OSPF Authentifizierung im Lab: Key-Rollover ohne Downtime üben

Red Snapper

3 weeks ago

Die Authentifizierung in OSPF ist ein wichtiger Bestandteil der Netzwerksicherheit, um unbefugte Router und Datenverkehr zu verhindern. In großen Netzwerken kann es notwendig sein, den OSPF-Authentifizierungsschlüssel zu ändern (Key-Rollover), ohne dass es zu Ausfällen kommt. In diesem Artikel üben wir den OSPF Key-Rollover im Lab und zeigen dir, wie du dies ohne Downtime durchführen kannst.

1. Was ist OSPF-Authentifizierung?

Die OSPF-Authentifizierung schützt OSPF-Routing-Updates vor unbefugtem Zugriff und Manipulation. Bei der Authentifizierung wird ein Schlüssel verwendet, um sicherzustellen, dass nur autorisierte Router Routing-Informationen austauschen können. Es gibt zwei Hauptarten der OSPF-Authentifizierung:

Plaintext-Authentifizierung: Der Schlüssel wird im Klartext übertragen, was aus Sicherheitsgründen vermieden werden sollte.
MD5-Authentifizierung: Der Schlüssel wird verschlüsselt, was eine sicherere Option darstellt.

2. OSPF Key-Rollover ohne Downtime

Das Key-Rollover ist der Prozess, bei dem der Authentifizierungsschlüssel in einem OSPF-Netzwerk geändert wird, ohne die OSPF-Nachbarschaft oder den Netzwerkverkehr zu unterbrechen. Ein Key-Rollover ohne Downtime ist wichtig, um eine unterbrechungsfreie Kommunikation zu gewährleisten, wenn der Schlüssel regelmäßig aus Sicherheitsgründen gewechselt wird.

Vorbereitung

Bevor du mit dem Key-Rollover beginnst, solltest du sicherstellen, dass alle OSPF-Router in deinem Netzwerk MD5-Authentifizierung verwenden. Dies ist die sicherste Methode der Authentifizierung. Stelle außerdem sicher, dass alle Router, die am OSPF-Routing-Prozess beteiligt sind, denselben Authentifizierungsschlüssel verwenden.

Schritte zum Key-Rollover ohne Downtime

Führe die folgenden Schritte aus, um einen OSPF-Key-Rollover durchzuführen, ohne dass es zu einer Downtime kommt:

1. Konfiguriere einen sekundären Authentifizierungsschlüssel: Erstelle einen zweiten Authentifizierungsschlüssel, der neben dem aktuellen Schlüssel aktiv ist. Dies stellt sicher, dass der alte Schlüssel während des Rollovers weiterhin verwendet wird, während der neue Schlüssel bereits bereit ist.

Router1(config)# router ospf 1
Router1(config-router)# area 0 authentication message-digest
Router1(config-router)# ip ospf message-digest-key 2 md5 new_key

Code
2. Konfiguriere den neuen Authentifizierungsschlüssel auf allen Routern: Auf allen beteiligten Routern muss der neue Schlüssel mit der gleichen Nummer und dem gleichen Hashwert konfiguriert werden, um eine nahtlose Authentifizierung zu gewährleisten.
Router2(config)# router ospf 1

Router2(config-router)# area 0 authentication message-digest
Router2(config-router)# ip ospf message-digest-key 2 md5 new_key

Code
3. Entferne den alten Authentifizierungsschlüssel: Sobald der neue Schlüssel auf allen Routern konfiguriert ist, kannst du den alten Schlüssel entfernen. Durch die Verwendung des sekundären Schlüssels gab es keine Downtime während des Rollovers.
Router1(config)# router ospf 1

Router1(config-router)# no ip ospf message-digest-key 1

3. Troubleshooting: Häufige Probleme bei OSPF Key-Rollover

Auch wenn der Key-Rollover gut geplant ist, können Fehler auftreten. Hier sind einige der häufigsten Probleme und wie du sie beheben kannst:

MTU-Inkompatibilität

Ein häufiger Fehler ist eine unterschiedliche MTU-Größe zwischen OSPF-Routern. Wenn die MTU-Werte zwischen benachbarten Routern nicht übereinstimmen, können OSPF-Nachbarschaften nicht richtig etabliert werden, selbst wenn der Authentifizierungsschlüssel korrekt ist.

Router1# show ip ospf neighbor

Unterschiedliche Schlüssel

Ein weiterer Fehler tritt auf, wenn die Authentifizierungsschlüssel auf den Routern nicht synchronisiert sind. Überprüfe alle Router und stelle sicher, dass sie denselben Schlüssel verwenden.

Router1# show running-config | include ospf
Router1# show ip ospf

Fehlende OSPF-Nachbarschaft

Falls eine OSPF-Nachbarschaft nicht gebildet wird, überprüfe, ob die Authentifizierung richtig konfiguriert ist. Wenn der Authentifizierungsschlüssel falsch oder nicht auf allen Routern konfiguriert ist, wird die Nachbarschaft nicht aufgebaut.

Router1# debug ip ospf adj
Router1# show ip ospf neighbor

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
Optional Security: Basic ACLs und SSH-Hardening
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

✅ Packet Tracer .pkt Datei
✅ Saubere Konfigurations-Notizen pro Gerät
✅ Verifikations-Checkliste + erwartete Outputs
✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.