Hairpin流量,翻译为发卡流量。
简单举例子,我们就说这个SSLVPN就行了,包括这个任何拨号VPN,但不仅限于这些,你会碰到这样一种需求,拨号成功后我的所有流量都经过了这个加密隧道扔到了总部,然后我也想上网,那该怎么办?
解决方法有两种:
第1种:隧道分离TunnelSplit,这种感觉的相当于我到公司内网是走加密的,但是我去互联网走本地出口。
第2种:由于一些公司跟企业为了这个就是安全统一管理和审计,他可能不会去给你做这个隧道分离啊,那么也就是说你的所有流量都经过这个隧道加密到达总部,然后总部出口配置NAT规则让你的流量可以出去。
所以这个流量从逻辑上来讲就变成了拐弯儿的效果儿,就是你把流量丢给了总部,但是总部通过某种方法让你的流量从总部的本地出口出去,因为你是从互联网拨进来的。从outside接口拨进来的,然后呢这个VPN网关设备给你做nat,让你从这个总部互联网出口出去,所以这种效果的流量呢,称之为叫u turn,也就是HairPin,上面图中Juniper未开启VMTO前的流量转发,其实你可以认为是发卡流量,但是你也可以说是次优路径,这个在不同的场景里面的解读方法有点不太一样啊,所以这个也不能太混为一谈这种感觉。
****下面是我们看到Juniper 在vxlan方案中的1个特性VMTO :Virtual Machine Traffic Optimazation, 进行一下类比,
所以这张图片所要表达的意思的话呢,就是说当你的这个虚拟机进行迁移的时候,你的流量还一直往这个DC1里面灌,那么这个情况下的话呢,在你没有开这个feature,他的路线的走向是这个样子,就是左边这张图,如果你开了之后的话,就变成了右边这张图啊,其言外之意主要是告诉你1个区别,但当然,如果说这个网往细了去抠,他为啥是这样的呢?原因之一呢,就是因为在默认情况下,它不携带这个IP infomation在它的Type 2这个字段里边,所以会有这样的一个潜在的问题存在,但如果说你看Cisco好像就没提过这事儿对吧,因为Cisco本身是带的,所以Cisco只需要去通过追加一个就是BGP Mobility的一个功能即可,那这是啥意思,相当于说,虚拟机不漂移了吗, 漂移了之后的话,那么那个BGP的更新的时候,里面会有一个sequence number,那个number就会增长,你每飘一次,你每换一个LEAF啊,当然不限于你是在本地还是跨DC,都会去增加这个number,然后去告诉BGP,我换地方儿了,你更新一下这个这个这个消息吧,然后你去刷一下你的这个LEAF MAC表.
所以Cisco的这VXLAN和Juniper的VXLAN的解决方案的区别还是很明显的。
HairPin这个概念有的时候不单纯指的是SSL VPN, 拨号VPN,那种case是比较常见的case,但是还有一些可能比较冷门儿的东西啊,打比方:如果学过Cisco的安全,你肯定知道这个DMVPN; 那这个时候的话,也会遇到一个hairpin的东西,就啥意思呢,HairPin说到底就是从这个接口进来的报文,我是否可以让他出去,这就是HairPin,那么在DMVPN设计当中的话,你可能会碰到一件事儿,就是这个EIGRP的水平分割的问题,实际上很多路由协议本身的话跟水平分割有关系的,这种都跟Hairpin有关啊,因为我是不是允许你接收到这个所谓的hello包,更新包等报文能从这个接口再发出去,就是这种感觉,然后按需调整。水平分割的开关,一般情况下,这个就是控制平面的协议的话呢,他都是开的,因为要防环。但是如果来讲拓扑本身就是无环,你可以按需把它关掉。所以在DMVPN设计中,你要是如果运行EIGRP的话,你必须得在你总部的HUB上将split-horizon关掉。否则的话,你的spoke是学不到其他spoke的路由了,这就是一个比较好玩的case,只是举例说明一下。