精华内容
下载资源
问答
  • OSPF被动接口配置

    千次阅读 2020-02-24 12:30:31
    OSPF被动接口配置 原理概述 OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。 实验内容 有路由器R1、R2、R4和R5分属不同部门的网关设备,每台设备都连接着各部门的员工终端,公司整网运行OSPF...

    OSPF被动接口配置

    原理概述

    OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。

    实验内容

    有路由器R1、R2、R4和R5分属不同部门的网关设备,每台设备都连接着各部门的员工终端,公司整网运行OSPF协议,并都处于区域0中。员工终端上经常受到路由器发送的OSPF数据报文,而该报文对终端毫无用处,还占用了一定的链路带宽资源,并有可能引起安全风险,比如非法接入路由器做路由欺骗。现通告配置被动接口来实现阻隔OSPF报文,优化公司网络。

    实验拓扑

    在这里插入图片描述
    实验地址
    在这里插入图片描述

    实验步骤

    1.配置各PC的IP,子网掩码和网关,配置路由器接口的IP和子网掩码。
    2.搭建OSPF网络。

    [R1]ospf 1
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]net 10.0.3.0 		0.0.0.255
    [R1-ospf-1-area-0.0.0.0]net 10.0.13.0		 0.0.0.255
    
    [R2]ospf 1
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]net 10.0.4.0 		0.0.0.255	
    [R2-ospf-1-area-0.0.0.0]net 10.0.23.0		 0.0.0.255
    
    [R3]ospf 1
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]net 10.0.13.0 	0.0.0.255
    [R3-ospf-1-area-0.0.0.0]net 10.0.23.0		 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]net 10.0.30.0		 0.0.0.255
    
    [R4]ospf 1
    [R4-ospf-1]area 0
    [R4-ospf-1-area-0.0.0.0]net 10.0.1.0		 0.0.0.255
    [R4-ospf-1-area-0.0.0.0]net 10.0.30.0 	0.0.0.255
    
    [R5]ospf 1
    [R5-ospf-1]area  0
    [R5-ospf-1-area-0.0.0.0]net 10.0.2.0 		0.0.0.255
    [R5-ospf-1-area-0.0.0.0]net 10.0.30.0		 0.0.0.255
    
    配置完成后,各网段能够互相连通。
    

    在PC1的接口E0/0/1上抓包,发现该PC所在部门的网关路由器R4不停地向这条线路发出OSPF的Hello报文,而对于PC而言,该报文是毫无用处的,同时也是不安全的。
    在这里插入图片描述
    3.配置被动接口
    在R4的OSPF进程中,使用silent-interface命令禁止接口接收和发送OSPF报文。

    [R4]ospf 1
    [R4-ospf-1]silent-interface g0/0/1
    

    如果R4上有多个接口需要设备为被动接口,只有G0/0/1接口保持活动状态,可以通过以下命令简化配置

    [R4]ospf 1
    [R4-ospf-1]silent-interface all
    [R4-ospf-1]undo silent-interface g0/0/1
    

    同样在其他部门的网关路由器上进行相应配置,使得所有部门的终端都不再收到无关的OSPF报文。

    [R1]ospf 1
    [R1-ospf-1]silent-interface g0/0/0
    
    [R2]ospf 1
    [R2-ospf-1]silent-interface g0/0/1
    
    [R3]ospf 1
    [R3-ospf-1]silent-interface g0/0/1
    

    4.验证被动接口
    以R5为例,将G0/0/0接口配置为被动接口。

    [R5]ospf 1
    [R5-ospf-1]silent-interface g0/0/0
    

    查看R5的OSPF邻居关系状态
    在这里插入图片描述
    可以观察到,此时R5的OSPF邻居全部消失。
    查看R5上的OSPF路由条目。
    在这里插入图片描述
    可以观察到,所有的OSPF路由条目都丢失。即验证了配置被动接口后,OSPF报文不再转发,包括建立邻居和维护邻居的Hello报文。

