# Dynamic Routing: RIP, OSPF & BGP – Intelligente Pfade im Netzwerk
TL;DR / Management Summary Statische Routen (Artikel 733) skalieren in großen oder redundanten Netzen nicht. Dynamic Routing erlaubt es Routern und Firewalls, Informationen über erreichbare Netzwerke vollautomatisch auszutauschen. Wir nutzen OSPF für die interne Standortvernetzung und BGP für die Anbindung an die Cloud (Azure/AWS) oder das Internet. Ein Senior Admin versteht die Konzepte von Kosten (Metric) und Konvergenz, um ein selbstheilendes Netzwerk zu bauen.
# 1. Konzepte des Dynamic Routing
Algorithmen statt Listen.
- Distance Vector (RIP): Einfach, nutzt Hop-Count (max. 15). (Heute veraltet!).
- Link State (OSPF): Jeder Router kennt die gesamte Topologie. Berechnet den kürzesten Pfad (Dijkstra-Algorithmus). Schnell und stabil.
- Path Vector (BGP): Nutzt Richtlinien und die Anzahl der Autonomen Systeme (AS) zum Ziel. Das Protokoll des Internets.
# 2. OSPF (Open Shortest Path First)
Der Standard für das LAN/Campus.
OSPF ist das Arbeitstier für interne Netze (z.B. zwischen OPNsense und L3-Switchen).
- Areas: Unterteilt das Netz in Bereiche. Area 0 (Backbone) ist Pflicht.
- Kosten: Basieren meist auf der Bandbreite (10G Link ist “günstiger” als 1G Link).
- Konvergenz: Fällt ein Switch aus, berechnet OSPF innerhalb von Millisekunden den Ersatzpfad.
# 3. BGP (Border Gateway Protocol)
Die Diplomatie zwischen Netzwerken.
BGP wird genutzt, um verschiedene Organisationen (Autonome Systeme - AS) zu verbinden.
- eBGP: Verbindung zum Internet-Provider oder zu Azure ExpressRoute.
- iBGP: Verteilung externer Routen innerhalb des eigenen Firmennetzes.
- Policy Routing: BGP entscheidet nicht nach Speed, sondern nach Geschäftsregeln (z.B. “Nutze Link A nur für Traffic nach Asien”).
# 4. Deep Dive: Routen-Redistribution
Die Brücke zwischen den Welten.
Oft müssen wir Informationen zwischen Protokollen austauschen.
- Szenario: Die OPNsense kennt statische Routen zu einem VPN-Partner.
- Aktion: Konfigurieren Sie
Redistribute Static into OSPF. - Wirkung: Alle internen Switche “lernen” sofort, dass der VPN-Partner über die OPNsense erreichbar ist.
# 5. Day-2 Operations: Sicherheit & Auth
Kein Vertrauen ohne Passwort.
Dynamic Routing ist ein Sicherheitsrisiko, wenn jeder beliebige PC Routing-Infos einspeisen darf.
- MD5 Authentication: Schützen Sie OSPF-Nachbarschaften mit einem Passwort.
- Passive Interfaces: Senden Sie keine Routing-Updates an User-VLANs oder Gäste-WLANs.
# 6. Troubleshooting & “War Stories”
Wenn der Algorithmus spinnt.
# Top 3 Fehlerbilder
-
Symptom: OSPF-Nachbarschaft bleibt in
EXSTARThängen.- Ursache: MTU Mismatch (Artikel 706). Die Router können sich nicht auf die Paketgröße einigen.
- Lösung: MTU auf beiden Seiten exakt gleich setzen.
-
Symptom: Route erscheint nicht in der Tabelle.
- Ursache: Das Zielnetz ist in einer anderen OSPF Area oder durch eine Filter-List blockiert.
-
Symptom: Massive CPU-Last auf alten Routern.
- Ursache: Zu viele Routen-Updates durch einen instabilen Link (“Route Flapping”).
# “War Story”: Der “Default-Route” Tsunami
Ein Admin aktivierte versehentlich “Redistribute Default” auf einem Test-Router im Labor.
Das Ereignis: Der Test-Router rief laut ins Firmennetz: “Ich bin das Tor zum Internet!”.
Das Ergebnis: Alle Switche im Unternehmen schickten ihren gesamten Internet-Traffic an den kleinen Labor-Router. Das Firmennetzwerk war für 2 Stunden faktisch tot, da der Labor-Router unter der Last sofort schmolz.
Lehre: Nutzen Sie Route Filtering und seien Sie extrem vorsichtig mit dem Befehl default-information originate.
# 7. Monitoring & Reporting
Status der Nachbarn.
# FRR Status (Shell)
Nutzen Sie auf der OPNsense das FRR-Plugin (Artikel 572):
vtysh -c "show ip ospf neighbor"
vtysh -c "show ip route"- KPI:
Convergence Time. Wie schnell heilt sich das Netz nach einem Ausfall?
# 8. Fazit & Empfehlung
Wählen Sie das Protokoll passend zur Größe.
- Empfehlung: Nutzen Sie OSPF für alles Interne. Es ist der Industriestandard für Stabilität.
- Wichtig: Verwenden Sie für die Anbindung an die Cloud BGP, auch wenn statische Routen möglich wären. Nur BGP bietet die nötige Flexibilität für Failover-Szenarien in hybriden Umgebungen (Artikel 539).
# Anhang: Vergleichstabelle
| Feature | RIP | OSPF | BGP |
|---|---|---|---|
| Algorithmus | Bellman-Ford | Dijkstra | Path-Vector |
| Metrik | Hop-Count | Kosten (Bandbreite) | Attribute / AS-Path |
| Einsatz | Small Office (Legacy) | Enterprise LAN | Internet / Cloud |
| Speed | Langsam | Sehr Schnell | Langsam |