18
Zwei Internet Provider-Redundanz
Hallo. In der Firma versuchen wir eine Lösung zu finden. Es geht um die Redundanz für unsere Kunden, die von Internet auf uns zugreiffen. Für den Zugriff werden DNS-Namen statt IP-Adressen benutzt. Zurzeit benutzen wir nur einen Provider mit seinem öffentlichen IP-Addressbereich. Welche Möglickeiten gibts es überhaupt, um eine Redundanz mit Hilfe von zwei verschidenen Providern zu schaffen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241161
Url: https://administrator.de/contentid/241161
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo Peter,
es gibt dort verschiedene Ansätze:
- Company Connect von der Telekom mit Backup. Sprich die Anbindung wird über zwei verschieden HvT geschalten. Falls ein Failover ausgelöst wird, ist trotz Backup alle Services über die gleiche IP-Adresse erreichbar. Das Produkt gibt es natürlich auch von anderen ISP.
- Eigenes IP- Subnet (PI-Space). Damit bist du flexibel und Provider unabhängig. Sprich du kannst zwei oder drei Anbindungen haben und per Routingprotokoll entscheidest du was wohin geroutet wird.
- Ansonsten könntest man noch zwei (v)Server mieten und mit HA-Proxy ein Loadbalancer/Failover einrichten. Somit kann im Hintergrund bei euch zwei simple Business Anschlüsse mit einer festen IP-Adresse verfügbar sein. Hab ich aber noch nie ausprobiert ob das ginge!
Gruß,
Dani
es gibt dort verschiedene Ansätze:
- Company Connect von der Telekom mit Backup. Sprich die Anbindung wird über zwei verschieden HvT geschalten. Falls ein Failover ausgelöst wird, ist trotz Backup alle Services über die gleiche IP-Adresse erreichbar. Das Produkt gibt es natürlich auch von anderen ISP.
- Eigenes IP- Subnet (PI-Space). Damit bist du flexibel und Provider unabhängig. Sprich du kannst zwei oder drei Anbindungen haben und per Routingprotokoll entscheidest du was wohin geroutet wird.
- Ansonsten könntest man noch zwei (v)Server mieten und mit HA-Proxy ein Loadbalancer/Failover einrichten. Somit kann im Hintergrund bei euch zwei simple Business Anschlüsse mit einer festen IP-Adresse verfügbar sein. Hab ich aber noch nie ausprobiert ob das ginge!
Gruß,
Dani
Hallo,
die von Dani aufgezeigten zwei ersten Wege, würde ich präferieren.
Wenn das Geld knapp ist, kann man aber auch mit geeigneten Routern etwas frickeln. ZyXEL bietet dafür beispielsweise 2 Lösungswege an:
a) dynamische DNS-Registierung mit Failover
b) Inbound DNS-Loadbalancing
Bei Variante a) lässt man den Hostnamen im externen DNS per Alias auf einen DynDNS-Eintrag auflösen (oder zieht mit seiner kompletten Domain auf einen unterstützten DynDNS-Dienst um). Der MultiWAN-Router sorgt nun dafür, dass im Normalfall die Interface-IP des gewünschten Haupt-WAN-Interfaces beim DynDNS-Dienst registriert ist. Fällt dieses aus, wird automatisch die IP-Adresse des zweiten/nächsten WAN-Interfaces registriert.
Vorteil: Sehr einfach zu implementieren.
Nachteil: der Traffic kommt grundsätzlich immer nur auf einer WAN-Verbindung rein (kein Loadbalancing).
Bei Variante b) spielt die Zywall selbst DNS-Server und zwar mind. zweimal (auf mind. zwei WAN-Interfaces). Hierzu muss die DNS-(Sub-)Zone auf diese beiden DNS-Server (hinter der sich letztlich die gleiche Zywall verbirgt) delegiert werden.
Zum besseren Verständnis hier eine Illustration: http://www2012.studerus.ch/dnl/ch/de/presentation/2_technische-tipps-zl ...
Vorteil: Nicht nur Failover, sondern auch Loadbalancing möglich!
Nachteil: etwas komplexer einzurichten, Verwendung der Firewall als öff. DNS-Server m.E. in mehrfacher Hinsicht bedenklich
Diese beiden Varianten dienen der redundanten Anbindung öffentlich erreichbarer Server hinter der Zywall/in der DMZ. Für den Fall, dass die Kundenanbindung per Site-to-Site-VPN-Tunnel zur Firewall hin erfolgt, gibt es andere Optionen für eine Failoverkonfiguration.
