Höhere Verfügbarkeit für X-WiN-Anschlüsse
Höhere Verfügbarkeit für X-WiN-Anschlüsse
Höhere Verfügbarkeit für X-WiN-Anschlüsse
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
8 | DFN Mitteilungen Ausgabe 75 | November 2008 | WISSENSCHAFTSNETZ<br />
<strong>Höhere</strong> <strong>Verfügbarkeit</strong> <strong>für</strong><br />
X-<strong>WiN</strong>-<strong>Anschlüsse</strong><br />
Seit Inbetriebnahme des X-<strong>WiN</strong> wurden vielfältige Anstrengungen unter-<br />
nommen, um den DFN-Nutzern einen leistungsfähigen und zuverlässigen<br />
Zugang zum Internet bereitzustellen. Waren die bisherigen Aktivitäten mit der<br />
redundanten Auslegung der Routerkomponenten, der doppelten Anbindung<br />
der X-<strong>WiN</strong>-Standorte oder der sicheren Stromversorgung auf das „Innere“<br />
des X-<strong>WiN</strong> gerichtet, werden mit der Leistungssteigerung 2009 nun die Zugangsverbindungen<br />
zu den Anwendern in den Mittelpunkt gestellt.<br />
Text: Hans-Martin Adler, Thomas Schmid<br />
Hauptleitung (HL)<br />
KR<br />
Anwender-LAN<br />
XR A XR B<br />
Nebenleitung (NL)<br />
Abb 1: Redundanter Anwenderanschluss am X-<strong>WiN</strong>
Ausgangssituation<br />
In der Regel sind die <strong>Anschlüsse</strong> <strong>für</strong> den<br />
DFNInternet-Dienst einfach mit einer<br />
Zugangsleitung an den nächsten X-<strong>WiN</strong>-<br />
Standort angebunden. Obwohl die Zuverlässigkeit<br />
der Zugangsleitungen sehr<br />
hoch ist und durch die aktive Überwachung<br />
der <strong>Anschlüsse</strong> eine schnelle Entstörung<br />
garantiert ist, führt der Ausfall<br />
dieser Verbindung immer zu einem Konnektivitätsverlust<br />
der Einrichtung. Einige<br />
Einrichtungen haben deshalb zur Sicherung<br />
ihres Zugangs den Backup-Dienst<br />
des DFN-Vereins oder zusätzliche Internetzugänge<br />
genutzt. Mit der Ausschreibung<br />
der Zugangsleitungen im vergangenen<br />
Jahr wurden die Anbieter aufgefordert,<br />
jeweils auch Angebote zu den<br />
benachbarten X-<strong>WiN</strong>-Standorten abzugeben.<br />
In Auswertung dieser Angebote<br />
konnte entschieden werden, dass ab 2009<br />
der Standardanschluss <strong>für</strong> den DFNInternet-Dienst<br />
mit einer doppelten Anbindung<br />
angeboten werden kann. Mit den<br />
Anbietern wurde vereinbart, dass die jeweils<br />
zweite Anbindung möglichst redundant<br />
ausgeführt wird und die dadurch<br />
entstehenden Kosten durch den DFN-Verein<br />
getragen werden.<br />
Für den Regelanschluss (I-Kategorie)<br />
des DFNInternet-Dienstes werden vom<br />
Kundenrouter (KR) des Anwenders zwei<br />
Zugangsleitungen (Hauptleitung und<br />
Nebenleitung) zu verschiedenen Kernnetzknoten<br />
des X-<strong>WiN</strong> geführt (siehe Abbildung<br />
1). Für einen Clusteranschluss<br />
(CI-Kategorie) schließt der DFN-Verein den<br />
Clusterrouter mit einer Haupt- und einer<br />
Nebenleitung ebenfalls an zwei unterschiedliche<br />
Kernnetzknoten an. Nutzer<br />
der Portanschlüsse (PI-Kategorien) erhalten<br />
an einem anderen X-<strong>WiN</strong>-Knoten<br />
einen zweiten Port. Anwender direkt an<br />
einem Kernnetzstandort können einen<br />
zweiten Anschluss oder eine Wellenlänge<br />
zu einem anderen Standort nutzen.<br />
Bei Anwendern, die bereits mehrere einfach<br />
angebundene <strong>Anschlüsse</strong> besitzen,<br />
kann geprüft werden, ob die angestrebte<br />
Redundanz besser durch eine interne Ver-<br />
bindung zwischen diesen Standorten rea-<br />
lisiert werden kann. Für diese Nutzung<br />
