OSPF (Open Shortest Path First)

Was ist OSPF?

OSPF (Open Shortest Path First) ist ein Interior Gateway Protocol (IGP) für IP-Netze, das auf dem Link-State-Prinzip basiert. Jeder Router hält eine identische Link-State-Datenbank (LSDB) für seinen Bereich und berechnet daraus per Dijkstra-Algorithmus einen Shortest Path Tree (SPT). OSPF ist ein Kontrollprotokoll: Es bestimmt Routen und schreibt Forwarding-Tabellen, während die Weiterleitung von der Datenebene des Routers übernommen wird.

In der Praxis kommt in der Regel OSPFv2 für IPv4 zum Einsatz, das in RFC 2328 definiert ist. OSPFv3 wurde für IPv6 spezifiziert (RFC 5340) und unterstützt über Address-Family-Erweiterungen inzwischen auch IPv4. Beide Versionen sind weit verbreitet; OSPFv3 setzt sich zunehmend als einheitliche Basis für Dual-Stack-Netze durch.

Unterschiede zwischen OSPFv2 und OSPFv3

OSPFv2 arbeitet pro Subnetz und nutzt IPv4-Multicast. OSPFv3 ist dagegen linkbasiert und verwendet IPv6-Link-Local-Multicast. OSPFv3 trennt Routing und Transport klarer voneinander und ist flexibler bei Adressen und Optionen. Zur Absicherung nutzt OSPFv2 heute HMAC-SHA, OSPFv3 dagegen häufig den Authentication Trailer oder optional IPsec.

Areas und Backbone

OSPF-Netze werden in Bereiche (Areas) gegliedert. Area 0 ist der Backbone und muss zusammenhängend sein. Fehlende Verbindungen lassen sich per Virtual Link überbrücken. Durch Information Hiding bleibt die Detailtopologie innerhalb einer Area erhalten, wodurch sich die Größe des LSDB und das Flooding reduzieren. Stub-Areas blenden externe Routen aus und arbeiten mit einer Standardroute. In NSSA-Areas werden begrenzt externe Routen zugelassen, die am Rand in normale externe LSAs umgewandelt werden.

Nachbarn und Adjazenzen

Router erkennen OSPF-Nachbarn über Hello-Pakete und gleichen Parameter wie Intervalle, Area-ID und Netztyp ab. Auf Broadcast- und NBMA-Medien wählen sie einen Designated Router (DR) und einen Backup Designated Router (BDR), um das Flooding zu bündeln. Eine Adjazenz ist eine vollständig aufgebaute Routing-Beziehung, über die LSAs ausgetauscht werden. Der Aufbau durchläuft definierte Zustände – von Down über Init und 2-Way bis Full. In den höheren Zuständen gleichen die Router ihre Datenbanken mit Database Description-, Link State Request-, Link State Update- und Link State Acknowledgment-Paketen ab.

LSAs und Flooding

OSPF beschreibt die Topologie mit verschiedenen LSA-Typen: Router-LSA und Network-LSA für Knoten und Netze, Summary-LSAs für Area-Übergänge sowie AS-External-LSAs für externe Routen. NSSA nutzt Typ-7-LSAs, die am Rand zu Typ-5-LSAs werden. Erweiterungen wie Traffic Engineering nutzen Opaque-LSAs. Flooding erfolgt bei Änderungen und alle 30 Minuten als Refresh. In großen Netzen schützen Mechanismen wie Database Overflow vor Überlastung, ersetzen aber nicht den Refresh.

Metrik und Pfadwahl

Die OSPF-Kosten werden pro Interface vergeben (oft 10⁸/Bandbreite). Aus den Summen berechnet OSPF die kürzesten Pfade. Mehrere gleichwertige Pfade können per ECMP (Equal-Cost Multi-Path) parallel genutzt werden, wobei die maximale Anzahl plattformabhängig ist.

