Khi bạn sử dụng câu lệnh "network" trong OSPF, sẽ có 2 chuyện xảy ra.
- Tất cả các interfaces mà có network bên trong dải của lệnh "network" sẽ được quảng bá vào trong OSPF.
- Gói tin Hello sẽ được gửi tới các interface đó.
Hãy xem ví dụ sau nhé.
R1 và R2 được cấu hình OSPF, R1 kết nối với mạng LAN là 192.168.10.0/24, ở dải mạng đó có 1 vài máy tính và sw1 kết nối vào. R1 giờ muốn quảng bá dải mạng này tới R2 để từ R2 có thể ping thông tới các máy tính trong dải mạng đó.
1 khi chúng ta sử dụn câu lệnh để quảng bá dải mạng 192.168.10.0/24 trong OSPF, R1 cũng sẽ gửi luôn cả gói tin hello tới switch. Điều này thực sự là không cần thiết vì chúng ta không có router bên trong dải mạng này, nó cũng là 1 nguy cơ đối với vấn đề bảo mật. Nếu như ai đó trên máy tính sử dụng ứng dụng để trả lời lại R1 với 1 gói tin hello của ospf, có thể nó sẽ trở thành neighbor của R1, như thế kẻ tấn công có thể quảng bá 1 dải mạng ảo vào trong hệ thống nhằm mục đích phá hoại.
Để phòng tránh các trường hợp trên, chúng ta có thể sử dụng passive-interface . Câu lệnh này sẽ nói cho OSPF biết là ko cần gửi gói tin hello và interface đó. Hãy xem nó hoạt động như thế nào nhé.
Giờ chúng ta cấu hình R1 và R2,
R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
Với các cấu hình trên thì R2 sẽ học được mạng 192168.10.0/24.
R2#show ip route ospf
O 192.168.10.0/24 [110/20] via 192.168.12.1, 00:03:21, FastEthernet0/0
Về mục đích quảng bá thì đã ok nhưng với cấu hình đó thì R1 sẽ gửi gói tin hello tới interface fa0/1. Hãy xem trong debug nhé.
OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/1 from 192.168.10.254
OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/0 from 192.168.12.1
Bạn có thể thấy gói tin hello gửi đi ra cả 2 interfaces.
Giờ hãy fix làm sao để gói tin hello chỉ gửi ra fa0/0 mà vẫn quảng bá dải mạng của fa0/1 nhé.
R1(config)#router ospf 1
R1(config-router)#passive-interface FastEthernet 0/1
Bạn chỉ phải sử dung câu lệnh passive-interface bên dưới câu lệnh ospf. Hãy kiểm tra nhé.
R1#show ip protocols
Routing Protocol is "ospf 1"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 192.168.12.1
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
192.168.10.0 0.0.0.255 area 0
192.168.12.0 0.0.0.255 area 0
Reference bandwidth unit is 100 mbps
Passive Interface(s):
FastEthernet0/1
Routing Information Sources:
Gateway Distance Last Update
Distance: (default is 110)
Lệnh show ip protocols sẽ cho ta thấy các interface nào đang đặt ở chế độ passive. Nếu như bạn kiểm tra trong debug thì sẽ thấy.
R1#
OSPF: Send hello to 224.0.0.5 area 0 on FastEthernet0/0 from 192.168.12.1
Nếu bạn có nhiều interfaces mà cần phải cấu hình passive. Lúc này bạn không thể vào từng interface để cấu hình passive được, sẽ khá mất thời gian. Có một cách khác là bất passive ở default. sau đó mở những interface nào không cần passive.
Hãy xem cấu hình nhé.
R1(config)#router ospf 1
R1(config-router)#passive-interface default
R1(config-router)#no passive-interface FastEthernet 0/0
Với các câu lệnh trên. Toàn bộ các interface sẽ ở chế độ passive, chỉ riêng interface fa0/0 là được mở để gửi gói tin hello.
hostname R1
!
interface FastEthernet 0/1
ip address 192.168.10.254 255.255.255.0
!
interface FastEthernet 0/0
ip address 192.168.12.1 255.255.255.0
!
router ospf 1
network 192.168.12.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0
passive-interface default
no passive-interface FastEthernet 0/0
!
end
OSPF Passive Interface
Reviewed by phucvm
on
tháng 8 29, 2019
Rating:
Reviewed by phucvm
on
tháng 8 29, 2019
Rating:
Không có nhận xét nào: