LANCOM LCOS 9.00 Referenzhandbuch Seite 629

1 Quelle 10.x.0.0/255.255.0.0
1
Ziel 10.0.0.0/255.0.0.0
Routing-Informationen
Die Routen aus der Zentrale zu den einzelnen Filialen laufen im Normalbetrieb über die Vermittlungsknoten. Im Backup-Fall
müssen diese Routen angepasst werden. Damit diese Anpassung automatisch vorgenommen werden kann, wird in den
VPN-Gateways der Zentrale die "vereinfachten Einwahl mit Zertifikaten" aktiviert. Damit kann für alle ankommenden
Verbindungen eine gemeinsame Konfiguration vorgenommen werden (über die Default-Einstellungen), wenn die Zertifikate
der Gegenstellen mit dem Root-Zertifikat der VPN-Gateways in der Zentrale signiert wurden. Zusätzlich wird dabei den
Gegenstellen die Auswahl des entfernten Netzwerks ermöglicht. So können die Router der Filialen während der
IKE-Verhandlung in Phase 2 selbst ein Netzwerk vorschlagen, das für die Anbindung verwendet werden soll.
5
Die Aktivierung der beiden Funktionen "vereinfachten Einwahl mit Zertifikaten" und "Gegenstelle die Auswahl
des entfernten Netzes erlauben" ist eine notwendige Voraussetzung für die hier beschriebene Backup-Funktion.
Auch für die Vermittlungsknoten müssen die Routing-Informationen im Backup-Fall angepasst werden. Normalerweise
werden die Vermittlungsknoten von den Filialen aus direkt erreicht. Im Backup-Fall müssen die Vermittlungsknoten die
Daten aus den Filialen über den Umweg der Zentrale empfangen können. Das wird ermöglicht durch eine Route, die das
gesamte zusammengefasste Netz (im Beispiel also 10.x.0.0/255.255.0.0 oder, wenn auch eine Kommunikation mit
anderen Unterknoten möglich sein soll: 10.0.0.0/255.0.0.0) zur Zentrale überträgt.
Damit die Routen automatisch umgeschaltet werden können, muss auch in den Vermittlungsknoten die Auswahl des
entfernten Netzes durch die Gegenstelle erlaubt werden.
Daraus ergibt sich folgender Ablauf beim Aufbau der VPN-Verbindungen:
1
Der Vermittlungsknoten baut die Verbindung zur Zentrale auf und fordert alle Netzbeziehungen zu den Filialen an
(d. h. er fordert das 10.x.0.0/255.255.0.0 Netz an).
1
Die Filale baut die Verbindung zum Vermittlungsknoten auf und fordert ihr Netz (10.x.y.0/255.255.255.0) an.
Damit können nun Daten von der Filiale über den Vermittlungsknoten zur Zentrale übertragen werden.
Wenn nun die VPN-Verbindung zwischen Filiale und Zentrale abbricht, passiert Folgendes:
1 Der Vermittlungsknoten bemerkt den Abbruch aufgrund eines konfigurierten Pollings (DPD) und entfernt die Route
zur Filiale.
1
Die Filiale baut irgendwann die Backupverbindung zur Zentrale auf und fordert ihr Netz (10.x.y.0/255.255.255.0)
an.
Damit können nun Daten von der Filiale zur Zentrale übertragen werden.
Wenn die Netze zusammengefasst wurden und die Vermittlungsknoten immer das zusammengefasste Netz (hier im
Beispiel also das Netz 10.x.0.0/255.255.0.0 bzw. 10.0.0.0/255.0.0.0) zur Zentrale routen, dann ist sogar eine
Datenübertragung von der Filiale zum Vermittlungsknoten über die Zentrale möglich.
Wenn der Backup-Fall beendet wird, baut die Filiale die Haupverbindung zum Vermittlungsknoten wieder auf:
1
Die Filiale baut die Backup-Verbindung wieder ab, wodurch die Zentrale die Route zur Filiale wieder löscht.
1 Die Filiale fordert ihr Netz (10.x.y.0/255.255.255.0) wieder beim Vermittlungsknoten an.
Nun ist wieder problemlos die Kommunikation zwischen Filiale und Vermittlungsknoten möglich.
Da das Filialnetz ein Subnetz des Netzes im Vermittlungsknoten ist, ist auch sofort wieder die Kommunikation zwischen
Filiale und Zentrale über den Vermittlungsknoten möglich. Die Zentrale hat keine eigene Route mehr zur Filiale und
überträgt die Daten für die Filiale daher wieder zum Vermittlungsknoten.
5
Wenn die Struktur der Netzwerkadressen nicht wie oben beschrieben gestaltet werden kann, muss in der
Zentrale die Route zur Filiale statisch konfiguriert werden und auf den Vermittlungsknoten verweisen. Wenn
dann die Filiale die Backup-Verbindung aufbaut, dann wird die statische durch die dynamisch angemeldete
Route überschrieben. Wird die Backup-Verbindung wieder abgebaut, dann wird die dynamische Route
gelöscht und die statische Route erneut aktiv. Soll in diesem Fall die Kommunikation zwischen Filialen und
Referenzhandbuch
10 Virtual Private Networks - VPN
629