Active/Active Remote Access bietet die Möglichkeit, mehrere VPN-Gateways gleichzeitig zu betreiben, um Last zu verteilen, Redundanz zu gewährleisten und Failover-Zeiten zu minimieren. Diese Architektur erhöht die Verfügbarkeit für Remote-User und unterstützt hohe Concurrent-User-Zahlen. Allerdings erfordert sie sorgfältige Planung von Load Balancing, Session Stickiness und Failover-Mechanismen, um eine konsistente User Experience und Sicherheit zu gewährleisten. Dieses Tutorial vermittelt praxisnah, wie Active/Active Remote Access implementiert und optimiert werden kann.
Grundlagen von Active/Active Remote Access
In einem Active/Active Setup sind mehrere VPN-Gateways gleichzeitig aktiv. Der Traffic wird zwischen den Gateways verteilt, wodurch sowohl die Last verteilt als auch Redundanz geschaffen wird.
Vorteile
- Hohe Verfügbarkeit und Redundanz
- Effiziente Nutzung der Ressourcen durch Load Balancing
- Reduzierung von Session-Aufbauzeiten bei Peak-Last
- Minimierung von Single-Point-of-Failure
Load Balancing Strategien
Das Verteilen von Remote-Access-Traffic erfordert geeignete Load Balancing Mechanismen, um eine gleichmäßige Auslastung der Gateways zu gewährleisten.
Typische Load Balancing Methoden
- Round-Robin: Gleichmäßige Verteilung der Verbindungen auf alle Gateways
- Least-Connections: Neue Sessions werden auf das Gateway mit den wenigsten aktiven Verbindungen geleitet
- Source-IP Hashing: Gleiche IPs werden stets demselben Gateway zugeordnet
- Weighted Distribution: Gateways mit höherer Kapazität erhalten mehr Verbindungen
Beispiel Cisco ASA Load Balancing Konfiguration
group-policy RemoteUsers attributes
load-balancing round-robin
vpn-load-balancing enable
vpn-load-balancing group RemoteGroup
member 10.10.10.1
member 10.10.10.2 weight 2
Session Stickiness (Persistence)
Session Stickiness stellt sicher, dass ein Benutzer während der gesamten Session am gleichen Gateway bleibt. Dies ist insbesondere für Stateful Sessions und VPN-Verbindungen entscheidend.
Stickiness-Methoden
- Source IP-Based: Verbindungen von derselben Client-IP bleiben am gleichen Gateway
- Session ID-Based: Persistenz über die VPN-Session-ID
- Cookie-Based: Bei Webportalen kann ein Cookie die Stickiness definieren
Beispiel Stickiness Konfiguration
vpn-load-balancing sticky source-ip
sticky-timeout 3600
Failover im Active/Active Setup
Auch bei Active/Active Gateways muss Failover berücksichtigt werden. Ein Gateway kann ausfallen, und die Sessions müssen ohne Unterbrechung auf andere Gateways übertragen werden.
Stateful Failover
- Synchronisation von Session Tables zwischen Gateways
- Erhalt laufender VPN-Verbindungen beim Ausfall eines Gateways
- Heartbeat-Links zur Erkennung von Gateway-Ausfällen
- Automatische Umschaltung ohne User-Interaktion
Beispiel Stateful Failover Konfiguration
failover
failover lan unit primary
failover lan interface HA_LINK GigabitEthernet0/2
failover link HA_SYNC GigabitEthernet0/3
failover replication vpn
Monitoring und Performance
Die Überwachung der Active/Active-Umgebung ist entscheidend, um Lastverteilung, Session-Persistenz und Failover-Mechanismen zu überprüfen.
Wichtige Metriken
- Concurrent Users pro Gateway
- Verteilung der Sessions auf Gateways
- Abgebrochene Sessions oder Verbindungsfehler
- CPU- und Speicherlast der Gateways
- Session Table Auslastung und NAT-Port-Verfügbarkeit
Beispiel CLI Monitoring
show vpn-sessiondb summary
show vpn-sessiondb detail
show vpn load-balancing
show conn count
show cpu usage
IP-Adressierung und Subnetzplanung
Eine klare IP-Adressierung unterstützt Load Balancing und Session Stickiness. Gateways sollten in dedizierten Subnetzen für Remote-Access-Clients und Management betrieben werden.
Beispiel Subnetzplanung
Remote VPN Clients: 10.10.10.0/24
Gateway 1: 10.10.10.1
Gateway 2: 10.10.10.2
Corporate Resources: 10.20.0.0/24
Management: 10.30.10.0/24
Subnetzberechnung für Concurrent Users
Beispiel: 300 gleichzeitige Remote VPN-User, 2 Gateways
Hosts = 300 / 2 = 150 pro Gateway,
BenötigteIPs = 150 + 2 = 152
2^n ge 152
n = 8 → 256 IPs (/24) pro Gateway
Best Practices Active/Active Remote Access
- Lastverteilung über Round-Robin, Least-Connections oder Weighted Distribution
- Session Stickiness implementieren, um Stateful Sessions zu erhalten
- Stateful Failover zur Sicherstellung von Session-Kontinuität
- Kontinuierliches Monitoring von Load, Sessions und Gateway-Ressourcen
- Redundante Heartbeat- und Sync-Links für Failover
- Subnetzplanung zur Unterstützung von Load Balancing und IP-Zuweisung
- Integration in SIEM für zentralisierte Analyse und Alerting
- Regelmäßige Tests von Load Balancing, Stickiness und Failover-Szenarien
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.