Gruß
Steffen
die von Dani aufgezeigten zwei ersten Wege, würde ich präferieren.
Wenn das Geld knapp ist, kann man aber auch mit geeigneten Routern etwas frickeln. ZyXEL bietet dafür beispielsweise 2 Lösungswege an:
a) dynamische DNS-Registierung mit Failover
b) Inbound DNS-Loadbalancing
Bei Variante a) lässt man den Hostnamen im externen DNS per Alias auf einen DynDNS-Eintrag auflösen (oder zieht mit seiner kompletten Domain auf einen unterstützten DynDNS-Dienst um). Der MultiWAN-Router sorgt nun dafür, dass im Normalfall die Interface-IP des gewünschten Haupt-WAN-Interfaces beim DynDNS-Dienst registriert ist. Fällt dieses aus, wird automatisch die IP-Adresse des zweiten/nächsten WAN-Interfaces registriert.
Vorteil: Sehr einfach zu implementieren.
Nachteil: der Traffic kommt grundsätzlich immer nur auf einer WAN-Verbindung rein (kein Loadbalancing).
Bei Variante b) spielt die Zywall selbst DNS-Server und zwar mind. zweimal (auf mind. zwei WAN-Interfaces). Hierzu muss die DNS-(Sub-)Zone auf diese beiden DNS-Server (hinter der sich letztlich die gleiche Zywall verbirgt) delegiert werden.
Zum besseren Verständnis hier eine Illustration: http://www2012.studerus.ch/dnl/ch/de/presentation/2_technische-tipps-zl ...
Vorteil: Nicht nur Failover, sondern auch Loadbalancing möglich!
Nachteil: etwas komplexer einzurichten, Verwendung der Firewall als öff. DNS-Server m.E. in mehrfacher Hinsicht bedenklich
Diese beiden Varianten dienen der redundanten Anbindung öffentlich erreichbarer Server hinter der Zywall/in der DMZ. Für den Fall, dass die Kundenanbindung per Site-to-Site-VPN-Tunnel zur Firewall hin erfolgt, gibt es andere Optionen für eine Failoverkonfiguration.
Gruß
Steffen
1
-Company Connect hort sich gut an. Muss ich mich informieren.
-Eigenes IP-Subnet ? Also BGP-Router und eigenes AS-Nummer im WAN?
-Wir haben eigene Server, die hinter Loadbalancer in der DMZ betrieben werden. Auf diese Loadbalancer wird mit Hilfe von DNS-Namen über TMG oder über Cisco Anyconnect zugegriffen.
-Eigenes IP-Subnet ? Also BGP-Router und eigenes AS-Nummer im WAN?
-Wir haben eigene Server, die hinter Loadbalancer in der DMZ betrieben werden. Auf diese Loadbalancer wird mit Hilfe von DNS-Namen über TMG oder über Cisco Anyconnect zugegriffen.
Eigenes IP-Subnet ? Also BGP-Router und eigenes AS-Nummer im WAN?
Jap. Gibt's auch als Managed Service. 
Die Lösung von der Telekom mit BGP-Routern und eigenen AS-Nummer für 2x100MB Leitung kostet ca 100000eur im Jahr. Finde ganz schön teuer. Die Leitung wird auch von dem normalen Internet-Traffic benutzt und konnte passieren, dass es weniger als 100MB am ende zu verfügung stehen.
Die Lösung mit dem ZyXEL werde ich mir genau anschauen. Werde morgen die PDF lesen.
Die Lösung mit dem ZyXEL werde ich mir genau anschauen. Werde morgen die PDF lesen.
Wir haben in unserer Firma sehr gute Erfahrungen mit den Loadbalancern von dem Harrsteller a10 http://www.a10networks.com/ gemacht. Kann der Link Loadbalancer von a10 dieses DNS-Inbound-Load-Balancing oder kann es nicht? gibts es bessere Geräte?
Die Lösung von der Telekom mit BGP-Routern und eigenen AS-Nummer für 2x100MB Leitung kostet ca 100000eur im Jahr. Finde ganz schön teuer.
Das ist alles relativ... die Frage ist doch, was euch ein Ausfall pro Stunde/Tag, etc... kostet. Muss die Backup-Leitung genau so "groß" sein wie die Primäre? Welche Feature benötige ich? Wie viele feste IP-Adressen? etc...Wenn du die Internetanbindung redudant auslegst, solltest du auch Firewall und Core-Switches redudant auslegen. Denn sonst bringt das nicht wirklich etwas.
