您的位置:360文档中心› passive-interface总结

passive-interface总结

合集下载

练习 5-6-1-Packet Tracer 综合技能练习

练习 5-6-1-Packet Tracer 综合技能练习

练习 5.6.1:Packet Tracer 综合技能练习地址表学习目标•配置带有 CHAP 身份验证的 PPP•配置默认路由•配置 OSPF 路由•实施并检验多项 ACL 安全策略简介在本练习中,您需要演练配置实施五项安全策略的 ACL 的技能。

此外,您还要配置 PPP 和 OSPF 路由。

设备已配置了 IP 地址。

用户执行口令是cisco,特权执行口令是class。

任务 1:配置带有 CHAP 身份验证的 PPP步骤 1. 将 HQ 和 B1 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。

CHAP 身份验证的口令是cisco123。

B1:username HQ password cisco123interface Serial0/0/0encapsulation pppppp authentication chapHQ:username B1 password 0 cisco123interface Serial0/0/0encapsulation pppppp authentication chap步骤 2. 将 HQ 和 B2 之间的链路配置为使用带有 CHAP 身份验证的 PPP 封装。

CHAP 身份验证的口令是cisco123。

B2:username HQ password 0 cisco123interface Serial0/0/0encapsulation pppppp authentication chapHQ:username B2 password 0 cisco123interface Serial0/0/1encapsulation pppppp authentication chap步骤 3. 检查路由器之间是否已恢复连通性。

HQ 应能 ping 通 B1 和 B2。

接口恢复可能需要几分钟。

在 Realtime(实时)模式和 Simulation(模拟)模式之间来回切换可加快此过程。

被动接口 passive-interface

被动接口 passive-interface

用最简单的话来说,passive-interface的作用,就是让某些在routing protocol作用范围内的interface光吃饭不做事.(这真是让人既羨慕又忌妒…)不过,使用passive-interface可以根据routing protocol分三种情况. 第一种是RIP和IGRP.这一种routing protcol的特点是不会与对方router建立关系(你要说发生关系我也不反对...).所以,router是每隔一段时间就会发生只听不送的状况. 换句话说,只要routing protocol 的process还在运行,routing update还是可以接收信息,只不过因为passive-interface指令的关系,update会送不出去,所以如果要阻止update送进router中,还要加上distribute-list平当incoming update.这是第一路情况.第二种是像OSPF,EIGRP之类的routing protocol.这一种路由协议的特点是会与对方router建立关系,也就是说router之间会建neighbor,所以,一旦用了passive -interface之后,你就断开了router之间的关系(heihei...这是破坏人家的姻缘,小心被众routers 怨恨...).因为no relationship, no update.因此,所有的update送不出去,介是也收不进来.这是第二种情况.第三种是ISIS.这是最奇怪的一种.有玩过的就知道,ISIS的routing command是下在interface mode而不在routing mode.所以如果把一个网段加入,就用ip router isis命令.好了,问题是,如果我不要这个interface收送isis routing update,但是又要这个interface所属的网段要加入ISIS的routing之中,那要怎么做??答案就是用passive- interface.当然你也可以用redistribute connected的方式来做.但就是不如passive-interface的方式来的简洁,或者,你也可以笨笨的在interface下ip router isis,然后用distribute-list来阻止.不过,玩routing protocol玩到这个程度,你还是不要去考CCIE比较好.那个考试费用省下来可以多吃见顿好的了.===================================== ======================RIP和IGRP不用和邻接路由器建立邻接关系,当配置了'passive interface'后,该路由器仅从相应的接口收听相应的路由协议包,而不发送路由协议包。

PBR (policy-Based routing,策略路由)总结

PBR (policy-Based routing,策略路由)总结

一:PBR的功能介绍1:PBR可以用于路由重新分配。

基于PBR我们可以在重新分配路由时有选择的重分配。

(当然还有其它手段passive-interface,distribute-list,还有route-map实现)。

一般来说,PBR是通过路由映射来配置的(route-map)。

2:影响下一跳。

PBR在大规模边界网关协议BGP的运行中,是一个最必不可少的工具。

传统的路由策略来自由路由协议计算出来的路由表。

路由器只能根据报文的目的地址进行数据转发,不能提供有差别的服务。

基于策略的路由可以基于数据包的源地址,甚至是源地址,目的地址,源端口,目的端口,四层协议以及报文大小,应用或者其它策略来选择转发路径。

3:设置优先级。

PBR还可以给予外出数据包设置IP优先级位,这样方便了QOS策略。

网络管理员可以根据实际工作的需要,灵活设置PBR机制,实现比传统路由协议更强的路由控制能力。

4:负载平衡。

使用PBR策略路由设置数据包的行为,比如下一跳,出接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。

二:PBR的特点:PBR影响的只是本地的行为,不会干预其它路由器的选路行为,当可以通过设置优先级位来用于其它路由器配置策略。

当路由器进行数据转发时,路由器根据预先设置的策略对数据包进行匹配,如果匹配到一条PBR,就根据该条策略指定的路由进行转发;如果没有匹配到任何策略,就根据路由表的内容对报文进行转发。

常用的PBR配置命令如下所示:route-map map-tag { permit |deny} [sequence number] [定义PBR] match ip address acl-id[匹配ACL-id定义的流量]match length min-byte max-byte[匹配报文大小为min-byte到max-byte 大小的流量]set ip next-hop ip-address [设置数据包下一条地址]set ip default next-hop ip-address [设置数据包下一条地址]set ip precedence [number|name] [设置IP数据包优先级]set interface slot/number[设置出接口]set default interface slot/number [设置出接口]ip policy route-map map-tag [在接口下应用PBR]ip local policy route-map map-tag [对本地路由器产生的数据包执行PBR]说明:这里要注意set ip next-hop与set ip default next-hop、set interface 与set default interface这两对语句的区别,不含default的语句,是不查询路由表就转发数据包到下一跳IP或接口,而含有default的语句是先查询路由表,在找不到精确匹配的pbr策略路由条目时,才转发数据包到default语句指定的下一跳IP或接口。

RIP详细介绍

RIP详细介绍

<RIP(Routing Information Protocol)>·RIP协议的特点:1)RIP属于IGP,是Distance—Vector协议.2)RIP是基于UDP的,端口号5203)周期性以【广播Ver1/组播ver2】向邻居发送更新。

4)做完整更新,将整个路由表的信息传递给邻居。

5)Metric(度量值)只跟跳数有关。

6)只支持等价的负载均衡更新:RIP路由器在接收RIP报文前会检查源地址,若源地址与自己接收接口地址不在同一网段内(主网),则会忽略收到的报文可以把检查源地址功能关闭:·解决DV环路问题:1)最大跳数:16跳.2)水平分割:从一个接口收到的更新路由不再从此接口发出。

3)路由中毒:将不可达路由直接设成Infinity(16跳)。

4)毒性逆转:发送毒性路由的路由器之外的其他路由器将会返回毒性路由,以此通告始发路由器自己知道了该不可达路由5)Holddown Timers:所有邻居都将此路由“冻结",如在“冻结”期内该路由恢复,继续采纳该路由??如在“冻结”期收到更好的路由,将采纳更好的路由??如在“冻结”期收到更差的路由,不采纳该路由??6)触发更新:不再周期更新;当拓扑变化时立即发送更新,使得网络最快获知网络状况.<RIP的报文类型>RIP协议定义了两种消息类型:1、请求消息request2、响应消息response请求消息可以请求整个路由表的信息,也可以仅请求某些特定的路由信息。

通常当RIP刚启用时,会向每一个启用的RIP协议的接口发出带有请求消息的数据包。

响应消息则用来将路由器的路由发送给其他路由器。

通常会周期发送。

<RIP v1>RIP—v1的特点:·以广播地址255.255。

255。

255发送更新。

·路由在跨越主类网络边界时,会自动汇总成主类网络.·不支持VLSM,更新时不携带掩码信息配置:router rip //在路由器上启用RIP协议network 10.0。

ospf配置命令

ospf配置命令
2.2 area area-id authentication message-digest
配置示例1:MD5密码认证
配置示例2:更改密钥和密码
2.3 area area-id default-cost cost
配置示例:设置通告进stub区域的默认路由的OSPF开销值
2.4 area area-id a
2.7 area area-id a no-summary
配置示例:创建Totally Stubby NSSA区域
2.8 area area-id range ip-address mask
2.9 area area-id range ip-address mask advertise
2.10 area area-id range ip-address mask not-advertise
配置示例3:在Hub-to-Spoke(中心-分支)网络中配置OSPF邻居,且OSPF邻居的IP地址不属于同一IP子网
11.2 neighbor ip-address cost cost
配置示例:在OSPF网络类型为point-to-multipoint的接口上,修改针对OSPF邻居而设的开销值
配置示例:配置OSPFtotally stubby区域
2.13 area trait-area-id virtual-link router-id
配置示例:建立OSPF虚电路
2.14 area trait-area-id virtual-link router-id authentication authentication-key password
配置示例2:虚链路上的MD5认证

