5
Szenario für LWL Ausfall Standort zu Standort über VPN?
Guten Abend ihr Lieben,
Ich bin aktuell damit etwas beschäftigt eine Art Netzwerk Backup Strategie zu entwerfen.
Im Standort Technik steht / Liegt der VMware Cluster mit Vm´s für Außenstelle 1 und 2.
Am Standort Technik Ist ein Netgear M4300 8X-8F Switch von hier geht es mit 2 SM LWL Fasern ( LACP LAG ) zu Außenstelle 1 dort ist der gleiche Switch und von hier wieder weiter mit 2 SM LWL Fasern ( LACP LAG ) zur Außenstelle 2.
Am Technik Standort ist ein HA Verbund zweier Sophos XGS 3100 sowie 2 WAN Anschlüsse. Außenstelle 2 bekommt ein WAN Anschluss per LWL Strecke vom Technik Standort mit sowie der 2. WAN Anschluss per Richtfunk.
Somit sind an der Sophos XGS 116 an der Außenstelle 2 Zwei WAN Anschlüsse. Beide Sophos sind über 2 IPSec Tunnel als Failover Gruppe Verbunden fällt einer aus übernimmt der andere.
JETZT KOMMT DER AUSFALL!!!!
Wir nehmen mal an es wird irgendwo gebaut und es wir die LWL Strecke Zerstört egal wo wie bekomme ich ein Failover vom Technik Standort zur Außenstelle 2 wenn das LWL Weg ist?
Ich komme vom Standort Technik per VPN zum Prod Netz der Außenstelle 2 um Manuell Einstellungen an Pumpen , Schiebern, Ventilen oder der SPS zu machen . Aber ich habe keine Verbindung zu den Servern weil die nicht im Main Netz 10.0.4.0/23 hängen es also keine Verbindung per Kabel gibt.
Was würde es für Möglichkeiten geben? Wie könnte ich das umsetzen?
Plan für die Zukunft wenn Technisch Möglich und umsetzbar eine Richtfunk Strecke von Standort Technik zur Außenstelle 1 und dann zu 2 da keine Direkte Sicht .
Ich glaube ein Ausfall der LWL Strecke durch Erdarbeiten ist gering da neben dem LVL Kabel die Fernwärme und Gas Leitung liegt.
Ich bin aktuell damit etwas beschäftigt eine Art Netzwerk Backup Strategie zu entwerfen.
Im Standort Technik steht / Liegt der VMware Cluster mit Vm´s für Außenstelle 1 und 2.
Am Standort Technik Ist ein Netgear M4300 8X-8F Switch von hier geht es mit 2 SM LWL Fasern ( LACP LAG ) zu Außenstelle 1 dort ist der gleiche Switch und von hier wieder weiter mit 2 SM LWL Fasern ( LACP LAG ) zur Außenstelle 2.
Am Technik Standort ist ein HA Verbund zweier Sophos XGS 3100 sowie 2 WAN Anschlüsse. Außenstelle 2 bekommt ein WAN Anschluss per LWL Strecke vom Technik Standort mit sowie der 2. WAN Anschluss per Richtfunk.
Somit sind an der Sophos XGS 116 an der Außenstelle 2 Zwei WAN Anschlüsse. Beide Sophos sind über 2 IPSec Tunnel als Failover Gruppe Verbunden fällt einer aus übernimmt der andere.
JETZT KOMMT DER AUSFALL!!!!
Wir nehmen mal an es wird irgendwo gebaut und es wir die LWL Strecke Zerstört egal wo wie bekomme ich ein Failover vom Technik Standort zur Außenstelle 2 wenn das LWL Weg ist?
Ich komme vom Standort Technik per VPN zum Prod Netz der Außenstelle 2 um Manuell Einstellungen an Pumpen , Schiebern, Ventilen oder der SPS zu machen . Aber ich habe keine Verbindung zu den Servern weil die nicht im Main Netz 10.0.4.0/23 hängen es also keine Verbindung per Kabel gibt.
Was würde es für Möglichkeiten geben? Wie könnte ich das umsetzen?
Plan für die Zukunft wenn Technisch Möglich und umsetzbar eine Richtfunk Strecke von Standort Technik zur Außenstelle 1 und dann zu 2 da keine Direkte Sicht .
