Ausfallsicherheit mit Juniper-MX-Routern

Auf sicheren Pfaden

Dienste wie IPSec, NAT oder Stateful Firewalling müssen in jedem Netzwerk ausfallsicher ausgelegt sein. Diese Ausfallsicherheit ergibt sich durch Redundanzen der eingesetzten Hardware und den Einsatz von Clustering. Juniper Networks bietet mit seiner MX-Router-Serie die Möglichkeit, Dienste auch redundant auszulegen, ohne gleich ein ganzes Cluster einzurichten. Wir zeigen, wie das funktioniert.
Sich wiederholende Aufgaben sind mühselig und fehleranfällig, wenn sie von Hand ausgeführt werden. Im August befasst sich IT-Administrator deshalb mit dem ... (mehr)

IT-Ausfälle sind für die allermeisten Firmen inakzeptabel. Es müssen daher nicht nur Server und Appli­kationen, sondern auch Netzwerk und Sicherheitslösungen zuverlässig funktionieren. Administratoren sorgen im Netzwerk in der Regel für Ausfallsicherheit, indem sie Routing-Wege redundant auslegen. Dann ist die Rede entweder von Pfadredundanz oder von Knotenredundanz (Bild 1). Dynamische Routingprotokolle wie OSPF oder BGP helfen in der Netzwerkschicht, einen oder mehrere Wege verfügbar zu machen. In der OSI-Schicht zwei gibt es ähnliche Helferlein, wie zum Beispiel das sehr schnell reagierende Ethernet Ring Protokoll (ERP), das in der Lage ist, in Ringstrukturen einen Ausfall festzustellen und innerhalb von etwa 50 bis 100 Millisekunden auf einen Alternativweg umzuschalten.

Bei Services-Gateways, die NAT-, IPSec- oder Stateful-Firewalling-Dienste unterstützen, gestaltet sich das Thema Redundanz etwas schwieriger, da sogenannte Zustände zwischen den Kommunikationsteilnehmern gespeichert werden müssen. Bei NAT kommt eine Address Translation Table zum Einsatz, in der vermerkt ist, welche IP-Adressen und TCP/UDP-Ports wie übersetzt werden. Bei IPSec haben wir die IKE- und IPSec-Security-Associations, die Security-Parameter zwischen genau zwei Gateways enthalten, und beim Stateful Firewalling ist die Herausforderung schon im Namen enthalten: Stateful.

Clustering und Zustände

Dabei wird der Zustand (State) gemerkt, den jede einzelne und erlaubte Verbindung auf der Firewall beziehungsweise dem Services-Gateway gerade hat. Diese Zustände müssen im Fall von redundanten Services-Gateways gespeichert und zuverlässig sowie schnell auf das benachbarte Gerät kommuniziert werden. Klassischerweise treten hier verschiedene Clustering-Techniken auf den Plan. Im Wesentlichen haben alle diese Techniken gemeinsam, dass die Control- und Data-Plane zweier scheinbar unabhängiger Geräte

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018