OSPF-Authentifizierung schützt dein IGP davor, dass fremde oder falsch konfigurierte Router unbemerkt Nachbarschaften aufbauen und Routing-Informationen einspeisen. Ohne Authentifizierung können falsche Hellos und LSAs im schlimmsten Fall zu Traffic-Umlenkungen, Blackholes oder instabilen Konvergenzen führen. Mit einer sauberen OSPF-Auth-Konfiguration stellst du sicher, dass nur autorisierte Nachbarn „FULL“ werden.
Warum OSPF-Authentifizierung in der Praxis wichtig ist
OSPF nutzt Multicast-Hellos und baut Nachbarschaften automatisiert auf. In gemeinsam genutzten Segmenten (Transit-VLAN, Provider-Übergabe, Campus-Trunks) ist das ein Risiko, wenn jeder Router „einfach so“ teilnehmen kann.
- Schutz vor unautorisierten OSPF-Nachbarn
- Reduktion von Fehlkonfigurationen (falsche Router im falschen Segment)
- Stabileres Routing durch kontrollierte Adjacencies
- Bessere Compliance in Unternehmensnetzen
Welche OSPF-Authentifizierungsarten gibt es?
In Cisco IOS triffst du typischerweise auf zwei Auth-Varianten: einfache Klartext-Authentifizierung und Message-Digest (MD5). In der Praxis ist Message-Digest deutlich sinnvoller.
- Simple Password (Plaintext): leicht, aber schwach (nicht empfohlen)
- Message-Digest (MD5): deutlich besser, Standard in vielen Umgebungen
Wichtige Regel
Alle Router auf demselben OSPF-Link müssen denselben Auth-Typ und denselben Key verwenden. Sonst kommt die Nachbarschaft nicht hoch.
Wo konfiguriert man OSPF-Auth? Interface ist der Normalfall
OSPF-Authentifizierung ist in der Praxis meist interface-basiert, weil du so gezielt Transitlinks absichern kannst, ohne unnötig LANs zu belasten. Zusätzlich gibt es area-basierte Aktivierung, die du dann pro Interface mit Keys ergänzt.
- Interface-basiert: präzise, empfohlen für Transitlinks
- Area-basiert: globaler „Schalter“ pro Area, Keys bleiben am Interface
Message-Digest (MD5) konfigurieren: Best Practice für Transitlinks
MD5-Authentifizierung besteht aus zwei Teilen: Du aktivierst Message-Digest am Interface und setzt einen Key (Key-ID + Secret). Danach müssen die Nachbarn identisch konfiguriert sein.
Beispiel: MD5 auf einem Punkt-zu-Punkt-Link (R1)
R1# configure terminal
R1(config)# interface gigabitEthernet0/1
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
R1(config-if)# endBeispiel: MD5 auf dem Gegenrouter (R2)
R2# configure terminal
R2(config)# interface gigabitEthernet0/1
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
R2(config-if)# endOSPF-Adjacency verifizieren
R1# show ip ospf neighbor
R1# show ip ospf interface gigabitEthernet0/1
R2# show ip ospf neighborArea-basierte Aktivierung: Auth „für die Area einschalten“
Wenn du eine gesamte Area verpflichtend absichern willst, aktivierst du Auth auf Area-Ebene. Dann muss jedes Interface in dieser Area passende Keys haben, sonst gibt es keine Neighbors.
Area-Auth aktivieren (Message-Digest)
Router# configure terminal
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# endDanach weiterhin Keys am Interface setzen
Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
Router(config-if)# endSimple Password konfigurieren (nur für Labs/Legacy)
Simple Authentication ist funktional, aber schwach. Sie kann für Lernumgebungen hilfreich sein, sollte aber in produktiven Netzen durch Message-Digest ersetzt werden.
Simple Auth am Interface
Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf authentication
Router(config-if)# ip ospf authentication-key LabPass123
Router(config-if)# endKey-Rollover: Schlüssel wechseln ohne Downtime (praxisnah)
In professionellen Umgebungen willst du Keys rotieren. Das gelingt, indem du einen zweiten Key parallel einführst, beide Seiten aktualisierst und danach den alten entfernst. Die genaue Verhalten hängt von Plattform/IOS-Version ab, aber das Muster bleibt: erst hinzufügen, dann umstellen, dann entfernen.
Neuen Key hinzufügen (zusätzliche Key-ID)
Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 2 md5 N3wStr0ngKey!
Router(config-if)# endAlten Key entfernen (nach erfolgreichem Rollout)
Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# no ip ospf message-digest-key 1
Router(config-if)# endVerifikation und Troubleshooting: Wenn Nachbarn nicht „FULL“ werden
Auth-Probleme äußern sich typischerweise so: Nachbarn bleiben DOWN/INIT, gehen nicht auf FULL oder flappen. Prüfe Auth-Typ, Key-ID/Secret und Logs.
Interface-OSPF-Details prüfen
Router# show ip ospf interface gigabitEthernet0/1
Router# show ip ospf neighborLogs nach Auth-Hinweisen durchsuchen
Router# show logging | include OSPF|AUTH|MD5Typische Ursachen
- Auth-Typ mismatch (einer MD5, anderer Simple/None)
- Key-ID unterschiedlich oder Secret falsch
- Area-Auth aktiviert, aber auf einem Interface fehlt der Key
- Passive Interface auf Transitlink (keine Hellos)
Best Practices: OSPF-Auth betriebssicher umsetzen
Mit ein paar Standards bleibt OSPF-Authentifizierung wartbar und verhindert unnötige Outages.
- Transitlinks immer mit Message-Digest absichern
- Keys nicht auf Access-LANs verteilen, wenn dort keine Nachbarn nötig sind
- Key-Rotation planen (zweiter Key, dann alter raus)
- Dokumentation: welche Links, welche Key-ID, Rollout-Datum
- Nach Changes:
show ip ospf neighborund Logs prüfen
Konfiguration speichern
Wenn Nachbarschaften stabil sind und Routing wie erwartet funktioniert, speichere die Konfiguration.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
