Jump to content

VPN verbindung zwischen 2 Gebäuden, als Redundante Leitung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

folgendes "Problem" seh ich gerade noch mit der VPN Lösung.

 

Deine LWL Strecke ist ja Layer 2 Transparent und du hast auf beiden Seiten das gleiche IP-Netz. Das wird mit VPN etwas schwierig. Deshalb mein Vorschlag mit der WLAN-Brücke.

 

Andere Möglichkeit. Die beiden Standorte in verschiedene IP-Netze aufteilen und Routen. Dann Könntest du mit VRRP/HSRP arbeiten oder mit dem WAN Fallback der Netgear Router.

 

Grüße

 

Tobikom

Link zu diesem Kommentar

Hallo,

 

den Vorschlag von Tobicom, es auf Layer 2 per STP zu regeln halte ich für gangbar. Auch den diesbezüglichen Lösungsansatz mit der WLAN-Bridge finde ich smart. Alternativen wären die Nutzung evtl. vorhandener COAX-Leitungen oder sonstiger Kupferdrähte per VDSL. Die Ausfallstrecke sollte freilich eine andere Trassenführung haben, als die LWL-Strecke.

 

Der Ansatz, ein Site-to-Site-VPN als Ausfallstrecke zu nutzen, führt m.E. (und wie bereits erwähnt) zwangsläufig dazu, dass die Wegewahl auf Layer 3 verlagert wird. Hierzu müssen beide Gebäude mit unterschiedlichen IP-Netzen versehen werden.

 

Die Idee, die LWL-Strecke an die WAN-Seite von SOHO-Routern zu hängen, wäre zwar in der Durchführung äußerst simpel, würde aber dazu führen, dass die SOHO-Router die Performence der LWL-Strecke von jetzt vermutlich 1 GB/s auf weit unter 100 MBit/s drücken würden. Der vorgeschlagene FVS336G macht laut Datenblatt bspw. einen LAN-WAN-Durchsatz von 60MBit/s. Wobei auch dieser Wert vermutlich allein den Phantasien der Marketingabteilung entsprungen sein dürfte. Wenn der Router unter Praxisbedingungen die Hälfte schafft, ohne unerträgliche Latenzen zu verursachen, wäre ich bereits sehr überrascht!

 

Aus diesem Grunde schlage ich vor, auf beiden Seiten Layer3-Switches und dazwischen ein Routingprotokoll zu verwenden. Eine solche Lösung könnte bspw. so aussehen:

 

[Clients und Server in Gebäude 1]

|

{VLAN A / IP-Subnetz A}

|

[Layer 3-Switch Gebäude 1] --- {VLAN B / IP-Subnetz B) --- [internetrouter Gebäude 1]

|

{VLAN C / IP-Subnetz C}

(LWL-Strecke)

|

[Layer 3-Switch Gebäude 2] --- {VLAN D / IP-Subnetz D) --- [internetrouter Gebäude 2]

|

{VLAN E / IP-Subnetz E}

|

[Clients und Server in Gebäude 2]

 

Kommentierung:

Ich gehe ich davon aus, dass es in jedem Gebäude jeweils nur einen Internetanschluss gibt. Der/die daran angeschlossene Router/Firewall stellt den Internetzugang für das jeweils lokale Netz sowie die VPN-Verbindung zum anderen Gebäude her.

Der jeweilige L3-Switch ist das Standardgateway der PCs und Server des jeweiligen Gebäudes. Das Standardgateway der L3-Switches zeigt jeweils auf den Internetrouter/die Firewall des Gebäudes.

Die L3-Switches sind untereinander per Glasfaser verbunden und teilen sich gegenseitig mit Hilfe irgend eines Routingprotokolls die ihnen bekannten Routen mit. So erfährt der L3-Switch des Gebäudes 1, dass er das Netz E über den L3-Switch des Gebäudes 2 erreichen kann und der L3-Switch im Gebäude 2, wie er zu IP-Netz A kommt. Aufgrund der Regel "longest match" routen die L3-Switches diese Zielnetze dann über die LWL-Strecke und nicht über ihre Standardgateways. Ein Ändern der administrativen Distanz, wie es bei Cisco möglich ist, um die Vertrauenswürdigkeit einer gelernten Route künstlich über die einer statischen zu heben, ist in diesem Szenario nicht erforderlich.

Wenn die LWL-Strecke ausfällt, unterbleibt das Gequatsche des Routingprotokolls - die Routen verschwinden aus den Forwardingtabellen der L3-Switches und es wird über das Standardgateway zum Internetrouter und von diesem über das VPN geroutet. Fertig!

 

Erforderliche Hardware:

- 2 Basic-Layer3-Switches für zusammen ca. 1500-2000 EUR (z.B. 2x GS-2724 von Zyxel)

- ggf. neue LWL-GBICs, wenn die vorhandenen von den neuen Switches nicht akzeptiert werden (Zyxel prüft bspw. keine Brandings - bei namhafteren Herstellern wäre ich mir da nicht so sicher)

- soweit noch nicht vorhanden: 2 SOHO-VPN-Router für zusammen ca. 200-280 EUR (z.B. 2x Zywall 2+)

 

Nachteilig bei dieser Lösung: Ohne Einsatz eines Proxys in einem der beiden Gebäude würde von den Clients der jeweilige lokale Internetzugang genutzt, was administrativ u.U. nicht gewünscht ist. Auch bei Ausfall eines Internetzugangs wird nicht automatisch der im anderen Gebäude verwendet. Beide Anforderungen ließen sich jedoch durchaus durch Auswahl geeigneter Geräte und geringfügige Ergänzung der Topologie erfüllen. Dies treibt halt die Kosten etwas nach oben.

