Die Idee für diesen Blog habe ich von einem Leser und geschätzten Fachmann, der aber nicht namentlich genannt werden möchte. Ich danke ihm für seine Anregung.
Der Internetanschluss jeder Organisation hat seit dem Ausbruch der Pandemie an Bedeutung gewonnen. Diese Bedeutung wird noch weiter zunehmen. Umso wichtiger ist es, die Übertragungskapazität der Internetleitungen optimal zu nutzen.
Hierbei muss man zwischen ausgehendem und eingehendem Verkehr unterscheiden:
- Eingehender Verkehr: Der redundante Anschluss an das Internet kann zum Beispiel derart gestaltet sein, dass das Unternehmen ein eigenes Autonomous System (AS) im Sinne des Border Gateway Protocol (BGP) nutzt. Dieses AS ist im weltweiten Internet erreichbar. Redundante BGP-Routen zu diesem AS werden im Internet propagiert. Die Auswahl der Route verteilt sich für den eingehenden Verkehr gemäß den BGP-Algorithmen. Das ergibt nicht immer eine gutes Loadbalancing, aber immerhin eine Lastverteilung und Redundanz. Alternativ kann man zwei Internetanschlüsse unabhängig voneinander betreiben. In diesem Fall können verschiedene Anwendungen unterschiedliche Leitungen nutzen. Zum Beispiel kann der Zugriff auf AWS die Leitung A als Hauptweg und die Leitung B als Backup nutzen, während es beim Zugriff auf Office 365 umgekehrt ist. So wird auch der eingehende Verkehr verteilt.
- Ausgehender Verkehr: Wie beim eingehenden Verkehr erwähnt, können verschiedene Anwendungen unterschiedliche Leitungen nutzen. Alternativ kann man das Routing der ausgehenden Pakete unabhängig von den Anwendungen steuern. Redundanzmechanismen für Internet-Routen basieren häufig auf einem First Hop Routing Protocol (FHRP), zum Beispiel dem Virtual Router Redundancy Protocol (VRRP) oder dem Cisco-spezifischen Hot Standby Routing Protocol (HSRP). Wenn aus dem internen Netz aus (zum Beispiel durch die äußeren Firewalls) immer nur dieselbe FHRP-Adresse als Next Hop auf dem Weg zum Internet genutzt wird, wird häufig nur ein Router angesprochen und eine der Internetleitungen genutzt. Mittlerweile unterstützen aber auch viele Firewalls Policy-Based Routing (PBR). Auf den Internet-Routern können zwei verschiedene FHRP-Adressen konfiguriert werden. Adresse 1 kann auf Router A aktiv und auf Router B im Stand-by-Modus sein, Adresse 2 umgekehrt. Die PBR-Instanz, zum Beispiel die äußere Firewall, kann Regeln für die Verteilung des ausgehenden Verkehrs in Richtung Internet anwenden, auf Basis von Adressbereichen, Protokollen, Ports etc.
Bei immer mehr Homeoffice- und Cloud-Nutzung ist die Routing-Optimierung für die Internetkommunikation möglicherweise dringend nötig.