8
Standortvernetzung via Richtfunk mit Failover
Hallo zusammen,
kleine Konzeptfrage:
Wir werden demnächst einen Standort unweit des Hauptsitzes (400 Meter) anschließen müssen. Mir schwebt hier folgendes vor:
- Zwei Mikrotik RBLHGG-60ad Funkstrecken
- Pro Seite ein PfSense CARP Cluster
Den Home Cluster gibt es so bereits.
Meint ihr das via CARP über die Richtfunkstrecken zu lösen stellt unter umständen ein Timingproblem dar? Alternativ wäre noch LACP direkt über die Switche.
Hat zufällig schon jemand Erfahrungen mit den neuen 60Ghz Funkstrecken? Die verschlüsseln den Link wohl direkt mit AES. Dennoch überlege ich noch ein Open VPN über den Link zu legen.
lg
Theo
kleine Konzeptfrage:
Wir werden demnächst einen Standort unweit des Hauptsitzes (400 Meter) anschließen müssen. Mir schwebt hier folgendes vor:
- Zwei Mikrotik RBLHGG-60ad Funkstrecken
- Pro Seite ein PfSense CARP Cluster
Den Home Cluster gibt es so bereits.
Meint ihr das via CARP über die Richtfunkstrecken zu lösen stellt unter umständen ein Timingproblem dar? Alternativ wäre noch LACP direkt über die Switche.
Hat zufällig schon jemand Erfahrungen mit den neuen 60Ghz Funkstrecken? Die verschlüsseln den Link wohl direkt mit AES. Dennoch überlege ich noch ein Open VPN über den Link zu legen.
lg
Theo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491088
Url: https://administrator.de/contentid/491088
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Leider schreibst du wenig bis gar nichts zur Netztopologie an sich bzw. dem L2 oder L3 Design dieser Anbindung. Aus diesem Grund ist eine hilfreiche Bewertung schwierig bis unmöglich.
Um jetzt nicht aufgrund dieser fehlenden Informationen nicht seitenweise was wäre wenn... Konzepte erklären zu müssen mal ein paar grundlegende Fakten zu solchen Designs:
Leider, wie oben schon gesagt, fragst du nur rein nach der Hardware, die aber in dem Gesamtkonzept einen sehr geringen Anteil an der Funktion hat !
Ggf. also präzisierst du die Planung nochmal etwas auf diesen Punkt.
Um jetzt nicht aufgrund dieser fehlenden Informationen nicht seitenweise was wäre wenn... Konzepte erklären zu müssen mal ein paar grundlegende Fakten zu solchen Designs:
- 60 Ghz bedeutet vollständige und freie Sichtverbindung ist absolute Pflicht. Es muss genügend Feldstärke und damit Linkreserve auf den Funklinks vorhanden sein. Generell aber keine falsche HW Wahl. Siehe auch: https://www.heise.de/select/ct/2018/9/1524873876053063
- Aus Sicht deiner sehr grob gehaltenen Topologie Zeichnung sieht das nach einem Layer 2 Konzept aus. Das hat mehrere gravierende Nachteile ! 1.) Durch Spanning Tree ist ein Link tot und ungenutzt was sehr ungünstig ist, denn dann geht sinnvolle Bandbreite verloren. 2.) Broad- und Multicast Last der lokalen Netzwerke belasten die geringere Bandbreite des nur einen aktiven Funk Links. 3.) Failover Zeiten basieren auf schlechten Spanning Tree Konvergenzen. Alles in allem ist ein Layer 2 Konzept also von gravierenden Nachteilen begleitet und sollte man in redundanten Wireless Links deshalb besser nie umsetzen wenn irgend möglich.
- Die goldene Netzwerker Regel heisst wie immer: Route where you can, bridge where you must. Unter dieser Prämisse wäre ein geroutetes Konzept immer vorzuziehen. Gravierende Vorteile: 1.) Beide Links werden aktiv genutzt, erhöhen die verfügbare Bandbreite bei gleichzeitigem Link Failover. 2.) Routing eliminiert vollständig den Link belastenden, kumulierten Broad- und Multicast Traffic beider Lokalnetze. 3.) Dynamisches Routing Protokoll wie RIPv2 oder OSPF sorgen für Balancing und automatischen und schnellen Failover ohne Session Verlust.
Leider, wie oben schon gesagt, fragst du nur rein nach der Hardware, die aber in dem Gesamtkonzept einen sehr geringen Anteil an der Funktion hat !
Ggf. also präzisierst du die Planung nochmal etwas auf diesen Punkt.
Moin,
mir fällt dazu nur ein das ich mit Richtfunk in einem Trunk schon riesige Probleme hatte.
Der Hersteller hat damals die schwankende Bandbreite pro link als Grund genannt.
Wenn dan würde ich nur eine Strecke als Fallback schalten.
Sollte es in einem LACP Trunk funktionieren wäre ich auf die Rückmeldung gespannt.
Nebenbei kann dir tatsächlich der Cluster weg brechen wenn eine Strecke mal ausfällt.
Gruß
Spirit
mir fällt dazu nur ein das ich mit Richtfunk in einem Trunk schon riesige Probleme hatte.
Der Hersteller hat damals die schwankende Bandbreite pro link als Grund genannt.
Wenn dan würde ich nur eine Strecke als Fallback schalten.
