3
Dynamisches Routing - VPN als Backuppfad für MPLS
Guten Abend zusammen,
aktuell halte ich folgenden Zustand vor.
Ich habe eine zentrale und verschiedene (entfernte) Standorte, die untereinander durch ein MPLS-Netzwerk eines großen deutschen Providers vernetzt sind.
Die Zentrale sowie jeder einzelnene Standort hat für den Zugang zum Internet jeweils einen eigenen Breakout vor Ort, sodass nur Daten für ERP, usw. über
das MPLS ausgetauscht werden.
Als Firewall und Router wird Standortübergreind FortiGate eingesetzt, welche zugleich auch immer ein IPSec VPN konfiguriert haben, welches in der Zentrale terminiert wird.
Das Problem ist nun, dass wir statische Routen für MPLS/VPN verwenden. Ich habe zwar an den entfernten Standorten eine Link-Detection konfiguriert, die passt die Route zur zentrale auch an,
jedoch wird die Rückroute in der Zentrale zum Standort nicht geändert (im Fehlerfall).
Das beudetet immer wieder Handarbeit.
Laut Hersteller (FortiNet) lässt sich das auch nicht ändern, da sobald ich Link-Detection im HQ aktiviere, alle Routen zum MPLS verworfen werden (der CE-Router für MPLS hängt an einem Interface).
Die Frage ist nun: Würde mir dynamisches Routing bzw. im Detail OSPF bei der o.g. Situation helfen?
Vielleicht hat jemand schon etwas ähnliches realisiert.
Gruß u. schönen Abend
aktuell halte ich folgenden Zustand vor.
Ich habe eine zentrale und verschiedene (entfernte) Standorte, die untereinander durch ein MPLS-Netzwerk eines großen deutschen Providers vernetzt sind.
Die Zentrale sowie jeder einzelnene Standort hat für den Zugang zum Internet jeweils einen eigenen Breakout vor Ort, sodass nur Daten für ERP, usw. über
das MPLS ausgetauscht werden.
Als Firewall und Router wird Standortübergreind FortiGate eingesetzt, welche zugleich auch immer ein IPSec VPN konfiguriert haben, welches in der Zentrale terminiert wird.
Das Problem ist nun, dass wir statische Routen für MPLS/VPN verwenden. Ich habe zwar an den entfernten Standorten eine Link-Detection konfiguriert, die passt die Route zur zentrale auch an,
jedoch wird die Rückroute in der Zentrale zum Standort nicht geändert (im Fehlerfall).
Das beudetet immer wieder Handarbeit.
Laut Hersteller (FortiNet) lässt sich das auch nicht ändern, da sobald ich Link-Detection im HQ aktiviere, alle Routen zum MPLS verworfen werden (der CE-Router für MPLS hängt an einem Interface).
Die Frage ist nun: Würde mir dynamisches Routing bzw. im Detail OSPF bei der o.g. Situation helfen?
Vielleicht hat jemand schon etwas ähnliches realisiert.
Gruß u. schönen Abend
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 418544
Url: https://administrator.de/contentid/418544
Printed on: April 26, 2024 at 16:04 o'clock
3 Comments
Latest comment
Grundsätzlich würde ich sagen: Ja, das hilft dir. Ob es jetzt OSPF oder BGP ist, ist in dem Zusammenhang erstmal zweitrangig, aber im Grunde ist dynamisches Routing für exakt diesen Anwendungsfall entwickelt worden.
Es soll ja nicht nur Routinginformationen übertragen sondern kann auch gleichzeitig in Grenzen sicherstellen, dass die Verbindung auch in beide Richtungen funktioniert (denn wenn dem nicht so wäre, würden die Routinginformationen nicht übertragen).
Du müsstest dann lediglich die Gewichtung der Routen so anpassen, dass immer MPLS bevorzugt wird. Schlechtestenfalls findet asymmetrisches Routing mit unterschiedlichen MTUs statt, was du durch die entsprechende Gewichtung der Routen vermeidest.
Das kannst du sogar von eurem Router in der Zentrale per Metrik und/oder Path-Prepend steuern, so dass an den verstreuten Standort-Routern wenig Konfiguration notwendig ist.
Es soll ja nicht nur Routinginformationen übertragen sondern kann auch gleichzeitig in Grenzen sicherstellen, dass die Verbindung auch in beide Richtungen funktioniert (denn wenn dem nicht so wäre, würden die Routinginformationen nicht übertragen).
Du müsstest dann lediglich die Gewichtung der Routen so anpassen, dass immer MPLS bevorzugt wird. Schlechtestenfalls findet asymmetrisches Routing mit unterschiedlichen MTUs statt, was du durch die entsprechende Gewichtung der Routen vermeidest.
Das kannst du sogar von eurem Router in der Zentrale per Metrik und/oder Path-Prepend steuern, so dass an den verstreuten Standort-Routern wenig Konfiguration notwendig ist.
Moin,
du bist mit OSPF auf der richtigen Spur. Allerdings ist die Frage, wie du dies über zwei verschiedene Geräte je Standort richtig einsetzen kannst. Denn dazu muss auf jeden Fall alle MPLS Router OSPF supporten und die DTAG auch umsetzen. Je nach Verträge ist das mit einer Ergänzung oder höherwertigen Router umsetzbar.
Grundsätzlich wird das Troubleshooting durch den Einsatz von dynamischen Routing nicht einfacher. Es wird komplexer und schwieriger. Das muss dir klar sein. Mit einem zweiten Router, der für dich eine Blackbox ist, kann es dich schon in den Wahnsinn treiben. Denn du musst dich auf den Partner bzw. dessen Aussagen verlassen.
Gruß,
Dani
du bist mit OSPF auf der richtigen Spur. Allerdings ist die Frage, wie du dies über zwei verschiedene Geräte je Standort richtig einsetzen kannst. Denn dazu muss auf jeden Fall alle MPLS Router OSPF supporten und die DTAG auch umsetzen. Je nach Verträge ist das mit einer Ergänzung oder höherwertigen Router umsetzbar.
Grundsätzlich wird das Troubleshooting durch den Einsatz von dynamischen Routing nicht einfacher. Es wird komplexer und schwieriger. Das muss dir klar sein. Mit einem zweiten Router, der für dich eine Blackbox ist, kann es dich schon in den Wahnsinn treiben. Denn du musst dich auf den Partner bzw. dessen Aussagen verlassen.
Gruß,
Dani
Die CE-Router der DTAG sind meist höherwertige Cisco-Router,
die können OSPF und mein techn. Ansprechpartner hat mir auch zugesichert,
dass eine OSPF-Konfiguration kein Problem sei.
Was das Troubleshooting und Changes angeht, haben wir mit den Mitarbeitern,
meist aus Osteuropa, auch noch nie ein Problem gehabt.
Ich kann deinen Einwand aber verstehen und sehe auch die Komplexität.
Dennoch sehe ich hier einen großen Vorteil, wenn das Routing automatisiert wird
und im Fehlerfall der Endanwender ohne administrativen Eingriff weiterarbeiten kann.
die können OSPF und mein techn. Ansprechpartner hat mir auch zugesichert,
dass eine OSPF-Konfiguration kein Problem sei.
Was das Troubleshooting und Changes angeht, haben wir mit den Mitarbeitern,
meist aus Osteuropa, auch noch nie ein Problem gehabt.
Ich kann deinen Einwand aber verstehen und sehe auch die Komplexität.
Dennoch sehe ich hier einen großen Vorteil, wenn das Routing automatisiert wird
und im Fehlerfall der Endanwender ohne administrativen Eingriff weiterarbeiten kann.