- Katılım
- 15 May 2013
- Konular
- 971
- Mesajlar
- 6,650
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 12 Gün
- MmoLira
- 22,212
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
OSPF pasif arayüzü konusunu ele alacağız. Gerçek dünya uygulamalarında çok yaygın olarak kullanılan ve öğrencilerin aşina olması gereken CCNA sınav konularının bir parçası olan bir özelliktir.
Neden bir OSPF pasif arayüzüne ihtiyacımız var?
Bir yönlendiricinin genellikle her arayüzde komşu ilişkisi kurması gerekmez. Örneğin, aşağıdaki diyagramdaki yönlendiricinin beş farklı Ethernet segmentine bağlı beş yerel arayüzü vardır.
Uzak bir OSPF yönlendiricisi yalnızca arayüzlerden birinde, Eth0/4'te bulunur. Bu arayüz, yukarı bağlantı (diğer yönlendiricilere giden) olarak adlandırılır. Diğer dört arayüzde (Eth0/0-Eth0/3) yönlendirici bulunmaz. Bunlar yalnızca ana bilgisayarların bulunduğu segmentlere bağlanır.
Bu gibi durumlarda, yönlendirici bulunmayan arayüzlerde sürekli olarak Hello paketleri göndermek açıkça verimsizdir. Kaynak israfına yol açar ve güvenlik açısından sakıncaları vardır. Ancak, bağlı alt ağları yönlendirme işleminde duyurmak için, her arayüzde OSPF işlemini etkinleştirmeniz ve yönlendiriciye otomatik olarak Hello paketleri göndermesi talimatını vermeniz gerekir. Peki, bir arayüzün alt ağını duyurmak ancak arayüzde Hello paketleri gönderip almamak için çözüm nedir?
OSPF Pasif Arayüzü nedir?
Çözüm, Pasif Arayüz adı verilen bir özelliktir. "Pasif arayüz", OSPF yönlendirme işlemine duyuru amacıyla katılan ancak OSPF yönlendirme güncellemelerini göndermeyen veya almayan bir ağ arayüzüdür. İşte bunun anlamı:
Bir arayüz OSPF Pasif Arayüzü olarak yapılandırıldığında, aşağıdaki gibi davranmaya başlar:
OSPF, arayüzün bağlı olduğu alt ağı duyurmaya devam eder.
Ancak, OSPF işlemi artık bu arayüz üzerinden Hello paketleri göndermez.
Ayrıca, yönlendirme işlemi artık bu arayüz üzerinden alınan Hello paketlerini işlemez.
Şekil 1'de gösterilen örneğe tekrar bakalım. Eth0/0'dan Eth0/3'e kadar olan arayüzler, yönlendiricisi olmayan ana bilgisayar alt ağlarına bağlandığından, bunları aşağıdaki şemada gösterildiği gibi pasif arayüzler olarak yapılandırabiliriz.
Bir OSPF arayüzünü pasif olarak yapılandırmak için iki seçenek vardır. En doğrudan yöntem, aşağıdaki örnekte gösterildiği gibi, her birini doğrudan OSPF işlemi altında yapılandırmayı içerir. Mavi renkle gösterilen yerde, ana bilgisayar alt ağlarına bağlanan her arayüzü pasif olarak yapılandırdığımızı görebilirsiniz.
Kod:
R1(config)# sh run | section ospf
router ospf 1
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 10.0.0.0 0.255.255.255 area 0
passive-interface Ethernet0/0
passive-interface Ethernet0/1
passive-interface Ethernet0/2
passive-interface Ethernet0/3Arayüzler pasif olarak yapılandırılmış olsa da, reklam amaçlı yönlendirme sürecine yine de katılırlar, bu nedenle aşağıdaki çıktıda görebileceğiniz gibi `show ip ospf interface brief` komutu altında görünmeye devam ederler.
