Was sich auf den ersten Blick vielleicht nicht so anhört ist aber ein großer Beitrag im Kampf gegen die immer mehr um sich greifende Komplexität in den IT Umgebungen. Bei verteilten Standorten oder Routinginstanzen mit Backupverbindungen eine Lösung auf statischen Routen aufzubauen ist eine (fast) unlösbare Aufgabe. Daher ist der Einsatz von dynamischen Protokollen die einzige Option um hier gegenzusteuern.
Bei diesem Thema hört man desweilen das Argument, dass dynamischen Routing auf einer Firewall nichts zu suchen hat und es sicherheitstechnisch bedenklich sei. Dieses Argument gehört wohl doch eher zu den Mythen in der IT, wie zum Beispiel, dass man zum Versenden von Mails auch einen MX Record auf dem System zum Versenden benötigt. Das ganze Internet basiert auf dynamischen Routing. Genauer gesagt auf dem Protokoll BGP und es funktioniert mit an Sicherheit grenzender Wahrscheinlichkeit wohl zuverlässiger als wenn die Routen bei allen Routinginstanzen im Internet mit der Hand gepflegt werden müssten. Dass die ganz großen Betreiber von Datacentern nach alternativen zu BGP suchen, ist kein Geheimnis. Auch große Carrier denken über effizientere Systeme nach. Aber dies alles wird auf absehbare Zeit kein Unternehmen berühren, welches nicht im Bereich Telco, Carrier oder Google, Facebook AWS & Co. ist. Daher dürften also bei den anderen Unternehmen die aller meisten nie in die Verlegenheit kommen, die Grenzen aktueller Protokolle wie zum Beispiel BGP zu erreichen und das Protokoll dann eine Limitierung darstellt. Wie Zuverlässig die dynamischen Protokolle sind, zeigt nicht nur deren Einsatz im Internet selbst, sondern auch der Einsatz in den Unternehmen die schon seit Jahren auf dynamische Routing setzen. Auch unsere Erfahrung mit dynamischen Protokollen seit weit mehr als zehn Jahren zeigt das gleiche Bild; diese funktionieren stabil und zuverlässig.
Natürlich gab es in den ganzen Jahren der Nutzung auch einen Wandel bei den verwendeten Protokollen. Die Anfänge gehörten natürlich den Klassikern wie EIGRP. In reinen Cisco Umgebung wie wir sie damals nutzen, kam häufig das proprietäre Cisco Protokoll zum Einsatz. Als Router waren es die Modelle ab der 3600’er Serie. Wie der Name schon sagt ist das Enhanced Interior Gateway Routing Protokoll ein lokales Protokoll innerhalb einer Struktur. Die Kommunikation mit der Außenwelt erfolgt über ein Exterior Gateway Protokoll. Derzeit existiert quasi als einziges Protokoll für diesen Zweck nur noch BGP.
Als internes Protokoll nach EIGRP war über viele Jahre OSPF der erfolgreiche Nachfolger der EIGRP Lösung, da auch andere Hersteller zum Einsatz kamen die EIGRP nicht nutzen. Klassisch auch war die Aufteilung mit internen Systemen OSPF “zu sprechen” und bei extern Partnern BGP zu nutzen. Hier findet derzeit ein Wandel statt. OSPF ist immer mehr auf dem Rückzug und BGP nimmt dessen Platz ein. Die hat mehrere Gründe: Aus administrativer Sicht muss man sich nicht mehr mit mindestens zwei Protokollen beschäftigen und KnowHow aufbauen. Zudem wird durch das immer mehr Aufkommen von IPv6 auch OSPFv3 benötigt. Es bringt nicht nur die Erweiterung von IPv6, sondern auch noch ein Änderungen zu OSPFv2 mit sich. Auch mit OSPFv3 bleibt es bei zwei Protokollen auf den Routern die benötigt werden. Dies ist mit ein Grund warum OSPF zugunsten von BGP ausgetauscht wird. Mit BGP gibt es ebenfalls eine Unterscheidung zwischen externen und internen Routing, hier spricht man von iBGP und von eBGP. Dabei steht “i” für internal und “e” für external. BGP wird so zu sagen in Gruppen von autonomen Systemen organisiert, kurz AS. Das Routing innerhalb einer AS ist iBGP und das Routing mit einer externen AS eBGP. Nimmt man am internationalen Routing teil, so bekommt man eine eigene öffentliche AS, über die die eigenen öffentlichen IPv4 und IPv6 Adressen der Organisation zu erreichen sind. Dazu gehören aber noch ein paar mehr Rahmenbedingungen, auf die hier im Beitrag nicht weiter eingegangen werden soll, weil diese den Rahmen völlig sprengen würden. Es gibt neben den offiziellen AS auch private AS, die dann intern analog zu rfc-Adressen genutzt werden können. Dies ist aber auch nur für diejenigen ein Thema die am öffentlichen Routing teilnehmen, für alle anderen ist es ausreichend sich eine AS Struktur zu erarbeiten und diese dann entsprechend zu nutzen.
Warum braucht es aber dynamisches Routing im Unternehmen? Die Zeiten des klassischen Nord-Süd Traffics sind durch die zunehmende Anzahl an Servern (VM’s), Services, Microservices und vor allem Containern immer mehr vorbei. In den Datacentern findet zunehmend mehr Ost-West Traffic statt, der sich ab einer bestimmten Anzahl an Hosts nur noch sehr schwierig in Layer-2 Domains bewältigen lässt. Dazu kommt noch die Tatsache, dass in den Unternehmen auch zunehmend dezentrale Routing-Instanzen gibt und Niederlassungen mit in das Gesamtgebilde „Routing“ mit aufgenommen werden müssen.
Schon bei wenigen Niederlassungen mit einer 1:n Beziehung müssen bei allen Änderungen am Zentralstandort die Routen in den Niederlassungen gepflegt werden. Durch den Einsatz eines dynamischen Routing Protokolls entfällt diese Aufgabe und es gibt keine Fehler bei der Konfiguration der neuen Routen. Zudem lassen sich durch die Dynamik im Routing auf einfache Weise Zweitwege schaffen, die dann dynamisch bei Ausfall der primären Verbindung genutzt werden. Ist die primäre Verbindung wieder da, schwenk das Routing zurück, vor allem ohne, dass es einen Eingriff durch den Administrator gibt. Bei Rechenzentren ab einer bestimmten Größe und somit Anzahl der Hosts sind Layer-2 Domains in dem sich die Server befinden keine Option mehr. Hier beginnt das Routing schon auf dem jeweiligen Host, der mit seinem Top of Rack Switch Routen austauscht. Dieses komplett dynamische Gebilde sorgt dafür, dass die Wege im Ost-West Traffic kurz bleiben, es redundante Pfade jenseits von LAG und Spanning Tree gibt und gleichzeitig die gleiche Dynamik im Nord-Süd Traffic genutzt werden kann um auch hier mehrere (ebenfalls dynamisch) Pfade zum Rest der Welt nutzen können. Die Nutzung von dynamischen Routing beginnt schon sehr früh und bei kleinen Umgebungen. In größeren Umgebungen ist diese so zu sagen alternativlos.
Bei Fragen zum Thema stehen wir wie immer gerne zur Verfügung.