passive-interface / silent-interface
2008-05-06 10:47
|
環境:Cisco router passive interface 1)RIP和IGRP不用和鄰接路由器建立鄰接關係,當配置了'passive interface'後,該路由器僅從相應的接口收聽相應的路由協議包,而不發送路由協議包。 2)passive interface'對OSPF,EIGRP則意義不大,因爲這兩種路由協議都要建立鄰接關係。路由包不容許發送,鄰接關係就建立不起來。因此在OSPF,EIGRP中,這條命令很少用到。 環境:Huawei router silent-interface 1) 如果希望在某路由器上發佈某直連路由,可以用import direct引入直連路由。但由於這樣生成的是External LSA,會通告到整個自治域(stub區域除外),影響的範圍較大。如果希望限制直連路由通告的範圍,可以通過network命令在該接口上使能 OSPF,然後用silent-interface可以避免在該接口上發hello報文建立鄰居。這樣該直連路由就會以區域內路由的形式發佈出去。 2)此命令可以理解爲不建立鄰居,也有一定的安全作用.一般建議在與客戶PC相連的網段啓用該命令,防止惡意的建立鄰居關係引起路由錯亂。 // 一般情況下,OSPF process 下要把loopback 地址 silent-interface 掉; 參考: OSPF網絡時如何合理引入外部路由。 衆所周知,在網絡的接入層,一般設備的級別較低,部署OSPF對設備的壓力較大,而且,對於單鏈路上行的網絡拓撲來說,配置靜態路由也同樣可以很好解決互通性問題。我們需要解決的問題是,如何將這些通過靜態或者直聯方式(運行OSPF的路由器的下行接口作爲終端的網關)接入的業務網段引入到OSPF協議中,使整個網絡的互通性得到保證。 將外部路由引入到OSPF中,有兩種方式:通過“network”命令將該端口使能OSPF,同時,該端口IP地址對應的網段路由信息也會從在各類型LSA中有所體現,其他運行OSPF的設備可以通過相應的LSA計算出對應的路由信息(這種方式只適用於直聯路由的引入);通過“import-route”命令將其他協議發現的路由信息以type 5(在NSSA區域中以type 7形式)的LSA發佈到OSPF中,每條外部路由對應一條LSA。注意:對於這種只需要發佈業務網段,並不需要建立OSPF鄰居的接口,需要配置silent-interface,確保網絡的安全性。另外,在OSPF協議中,支持鄰居之間的認證機制,建議鄰居之間進行加密配置,避免其他路由器“方便”的接入網絡,造成網絡信息的泄漏。
以上兩種方式雖然都可以將外部路由引入OSPF,但是對於OSPF來說,通過兩種方式引入的路由信息是區別對待的。對於通過“network”命令引入的路由信息,在OSPF中是“內部路由”,是OSPF根據最短路徑優先算法精確計算出來的;對於通過“import-route”命令引入的路由信息在OSPF中是“外部路由(OSPF-ASE)”,沒有精確的拓撲信息,OSPF協議本身並不保證這種路由信息出現環路,當然,只有在IP地址分配錯誤的網絡中(同一IP網段分配給多個地方使用),OSPF外部路由纔有成環的可能。除了拓撲信息不完善以外,OSPF-ASE路由在聚合方面也沒有OSPF路由靈活。 |