passive interface


1)RIP和IGRP不用和邻接路由器建立邻接关系,当配置了'passive interface'后,该路由器仅从相应的接口收听相应的路由协议包,而不发送路由协议包。
2)passive interface'对OSPF,EIGRP则意义不大,因为这两种路由协议都要建立邻接关系。路由包不容许发送,邻接关系就建立不起来。因此在OSPF,EIGRP中,这条命令很少用到。


silent-interface
     1) 如果希望在某路由器上发布某直连路由,可以用import direct引入直连路由。但由于这样生成的是External LSA,会通告到整个自治域(stub区域除外),影响的范围较大。如果希望限制直连路由通告的范围,可以通过network命令在该接口上使能 OSPF,然后用silent-interface可以避免在该接口上发hello报文建立邻居。这样该直连路由就会以区域内路由的形式发布出去。
    2)此命令可以理解为不建立邻居,也有一定的安全作用.一般建议在与客户PC相连的网段启用该命令,防止恶意的建立邻居关系引起路由错乱。

// 一般情况下,OSPF process 下要把loopback 地址 silent-interface 掉;

    参考:
   
    OSPF网络时如何合理引入外部路由。
  
    众所周知,在网络的接入层,一般设备的级别较低,部署OSPF对设备的压力较大,而且,对于单链路上行的网络拓扑来说,配置静态路由也同样可以很好解决互 通性问题。我们需要解决的问题是,如何将这些通过静态或者直联方式(运行OSPF的路由器的下行接口作为终端的网关)接入的业务网段引入到OSPF协议 中,使整个网络的互通性得到保证。
   将外部路由引入到OSPF中,有两种方式:通过“network”命令将该端口使能OSPF,同时,该端口IP地址对应的网段路由信息也会从在各类型 LSA中有所体现,其他运行OSPF的设备可以通过相应的LSA计算出对应的路由信息(这种方式只适用于直联路由的引入);通过“import- route”命令将其他协议发现的路由信息以type 5(在NSSA区域中以type 7形式)的LSA发布到OSPF中,每条外部路由对应一条LSA。注意:对于这种只需要发布业务网段,并不需要建立OSPF邻居的接口,需要配置 silent-interface,确保网络的安全性。另外,在OSPF协议中,支持邻居之间的认证机制,建议邻居之间进行加密配置,避免其他路由器“方 便”的接入网络,造成网络信息的泄漏。
以上两种方式虽然都可以将外部路由引入OSPF,但是对于OSPF来说,通过两种方式引入的路由信息是区别对待的。对于通过“network”命令引入的 路由信息,在OSPF中是“内部路由”,是OSPF根据最短路径优先算法精确计算出来的;对于通过“import-route”命令引入的路由信息在 OSPF中是“外部路由(OSPF-ASE)”,没有精确的拓扑信息,OSPF协议本身并不保证这种路由信息出现环路,当然,只有在IP地址分配错误的网 络中(同一IP网段分配给多个地方使用),OSPF外部路由才有成环的可能。除了拓扑信息不完善以外,OSPF-ASE路由在聚合方面也没有OSPF路由 灵活。

silent-interface配置实例

S6500交换机三层接口相关配置如下,请完成路由协议OSPF的配置,要求在Area 0发布所有三层网段、连接server的VLAN不发送OSPF协议报文、此三层交换机为非ASBR节点。
interface Vlan-interface2901
description TO[Core-NE80E_A-G2/0/0]
ip address 10.96.100.5 255.255.255.252
ospf authentication-mode md5 1 %5/>N_Q['Hw9SJ5-O'Ra1!!
ospf network-type p2p
#
interface Vlan-interface2902
description TO[Core-NE80E_B-G2/0/0]
ip address 10.96.100.9 255.255.255.252
ospf authentication-mode md5 1 %5/>N_Q['Hw9SJ5-O'Ra1!!
ospf network-type p2p
#
interface Vlan-interface2911
description TO[WEB-Server]
ip address 10.96.200.1 255.255.255.240
#
interface Vlan-interface2912
description TO[MAIL-Server]
ip address 10.96.200.17 255.255.255.240

 

OSPF
silent-interface Vlan-interface2911 (1分)
silent-interface Vlan-interface2912 (1分)
area 0
    authentication-mode md5 (1分)
    network 10.96.100.4 0.0.0.3 (1分)
    network 10.96.100.8 0.0.0.3 (1分)
    network 10.96.200.0 0.0.0.15 (1分)
    network 10.96.200.16 0.0.0.15 (1分)