路由器在ospf中配置silent-interface不生效
- 0关注
- 0收藏,136浏览
问题描述:
两台路由器A、B建立ospf邻居,路由器A在ospf中配置silent-interface LoopBack10,但是路由器B的路由表还是存在路由器A的 LoopBack10地址。原因是什么?
路由器AOSPF配置截图:
<A>display current-configuration configuration ospf
#
ospf 1
silent-interface LoopBack10
area 0.0.0.0
network 1.1.0.0 0.0.255.255
#
return
<A>dis ip interface brief
*down: administratively down
(s): spoofing (l): loopback
Interface Physical Protocol IP address/Mask VPN instance Description
GE0/0 up up 1.1.2.1/30 -- --
GE0/1 up up -- -- --
GE0/1.1 up up 1.1.3.1/25 -- --
GE0/1.2 up up 1.1.3.129/25 -- --
GE0/2 down down -- -- --
GE5/0 down down -- -- --
GE5/1 down down -- -- --
GE6/0 down down -- -- --
GE6/1 down down -- -- --
Loop10 up up(s) 1.1.1.1/32 -- --
Ser1/0 down down -- -- --
Ser2/0 down down -- -- --
Ser3/0 down down -- -- --
Ser4/0 down down -- -- --
路由器B的OSPF配置和路由表:
<B>dis current-configuration configuration ospf
#
ospf 1
area 0.0.0.0
network 1.1.2.0 0.0.0.255
#
return
<B>dis ip rou
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.1.1.1/32 O_INTRA 10 1 1.1.2.1 GE0/0
1.1.2.0/30 Direct 0 0 1.1.2.2 GE0/0
1.1.2.2/32 Direct 0 0 127.0.0.1 InLoop0
1.1.2.3/32 Direct 0 0 1.1.2.2 GE0/0
1.1.3.0/25 O_INTRA 10 2 1.1.2.1 GE0/0
1.1.3.128/25 O_INTRA 10 2 1.1.2.1 GE0/0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
组网及组网描述:
路由器A、B直连
核心问题分析
silent-interface命令的真正作用:- 它仅禁止在指定接口上发送和接收OSPF协议报文(Hello、LSA等)。
- 它不会阻止该接口的IP地址(路由)通过OSPF进程从其他活跃的OSPF接口发布出去。
- 路由器A配置了
network 1.1.0.0 0.0.255.255,这包含了:- 物理接口 GE0/0: 1.1.2.1/30
- 子接口 GE0/1.1: 1.1.3.1/25
- 子接口 GE0/1.2: 1.1.3.129/25
- 环回接口 LoopBack10: 1.1.1.1/32
- 当您将
LoopBack10配置为silent-interface后:- OSPF不会在
LoopBack10上收发报文(这本身没什么影响,因为环回口不需要建立邻居)。 - 但
LoopBack10的直连路由 1.1.1.1/32 仍然被OSPF进程视为内部路由。 - OSPF会通过活跃的OSPF接口(GE0/0) 将这条路由作为Type-1 LSA(路由器LSA)通告给邻居路由器B。
1.1.1.1/32这条OSPF路由。解决方案(四种方法)
方案1:调整OSPF的network语句(最推荐,最简洁)
network语句不包含LoopBack10的地址。ospf 1
silent-interface LoopBack10
area 0.0.0.0
network 1.1.2.0 0.0.0.3 # 精确匹配GE0/0接口的直连网段
network 1.1.3.0 0.0.0.127 # 精确匹配GE0/1.1的网段
network 1.1.3.128 0.0.0.127 # 精确匹配GE0/1.2的网段
# 不再发布1.1.0.0/16这么大的范围方案2:使用路由策略过滤(灵活,但稍复杂)
# 创建ACL匹配要过滤的路由
acl basic 2000
rule deny source 1.1.1.1 0.0.0.0
rule permit source any
# 应用过滤策略
ospf 1
filter-policy 2000 export
silent-interface LoopBack10
area 0.0.0.0
network 1.1.0.0 0.0.255.255方案3:在接口下静默OSPF(针对物理接口更有效)
interface LoopBack10
undo ospf enable # 在接口下直接关闭OSPF方案4:使用前缀列表和过滤策略(更精确的过滤)
# 创建前缀列表
ip prefix-list Deny-Loopback index 10 deny 1.1.1.1 32
ip prefix-list Deny-Loopback index 20 permit 0.0.0.0 0 less-equal 32
# 创建路由策略
route-policy OSPF-Filter deny node 10
if-match ip address prefix-list Deny-Loopback
route-policy OSPF-Filter permit node 20
# 应用路由策略
ospf 1
filter-policy route-policy OSPF-Filter export验证步骤
- 在路由器A上检查OSPF LSDB:
display ospf lsdb - 在路由器B上查看路由表:
display ip routing-table此时应该看不到1.1.1.1/32这条OSPF路由了。
关键总结
silent-interface≠ 不发布路由。它只是不在该接口上收发OSPF协议报文。- 要阻止特定路由被OSPF发布,必须:
- 确保该路由不在OSPF的network范围内,或
- 使用过滤策略(filter-policy)在出口方向过滤。
暂无评论
原因:`silent-interface LoopBack10` 只抑制该接口发送和接收OSPF报文,防止建立邻居关系,但不会阻止该接口的IP地址作为Router ID或通过其他接口通告进入OSPF域。若路由器A的 LoopBack10 接口地址被引入到OSPF路由域中(例如通过 `network` 命令或 `import-route`),则仍会被传播至路由器B。
因此,尽管配置了 `silent-interface`,只要 LoopBack10 的地址在OSPF进程中被网络宣告或引入,就会出现在路由器B的路由表中。要避免此问题,需在路由引入或发布策略中过滤掉该接口地址。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论