informatikkfm
Goto Top

Dynamisches Routing - VPN als Backuppfad für MPLS

Guten Abend zusammen,

aktuell halte ich folgenden Zustand vor.
Ich habe eine zentrale und verschiedene (entfernte) Standorte, die untereinander durch ein MPLS-Netzwerk eines großen deutschen Providers vernetzt sind.
Die Zentrale sowie jeder einzelnene Standort hat für den Zugang zum Internet jeweils einen eigenen Breakout vor Ort, sodass nur Daten für ERP, usw. über
das MPLS ausgetauscht werden.

Als Firewall und Router wird Standortübergreind FortiGate eingesetzt, welche zugleich auch immer ein IPSec VPN konfiguriert haben, welches in der Zentrale terminiert wird.
Das Problem ist nun, dass wir statische Routen für MPLS/VPN verwenden. Ich habe zwar an den entfernten Standorten eine Link-Detection konfiguriert, die passt die Route zur zentrale auch an,
jedoch wird die Rückroute in der Zentrale zum Standort nicht geändert (im Fehlerfall).
Das beudetet immer wieder Handarbeit.
Laut Hersteller (FortiNet) lässt sich das auch nicht ändern, da sobald ich Link-Detection im HQ aktiviere, alle Routen zum MPLS verworfen werden (der CE-Router für MPLS hängt an einem Interface).

Die Frage ist nun: Würde mir dynamisches Routing bzw. im Detail OSPF bei der o.g. Situation helfen?

Vielleicht hat jemand schon etwas ähnliches realisiert. face-smile

Gruß u. schönen Abend

Content-ID: 418544

Url: https://administrator.de/contentid/418544

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

LordGurke
Lösung LordGurke 16.02.2019 um 14:55:11 Uhr
Goto Top
Grundsätzlich würde ich sagen: Ja, das hilft dir. Ob es jetzt OSPF oder BGP ist, ist in dem Zusammenhang erstmal zweitrangig, aber im Grunde ist dynamisches Routing für exakt diesen Anwendungsfall entwickelt worden.
Es soll ja nicht nur Routinginformationen übertragen sondern kann auch gleichzeitig in Grenzen sicherstellen, dass die Verbindung auch in beide Richtungen funktioniert (denn wenn dem nicht so wäre, würden die Routinginformationen nicht übertragen).

Du müsstest dann lediglich die Gewichtung der Routen so anpassen, dass immer MPLS bevorzugt wird. Schlechtestenfalls findet asymmetrisches Routing mit unterschiedlichen MTUs statt, was du durch die entsprechende Gewichtung der Routen vermeidest.
Das kannst du sogar von eurem Router in der Zentrale per Metrik und/oder Path-Prepend steuern, so dass an den verstreuten Standort-Routern wenig Konfiguration notwendig ist.
Dani
Lösung Dani 19.02.2019 um 16:46:10 Uhr
Goto Top
Moin,
du bist mit OSPF auf der richtigen Spur. Allerdings ist die Frage, wie du dies über zwei verschiedene Geräte je Standort richtig einsetzen kannst. Denn dazu muss auf jeden Fall alle MPLS Router OSPF supporten und die DTAG auch umsetzen. Je nach Verträge ist das mit einer Ergänzung oder höherwertigen Router umsetzbar.

Grundsätzlich wird das Troubleshooting durch den Einsatz von dynamischen Routing nicht einfacher. Es wird komplexer und schwieriger. Das muss dir klar sein. Mit einem zweiten Router, der für dich eine Blackbox ist, kann es dich schon in den Wahnsinn treiben. Denn du musst dich auf den Partner bzw. dessen Aussagen verlassen.


Gruß,
Dani
informatikkfm
informatikkfm 21.02.2019 um 18:45:00 Uhr
Goto Top
Die CE-Router der DTAG sind meist höherwertige Cisco-Router,
die können OSPF und mein techn. Ansprechpartner hat mir auch zugesichert,
dass eine OSPF-Konfiguration kein Problem sei.

Was das Troubleshooting und Changes angeht, haben wir mit den Mitarbeitern,
meist aus Osteuropa, auch noch nie ein Problem gehabt.
Ich kann deinen Einwand aber verstehen und sehe auch die Komplexität.

Dennoch sehe ich hier einen großen Vorteil, wenn das Routing automatisiert wird
und im Fehlerfall der Endanwender ohne administrativen Eingriff weiterarbeiten kann.