    在上一步骤中,R4的G0/0/1已经被配置了被动接口,那么配置被动接口上的相关网段的路由信息能够正常地被其他邻居路由器收到?在R1上查看R4被动接口g/0/1上所连网段的路由条目10.0.1.0/24
    在这里插入图片描述
    可以观察到,此时其他邻居路由器仍然可以收到该网段的路由条目。被动接口特性为只是不再收发任何OSPF协议报文,但是被动接口所在网段的直连路由条目如果已经在OSPF中通告,那么也会被其他的OSPF邻居路由器收到。
    在PC1测试与PC4的连通性

    PC>ping 10.0.4.1
    
    Ping 10.0.4.1: 32 data bytes, Press Ctrl_C to break
    From 10.0.4.1: bytes=32 seq=1 ttl=125 time=109 ms
    From 10.0.4.1: bytes=32 seq=2 ttl=125 time=94 ms
    From 10.0.4.1: bytes=32 seq=3 ttl=125 time=109 ms
    From 10.0.4.1: bytes=32 seq=4 ttl=125 time=109 ms
    From 10.0.4.1: bytes=32 seq=5 ttl=125 time=110 ms
    
    --- 10.0.4.1 ping statistics ---
      5 packet(s) transmitted
      5 packet(s) received
      0.00% packet loss
      round-trip min/avg/max = 94/106/110 ms
    

    可以观察到,通信正常,完全不受影响。

    展开全文
  • OSPF被动接口成为抑制接口,将不会接收和发送OSPF报文,如果OSPF的路由信息不被某一网络中的路由器获得,且本地路由器不接受网络其他路由器发布的路由更新信息,就是已经运行OSPF协议的进程中的接口不在与本链路上的...
    实验原理

    OSPF被动接口成为抑制接口,将不会接收和发送OSPF报文,如果OSPF的路由信息不被某一网络中的路由器获得,且本地路由器不接受网络其他路由器发布的路由更新信息,就是已经运行OSPF协议的进程中的接口不在与本链路上的其余路由建立邻居关系,可通过配置被动接口来禁止此接口接收和发送OSPF报文

    实验目的

    掌握OSPF的被动接口的应用场景
    掌握OSPF配置被动接口的方法
    理解OSPF被动接口的原理

    实验拓扑

    在这里插入图片描述

    实验步骤

    1、配置IP,测试各个网段的连通性
    2、搭建OSPF网络,所有的网络都运行在区域0内

    [R1]ospf 1
    [R1-ospf-1] area 0
    [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255
    
    [R2]ospf 1
    [R2-ospf-1]area 0 
    [R2-ospf-1-area-0.0.0.0]network 10.0.4.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    
    [R3]ospf 1
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255
    
    [R4]ospf 1
    [R4-ospf-1]area 0
    [R4-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255
    [R4-ospf-1-area-0.0.0.0]network 10.0.10.0 0.0.0.255
    
    [R5]ospf 1
    [R5-ospf-1]area 0
    [R5-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255
    [R5-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255
    
    
    
    

    配置完成后,在pc上测试个网段间的联通性,以pc3和pc4为例
    在这里插入图片描述
    在pc1的e0/0/0接口上抓包,如果8-5所示:
    在这里插入图片描述
    可以看出pc所在部门的网关路由器R4不停的向这条线路发出ospf的hello报文并尝试发现邻居,对于pc而言,这条报文是毫无意义的,同时也是不安全的,在ospf的hello报文中包含很多ospf网络的重要信息,如果被恶意截取,容易出现安全隐患。
    3、配置被动接口
    通过配置被动接口来优化连接终端的
    在R4的ospf进程中,使用silent-interface来禁止接收和发送ospf报文

    [R4]ospf 1
    [R4-ospf-1]silent-interface g0/0/1
    

    如果只想设置一个不为被动接口:下面这一条是除了g0/0/0以外,其他所有的接口都为被动接口

    [R4]ospf 1
    [R4-ospf-1]silent-interface all
    [R4-ospf-1]undo silent-interface g0/0/1
    

    下面将连接终端的其他路由器进行相应的配置

    [R1]ospf 1
    [R1-ospf-1]silent-interface g0/0/0
    
    [R2]ospf 1
    [R2-ospf-1]silent-interface g0/0/1
    
    [R5]ospf 1	
    [R5-ospf-1]silent-interface g0/0/1
    

    4、验证被动接口
    如果将R5的0口也配置为被动接口,就会发现他的邻居关系全部消失,路由条目也会丢失
    R4已经有一个接口配置了被动接口,配置被动接口的相应网段的路由信息能否正常的被其他邻居路由器收到?