der Nebenleitung werden zwei grundlegende<br />
Szenarien vorgeschlagen: Nutzung<br />
der Nebenleitung als Backup-Zugang<br />
oder Nutzung im laufenden Betrieb.<br />
Anwender, die diese Angebote nicht nutzen<br />
möchten, erhalten 2009 eine höhere<br />
Bandbreite.<br />
Grundlagen<br />
Im X-<strong>WiN</strong> erfolgte das Routing mit den<br />
Anwendern über den bisherigen Standardanschluss<br />
statisch über die Zugangsleitung<br />
zwischen X-<strong>WiN</strong>-Router (XR) und<br />
Kundenrouter (KR). Für die Nutzung der<br />
Nebenleitung wurde als günstigste Möglichkeit<br />
das Border Gateway Protokoll<br />
(BGP, RFC4271) <strong>für</strong> das Routing ausgewählt.<br />
Dieses Protokoll beschreibt, wie<br />
Router untereinander die <strong>Verfügbarkeit</strong><br />
von Verbindungswegen zwischen den<br />
Netzen autonomer Systeme („AS“) propagieren.<br />
Das Border Gateway Protokoll hat<br />
den Vorteil, dass es auch <strong>für</strong> die Annoncierung<br />
von Netzen innerhalb eines ASes<br />
(internes BGP, iBGP) angewendet werden<br />
kann. Die Anwender erhalten deshalb<br />
vom DFN-Verein ein privates autonomes<br />
System. Der DFN-Verein verwendet die<br />
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 75 |<br />
AS-Nummer 680. Die folgenden Beispiele<br />
zeigen, wie mit diesem Protokoll die redundanten<br />
Anbindungen genutzt werden<br />
können.<br />
Szenario 1: Nutzung<br />
der Nebenleitung als Backup<br />
Die Nutzung der Nebenleitung erfolgt nur<br />
dann, wenn die Hauptleitung gestört ist.<br />
Für dieses Szenario gelten folgende Regeln:<br />
• Die Nebenleitung verfügt über 1/3 der<br />
Bandbreite der Hauptleitung.<br />
• Die Zugangsleitungen enden beim Anwender<br />
auf einem oder zwei Routern.<br />
• Der Anwender bekommt vom DFN-NOC<br />
eine AS-Nummer aus dem privaten Bereich<br />
zugeteilt.<br />
• Der Anwender annonciert seine Adressbereiche<br />
über eBGP an das X-<strong>WiN</strong>. Der<br />
DFN-Verein stellt eine unterschiedliche<br />
Gewichtung <strong>für</strong> den Haupt- und den<br />
Backup-Weg mit Hilfe von MEDs (Multi<br />
Exit Discriminator) ein.<br />
• Der DFN-Verein annonciert dem Anwender<br />
eine Default-Route 0.0.0.0/0 bzw.<br />
::/0. Die Gewichtung der Default-Route<br />
über den Haupt- und Backup-Weg wird<br />
vom DFN-Verein mit Hilfe von MEDs realisiert.<br />
9
10 | DFN Mitteilungen Ausgabe 75 | November 2008 | WISSENSCHAFTSNETZ<br />
Nebenleitung:<br />
IP 188.1.100.5<br />
IPv6: 2001:638:c:bbbb:::1/64<br />
Nebenleitung:<br />
IP 188.1.100.6<br />
IPv6: 2001:638:c:bbbb:::2/64<br />
Abb 2: Beispielkonfiguration <strong>für</strong> Szenario 1 mit zwei Kundenroutern<br />
eBGP<br />
KR2 Loopback:<br />
IP 103.10.10.2/32<br />
IPv6: 2001:638:1234:::2/128<br />
• Darüber hinaus werden keine Maßnahmen<br />
zur Verteilung des Verkehrs über<br />
die <strong>Anschlüsse</strong> getroffen.<br />
Da Ethernet-Verbindungen in der Regel<br />
keine Signalisierung über die <strong>Verfügbarkeit</strong><br />
einer Ende-zu-Ende Beziehung bereitstellen,<br />
werden auf DFN-Seite nicht die<br />
default BGP Timer-Einstellung (Keepalive<br />
60s, Hold Time 180s) verwendet.<br />
Damit bei einem Ausfall einer Leitung<br />
das Umrouten schnell erfolgen kann, wird<br />
die BGP Session auf DFN-Seite mit kürzeren<br />
Timer-Einstellungen konfiguriert.<br />
D.h. bei einer Leitungsstörung, die nicht<br />
zu einem ‚Interface down‘ führt, wird das<br />
Routing i.d.R. nach ca. 20s auf den Backup-Weg<br />
geschaltet. Kleinere Timer-Einstellungen<br />
werden von den Herstellern<br />
nicht empfohlen.<br />
Wenn das Interface auf beiden Seiten<br />
‚down‘ geht, geschieht das Umrouten<br />
unabhängig von den Timer-Einstellungen<br />
sofort. Auf Seiten des Anwenders sind<br />
hier<strong>für</strong> keine Konfigurationsänderungen<br />
notwendig.<br />
X-<strong>WiN</strong><br />
iBGP<br />
LAN<br />
eBGP<br />
KR1 Loopback:<br />
IP 103.10.10.2/32<br />
IPv6: 2001:638:1234:::1/128<br />
Hauptleitung:<br />
IP 188.1.100.1<br />
IPv6: 2001:638:c:aaaa:::1/64<br />
Hauptleitung:<br />
IP 188.1.100.2<br />
IPv6: 2001:638:c:aaaa:::2/64<br />
Falls der Kundenrouter darüber hinaus<br />
weitere Mechanismen zur schnellen<br />
Routingkonvergenz wie z.B. BFD (Bidirectional<br />
Forwarding Detection, IETF draft)<br />
unterstützt, können diese nach Prüfung<br />
durch das NOC eingesetzt werden.<br />
Die Firewall-Einstellungen des Anwenders<br />
müssen so angepasst sein, dass<br />
der BGP-Verkehr (TCP destination Port<br />
179, source Port beliebig) eingehend und<br />
ausgehend zwischen den Adressen der<br />
Zugangsleitungen erlaubt ist.<br />
Abbildung 2 zeigt eine Beispielkonfiguration<br />
mit zwei Kundenroutern im LAN<br />
des Anwenders.<br />
Szenario 2: Nutzung der<br />
Nebenleitung im laufenden<br />
Betrieb<br />
Der Anwender hat die Möglichkeit, beide<br />
Zugangsleitungen im laufenden Betrieb<br />
<strong>für</strong> Produktionsverkehr zu nutzen. Der<br />
DFN-Verein unternimmt in diesem Fall<br />
allerdings keinerlei Maßnahmen zur Ver-<br />
teilung des Verkehrs über die beiden Leitungen.<br />
Die Lastverteilung kann sinnvoll<br />
nur vom Teilnehmer selbst vorgenommen<br />
werden, denn nur er weiß, wie sich sein<br />
Verkehr auf die unterschiedlichen Adressbereiche<br />
verteilt. Wenn sich der Anwender<br />
<strong>für</strong> dieses Szenario entscheidet, teilt<br />
er dies dem DFN-NOC mit, damit die Gewichtung<br />
der Routen auf DFN-Seite deaktiviert<br />
werden kann.<br />
Für dieses Szenario besteht die Möglichkeit,<br />
über die beiden BGP Sessions jeweils<br />
Teilnetze mit unterschiedlichen Gewichtungen<br />
(MEDs) zu annoncieren. Dies betrifft<br />
die Verkehrsrichtung aus dem X-<strong>WiN</strong><br />
zum Anwender. So kann z.B. der Verkehr<br />
zum Webserver der Einrichtung über die<br />
eine Zugangsleitung geroutet werden<br />
und der restliche Verkehr über die zweite<br />
Leitung. Es ist jedoch zu bedenken, dass<br />
die Nebenleitung unter Umständen höhere<br />
Delays besitzt, da sie in der Regel länger<br />
ist.<br />
Weiter ist zu beachten, dass das Setzen<br />
identischer oder keiner MEDs <strong>für</strong> die Anwendernetze<br />
auf den beiden Zugangsleitungen<br />
nicht dazu führt, dass sich der<br />
Verkehr gleichmäßig auf beide Leitungen<br />
verteilt. Der Grund hier<strong>für</strong> ist, dass<br />
das Routing aus dem X-<strong>WiN</strong> zum Anwender<br />
bei nicht gesetzten oder identischen<br />
MEDs anhand der Routing-Kosten in der<br />
X-<strong>WiN</strong> internen Topologie erfolgt.<br />
Die Rückrichtung – von der Einrichtung<br />
ins X-<strong>WiN</strong> - kann ebenfalls kontrolliert<br />
werden, indem die Gewichtung der vom<br />
DFN annoncierten Default-Route entsprechend<br />
gesetzt wird. Entweder es wird nur<br />
eine der beiden Leitungen <strong>für</strong> diese Verkehrsrichtung<br />
verwendet, oder – falls die<br />
Leitungen auf einem Router enden – es<br />
