OSPF LSA-Storm Mitigation: Governance für Stabilität und Security

Ein OSPF LSA-Storm kann die Stabilität eines Netzwerks erheblich beeinträchtigen, indem übermäßige Link-State-Updates die CPU der Router belasten und Routing-Instabilitäten verursachen. Die Governance zur Prävention von LSA-Stürmen umfasst Richtlinien, Authentifizierung, Filterung und Überwachung, um sowohl Stabilität als auch Sicherheit in produktiven Netzwerken zu gewährleisten.

Ursachen von LSA-Stürmen

• Häufige Interface-Flaps oder Link-Instabilitäten
• Fehlerhafte Router oder Software-Bugs
• Unautorisierte oder fehlerhafte OSPF-Nachbarn
• Fehlende Authentifizierung auf OSPF-Interfaces

Governance-Maßnahmen

1. Authentifizierung

Nur autorisierte Router dürfen OSPF-Nachbarschaften aufbauen:

interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort

• MD5 schützt vor Replay- und Manipulationsangriffen
• Jeder OSPF-Bereich separat authentifizieren

2. Passive Interfaces

Nicht benötigte Interfaces passiv schalten, um unerwünschte OSPF-Nachbarn zu verhindern:

router ospf 1
 passive-interface default
 no passive-interface GigabitEthernet0/0

• Reduziert Broadcast- und Multicast-Traffic
• Minimiert die Angriffsfläche für LSA-Injektionen

3. Timers und Hold-Mechanismen

interface GigabitEthernet0/0
 ip ospf hello-interval 30
 ip ospf dead-interval 120

• Erhöht Stabilität bei kurzen Interface-Flaps
• Verhindert unnötige LSA-Floods
• Standardwerte können in großen Netzwerken zu LSA-Stürmen führen

LSA-Filterung und Rate-Limiting

1. Prefix-Listen und Route-Maps

ip prefix-list OSPF-ALLOWED seq 5 permit 10.0.0.0/24
route-map OSPF-FILTER permit 10
 match ip address prefix-list OSPF-ALLOWED
router ospf 1
 distribute-list route-map OSPF-FILTER in

• Nur bekannte und autorisierte Netzwerke in OSPF aufnehmen
• Reduziert die Anzahl unnötiger LSA-Updates

2. CoPP und CPU-Schutz

class-map match-any CONTROL-PLANE
 match protocol ospf
policy-map CONTROL-PLANE-POLICY
 class CONTROL-PLANE
  police 50000 800 conform-action transmit exceed-action drop
control-plane
 service-policy input CONTROL-PLANE-POLICY

• Begrenzt OSPF-Traffic zur CPU
• Schützt Router vor DoS durch LSA-Stürme

Monitoring und Alerts

logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf

• Erkennt übermäßige LSA-Flows
• Alerts bei abnormalen OSPF-Events
• Auditierbarkeit für Compliance

Best Practices für LSA-Storm Mitigation

• MD5-Authentifizierung für alle OSPF-Interfaces
• Passive Interfaces auf ungenutzten Ports
• Timers an Produktionsbedingungen anpassen
• LSA-Filterung nur für autorisierte Netzwerke
• CoPP oder Rate-Limits auf OSPF-Traffic anwenden
• Monitoring, Logging und SNMP-Traps aktivieren
• Regelmäßige Überprüfung der OSPF-Topologie und Area-Konsistenz

Praxisbeispiel CLI-Zusammenfassung

! OSPF Authentifizierung
interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort
! Passive Interfaces

router ospf 1

passive-interface default

no passive-interface GigabitEthernet0/0
! OSPF Timers anpassen

interface GigabitEthernet0/0

ip ospf hello-interval 30

ip ospf dead-interval 120
! LSA-Filterung

ip prefix-list OSPF-ALLOWED seq 5 permit 10.0.0.0/24

route-map OSPF-FILTER permit 10

match ip address prefix-list OSPF-ALLOWED

router ospf 1

distribute-list route-map OSPF-FILTER in
! CoPP für OSPF

class-map match-any CONTROL-PLANE

match protocol ospf

policy-map CONTROL-PLANE-POLICY

class CONTROL-PLANE

police 50000 800 conform-action transmit exceed-action drop

control-plane

service-policy input CONTROL-PLANE-POLICY
! Monitoring & Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

snmp-server enable traps ospf

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.