Grüße,
Dani
Unser Netzwerk ist naturlich Redundant ausgelegt. Geräte arbeiten als Cluster oder nutzen HRSP/GLBP. Wir haben nur einen Provider mit zwei WAN-Zugängen. Wir haben aber keine Redundanz wenn ausgerechnet dieser Provider ausfällt.
2ter Provider Anschluss und den A10 mit Link Loadbalancing davor und dein "Problem" ist gelöst !
Ist doch ein simples Allerwelts Standard Design !
Ist doch ein simples Allerwelts Standard Design !
Ich denke auch. Ich muss nur einen guten Link-Loadbalancer finden und mich schlau machen, wie DNS-Inbound-Loadbalancing funktioniert.
So wie ich verstanden habe, hat der Link-Loadbalancer eine Verbindung zum DNS-Server im Internet und kann die DNS-Replay-Pakete verändern.
So wie ich verstanden habe, hat der Link-Loadbalancer eine Verbindung zum DNS-Server im Internet und kann die DNS-Replay-Pakete verändern.
Wir haben nur einen Provider mit zwei WAN-Zugängen. Wir haben aber keine Redundanz wenn ausgerechnet dieser Provider ausfällt.
Aus meiner Sicht, fängst du mit einem 2. Provider nur logische Ausfälle ab. Sobald der Bagger das Kupfer zwischen euch und KvZ verwischt, sind beide wieder alle Internetanschlüsse tot. Ihr werdet kaum zwei verschiedene Hauseinführungen haben oder?Grüße,
Dani
Doch haben wir.
Wir haben zwei Zugänge von Wilhelm.Tel, die an verschidenen Standorten vorhanden sind.
Und.... wo ist dein Problem ? Dafür brauchst du nichtmal Link Loadbalancing sondern es reichen Bordmittel.
2 mal Default Routen mit entsprechender Metrik Steuerung in das Netzwerk announcen und gut ist. Ein simples Allerweltsdesign. Sinnvoll wäre dann hier dynamisches Routing über die Standorte mit RIPv2 oder OSPF.
2 mal Default Routen mit entsprechender Metrik Steuerung in das Netzwerk announcen und gut ist. Ein simples Allerweltsdesign. Sinnvoll wäre dann hier dynamisches Routing über die Standorte mit RIPv2 oder OSPF.
Mit einfachen Bordmittel reicht das nicht aus. Es geht um den Zugriff vom Internet zu den Servern, die in der Firma sind. Man hat also nur zwei Möglichkeiten:
a) DNS-Einträge durch eigenen DNS-Server oder durch DynDNS verändern.
b) Eigene BGP-Router mit eigener AS-Nummer, um das Routing des Providers zu verändern.
a) DNS-Einträge durch eigenen DNS-Server oder durch DynDNS verändern.
b) Eigene BGP-Router mit eigener AS-Nummer, um das Routing des Providers zu verändern.
Der eigene DNS-Server kann der Link-Loadbalancer sein. Er überwacht die WAN-Ports in Richtung Provider und verändert die DNS-Einträge im Internet, wenn ein WAN-Port ausfällt.
Die DNS Einträge zu verändern ist ja unsinnig, denn die DNS zu IP Auflösung ist ja immer gleich und unabhängig vom aktiven Link.
Wenn überhaupt, dann müsste er die Default Route einemal auf den einen und einmal auf den anderen provider ändern abwechselnd nach Session. Das wäre dann Link Loadbalancing und das korrekte Ausnützen beider Leitungen zur Bandbreitenerhöhung !
Bzw. falls einer der 2 ausfällt geht dann eben der gesamte Traffic entweder in die ein oder in die andere Richtung.
Ein DNS Server kann das nicht. Das macht nur ein Link Loadbalancer oder eben ein Dual WAN Port Router.
Wenn überhaupt, dann müsste er die Default Route einemal auf den einen und einmal auf den anderen provider ändern abwechselnd nach Session. Das wäre dann Link Loadbalancing und das korrekte Ausnützen beider Leitungen zur Bandbreitenerhöhung !
Bzw. falls einer der 2 ausfällt geht dann eben der gesamte Traffic entweder in die ein oder in die andere Richtung.
Ein DNS Server kann das nicht. Das macht nur ein Link Loadbalancer oder eben ein Dual WAN Port Router.
Es geht nicht nur um den Traffic von der Firma ins Internet. Sondern auch vom Internet ins firma. Das ändern der default route, reicht nicht aus.
