Dès qu'une nouvelle interface est activée au sein du réseau EIGRP, le protocole EIGRP tente de former une contiguïté de voisinage avec les routeurs voisins pour envoyer et recevoir les mises à jour EIGRP.
Il peut parfois s'avérer nécessaire, ou avantageux, d'inclure un réseau connecté directement dans la mise à jour de routage EIGRP, mais sans permettre la formation de contiguïtés de voisinage hors de cette interface. La commande passive-interface permet d'empêcher les contiguïtés de voisinage. Deux raisons principales peuvent motiver l'activation de la commande passive-interface :
- Pour supprimer le trafic de mise à jour inutile, notamment en présence d'une interface LAN, sans autres routeurs connectés
- Pour augmenter les contrôles de sécurité, par exemple pour empêcher les périphériques de routage indésirables inconnus de recevoir les mises à jour EIGRP
La Figure 1 montre que R1, R2 et R3 n'ont aucun voisin sur leurs interfaces GigabitEthernet 0/0.
La commande de mode de configuration du routeur passive-interface désactive la transmission et la réception des paquets Hello EIGRP sur ces interfaces.
Router(config)# router eigrp as-number
Router(config-router)# passive-interface interface-type interface-number
La Figure 2 montre la commande passive-interface configurée de façon à supprimer les paquets Hello sur les réseaux locaux de R1 et R3. R2 est configuré à l'aide du contrôleur de syntaxe.
Sans contiguïté de voisinage, le protocole EIGRP ne permet pas d'échanger des routes avec un voisin. Par conséquent, la commande passive-interface empêche l'échange de routes sur l'interface. Même si le protocole EIGRP n'envoie/ne reçoit pas de mises à jour de routage sur une interface configurée avec la commande passive-interface, il continue à inclure l'adresse de l'interface dans les mises à jour de routage envoyées par d'autres interfaces non passives.
Remarque : pour configurer toutes les interfaces comme passives, utilisez la commande passive-interface default. Pour désactiver une interface considérée comme passive, utilisez la commande no passive-interface interface-type interface-number.
L'interface passive peut être utilisée pour augmenter les contrôles de sécurité, par exemple lorsqu'un réseau doit être connecté à une organisation tierce sur laquelle l'administrateur local n'a aucun contrôle, notamment lors de la connexion à un réseau FAI. Dans ce cas, l'administrateur du réseau local a besoin d'annoncer le lien d'interface dans tout son réseau, mais ne souhaite pas forcément que l'organisation tierce reçoive ou envoie des mises à jour de routage vers le périphérique de routage local, car cela constitue un risque pour la sécurité.
Vérification de l'interface passive
Pour vérifier si l'interface d'un routeur est configurée comme passive, utilisez la commande du mode d'exécution privilégié show ip protocols, comme indiqué à la Figure 3. Notez que, bien que l'interface GigabitEthernet 0/0 de R3 soit passive, le protocole EIGRP continue à inclure l'adresse réseau de l'interface du réseau 192.168.1.0 dans ses mises à jour de routage.
Utilisez le contrôleur de syntaxe de la Figure 4 pour configurer R2 de façon à supprimer les paquets Hello EIGRP de son interface GigabitEthernet 0/0.