passive-interface / silent-interface
2008-05-06 10:47
环境:Cisco router
passive interface
1)RIP和IGRP不用和邻接路由器建立邻接关系,当配置了'passive interface'后,该路由器仅从相应的接口收听相应的路由协议包,而不发送路由协议包。
2)passive interface'对OSPF,EIGRP则意义不大,因为这两种路由协议都要建立邻接关系。路由包不容许发送,邻接关系就建立不起来。因此在OSPF,EIGRP中,这条命令很少用到。

环境:Huawei router
      silent-interface
     1) 如果希望在某路由器上发布某直连路由,可以用import direct引入直连路由。但由于这样生成的是External LSA,会通告到整个自治域(stub区域除外),影响的范围较大。如果希望限制直连路由通告的范围,可以通过network命令在该接口上使能 OSPF,然后用silent-interface可以避免在该接口上发hello报文建立邻居。这样该直连路由就会以区域内路由的形式发布出去。
    2)此命令可以理解为不建立邻居,也有一定的安全作用.一般建议在与客户PC相连的网段启用该命令,防止恶意的建立邻居关系引起路由错乱。

// 一般情况下,OSPF process 下要把loopback 地址 silent-interface 掉;

    参考:
    
    OSPF网络时如何合理引入外部路由。
  
    众所周知,在网络的接入层,一般设备的级别较低,部署OSPF对设备的压力较大,而且,对于单链路上行的网络拓扑来说,配置静态路由也同样可以很好解决互通性问题。我们需要解决的问题是,如何将这些通过静态或者直联方式(运行OSPF的路由器的下行接口作为终端的网关)接入的业务网段引入到OSPF协议中,使整个网络的互通性得到保证。
   将外部路由引入到OSPF中,有两种方式:通过“network”命令将该端口使能OSPF,同时,该端口IP地址对应的网段路由信息也会从在各类型LSA中有所体现,其他运行OSPF的设备可以通过相应的LSA计算出对应的路由信息(这种方式只适用于直联路由的引入);通过“import-route”命令将其他协议发现的路由信息以type 5(在NSSA区域中以type 7形式)的LSA发布到OSPF中,每条外部路由对应一条LSA注意:对于这种只需要发布业务网段,并不需要建立OSPF邻居的接口,需要配置silent-interface,确保网络的安全性。另外,在OSPF协议中,支持邻居之间的认证机制,建议邻居之间进行加密配置,避免其他路由器“方便”的接入网络,造成网络信息的泄漏。
以上两种方式虽然都可以将外部路由引入OSPF,但是对于OSPF来说,通过两种方式引入的路由信息是区别对待的。对于通过“network”命令引入的路由信息,在OSPF中是“内部路由”,是OSPF根据最短路径优先算法精确计算出来的;对于通过“import-route”命令引入的路由信息在OSPF中是“外部路由(OSPF-ASE)”,没有精确的拓扑信息,OSPF协议本身并不保证这种路由信息出现环路,当然,只有在IP地址分配错误的网络中(同一IP网段分配给多个地方使用),OSPF外部路由才有成环的可能。除了拓扑信息不完善以外,OSPF-ASE路由在聚合方面也没有OSPF路由灵活。