Erhöhen Sie die Redundanz Ihres Netzwerkes mit VPN-Tunneln über das Internet oder externe Netze. Geroutete Redundanzen bieten Ihnen dabei die Flexibilität, sowohl einfache, redundante Anbindungen als auch komplexe Szenarien zu realisieren. Egal, ob Sie eine Mobilfunk-Außenstation redundant an zwei VPN-Server anbinden möchten, ein Stich-Netzwerk über das Internet sicher zur Zentrale zurückführen wollen oder komplexe, vermaschte Netze realisieren möchten - all das ist mit Routing möglich. In diesem Webinar präsentieren wir praxisnahe Beispiele und zeigen Ihnen, wie Sie diese Optimierungen umsetzen können und welche leistungsstarken Funktionen Ihnen dabei zur Verfügung stehen.

1. Geroutete Redundanzen
Marcel Bühner, Markus Inhelder 2024-02-13

2. Markus Inhelder
Sales Manager
markus.inhelder@westermo.com
+41 79 703 95 26
Marcel Bühner
Technical Account Manager
marcel.buehner@westermo.com
+41 79 269 49 00
Ihre Gastgeber

3. Wir freuen uns auf Ihre Frage
• Nutzen Sie einfach die Chatfunktion
• Fragen sind auch anonym möglich
• Alle Fragen werden am Ende der Präsentation entsprechend beantwortet

4. Live Stream
• Sie können den Live Stream auch entsprechend stoppen und wieder starten
• Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke

5. Netzwerk Redundanzen
• L2- Redundanz
• L3- Redundanz

6. Layer 2 Redundanzen
Auf Layer 2 Ebene unterscheidet man zwischen:
• Ringtopologien
• FRNT
• Vermaschte Topologien
• RSTP
Die Umschaltung auf den redundanten Pfad erfolgt im
allgemeinen schnell und deterministisch.
Ringe
Vermaschte Topologien

7. Layer 3 Redundanzen
Auf Layer 3 Ebene unterscheidet man zwischen:
• Netzwerkredundanz
• Ring oder Mesh
• Dynamisches Routing
• Redundanz über öffentliche Netze (VPN)
• Gateway Redundanz
• VRRP/CARP
• Dabei wird mittels einer virtuellen IP das
Default-Gateway zwischen Routern
gewechselt
• Es kann von gleichbleibenden
Umschaltzeiten ausgegangen werden
VRRP Gateway Redundanz
Internet
Internal
Network
Netzwerk Redundanz

8. Netzwerk Redundanz

9. Netzwerk Redundanz
Die Massnahmen, um ein Netzwerk redundant aufzubauen, lassen sich in zwei
Grundlegende Bereiche aufteilen:
• Geräteredundanz
• Redundante Kommunikations-Pfade

10. Geräteredundanz
Netzwerk Redundanz
Aktive/Passive
• Nur ein Gerät ist jeweils aktiv
• Die gesamte Kommunikation läuft über das aktive Gerät (Master)
• Das passive Gerät (Backup/Standby) überwacht den Master und übernimmt die
Kommunikation wenn notwendig

11. Geräteredundanz
Netzwerk Redundanz
Aktive/Aktive
• Beide Geräte sind gleichzeitig aktive
• Die Kommunikation muss definiert werden, um Asynchronität zu vermeiden
• Unterschiedliche Netze
• Policy Routing
• Etc.
• Wenn im Fehlerfall ein Gerät die gesamte Kommunikation übernehmen muss, müssen
diese sich gegenseitig überwachen und wenn nötig synchronisieren (Firewall Sessions)

12. Redundante Pfade ➔ Geroutete Redundanz
Netzwerk Redundanz
Nebst der Verwendung von Layer 2 Redundanzen, können redundante Pfade im Netzwerk auch geroutet
aufgebaut werden:
• Am einfachsten verwendet man ein dynamisches Routing Protokoll (OSPF/RIP)
• Mittels VPN- Tunnels kann auch ein Pfad durch das Internet realisiert werden (Mobilfunkanbindung)
• Einfache Kontrolle, welcher Pfad genommen wird (Routing Tabelle)
Internet
Zentrale Station

13. SCADA Server 1
Terminal Server
Basis: 7 Stationen und eine Leitwarte
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Keine
Redundante Pfade/L2 Redundanzen:
• Keine

14. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Layer 2 Ring, 2 Core Router
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante Anbindung der OT- Firewall an den FRNT-
Ring durch 2 Core Router in der Zentrale
Redundante Pfade/L2 Redundanzen:
• „ Verbindungen von der OT- Firewall zu den beiden Core
Router
• FRNT L2 Ringredundanz zur Anbindung der „Core“
Stationen

15. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante OT-Firewall inkl. Redundante Server
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante OT- Firewall
Redundante Pfade:
• Redundante, geroutete Pfade via OT- Firewall1 oder OT-
Firewall 2
➢ Aktive/Aktive Lösung
➢ Routing dynamisch via OSPF
➢ Routing muss über die „Kosten“ (Costs) sauber
konfiguriert werden
➢ Asynchrones Routing ist zu vermeiden (Firewall)

16. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante Rückführung der Netzwerkstiche über einen VPN- Tunnel
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante OT- Firewall
Redundante Pfade:
• Über einem openVPN Tunnel wird von der letzten Station
im Stich eine Verbindung zur Zentrale hergestellt und
dadurch ein gerouteter „Ring“ geschaffen
➢ Routing erfolgt dynamisch via OSPF
➢ Höhere Kosten als über LWL
➢ Beide Richtungen müssen beachtet werden
➢ Der Netzwerk-Router (optional) oder der
Stationsrouter baut den Tunnel via dem
Mobilfunknetz auf

17. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante VPN- Tunnel
Beispiel Netzwerk Redundanz
Zur nochmaligen Erhöhung der Redundanz kann ein Zweiter
VPN- Tunnel zur zweiten Leitwarte erstellt werden.
➢ Netzwerk- Redundanz bleibt erhalten, auch wenn eine
Leitwarte ausfällt
➢ Korrektes OSPF- Routing ist zu beachten
➢ Priorität 1 : Verbindung über LWL
➢ Priorität 2 : via SSL- Tunnel zu Zentrale 1
➢ Priorität 3 : via SSL- Tunnel zu Zentrale 2
➢ Das Stationsnetz kann somit auch ohne die LWL-
Anbindung in der Zentrale redundant angesprochen
werden

18. Gateway Redundanz
VRRP

19. Virtual Router Redundancy Protocol
• VRRP ist Herstellerunabhängig
• Ermöglicht die Redundanz für einen Host, damit ein
zweiter Router das default Gateway übernehmen
kann
• Die Router teilen sich damit eine virtuelle MAC und
IP-Adresse
• Wenn der Master down geht, übernimmt der
Backup Router
Internet
Internal
Network

20. Wie funktioniert VRRP?
• VRRP erzeugt eine virtuelle Adresse zwischen den
beiden Routern
• Ein Router ist Master, der andere Backup
• Diese virtuelle Adresse wird von einem der beiden
Geräte übernommen (Master)
• RRP sendet periodisch Health Pakete zwischen den
Routern
Master Backup
Default Gateway: 192.168.2.1
Internet
.2 .3
.33 .79
192.168.2.0/24
.125
Virtual Router
Address:
192.168.2.1

21. Wie funktioniert VRRP?
Internet
MLS 1 MLS 2
PC2
PC1 Web
Server
PC1:
Address: 192.168.2.33
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
PC2:
Address: 192.168.2.79
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
Web Server:
Address: 192.168.2.125
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
MLS 1:
Address: 192.168.2.2
Subnet Mask: 255.255.255.0
VRRP IP: 192.168.2.1
MLS 2:
Address: 192.168.2.3
Subnet Mask: 255.255.255.0
VRRP IP: 192.168.2.1

22. Dynamisches Routing

23. Dymamisches Routing
• Distance Vector
• Die Kommunikation geht über die kürzeste
Distanz miteinander
• Link State Routing
• Die Kommunikation geht über die geringsten
Pfadkosten miteinander
Distance Vector vs Link State Routing
50
200
50 50
Distance Vector
Protocol
200
50
50 50
Link State
Protocol

24. Kommunikationsverbindungen
& Pfade

25. Kommunikationsverbindungen & Pfade
• In gerouteten Netzen führen oft mehrere Pfade zum Ziel
• Dies ist als Redundanz oft auch so gewollt
• Asynchrone Routing muss vermieden werden, sobald SPI-Firewalls im Spiel sind
• Das Datenpaket kann in diesem Beispiel über 2 unterschiedliche Netze den «Ingress-Router» verlassen
• Das Datenpaket kann über 2 unterschiedliche Netze am «Egress-Router» ankommen
• Sind im Pfad noch weitere Firewall Policies definiert, vervielfachen sich die betroffenen Firewall Definitionen
exponentiell

26. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Kommunikations-Beispiel
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 - CR 11 - Station 21 - Station 22
2. OTF 1 - CR 12 - Station 21 - Station 22
3. OTF 1 – Station 24 - Station 23 - Station 22
4. OTF 1 – Station 13 - Station 12 - Station 11 - Station 21
– Station 22
Um hier die Übersicht zu behalten, empfiehlt sich die
Erstellung einer erweiterten «Kommunikation Matrix», in Form
einer Liste der Kommunikationen und aller möglicher Pfade,
die diese nehmen können / dürfen.
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1

27. OSPF Pfade definieren

28. Pfadkosten errechnen
OSPF Pfade & Kosten
• Zentrale nach Station LWL Netz (5 Hops): 10 + 10 + 10 + 10 + 10 = 50
• Zentrale nach Station VPN (2 Hop): 500 + 10 = 510
• Station nach Zentrale LWL Netz (5 Hops): 10 + 10 + 10 + 10 + 10 = 50
• Station nach Zentrale VPN (2 Hop): 500 + 10 = 510
Internet
Zentrale Station
OSPF: 500
OSPF: 500
OSPF: 10
OSPF: 10 OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 10
OSPF: 10

29. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 10 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500
OSPF Kosten definieren: via CR11
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 - CR 11 - Station 21 - Station 22
• OTF1 – CR11: OSPF Costs 10
• CR12 – Station21: OSPF Costs 10
• Station21 – Station22: OSPF Costs 10
• Total: OSPF Costs 30
2. Station 22 - Station 21 - CR 11 - OTF 1
• Station22 – Station21: OSPF Costs 10
• Station21 – CR11: OSPF Costs 10
• CR11 – OTF1: OSPF Costs 10
• Total: OSPF Costs 30
OSPF: 10

30. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 10 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500
OSPF Kosten definieren : via CR12
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 - CR 12 - Station 21 - Station 22
• OTF1 – CR11: OSPF Costs 200
• CR12 – Station21: OSPF Costs 10
• Station21 – Station22: OSPF Costs 10
• Total: OSPF Costs 220
2. Station 22 - - Station 21 - CR 12 - OTF 1
• Station22 – Station21: OSPF Costs 10
• Station21 – CR11: OSPF Costs 10
• CR11 – OTF1: OSPF Costs 200
• Total: OSPF Costs 220
OSPF: 10

31. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 10 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500
OSPF Kosten definieren : via Station 24
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 – Station 24 - Station 23 - Station 22
• OTF1 – Router24: OSPF Costs 500
• Router24 – Station24: OSPF Costs 10
• Station24 – Station23: OSPF Costs 10
• Station23 – Station22: OSPF Costs 10
• Total: OSPF Costs 530
2. Station 22 - Station 23 - Station 24 - OTF 1
• Station22 – Station23: OSPF Costs 10
• Station23 – Station24: OSPF Costs 10
• Station24 – Router24: OSPF Costs 10
• Router24 – OTF1: OSPF Costs 500
• Total: OSPF Costs 530
OSPF: 10

32. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 10 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500
OSPF Kosten definieren : via Station 13
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 – Station 13 - Station 12 - Station 11 - Station 21
– Station 22
• OTF1 – Router13: OSPF Costs 500
• Router13 – Station13: OSPF Costs 10
• Station13 – Station12: OSPF Costs 10
• Station12 – Station11: OSPF Costs 10
• Station11 – Station21: OSPF Costs 10
• Station21 – Station22: OSPF Costs 10
• Total: OSPF Costs 550
2. Station 22 - Station 21 - Station 11 - Station 12 -
Station 13 - OTF 1
• Total: OSPF Costs 550
OSPF: 10

33. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 10 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500
OSPF Kosten definieren: Identische Kosten bei Station 21
Kommunikationsverbindungen & Pfade
Terminalserver – Station 21:
1. OTF 1 – Station 24 - Station 23 - Station 22 - Station 21
• Total: OSPF Costs 540
2. Station 21 - Station 22 - Station 23 - Station 24 - OTF 1
• Total: OSPF Costs 540
3. OTF 1 – Station 13 - Station 12 - Station 11 - Station 21
• Total: OSPF Costs 540
4. StaStation 23 - Station 24 - OTF 1
• Total: OSPF Costs 540
OSPF: 10

34. OSPF Kosten definieren: Lösung
Kommunikationsverbindungen & Pfade
Terminalserver – Station 21 Lösung:
1. OTF 1 – Station 24 - Station 23 - Station 22 - Station 21
• Total: OSPF Costs 540
2. Station 21 - Station 22 - Station 23 - Station 24 - OTF 1
• Total: OSPF Costs 540
3. OTF 1 – Station 13 - Station 12 - Station 11 - Station 21
• Total: OSPF Costs 550
4. Station 23 - Station 24 - OTF 1
• Total: OSPF Costs 550
OSPF: 10
SCADA Server 1
Terminal Server
L2
FRNT
Ring
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
OSPF: 10
OSPF: 10
OSPF: 10
OSPF: 500
OSPF: 200
OSPF: 200
OSPF: 500
OSPF: 20 OSPF: 10
OSPF: 10 OSPF: 10 OSPF: 10 OSPF: 10
OSPF: 500

35. Take aways zu
Geroutete Redundanzen
Redundanzen sind immer zu überwachen, damit
man weiss, dass sie funktionieren!

36. Fragen und Antworten
Markus Inhelder
Marcel Bühner

37. Aufzeichnung /
Newsletter

38. Expand your skillset with
Westermo network training
• Learn with our experts
• Flexible online and in-person training
• Certified courses to network engineers wherever they are located
around the world
• Maximize the performance and reliability of your industrial
network
Westermo Academy

39. Y O U R PA R T N E R F O R M I S S I O N C R I T I C A L I N D U S T R I A L N E T W O R K S