passive-interface 总结整理

passive-interface 总结整理

passive-interface 总结整理用最简单的话来说,passive-interface的作用,就是让某些在routing protocol作用范围内的interface光吃饭不做事.(这真是让人既羨慕又忌妒…)不过,使用passive-interface可以根据routing protocol分三种情况.第一种是RIP和IGRP.这一种routing protcol的特点是不会与对方router建立关系(你要说发生关系我也不反对...).所以,router是每隔一段时间就会发生只听不送的状况. 换句话说,只要routing protocol的process还在运行,routing update还是可以接收信息,只不过因为passive-interface指令的关系,update会送不出去,所以如果要阻止update送进router中,还要加上distribute-list平当incoming update.这是第一路情况.在RIP中,passive-interface 命令作用是抑制此接口发送组播、广播更新!但可以接收更新。

neighbor指令使其以单播形式发送更新。

r1(config)#router ripr1(config-router)#passive-int f0/0r1(config-router)#neighbor 172.31.13.2 //R2的接口地址第二种是像OSPF,EIGRP之类的routing protocol.这一种路由协议的特点是会与对方router建立关系,也就是说router之间会建neighbor,所以,一旦用了passive -interface 之后,你就断开了router之间的关系(heihei...这是破坏人家的姻缘,小心被众routers怨恨...).因为no relationship, no update.因此,所有的update送不出去,介是也收不进来.这是第二种情况.第三种是ISIS.这是最奇怪的一种.有玩过的就知道,ISIS的routing command是下在interface mode而不在routing mode.所以如果把一个网段加入,就用ip router isis命令.好了,问题是,如果我不要这个interface收送isis routing update,但是又要这个interface所属的网段要加入ISIS的routing之中,那要怎么做??答案就是用passive- interface.当然你也可以用redistribute connected的方式来做.但就是不如passive-interface的方式来的简洁,或者,你也可以笨笨的在interface下ip router isis,然后用distribute-list来阻止.不过,玩routing protocol玩到这个程度,你还是不要去考CCIE比较好.那个考试费用省下来可以多吃见顿好的了.哈哈,高手就是高啊,在这里想说一下PASSIVE INTERFACE的几个命令:1 passive interface2 no passive interfaceERGIP RGIP OSPF RIP都在接 ROUTING MODEIS-IS 在接口模式下面在rip中passive-interface 的作用是使路由器只接受更新不发送更新,正如上图的实验,如果用rip的话,在R2的s1/1接口下配被动接口,则r3学不到R1 R2的路由,而R2 R1能学到R3的.但若用eigrp ,同样在R2的s1/1接口下配被动接口,则r3学不到R1 R2的路由,而R2 R1也学不到R3的.如果在路由器上配置某种协议,如果你想不让某个端口参与进去,就可以在路由配置模式下输入passive interface 命令,这个命令的作用是防止路由更新通过这个接口发送出去。

CCNP902必考的6个实验(拓扑搭建,配置详解)

CCNP902必考的6个实验(拓扑搭建,配置详解)
GIve it everything you've got.
CCNP902 必考的 6 个实验
目录 CCNP902 必考的 6 个实验............................................................................................................... 1 一、 EIGRP-OSPF 重分发(配置 distance).................................................................................. 2 1.1 拓扑环境....................................................................................................................... 2 1.2 搭建实验环境............................................................................................................... 2 1.3 题目要求....................................................................................................................... 5 1) 不配置 distance,正常配置 .................................................................................... 5 2) 配置 dist

关于OSPF被动接口passive

关于OSPF被动接口passive

关于OSPF被动接口passive-interface 应用的场景OSPF的被动接口应用场景为上面的图。

在上面两个路由器上面.运行ospf,上面网络云的路由器是属于运营商的。

运营商R1需要通过ospf知道R2的FE0:2.1.1.0的网络,但是又不想让R3(客户端的路由器)随便配置一个ospf进行然后和R2进行ospf协商建立邻居最后R3获得运营商整网的路由。