werden identische MEDs gesetzt und der<br />
Verkehr verteilt sich etwa im Verhältnis<br />
von 50:50 auf die 2 Leitungen (BGP ‚maximum-path<br />
2‘ Option). Es ist zu beachten,<br />
dass das Loadsharing auf der Basis<br />
von Ende-zu-Ende-Beziehungen durchgeführt<br />
wird, d.h. sämtlicher Verkehr einer
Ende-zu-Ende-Beziehung über eine Zugangsleitung<br />
läuft. Somit hängt die Auslastung<br />
der Links vom Bandbreitenbedarf<br />
der einzelnen Verkehrsbeziehungen ab.<br />
Zudem ist eine 50:50 Aufteilung natürlich<br />
nur dann sinnvoll, wenn beide Leitungen<br />
über dieselbe Bandbreite verfügen.<br />
Enden die beiden Leitungen auf zwei Routern,<br />
ist eine definierte Aufteilung des<br />
ausgehenden Verkehrs nur schwer möglich.<br />
Auch hier ist zu beachten, dass die<br />
Delays auf den 2 Zugangsleitungen unterschiedlich<br />
ausfallen können.<br />
Dem Anwender kann über das BGP auch<br />
eine volle Routingtabelle annonciert werden,<br />
anhand derer er die ausgehende Verkehrsverteilung<br />
über die beiden Zugangsleitungen<br />
nach eigenen Vorstellungen<br />
Nebenleitung:<br />
IP 188.1.100.5<br />
IPv6: 2001:638:c:bbbb:::1/64<br />
BGP Annoncierung:<br />
103.10.11.0/24 primär<br />
2001:638:5678::/48 primär<br />
103.10.10.0/24 backup<br />
2001:638:1234::/48 backup<br />
Nebenleitung:<br />
IP 188.1.100.6<br />
IPv6: 2001:638:c:bbbb:::2/64<br />
KR2 Loopback:<br />
IP 103.10.10.2/32<br />
IPv6: 2001:638:1234:::2/128<br />
Abb 3: Konfiguration <strong>für</strong> Szenario 2 mit 2 Kundenroutern<br />
gestalten kann. Diese Methode ist sehr<br />
aufwändig und sollte deshalb nur in besonderen<br />
Fällen zum Einsatz kommen.<br />
Abbildung 3 zeigt einen Konfiguration<br />
<strong>für</strong> Szenario 2.<br />
Weiteres Vorgehen<br />
Der DFN-Verein wird entsprechend der<br />
Vorgaben der Anwender die Betreiber<br />
der Zugangsleitungen auffordern, <strong>für</strong><br />
den ausgewählten Standort die ausgeschriebene<br />
Zugangsleitung mit einer redundanten<br />
Wegeführung zur Hauptleitung<br />
anzubieten. Der Betreiber unterbreitet<br />
anschließend einen Vorschlag, in<br />
dem die redundante Wegeführung dargestellt<br />
ist und eventuelle zusätzliche Kosten<br />
benannt sind. In Absprache mit den<br />
Anwendern wird dann der Vorschlag ge-<br />
X-<strong>WiN</strong><br />
LAN<br />
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 75 |<br />
KR1 Loopback:<br />
IP 103.10.10.2/32<br />
IPv6: 2001:638:1234:::1/128<br />
Hauptleitung:<br />
IP 188.1.100.1<br />
IPv6: 2001:638:c:aaaa:::1/64<br />
BGP Annoncierung:<br />
103.10.10.0/24 primär<br />
2001:638:1234::/48 primär<br />
103.10.11.0/24 backup<br />
2001:638:5678::/48 backup<br />
11<br />
prüft. Wenn er den Anforderungen an die<br />
redundante Zuführung entspricht, erfolgt<br />
die Beauftragung. Erste Erfahrungen haben<br />
gezeigt, dass <strong>für</strong> die Erkundung eines<br />
Zweitweges oft mehr als 8 Wochen benötigt<br />
werden. Auch die Realisierung erfordert<br />
einige Zeit, da in der Regel ein Teil<br />
des Weges der Nebenleitung erst gebaut<br />
werden muss. Da<strong>für</strong> müssen teilweise<br />
Genehmigungen eingeholt und oft auch<br />
Tiefbauarbeiten durchgeführt werden.<br />
Der DFN-Verein wird die Anwender über<br />
den Status der Realisierung regelmäßig<br />
informieren. Für die aufgeführten Szenarien<br />
kann die DFN-Geschäftsstelle Musterkonfigurationen<br />
bereitstellen. M<br />
Hauptleitung:<br />
IP 188.1.100.2<br />
IPv6: 2001:638:c:aaaa:::2/64
Change language