« Zurück 1 2

Aus ADMIN 05/2011
Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Firewall

Den letzten Außenposten eines Unternehmensnetzwerks bildet die Firewall. Auch sie kann einzeln oder im Verbund verwendet werden, allerdings gibt es hier keine Out-of-the-Box Lösungen, die nach wenigen Minuten funktionieren. Das liegt weniger an der weit höheren Komplexität von Firewalls, die wesentlich mehr Funktionen abdecken als Switches. Eine einzelne Linux-Firewall mit IP-Tables / Netfilter kann wie zu Beginn des Artikels mit einem Server und ausreichender Anzahl Netzwerkkarten leicht realisiert werden. Allerdings ist in diesem Fall die Firewall-Hardware und damit der Firewall-Dienst nicht redundant.

Eine einfache Lösung für höhere Verfügbarkeit wäre ein zweiter Standby-Server, der über Remotemanagement (zum Beispiel iDRAC, iLO, IMM) in Betrieb genommen werden kann. Der Nachteil einer spürbaren Downtime liegt bei dieser Lösung auf der Hand. Diese einfache Lösung bietet allerdings den Vorteil, dass man sich nicht um die komplexe Konfiguration eines ausgewachsenen Clusters kümmern muss.

Alternativ gibt es in der Open-Source-Welt mit Carp vom OpenBSD-Projekt seit Jahren eine Lösung, die in Kombination mit »pfsync« eine hochverfügbare Firewall realisiert (siehe [4]). Carp wurde auch auf Linux portiert, sodass nicht zwingend OpenBSD zum Einsatz kommen muss. Anbieter hochwertiger kommerzieller Firewalls bieten derartige Hochverfügbarkeitsfunktionen natürlich ebenfalls.

An dieser Stelle stellt sich fast zwangsläufig die Frage nach einer redundanten Internetanbindung, da sich ein einzelnes "Internetkabel" nicht an zwei Firewalls anschließen lässt, es sei denn, es kommt wieder ein Switch vor den Firewalls zum Einsatz. Der Provider müsste also zwei Kabel zum Kunden bereitstellen, die im Idealfall über verschiedene Wege zum Peering Point des Providers führen.

Fazit

Hohe Verfügbarkeit im lokalen Netzwerk muss nicht aufwendig oder kompliziert sein. Für hochverfügbares Internet muss der Provider entsprechende Angebote haben. Open-Source-Betriebssysteme bringen alle benötigten Features für den LAN- und WAN-Bereich mit. Wer bisher Spanning Tree & Co im LAN gemieden hat, der kann mit Stacks sehr einfach die Verfügbarkeit erhöhen, ohne Gefahr zu laufen, durch Fehlkonfigurationen letztendlich die Verfügbarkeit sogar zu verringern. (ofr)

Infos

  1. Bonding-Howto: http://www.linuxfoundation.org/collaborate/workgroups/networking/bonding
  2. Linux Bonded Network Monitoring with Nagios: http://folk.uio.no/trondham/software/check_linux_bonding.html
  3. Status-Check für Cisco 3750: http://exchange.nagios.org/directory/Plugins/Hardware/Network-Gear/Cisco/Check-cisco-3750-stack-status/details
  4. Stephan A. Rickauer, HA-fähige Firewall mit OpenBSD/PF, Linux-Magazin 12/2005, http://www.linux-magazin.de/Heft-Abo/Ausgaben/2005/12/Wehrhaft-abtauchen

« Zurück 1 2

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Virtuelle Switche mit Open vSwitch

Open vSwitch implementiert in Software einen Netzwerk-Switch, der die meisten im Rechenzentrum nützlichen Funktionen bereitstellt. Damit lassen sich virtuelle Maschinen ohne großen Aufwand zu virtuellen Netzen verschalten. Für komplexe Anwendungen von Software-defined Network-ing unterstützt die Software auch das OpenFlow-Protokoll.

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing