March 5, 2026

Troubleshooting OSPF Neighbor Down: Timer, MTU, Auth – Checkliste

Wenn OSPF-Nachbarn plötzlich den Status „Down“ anzeigen, kann dies die gesamte Netzwerkkonnektivität beeinträchtigen. Häufige Ursachen sind Timer-Inkonsistenzen, MTU-Mismatches oder Authentifizierungsprobleme. Eine strukturierte Vorgehensweise erleichtert das Troubleshooting und minimiert die Ausfallzeiten. Diese Checkliste hilft, Probleme systematisch zu identifizieren und zu beheben.

Symptome eines OSPF Neighbor Down

Bevor Sie mit der Fehlersuche beginnen, sollten die typischen Symptome klar erkannt werden:

  • OSPF-Nachbarstatus auf „Down“ statt „Full“.
  • Keine Routen von diesem Nachbarn verfügbar.
  • LSA-Flooding bleibt unvollständig oder verzögert.
  • Netzwerksegmente werden als unreachable angezeigt.

Grundlagen prüfen

Einige Basisprüfungen verhindern die Verschwendung von Zeit bei der Fehlersuche:

  • Layer-2-Konnektivität zwischen den OSPF-Routern prüfen:
ping
  • Interfaces aktiv und korrekt konfiguriert?
  • Keine Duplex-/Speed-Konflikte?
  • VLAN und Trunk-Einstellungen auf Switches korrekt?

Timer-Inkonsistenzen

OSPF Hello- und Dead-Timer

Die Timer müssen auf beiden Nachbarn übereinstimmen:

  • Default Hello Timer: 10 Sekunden auf Broadcast, 30 Sekunden auf Non-Broadcast
  • Default Dead Timer: 4 × Hello Timer
  • Unterschiedliche Timer verhindern die Neighbor-Beziehung
show ip ospf interface
interface 
  ip ospf hello-interval 10
  ip ospf dead-interval 40

MTU-Check

Ein MTU-Mismatch verhindert die OSPF-Adjazenzbildung:

  • Überprüfen Sie die MTU auf beiden Seiten des Links.
  • MTU-Differenzen führen zu OSPF-ExStart/Exchange-Hängen.
show ip ospf interface
interface 
  ip mtu 1500

OSPF Authentication

Fehlerhafte Authentifizierung blockiert die Nachbarschaft:

  • Plaintext oder MD5 müssen auf beiden Routern identisch sein.
  • Fehlerhafte Keys oder fehlende Konfiguration führen zu „Neighbor Down“.
interface 
  ip ospf authentication message-digest
  ip ospf message-digest-key 1 md5

Interface-Typ und OSPF Network Type

OSPF verhält sich unterschiedlich auf Broadcast, Non-Broadcast, Point-to-Point:

  • Broadcast: DR/BDR election erfolgt automatisch
  • Non-Broadcast: Manuelle Neighbor-Definition nötig
  • Point-to-Point: Kein DR/BDR, direkter Austausch
show ip ospf interface
interface 
  ip ospf network point-to-point

Debugging

Für tiefere Analysen stehen Router-Debugs zur Verfügung:

  • OSPF-Pakete beobachten:
debug ip ospf adj
debug ip ospf hello
  • Log-Ausgaben auf beiden Routern vergleichen
  • Auf ExStart/Exchange-Hänger achten

Checkliste für systematisches Troubleshooting

  • Layer-2-Konnektivität prüfen (Ping, Interface Up/Down)
  • OSPF Hello- und Dead-Timer abgleichen
  • MTU auf beiden Interfaces identisch setzen
  • Authentication-Typ und Key kontrollieren
  • Interface-Typ korrekt wählen (Broadcast, NBMA, P2P)
  • Neighbor-Definitionen bei NBMA überprüfen
  • Debugs einsetzen und Pakete beobachten
  • Routen- und LSA-Informationen validieren

Praktische Tipps

  • Änderungen immer zunächst in Lab-Umgebung testen.
  • Logs dokumentieren, um wiederkehrende Fehler schnell zu erkennen.
  • Monitoring auf OSPF-Nachbarschaften einrichten, um Ausfälle früh zu erkennen.
  • Standardisierte Timer, MTU und Auth-Konfigurationen für alle Links verwenden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind