当 EIGRP 网络中启用新的接口时,EIGRP 会尝试与所有相邻路由器建立邻居邻接关系来发送和接收 EIGRP 更新。

有时,在 EIGRP 路由更新中包含直连网络可能很有必要或很有优势,但是不允许该接口之外形成任何邻居邻接关系。 passive-interface 命令可用于防止形成邻居邻接关系。 启用 passive-interface 命令有两个主要原因:

图 1 显示了 R1、R2 和 R3 在其 GigabitEthernet 0/0 接口上没有邻居。

passive-interface 路由器配置模式命令禁用这些接口上传输和接收 EIGRP Hello 数据包的功能。

Router(config)# router eigrp as-number

Router(config-router)# passive-interface interface-type interface-number

图 2 显示了 R1 和 R3 上配置的 passive-interface 命令,该命令可抑制 LAN 上的 Hello 数据包。 R2 使用语法检查器进行配置。

如果没有邻居邻接关系,EIGRP 就无法与邻居交换路由。 因此,passive-interface 命令会阻止接口上交换路由。 尽管 EIGRP 在使用 passive-interface 命令配置的接口上不会发送或接收路由更新,但它仍然会在其他非被动接口发送的路由更新中包含该接口的地址。

注意:要将所有接口配置为被动接口,请使用 passive-interface default 命令。 要禁用某个接口配置为被动接口,请使用 no passive-interface interface-type interface-number 命令。

使用被动接口提高安全控制的一个例子是,当网络必须连接到第三方组织,而本地管理员无权加以控制时,例如当连接到 ISP 网络时。 在这种情况下,本地网络管理员需要通过其网络通告接口链路,但是不希望第三方接收路由更新或向本地路由设备发送路由更新,因为这会引起安全风险。

检验被动接口

要检验路由器上的任意接口是否已配置为被动,可使用 show ip protocols 特权 EXEC 模式命令,如图 3 所示。 请注意,尽管 R3 的 GigabitEthernet 0/0 接口是被动接口,但 EIGRP 仍然在其路由更新中包括 192.168.1.0 网络接口的网络地址。

使用图 4 中的语法检查器配置 R2 以抑制其 GigabitEthernet 0/0 接口的 EIGRP Hello 数据包。