Failover-Strategien: Hochverfügbarkeit von Filialnetzen

Ein Artikel von Jan Willeke, Area Director Central Europe bei Cradlepoint | 29.12.2021 - 09:14

Moderne 4G-LTE- und 5G-Technologien sind im SD-WAN-Orchester eine essenzielle Ergänzung zu herkömmlichen kabelgebundenen Verbindungen - und mancherorts die Anbindung der ersten Wahl, beispielsweise wenn es auf die Nonstop-Verfügbarkeit von Netzen am Netzwerkrand ankommt. 

Insbesondere bei diesen Netzen, etwa Netzwerken von Unternehmensniederlassungen oder Filialen, gibt es einige Spezifika zu beachten. Denn eine kleine Gruppe von Risikopunkten ist für die meisten Netzwerkprobleme in Filialnetzwerken verantwortlich. Aus den sechs häufigsten Hürden sind im Folgenden sechs Failover-Strategien abgeleitet. 

1. Verbindungsvielfalt am Edge

WAN-Verbindungen zu Filialen und Zweigstellen basierten meist auf nur einer oder zwei Leitungen von einem Internet Service Provider (ISP), die sich mehrere Verbraucher teilen. Diese Verbindung zum Unternehmensnetzwerk und zur Cloud ist anfällig, denn sie kann auf vielfältige Weise unterbrochen werden, etwa durch Wetterereignisse oder unsachgemäße Baumaßnahmen.

Verbindungen wie 4G LTE und 5G der Gigabit-Klasse sind daher eine wertvolle Ergänzung: Sie sind flexibler und schneller einzurichten als kabelgebundene Leitungen. Mithilfe von Wireless-Verbindungen erzeugen spezielle für den Unternehmenseinsatz gebaute Drahtlos-Router im Fall eines Netzausfalls ein Failover bei voller Verkehrslast. Außerdem überwachen und verwalten Netzwerkverantwortliche über Wireless-Verbindungen den Router  und andere Geräte in der Zweigstelle aus der Ferne und beheben Fehler. Eine weitere Option ist das Hinzufügen einer Wireless-Verbindung über spezielle Adapter zu einem vorhandenen Router, indem auf dessen SD-WAN- und Failover-Funktionalität zurückgegriffen wird. 

2. Duale Carrier-Konnektivität

Die Abhängigkeit von nur einem Mobilfunkanbieter oder Internet-Provider ist ein Risikopunkt für den unterbrechungsfreien Betrieb einer Zweigstelle. Netzwerküberlastungen, Routing- und DNS-Probleme sowie Ausfälle des Netzwerk-Cores sind nur einige der möglichen Vorfälle, die den Geschäftsbetrieb stören können. 

In Wireless-WAN-Architekturen sollten deshalb mindestens zwei Verbindungen von unterschiedlichen Mobilfunkbetreibern genutzt werden. Durch die voneinander getrennten Mobilfunkinfrastrukturen ist es sehr unwahrscheinlich, dass beide Netze zur gleichen Zeit nicht verfügbar sind. 

Für diese Carrier-Redundanz benötigen Unternehmen LTE- oder 5G-Router, die mindestens zwei Modems oder die Erweiterung um SIM-Karten ermöglichen. Mithilfe entsprechender Software und Cloud-Diensten verwalten Verantwortliche SD-WAN-Funktionen und definieren intelligente Routing-Richtlinien. Sie können zum Beispiel für den Failover-Fall definieren, welche der beiden Verbindungen als Primär- und Backup-Links fungieren. Für zusätzliche Kapazitäten in Spitzenzeiten lassen sich beide Verbindungen bündeln. 

3. Hardware-Redundanz

Redundante oder gespiegelte Router sind ein wirksamer Schutz gegen Ausfallzeiten, etwa durch Wartung oder Störungen. Je nach Konfiguration überwachen sich Router gegenseitig und garantieren sich ein automatisches Failover, wenn der primäre Router oder die WAN-Verbindung ausfällt. Eine Problembehebung kann je nach SLAs bis zum Eintreffen eines Wartungsteams am Edge immerhin Stunden, wenn nicht sogar Tage dauern. 

Updates, Konfigurationsänderungen und andere periodische Wartungsarbeiten können auf Basis der Hardware-Redundanz in einem SD-WAN-Szenario sicher durchgeführt werden, ohne die geschäftskritische Kommunikation zu gefährden. Moderne Zweigstellenendgeräte verwenden dafür das Virtual Router Redundancy Protocol (VRRP) zur Konfiguration und Koordinierung des Failovers. Die Router werden dabei direkt über Kabel oder einen Ethernet-Switch verbunden, teilen sich eine virtuelle Gateway-Adresse und eine DHCP-Tabelle, und agieren so für andere Geräte im Netzwerk wie ein Router.