Kod:
R1# show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Lo0 1 0 1.1.1.1/32 1 LOOP 0/0
Et0/0 1 0 10.16.1.254/24 10 DR 0/0
Et0/1 1 0 10.1.1.1/24 10 DR 0/0
Et0/2 1 0 10.55.2.1/24 10 DR 0/0
Et0/3 1 0 10.32.16.1/24 10 DR 0/0
Et0/4 1 0 10.0.0.1/24 10 DR 1/1Arayüzün pasif olarak yapılandırılıp yapılandırılmadığını doğrulamak için, aşağıda gösterildiği gibi ayrıntılı arayüz komutunu kontrol etmelisiniz.
Kod:
R1# sh ip ospf interface Et0/0
Ethernet0/0 is up, line protocol is up
Internet Address 10.16.1.254/24, Interface ID 2, Area 0
Attached via Network Statement
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 1.1.1.1, Interface address 10.16.1.254
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive interface)
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Can be protected by per-prefix Loop-Free FastReroute
Can be used for per-prefix Loop-Free FastReroute repair paths
Not Protected by per-prefix TI-LFA
Index 1/2/2, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)En Yaygın Senaryolar
Arayüzleri pasif olarak yapılandırmanın ikinci yöntemini gösteren başka bir tipik örneğe bakalım. Şekil 3, iki anahtarın (DSW1 ve DSW2) birden fazla erişim VLAN'ını bir araya getirdiği ve ağın WAN bölümüne bağlandığı geleneksel bir dağıtım katmanı tasarımını göstermektedir. Her anahtarın, uç cihazları birbirine bağlayan yüzlerce alt arayüzü/arayüz VLAN'ı vardır.
Örneğimizde, çıktının sığması için yalnızca 10 alt arayüz gösteriyoruz, ancak bunu yüzlerce ölçeğinde düşünün.
Aşağıdaki çıktıda gösterildiği gibi, pasif arayüz özelliğini kullanmadan her iki dağıtım anahtarında da OSPF sürecini yapılandırırsak ne olacağını düşünüyorsunuz?
Tüm arayüzler yönlendirme sürecine katıldığından, anahtarlar her arayüzde Hello paketleri gönderir, birbirlerini duyarlar ve tamamen komşu hale gelirler. Bu durum, aşağıdaki çıktıda da görülebileceği gibi, DSW1 ve DSW2'nin yüzlerce kez gereksiz yere OSPF komşusu olmasına yol açar. Bununla birlikte, anahtarlar zaten doğrudan bağlantıları Eth0/1 üzerinden tamamen komşudur ve LSDB veritabanları tamamen senkronize edilmiştir.
Açıkçası, bu kaynak açısından verimsizdir. Ancak, güvenlik açısından da sonuçları vardır. Binlerce uç cihaz, anahtarların her arayüzde periyodik olarak gönderdiği OSPF Hello paketlerini duyabilir ve OSPF kimlik doğrulaması kullanılmadığı takdirde yetkisiz komşuluklara yol açabilir.
Bu sorunun çözümünü zaten gördük. Ancak, çok sayıda arayüzü pasif olarak yapılandırmak istediğinizde, başka bir yaklaşım kullanabilirsiniz. Tüm arayüzleri pasif hale getiren `passive-interface default` komutunu yapılandırabilirsiniz. Ardından, uzak cihazlarla komşuluk kurması gereken arayüzlerde `passive-interface` işlevini devre dışı bırakmanız yeterlidir. Şekil 4, bu mantığı iki dağıtım anahtarı örneğine nasıl uyguladığımızı göstermektedir.
Aşağıda mavi renkle vurgulanan komutları kullanarak her iki anahtarı da yeniden yapılandırıyoruz.
Şimdi, her iki cihazın komşu bağlantılarını kontrol edersek, istenmeyen arayüzler üzerinden gereksiz herhangi bir bağlantı oluşturmadıklarını görebiliriz.
Ancak, pasif arayüzler aşağıda gösterildiği gibi bağlantı durumu yönlendirmesine katılmaya devam eder ve alt ağları uzak komşulara duyurulur.
Örneğimizde, çıktının sığması için yalnızca 10 alt arayüz gösteriyoruz, ancak bunu yüzlerce ölçeğinde düşünün.
