Пассивный интерфейс маршрутизатора при использовании протокола ospf
При настройке динамической маршрутизации на оборудовании Cisco, необходимо указать, какие интерфейсы входят в процесс маршрутизации. Этот общий принцип, не зависящий от того, какой именно протокол маршрутизации мы используем: RIP, OSPF, EIGRP.
Выбор таких интерфейсов выполняется по-разному для IPv4 и IPv6. В случае использования протокола для IPv4 нужно зайти в раздел настройки маршрутизатора и написать там команду network с указанием сети, подключенной к данному маршрутизатору. Например, для OSPF:
R1(config)#router ospf 1
R1(config-router)#network 192.168.0.0 0.0.0.255 area 0
R1(config)#router eigrp 1
R1(config-router)#network 192.168.0.0 0.0.0.255
Этим действием мы указываем на два момента:
Информация об этой сети начинает передаваться другим маршрутизаторам (при условии, что на маршрутизаторе есть рабочий интерфейс в данной сети)
Через интерфейс, находящийся в этой сети маршрутизатор начинает общаться с соседями.
В случае использования протокола маршрутизации для IPv6, процедура выглядит иначе, мы не включаем сети с помощью команды network, а заходим в каждый интерфейс, который должен участвовать в процессе и добавляем его.
Например, для RIPng это выглядит так:
R1(config)#interface fa0/0
R1(config-if)#ipv6 rip MYRIP enable
То есть, мы зашли в интерфейс и добавили его в процесс MYRIP. Для OSPFv3 аналогичная процедура выглядит так:
R1(config)#interface fa0/0
R1(config-if)#ipv6 ospf 1 area 0
Логика аналогичная. Каким бы способом мы ни добавляли интерфейс, какой бы протокол маршрутизации мы ни использовали, добавление некоторого интерфейса приводит к указанным выше двум вещам. Однако, часто бывает ситуация, когда мы хотим рассказывать другим маршрутизаторам про некоторую сеть, но в неё мы не хотим слать апдейты, то есть, первый пункт нас устраивает, а второй – нет. Это обычно происходит в случае, когда сеть является тупиковой, за ней нет других маршрутизаторов – только пользователи и нам не хочется чтобы они видели апдейты от маршрутизаторов, так как это потенциально может привести к проблемам безопасности. Кроме того, если не настроена аутентификация, то пользователь может отправлять нам фиктивные апдейты из своей сети и повлиять на работу маршрутизации.
Мы не можем решить эту проблему просто убрав соответствующую сеть (в IPv4) или убрать соответствующий интерфейс в (IPv6), так как в этом случае маршрутизатор перестанет рассказывать остальным про эту сеть и маршруты в неё исчезнут (то есть, вместе с пунктом два мы убираем и пункт один).
В качестве решения применяется команда passive-interface. Она запрещает слать апдейты протокола маршрутизации через некоторый интерфейс. Команда работает со всеми протоколами маршрутизации. То есть, мы включаем интерфейс, смотрящий в пользовательскую сеть в процесс маршрутизации, но запрещаем слать на него апдейты командой passive-interface. Например, если на маршрутизаторе есть сеть 192.168.0.0/24, на интерфейсе Fastethernet0/0, в которой нет других маршрутизаторов, а располагаются только конечные устройства пользователей, то для OSPF настройка будет выглядеть так:
R1(config-router)#network 192.168.0.0 0.0.0.255 area 0
R1(config-router)#passive-interface FastEthernet 0/0
Аналогично проблема решается для EIGRP:
R1(config)#router eigrp 1
R1(config-router)#network 192.168.0.0 0.0.0.255
R1(config-router)#passive-interface FastEthernet 0/0
Команда так же работает и для IPv6. Например, если на Fastethernet0/0 настроен адрес ABCD::/64 с eui-64, то конфигурация для OSPF будет выглядеть так:
R1(config)#interface fa0/0
R1(config-if)#ipv6 address ABCD::/64 eui-64
R1(config-if)#ipv6 ospf 100 area 0
R1(config)#ipv6 router ospf 100
R1(config-rtr)#passive-interface Fa0/0
То есть мы сначала добавили интерфейс и его сеть в OSPF, а затем запретили слать в него OSPF пакеты.
