Защита EIGRP с помощью функции passive-interface. Глобальное включение функции и включение на выбранном интерфейсе (Cisco)

Простыми словами

Представьте, что EIGRP — это громкий разговор в офисе. Маршрутизатор "кричит" свои маршруты всем вокруг. Но иногда нужно, чтобы он "говорил" только с определенными коллегами, а на остальных "не обращал внимания".

Passive-Interface — это режим, при котором маршрутизатор:

• Слушает соседей (принимает EIGRP-сообщения)
• Не говорит сам (не отправляет EIGRP-hello и обновления)

Когда это нужно?

1. Интерфейсы в пользовательские сети — чтобы не "светить" служебную информацию
2. Неиспользуемые порты — для безопасности
3. Интерфейсы к конечным устройствам — где нет других маршрутизаторов EIGRP

Настройка Passive-Interface

Способ 1: Глобальное включение + исключения (Рекомендуется)

Что происходит:

• Все интерфейсы молчат
• Только G0/0 и G0/1 общаются в EIGRP

Способ 2: Выборочное включение на интерфейсах

Что происходит:

• Все интерфейсы общаются в EIGRP
• Только G0/2 и G0/3 молчат

Практические примеры

Пример 1: Офисная сеть

Пример 2: Филиал с несколькими линками

Проверка и мониторинг

Команды для проверки:

Пример вывода:

Важные нюансы

Что МОЖЕТ passive-interface:

• Принимать EIGRP-сообщения от соседей
• Участвовать в таблице маршрутизации
• Анонсировать свою сеть через другие активные интерфейсы

Что НЕ МОЖЕТ passive-interface:

• Отправлять EIGRP hello-пакеты
• Устанавливать соседство
• Отправлять обновления маршрутов

Профессиональный совет:

Используйте passive-interface default — это подход "запретить всё, потом разрешить нужное". Он безопаснее, так как вы случайно не забудете защитить новый интерфейс.

Эта настройка значительно повышает безопасность сети, предотвращая несанкционированное установление EIGRP-соседства!