Kod:
DSW1# sh ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.10.0.1 YES NVRAM up up
Ethernet0/0.1 10.10.1.1 YES manual up up
Ethernet0/0.2 10.10.2.1 YES manual up up
Ethernet0/0.3 10.10.3.1 YES manual up up
Ethernet0/0.4 10.10.4.1 YES manual up up
Ethernet0/0.5 10.10.5.1 YES manual up up
Ethernet0/0.6 10.10.6.1 YES manual up up
Ethernet0/0.7 10.10.7.1 YES manual up up
Ethernet0/0.8 10.10.8.1 YES manual up up
Ethernet0/0.9 10.10.9.1 YES manual up up
Ethernet0/0.10 10.10.10.1 YES manual up up
<100+ more sub-interfaces or interface Vlans>
Ethernet0/1 172.16.1.1 YES NVRAM up up
Ethernet0/2 172.16.3.1 YES NVRAM up up
Loopback0 1.1.1.1 YES NVRAM up upAşağıdaki çıktıda gösterildiği gibi, pasif arayüz özelliğini kullanmadan her iki dağıtım anahtarında da OSPF sürecini yapılandırırsak ne olacağını düşünüyorsunuz?
Kod:
! Routing configuration on DSW1 and DSW2
router ospf 1
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 10.0.0.0 0.255.255.255 area 0
network 172.16.0.0 0.0.255.255 area 0Tüm arayüzler yönlendirme sürecine katıldığından, anahtarlar her arayüzde Hello paketleri gönderir, birbirlerini duyarlar ve tamamen komşu hale gelirler. Bu durum, aşağıdaki çıktıda da görülebileceği gibi, DSW1 ve DSW2'nin yüzlerce kez gereksiz yere OSPF komşusu olmasına yol açar. Bununla birlikte, anahtarlar zaten doğrudan bağlantıları Eth0/1 üzerinden tamamen komşudur ve LSDB veritabanları tamamen senkronize edilmiştir.
Kod:
DSW1# sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 03:21:38 10.10.10.2 Ethernet0/0.10
2.2.2.2 1 FULL/DR 03:21:39 10.10.9.2 Ethernet0/0.9
2.2.2.2 1 FULL/DR 03:21:36 10.10.8.2 Ethernet0/0.8
2.2.2.2 1 FULL/DR 03:21:37 10.10.7.2 Ethernet0/0.7
2.2.2.2 1 FULL/DR 03:21:38 10.10.6.2 Ethernet0/0.6
2.2.2.2 1 FULL/DR 03:21:37 10.10.5.2 Ethernet0/0.5
2.2.2.2 1 FULL/DR 03:21:38 10.10.4.2 Ethernet0/0.4
2.2.2.2 1 FULL/DR 03:21:37 10.10.3.2 Ethernet0/0.3
2.2.2.2 1 FULL/DR 03:21:35 10.10.2.2 Ethernet0/0.2
2.2.2.2 1 FULL/DR 03:21:35 10.10.1.2 Ethernet0/0.1
2.2.2.2 1 FULL/DR 03:21:35 10.10.0.2 Ethernet0/0
<100+ more routing adjacencies with the same remote neighbor>
2.2.2.2 1 FULL/BDR 03:22:35 172.16.1.2 Ethernet0/1
3.3.3.3 1 FULL/BDR 03:22:35 172.16.3.2 Ethernet0/2Açıkçası, bu kaynak açısından verimsizdir. Ancak, güvenlik açısından da sonuçları vardır. Binlerce uç cihaz, anahtarların her arayüzde periyodik olarak gönderdiği OSPF Hello paketlerini duyabilir ve OSPF kimlik doğrulaması kullanılmadığı takdirde yetkisiz komşuluklara yol açabilir.