    [R4]dis ip routing-table 10.0.1.1
    Route Flags: R - relay, D - download to fib
    ------------------------------------------------------------------------------
    Routing Table : Public
    Summary Count : 1
    Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
    
           10.0.1.0/24  Direct  0    0           D   10.0.1.254      GigabitEthernet
    0/0/1
    

    可以看出其他邻居的路由器依旧可以收到这个网段的路由条目,被动接口只是不再收到任何ospf报文,但是被动接口所在网段的直连路由条目已经在ospf中通告,那么也会被其他的ospf的邻居路由器收到。在这里插入图片描述

    总结,一方面优化网路,一方面OSFP和EIGRP设置为被动接口之后,这个接口无法和别人建立邻居,但是这个接口所在网段依然会被通告进OSPF协议。

    展开全文
  • OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。 拓扑图: 步骤: 1.基本配置: 如拓扑图所示,完成各个物理设备和接口的配置,并测试连通性: 2.搭建OSPF网络: 仅以R1为例,其他同理: ...

    导语:

    OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。

    拓扑图:

    在这里插入图片描述

    步骤:

    1.基本配置:

    如拓扑图所示,完成各个物理设备和接口的配置,并测试连通性:
    在这里插入图片描述

    2.搭建OSPF网络:

    仅以R1为例,其他同理:

    [R1]ospf
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 10.0.3.254 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 10.0.13.254 0.0.0.255
    

    全部配置完成后,测试PC-3和PC-4的连通性:
    在这里插入图片描述
    此时抓取PC-1的接口E0/0/1数据包:
    在这里插入图片描述
    可以看到,R4一直给PC-1发送hello报文尝试发现邻居,但对于PC而言,这些报文是完全无用的,甚至是不安全的;

    3.配置被动接口:

    [R4-ospf-1]silent-interface g0/0/1
    

    抓取PC-1的接口数据包:
    在这里插入图片描述
    可以看到,PC-1已经没有收到OSPF的hello报文了;
    同理,R1、R2和R5上配置被动接口;

    4.验证被动接口:

    以R5为例,关闭R5的g0/0/0接口:

    [R5-ospf-1]silent-interface g0/0/0
    

    查看R5的邻居状态:
    在这里插入图片描述
    可以看到,R5的邻居全部消失;
    查看R5的路由条目:
    在这里插入图片描述
    可以看到,路由条目全部丢失;
    现在,我们来查看R1上是否还有R4关闭的接口网段信息:
    在这里插入图片描述
    可以看到,其他路由器依然能够接收到10.0.1.0/24的网段信息;
    由此可知,被动接口网段只是不再收发任何OSPF协议报文,但是被动接口所在网段的直连路由网段如果已经再ospf中被告知,那么也会被其他邻居接收到;
    最后,测试PC-1和PC-4的连通性:
    在这里插入图片描述
    通信正常;

    至此,OSPF被动接口配置实验完成!

    思考题:

    问题:在本实验中,通过配置被动接口可以禁止OSPF收发Hello报文,是否还有其他办法也能实现?
    解答:接口网络类型改成NBMA也不会主动发送hello包,另外只能通过安全设备进行数据包过滤实现了。

    展开全文
  • 华为 “OSPF被动接口配置

    千次阅读 2020-09-08 23:25:13
    OSPF 被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。如果要使OSPF路由信息不被某一网络中的路由器获得,且使本地路由器不接收网络中其它路由器发布的其它路由更新信息,即已运行在OSPF协议进程...