 

Gruß

Steffen

Link zu diesem Kommentar

Hallo! Deine Antwort sieht soweit ganz gut aus.

nur ne kurze Frage zum GS-2724. Hab kurz ins Datenblatt geschaut. aber nix über "longest match" gefunden... sicher das er das kann? wie heißt du Funktion bei dem Router? würde das gerne schriftlich alles haben, bevor wir ein paar tausender Fehlinvestieren und merken das die Geräte nicht alles können wie in deiner Kommentierung.

 

und wie stellt der layer 3 switch fest das die LWL Strecke die longest ist? und nicht die über VPN?

also meiner Meinung nach wäre die ja sogar kürzer... wonach bewertet er das?

 

 

und noch ein Punkt... ggf. neue LWL-GBICs kaufen....

im Datenblatt stehen als Beispiel nur LC SFP Module... es könnte sein das es ein SC Kabel ist.

kann ich dann trozdem ein SC Modul in den GS-2724 packen?

Link zu diesem Kommentar
es könnte sein das es ein SC Kabel ist. kann ich dann trozdem ein SC Modul in den GS-2724 packen?
Der Netgear GS72T hat laut Abbildung normale GBIC-Einschübe. Nie im Leben sind an den vorhandenen Modulen SC-Anschlüsse! Die passen von Ihren Abmessungen her auf kein GBIC.

Die Wahrscheinlichkeit ist hoch, dass die GBICs im Zyxel weiterverwendet werden können, da Zyxel m.W. keine Brandings prüft - garantieren kann ich es aber nicht.

Generell gilt: Du kannst auch einen Switch eines anderen Herstellers verwenden, wenn er routen kann und zumindest RIP unterstützt. Ich habe dieses konkrete Modell vorgeschlagen, weil ich es kenne, es für den Grundvorschlag technisch ausreicht und es vergleichsweise preiswert ist. Ich gehe davon aus, dass ein Kunde, der bislang Netgear einsetzt, es eher preiswert möchte. Ansonsten fiele mir auch eine ganze Reihe teurerer Produkte ein. Vermutlich geht das Ganze auch noch günstiger. Wahrscheinlich auch mit Geräten von Netgear - nur kenne ich diese halt nicht.

 

zum GS-2724. Hab kurz ins Datenblatt geschaut. aber nix über "longest match" gefunden... sicher das er das kann?
:cry:

"Longest prefix match" ist ein Grundprinzp des IP-Routings und deshalb in jeder Implementierung enthalten.

Siehe Longest prefix match - Wikipedia, the free encyclopedia oder Routing Tables

Mit anderen Worten: Gibt es mehrere Routen, die passen würden, wird diejenige genommen, die spezieller ist. Erst wenn es mehrere gleich spezielle Routen gibt, kommt z.B. die Metrik ins Spiel. Nur deshalb funktioniert überhaupt eine Null-Route als "letzter Ausweg".

 

 

und wie stellt der layer 3 switch fest das die LWL Strecke die longest ist? und nicht die über VPN? also meiner Meinung nach wäre die ja sogar kürzer
Du meist den Hopcount, welcher z.B. bei RIP Grundlage für die Berechnung der Metrik einer Route ist. Beim "Longest prefix match" geht es aber wie gesagt nicht um die Metrik!

Mein Grundvorschlag basiert darauf, dass der Weg über die VPN-Strecke nicht über ein Routingsprotokoll gefunden wird, sondern über die Default-Route der L3-Switches, wenn die gelernte speziellere Route verworfen wurde. Ich habe diesen Weg vorgeschlagen, weil dann die Internetrouter kein Routingprotokoll unterstützen müssen. Schließlich weiss ich nicht, welchen Billigkram Du dafür verwenden willst! Auch wird die Implementierung dadurch deutlich vereinfacht.

Selbstverständlich könnte man auch die Internetrouter ins dynamische Routing einbeziehen, wenn sie es unterstützen. Je mehr Funktionalität man von dieser Lösung erwartet (z.B. Kompensation des Ausfalls eines Internetzugangs) desto eher wird man hierzu sogar technisch gezwungen sein. Es muss dann allerdings sichergestellt sein, dass die Internetrouter über das eingesetzte Routingprotokoll auch solche Netze promoten, die per VPN erreichbar sind. Bei den vorgeschlagenen Netgear-Routern hab ich da so meine Zweifel, auch wenn sie laut Datenblatt RIP unterstützen. In der funktionserweiterten Lösung würde ich auch nicht mehr RIP, sondern OSPF und hardwareseitig 2x GS-4124 und 2x Zywall USG verwenden.

In der Grundlösung verwende ich hingegen RIP - und zwar ausschließlich innerhalb des VLANs zwischen den L3-Switches. Das scheint mir für jemanden ohne diesbezügliche Erfahrung am einfachsten umzusetzen zu sein. Beachte aber, dass die Umschaltung im Fehlerfall nicht in Echtzeit erfolgt! Es wird ca. 4-5 Minuten dauern, bis die L3-Switches die RIP-gelernte Route verworfen haben und der Traffic über das VPN geleitet wird.

Bedenke auch mögliche Folgen der Umstellung des vorhandenen Netzes auf mehrere Subnetze (z.B. hinsichtlich Namensauflösung, IP-Adressvergabe per DHCP usw.) - da hängt u.U. einiges an zusätzlichem Konfigurationsaufwand dran!

 

Gruß

Steffen

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...