Inhaltsverzeichnis
Werbung
Referenzhandbuch
10 Virtual Private Networks - VPN
Vermittlungsknoten auch im Backup-Fall gewährleistet werden, müssen auch in den Vermittlungsknoten die
Routen zu den Filialen statisch konfiguriert werden.
Aufbau der Backupverbindung
Um dem Grundsatz der eindeutigen IPSec-Regeln zu entsprechen, werden im Backup-Fall zunächst die VPN-Regeln für
die Hauptverbindung gelöscht und dann neue Regeln für die Backup-Verbindung angelegt.
Wenn der Aufbau der Backupverbindung scheitert, wählt das Backup-Modul die nächste Backupverbindung aus, wenn
mehrere konfiguriert wurden. Wenn die nächste Backupverbindung eine ISDN-Verbindung ist, dann wird sie ganz normal
aufgebaut, d. h. es müssen keine IPSec-Regeln umkonfiguriert werden.
Bei einem ISDN-Backup in der Zentrale muss eine Kopplung der Backup-Verbindung und den normalen VPN-Verbindungen
zu den anderen Filialen verhindert werden, da über die VPN-Hauptverbindungen ja nicht nur der Datenverkehr zur Filiale
im Backup-Fall läuft, sondern auch der zu den Vermittlungsknoten und allen anderen Filialen. Um diese Kopplung zu
verhindern, stehen zwei Möglichkeiten zur Auswahl:
1
In die ISDN-Backupverbindung wird eine sehr hohe Distanz für das Netz der Filiale eingetragen. So kann diese Route
von den über VPN automatisch übermittelten Routen überschrieben werden.
1
Alternativ können die Routen über WAN-RIP gesteuert werden. Dazu wird für jeden B-Kanal eine ISDN-Verbindung
mit WAN-RIP-Unterstützung eingerichtet.
Wiederaufbau der Hauptverbindung
Während die Backup-Verbindung aufgebaut wurde, versucht das Gerät die Hauptverbindung wieder herzustellen. Bei
diesem Aufbauversuch darf der VPN-Regelsatz zunächst nicht wieder neu erstellt werden, da sonst der Aufbau der
Backup-Verbindung scheitert bzw. eine bestehende VPN-Verbindung einfach abreißen würde.
Um das zu verhindern, wird zunächst eine "Dynamic VPN"-Verhandlung mit der Gegenstelle der Hauptverbindung
durchgeführt. Verläuft diese Verhandlung erfolgreich, kann die Hauptverbindung wieder aufgebaut werden. Dazu wird
zunächst die Backup-Verbindung getrennt und zusätzlich der Backup-Status zurückgesetzt. So wird verhindert, dass die
Backup-Verbindung sofort wieder aufgebaut wird. Erst danach wird die Hauptverbindung mit den ursprünglichen
VPN-Regeln wieder etabliert.
5
Die Nutzung der "Dynamic VPN"-Verbindung zwischen Filiale und Vermittlungsknoten ist eine notwendige
Voraussetzung für die hier beschriebene Backup-Funktion.
10.12.3 Konfiguration des VPN-Backups
Bei der Konfiguration des VPN-Backups müssen die Filial-, Zentral- und Vermittlungsknoten-Geräte separat betrachtet
werden.
1
Filiale
630
Werbung
Inhaltsverzeichnis
