Ein OSPF LSA-Storm kann die Stabilität eines Netzwerks erheblich beeinträchtigen, indem übermäßige Link-State-Updates die CPU der Router belasten und Routing-Instabilitäten verursachen. Die Governance zur Prävention von LSA-Stürmen umfasst Richtlinien, Authentifizierung, Filterung und Überwachung, um sowohl Stabilität als auch Sicherheit in produktiven Netzwerken zu gewährleisten.
Ursachen von LSA-Stürmen
- Häufige Interface-Flaps oder Link-Instabilitäten
- Fehlerhafte Router oder Software-Bugs
- Unautorisierte oder fehlerhafte OSPF-Nachbarn
- Fehlende Authentifizierung auf OSPF-Interfaces
Governance-Maßnahmen
1. Authentifizierung
Nur autorisierte Router dürfen OSPF-Nachbarschaften aufbauen:
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SehrStarkesPasswort- MD5 schützt vor Replay- und Manipulationsangriffen
- Jeder OSPF-Bereich separat authentifizieren
2. Passive Interfaces
Nicht benötigte Interfaces passiv schalten, um unerwünschte OSPF-Nachbarn zu verhindern:
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0- Reduziert Broadcast- und Multicast-Traffic
- Minimiert die Angriffsfläche für LSA-Injektionen
3. Timers und Hold-Mechanismen
interface GigabitEthernet0/0
ip ospf hello-interval 30
ip ospf dead-interval 120- Erhöht Stabilität bei kurzen Interface-Flaps
- Verhindert unnötige LSA-Floods
- Standardwerte können in großen Netzwerken zu LSA-Stürmen führen
LSA-Filterung und Rate-Limiting
1. Prefix-Listen und Route-Maps
ip prefix-list OSPF-ALLOWED seq 5 permit 10.0.0.0/24
route-map OSPF-FILTER permit 10
match ip address prefix-list OSPF-ALLOWED
router ospf 1
distribute-list route-map OSPF-FILTER in- Nur bekannte und autorisierte Netzwerke in OSPF aufnehmen
- Reduziert die Anzahl unnötiger LSA-Updates
2. CoPP und CPU-Schutz
class-map match-any CONTROL-PLANE
match protocol ospf
policy-map CONTROL-PLANE-POLICY
class CONTROL-PLANE
police 50000 800 conform-action transmit exceed-action drop
control-plane
service-policy input CONTROL-PLANE-POLICY- Begrenzt OSPF-Traffic zur CPU
- Schützt Router vor DoS durch LSA-Stürme
Monitoring und Alerts
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf- Erkennt übermäßige LSA-Flows
- Alerts bei abnormalen OSPF-Events
- Auditierbarkeit für Compliance
Best Practices für LSA-Storm Mitigation
- MD5-Authentifizierung für alle OSPF-Interfaces
- Passive Interfaces auf ungenutzten Ports
- Timers an Produktionsbedingungen anpassen
- LSA-Filterung nur für autorisierte Netzwerke
- CoPP oder Rate-Limits auf OSPF-Traffic anwenden
- Monitoring, Logging und SNMP-Traps aktivieren
- Regelmäßige Überprüfung der OSPF-Topologie und Area-Konsistenz
Praxisbeispiel CLI-Zusammenfassung
! OSPF Authentifizierung
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SehrStarkesPasswort
! Passive Interfaces
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0
! OSPF Timers anpassen
interface GigabitEthernet0/0
ip ospf hello-interval 30
ip ospf dead-interval 120
! LSA-Filterung
ip prefix-list OSPF-ALLOWED seq 5 permit 10.0.0.0/24
route-map OSPF-FILTER permit 10
match ip address prefix-list OSPF-ALLOWED
router ospf 1
distribute-list route-map OSPF-FILTER in
! CoPP für OSPF
class-map match-any CONTROL-PLANE
match protocol ospf
policy-map CONTROL-PLANE-POLICY
class CONTROL-PLANE
police 50000 800 conform-action transmit exceed-action drop
control-plane
service-policy input CONTROL-PLANE-POLICY
! Monitoring & Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
