Passivt interface

Som standard vidarebefordras OSPF-meddelanden ut på alla OSPF-aktiverade interface. Dock behöver dessa meddelanden egentligen bara skickas ut på interface som ansluter till andra OSPF-aktiverade routrar. Se topologin i figuren.

OSPFv2-meddelanden skickas ut på de tre loopback-interface även om inga OSPFv2-grannar finns på dessa simulerade LAN. I ett produktionsnätverk skulle dessa loopbacks vara fysiska interface till nätverk med användare och trafik. Att skicka ut onödiga meddelanden på ett LAN påverkar nätverket på tre sätt, enligt följande:

  • Ineffektiv användning av bandbredd – Tillgänglig bandbredd förbrukas genom att transportera onödiga meddelanden.
  • Ineffektiv användning av resurser – Alla enheter på ett LAN måste bearbeta och till slut kasta bort meddelandet.
  • Ökad säkerhetsrisk – Utan ytterligare OSPF-säkerhetskonfigurationer kan OSPF-meddelanden avlyssnas med paketsniffningsprogramvara. Routing-uppdateringar kan ändras och skickas tillbaka till routern, vilket korrumperar routing-tabellen med falska rutter som omdirigerar trafiken till felaktiga nätversdestinationer.

Konfigurera passiva interface

Använd kommandot passive-interface i routerkonfigurationsläge för att förhindra att routing-meddelanden skickas genom ett router-interface, men fortfarande tillåta att det nätverket annonseras till andra routrar. I konfigurationsexemplet identifieras interfacet R1 Loopback 0/0/0 som passivt.

Observera: Loopback-interfacet i detta exempel representerar ett Ethernet-nätverk. I produktionsnätverk kräver inte loopback-interface att de är passiva.

Kommandot show ip protocols används sedan för att verifiera att interfacet Loopback 0 listas som passivt. Interfacet listas fortfarande under rubriken ”Routing on Interfaces Configured Explicitly (Area 0)”, vilket innebär att detta nätverk fortfarande ingår som en rutt-inmatning i OSPFv2-uppdateringar som skickas till R2 och R3.

  • R1(config)# router ospf 10
  • R1(config-router)# passive-interface loopback 0
  • R1(config-router)# end
  • R1#
  • *May 23 20:24:39.309: %SYS-5-CONFIG_I: Configured from console by console
  • R1# show ip protocols
  • *** IP Routing is NSF aware ***
  • (output omitted)
  • Routing Protocol is ”ospf 10”
  • Outgoing update filter list for all interfaces is not set
  • Incoming update filter list for all interfaces is not set
  • Router ID 1.1.1.1
  • Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  • Maximum path: 4
  • Routing for Networks:
  • Routing on Interfaces Configured Explicitly (Area 0):
  • Loopback0
  • GigabitEthernet0/0/1
  • GigabitEthernet0/0/0
  • Passive Interface(s):
  • Loopback0
  • Routing Information Sources:
  • Gateway     Distance       Last Update
  • 3.3.3.3         110               01:01:48
  • 2.2.2.2         110               01:01:38
  • Distance: (default is 110)
  • R1#

Som ett alternativ kan alla interface göras passiva med hjälp av kommandot passive-interface default. Interface som inte ska vara passiva kan återaktiveras med kommandot no passive-interface.