Erhöhen Sie die Redundanz Ihres Netzwerkes mit VPN-Tunneln über das Internet oder externe Netze. Geroutete Redundanzen bieten Ihnen dabei die Flexibilität, sowohl einfache, redundante Anbindungen als auch komplexe Szenarien zu realisieren.
Egal, ob Sie eine Mobilfunk-Außenstation redundant an zwei VPN-Server anbinden möchten, ein Stich-Netzwerk über das Internet sicher zur Zentrale zurückführen wollen oder komplexe, vermaschte Netze realisieren möchten - all das ist mit Routing möglich.
In diesem Webinar präsentieren wir praxisnahe Beispiele und zeigen Ihnen, wie Sie diese Optimierungen umsetzen können und welche leistungsstarken Funktionen Ihnen dabei zur Verfügung stehen.
3. Wir freuen uns auf Ihre Frage
• Nutzen Sie einfach die Chatfunktion
• Fragen sind auch anonym möglich
• Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4. Live Stream
• Sie können den Live Stream auch entsprechend stoppen und wieder starten
• Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
6. Layer 2 Redundanzen
Auf Layer 2 Ebene unterscheidet man zwischen:
• Ringtopologien
• FRNT
• Vermaschte Topologien
• RSTP
Die Umschaltung auf den redundanten Pfad erfolgt im
allgemeinen schnell und deterministisch.
Ringe
Vermaschte Topologien
7. Layer 3 Redundanzen
Auf Layer 3 Ebene unterscheidet man zwischen:
• Netzwerkredundanz
• Ring oder Mesh
• Dynamisches Routing
• Redundanz über öffentliche Netze (VPN)
• Gateway Redundanz
• VRRP/CARP
• Dabei wird mittels einer virtuellen IP das
Default-Gateway zwischen Routern
gewechselt
• Es kann von gleichbleibenden
Umschaltzeiten ausgegangen werden
VRRP Gateway Redundanz
Internet
Internal
Network
Netzwerk Redundanz
9. Netzwerk Redundanz
Die Massnahmen, um ein Netzwerk redundant aufzubauen, lassen sich in zwei
Grundlegende Bereiche aufteilen:
• Geräteredundanz
• Redundante Kommunikations-Pfade
10. Geräteredundanz
Netzwerk Redundanz
Aktive/Passive
• Nur ein Gerät ist jeweils aktiv
• Die gesamte Kommunikation läuft über das aktive Gerät (Master)
• Das passive Gerät (Backup/Standby) überwacht den Master und übernimmt die
Kommunikation wenn notwendig
11. Geräteredundanz
Netzwerk Redundanz
Aktive/Aktive
• Beide Geräte sind gleichzeitig aktive
• Die Kommunikation muss definiert werden, um Asynchronität zu vermeiden
• Unterschiedliche Netze
• Policy Routing
• Etc.
• Wenn im Fehlerfall ein Gerät die gesamte Kommunikation übernehmen muss, müssen
diese sich gegenseitig überwachen und wenn nötig synchronisieren (Firewall Sessions)
12. Redundante Pfade ➔ Geroutete Redundanz
Netzwerk Redundanz
Nebst der Verwendung von Layer 2 Redundanzen, können redundante Pfade im Netzwerk auch geroutet
aufgebaut werden:
• Am einfachsten verwendet man ein dynamisches Routing Protokoll (OSPF/RIP)
• Mittels VPN- Tunnels kann auch ein Pfad durch das Internet realisiert werden (Mobilfunkanbindung)
• Einfache Kontrolle, welcher Pfad genommen wird (Routing Tabelle)
Internet
Zentrale Station
13. SCADA Server 1
Terminal Server
Basis: 7 Stationen und eine Leitwarte
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Keine
Redundante Pfade/L2 Redundanzen:
• Keine
14. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Layer 2 Ring, 2 Core Router
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante Anbindung der OT- Firewall an den FRNT-
Ring durch 2 Core Router in der Zentrale
Redundante Pfade/L2 Redundanzen:
• „ Verbindungen von der OT- Firewall zu den beiden Core
Router
• FRNT L2 Ringredundanz zur Anbindung der „Core“
Stationen
15. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante OT-Firewall inkl. Redundante Server
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante OT- Firewall
Redundante Pfade:
• Redundante, geroutete Pfade via OT- Firewall1 oder OT-
Firewall 2
➢ Aktive/Aktive Lösung
➢ Routing dynamisch via OSPF
➢ Routing muss über die „Kosten“ (Costs) sauber
konfiguriert werden
➢ Asynchrones Routing ist zu vermeiden (Firewall)
16. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante Rückführung der Netzwerkstiche über einen VPN- Tunnel
Beispiel Netzwerk Redundanz
Geräteredundanzen:
• Redundante OT- Firewall
Redundante Pfade:
• Über einem openVPN Tunnel wird von der letzten Station
im Stich eine Verbindung zur Zentrale hergestellt und
dadurch ein gerouteter „Ring“ geschaffen
➢ Routing erfolgt dynamisch via OSPF
➢ Höhere Kosten als über LWL
➢ Beide Richtungen müssen beachtet werden
➢ Der Netzwerk-Router (optional) oder der
Stationsrouter baut den Tunnel via dem
Mobilfunknetz auf
17. L2
FRNT
Ring
SCADA Server 1
Terminal Server
SCADA Server 2
Redundante VPN- Tunnel
Beispiel Netzwerk Redundanz
Zur nochmaligen Erhöhung der Redundanz kann ein Zweiter
VPN- Tunnel zur zweiten Leitwarte erstellt werden.
➢ Netzwerk- Redundanz bleibt erhalten, auch wenn eine
Leitwarte ausfällt
➢ Korrektes OSPF- Routing ist zu beachten
➢ Priorität 1 : Verbindung über LWL
➢ Priorität 2 : via SSL- Tunnel zu Zentrale 1
➢ Priorität 3 : via SSL- Tunnel zu Zentrale 2
➢ Das Stationsnetz kann somit auch ohne die LWL-
Anbindung in der Zentrale redundant angesprochen
werden
19. Virtual Router Redundancy Protocol
• VRRP ist Herstellerunabhängig
• Ermöglicht die Redundanz für einen Host, damit ein
zweiter Router das default Gateway übernehmen
kann
• Die Router teilen sich damit eine virtuelle MAC und
IP-Adresse
• Wenn der Master down geht, übernimmt der
Backup Router
Internet
Internal
Network
20. Wie funktioniert VRRP?
• VRRP erzeugt eine virtuelle Adresse zwischen den
beiden Routern
• Ein Router ist Master, der andere Backup
• Diese virtuelle Adresse wird von einem der beiden
Geräte übernommen (Master)
• RRP sendet periodisch Health Pakete zwischen den
Routern
Master Backup
Default Gateway: 192.168.2.1
Internet
.2 .3
.33 .79
192.168.2.0/24
.125
Virtual Router
Address:
192.168.2.1
23. Dymamisches Routing
• Distance Vector
• Die Kommunikation geht über die kürzeste
Distanz miteinander
• Link State Routing
• Die Kommunikation geht über die geringsten
Pfadkosten miteinander
Distance Vector vs Link State Routing
50
200
50 50
Distance Vector
Protocol
200
50
50 50
Link State
Protocol
25. Kommunikationsverbindungen & Pfade
• In gerouteten Netzen führen oft mehrere Pfade zum Ziel
• Dies ist als Redundanz oft auch so gewollt
• Asynchrone Routing muss vermieden werden, sobald SPI-Firewalls im Spiel sind
• Das Datenpaket kann in diesem Beispiel über 2 unterschiedliche Netze den «Ingress-Router» verlassen
• Das Datenpaket kann über 2 unterschiedliche Netze am «Egress-Router» ankommen
• Sind im Pfad noch weitere Firewall Policies definiert, vervielfachen sich die betroffenen Firewall Definitionen
exponentiell
26. SCADA Server 1
Terminal Server
L2
FRNT
Ring
Kommunikations-Beispiel
Kommunikationsverbindungen & Pfade
Terminalserver – Station 22:
1. OTF 1 - CR 11 - Station 21 - Station 22
2. OTF 1 - CR 12 - Station 21 - Station 22
3. OTF 1 – Station 24 - Station 23 - Station 22
4. OTF 1 – Station 13 - Station 12 - Station 11 - Station 21
– Station 22
Um hier die Übersicht zu behalten, empfiehlt sich die
Erstellung einer erweiterten «Kommunikation Matrix», in Form
einer Liste der Kommunikationen und aller möglicher Pfade,
die diese nehmen können / dürfen.
Station 22
Station 21 Station 23 Station 24
Station 11 Station 12 Station 13
CR 11 CR 12
OTF 1
38. Expand your skillset with
Westermo network training
• Learn with our experts
• Flexible online and in-person training
• Certified courses to network engineers wherever they are located
around the world
• Maximize the performance and reliability of your industrial
network
Westermo Academy
39. Y O U R PA R T N E R F O R M I S S I O N C R I T I C A L I N D U S T R I A L N E T W O R K S