Sollte es in einem LACP Trunk funktionieren wäre ich auf die Rückmeldung gespannt.
Nebenbei kann dir tatsächlich der Cluster weg brechen wenn eine Strecke mal ausfällt.
Gruß
Spirit
Hi Aqui,
naürlich ein Layer 3 Konzept. Deswegen die PfSense Firewalls.
Funkstrecke ist ein separates Subnetz. Entweder mit CARP IP der PfSense oder eben mit LACP direkt zwischen den Switchen.
Mir geht es tatächlich nur um die Frage "Ist CARP oder LACP via zwei Richtfunktrecken ein Problem". Das ganze LAN Konstrukt hat damit erstmal relativ wenig zu tun.
Sichtverbindung ist vorhanden.
lg
Theo
naürlich ein Layer 3 Konzept. Deswegen die PfSense Firewalls.
Funkstrecke ist ein separates Subnetz. Entweder mit CARP IP der PfSense oder eben mit LACP direkt zwischen den Switchen.
Mir geht es tatächlich nur um die Frage "Ist CARP oder LACP via zwei Richtfunktrecken ein Problem". Das ganze LAN Konstrukt hat damit erstmal relativ wenig zu tun.
Sichtverbindung ist vorhanden.
lg
Theo
@ Spirit,
Das wären auch meine Bedenken bei LACP gewesen. Aber wieso sollte mir der Cluster wegbrechen? Wenn eine Strecke ausfällt, übergibt er ja komplett alle Virtuellen IP'S an den zweiten Knoten. Wo siehst du da ein Problem?
lg
Theo
Das wären auch meine Bedenken bei LACP gewesen. Aber wieso sollte mir der Cluster wegbrechen? Wenn eine Strecke ausfällt, übergibt er ja komplett alle Virtuellen IP'S an den zweiten Knoten. Wo siehst du da ein Problem?
lg
Theo
Hi,
mit CARP auf der pfSense wird nur die Verbindung zum Switch "überwacht".
lt. deiner Zeichnung verwendest du auch ein WAN failover, hier kann ein unterschiedliches Timing ein Problem sein, muß aber nicht.
Ist auszutesten
CH
"Ist CARP oder LACP via zwei Richtfunkstrecken ein Problem".
für CARP kann ich antworten: Nein, da CARP nichts mit den Richtfunkstrecken zu tun hat.mit CARP auf der pfSense wird nur die Verbindung zum Switch "überwacht".
lt. deiner Zeichnung verwendest du auch ein WAN failover, hier kann ein unterschiedliches Timing ein Problem sein, muß aber nicht.
Ist auszutesten
CH
@ ChriBro,
WAN etc. ist hier nicht berücksichtigt. Ich würde auf jeder PfSense ein Interface pro Richtfunkstrecke einrichten und mit einer CARP IP verbinden. Somit würde ein wegbrechen einer Strecke automatisch zum failover auf den anderen Knoten führen. Oder habe ich hier irgendwo einen Denkfehler?
Das was du glaube ich als WAN interpretiert hast, ist die andere LAN Seite des Remote Standortes. Nicht ganz korrekt von mir gekenntzeichnet. Die oberen Firewalls müssten andersrum sein.
lg
Theo
WAN etc. ist hier nicht berücksichtigt. Ich würde auf jeder PfSense ein Interface pro Richtfunkstrecke einrichten und mit einer CARP IP verbinden. Somit würde ein wegbrechen einer Strecke automatisch zum failover auf den anderen Knoten führen. Oder habe ich hier irgendwo einen Denkfehler?
Das was du glaube ich als WAN interpretiert hast, ist die andere LAN Seite des Remote Standortes. Nicht ganz korrekt von mir gekenntzeichnet. Die oberen Firewalls müssten andersrum sein.
lg
Theo
Zitat von @theoberlin:
@ Spirit,
Das wären auch meine Bedenken bei LACP gewesen. Aber wieso sollte mir der Cluster wegbrechen? Wenn eine Strecke ausfällt, übergibt er ja komplett alle Virtuellen IP'S an den zweiten Knoten. Wo siehst du da ein Problem?
lg
Theo
@ Spirit,
Das wären auch meine Bedenken bei LACP gewesen. Aber wieso sollte mir der Cluster wegbrechen? Wenn eine Strecke ausfällt, übergibt er ja komplett alle Virtuellen IP'S an den zweiten Knoten. Wo siehst du da ein Problem?
lg
Theo
Mein Gedanke war, das beim Failover gewisse Aussetzer zu erwarten sind. Ich hatte erst ein falsches Konstrukt im Kopf.
Solltest du ein Link als Backup nutzen und auf der Sense jeweils ein GW-Failover bauen. Sollten die Sessions mit kurzem Aussetzer auf die andere Leitung geschoben werden.
Mit den timings wird es schwer das ganze nahtlos mit einer wanstrecke zu stande zu bekommen da erst ein timeout nach einer gewissen Zeit den failover triggert. Ist dieser bei Richtfunk zu gering flippt die Strecke.
Ach natürlich ich könnte es natürlich auch mit einer Gateway-Group machen. Also komplett unterschiedliche Subnetze pro Strecke. Auch eine Idee. Da würde ja sowohl Faiover als auch LB gehen.
lg
Theo
lg
Theo