    OSPF 被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。如果要使OSPF路由信息不被某一网络中的路由器获得,且使本地路由器不接收网络中其它路由器发布的其它路由更新信息,即已运行在OSPF协议进程中的接口不与本链路上其余路由器建立邻居关系时,可通过配置被动接口来禁止此接口接收和发送OSPF报文。

    R1,R2,R4,R5分属不同部门的网关设备,整网运行OSPF协议,都处于区域0中。员工终端上经常收到路由器发送的OSPF报文。毫无用处且占用一定的带宽资源,并可能引起安全风险,比如非法接入路由器做路由欺骗。现通告被动接口来实现阻隔OSPF报文,作网络优化。

    在这里插入图片描述
    //R1为列其它设备接口配置不赘述
    [R1]int g 0/0/1
    [R1-GigabitEthernet0/0/1]ip add 10.0.13.1 24
    [R1-GigabitEthernet0/0/1]int g 0/0/0
    [R1-GigabitEthernet0/0/0]ip add 10.0.3.254 24

    //配置基本的OSPF,所有路由器接口运行在区域0中
    [R1]ospf 1
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255

    [R2]ospf 1
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 10.0.4.0 0.0.0.255

    [R3]ospf 1
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255

    [R4]ospf 1
    [R4-ospf-1]area 0
    [R4-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255
    [R4-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255

    [R5]ospf 1
    [R5-ospf-1]area 0
    [R5-ospf-1-area-0.0.0.0]network 10.0.30.0 0.0.0.255
    [R5-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255

    PC>ping 10.0.2.1 //PC1上ping各PC,通信正常建立

    Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break
    From 10.0.2.1: bytes=32 seq=1 ttl=126 time=47 ms
    From 10.0.2.1: bytes=32 seq=2 ttl=126 time=31 ms

    — 10.0.2.1 ping statistics —
    2 packet(s) transmitted
    2 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 31/39/47 ms

    PC>ping 10.0.3.1

    Ping 10.0.3.1: 32 data bytes, Press Ctrl_C to break
    From 10.0.3.1: bytes=32 seq=1 ttl=125 time=47 ms
    From 10.0.3.1: bytes=32 seq=2 ttl=125 time=62 ms
    From 10.0.3.1: bytes=32 seq=3 ttl=125 time=31 ms

    — 10.0.3.1 ping statistics —
    3 packet(s) transmitted
    3 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 31/46/62 ms

    PC>ping 10.0.4.1

    Ping 10.0.4.1: 32 data bytes, Press Ctrl_C to break
    From 10.0.4.1: bytes=32 seq=1 ttl=125 time=63 ms
    From 10.0.4.1: bytes=32 seq=2 ttl=125 time=31 ms
    From 10.0.4.1: bytes=32 seq=3 ttl=125 time=78 ms

    — 10.0.4.1 ping statistics —
    3 packet(s) transmitted
    3 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 31/57/78 ms

    //在PC1上 E0/0/0接口上抓包,如下图
    在这里插入图片描述
    //PC1所在部门的网关路由器R4不停的向这条线路发出OSPF的Hello报文尝试发现邻居,对于PC而言,该报文毫无用处也不安全。OSPF 的Hello报文中包含很多OSPF网络的重要信息,如果被恶意截取,容易出现安全隐患。

    //在R4上配置被动接口,使终端不在收到任何OSPF报文。
    [R4]ospf 1
    [R4-ospf-1]silent-interface gig 0/0/1 // silent-interface 禁止接口发送和接收OSPF报文

    //再次观察抓包发现OSPF的报文已经不在周期性发送任何OSPF的Hello报文
    在这里插入图片描述

    //如果R4上有多个接口需要设置为被动接口,只有E0/0/1接口保持活动状态,可以通过以下命令简化配置
    [R4]ospf 1
    [R4-ospf-1]silent-interface all //配置所有接口为被动接口
    [R4-ospf-1]undo silent-int g 0/0/1 //排除不需要配置为被动接口的接口

