Diplomarbeit Skalierbare Hochverfügbarkeitslösungen mit Lastverteilung für E-Commerce Sites Mai 2000
4.2 Lösungsansatz mit High Availability
Um eine Unternehmensanbindung zu gewährleisten, bei der weder durch Ausfall von Netzwerkgeräten noch durch Leitungsunterbrechungen die Internetverbindung beeinträchtigt werden kann, müssen sämtliche Komponenten redundant ausgeführt sein. Eine derartige Topologie ist in Abb. 4.2 dargestellt.
Abbildung 4.2 : Internetanbindung mit High Availability
Eine Hälfte des Netzes wird aktiv betrieben, die andere befindet sich in einem Standby-Modus. Der konzeptionelle Netzwerkaufbau entspricht einer Black-Box, da hiermit die Implementation mit einem Unternehmensnetzwerk auf die 6 Anbindungspunkte reduziert werden kann.
Bei einer Anbindung an nur einen ISP werden die Pakete normalerweise über eine Static Route vom ISP zum Kunden gesandt. Da aber ein ISP einen Routerausfall auf der Kundenseite nicht erkennen kann, sollte bei einer Anbindung über zwei oder mehr Standleitungen immer BGP4 auf den Border Routern des Kunden eingesetzt werden. Über BGP4 kann dem ISP mitgeteilt werden, welche der Standleitungen er benutzen soll. Bei der Nutzung von nur einer dieser Standleitungen wird mit Hilfe des MULTI-EXIT-DISCRIMINATOR- oder des LOCAL PREF-Attributs die bevorzugte Leitung festgelegt.
Wenn nur eine der Standleitungen aktiv genutzt wird und das Unternehmensnetz an nur einen ISP angebunden ist, wird bei einem Ausfall auf Kundenseite dem ISP über eine Update-Nachricht von BGP4 mitgeteilt, dass über diese Standleitung das Zielnetz nicht mehr erreichbar ist. In diesem Fall wird nun die mit einer höheren Metrik versehene andere Standleitung genutzt. Bei einer Anbindung an zwei ISPs kann ebenso verfahren werden, wobei allerdings der an die Standby-Standleitung angebundene ISP mittels LOCAL-PREF festlegen muß, im Normalfall sämtliche Pakete bevorzugt zum anderen ISP zu senden.
Sinnvoller ist allerdings die gleichzeitige Nutzung der beiden Standleitungen. Dabei gehen die Daten aus Intranet und DMZ über den Default Route-Eintrag immer nur an einen Router. Dieser kann einen Teil der Pakete entweder direkt oder über ein ICMP-Redirect auf den anderen Router umleiten. Ansonsten würden Daten das Unternehmensnetz nur über eine Standleitung verlassen, während die Daten aus dem Internet über beide Standleitungen gleichzeitig ankommen. Die Möglichkeiten, Pakete vom ISP zum Kunden auf die beiden Standleitungen zu verteilen, sind in Kap. 3.5 aufgeführt.
Sämtliche Router sind redundant vorhanden und über VRRP oder HSRP153 gegen einen Ausfall abgesichert. Aus Gründen der Übersicht ist im folgenden nur von VRRP die Rede. Durch VRRP sind die Router über eine virtuelle IP-Adresse erreichbar, so dass mit nur einem Routing-Eintrag einer Static Route oder einer Default Route beide Router erreichbar sind, bzw. der jeweils aktive Router. Dies gilt ebenso bei den Firewalls, wobei zu beachten ist, dass die Standby-Implementation von Hersteller zu Hersteller unterschiedlich erfolgen kann. So verfügen einige Firewalls über eine zusätzliche Direktverbindung untereinander zur Zustandsüberwachung, während andere, ähnlich der VRRP-Router, über das benachbarte Netzsegment kommunizieren, vorzugsweise auf der geschützten Seite. Dieser Kommunikationsweg ist in Abb. 4.3 gezeigt.
Abbildung 4.3 : Ausfallüberwachung mittels Interface
Um die Hochverfügbarkeit zu gewährleisten, müssen auch Ausfälle von L2-Switches und Leitungen berücksichtigt werden. Normalerweise wird dies durch Einsatz von Routing-Protokollen realisiert. Da aber viele Firewalls diese entweder teilweise oder gar nicht unterstützen 154, müssen Ausfälle anderweitig bemerkt werden. Dies kann durch die Überwachung des Interface-Status realisiert werden. Die Netzwerk-Interfaces der Router und der meisten Firewalls können feststellen, ob sie unterbrechungsfrei an ein anderes Netzwerkgerät angeschlossen sind. Dabei wird die Funktionstüchtigkeit und Pinbelegung des Verbindungskabels sowie der Zustand des gegenüberliegenden Interfaces überprüft (Abb. 4.3). Es muß dabei berücksichtigt werden, dass ein Interface noch ordnungsgemäß funktionieren kann, während die auf höheren Schichten angesiedelte Software abgestürzt ist. Da auch auf L2-Switches Software läuft, kann es sinnvoll sein, diese durch einfache Hubs zu ersetzen, da es hier sehr unwahrscheinlich ist, dass diese trotz arbeitendem Interface ihre Funktionstüchtigkeit verlieren. Diese spezielle Fehlerquelle bildet jedoch allenfalls ein Restrisiko. Bei Routern und Firewalls kann ein solcher Fall wegen der komplexeren Software öfter eintreten, da diese jedoch durch High Availability-Technologien abgesichert sind, wird in einem solchen Fall das jeweilige Standby-Gerät aktiviert, da die HELLO-Pakete ausbleiben.
