设置端口为passive interface

 

Passive-interface的使用：

 

    Passive-interface说的就是“被动接口”，使用了这个命令后，特定的路由协议的更新就

不会从这个接口发送出去了。使用这种方法可以很好的控制路由更新的流向，避免不必要的

链路资源的浪费。

比如说，在一个路由器上，有S1与S2两个串口，我们想在S1口上不传播RIP的更新，

只在S2上传播。那么我们可以使用下面的命令：

Router rip 

Version 2

Passive-interface s1

这样一来就可以了【其实从这3条命令来看的话，我们还可以看出一个东西，那就是路由器

的接口在默认的情况下，只要设置的IP地址在该路由协议设置的范围内，它就会发送和接

收路由更新包】。如果接口非常的多，并且我们只想在接口S1上传播RIP更新，其他的接

口不传播，那么我们可以使用另外一种变向的方法来实现：

Router rip 

Version 2

Passive-interface default 【这个命令是将路由器上的所有的接口都设置成“被动接口”模式】

No passive-interface s1 

 

 

路由过滤的流程：

   当收到一个路由更新的时候，先检查这个接口是不是设置有“过滤器”，如果没有的话，

就正常转发，如果有的话，就看看是不是符合这个“过滤器”的过滤标准，如果不符合的话，

就丢弃掉这个“更新”，如果符合的话，就按照这个“过滤器”的配置进行相应的转发。

 

配置Distribute list ：

 

使用这个“重分发列表”可以控制路由更新的流量【前面我们介绍了一个“被动接口”技术】

 

对于“出站的路由更新”：

Router(config-router)# distribute-list {access-list-number | name } out [interface-name |

routing-process | [ auto-system-number ] ]

 

基于“进站的路由更新”：

Router(config-router)# distribute-list { access-list-number | name } in [interface-type-number ] 

 

重分发列表一般都是和“访问控制列表”结合使用的。一般情况下，使用out 比较多，

而in 用的比较少。、

 

passive interface 总结

总结总结

总结

用最简单的话来说,passive-interface的作用,就是让某些在routing protocol作用范围内的

interface光吃饭不做事.(这真是让人既羨慕又忌妒…) 不过,使用passive-interface可以根据routing protocol分三种情况:

第一种是RIP和IGRP.这一种routing protcol的特点是不会与对方router建立关系(你要

说发生关系我也不反对...).所以,router是每隔一段时间就会发生只听不送的状况. 换句话说,

只要routing protocol的process还在运行,routing update还是可以接收信息,只不过因为

passive-interface指令的关系,update会送不出去,所以如果要阻止update送进router中,还要加

上distribute-list平当incoming update.这是第一路情况.

 

第二种是像OSPF,EIGRP之类的routing protocol.这一种路由协议的特点是会与对方

router建立关系,也就是说router之间会建neighbor,所以,一旦用了passive -interface之后,你就

断开了router之间的关系(嘿嘿..这是破坏人家的姻缘,小心被众routers怨恨...).因为no

relationship, no update.因此,所有的update送不出去,介是也收不进来.这是第二种情况.

 

第三种是ISIS.这是最奇怪的一种.有玩过的就知道,ISIS的routing command是下在

interface mode而不在routing mode.所以如果把一个网段加入,就用ip router isis命令.好了,

问题是,如果我不要这个interface收送isis routing update,但是又要这个interface所属的网

段要加入ISIS的routing之中,那要怎么做??答案就是用passive- interface.当然你也可以用

redistribute connected的方式来做.但就是不如passive-interface的方式 来的简洁,或者,你

也可以笨笨的在interface下ip router isis,然后用distribute-list来阻止.不过,玩routing

protocol玩到这个程度,你还是不要去考CCIE比较好.那个考试费用省下来可以多吃几顿好

的了.

 

哈哈,高手就是高啊,在这里想说一下PASSIVE INTERFACE的几个命令: 1 passive interface

2 no passive interface ERGIP RGIP OSPF RIP

都在ROUTING MODE

IS-IS 在接口模式下面

最近学习is-is的时候，发现有些知识点还是比较薄弱的。

 

比如对passive interface 的理解，就很片面。

在配置is-is的时候经常会看到把这些端口放入passive interface,然后考虑是不是和ospf

一样的效果，不建立邻接关系呢？

其实，答案在下面的这段话中就有了解释：

 

If you disable the sending of routing updates on an interface, the particular

subnet will continue to be advertised to other interfaces, and updates from

other routers on that interface continue to be received and processed.

 

For the Open Shortest Path First (OSPF) protocol, OSPF routing information is

neither sent nor received through the specified router interface. The specified

interface address appears as a stub network in the OSPF domain.  

For the Intermediate System-to-Intermediate System (IS-IS) protocol, this

command instructs IS-IS to advertise the IP addresses for the specified

interface without actually running IS-IS on that interface. The no form of this

command for IS-IS disables advertising IP addresses for the specified address.

