После включения в сети EIGRP нового интерфейса протокол EIGRP пытается создать отношения смежности со всеми соседними маршрутизаторами для отправки и получения обновлений EIGRP.
Иногда может понадобиться или окажется выгоднее добавить в обновление маршрутов EIGRP напрямую подключенную сеть, но запретить для этого интерфейса создание отношений смежности с соседними устройствами. Для запрета отношений смежности с соседними устройствами можно использовать команду passive-interface. Существуют две основные причины включения команды passive-interface:
- подавить нежелательный трафик обновления, например, когда интерфейс является интерфейсом локальной сети без других подключенных маршрутизаторов;
- улучшить элементы безопасности, например запрещая неизвестным посторонним устройствам маршрутизации получать обновления EIGRP.
На рис. 1 показано, что у интерфейсов GigabitEthernet 0/0 маршрутизаторов R1, R2 и R3 отсутствуют соседние маршрутизаторы.
Команда режима конфигурации маршрутизатора passive-interface отключает для этих интерфейсов передачу и получение пакетов приветствия EIGRP.
Router(config)# router eigrp as-number
Router(config-router)# passive-interface interface-type interface-number
На рис. 2 показана команда passive-interface, настроенная для подавления пакетов приветствия в локальных сетях для маршрутизаторов R1 и R3. Маршрутизатор R2 настраивается с помощью средства проверки синтаксиса.
Без отношений смежности с соседними устройствами EIGRP не может обмениваться маршрутами с соседним маршрутизатором. Таким образом, команда passive-interface запрещает обмен маршрутами для интерфейса. Хотя EIGRP не отправляет и не получает обновления маршрутизации через интерфейс, настроенный с помощью команды passive-interface, адрес этого интерфейса все еще содержится в обновлениях маршрутизации, отправляемых через другие, непассивные интерфейсы.
Примечание. Чтобы настроить все интерфейсы как пассивные, используйте команду passive-interface default. Чтобы отключить интерфейс как пассивный, используйте команду no passive-interface interface-type interface-number.
Примером использования пассивного интерфейса для повышения безопасности является ситуация, когда необходимо подключить сеть к сети сторонней организации, управление которой недоступно локальному администратору, такой как сеть интернет-провайдера. В этом случае администратору локальной сети нужно объявлять канал интерфейса через собственную сеть, но нежелательно, чтобы сторонняя организация обменивалась обновлениями маршрутизации с локальным устройством маршрутизации, так как это представляет опасность.
Проверка пассивного интерфейса
Чтобы проверить, настроен ли интерфейс маршрутизатора как пассивный, используйте команду привилегированного режима show ip protocols, как показано на рис. 3. Обратите внимание, что хотя интерфейс GigabitEthernet 0/0 маршрутизатора R3 является пассивным интерфейсом, EIGRP по-прежнему добавляет сетевой адрес интерфейса сети 192.168.1.0 в свои обновления маршрутизации.
Используйте средство проверки синтаксиса на рис. 4, чтобы настроить для интерфейса GigabitEthernet 0/0 маршрутизатора R2 подавление пакетов приветствия EIGRP.