所以这里要用到的是ospf的被动接口。

当ospf进程配置了相关的被动接口以后,那么,该接口既不发送也不接受ospf的hello报文,所以也不会和直连该接口的设备建立邻居。

R1:interface loopback0ip address 5.5.5.5 255.255.255.255exitinterface fastethernet0ip address 1.1.1.1 255.255.255.0exitrouter ospf 1network 1.1.1.0 0.0.0.255 area 0network 5.5.5.5 0.0.0.0 area 0exitR2:interface fastethernet0ip address 2.1.1.1 255.255.255.0exitinterface fastethernet1ip address 1.1.1.2 255.255.255.0ui-control inaccessible telnet httpexitrouter ospf 1network 1.1.1.0 0.0.0.255 area 0network 2.1.1.0 0.0.0.255 area 0passive-interface fastethernet0exitR3:interface fastethernet0ip address 2.1.1.2 255.255.255.0exitrouter ospf 1network 2.1.1.0 0.0.0.255 area 0exitip route 0.0.0.0 0.0.0.0 2.1.1.1在R2上面:R2只会和R1建立邻居。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Passive-interface的使用:Passive-interface说的就是“被动接口”,使用了这个命令后,特定的路由协议的更新就不会从这个接口发送出去了。

使用这种方法可以很好的控制路由更新的流向,避免不必要的链路资源的浪费。

比如说,在一个路由器上,有S1与S2两个串口,我们想在S1口上不传播RIP的更新,只在S2上传播。

那么我们可以使用下面的命令:Router ripVersion 2Passive-interface s1这样一来就可以了【其实从这3条命令来看的话,我们还可以看出一个东西,那就是路由器的接口在默认的情况下,只要设置的IP地址在该路由协议设置的范围内,它就会发送和接收路由更新包】。

如果接口非常的多,并且我们只想在接口S1上传播RIP更新,其他的接口不传播,那么我们可以使用另外一种变向的方法来实现:Router ripVersion 2Passive-interface default 【这个命令是将路由器上的所有的接口都设置成“被动接口”模式】No passive-interface s1路由过滤的流程:当收到一个路由更新的时候,先检查这个接口是不是设置有“过滤器”,如果没有的话,就正常转发,如果有的话,就看看是不是符合这个“过滤器”的过滤标准,如果不符合的话,就丢弃掉这个“更新”,如果符合的话,就按照这个“过滤器”的配置进行相应的转发。

配置Distribute list :使用这个“重分发列表”可以控制路由更新的流量【前面我们介绍了一个“被动接口”技术】对于“出站的路由更新”:Router(config-router)# distribute-list {access-list-number | name } out [interface-name |routing-process | [ auto-system-number ] ]基于“进站的路由更新”:Router(config-router)# distribute-list { access-list-number | name } in [interface-type-number ]重分发列表一般都是和“访问控制列表”结合使用的。

一般情况下,使用out 比较多,而in 用的比较少。

、passive interface 总结用最简单的话来说,passive-interface的作用,就是让某些在routing protocol作用范围内的interface光吃饭不做事.(这真是让人既羨慕又忌妒…)不过,使用passive-interface可以根据routing protocol分三种情况:第一种是RIP和IGRP.这一种routing protcol的特点是不会与对方router建立关系(你要说发生关系我也不反对...).所以,router是每隔一段时间就会发生只听不送的状况. 换句话说,只要routing protocol的process还在运行,routing update还是可以接收信息,只不过因为passive-interface指令的关系,update会送不出去,所以如果要阻止update送进router中,还要加上distribute-list平当incoming update.这是第一路情况.第二种是像OSPF,EIGRP之类的routing protocol.这一种路由协议的特点是会与对方router建立关系,也就是说router之间会建neighbor,所以,一旦用了passive -interface之后,你就断开了router之间的关系(嘿嘿..这是破坏人家的姻缘,小心被众routers怨恨...).因为no relationship, no update.因此,所有的update送不出去,介是也收不进来.这是第二种情况.第三种是ISIS.这是最奇怪的一种.有玩过的就知道,ISIS的routing command是下在interface mode而不在routing mode.所以如果把一个网段加入,就用ip router isis命令.好了,问题是,如果我不要这个interface收送isis routing update,但是又要这个interface所属的网段要加入ISIS的routing之中,那要怎么做??答案就是用passive- interface.当然你也可以用redistribute connected的方式来做.但就是不如passive-interface的方式来的简洁,或者,你也可以笨笨的在interface下ip router isis,然后用distribute-list来阻止.不过,玩routing protocol玩到这个程度,你还是不要去考CCIE比较好.那个考试费用省下来可以多吃几顿好的了.哈哈,高手就是高啊,在这里想说一下PASSIVE INTERFACE的几个命令:1 passive interface2 no passive interfaceERGIP RGIP OSPF RIP都在ROUTING MODEIS-IS 在接口模式下面最近学习is-is的时候,发现有些知识点还是比较薄弱的。

