Die Authentifizierung in OSPF ist ein wichtiger Bestandteil der Netzwerksicherheit, um unbefugte Router und Datenverkehr zu verhindern. In großen Netzwerken kann es notwendig sein, den OSPF-Authentifizierungsschlüssel zu ändern (Key-Rollover), ohne dass es zu Ausfällen kommt. In diesem Artikel üben wir den OSPF Key-Rollover im Lab und zeigen dir, wie du dies ohne Downtime durchführen kannst.
1. Was ist OSPF-Authentifizierung?
Die OSPF-Authentifizierung schützt OSPF-Routing-Updates vor unbefugtem Zugriff und Manipulation. Bei der Authentifizierung wird ein Schlüssel verwendet, um sicherzustellen, dass nur autorisierte Router Routing-Informationen austauschen können. Es gibt zwei Hauptarten der OSPF-Authentifizierung:
- Plaintext-Authentifizierung: Der Schlüssel wird im Klartext übertragen, was aus Sicherheitsgründen vermieden werden sollte.
- MD5-Authentifizierung: Der Schlüssel wird verschlüsselt, was eine sicherere Option darstellt.
2. OSPF Key-Rollover ohne Downtime
Das Key-Rollover ist der Prozess, bei dem der Authentifizierungsschlüssel in einem OSPF-Netzwerk geändert wird, ohne die OSPF-Nachbarschaft oder den Netzwerkverkehr zu unterbrechen. Ein Key-Rollover ohne Downtime ist wichtig, um eine unterbrechungsfreie Kommunikation zu gewährleisten, wenn der Schlüssel regelmäßig aus Sicherheitsgründen gewechselt wird.
Vorbereitung
Bevor du mit dem Key-Rollover beginnst, solltest du sicherstellen, dass alle OSPF-Router in deinem Netzwerk MD5-Authentifizierung verwenden. Dies ist die sicherste Methode der Authentifizierung. Stelle außerdem sicher, dass alle Router, die am OSPF-Routing-Prozess beteiligt sind, denselben Authentifizierungsschlüssel verwenden.
Schritte zum Key-Rollover ohne Downtime
Führe die folgenden Schritte aus, um einen OSPF-Key-Rollover durchzuführen, ohne dass es zu einer Downtime kommt:
- 1. Konfiguriere einen sekundären Authentifizierungsschlüssel: Erstelle einen zweiten Authentifizierungsschlüssel, der neben dem aktuellen Schlüssel aktiv ist. Dies stellt sicher, dass der alte Schlüssel während des Rollovers weiterhin verwendet wird, während der neue Schlüssel bereits bereit ist.
Router1(config)# router ospf 1
Router1(config-router)# area 0 authentication message-digest
Router1(config-router)# ip ospf message-digest-key 2 md5 new_keyCode2. Konfiguriere den neuen Authentifizierungsschlüssel auf allen Routern: Auf allen beteiligten Routern muss der neue Schlüssel mit der gleichen Nummer und dem gleichen Hashwert konfiguriert werden, um eine nahtlose Authentifizierung zu gewährleisten. Router2(config)# router ospf 1
Router2(config-router)# area 0 authentication message-digest
Router2(config-router)# ip ospf message-digest-key 2 md5 new_key
Code3. Entferne den alten Authentifizierungsschlüssel: Sobald der neue Schlüssel auf allen Routern konfiguriert ist, kannst du den alten Schlüssel entfernen. Durch die Verwendung des sekundären Schlüssels gab es keine Downtime während des Rollovers. Router1(config)# router ospf 1
Router1(config-router)# no ip ospf message-digest-key 1
3. Troubleshooting: Häufige Probleme bei OSPF Key-Rollover
Auch wenn der Key-Rollover gut geplant ist, können Fehler auftreten. Hier sind einige der häufigsten Probleme und wie du sie beheben kannst:
MTU-Inkompatibilität
Ein häufiger Fehler ist eine unterschiedliche MTU-Größe zwischen OSPF-Routern. Wenn die MTU-Werte zwischen benachbarten Routern nicht übereinstimmen, können OSPF-Nachbarschaften nicht richtig etabliert werden, selbst wenn der Authentifizierungsschlüssel korrekt ist.
Router1# show ip ospf neighborUnterschiedliche Schlüssel
Ein weiterer Fehler tritt auf, wenn die Authentifizierungsschlüssel auf den Routern nicht synchronisiert sind. Überprüfe alle Router und stelle sicher, dass sie denselben Schlüssel verwenden.
Router1# show running-config | include ospf Router1# show ip ospfFehlende OSPF-Nachbarschaft
Falls eine OSPF-Nachbarschaft nicht gebildet wird, überprüfe, ob die Authentifizierung richtig konfiguriert ist. Wenn der Authentifizierungsschlüssel falsch oder nicht auf allen Routern konfiguriert ist, wird die Nachbarschaft nicht aufgebaut.
Router1# debug ip ospf adj Router1# show ip ospf neighborKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