Während des Failover-Zustands überprüft der ehemalige primäre Router fortlaufend seine WAN-Verbindung und signalisiert dem Backup-Router, wenn es Zeit ist, wieder umzuschalten.

4. Sichere Verbindung über VPN-Tunnel

Mehrere direkte Internetverbindungen über VPN-Tunnel zu verschiedenen Eingangsgeräten sind eine Lösung für eine unterbrechungsfreie Kommunikation zwischen Filiale und der Zentrale. So genannte dynamische Mehrpunkt-Virtual-Private-Network-Tunnel (DMVPN) können dabei von jeder Zweigstelle zu redundanten Geräten (auch: Kopfstellen) konfiguriert werden. 

Jeder Tunnel wird unabhängig über das Internet geroutet, der Datenverkehr von der Zweigstelle dynamisch über die jeweils effektivste Verbindung geleitet. Wenn Netzwerk- oder Hardware-Probleme einen Tunnel unterbrechen, wird der Datenverkehr einfach über den alternativen Pfad gesendet. Diese Tunnel können auch über verschiedene WAN-Verbindungen, Netzbetreiber und Router hinweg eingerichtet werden, um zusätzliche Redundanz zu schaffen.

5. Verkehrsspitzen abfedern

Die zunehmende Nutzung von Videos, Filesharing-Apps, Software-Aktualisierungen und die steigende Anzahl verbundener Geräte tragen häufig zu Verkehrsspitzen und Netzwerküberlastungen bei – und damit effektiv zu Betriebseinschränkungen und -ausfällen. Eine Backup-Verbindung auf Basis von Mobilfunk bringt hier eine verlässliche Ergänzung und Entlastung.

Router mit SD-WAN-Funktionalität sorgen dafür, den Datenverkehr per Load Balancing dynamisch auf den besten verfügbaren Pfad zu verteilen. Wenn die Datenspitze abgebaut ist, wird die Wireless-Verbindung automatisch wieder getrennt. Dies erfolgt automatisch und unsichtbar im Hintergrund, sodass die Mitarbeitenden in der Zweigstelle oder der Filiale ohne Unterbrechung weiterarbeiten können. 

6. Remote-Management im Normal- und Notfall

Wireless-Verbindungen über Mobilfunk bieten für Niederlassungen auch eine alternative Netzwerkverbindung, wenn das Endpunktgerät über primäre Verbindungen nicht erreichbar ist. Für den Einsatz am Netzwerk-Edge konfigurierte Router verfügen über so genannte Out-of-Band-Management-Funktionen. Dabei greifen Netzwerkverantwortliche über eine dedizierte Wireless-Verbindung aus der Ferne auf das Gerät zu, sodass Probleme diagnostiziert und behoben werden können, ohne dass ein Einsatz vor Ort notwendig wird. 

Und auch im Normalfall nutzen Administratoren In-Band-Management-Funktionen, um auf das Zweigstellen-LAN und alle anderen wichtigen betrieblichen Geräte im lokalen Netzwerk zuzugreifen.

Know-how von SD-WAN-Spezialisten

Die Netzwerkverfügbarkeit ist für Unternehmen, speziell solche, die ihr Geschäft auf Cloud-basierte Infrastrukturen stützen, von steigender Bedeutung. Wireless-WAN- und insbesondere SD-WAN-Verbindungen werden dabei immer wichtiger für die Geschäftskontinuität. Sie lassen Unternehmen über die architektonischen Beschränkungen von kabelgebundenen Netzwerken hinauswachsen, bewirken eine größere Vielfalt und Flexibilität für das Unternehmensnetz und erhöhen nicht zuletzt die Ausfallsicherheit am Netzwerkrand. 

Am Netzwerk-Edge gibt es eine Reihe von speziellen Stolpersteinen zu beachten, die die Qualität der Anbindung stören können. Unternehmen sollten auf sechs Punkte achten: eine ausreichende Anzahl von Netzwerkverbindungen, insbesondere Wireless-Links, Redundanz in puncto Mobilfunk-Carrier und im Hinblick auf Router-Hardware, die Führung kritischen Datenverkehrs über VPN-Verbindungen, die Nutzung einer SD-WAN-Lösung, um beispielsweise Verkehrsspitzen abfedern zu können sowie Out-of-Band-Funktionen, falls die Netzwerkverbindung in die Filiale oder Zweigstelle ausfällt.  

Ein Aspekt bei der Implementierung einer erfolgreichen SD-WAN-Strategie beginnt bei der Wahl einer adäquaten Lösung in Zusammenarbeit mit kompetenten Partnern und Anbietern. Diese müssen nicht immer von den Netzwerk-Generalisten stammen. Individuelle Modul-Lösungen von SD-WAN-Spezialisten, die sich auf die Konnektivität am Netzwerk-Edge konzentrieren, können oftmals die bedarfsgerechtere Alternative sein.