1
Routing von Primärdatenleitung und Backupdatenleitung
Routing von Primärdatenleitung und Backupdatenleitung, die Primärleitung ist eine 10Mbit Standleitung und verbindet Standort A mit Standort B.
Am Standort B befindet sich eine Firewall die ein "NAT" auf eine andere IP Adresse macht. Sollte die Standleitung (10Mbit) im K Fall ausfallen, soll über eine 34Mbit Backupdatenleitung ein VPN Tunnel zu einer Watchguard, im Standort A aufgebaut werden. Kann jemand weiterhelfen was im Netzwerk von Standort A gemacht werden dass die Clients wissen wie sie die Maschine am Standort B erreichen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93617
Url: https://administrator.de/contentid/93617
Printed on: April 19, 2024 at 23:04 o'clock
1 Comment
Wie sie die Maschinen an Standort B erreichen ist ja im Normalfall kein Problem. Du hast da wahrscheinlich die Frage falsch gestellt und meinst wie sie immer, auch im Backup Falle, den Standort B erreichen, richtig ??
Vermutlich willst du auch keine Kabel umstecken wenn möglich, richtig ?
Ein kniffliges Problem aber sehr leicht lösbar. Es gibt 2 Szenarien die das Problem einfach lösen:
1.) Floating static Routes
2.) Dynamische Routing Protokoll
Dein Szenario sieht etwas übersichtlicher so aus:
Zäumen wir das Pferd mal von hinten auf und fangen bei Punkt 2 an:
Das wäre für dich die einfachste Lösung, sie funktioniert aber nur wenn der VPN Tunnel permanent aktiviert ist, was man bei einer 34 Mbit Standleitung ja vermuten kann.
Du schaltest auf allen 3 Systemen (Firewall und den 2 Routern an Standort B) ein dynamische Routing Protokoll an.
Anbieten tut sich da OSPF, ein Standard den alle supporten sollten. Das reicht eigentlich schon, denn damit funktioniert dein Szenario schon so wie du es willst.
Einen kosmetischen Punkt gibt es allerdings:
Deine Backup Leitung ist mit 34 Mbit ja erheblich besser in der Bandbreite als deine Standleitung. OSPF würde also so immer die 34 Mbit Leitung bevorzugen !
Du musst also am Router nur die 34 Mbit Leitung in der Metric schlechter machen als 10 Mbit, daraufhin nimmt OSPF die 10 Mbit Leitung wieder als Primärleitung und schaltet dynmaisch um wenn die 10 Mbit Leitung Probleme hat und zwar egal ob Leitung Router oder was auch immer.
Das ist die einfachste Lösung....
Allerdings eigentlich dumm, denn du bezahlst ja für die 34 Mbit und könntest sie sogar so auch im Load Sharing mit deine 10 Mbit Leitung nutzen und so deine Bandbreite erheblich verbessen...aber egal...wenn du es nicht willst geht es auch so !
Bei Punkt 1 konfigurierst du 2 statische Routen zum Ziel auf der Firewall, wobei die 2te Route über den VPN Tunnel eine schlechtere Metric bekommt.
Normalerweise haben statische Routen eine Metrik von 0 und du gibst der 2ten dann eine Metric von z.B. 100.
Nun nimmt die Firewall die 2te Route um Pakete zum Standort B zu routen sollte ihr Gateway (die 10 Mbit Strecke) nicht mehr erreichbar sein !
Knifflig ist hier der Rückweg, denn an Stanort B gibt es 2 Router ! Hier ist jetzt die Frage welcher Router default Gateway für die Endgeräte ist. Vermutlich der normale Router der die Standleitung (10 Mbit) bedient.
Hier trägst du nun ebenfalls eine 2te statische Route zum Standort A mit schlechterer Metrik via Backup Router ein als next Hop.
Als Alternative ist ein VRRP Szenario denkbar mit einer virtuellen IP Adresse zwischen den Routern die als Default Gateway Adresse fungiert
Et voila das wars....
Generell hat die statische Geschichte den Nachteil das das next Hop Gateway weg sein muss damit die 2te statische Route greift. Ist einmal das Gateway trotzdem erreichbar und hat z.B. nur das 10 Mbit Kabel einen Fehler beim Provider merkt das der Router nicht und versucht trotzdem weiter den Link zu benutzen... In so einen Fall hilft dir das statische Szenario nicht und du musst wieder manuell eingreifen, was eine größeren Ausfall bedeutet ...!
