我可能是关于serverfault相关问题的一个完整的n00b,但是我们的IT部门做了一个大胆的陈述,我想validation一下。 我search了互联网,但没有find与我的问题有关的东西,所以我来到这里。
我们有威胁pipe理网关2010,我们只是将请求路由到IIS,它包含的IP地址,所以我们可以看到它来自哪里。 但现在他们打开了“请求apear来TMG服务器”,所以ip地址不再转发。 每个请求都有TMG服务器的IP地址。
现在背后的想法是,由于多pathbgp路由,传入的请求通过RouteA,但确认消息可能通过RouteB返回。 声明是因为请求不是来自第一个已知源,而是来自我们的代理,而是来自IIS,我们网站访问者的一些智能路由器不能识别确认消息并将其过滤掉。 换句话说,响应永远不会到来。
再次,这是主张。 但是我找不到任何支持这种说法的资源。 我读了关于bgp多path,但更多的情况下,当最快的路由由于某种原因失败时有替代路线。
那么这种说法是完全虚假的,还是存在(一些)真相呢? 有人可以解释或指向我的资源?
提前致谢!
这种非对称路由的确在互联网上经常发生。 一个给定的BGP路由器可以拥有多个本地优先规则,以及一个path上的不同透视图以及它喜欢使用哪个对等体。 一个互联网路由器不知道或关心一个会话通过哪个pipe道,这也不重要; 只要数据包到达目的地,一切正常。
但是,这种行为与您的Web服务器和TMG代理之间的通信没有任何关系。
解释的问题在这里:
请求不是来自第一个已知的来源,我们的代理,而是来自IIS
如果这是真的,那么到Web服务器的所有连接将无条件地失败。 客户端连接到代理的IP地址,并期望来自相同地址的响应stream量 – IIS服务器是响应stream量的源IP(跳过TMG)将会使响应stream量被拒绝。
为TMG提供连接的明显来源是“真正的”客户端的原因是,TMG位于networking服务器的前面(它只在TMG在线时起作用,作为路由器) 。 TMG看到来自您的Web服务器的响应stream量绑定到客户端地址,并将其捕获,并通过正确的连接(客户端发起到TMG的连接)将其发送到客户端。
因此,基本上,BGP和互联网路由与它无关,但是内部networking(TMG设备不用于路由响应stream量)的类似的非对称路由会中断来自Web客户端的连接,并且需要使用TMG IP地址作为明显的连接源。 也许他们正在计划拓扑结构的变化?