Routing-Protokoll-Security steht und fällt mit einem Detail, das im Betrieb oft unterschätzt wird: Key-Rollover. OSPF/IS-IS Authentifizierung und BGP MD5/TCP-AO (je nach Plattform) schützen zwar vor Spoofing und Session-Hijacking, aber nur solange Schlüssel aktuell sind. Der Härtungsgewinn verpufft, wenn Keys jahrelang unverändert bleiben – und ein schlecht geplanter Wechsel kann komplette IGP- oder BGP-Outages verursachen. Der saubere Weg ist ein „Overlap“-Rollover: alter und neuer Key sind zeitweise parallel gültig, Sende-/Empfangszeitfenster sind abgestimmt, und Monitoring erkennt früh, ob Nachbarn/Peers beide Keys akzeptieren. Dieser Artikel zeigt, wie du Keychain Rollover ohne Downtime planst und auf Cisco IOS/IOS XE praxisnah umsetzt.
Grundprinzip: Overlap statt Big-Bang
Downtime-freier Rollover funktioniert, wenn Sender und Empfänger den neuen Key bereits akzeptieren, bevor jemand ausschließlich mit dem neuen Key sendet. Das erreichst du über Keychains mit Zeitfenstern (send/accept) und eine definierte Umstellreihenfolge.
Rollover-Logik
Zero Downtime ⇔ Accept(New) → Send(New) → Remove(Old)
- Phase 1: neuer Key wird verteilt (accept window aktiv)
- Phase 2: Senden auf neuen Key umstellen (send window aktiv)
- Phase 3: alten Key deaktivieren/entfernen (nach Stabilitätsnachweis)
Voraussetzungen: Zeit, NTP und Betriebsdisziplin
Zeitbasierte Keychains sind nur so gut wie deine Zeitbasis. Ohne NTP riskierst du, dass Geräte unterschiedliche „aktive Keys“ sehen. Das ist die häufigste Root Cause für Rollover-Outages.
- NTP auf allen Routern (ohne Ausnahme)
- Zeitzone/Clock drift kontrollieren
- Change-Plan: Reihenfolge und Rollback dokumentiert
NTP Baseline (Pattern)
ntp server 10.99.0.10
ntp server 10.99.0.11Keychain Design: Nummerierung, Algorithmus, Lifetime
Ein gutes Keychain-Design ist boring: klare Key-IDs (z. B. 1001/1002), starke Algorithmen (wo unterstützt), und klare Zeitfenster. Vermeide „zu kurze“ Fenster, damit verzögerte Changes nicht sofort brechen.
- Key-ID Schema: fortlaufend, eindeutig, auditierbar
- Overlap-Fenster: ausreichend lang (z. B. Stunden/Tage je Prozess)
- Starker Key: ausreichend lang, nicht wiederverwenden
OSPF: Keychain Rollover (MD5/HMAC je Plattform) ohne Nachbarschaftsflap
OSPF Authentifizierung wird am Interface aktiviert. Der Rollover erfolgt über eine Keychain, die mehrere Keys enthält. In der Overlap-Phase akzeptieren Nachbarn beide Keys, aber senden schrittweise mit dem neuen.
Keychain (Pattern)
key chain KC_OSPF
key 1001
key-string 0 OldSecretKey
accept-lifetime 00:00:00 Jan 01 2026 23:59:59 Apr 01 2026
send-lifetime 00:00:00 Jan 01 2026 23:59:59 Feb 15 2026
key 1002
key-string 0 NewSecretKey
accept-lifetime 00:00:00 Feb 01 2026 23:59:59 Jun 01 2026
send-lifetime 00:00:00 Feb 15 2026 23:59:59 Jun 01 2026OSPF Interface Auth (Pattern)
interface GigabitEthernet0/1
ip ospf authentication key-chain KC_OSPFOSPF Verifikation
show ip ospf neighbor
show ip ospf interface GigabitEthernet0/1IS-IS: HMAC/Keychain Rollover sauber planen
IS-IS Authentifizierung wird meist im IS-IS Prozess und/oder per Interface gesetzt. Für Zero-Downtime gilt dasselbe Overlap-Prinzip: Keychain mit parallelen Accept- und Send-Fenstern.
