OSPF Neighbor intermittent down: RCA-Checkliste (MTU, Auth, Timer, L2)

Ein intermittierender OSPF-Nachbarabbruch kann in Enterprise-Netzwerken zu instabilen Routen, verzögerter Convergence und potenziellen Ausfällen kritischer Anwendungen führen. Die Ursachen sind oft vielfältig: Layer-2-Probleme, falsche MTU-Einstellungen, Authentifizierungsfehler oder unpassende OSPF-Timer. Eine systematische Root-Cause-Analysis (RCA) ist notwendig, um die Stabilität der OSPF-Nachbarschaften wiederherzustellen. In diesem Artikel stellen wir eine praxisnahe Checkliste vor, die Netzwerkingenieure Schritt für Schritt abarbeiten können.

Layer-2-Überprüfung

Intermittierende OSPF-Nachbarabbrüche beginnen häufig auf Layer 2. Stabile physische und VLAN-Verbindungen sind Voraussetzung für zuverlässiges OSPF.

Prüfpunkte

• Port-Status: Überprüfen, ob die Interfaces auf beiden Seiten “up/up” sind.
• VLAN-Konsistenz: Sicherstellen, dass beide Seiten im gleichen VLAN arbeiten.
• Switch-Port-Konfiguration: Prüfen auf Spanning-Tree-Fehler oder Port-Churn.
• Fehlerzähler: CRC, input errors, collisions als Indikator für fehlerhafte Kabel oder Hardware.

Beispiel CLI

show interface GigabitEthernet0/1
show spanning-tree vlan 10

MTU-Konsistenz prüfen

OSPF sendet Hello-Pakete und LSAs mit einer bestimmten MTU. Unterschiedliche MTU-Einstellungen zwischen Nachbarn führen zu wiederholten Neighbor-Down-Events.

Prüfpunkte

• Interface-MTU auf beiden Routern vergleichen:

show interface GigabitEthernet0/1 | include MTU

• OSPF meldet MTU-Mismatch im Log:

show ip ospf neighbor
debug ip ospf adj

• Anpassung: MTU auf beiden Seiten angleichen oder OSPF interface MTU ignorieren:

interface GigabitEthernet0/1
 ip ospf mtu-ignore

OSPF Authentifizierung

Fehlerhafte Authentifizierung kann zu intermittierenden Nachbarabbrüchen führen, insbesondere bei MD5 oder Key-Rollover.

Prüfpunkte

• Auth-Type vergleichen: keine Auth, simple password, MD5
• Key und Key-ID auf beiden Nachbarn abgleichen
• Debuggen:

debug ip ospf adj
show ip ospf interface

OSPF Timer

Die Hello- und Dead-Timer bestimmen, wie schnell ein Router einen Nachbarn als down markiert. Unterschiedliche Timer-Einstellungen verursachen unregelmäßige Neighbor-Drops.

Prüfpunkte

• Hello-Timer: auf beiden Seiten identisch?
• Dead-Interval: 4 × Hello-Interval Standard auf Broadcast- und Point-to-Point-Links.
• Bei Bedarf anpassen:

interface GigabitEthernet0/1
 ip ospf hello-interval 10
 ip ospf dead-interval 40

OSPF Neighbor State überprüfen

Die Neighbor-State-Machine liefert Hinweise über die Ursache von Drops. Intermittierende Down-Events können durch flapping oder MD5-Fehler sichtbar werden.

Prüfpunkte

• Neighbor State regelmäßig prüfen:

show ip ospf neighbor

• States: Down, Attempt, Init, 2-Way, ExStart, Exchange, Loading, Full
• Logs auf flapping analysieren:

debug ip ospf adj
terminal monitor

Weitere Ursachen

• CPU/Memory-Spikes auf Routern → Hello-Pakete werden verspätet gesendet.
• Link-Flapping → physische Verbindung instabil.
• ACLs oder Security Features blockieren OSPF-Pakete sporadisch.

RCA-Checkliste Schritt für Schritt

• Layer-2: Interface-Status, VLAN, STP, Fehlerzähler prüfen
• MTU: Interface-MTU vergleichen, OSPF-MTU-Ignore setzen, falls nötig
• OSPF Auth: Type, Key, Key-ID, Logs prüfen
• OSPF Timer: Hello-/Dead-Interval vergleichen und anpassen
• Neighbor State: Flapping analysieren, Logs prüfen
• Physische Links: Kabel, SFPs, Port-Flaps überprüfen
• CPU/Memory: Router Performance überwachen
• ACL/Firewall: OSPF-Pakete nicht blockiert?

Monitoring nach Korrekturen

• OSPF-Nachbarn kontinuierlich überwachen:

show ip ospf neighbor
show ip ospf interface brief

• Log-Analyse über Syslog/Telemetry
• Regelmäßige Ping-/Traceroute-Tests zu kritischen Netzsegmenten

Ein systematisches Vorgehen nach dieser RCA-Checkliste ermöglicht es, die meisten Ursachen für intermittierende OSPF Neighbor-Abbrüche zu identifizieren und zu beheben. Durch Layer-2-Prüfung, MTU-Angleich, Auth-Validierung, Timer-Abgleich und Monitoring lässt sich die Stabilität der OSPF-Adjazenzen nachhaltig sichern.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.