Перейти к содержанию

Настройка пассивных интерфейсов OSPF

Пассивный интерфейс OSPF (Passive Interface) применяется для предотвращения формирования соседств на интерфейсах, где соседство не требуется, а требуется только анонсировать IP сеть данного интерфейса в OSPF. Настройка пассивного интерфейса позволяет снизить объём служебного трафика OSPF и повысить безопасность (исключить возможность подключения постороннего OSPF-соседа).

Сценарии использования:

  • На интерфейсах, подключённых к конечным устройствам
  • В сегментах, где не должно быть OSPF-соседей

Необходимые условия и предварительные требования

Предварительные требования:

  • Интерфейс должен быть включён в процесс OSPF
  • OSPF-процесс должен быть активен
  • Сеть интерфейса должна быть корректно объявлена в соответствующую область.

Основная информация о применяемых технологиях

Пассивный интерфейс не отправляет Hello пакеты. Как следствие, на данном интерфейсе не будут обнаружены OSPF-соседи, и соседство (adjacency) с ними не будет установлено.

Если перевести в passive интерфейс, на котором уже существует соседство, то оно будет разорвано и не будет установлено вновь.

Чтобы разорвать соседство, достаточно перевести в passive интерфейс только у одного из пары маршрутизаторов.

При этом формированию LSDB пассивный интерфейс не препятствует: интерфейс включается в Router LSA и префикс сети распространяется по области.

Назначение применяемой команды/конфигурации

Switch(config-loopback-1)#ip ospf passive-interface - настройка интерфейса Loopback 1 как пассивного OSPF интерфейса.

Note

Обратите внимание, что команда выполняется из режима конфигурации конкретного интерфейса.

Пример конфигурирования

Первоначальное состояние: на двух коммутаторах настроен процесс OSPF, установлено соседство.

OSPF-passive-interface1.png

Исходная конфигурация:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
hostname SW1
!
router ospf 1
 network 10.30.1.0 255.255.255.0 area 0
 network 172.30.0.0 255.255.255.0 area 0
!
interface 10gigaethernet 1/0/1
 work-mode router
 ip address 172.30.0.1/24
!
interface loopback 1
 ip address 10.30.1.1/24

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
hostname SW2
!
router ospf 1
 network 10.30.2.0 255.255.255.0 area 0
 network 172.30.0.0 255.255.255.0 area 0
!
interface 10gigaethernet 1/0/1
 work-mode router
 ip address 172.30.0.2/24
!
interface loopback 2
 ip address 10.30.2.2/24

В этом примере интерфейсы Loopback 1 на SW1 и Loopback 2 на SW2 играют роль локальной сети, в которой есть пользователи или сервера, но нет других OSPF маршрутизаторов. Поэтому разумно будет перевести такого рода интерфейсы в пассивное состояние:

На SW1: 

1
2
3
SW1#config
SW1(config)#interface loopback 1
SW1(config-loopback-1)#ip ospf passive-interface

На SW2: 

1
2
3
SW2#config
SW2(config)#interface loopback 2
SW2(config-loopback-1)#ip ospf passive-interface

Полный вывод выполненных конфигураций

Вывод представлен в виде команды show running-config для каждого настраиваемого устройства, в формате для удобного последующего copy-paste.

На SW1: 

1
2
3
4
configure
interface loopback 1
 ip ospf passive-interface
end

На SW2: 

1
2
3
4
configure
interface loopback 2
 ip ospf passive-interface
end

Изучение состояния устройства

Просмотр конфигурации

Конфигурации в глобальном режиме

Выполните команду для просмотра настройки в глобальном режиме.

На SW1: 

1
2
3
4
5
show running-config

interface loopback 1
 ip address 10.30.1.1/24
 ip ospf passive-interface


 1
 2
 3
 4
 5
 6
 7
 8
 9
10
SW1#show ip ospf config
Version:OSPFV2_VB3.00.07.74
!
router ospf 1
 router-id 10.30.1.1
 network 10.30.1.0 255.255.255.0 area 0
 network 172.30.0.0 255.255.255.0 area 0

interface loopback 1
 ip ospf passive-interface

На SW2: 

1
2
3
4
5
show running-config

interface loopback 2
 ip address 10.30.2.2/24
 ip ospf passive-interface


 1
 2
 3
 4
 5
 6
 7
 8
 9
10
SW2#show ip ospf config
Version:OSPFV2_VB3.00.07.74
!
router ospf 1
 router-id 10.30.2.2
 network 10.30.2.0 255.255.255.0 area 0
 network 172.30.0.0 255.255.255.0 area 0

interface loopback 2
 ip ospf passive-interface

Просмотр параметров работы

Пассивные интерфейсы как состояние работы можно посмотреть только в выводе детальной команды просмотра OSPF интерфейса, с указанием IP адреса требуемого интерфейса:

Switch#show ip ospf interface 10.30.1.1

Просмотр параметров в режиме интерфейса

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
SW1#show ip ospf interface 10.30.1.1
OSPF Process 1
 Interface loopback1 Information:
 ---------------------------------------------------
 IP Address               :10.30.1.1
 Area ID                  :0
 Type                     :broadcast
 AdminState               :enable
 Priority                 :1
 Transit Delay            :1(s)
 Retrans Interval         :5(s)
 Hello Interval           :10(s)
 Dead Interval            :40(s)
 Poll Interval            :120(s)
 State                    :designatedRouter
 Designated Router        :10.30.1.1
 Backup Designated Router :0.0.0.0
 Events Change            :2
 Auth Type                :none
 Auth Key                 :$9$a503$90224fdf38c7d83fc457f8e0e42d732c
 Cost                     :1
 Multicast Forwarding     :unicast
 Demand State             :true
 Passive State            :true    <--- интерфейс переведен в пассивное состояние
 MTU                      :1500
 Static Cost              :0
 LSA Checksum             :0
 Designated Router ID     :10.30.1.1
 Backup Designated Router ID:0.0.0.0
 Bfd State                :disable
 Flood Group              :0
 MTU Ignore               :disable
 Fast Change              :disable
 Te Admin Group           :0
 Te Cost                  :0
 Te Max BandWidth         :0
 Te Max Reserve Bandwidth :0
 Te State                 :disable
 Status                   :active

Note

Обратите внимание на строку Passive State: true

Рекомендации выполнения команд/настроек

Минимизация служебного трафика

Чтобы минимизировать служебный трафик (Hello пакеты), рекомендуется делать пассивными все интерфейсы, на которых, согласно проекту сети, OSPF-соседство не предполагается.

Риск потери соседства

Внимание:

  • На passive-интерфейсе невозможно сформировать соседство. Если интерфейс ошибочно переведён в passive, то соседство будет разорвано (или не будет установлено изначально) и, как следствие, не произойдет обмен LSA с соседним маршрутизатором.

История возникновения команды

Версия ПО

Настройки и выводы команд выполнялись на версии ПО V1.0.2

Ссылка на внешнюю документацию

Документация

Пассивные интерфейсы не описаны в стандартах и RFC.