И есть еще такая вещь, как passive-interface default. Это очень удобная команда, она делает чтобы все интерфейсы стали пассивными по умолчанию. То есть от логики «все активные, надо выбирать пассивные», мы переключаемся к логике «все пассивные, надо по одному включать активные». После ввода этой команды, надо активные интерфейсы включать командой no passive-interface имя_интерфейса. Очень удобно на коммутаторе L3, когда есть кучас SVI интерфейсов и только один из них используется для роутинга, а все остальные — существующие и будущие должны быть пассивными. Делаем
R1(config-router)#passive-interface default
R1(config-router)#no passive-interface vlan100
После этого сколько бы мы SVI не добавляли, активным останется только SVI Vlan100, по которому в этом воображаемом примере происходит скажем OSPF обмен.
OSPF Passive Interface – Configuration and Why it is Used
OSPF is a link-state routing protocol that creates and keeps neighbor relationships by sharing routing updates with other OSPF routers. No routing information is exchanged and the only packets they exchange are Hello packets. Hello packets enables dynamic neighbor discovery and preserve neighbor connections. Passive interface command is used to suppress OSPF hello packets on a specified interface. It is also used in other routing protocols like RIP and EIGRP.
Enabling passive interfaces in our network devices mean that:
- OSPF continues to announce or advertise the interface’s connected network.
- OSPF routers stop sending OSPF Hellos on the interface.
- On the interface, OSPF no longer processes any received Hellos.
Why Do We Use OSPF Passive Interface?
The passive interface should be configured on interfaces that do not have an OSPF router connected to them so that they won’t receive any OSPF information. By silencing routing announcements on network interfaces, we tell the router to “listen but don’t talk.” A protocol’s routing load on the CPU can be reduced by minimizing the number of interfaces with which it must interact. The ‘passive-interface’ command disables OSPF and EIGRP route processing for that interface. If you’re sure the routing protocol won’t need to communicate with anything on the specified interface, use this command.
Another reason to apply passive interface is to increase security. An attacker could start an application that replies with OSPF hello packets then our router will try to establish neighbor relationship. The attacker could then advertise fake routes to misdirect traffic.
OSPF Passive Interface Configuration
There are two ways to configure OSPF passive interface in our network devices.
1. If we only need to configure passive interface on a single or a couple of interfaces, we can individually configure them using the ‘passive-interface’ command:
Router#conf t Router(config)#router ospf 1 Router(config-router)#passive-interface gi0/0/0 Router(config-router)#passive-interface gi0/0/1
2. If we need all interfaces to be passive interfaces and leaving a single or a couple of interfaces non-passive, we can set passive interface as the default configuration by using the ‘passive-interface default’ command:
Router#conf t Router(config)#router ospf 1 Router(config-router)#passive-interface default Router(config-router)#no passive-interface gi0/0/0
To verify our passive interface configuration, we can use the ‘show ip ospf interface command’:
Router#sh ip ospf interface GigabitEthernet0/0/0 is up, line protocol is up Internet address is 10.10.10.10/24, Area 0 Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State WAITING, Priority 1 No designated router on this network No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
Take note that this interface is no longer sending OSPF Hellos or processing any received Hellos in our OSPF domain.
Download our Free CCNA Study Guide PDF for complete notes on all the CCNA 200-301 exam topics in one book.
We recommend the Cisco CCNA Gold Bootcamp as your main CCNA training course. It’s the highest rated Cisco course online with an average rating of 4.8 from over 30,000 public reviews and is the gold standard in CCNA training:
What is Passive Interface?
Passive Interface is used in routing protocols to disable sending updates out from a specific interface. This holds true for OSPF, EIGRP and RIP.
In OSPF, Passive interface is somewhat like EIGRP where Hello packets are suppressed in addition to neighbor relationship.
OSPF Passive Interface
Passive interface in OSPF allows the connected network of an interface to be advertised throughout the OSPF domain, but stop the sending of hello packets.
If no hello packets are sent out of an interface, then an adjacency cannot be formed and if we configure an OSPF-enabled interface as passive where an adjacency already exists, the adjacency will drop.
OSPF Passive Interface Configuration
Below configuration enables passive interface on interface FastEthernet 0/0 and shortly drops the neighborship since no Hello is exchanged.
R1(config)#router ospf 1
R1(config-router)#passive-interface FastEthernet0/0
R1(config-router)#
16:12:11: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
At times, we may require that a Router should not have neighborship or send hello on any of the interfaces.
In this case, we no longer a need to configure each interface as passive. IOS version 12.0 onwards, we can now set all interfaces on a router as passive for a given protocol with the passive-interface default command.
We can then configure each interface not required to be passive with the “no passive-interface” command.
R3(config)#router ospf 1
R3(config-router)#passive-interface default
To set the interfaces back to their default, just use the no passive-interface default command.
R3(config-router)#no passive-interface default