Die Routen aus der Zentrale zu den einzelnen Filialen laufen im Normalbetrieb über die Vermittlungsknoten. Im Backup-Fall müssen diese Routen angepasst werden. Damit diese Anpassung automatisch vorgenommen werden kann, wird in den VPN-Gateways der Zentrale die "vereinfachte Einwahl mit Zertifikaten" aktiviert. Damit kann für alle ankommenden Verbindungen eine gemeinsame Konfiguration vorgenommen werden (über die Default-Einstellungen), wenn die Zertifikate der Gegenstellen mit dem Root-Zertifikat der VPN-Gateways in der Zentrale signiert wurden. Zusätzlich wird dabei den Gegenstellen die Auswahl des entfernten Netzwerks ermöglicht. So können die Router der Filialen während der IKE-Verhandlung in Phase 2 selbst ein Netzwerk vorschlagen, das für die Anbindung verwendet werden soll.
Auch für die Vermittlungsknoten müssen die Routing-Informationen im Backup-Fall angepasst werden. Normalerweise werden die Vermittlungsknoten von den Filialen aus direkt erreicht. Im Backup-Fall müssen die Vermittlungsknoten die Daten aus den Filialen über den Umweg der Zentrale empfangen können. Das wird ermöglicht durch eine Route, die das gesamte zusammengefasste Netz (im Beispiel also 10.x.0.0/255.255.0.0 oder, wenn auch eine Kommunikation mit anderen Unterknoten möglich sein soll: 10.0.0.0/255.0.0.0) zur Zentrale überträgt.
Damit die Routen automatisch umgeschaltet werden können, muss auch in den Vermittlungsknoten die Auswahl des entfernten Netzes durch die Gegenstelle erlaubt werden.
Daraus ergibt sich folgender Ablauf beim Aufbau der VPN-Verbindungen:
- Der Vermittlungsknoten baut die Verbindung zur Zentrale auf und fordert alle Netzbeziehungen zu den Filialen an (d. h. er fordert das 10.x.0.0/255.255.0.0 Netz an).
- Die Filale baut die Verbindung zum Vermittlungsknoten auf und fordert ihr Netz (10.x.y.0/255.255.255.0) an. Damit können nun Daten von der Filiale über den Vermittlungsknoten zur Zentrale übertragen werden.
Wenn nun die VPN-Verbindung zwischen Filiale und Zentrale abbricht, passiert Folgendes:
- Der Vermittlungsknoten bemerkt den Abbruch aufgrund eines konfigurierten Pollings (DPD) und entfernt die Route zur Filiale.
- Die Filiale baut irgendwann die Backupverbindung zur Zentrale auf und fordert ihr Netz (10.x.y.0/255.255.255.0) an. Damit können nun Daten von der Filiale zur Zentrale übertragen werden. Wenn die Netze zusammengefasst wurden und die Vermittlungsknoten immer das zusammengefasste Netz (hier im Beispiel also das Netz 10.x.0.0/255.255.0.0 bzw. 10.0.0.0/255.0.0.0) zur Zentrale routen, dann ist sogar eine Datenübertragung von der Filiale zum Vermittlungsknoten über die Zentrale möglich.
Wenn der Backup-Fall beendet wird, baut die Filiale die Haupverbindung zum Vermittlungsknoten wieder auf:
- Die Filiale baut die Backup-Verbindung wieder ab, wodurch die Zentrale die Route zur Filiale wieder löscht.
- Die Filiale fordert ihr Netz (10.x.y.0/255.255.255.0) wieder beim Vermittlungsknoten an. Nun ist wieder problemlos die
Kommunikation zwischen Filiale und Vermittlungsknoten möglich.
Da das Filialnetz ein Subnetz des Netzes im
Vermittlungsknoten ist, ist auch sofort wieder die Kommunikation zwischen Filiale und Zentrale über den
Vermittlungsknoten möglich. Die Zentrale hat keine eigene Route mehr zur Filiale und überträgt die Daten für die Filiale
daher wieder zum Vermittlungsknoten.
Wichtig: Wenn die Struktur der Netzwerkadressen nicht wie oben beschrieben gestaltet werden kann, muss in der Zentrale die Route zur Filiale statisch konfiguriert werden und auf den Vermittlungsknoten verweisen. Wenn dann die Filiale die Backup-Verbindung aufbaut, dann wird die statische durch die dynamisch angemeldete Route überschrieben. Wird die Backup-Verbindung wieder abgebaut, dann wird die dynamische Route gelöscht und die statische Route erneut aktiv. Soll in diesem Fall die Kommunikation zwischen Filialen und Vermittlungsknoten auch im Backup-Fall gewährleistet werden, müssen auch in den Vermittlungsknoten die Routen zu den Filialen statisch konfiguriert werden.