Ich glaube ein Ausfall der LWL Strecke durch Erdarbeiten ist gering da neben dem LVL Kabel die Fernwärme und Gas Leitung liegt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23330923472
Url: https://administrator.de/contentid/23330923472
Printed on: July 3, 2024 at 22:07 o'clock
5 Comments
Latest comment
Ich kenn Sophos nicht, kann also nicht sagen, ob die es beherrschen, aber ich lege in diesem Fall auf den IPSec-Tunnel einen GRE-Tunnel und über den Tunnel lass ich dann ein Routingprotokoll laufen (idealerweise nicht RIP). Über die Hauptverbindung muss ebenfalls das Routingprotokoll laufen, in dem Fall so konfiguriert, dass die Direktverbindung bevorzugt wird.
Wenn also die Glasfaserverbindung gefressen wird, erkennt einer der betroffenen Router das Ausbleiben der Routingupdates und das Netz sucht sich einen anderen Weg.
Wenn also die Glasfaserverbindung gefressen wird, erkennt einer der betroffenen Router das Ausbleiben der Routingupdates und das Netz sucht sich einen anderen Weg.
Also die Sophos kann im Routing SD-WAN-Routen, Statische Routen, BGB, OSPF, OSPFv3, RIP.
Site to Site VPN : IPSec und SSL-VPN
Dazu müsste doch aber der 1. Netgear an der HA Sophos sein und das ist er ja gar nicht oder irre ich mich da jetzt?
Site to Site VPN : IPSec und SSL-VPN
Dazu müsste doch aber der 1. Netgear an der HA Sophos sein und das ist er ja gar nicht oder irre ich mich da jetzt?
Alternative wäre ein VxLAN Tunnel was sich anbieten würde wenn du eine VmWare Infrastruktur hast und in RZ und Backup RZ die gleichen IP Netze liegen (müssen).
Damit kannst du die Servernetze per Layer 2 verbinden und das wäre ein klassischer Lösungsansatz für ein Backup RZ.
Man kann es nicht nur mit den ESXi Hosts direkt lösen sondern viele Router und Firewalls supporten das ebenfalls einige Low Budget Produkte wie z.B. Mikrotik oder OPNsense. Ein Mischbetrieb ist ebenso möglich.
VLAN über Site2Site VPN
Das zugrundeliegende IP Netz mit den redundanten Links routest du in jedem Falle dynamisch mit OSPF etc. um ein schnelles, automatisches Failover realisieren zu können!
Damit kannst du die Servernetze per Layer 2 verbinden und das wäre ein klassischer Lösungsansatz für ein Backup RZ.
Man kann es nicht nur mit den ESXi Hosts direkt lösen sondern viele Router und Firewalls supporten das ebenfalls einige Low Budget Produkte wie z.B. Mikrotik oder OPNsense. Ein Mischbetrieb ist ebenso möglich.
VLAN über Site2Site VPN
Das zugrundeliegende IP Netz mit den redundanten Links routest du in jedem Falle dynamisch mit OSPF etc. um ein schnelles, automatisches Failover realisieren zu können!
Bei der Sophos SG UTM konnte man einen RED-Tunnel* erstellen, der dann als Interface für OSPF verfügbar war.
Ich hatte damit zwei Standorte verbunden, einmal per VPN übers Internet, aber langsam mit nur 16MBit/s, und einmal per WLAN-Richtfunk mit 600MBit/s. Fiel die Richtfunkstrecke aus, hat OSPF innerhalb von drei Sekunden das Routing auf das VPN umgeschaltet.
cu,
ipzipzap
*Technisch war das auch nur ein simpler GRE-Tunnel.
Ich hatte damit zwei Standorte verbunden, einmal per VPN übers Internet, aber langsam mit nur 16MBit/s, und einmal per WLAN-Richtfunk mit 600MBit/s. Fiel die Richtfunkstrecke aus, hat OSPF innerhalb von drei Sekunden das Routing auf das VPN umgeschaltet.
cu,
ipzipzap
*Technisch war das auch nur ein simpler GRE-Tunnel.
1
Moin,
Bau einfach mehrere VPN Tunnel auf und Route den Traffic entsprechend nach einer Failover Regel. Z.b. mit OSPF.
Gruß
Spirit
Bau einfach mehrere VPN Tunnel auf und Route den Traffic entsprechend nach einer Failover Regel. Z.b. mit OSPF.
Gruß
Spirit
1