比如对passive interface 的理解,就很片面。

在配置is-is的时候经常会看到把这些端口放入passive interface,然后考虑是不是和ospf 一样的效果,不建立邻接关系呢?其实,答案在下面的这段话中就有了解释:If you disable the sending of routing updates on an interface, the particular subnet will continue to be advertised to other interfaces, and updates from other routers on that interface continue to be received and processed.For the Open Shortest Path First (OSPF) protocol, OSPF routing information is neither sent nor received through the specified router interface. The specified interface address appears as a stub network in the OSPF domain.For the Intermediate System-to-Intermediate System (IS-IS) protocol, this command instructs IS-IS to advertise the IP addresses for the specified interface without actually running IS-IS on that interface. The no form of this command for IS-IS disables advertising IP addresses for the specified address. Enhanced Interior Gateway Routing Protocol (IGRP) is disabled on an interface that is configured as passive although it advertises the routepassive interface1)RIP和IGRP不用和邻接路由器建立邻接关系,当配置了'passive interface'后,该路由器仅从相应的接口收听相应的路由协议包,而不发送路由协议包。

2)passive interface'对OSPF,EIGRP则意义不大,因为这两种路由协议都要建立邻接关系。

路由包不容许发送,邻接关系就建立不起来。

因此在OSPF,EIGRP中,这条命令很少用到。

silent-interface1)如果希望在某路由器上发布某直连路由,可以用import direct引入直连路由。

但由于这样生成的是External LSA,会通告到整个自治域(stub区域除外),影响的范围较大。

如果希望限制直连路由通告的范围,可以通过network命令在该接口上使能OSPF,然后用silent-interface可以避免在该接口上发hello报文建立邻居。

这样该直连路由就会以区域内路由的形式发布出去。

2)此命令可以理解为不建立邻居,也有一定的安全作用.一般建议在与客户PC相连的网段启用该命令,防止恶意的建立邻居关系引起路由错乱。

// 一般情况下,OSPF process 下要把loopback 地址silent-interface 掉;参考:OSPF网络时如何合理引入外部路由。

众所周知,在网络的接入层,一般设备的级别较低,部署OSPF对设备的压力较大,而且,对于单链路上行的网络拓扑来说,配置静态路由也同样可以很好解决互通性问题。

我们需要解决的问题是,如何将这些通过静态或者直联方式(运行OSPF的路由器的下行接口作为终端的网关)接入的业务网段引入到OSPF协议中,使整个网络的互通性得到保证。

将外部路由引入到OSPF中,有两种方式:通过“network”命令将该端口使能OSPF,同时,该端口IP地址对应的网段路由信息也会从在各类型LSA中有所体现,其他运行OSPF的设备可以通过相应的LSA计算出对应的路由信息(这种方式只适用于直连路由的引入);通过“import-route”命令将其他协议发现的路由信息以type 5(在NSSA区域中以type 7形式)的LSA发布到OSPF中,每条外部路由对应一条LSA。

注意:对于这种只需要发布业务网段,并不需要建立OSPF邻居的接口,需要配置silent-interface,确保网络的安全性。

另外,在OSPF协议中,支持邻居之间的认证机制,建议邻居之间进行加密配置,避免其他路由器“方便”的接入网络,造成网络信息的泄漏。

以上两种方式虽然都可以将外部路由引入OSPF,但是对于OSPF来说,通过两种方式引入的路由信息是区别对待的。

对于通过“network”命令引入的路由信息,在OSPF中是“内部路由”,是OSPF根据最短路径优先算法精确计算出来的;对于通过“import-route”命令引入的路由信息在OSPF中是“外部路由(OSPF-ASE)”,没有精确的拓扑信息,OSPF协议本身并不保证这种路由信息出现环路,当然,只有在IP地址分配错误的网络中(同一IP网段分配给多个地方使用),OSPF外部路由才有成环的可能。

相关文档
最新文档