Routing-Informationen

Die Routen aus der Zentrale zu den einzelnen Filialen laufen im Normalbetrieb über die Vermittlungsknoten. Im Backup-Fall müssen diese Routen angepasst werden. Damit diese Anpassung automatisch vorgenommen werden kann, wird in den VPN-Gateways der Zentrale die “vereinfachten Einwahl mit Zertifikaten“ aktiviert. Damit kann für alle ankommenden Verbindungen eine gemeinsame Konfiguration vorgenommen werden (über die Default-Einstellungen), wenn die Zertifikate der Gegenstellen mit dem Root-Zertifikat der VPN-Gateways in der Zentrale signiert wurden. Zusätzlich wird dabei den Gegenstellen die Auswahl des entfernten Netzwerks ermöglicht. So können die Router der Filialen während der IKE-Verhandlung in Phase 2 selbst ein Netzwerk vorschlagen, das für die Anbindung verwendet werden soll.

Anmerkung: Die Aktivierung der beiden Funktionen “vereinfachten Einwahl mit Zertifikaten“ und “Gegenstelle die Auswahl des entfernten Netzes erlauben“ ist eine notwendige Voraussetzung für die hier beschriebene Backup-Funktion.

Auch für die Vermittlungsknoten müssen die Routing-Informationen im Backup-Fall angepasst werden. Normalerweise werden die Vermittlungsknoten von den Filialen aus direkt erreicht. Im Backup-Fall müssen die Vermittlungsknoten die Daten aus den Filialen über den Umweg der Zentrale empfangen können. Das wird ermöglicht durch eine Route, die das gesamte zusammengefasste Netz (im Beispiel also 10.x.0.0/255.255.0.0 oder, wenn auch eine Kommunikation mit anderen Unterknoten möglich sein soll: 10.0.0.0/255.0.0.0) zur Zentrale überträgt.

Damit die Routen automatisch umgeschaltet werden können, muss auch in den Vermittlungsknoten die Auswahl des entfernten Netzes durch die Gegenstelle erlaubt werden.

Daraus ergibt sich folgender Ablauf beim Aufbau der VPN-Verbindungen:

Wenn nun die VPN-Verbindung zwischen Filiale und Zentrale abbricht, passiert Folgendes:

Wenn der Backup-Fall beendet wird, baut die Filiale die Haupverbindung zum Vermittlungsknoten wieder auf: