Beschreibung:
Die Administrative Distanz dient dazu, mehrere gleiche statische Routen zu unterschiedlichen Gegenstellen einzurichten. Beide Routen sind dabei dauerhaft aktiv. Dadurch können einfache Backup-Szenarien realisiert werden.
Die Administrative Distanz verwendet Werte zwischen 0 und 255. Die Werte 0 und 255 haben dabei jeweils eine spezielle Funktion:
- Bei Verwendung des Wertes 0 wird die Metrik anhand von definierten Standard-Werten vergeben. Der Wert 0 sollte daher nicht hinterlegt werden.
- Der Wert 255 beschreibt den Zustand, wenn eine Verbindung nicht besteht (Interface down). Dieser darf also nicht für eine Verbindung ausgewählt werden.
Die Route mit der geringsten Administrativen Distanz ist aktiv. Fällt diese Verbindung aus, wird die Route vom Betriebssystem auf den Wert 255 gesetzt (Interface Down) und der Routing-Eintrag mit der jetzt niedrigsten Administrativen Distanz wird aktiv.
Die Verwendung der Administrativen Distanz und der Backup-Tabelle schließen sich gegenseitig aus
Voraussetzungen:
- LCOS ab Version 10.40 (download aktuelle Version)
- LANtools ab Version 10.40 (download aktuelle Version)
Szenario:
1. Es werden zwei Internet-Verbindungen zwecks redundantem Betrieb verwendet:
- Die Verbindung INTERNET und INTERNET2 sind bereits eingerichtet und funktionsfähig.
- Die Verbindung INTERNET2 soll als Backup für INTERNET1 dienen.
2. An einem entfernten Standort ohne physische Zugriffsmöglichkeit soll ein Wechsel von einer IKEv1 Verbindung auf eine IKEv2 Verbindung erfolgen:
- Eine IKEv1-Verbindung ist bereits eingerichtet und funktionsfähig.
- Es soll eine Migration auf IKEv2 erfolgen. Die IKEv2-Verbindung wird daher parellel eingerichtet.
Vorgehensweise:
1. Es werden zwei Internet-Verbindungen zwecks redundantem Betrieb verwendet:
Bei Verwendung einer Plain-Ethernet Verbindung muss zusätzlich ein ICMP-Polling eingerichtet werden, damit der Leitungsausfall vom Router erkannt wird.
1.1 Öffnen Sie die Konfiguration in LANconfig und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
1.2 Markieren Sie die Haupt-Verbindung (INTERNET) und klicken auf Bearbeiten.
1.3 Tragen Sie einen Wert für die Administrative Distanz ein (in diesem Beispiel der Wert 5).
1.4 Markieren Sie die Backup-Verbindung (INTERNET2) und klicken auf Bearbeiten.
1.5 Passen Sie die folgenden Parameter an:
- Routing-Tag: Setzen Sie das Routing-Tag auf den gleichen Wert wie die Haupt-Verbindung (in diesem Beispiel das Tag 0).
- Administrative Distanz: Vergeben Sie als Administrative Distanz einen höheren Wert als für die Haupt-Verbindung (in diesem Beispiel der Wert 10).
1.6 Die angepassten Routing-Einträge müssen anschließend wie folgt aussehen.
1.7 Die Konfiguration des Backup-Szenarios ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
2. An einem entfernten Standort ohne Zugriffsmöglichkeit soll ein Wechsel von einer IKEv1 Verbindung auf eine IKEv2 Verbindung erfolgen:
Es besteht die Möglichkeit mithilfe der Administrativen Distanz eine IKEv2-Verbindung parallel zu einer vorhandenen IKEv2-Verbindung einzurichten. Nach Aufbau der IKEv2-Verbindung wird diese aufgrund des niedrigeren Wertes aktiv und kann verwendet werden. Sollte die IKEv2-Verbindung nicht aufgebaut werden können, so bleibt die IKEv1-Verbindung aktiv. Dadurch ist ein Zugriff über die VPN-Verbindung dauerhaft gewährleistet, ohne dass ein Vor-Ort Termin erforderlich ist.
Diese Vorgehensweise ist nur dann sinnvoll, wenn eine Migration von einer IKEv1 auf eine IKEv2 Verbindung erfolgen soll, aber keine Zugriffsmöglichkeit auf den entfernten Router besteht (aus dem lokalen Netzwerk oder aus dem Internet).
Bei bestehender Zugriffsmöglichkeit kann die IKEv1-Verbindung über den Setup-Assistent Gegenstelle oder Zugang löschen gelöscht und über den Setup-Assistent Zwei lokale Netze verbinden (VPN) neu eingerichtet werden.
2.1 Vorbereitende Schritte auf dem Router in der Außenstelle (FILIALE):
2.1.1 Öffnen Sie die Konfiguration der Außenstelle in LANconfig und wechseln in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.1.2 Markieren Sie die den Routing-Eintrag der VPN-Verbindung (in diesem Beispiel ZENTRALE) und klicken auf Bearbeiten.
2.1.3 Hinterlegen Sie einen Wert für die Administrative Distanz (in diesem Beispiel der Wert 10).
2.2 Konfiguration der IKEv2-Verbindung:
2.2.1 Richten Sie manuell eine IKEv2-Verbindung auf beiden Routern ein. Der Name der VPN-Verbindung muss dabei abweichend von dem Namen der IKEv1-Verbindung gewählt werden, da der Name eindeutig sein muss.
Die Konfiguration der Außenstelle darf noch nicht zurückgeschrieben werden!
2.2.2 In Schritt 2.10 muss bei Router die IKEv2-Verbindung ausgewählt und zusätzlich ein Wert für die Administrative Distanz hinterlegt werden. Dieser muss niedriger sein als der Wert für die bestehende IKEv1-Verbindung (in diesem Beispiel der Wert 5).
2.2.3 Die Konfiguration der Außenstelle ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.