Die Verbindung zwischen den L2-Switches wird jedoch von Routern und Firewalls nicht überprüft. Eine Switch-Verbindung kann entweder über ein normales Twisted-Pair-Kabel oder über ein Stack-Kabel erfolgen. Gestackte Switches zählen als ein Gerät und vereinfachen die Administration, so dass nach Möglichkeit dieser Aufbau gewählt werden sollte. Aus Gründen der Übersichtlichkeit sind die Switches in den Abbildungen getrennt aufgeführt.
Um bei einer nicht gestackten Verbindung einem Leitungsausfall vorzubeugen, wird die Verbindung redundant mit zwei Kabeln ausgelegt, wobei die dadurch entstehende Schleife mit Hilfe des Spanning Tree-Algorithmus eliminiert wird.155 Die Überprüfung dieser Verbindung kann manuell erfolgen, entweder durch Vor-Ort-Kontrolle des Verbindungszustandes, durch ein gezielt über diese Leitungen gesendetes PING-Paket oder mit Hilfe von SNMP.156
Durch SNMP können über das SNMP-EVENT-Kommando Fehlermeldungen, sogenannte SNMP-Traps, an eine SNMP-Management-Station gesendet werden, über die der Netzwerk-Administrator alarmiert wird.157 Alle Geräte sollten über SNMP-Management überwacht werden, wobei auf der ungesicherten Seite SNMP-Set-Kommandos deaktiviert werden sollten, um eine Manipulation von außen zu vermeiden.
Bei einem Ausfall der Leitung zwischen zwei Switches ist das Netzwerk weiterhin funktionsfähig, solange die aktiven Router und Firewalls über nur einen Switch direkt verbunden sind. Jedoch laufen die jeweiligen High-Availability-Protokolle (z.B. VRRP) von Routern und Firewalls über diese Leitung. Bei deren Ausfall aktiviert sich daraufhin das Standby-Gerät, so dass beide Geräte aktiv sind. So können z.B. in Abb. 4.2 beide Firewall A aktiv sein und über die selbe IP-Adresse erreicht werden. Die Pakete der aktiven Firewall B können jedoch nur die ursprünglich aktive Firewall A erreichen, da ja die Leitung zwischen den Switches ausgefallen ist. Die beiden Firewall A sind allerdings nun vom aktiven Border Router erreichbar. Da dieser in seiner ARP-Adresse aber die MAC-Adresse der ursprünglich aktiven Firewall A vermerkt hat, werden die Datenpakete weiterhin an diese versandt. Wenn von zwei Firewalls zusätzlich zu einer virtuellen IP-Adresse auch eine virtuelle MAC-Adresse zur Verfügung gestellt wird, kann es jedoch zu dem Problem kommen, dass Pakete an die falsche Firewall gesandt werden. In diesem Fall stellt die Leitung zwischen den Switches einen SPoF dar. Dieser kann nur vermieden werden, wenn sämtliche Firewalls ihren Status über eine eigene Leitung überprüfen. Eventuell kann ein solcher Leitungsausfall auch unberücksichtigt bleiben, da ein Patch- oder Stack-Kabel bei ordnungsgemäßem Einbau praktisch nicht mehr ausfällt.
Die Pakete werden entweder über Static Routes oder über Default Routes weitergeleitet. Default Routes werden verwandt für alle Pakete, deren Ziel im Internet liegt und Static Routes für alle Pakete, deren Ziel innerhalb des Unternehmensnetzes liegt, da hier ja das Ziel bekannt ist. Der Next-Hop der Routen ist jeweils die virtuelle IP-Adresse der nächsten Firewall oder Router-Gruppe, wodurch auch bei einem Geräteausfall die Routingeinträge noch ihre Gültigkeit behalten. Dies ist in Abb. 4.4 dargestellt.
Abb. 4.4 : Routenverlauf innerhalb einer HA-Lösung
Die in diesem Kapitel vorgestellte High Availability-Lösung bietet grundsätzlich Redundanz bei einem Komponentenausfall. Solange nicht zwei benachbarte Geräte gleichzeitig ausfallen, kann die Internetanbindung aufrechterhalten werden. So kann z.B. zusätzlich zu einem Router noch eine Firewall ausfallen, ohne das die Anbindung unterbrochen wird.
Es gibt noch andere Möglichkeiten des Netzwerkaufbaus, die hier nicht berücksichtigt wurden, da sie abhängig sind von der von Hersteller zu Hersteller unterschiedlichen Gerätefunktionalität. Mit Firewalls, die z.B. RIP oder OSPF unterstützen, kann der Ausfall der Verbindung zwischen zwei Switches automatisch erkannt und umgangen werden.
Die hier vorgestellte Lösung ist zwar relativ kostengünstig, da keine Layer4-Switches zum Einsatz kommen, dafür ist aber auch keine Skalierbarkeit gegeben. Es besteht keine Möglichkeit, wenn der Datendurchsatz von einer Firewall alleine nicht mehr bewältigt werden kann, eine weitere aktive Firewall parallel dazuzuschalten. Um mehrere Firewalls oder Router gleichzeitig zu betreiben, wird der Einsatz von Layer4-Switches mit Load Balancing-Funktionalität benötigt. Eine derartige Lösung wird im nächsten Kapitel aufgezeigt.
153vgl. Kap. 3.2
154vgl. [14], S. 138-170
155vgl. Kap. 3.1
156Simple Network Management Protocol
157vgl. [9], S. 125-129