Bei einem dynamischen Routing Protokoll kann das nie passieren. Sowie die Routing Updates nicht mehr durchkommen geht der Link auf Down und der Backup Link wird aktiv.
Egal was da kaputt geht, Providerkabel, Router oder was auch immer !!!
Letztlich ist diese Lösung technisch besser da die Failoverzeit so bei ca. 3 Sekunden liegt was deine Clients gar nicht merken.
Sie hängt allerdings von ein paar technischen Bedingungen ab zu denen du uns leider im Dunkeln stochern lässt
Vermutlich willst du auch keine Kabel umstecken wenn möglich, richtig ?
Ein kniffliges Problem aber sehr leicht lösbar. Es gibt 2 Szenarien die das Problem einfach lösen:
1.) Floating static Routes
2.) Dynamische Routing Protokoll
Dein Szenario sieht etwas übersichtlicher so aus:
Zäumen wir das Pferd mal von hinten auf und fangen bei Punkt 2 an:
Das wäre für dich die einfachste Lösung, sie funktioniert aber nur wenn der VPN Tunnel permanent aktiviert ist, was man bei einer 34 Mbit Standleitung ja vermuten kann.
Du schaltest auf allen 3 Systemen (Firewall und den 2 Routern an Standort B) ein dynamische Routing Protokoll an.
Anbieten tut sich da OSPF, ein Standard den alle supporten sollten. Das reicht eigentlich schon, denn damit funktioniert dein Szenario schon so wie du es willst.
Einen kosmetischen Punkt gibt es allerdings:
Deine Backup Leitung ist mit 34 Mbit ja erheblich besser in der Bandbreite als deine Standleitung. OSPF würde also so immer die 34 Mbit Leitung bevorzugen !
Du musst also am Router nur die 34 Mbit Leitung in der Metric schlechter machen als 10 Mbit, daraufhin nimmt OSPF die 10 Mbit Leitung wieder als Primärleitung und schaltet dynmaisch um wenn die 10 Mbit Leitung Probleme hat und zwar egal ob Leitung Router oder was auch immer.
Das ist die einfachste Lösung....
Allerdings eigentlich dumm, denn du bezahlst ja für die 34 Mbit und könntest sie sogar so auch im Load Sharing mit deine 10 Mbit Leitung nutzen und so deine Bandbreite erheblich verbessen...aber egal...wenn du es nicht willst geht es auch so !
Bei Punkt 1 konfigurierst du 2 statische Routen zum Ziel auf der Firewall, wobei die 2te Route über den VPN Tunnel eine schlechtere Metric bekommt.
Normalerweise haben statische Routen eine Metrik von 0 und du gibst der 2ten dann eine Metric von z.B. 100.
Nun nimmt die Firewall die 2te Route um Pakete zum Standort B zu routen sollte ihr Gateway (die 10 Mbit Strecke) nicht mehr erreichbar sein !
Knifflig ist hier der Rückweg, denn an Stanort B gibt es 2 Router ! Hier ist jetzt die Frage welcher Router default Gateway für die Endgeräte ist. Vermutlich der normale Router der die Standleitung (10 Mbit) bedient.
Hier trägst du nun ebenfalls eine 2te statische Route zum Standort A mit schlechterer Metrik via Backup Router ein als next Hop.
Als Alternative ist ein VRRP Szenario denkbar mit einer virtuellen IP Adresse zwischen den Routern die als Default Gateway Adresse fungiert
Et voila das wars....
Generell hat die statische Geschichte den Nachteil das das next Hop Gateway weg sein muss damit die 2te statische Route greift. Ist einmal das Gateway trotzdem erreichbar und hat z.B. nur das 10 Mbit Kabel einen Fehler beim Provider merkt das der Router nicht und versucht trotzdem weiter den Link zu benutzen... In so einen Fall hilft dir das statische Szenario nicht und du musst wieder manuell eingreifen, was eine größeren Ausfall bedeutet ...!
Bei einem dynamischen Routing Protokoll kann das nie passieren. Sowie die Routing Updates nicht mehr durchkommen geht der Link auf Down und der Backup Link wird aktiv.
Egal was da kaputt geht, Providerkabel, Router oder was auch immer !!!
Letztlich ist diese Lösung technisch besser da die Failoverzeit so bei ca. 3 Sekunden liegt was deine Clients gar nicht merken.
Sie hängt allerdings von ein paar technischen Bedingungen ab zu denen du uns leider im Dunkeln stochern lässt
