Ausfallsicherheit mit Juniper-MX-Routern

IT-Ausfälle sind für die allermeisten Firmen inakzeptabel. Es müssen daher nicht nur Server und Appli­kationen, sondern auch Netzwerk und Sicherheitslösungen zuverlässig funktionieren. Administratoren sorgen im Netzwerk in der Regel für Ausfallsicherheit, indem sie Routing-Wege redundant auslegen. Dann ist die Rede entweder von Pfadredundanz oder von Knotenredundanz (Bild 1). Dynamische Routingprotokolle wie OSPF oder BGP helfen in der Netzwerkschicht, einen oder mehrere Wege verfügbar zu machen. In der OSI-Schicht zwei gibt es ähnliche Helferlein, wie zum Beispiel das sehr schnell reagierende Ethernet Ring Protokoll (ERP), das in der Lage ist, in Ringstrukturen einen Ausfall festzustellen und innerhalb von etwa 50 bis 100 Millisekunden auf einen Alternativweg umzuschalten.

Bei Services-Gateways, die NAT-, IPSec- oder Stateful-Firewalling-Dienste unterstützen, gestaltet sich das Thema Redundanz etwas schwieriger, da sogenannte Zustände zwischen den Kommunikationsteilnehmern gespeichert werden müssen. Bei NAT kommt eine Address Translation Table zum Einsatz, in der vermerkt ist, welche IP-Adressen und TCP/UDP-Ports wie übersetzt werden. Bei IPSec haben wir die IKE- und IPSec-Security-Associations, die Security-Parameter zwischen genau zwei Gateways enthalten, und beim Stateful Firewalling ist die Herausforderung schon im Namen enthalten: Stateful.

Clustering und Zustände

Dabei wird der Zustand (State) gemerkt, den jede einzelne und erlaubte Verbindung auf der Firewall beziehungsweise dem Services-Gateway gerade hat. Diese Zustände müssen im Fall von redundanten Services-Gateways gespeichert und zuverlässig sowie schnell auf das benachbarte Gerät kommuniziert werden. Klassischerweise treten hier verschiedene Clustering-Techniken auf den Plan. Im Wesentlichen haben alle diese Techniken gemeinsam, dass die Control- und Data-Plane zweier scheinbar unabhängiger Geräte

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.