Hallo Community ich hoffe mir kann jemand helfen,

Ich habe ein riesiges Netzwerk, Aufgeteilt in eine

Core-Ebene komplett vermascht

Distribution-Ebene

Access Ebene

Die Core Ebene ist verteilt über 2 Standorte und soll nun über einen Tunnel miteinander verbunden werden.

Das problem ist das OSPF von den Routern die den Tunnel aufbauen die Interfaces erkennt und somit die Route bei einem Ausfall des Tunnels nicht umlenkt.

Jetzt meine Idee. Ich nehme einen managmentserver der feste Routen bekommt, dieser pingt die Ip adresse de gegenseite des tunnels an, ist diese nicht erreichbar muss die managmentsoftware automatisch auf unserem procurve den Switchport disablen.

vielleicht hat ja auch jemand eine andere Idee um die OSPF Area miteinander zu verbinden?

Ich hatte schon versucht mit virtuellen links zu arbeiten aber die verbindet ja nur die Backbone Area.

Ich dneke mal das es die beste möglichkeit ist mit dem managmentserver der die ip´s prüft. Hat jemand vielleicht einen Lösungsansatz für mich wie ich das realisieren könnte mit was für programmen unter linux oder freebsd?

Ich dachte vielleicht irgendwie an heartbeat zur überprüfung und dann irgendwie an smpwalk oder irgendwie sowas vielleicht gibt es aber auch irgendwas anderes.

Danke schon mal im voraus für die Hilfe.

Wenn ich dich richtig verstehe, werden alternative Wege erst dann genutzt, wenn der Router, der den Tunnel aufbaut, nicht mehr erreichbar ist? Korrekt?

Richtig

Wir haben 2 Strecken die getunnelt werden sollen und sollte eine strecke ausfallen muss die andere Strecke genutzt werden.

So das bild

- Strecke 1

X -------- eth0 VPN eth1 --------- eth1 VPN eth0 ------ X

ProCurve ---------------------VPN Tunnel -----------------ProCurve

Core 1 ---------------------------------------------------- Core2

--------- eth0 VPN eth1 --------- eth1 VPN eth0 -------

- Strecke 2

Die Core Switche bzw Router sind über zwei unterschiedliche Strecken angebunden

Bearbeitet 6. Mai 201015 j von Dibbibo

Was spricht dagegen, die Router mit ins OSPF aufzunehmen? Dann lernen die Core-Switches, welche Strecken da sind und welche verfügbar sind.

Weil das Sina Boxen sind diese bauen nur einen Tunnel auf und können sonst nichts. Die können weder OSPF noch sonst irgendwas, die bauen einen IP sec tunnel auf nur zu sich. Das ist das Problem.

Das problem ist das OSPF von den Routern die den Tunnel aufbauen die Interfaces erkennt und somit die Route bei einem Ausfall des Tunnels nicht umlenkt.

Wie meinen? Das OSPF sollte im konfigurierten Intervall merken dass der Link down ist und entsprechend reagieren - U.a. dafür ist es ja entwickelt worden.

Oder lässt du auf den VPN Links kein OSPF laufen?

Falls nicht - schnell Quagga, BIRD oder ähnliches auf deine VPN-Tunnelserver klatschen und einbinden. Aufpassen bei den hello- und dead-Intervalls - die müssen in einer Area gleich sein. Ggf. ne neue Area anlegen..

Grüße

Ripper

SINA L2 wäre passender für OSPF, da dies einen direkten Link voraussetzt.

Eventuell andere Protokolle (z.B. minimales iBGP Setup) einsetzen geht nicht?

Grüße

Ripper

Die SINA L2 sind aber auch nicht ganz kostenlos.

folgendes Problem wir haben keinen einfluss auf die Sina boxen, das problem ist das der Link der box ja noch da sein kann aber der IP SEC Tunnel nicht aufgebaut ist, somit merkt OSPF nicht das die Route weg ist und versucht weiter die pakete an das gateway der gegenstelle zu schicken, das der Tunnel aber nicht aufgebaut ist wird das auch nichts und die pakete gehen verloren. Der Link ist ja da. nur die IP Sec Strecke steht nicht. Wir können an den Sina Boxen nichts ändern.

Wie sind die OSPF-sprechenden Router den angeschlossen?

Wie sehen die Routingtabellenm aus? Statische Links zum Tunnelpartner?

Können man quasi einen Tunnel ÜBER das VPN einrichten? (Also z.B. vom OSPF-Router über GRE-Tunnel über SINA über VPN zur Gegenseite)

Die Netz-Grafik von oben ist (für mich) nicht lesbar..

Bitte mehr Info..

Grüße

Ripper