Poison Nuke 10 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 Hallo, nehmen wir eine simple OSPF Konfiguration mit zwei Routern. Diese beide sind untereinander verbunden und haben auf ihrer anderen Schnittstelle ein "Endnetzwerk", also wo nur noch Clients sind. Jetzt möchte ich OSPF aktivieren (erstmal ohne weitere Optionen). Nur sollen die Schnittstellen zu den Clients kein OSPF fahren. Nur wie bekomm ich diese Netzwerke dann trotzdem über OSPF weitervermittelt? Weil wenn ich die Interfaces nicht im router ospf über "network" angebe, werden die schlichtweg auch gar nicht an den anderen Router übermittelt. Wie bekomm ich es jetzt trotzdem hin das sämtliche an den Router direkt angebundenen (direct connected) Netze über OSPF verteilt werden ohne das über einige der Interfaces die OSPF Hello Pakete gesendet werden? Hintergrund ist einfach Sicherheit...es soll gar nicht erst die Möglichkeit bestehen das jemand einen Angriff versuchen könnte, auch wenn alles mit message-digest key abgesichert ist. Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 Hallo, aktiviere OSPF auch auf den Interfaces und setze "passive interface". Damit snede der Router auf diesem Intefrcae keine Hellos und kann so auch keine Beziehung über diese Intefrace aufbauen. router ospf 1 passive-interface FastEthernet0/1 Ein andere (schlechterere) Möglichkeit, wäre redistribution der Routen. mfg Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 6. Dezember 2009 Autor Melden Teilen Geschrieben 6. Dezember 2009 Hallo, danke für den Tipp, auf "passive-interface" war ich nicht gekommen. redistribution hatte ich vorher probiert router ospf 1 redistribution static redistribution static subnets aber da war dann einfach nix passiert. Oder hab ich da auch was falsch gemacht? sondernlich viel fand ich zur redistribution von statischen Einträgen bei Cisco nicht. achja, beim passive-interface, ich finde da kein range kommando...bei ein paar hundert interfaces würde das etwas ausarten. Und ein int range macht sich bei nicht fortlaufend nummerierten vlan ints auch nicht so gut. Gibt es da noch eine Alternative? Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 (bearbeitet) Hallo, müsste es nicht "redistribute connected" lauten? Ist zumindest bei BGP so, OSPF ist nicht ganz mein gebiet ;-) Es gibt auch die Möglichkeit, alle Interface zu passiven zu machen (passive default) und nur auf den nötigen die Hellos mit "no passive" zu aktivieren. mfg bearbeitet 6. Dezember 2009 von Windowsbetatest Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Dezember 2009 Melden Teilen Geschrieben 6. Dezember 2009 hier gibts eine umfangreiche HowTo Sammlung zu Konfigurationsvarianten: OSPF area configuration best practices - CT3 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.