华为 |
您所在的位置:网站首页 › 开启ospf协议的命令 › 华为 |
华为
|
OSPF被动接口(抑制接口)简介
OSPF被动接口也称抑制接口,成为被动接口后,将不会接收和发送OSPF报文。如果要使OSPF路由信息不被某一网络中的路由器获得且使本地路由器不接收网络中其他路由器发布的路由更新信息,即已运行在OSPF协议进程中的接口不与本链路上其余路由器建立邻居关系时,可通过配置被动接口来禁止此接口接收和发送OSPF报文。 实验内容模拟某公司网络,ISP为信息服务商路由,R为公司出口路由器,R1、R2、R3为公司内部路由,公司所有路由器都连接了公司用户终端,公司网络运行OSPF协议,信息服务商路由和员工终端上经常收到路由器发送的OSPF数据报文,而该报文对终端和外网而言毫无用处,还占用了一定的链路带宽资源,并有可能引起安全风险,比如非法接入路由器做路由欺骗。现通过配置被动接口来实现阻隔OSPF报文,优化公司网络。 配置步骤 每台路由器上配置路由器名、接口IP地址等基础配置;进入系统视图,然后执行ospf[process-id | router-id router-id]命令以使能OSPF进程,并进入OSPF视图。进入OSPF视图之后,根据网络规划指定运行OSPF协议的接口以及这些接口所在的区域;在OSPF视图下,使用silent-interface命令禁止接口接收和发送OSPF报文。 主要配置命令silent-interface 被动接口配置命令,举例如下: [R3-ospf-11]silent-interface GigabitEthernet 0/0/1 //R3路由器GE 0/0/1接口设置为OSPF被动接口,不在接收和发送OSPF报文,所以抓不到OSPF数据包。 网络拓扑图
system-view [Huawei]sysname R [R]interface GigabitEthernet 0/0/0 [R-GigabitEthernet0/0/0]ip address 10.0.0.254 24 [R-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 [R-GigabitEthernet0/0/1]ip address 66.6.1.11 24 [R-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 [R-GigabitEthernet0/0/2]ip address 192.168.4.254 24 //配置接口IP地址[R-GigabitEthernet0/0/2]quit [R]ospf 11 router-id 1.1.1.0 //开启ospf进程并配置路由器R的ID[R-ospf-11]silent-interface GigabitEthernet 0/0/1 //将路由器R的GigabitEthernet 0/0/1接口配置为被动接口[R-ospf-11]area 0 //进入骨干区域area 0视图[R-ospf-11-area-0.0.0.0]network 10.0.0.0 0.0.0.255 //指定运行OSPF协议的接口[R-ospf-11-area-0.0.0.0]network 66.6.1.0 0.0.0.255 [R-ospf-11-area-0.0.0.0]network 192.168.4.0 0.0.0.255 [R-ospf-11-area-0.0.0.0]quit 注:R路由器和其他路由器配置相似,不再赘述。 测试验证在未配置OSPF被动接口时:
配置了OSPF被动接口后:
  只在路由器R的GE 0/0/1(连接外网,发送OSPF报文存在安全隐患和浪费带宽资源)和R3的GE 0/0/1(连接内网业务终端,发送OSPF报文存在安全隐患和浪费带宽资源)上设置了OSPF被动接口;路由器R的GE 0/0/2连接网络管理终端,未开启OSPF被动接口; ISP路由器和公司内网要能够通信,需配置静态路由(ip route-static 0.0.0.0 0 66.6.1.11); 在当前配置下,PC1无法和其他终端通信,因为和PC1非直连路由器没有到PC1所在网段的路由(PC1所在网段未加入OSPF的area 0), 而和PC1直连的路由器R1中有到R和R3的路由;在当前配置下,PC2无法和其他终端通信,因为和PC2非直连路由器没有到PC2所在网段的路由(R2不是OSPF路由器), 和PC2直连的路由器R2中没有到ISP、R、R1、和R3的路由;
|
【本文地址】
今日新闻 |
推荐新闻 |