Cisco EIGRP запрет на портах
Чтобы запретить создание отношений смежности по EIGRP следует использовать команду passive-interface interface-type interface-number. Есть два варианта запрета. Первый — это закрыть работу EIGRP на конкретном порту, а на всех остальных протокол будет работать. Второй — это закрыть везде, а разрешить на определенных. Команда даётся внутри нужной AS роутера EIGRP. Не смотря на то, что это протокол компании Cisco, его стали поддерживать и некоторые сторонние компании.
Причин по которым необходимо запретить работу EIGRP на интерфейсе может быть несколько. В моём случае — это защита от чужих анонсов из сети провайдера, который со своей стороны не закрыл EIGRP и вещает в мою сеть анонсы своих сетей. Оно конечно забавно и я бы мог поменять номера AS, чтобы мы особо не конфликтовали, но зачем морочить голову моему роутеру, если я могу просто закрыть дверь HELLO-пакетам которые отправляет провайдер в мою сторону. Вторая причина — это защита от прослушивания наших анонсов, что позволит злоумышленнику проанализировать структуру нашей сети.
Общая форма:
Router(config)# router eigrp AS Router(config-router)# passive-interface interface-type interface-number
Пример: отключим работу EIGRP на гигабитном интерфейсе 0/1, который смотрит в сторону провайдера.
Router(config)# router eigrp 1 Router(config-router)# passive-interface GigabitEthernet 0/1
Этот вариант подходит для случая когда необходимо закрыть один или два порта на роутере. А что делать, если интерфейсов десять? Для этих целей есть команда passive-interface default.
Пример: отключим IEGRP на всех интерфейсах, кроме нулевого гигабитного и 255 туннельного.
Router(config)# router eigrp AS Router(config-router)# passive-interface default Router(config-router)# no passive-interface GigabitEthernet 0/0 Router(config-router)# no passive-interface Tunnel255
Независимо от того для каких целей применяется отключение отношений смежности EIGRP, надо понимать работу этого механизма, чтобы случайно не обменяться данной информацией на пограничных роутерах. Пограничные роутеры могут быть как со стороны провайдера, так и со стороны арендаторов. И в каждом месте может оказаться трафик EIGRP протокола.
Отредактировано:2022-01-25 08:06:58