    //在其它路由器上进行被动接口配置
    [R1]ospf 1
    [R1-ospf-1]silent-int g 0/0/0

    [R2]ospf 1
    [R2-ospf-1]silent-int g 0/0/1

    [R5]ospf 1
    [R5-ospf-1]silent-int g 0/0/1

    //将R5的GE0/0/0接口配置为被动接口
    [R5]ospf 1
    [R5-ospf-1]silent-int g 0/0/0
    [R5-ospf-1]dis ip routing-table protocol ospf //配置为被动接口后OSPF路由条目全部丢失
    [R5-ospf-1]dis ospf peer //邻居关系全部消失

    OSPF Process 1 with Router ID 10.0.30.5
    //即配置被动接口后,OSPF报文不在转发,包括建立邻居和维护邻居的Hello报文。

    //R4的GE0/0/1接口已经配置为被动接口,那么该接口上的相关网段的路由信息能否正常被其它邻居路由器收到
    [R1]dis ip routing-table 10.0.1.1 //其它网段仍然可以收到该网段的路由条目
    Route Flags: R - relay, D - download to fib

    Routing Table : Public
    Summary Count : 1
    Destination/Mask Proto Pre Cost Flags NextHop Interface

    10.0.1.0/24 OSPF 10 3 D 10.0.13.3 GigabitEthernet0/0/1

    //被动接口特性只是不在收发任何OSPF报文协议,但是被动接口所在的网段的直连路由条目如果已经在OSPF中通告,那么也会被其它的OSPF邻居路由器接收到

    PC>ping 10.0.4.1 //PC1 ping PC4正常通信,完全不受被动端口影响

    Ping 10.0.4.1: 32 data bytes, Press Ctrl_C to break
    From 10.0.4.1: bytes=32 seq=1 ttl=125 time=78 ms
    From 10.0.4.1: bytes=32 seq=2 ttl=125 time=62 ms
    From 10.0.4.1: bytes=32 seq=3 ttl=125 time=63 ms
    From 10.0.4.1: bytes=32 seq=4 ttl=125 time=62 ms
    From 10.0.4.1: bytes=32 seq=5 ttl=125 time=47 ms

    — 10.0.4.1 ping statistics —
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 47/62/78 ms

    展开全文
  • 因此,在整个OSPF网络中,通告网络是需要的,但是不能造成链路资源的浪费,OSPF被动接口应运而生。 二、实验拓扑 三、实验步骤 1.搭建如图所示的网络拓扑图; 2.初始化路由器,配置相应的IP地址,测试直连网络的...
  • passive-interface OSPF被动接口

    万次阅读 2013-09-26 16:22:13
    在 router ospf 100 中进行输入 passive-interface f0/1  这样这台设备不会收到任何来至 f0/1 接口ospf 信息。也不发送。
  • 29、OSPF配置实验之被动接口

    千次阅读 2017-11-15 20:07:00
    当我们不想某个接口收发OSPF报文时,我们可以在OSPF路由进程下将其配置成被动接口。network通告路由和发送hello包,当我们将接口配置成被动接口后,它只是不收发hello报文而已,网络还是会通告出来,其他路由器同样...
  • 被动接口是为了防止其他路由器动态学习到本路由器上的路由信息,设置本路由器的接口为...2、 Ospf协议下的被动接口验证,ospf协议下的接口设置被动接口后,该接口不发送也不接收更新报文。3、 实验技能准备.基本命令...
  • 除了BGP之外的所有基于IP路由协议都可以使用被动接口, 一、在RIP中使用被动接口1、使用被动接口的目的在某些网络环境中,我们不希望将RIP更新发送给某些路由器或者说发送到某个网络中去,我们就可以使用passive-...
  • OSPF扩展配置 认证 (1)接口认证 邻居间的身份认证,在和邻居连接的接口进行认证配置即可(有明文认证与密文认证)。 具体配置 ①明文认证方式 [huawei] int g0/0/1 [huawei-GigabitEthernet0/0/1] ospf ...
  • 实验内容: 实验拓扑: 实验编址表: 实验配置: 一、配置ospf路由协议 [R1]router id 1.1.1.1 [R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,504
精华内容 1,401
关键字:

ospf被动接口