Das PLUTEX Kern­netz — Teil 0: Übersicht

Wie sich das PLUTEX-Kern­netz sich ent­wi­ckelt hat und wel­che Lösun­gen wir inzwi­schen erar­bei­tet haben.

Zu Beginn der Fir­men­ge­schichte von PLUTEX bestand das Netz­werk fast aus­schließ­lich aus Kom­po­nen­ten von Cisco. Als die Ansprü­che und Vor­stel­lun­gen wuch­sen wurde jedoch klar, dass die dafür nöti­gen Geräte bei wei­tem jedes Bud­get spren­gen würden.

Wäh­rend wir also inzwi­schen im Layer 2 einen bun­ten Mix an Swit­chen ver­schie­de­ner Her­stel­ler (Mikro­Tik, Ubi­quiti und noch immer Cisco) im Rechen­zen­trum ein­set­zen, bil­det unser selbst ent­wi­ckel­tes “Ker­ne­r­ou­ter-Clus­ter” das Kern­stück unse­res Netz­werks. Hier­bei ist “Rou­ter” eigent­lich zu tief gesta­pelt, denn diese red­un­dan­ten Linux-Ser­ver sind eigent­lich Sta­teful Fire­walls. Diese ver­bin­den die diver­sen VLANs der ein­zel­nen Kun­den und Ser­ver unter­ein­an­der und mit unse­ren eBGP-Routern.

In der ers­ten Gene­ra­tion basier­ten die Ser­ver auf VyOS und löste einige nicht red­un­dant aus­ge­legte Mikro­Tik CCR ab. Wäh­rend es natür­lich prak­tisch sein kann, die gesamte Kon­fi­gu­ra­tion auf ein­mal zu erfas­sen, sichern und ver­glei­chen, wurde die Kon­fi­gu­ra­tion mit stei­gen­der Anzahl der Regeln und Inter­faces immer unhand­li­cher und jede Ände­rung daran auch immer rechen­in­ten­si­ver. Außer­dem stie­ßen wir immer wie­der auf Fea­tures, die die von VyOS ver­wen­dete Soft­ware eigent­lich inzwi­schen unter­stützte, die aber ent­we­der in der Ver­sion von VyOS noch gar nicht vor­han­den war oder aber von VyOS nicht expo­niert wurde.

In der zwei­ten Gene­ra­tion lau­fen diese Ser­ver daher nun mit nor­ma­lem Debian Bus­ter. Unter­ein­an­der und mit unse­ren eBGP-Rou­tern spre­chen sie OSPF mit­tels bird, kee­pa­li­ved sorgt dafür dass in jedem Netz immer nur ein Gate­way aktiv ist. Das Fire­wal­ling wird inzwi­schen von nfta­bles im Linux Ker­nel erle­digt, frü­her war dafür noch ipta­bles zuständig.

Die Migra­tion zwi­schen die­sen Gene­ra­tio­nen fiel uns auf­grund unse­rer selbst­ent­wi­ckel­ten Sys­teme zur auto­ma­ti­schen Kon­fi­gu­ra­tion rela­tiv leicht. Auch künf­tige Umstel­lun­gen sind so ver­hält­nis­mä­ßig ein­fach mach­bar – viel­leicht geht die Reise ja zu VPP oder doch wie­der zu einem der gro­ßen Hersteller.

Den ein­zel­nen Kom­po­nen­ten die­ses Sys­tems möch­ten wir in einer klei­nen Arti­kel­se­rie etwas Auf­merk­sam­keit schen­ken und dabei unsere Erfah­run­gen und Erkennt­nisse teilen.

  1. Rou­ting und Fire­wal­ling mit Linux
  2. Last­ver­tei­lung und Red­un­danz mit VRRP (die­ser Arti­kel wird dem­nächst veröffentlicht)
  3. Dekla­ra­tive ver­sio­nierte Kon­fi­gu­ra­tion (die­ser Arti­kel wird dem­nächst veröffentlicht)