Sicherheit

Für OSPFv2 gelten Klartext-Passwörter und MD5 als nicht mehr zeitgemäß. Empfohlen wird HMAC-SHA (etwa SHA-256) mit sauberem Schlüssel-Management und Key-Rotation. In OSPFv3 ist IPsec möglich. In vielen Netzen hat sich jedoch der Authentication Trailer etabliert. Dieser kommt ohne zusätzliche Tunnelendpunkte aus und bietet Replay-Schutz. Grundsätzlich sollten Hello-/Dead-Timer und Authentisierung in einem Segment identisch konfiguriert sein, da Mischkonfigurationen eine häufige Fehlerquelle darstellen.

OSPF im Vergleich zu RIP und IS-IS

RIP (Routing Information Protocol) ist ein Distance-Vector-Protokoll, das den Hop-Count als Metrik nutzt. Es ist zwar leicht zu betreiben, skaliert jedoch nur begrenzt und konvergiert langsam. OSPF ist ein Link-State-Protokoll, das besser skaliert, schneller konvergiert und hierarchische Designs ermöglicht.

IS‑IS ist als Alternative in Provider-Backbones verbreitet. Im Unterschied zu OSPF läuft IS‑IS nicht über IP, sondern als CLNS-Protokoll direkt auf Layer 2 und nutzt TLVs für Erweiterungen. Die Hierarchie besteht aus Level 1 (Intra-Area) und Level 2 (Backbone), was funktional dem OSPF-Backbone mit Bereichen ähnelt. Beide Protokolle unterstützen ECMP, Traffic Engineering und Segment Routing über Erweiterungen. IS-IS gilt im Core als robust und adressierungsunabhängig, OSPF ist im Enterprise-Umfeld Standard und sehr gut dokumentiert.

OSPF in der Praxis

Wie bei jedem Protokoll hat auch OSPF bestimmte Stärken, die sich gezielt nutzen lassen, sowie Aspekte, die bei der Planung und dem Betrieb besondere Aufmerksamkeit erfordern.

Vorteile

• Schnelle Konvergenz bei Topologieänderungen.
• Hierarchie und Skalierung durch Areas; geringerer Routing‑Overhead.
• Transparenz/Schutz der Bereichstopologien (Information Hiding).
• ECMP für Bandbreiten‑ und Lastoptimierung.
• Erweiterbar über Opaque-LSAs (zum Beispiel für für Traffic Engineering)

Nachteile

• Komplexität: Planung von Areas, DR/BDR, Timern und LSA‑Typen erfordert Erfahrung.
• Ressourcenbedarf: LSDB‑Pflege und SPF‑Berechnung beanspruchen CPU/RAM bei sehr großen Topologien.
• In kleinen Netzwerken oft überdimensioniert.

Best Practices

Ein stabiles und gut skalierendes OSPF-Netzwerk steht und fällt mit einer sauberen Planung und konsistenter Konfiguration. Die folgenden Best Practices helfen dabei, Fehlerquellen zu vermeiden, die Konvergenz zu beschleunigen und den Verwaltungsaufwand gering zu halten.

• Area-Design sauber planen.
• Backbone zusammenhängend halten.
• Summarization nutzen und die LSA-Flut dämpfen.
• Timer, Metriken und Netztypen sollten konsistent konfiguriert werden.
• Passive Interfaces an Access-Ports setzen.
• Redistribution begrenzen und mit Filtern absichern.

Fazit

OSPF ist der Standard in mittleren bis großen Netzen. Mit durchdachtem Design, moderner Authentisierung und – falls erforderlich – Erweiterungen wie Traffic Engineering bietet OSPF eine robuste und skalierbare Grundlage für IP-Routing. Für neue Umgebungen empfiehlt sich OSPFv3 mit Address-Family-Support, um IPv4 und IPv6 einheitlich zu behandeln und die Betriebskomplexität zu reduzieren.