Interfaces pasivas en EIGRP
Dentro de las buenas prácticas de seguridad al momento de configurar un protocolo de enrutamiento, es definir qué interfaces serán pasivas.
En EIGRP, al momento de configurar las interfaces pasivas, este deja de enviar mensajes hello y de aceptarlos, pero no deja de enseñar las redes configuradas en estas interfaces.
La implementación de las interfaces pasivas no tiene complejidad, se define cual será pasiva y se configura en el modo de configuración de router.
En la siguiente topología, se dejará la interfaz f0/1 de R2 como pasiva, y se verá que se perderá la vecindad con R3:
R2#sh ip eigrp nei IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 10.23.23.1 Fa0/1 11 00:03:58 26 200 0 3 0 10.12.12.1 Fa0/0 13 00:06:17 907 5000 0 3 R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#router eigrp 10 R2(config-router)#passive-interface f0/1 R2(config-router)# *Mar 1 00:07:53.943: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.23.23.1 (FastEthernet0/1) is down: interface passive R2(config-router)#end R2# *Mar 1 00:07:57.727: %SYS-5-CONFIG_I: Configured from console by console R2#sh ip eigrp ne IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.12.12.1 Fa0/0 12 00:06:43 907 5000 0 3
Como se puede observar, se deja de ser vecino con R3, pero a continuación veremos que R1 sigue aprendiendo la red de la interfaz F0/1 de R2:
R1#sh ip ro eigrp 10.0.0.0/30 is subnetted, 2 subnets D 10.23.23.0 [90/307200] via 10.12.12.2, 00:10:24, FastEthernet0/0 R1#sh ip eigrp topology IP-EIGRP Topology Table for AS(10)/ID(10.12.12.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.23.23.0/30, 1 successors, FD is 307200 via 10.12.12.2 (307200/281600), FastEthernet0/0 P 10.12.12.0/30, 1 successors, FD is 281600 via Connected, FastEthernet0/0
Como buena práctica, se recomienda dejar todas las interfaces pasivas, y solo dejar como no pasivas las que se van a utilizar:
R2(config)#router eigrp 10 R2(config-router)#passive-interface default *Mar 1 01:23:57.951: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.12.12.1 (FastEthernet0/0) is down: interface passive R2(config-router)#no passive-interface f0/0 R2(config-router)# *Mar 1 01:24:09.763: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.12.12.1 (FastEthernet0/0) is up: new adjacency R2(config-router)#do sh ip pro Routing Protocol is "eigrp 10" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 10 EIGRP NSF-aware route hold timer is 240s Automatic network summarization is not in effect Maximum path: 4 Routing for Networks: 10.10.10.1/32 10.10.20.1/32 10.10.30.1/32 10.12.12.2/32 10.23.23.2/32 Passive Interface(s): FastEthernet0/1 Loopback0 Loopback1 Loopback2 Passive Interface(s): VoIP-Null0 Routing Information Sources: Gateway Distance Last Update Distance: internal 90 external 170
Dentro de las buenas prácticas de seguridad al momento de configurar un protocolo de enrutamiento, es definir qué interfaces serán pasivas.
En EIGRP, al momento de configurar las interfaces pasivas, este deja de enviar mensajes hello y de aceptarlos, pero no deja de enseñar las redes configuradas en estas interfaces.
La implementación de las interfaces pasivas no tiene complejidad, se define cual será pasiva y se configura en el modo de configuración de router.
En la siguiente topología, se dejará la interfaz f0/1 de R2 como pasiva, y se verá que se perderá la vecindad con R3:
R2#sh ip eigrp nei IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 10.23.23.1 Fa0/1 11 00:03:58 26 200 0 3 0 10.12.12.1 Fa0/0 13 00:06:17 907 5000 0 3 R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#router eigrp 10 R2(config-router)#passive-interface f0/1 R2(config-router)# *Mar 1 00:07:53.943: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.23.23.1 (FastEthernet0/1) is down: interface passive R2(config-router)#end R2# *Mar 1 00:07:57.727: %SYS-5-CONFIG_I: Configured from console by console R2#sh ip eigrp ne IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.12.12.1 Fa0/0 12 00:06:43 907 5000 0 3
Como se puede observar, se deja de ser vecino con R3, pero a continuación veremos que R1 sigue aprendiendo la red de la interfaz F0/1 de R2:
R1#sh ip ro eigrp 10.0.0.0/30 is subnetted, 2 subnets D 10.23.23.0 [90/307200] via 10.12.12.2, 00:10:24, FastEthernet0/0 R1#sh ip eigrp topology IP-EIGRP Topology Table for AS(10)/ID(10.12.12.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.23.23.0/30, 1 successors, FD is 307200 via 10.12.12.2 (307200/281600), FastEthernet0/0 P 10.12.12.0/30, 1 successors, FD is 281600 via Connected, FastEthernet0/0
Como buena práctica, se recomienda dejar todas las interfaces pasivas, y solo dejar como no pasivas las que se van a utilizar:
R2(config)#router eigrp 10 R2(config-router)#passive-interface default *Mar 1 01:23:57.951: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.12.12.1 (FastEthernet0/0) is down: interface passive R2(config-router)#no passive-interface f0/0 R2(config-router)# *Mar 1 01:24:09.763: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.12.12.1 (FastEthernet0/0) is up: new adjacency R2(config-router)#do sh ip pro Routing Protocol is "eigrp 10" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 10 EIGRP NSF-aware route hold timer is 240s Automatic network summarization is not in effect Maximum path: 4 Routing for Networks: 10.10.10.1/32 10.10.20.1/32 10.10.30.1/32 10.12.12.2/32 10.23.23.2/32 Passive Interface(s): FastEthernet0/1 Loopback0 Loopback1 Loopback2 Passive Interface(s): VoIP-Null0 Routing Information Sources: Gateway Distance Last Update Distance: internal 90 external 170