987: Firewall或是資安設備是AA mode? 動態路由沒刻意調整演 05/23 20:45
→ error987: 算法下,去回不同路是很正常的 05/23 20:45
→ infosec: 在ECMP VXLAN EVPN環境下去回不同路實屬正常 05/25 19:58
→ infosec: 調整Firewall的架構(不是enable asymroute) 也是正常 05/25 20:00
→ phdch: 感謝各位大大集思廣益,但我還是不能想像,各種原因造成障礙 05/26 12:52
→ phdch: 可能還沒有遇過這樣問題吧! 我們firewall是AS mode 05/26 12:53
→ phdch: firewall是唯一閘道與唯一出入口,沒有其他link 05/26 12:57