Das Thema der Backup-Verbindungen ist gerade in verteilten Standorten mit mehreren Filialen, die über VPN an die Zentrale angebunden sind, ein zentrales Thema für die Verfügbarkeit von unternehmenskritischen Anwendungen. Bei einer direkten Beziehung von Routern in den Filialen zu redundanten Routern in der Zentrale ist das Backup einfach zu lösen: Ist ein Router in der Zentrale nicht über Internet erreichbar, kann sich die Filiale in einen anderen Router der Zentrale einwählen. Die Kommunikation der Geräte über die verfügbaren Routen läuft dabei über RIP.
In sehr großen Netzstrukturen sind die Filialen jedoch oft nicht direkt mit der Zentrale verbunden mehrere Standorte laufen zunächst in einem Vermittlungsknoten zusammen, die Vermittlungsknoten sind dann an die Zentrale angebunden. Ist der Vermittlungsknoten für die Filiale vorübergehend nicht erreichbar, könnte die Filiale eine Backup-Verbindung direkt in die Zentrale aufbauen.
Das gelingt allerdings nur über eine ISDN- oder Mobilfunk-Verbindung, die aus Kostengründen und wegen der meist geringen Bandbreite oft nicht erwünscht ist. Eine parallele Backup-Verbindung direkt über VPN führt aus folgenden Gründen nicht zum Ziel:
- In der Zentrale sind nur die Vermittlungsknoten als VPN-Gegenstellen definiert, alle Routen zu den Filialen laufen über diese Vermittlungsknoten. Versucht eine Filiale eine direkte Verbindung zur Zentrale aufzubauen, so wird dieser Aufbau abgelehnt. Und selbst wenn diese Verbindung zustande kommen würde, bleiben in der Zentrale die Routen zu den Filialen über die Vermittlungsknoten bestehen, denn der Vermittlungsknoten ist ja aus Sicht der Zentrale noch erreichbar.
- Der Vermittlungsknoten erfährt nichts über eine evtl. vorhandene Direktverbindung der Filiale an die Zentrale, er kann also die Ziele im Netz der Filiale nicht über den Umweg der Zentrale erreichen.
- Von der Zentrale aus ist über die reguläre VPN-Verbindung, sowohl das Netz des Vermittlungsknotens, als auch das Netz der Filiale erreichbar. Über eine direkte VPN-Verbindung der Filiale in die Zentrale ist aber nur das Filialnetz erreichbar. Der Router in der Zentrale kann aufgrund dieser unterschiedlichen Eigenschaften die direkte Verbindung nicht als Backup für die reguläre Verbindung akzeptieren.
- Die Filiale kann die reguläre Verbindung zum Vermittlungsknoten nicht mehr aufbauen, weil der Eindeutigkeitsgrundsatz der IPsec-Regeln keine zweite Verbindung mit gleichem Regelsatz zulässt. Die IPSec-Regeln enthalten neben den Angaben zur Verschlüsselung auch die sogenannten Netzbeziehungen, also die IP-Adressen der Netzwerke auf beiden Seiten der Verbindung. Diese Netzbeziehungen dürfen nur einmal im VPN-Regelsatz vorkommen. Im Backupfall müssten aber zwei Regeln für dieselbe Netzbeziehung existieren – einmal für die Backup-Verbindung und einmal für die neu aufzubauende Hauptverbindung.
