Interfaz pasiva

Tan pronto como se habilita una nueva interfaz dentro de la red EIGRP, EIGRP intenta formar una adyacencia de vecino con cualquier router vecino para enviar y recibir actualizaciones de EIGRP.

Cada tanto puede ser necesario, o ventajoso, incluir una red conectada directamente en la actualización de routing EIGRP, pero no permitir que se forme ninguna adyacencia de vecino fuera de esa interfaz. El comando passive-interface se puede utilizar para evitar que se formen adyacencias de vecino. Existen dos razones principales para habilitar el comando passive-interface:

  • Para suprimir tráfico de actualización innecesario, por ejemplo, cuando una interfaz es una interfaz LAN, sin otros routers conectados

  • Para aumentar los controles de seguridad, por ejemplo, para evitar que dispositivos desconocidos de routing no autorizados reciban actualizaciones de EIGRP

En la figura 1, se muestra que el R1, el R2 y el R3 no tienen vecinos en sus interfaces GigabitEthernet 0/0.

El comando passive-interface del modo de configuración del router inhabilita la transmisión y recepción de paquetes de saludo EIGRP en estas interfaces.

Router(config)# router eigrp número-as

Router(config-router)# passive-interface tipo-interfaz número-interfaz

En la figura 2, se muestra el comando passive-interface configurado para suprimir los paquetes de saludo en las LAN para el R1 y el R3. El R2 se configura mediante el verificador de sintaxis.

Sin una adyacencia de vecino, EIGRP no puede intercambiar rutas con un vecino. Por lo tanto, el comando passive-interface evita el intercambio de rutas en la interfaz. Si bien EIGRP no envía ni recibe actualizaciones de routing mediante una interfaz configurada con el comando passive-interface, sí incluye la dirección de la interfaz en las actualizaciones de routing enviadas por otras interfaces no pasivas.

Nota: Para configurar todas las interfaces como pasivas, utilice el comando passive-interface default. Para deshabilitar una interfaz como pasiva, utilice el comando no passive-interface interface-type interface-number .

Un ejemplo del uso de la interfaz pasiva para aumentar los controles de seguridad es cuando una red se debe conectar a una organización externa, sobre la cual el administrador local no tiene ningún control, como cuando se conecta a una red ISP. En este caso, el administrador de red local necesitará anunciar el enlace de la interfaz a través de su propia red, pero no querrá que la organización externa reciba actualizaciones de routing del dispositivo local de routing, ni las envíe a dicho dispositivo, ya que esto es un riesgo de seguridad.

Verificación de la interfaz pasiva

Para verificar si cualquier interfaz en un router está configurada como pasiva, utilice el comando show ip protocols del modo EXEC privilegiado, como se muestra en la figura 3. Observe que, si bien la interfaz GigabitEthernet 0/0 del R3 es una interfaz pasiva, EIGRP aún incluye la dirección de red de la interfaz 192.168.1.0 en sus actualizaciones de routing.

Utilice el verificador de sintaxis de la figura 4 para configurar el R2 a fin de que suprima los paquetes de saludo EIGRP en su interfaz GigabitEthernet 0/0.