Bu sorunun çözümünü zaten gördük. Ancak, çok sayıda arayüzü pasif olarak yapılandırmak istediğinizde, başka bir yaklaşım kullanabilirsiniz. Tüm arayüzleri pasif hale getiren `passive-interface default` komutunu yapılandırabilirsiniz. Ardından, uzak cihazlarla komşuluk kurması gereken arayüzlerde `passive-interface` işlevini devre dışı bırakmanız yeterlidir. Şekil 4, bu mantığı iki dağıtım anahtarı örneğine nasıl uyguladığımızı göstermektedir.
Aşağıda mavi renkle vurgulanan komutları kullanarak her iki anahtarı da yeniden yapılandırıyoruz.
Kod:
! Routing configuration on DSW1 and DSW2
router ospf 1
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 10.0.0.0 0.255.255.255 area 0
network 172.16.0.0 0.0.255.255 area 0
passive-interface default
no passive-interface Ethernet0/1
no passive-interface Ethernet0/1Şimdi, her iki cihazın komşu bağlantılarını kontrol edersek, istenmeyen arayüzler üzerinden gereksiz herhangi bir bağlantı oluşturmadıklarını görebiliriz.
Kod:
DSW1# sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/BDR 04:15:35 172.16.1.2 Ethernet0/1
3.3.3.3 1 FULL/BDR 04:15:35 172.16.3.2 Ethernet0/2Ancak, pasif arayüzler aşağıda gösterildiği gibi bağlantı durumu yönlendirmesine katılmaya devam eder ve alt ağları uzak komşulara duyurulur.
Kod:
DSW1# sh ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Lo0 1 0 1.1.1.1/32 1 LOOP 0/0
Et0/0.10 1 0 10.10.10.1/24 10 BDR 1/1
Et0/0.9 1 0 10.10.9.1/24 10 BDR 1/1
Et0/0.8 1 0 10.10.8.1/24 10 BDR 1/1
Et0/0.7 1 0 10.10.7.1/24 10 BDR 1/1
Et0/0.6 1 0 10.10.6.1/24 10 BDR 1/1
Et0/0.5 1 0 10.10.5.1/24 10 BDR 1/1
Et0/0.4 1 0 10.10.4.1/24 10 BDR 1/1
Et0/0.3 1 0 10.10.3.1/24 10 BDR 1/1
Et0/0.2 1 0 10.10.2.1/24 10 BDR 1/1
Et0/0.1 1 0 10.10.1.1/24 10 BDR 1/1
Et0/0 1 0 10.10.0.1/24 10 BDR 0/0
<100+ more sub-interfaces or interface Vlans>
Et0/1 1 0 172.16.1.1/24 10 DR 0/0
Et0/2 1 0 172.16.3.1/24 10 DR 0/0Önemli Noktalar
OSPF Pasif Arayüzü, alt ağ duyurusu amacıyla yönlendirme sürecine katılan ancak OSPF Hello paketleri göndermeyen veya almayan bir ağ arayüzüdür.
Faydaları:
Kaynak Verimliliği: Uç cihazlara bağlı arayüzler gibi belirli arayüzlerde (örneğin, diğer cihazların yönlendirici olmadığı bir yönlendiricideki LAN arayüzü), OSPF komşulukları kurmaya gerek olmayabilir. Pasif arayüzler kullanmak, gereksiz OSPF işlemeyi ve trafiği azaltabilir.
Güvenlik: Bir arayüzü pasif hale getirerek, yetkisiz veya istenmeyen cihazlarla OSPF komşuluklarını önleyebilir ve bu da yönlendirme alanının güvenliğini sağlamaya yardımcı olur.
Uygulamada, OSPF pasif arayüzü yapılandırmak, özellikle ağ topolojisi veya güvenlik hususları nedeniyle OSPF komşuluk ilişkileri kurmanın istenmeyen olduğu senaryolarda, belirli ağ segmentlerinde OSPF davranışını kontrol etmek için yaygın bir tekniktir.
Şu an konuyu görüntüleyenler (Toplam : 1, Üye: 0, Misafir: 1)
Benzer konular
Altın Konu
OSPF DR ve BDR Rehberi
Altın Konu
OSPF Komşu Bitişiklikleri