Fehlertoleranter Routerzugang

Mit den steigenden Verfügbarkeits-Anforderungen bei gleichzeitig zunehmendem Einsatz von Layer-3-Switching muss das Problem eines fehlertoleranten Default-Router-Zugangs gelöst werden. Abhilfe versprechen das proprietäre HSRP von Cisco und das IETF-Standard-Pendant VRRP, das sich immer stärker etabliert.

Von: Dipl.-Inform. Petra Borowka

Was tut ein Endgerät, wenn sein Default-Router tot umgefallen ist? Es benötigt einen Ersatzpfad. Netzbetreiber können dieses Problem elegant lösen, indem (mindestens) zwei Router so zusammenarbeiten, dass sie für alle Endgeräte wie ein einziges, permanent verfügbares Gerät wirken. Fällt ein aktiver Default-Router aus, ist ein Backup-Router unter derselben IP- und MAC- Adresse ansprechbar wie der ausgefallene. Der aktivierte Backup-Router übernimmt automatisch den Datentransport, und das sehr schnell. Die Synchronisierung der beteiligten Router regelt VRRP.

Router-Redundanz-Protokolle werden unter anderem von den Herstellern Avaya, Cabletron, Cisco, 3Com, Extreme, Foundry und Nortel unterstützt. Die Vorreiterrolle hatte Cisco mit HSRP. VRRP ist seit 1998 standardisiert und etabliert sich zunehmend im Markt. Selbst Cisco beginnt seit 2002, VRRP zu implementieren. VRRP und HSRP ersetzen nicht die dynamischen Routing-Protokolle wie OSPF oder RIP. Diese werden nach wie vor parallel betrieben. Sowohl VRRP als auch HSRP setzen voraus, dass die IP-Adressen und Subnetz-Masken der beteiligten Router korrekt konfiguriert sind.

Die Abbildung oben verdeutlicht die unterschiedlichen Einsatzbereiche: VRRP wird zwischen den Endknoten und dem nächstgelegenen Router wirksam. Es sorgt dafür, dass Endsysteme wie Server, Clients oder Drucker immer einen Default-Router finden. OSPF dagegen steuert die Verbindungen zwischen den verschiedenen Layer-3-Systemen im Netzwerk.

VRRP (RFC 2338) spezifiziert einen Auswahlmechanismus, der dafür sorgt, dass von mehreren Routern genau einer für den Datentransport aktiviert wird. Die Gruppe von Routern, die gemeinsam eine Default-Router-IP-Adresse bedienen, heißt Virtueller Router (VR). Jeder VR hat genau einen Master. Das ist der Router, der für die betreffende Default-Router-IP-Adresse die höchste Priorität hat (1 Byte integer, Default: 100) oder der bei gleicher Priorität die höchste IP-Interface-Adresse hat. Aus Kontrollgründen ist eine Steuerung mithilfe des Prioritätswertes dem Prinzip "Höchste IP-Adresse" vorzuziehen.

Der Master eines VR muss die ARP-Anfragen zum IP/MAC-Address-Mapping der jeweiligen Endgeräte auf die IP-Adresse ihres Default-Routers beantworten. Die IP-Adresse, die die Endgeräte als Default-Router in ihrer Konfiguration vorfinden, muss demnach eine virtuelle IP-Adresse (VIP) sein, damit sie für mehrere physikalische Geräte genutzt werden kann. Die VIP ist entweder die tatsächliche Interface-IP-Adresse eines Routers oder eine rein logische Adresse, die nirgendwo als Interface-Adresse konfiguriert ist. Handelt es sich bei der VIP-Adresse um ein physikalisches Router-Interface, so ist dieser Router der so genannte IP Adress Owner und somit automatisch der Master für diese IP-Adresse, solange er aktiv ist. Er signalisiert dies, indem er seinen Prioritätswert für diese IP-Adresse auf den höchstmöglichen Wert 255 setzt.

Mit den ARP-Requests fragt der Sender die IP-Adresse des Empfängers nach ihrer MAC-Adresse und mappt dann sowohl MAC- als auch IP-Adresse in seinem ARP-Cache. Abgesehen vom ARP-Request senden die Endgeräte alle subnetzübergreifenden Datenpakete an die MAC-Adresse des Default-Routers. Diese muss also aus Sicht der Endgeräte ebenfalls immer gleich bleiben. Jeder VR hat eine eindeutige virtuelle MAC-Adresse mit der Kennung 00-00-5E-00-01-VRID, wobei 00-00-5E der IANA OUI ist, 00-01 der für VRRP zugewiesene Adressblock und VRID die 1-Byte-Kennung des VR. Damit Layer-2 Switches, die eventuell zwischen einen VR und ein Endgerät geschaltet sind, die MAC-Adresse im Fehlerfall schnell "umlernen", sendet der Master nach einer Umschaltung einige ARP-Requests mit der virtuellen MAC-Adresse als Quelladresse an die IP-Adresse des VR, also an sich selbst.

Damit die Backup-Router wissen, ob ihr Master noch lebt, sendet dieser in regelmäßigen Intervallen VRRP-Hello-Nachrichten (Advertisements). Die beteiligten Router benötigen daher permanent eine funktionierende und möglichst fehlertolerante Layer-2-Verbindung zueinander. Für eine schnelle Fehlerumschaltung ist das Advertisement-Intervall per Default auf den relativ kleinen Wert von einer Sekunde gesetzt. Bleiben mehrere Advertisements aus (Default: 3), werden die Backup-Router aktiv und handeln untereinander aus, welcher der nächste (beste) Master wird.

Fällt der aktuelle Master nicht komplett aus, sondern verliert lediglich wichtige Verbindungen in den Backbone, führt VRRP zu einer ineffizienten Kommunikation: Der Master ist weiterhin als Default-Router aktiv, da seine Interfaces zu den Endgeräten noch aktiv sind. Um die Datenpakete jedoch tatsächlich weiterzuleiten, muss er sie immer über einen Backup-Router umleiten oder ein "ICMP Redirect" an die Endgeräte senden, da er ja selbst keine Verbindung mehr zum Backbone hat. Für diesen Fall unterstützen einige Hersteller wie Cisco (für HSRP), Extreme oder Nortel die Funktion "Critical Interface". Sie setzt bei einem Ausfall bestimmter Interfaces die VRRP-Priorität herunter, sodass automatisch ein anderer, günstigerer Router zum VRRP-Master wird.

VRRP wird noch nicht von allen Herstellern mit voller Funktionalität unterstützt (siehe Ticker oben rechts). Hinzu kommt, dass - wie bei IT-Systemen üblich - Konfigurationsfehler zu Ärger führen können.