Keychain (Pattern)
key chain KC_ISIS
key 2001
key-string 0 OldIsisKey
accept-lifetime 00:00:00 Jan 01 2026 23:59:59 Apr 01 2026
send-lifetime 00:00:00 Jan 01 2026 23:59:59 Feb 15 2026
key 2002
key-string 0 NewIsisKey
accept-lifetime 00:00:00 Feb 01 2026 23:59:59 Jun 01 2026
send-lifetime 00:00:00 Feb 15 2026 23:59:59 Jun 01 2026IS-IS Auth binden (Pattern)
router isis CORE
authentication mode md5
authentication key-chain KC_ISIS level-2
interface GigabitEthernet0/2
ip router isis CORE
IS-IS Verifikation
show isis neighbors
show isis interface GigabitEthernet0/2BGP: Session-Auth und Rollover ohne Session Reset
BGP ist der heikelste Fall: Klassische TCP MD5 Authentication ist in vielen Umgebungen verbreitet, aber ein Key-Wechsel führt oft zu Session Resets, wenn nicht sauber geplant. Downtime-freier Rollover ist am sichersten mit kontrollierter Sequenz: erst zweiten Peer (zweiter Session) aufbauen oder Maintenance-Strategie nutzen. Wo Plattform/Design es zulässt, ist „parallel session“ (dual peering) die robusteste Methode.
- Single Session + MD5: Key-Change triggert häufig Reset
- Robust: Dual Peerings (parallel) und Traffic schwenken
- Oder: geplantes Maintenance Window mit minimaler Impactzeit
BGP MD5 (klassisches Pattern)
router bgp 65000
neighbor 203.0.113.10 remote-as 65100
neighbor 203.0.113.10 password 0 OldBgpKeyRollover-Pattern mit parallelem Peering (konzeptionell)
router bgp 65000
neighbor 203.0.113.10 remote-as 65100
neighbor 203.0.113.10 password 0 OldBgpKey
neighbor 203.0.113.11 remote-as 65100
neighbor 203.0.113.11 password 0 NewBgpKey
!
BGP Verifikation
show ip bgp summary
show ip bgp neighbors 203.0.113.10
show ip bgp neighbors 203.0.113.11Exception Handling: False Positives und unerwartete Flaps vermeiden
Rollover-Outages passieren oft durch „kleine“ Abweichungen: ein Interface fehlt, ein Nachbar hat NTP drift, oder ein Key ist auf einem Gerät falsch verteilt. Deshalb brauchst du Guardrails: Pre-Checks, staged rollout und klare Abort-Kriterien.
- Pre-Check: alle Nachbarn up, keine Instabilität vor Change
- Staging: erst ein Segment/Pod, dann flächig
- Abort: wenn Neighbors flappen → zurück auf alten Send-Key
Operational Runbook: Rollover in 6 Schritten
Dieses Runbook ist unabhängig vom Protokoll und funktioniert als Standardprozess für OSPF/IS-IS/BGP.
- 1) NTP/Clock prüfen (alle Devices)
- 2) Neuen Key überall deployen (accept-lifetime aktiv)
- 3) Verifikation: Nachbarn/Peers stabil, keine Auth-Errors
- 4) Send-Lifetime auf neuen Key umstellen (staged)
- 5) Monitoring: Flaps, Drops, Auth-Logs
- 6) Alten Key nach Stabilitätsfenster entfernen/deaktivieren
Troubleshooting: Wenn Nachbarn/Peers nach Rollover nicht hochkommen
Die Diagnose ist meist deterministisch: Zeitfenster, falscher Key, falsche Zuordnung am Interface/Prozess oder NTP drift. Prüfe zuerst Logs und Interface-Auth-Status, dann die Keychain-Lifetimes.
OSPF/IS-IS Checks
show clock
show key chain
show ip ospf interface
show isis interface
show logging | include OSPF|ISIS|auth|keyBGP Checks
show ip bgp summary
show ip bgp neighbors
show logging | include BGP|MD5|authBest Practices: Langfristig wartbare Routing-Security
Rollover ohne Downtime ist weniger „Feature“ als Prozess. Diese Best Practices verhindern, dass dein Routing-Security-Setup in ein paar Monaten wieder veraltet.
- Key-Rotation-Intervall definieren (z. B. 90–180 Tage)
- Keychain-IDs und Zeitfenster standardisieren
- NTP als Compliance-Kriterium
- Automatisierung: Templates + Verifikation in CI/Pre-Checks
- Logging/Monitoring: Auth-Errors als Alarm
Quick-Runbook: Keychain Rollover verifizieren
Diese Befehle liefern in Minuten die wichtigsten Signale für OSPF/IS-IS/BGP.
show clock
show key chain
show ip ospf neighbor
show isis neighbors
show ip bgp summary
show logging | include auth|key|OSPF|ISIS|BGPKonfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.