RIP Passive Interface

By Nguyễn Văn Huy Dũng
0 comments
Tháng Một 13, 2022

Nội dung

RIP Passive Interface

Khi cấu hình giao thức RIP sử dụng câu lệnh network, thì bạn cần phải chú ý tới 2 điều sau:

Tất cả các miền địa chỉ mạng thuộc miền địa chỉ trong câu lệnh network sẽ được quảng bá trong các gói tin update của RIP.
Tất cả các interface có địa chỉ IP thuộc miền địa chỉ trong câu lệnh network sẽ được dùng để gửi update.

Đôi khi, chúng ta chỉ muốn RIP quảng bá thông tin nhưng chúng ta không muốn quảng bá thông tin này đi đến khắp mọi nơi. Hãy nhìn vào ví dụ sau đây để có thể giải quyết vấn đề trên:

Hình trên gồm 2 router R1 và R2. Ở phía tay trái, chúng ta có một miền địa chỉ 192.168.10.0/24 với một switch và một số máy tính. R1 muốn quảng bá miền địa chỉ mạng này với R2, R1 phải gửi RIP update thông qua interface fa0/0. Tuy nhiên, hãy nhớ lại R1 cũng gửi gói tin RIP update qua interface fa1/0 trong khi phía interface fa1/0 không có một router nào!!!

Đó là một điểm yếu bảo mật của hệ thống này. Khi có một router kết nối vào miền mạng 192.168.10.0/24 (hay ai đó khởi tạo một router ảo trên máy tính), họ có thể gửi bản tin RIP update tới R1, cũng như có thể nhận được RIP update của R1. Đó quả thật là một điều không hề tốt.

Để ngăn chặn điều này, chúng ta cần sử dụng câu lệnh passive-interface. Câu lệnh này sẽ đảm bảo rằng miền mạng của interface được cấu hình vẫn được quảng bá nhưng interface đó không được dùng để gửi các gói tin RIP update nữa.

Lý thuyết thì chỉ có vậy. Giờ hãy xem cấu hình câu lệnh này như thế nào.

Cấu hình

Dưới đây là cấu hình trên R1 và R2:

Như vậy, R2 sẽ học được mạng 192.168.10.0 /24:

Vấn đề của chúng ta nằm ở chỗ R1 gửi update thông qua fa0/1 tới các máy tính thuộc mạng LAN của mình. Bạn có thể kiểm tra bằng cách debug trên R1.

Bạn có thể thấy là RIP update được gửi thông qua cả hai interface:

Hãy sử dụng câu lệnh passive-interface:

Đó là tất cả những gì ta phải làm. Bạn có thể kiểm tra lại cấu hình bằng cách như sau:

Hoặc bạn có thể kiểm tra lại bằng câu lệnh debug:

Mạng 192.168.10.0/24 vẫn được quảng bá tới R2:

Vấn đề đã được giải quyết. Miền mạng vẫn được quảng bá tới R2, tuy nhiên RIP update đã không còn được gửi tới các máy tính nữa. Một điều nữa là bạn nên sử dụng lệnh này trên tất cả các interface của router không có kết nối tới một router khác.

Nếu như bạn có nhiều interface cần passive, bạn có thể sử dụng câu lệnh passive-interface default, câu lệnh này sẽ passive tất cả các interface lại và interface nào bạn muốn gửi update thì sử dụng câu lệnh no passive-interface cho interface đó.

EIGRP và OSPF cũng hỗ trợ câu lệnh passive-interface và nó hoạt động giống với RIP. Có một chút khác biệt với RIP là EIGRP và OSPF sẽ chặn thêm các gói tin hello được gửi tới để ngăn chặn luôn việc thiết lập quan hệ láng giềng không cần thiết.

“CCNA Routing – Network Lesson”

NGUYỄN VĂN HUY DŨNG