Asymmetric Routing

Asymmetric Routing(비대칭 라우팅)이란,
패킷이 출발지에서 목적지까지 가는 경로와 돌아오는 경로가 서로 다른 경우를 말한다
즉, 요청(Request)과 응답(Response) 트래픽이 동일한 경로를 통과하지 않는 상황이다.
단순 네트워크 장비 스위치 및 라우터 등 있는 네트워크 환경이라면 상관이 없겠지만 방화벽이 존재 방화벽 내용은 추후에 다룰 것이다
일단 여기서는 방화벽은 IP라우팅+정책 세션을 가지고 통신을 한다 여기서 말하는 정책 세션은 방화벽 본인 장비안에 트래픽 규칙이 생성할 수 있는데 해당 규칙이 PASS냐 DROP이냐 세션을 가지고 통신을 한다.
본인 정책세션을 타고 나가지 않으면 방화벽 해당 패킷을 뭐야 이새끼하고 차단 시켜버린다. 해당 설명은 TCP 3way연결과정을 보면 쉽게 이해할것이다.

실습

테스트 네트워크 환경이다.

현재 20.20.20.20 -> 20.20.20.4 IP로 SSH접속을 시도하면 정상적으로 접속이 된다
왜 될까? 스위치에서는 20.20.20.0/24같은 네트워크 영역이고 본인의 ARP 맥주소 테이블 보고 바로 연결이 된다 이렇게 방화벽을 거치치 않고 단순 목적지 ARP 맥주소 테이블 보고 스위칭을 진행한다. 그리고 10.10.10.4 스위치 또 다른 IP에 SSH접속을 시도를 하면?

접속이 안된다 왜 안될까?
분명히 SYN->SYN+ACK->ACK순으로 정상적으로 찍혀 있는데
그건 방화벽 장비때문에 방화벽은 본인의 정책 세션을 타고 통신을 했냐 안했냐로 따진다.

1.PC는 10.10.10.4 목적지로 가기위해 본인의 네트워크 관문인 10.10.10.5향해간다.
2.방화벽은 본인의 커넥티드 라우팅을 보며 L2통신을 진행한다.
3.스위치는 해당 요청을 받고 본인의 ARP 맥주소테이블을 보고 20.20.20.4의 syn패킷에 대한 회신을 위해 syn+ack를 보낸다. 그리고 PC는 ACK를 보낸다...
여기서 문제다... 다시 한번 말하지만 방화벽은 세션을 가지고 통신한다.

위에 있는 와이어샤크는 방화벽의 eth1/1인터페이스이다
SSH접속을 시도하면 처음에는 syn이 보인다 그러면 방화벽을 통과를 햇을것이다
근데 syn+ack는 이유는 굳이 방화벽까지 올라오지 않고 스위치 본인이 해당 ARP 맥주소를 알고 있으니 본인이 syn+ack를 보낸다 그리고 사진에 두번째 밑줄을 보면 ack는 보인다 그러면 사용자는 Syn+ack를 받고 해당 요청에 대한 응답을 보냈다 하지만
방화벽은 사용자가 보낸 ack를 통과시키지 않는다 왜냐? 본인 세션테이블에 syn+ack패킷이 없으니까
사용자 보낸 ack패킷은 나를 통과한 세션이 없네 이새끼 뭐야 하면서 패킷을 드롭시키면서 SSH가 연결이 되지 않는다.

그러면 UDP ICMP통신은 될까? 정답은 된다
왜냐 해당 친구들은 TCP처럼 복잡한 과정 없이 그냥 요청하면 응답을 보내는 녀석들이라
일단 방화벽을 통해 요청을 하면 응답은 방화벽을 통해서 오던지 아니면 그냥 오지말던지 알빠가 아니다 3way연결 과정이 없기때문에

잘가죠? ㅋㅋㅋㅋㅋㅋㅋ TCP는 3way연결과정 후에 데이터 통신을 한다
하지만 UDP ICMP는 해당 과정이 없으니 ㅋㅋㅋ

솔직히 고민을 많이 했다..
아직 방화벽 파트를 나가지 못했는데 해당 부분을 먼저 글을써도 되는지
하지만 방화벽을 다루고 있고 TCP프로토콜에 대해서 공부를 하니 잊어버리기 전에
먼저 올리는게 좋을 것 같다 그리고 해당 부분은 일하면서 종종 많이 들어와서 볼것이다.