 

Enhanced Interior Gateway Routing Protocol (IGRP) is disabled on an interface

that is configured as passive although it advertises the route

 

 

passive interface

1）RIP和IGRP不用和邻接路由器建立邻接关系，当配置了'passive interface'后，该路由

器仅从相应的接口收听相应的路由协议包，而不发送路由协议包。

2）passive interface'对OSPF，EIGRP则意义不大，因为这两种路由协议都要建立邻接关

系。路由包不容许发送，邻接关系就建立不起来。因此在OSPF，EIGRP中，这条命令很

少用到。

 

silent-interface

1）如果希望在某路由器上发布某直连路由，可以用import direct引入直连路由。但由于这

样生成的是External LSA，会通告到整个自治域（stub区域除外），影响的范围较大。如

果希望限制直连路由通告的范围，可以通过network命令在该接口上使能 OSPF，然后用

silent-interface可以避免在该接口上发hello报文建立邻居。这样该直连路由就会以区域内

路由的形式发布出去。

2）此命令可以理解为不建立邻居，也有一定的安全作用．一般建议在与客户ＰＣ相连的网

段启用该命令，防止恶意的建立邻居关系引起路由错乱。

// 一般情况下，OSPF process 下要把loopback 地址 silent-interface 掉；

参考：

 

OSPF网络时如何合理引入外部路由。

 

众所周知，在网络的接入层，一般设备的级别较低，部署OSPF对设备的压力较大，而且，

对于单链路上行的网络拓扑来说，配置静态路由也同样可以很好解决互通性问题。我们需要

解决的问题是，如何将这些通过静态或者直联方式（运行OSPF的路由器的下行接口作为

终端的网关）接入的业务网段引入到OSPF协议中，使整个网络的互通性得到保证。

将外部路由引入到OSPF中，有两种方式：通过“network”命令将该端口使能OSPF，同时，

该端口IP地址对应的网段路由信息也会从在各类型LSA中有所体现，其他运行OSPF的

设备可以通过相应的LSA计算出对应的路由信息（这种方式只适用于直连路由的引入）；

通过“import-route”命令将其他协议发现的路由信息以type 5（在NSSA区域中以type 7形

式）的LSA发布到OSPF中，每条外部路由对应一条LSA。注意：对于这种只需要发布业

务网段，并不需要建立OSPF邻居的接口，需要配置silent-interface，确保网络的安全性。

另外，在OSPF协议中，支持邻居之间的认证机制，建议邻居之间进行加密配置，避免其

他路由器“方便”的接入网络，造成网络信息的泄漏。 以上两种方式虽然都可以将外部路由引入OSPF，但是对于OSPF来说，通过两种方式引

入的路由信息是区别对待的。对于通过“network”命令引入的路由信息，在OSPF中是“内部

路由”，是OSPF根据最短路径优先算法精确计算出来的；对于通过“import-route”命令引入

的路由信息在OSPF中是“外部路由（OSPF-ASE）”，没有精确的拓扑信息，OSPF协议本

身并不保证这种路由信息出现环路，当然，只有在IP地址分配错误的网络中（同一IP网段

分配给多个地方使用），OSPF外部路由才有成环的可能。除了拓扑信息不完善以外，

OSPF-ASE路由在聚合方面也没有OSPF路由灵活。 

silent-interface配置实例

配置实例配置实例

配置实例

S6500交换机三层接口相关配置如下，请完成路由协议OSPF的配置，要求在Area 0发布

所有三层网段、连接server的VLAN不发送OSPF协议报文、此三层交换机为非ASBR节

点。

interface Vlan-interface2901

description TO[Core-NE80E_A-G2/0/0]

ip address 10.96.100.5 255.255.255.252

ospf authentication-mode md5 1 %5/>N_Q['Hw9SJ5-O'Ra1!!

ospf network-type p2p

#

interface Vlan-interface2902

description TO[Core-NE80E_B-G2/0/0]

ip address 10.96.100.9 255.255.255.252

ospf authentication-mode md5 1 %5/>N_Q['Hw9SJ5-O'Ra1!!

ospf network-type p2p

#

interface Vlan-interface2911

description TO[WEB-Server]

ip address 10.96.200.1 255.255.255.240

#

interface Vlan-interface2912

description TO[MAIL-Server]

ip address 10.96.200.17 255.255.255.240

OSPF

silent-interface Vlan-interface2911 （1分）

silent-interface Vlan-interface2912 （1分）

area 0

authentication-mode md5 （1分）

network 10.96.100.4 0.0.0.3 （1分）

network 10.96.100.8 0.0.0.3 （1分）

network 10.96.200.0 0.0.0.15 （1分）

network 10.96.200.16 0.0.0.15 （1分）