Dibbibo Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 Hallo Community ich hoffe mir kann jemand helfen, Ich habe ein riesiges Netzwerk, Aufgeteilt in eine Core-Ebene komplett vermascht Distribution-Ebene Access Ebene Die Core Ebene ist verteilt über 2 Standorte und soll nun über einen Tunnel miteinander verbunden werden. Das problem ist das OSPF von den Routern die den Tunnel aufbauen die Interfaces erkennt und somit die Route bei einem Ausfall des Tunnels nicht umlenkt. Jetzt meine Idee. Ich nehme einen managmentserver der feste Routen bekommt, dieser pingt die Ip adresse de gegenseite des tunnels an, ist diese nicht erreichbar muss die managmentsoftware automatisch auf unserem procurve den Switchport disablen. vielleicht hat ja auch jemand eine andere Idee um die OSPF Area miteinander zu verbinden? Ich hatte schon versucht mit virtuellen links zu arbeiten aber die verbindet ja nur die Backbone Area. Ich dneke mal das es die beste möglichkeit ist mit dem managmentserver der die ip´s prüft. Hat jemand vielleicht einen Lösungsansatz für mich wie ich das realisieren könnte mit was für programmen unter linux oder freebsd? Ich dachte vielleicht irgendwie an heartbeat zur überprüfung und dann irgendwie an smpwalk oder irgendwie sowas vielleicht gibt es aber auch irgendwas anderes. Danke schon mal im voraus für die Hilfe. Zitieren
DocInfra Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 Wenn ich dich richtig verstehe, werden alternative Wege erst dann genutzt, wenn der Router, der den Tunnel aufbaut, nicht mehr erreichbar ist? Korrekt? Zitieren
Dibbibo Geschrieben 6. Mai 2010 Autor Geschrieben 6. Mai 2010 (bearbeitet) Richtig Wir haben 2 Strecken die getunnelt werden sollen und sollte eine strecke ausfallen muss die andere Strecke genutzt werden. So das bild - Strecke 1 X -------- eth0 VPN eth1 --------- eth1 VPN eth0 ------ X ProCurve ---------------------VPN Tunnel -----------------ProCurve Core 1 ---------------------------------------------------- Core2 --------- eth0 VPN eth1 --------- eth1 VPN eth0 ------- - Strecke 2 Die Core Switche bzw Router sind über zwei unterschiedliche Strecken angebunden Bearbeitet 6. Mai 2010 von Dibbibo Zitieren
DocInfra Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 Was spricht dagegen, die Router mit ins OSPF aufzunehmen? Dann lernen die Core-Switches, welche Strecken da sind und welche verfügbar sind. Zitieren
Dibbibo Geschrieben 6. Mai 2010 Autor Geschrieben 6. Mai 2010 Weil das Sina Boxen sind diese bauen nur einen Tunnel auf und können sonst nichts. Die können weder OSPF noch sonst irgendwas, die bauen einen IP sec tunnel auf nur zu sich. Das ist das Problem. Zitieren
RipperFox Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 Das problem ist das OSPF von den Routern die den Tunnel aufbauen die Interfaces erkennt und somit die Route bei einem Ausfall des Tunnels nicht umlenkt. Wie meinen? Das OSPF sollte im konfigurierten Intervall merken dass der Link down ist und entsprechend reagieren - U.a. dafür ist es ja entwickelt worden. Oder lässt du auf den VPN Links kein OSPF laufen? Falls nicht - schnell Quagga, BIRD oder ähnliches auf deine VPN-Tunnelserver klatschen und einbinden. Aufpassen bei den hello- und dead-Intervalls - die müssen in einer Area gleich sein. Ggf. ne neue Area anlegen.. Grüße Ripper Zitieren
RipperFox Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 SINA L2 wäre passender für OSPF, da dies einen direkten Link voraussetzt. Eventuell andere Protokolle (z.B. minimales iBGP Setup) einsetzen geht nicht? Grüße Ripper Zitieren
DocInfra Geschrieben 6. Mai 2010 Geschrieben 6. Mai 2010 Die SINA L2 sind aber auch nicht ganz kostenlos. Zitieren
Dibbibo Geschrieben 7. Mai 2010 Autor Geschrieben 7. Mai 2010 folgendes Problem wir haben keinen einfluss auf die Sina boxen, das problem ist das der Link der box ja noch da sein kann aber der IP SEC Tunnel nicht aufgebaut ist, somit merkt OSPF nicht das die Route weg ist und versucht weiter die pakete an das gateway der gegenstelle zu schicken, das der Tunnel aber nicht aufgebaut ist wird das auch nichts und die pakete gehen verloren. Der Link ist ja da. nur die IP Sec Strecke steht nicht. Wir können an den Sina Boxen nichts ändern. Zitieren
RipperFox Geschrieben 7. Mai 2010 Geschrieben 7. Mai 2010 Wie sind die OSPF-sprechenden Router den angeschlossen? Wie sehen die Routingtabellenm aus? Statische Links zum Tunnelpartner? Können man quasi einen Tunnel ÜBER das VPN einrichten? (Also z.B. vom OSPF-Router über GRE-Tunnel über SINA über VPN zur Gegenseite) Die Netz-Grafik von oben ist (für mich) nicht lesbar.. Bitte mehr Info.. Grüße Ripper Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.