DMVPN EIGRP passive-interface【済】

この記事で疑問に思ってたことが解決したからメモ。

初期設定

・Dual-hub Dual-cloud構成
・Phase3はEIGRP

2hub-2cloud_Hubs.txt

7.32 KB

ファイルダウンロードについて

ダウンロード

2hub-2cloud_spokes.txt

7.62 KB

ファイルダウンロードについて

ダウンロード

疑問

Spokeにて自Site方向のI/FのEIGRPを起動したのになんですぐpassive-interfaceを入れるのかわからなかった。始めから入れる必要ないのでは？

iosv-1(config)#router eigrp 1
iosv-1(config-router)#net 24.1.1.0 0.0.0.255
iosv-1(config-router)#passisve-interface gi0/1

解決

A：自サイトのプレフィックスをHubに伝えたいけど、自サイトのルータにはインターネットの経路等を伝えたくないから。

検証

iosv-4#ping 36.1.1.6
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 36.1.1.6, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

iosv-1#sh ip ro | b Gate
Gateway of last resort is 0.0.0.0 to network 0.0.0.0

D*    0.0.0.0/0 is a summary, 00:44:36, Null0
      15.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        15.1.1.0/24 is directly connected, GigabitEthernet0/1
L        15.1.1.1/32 is directly connected, GigabitEthernet0/1
      18.0.0.0/32 is subnetted, 1 subnets
D        18.1.1.8 [90/130816] via 187.1.1.8, 00:47:47, GigabitEthernet0/0
      19.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        19.1.1.0/24 is directly connected, GigabitEthernet0/2
L        19.1.1.1/32 is directly connected, GigabitEthernet0/2
      25.0.0.0/24 is subnetted, 1 subnets
D        25.1.1.0 [90/3072] via 15.1.1.5, 00:47:47, GigabitEthernet0/1
      35.0.0.0/24 is subnetted, 1 subnets
D        35.1.1.0 [90/3072] via 15.1.1.5, 00:47:47, GigabitEthernet0/1
      57.0.0.0/24 is subnetted, 1 subnets
D        57.1.1.0 [90/3072] via 15.1.1.5, 00:47:47, GigabitEthernet0/1
      100.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        100.1.1.0/24 is directly connected, Tunnel100
L        100.1.1.1/32 is directly connected, Tunnel100
      187.1.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        187.1.1.0/24 is directly connected, GigabitEthernet0/0
L        187.1.1.1/32 is directly connected, GigabitEthernet0/0
D     200.1.1.0/24 [90/28160000] via 100.1.1.3, 00:46:58, Tunnel100
                   [90/28160000] via 100.1.1.2, 00:46:58, Tunnel100

spokeはhubからデフォルトルートが広告されているからルーティングできるけど、Hubはデフォルトルートを持ってないかつ各Siteのプレフィックスを持っていないからルーティングできない。

iosv-2(config)#router eigrp 10
iosv-2(config-router)#net 24.1.1.0 0.0.0.255

iosv-3(config)#router eigrp 10
iosv-3(config-router)#net 36.1.1.0 0.0.0.255

iosv-1#sh ip ro | b Gate
Gateway of last resort is 0.0.0.0 to network 0.0.0.0

D*    0.0.0.0/0 is a summary, 00:46:17, Null0
      15.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
<略>
      24.0.0.0/24 is subnetted, 1 subnets
D        24.1.1.0 [90/26880256] via 100.1.1.2, 00:00:10, Tunnel100
D        36.1.1.0 [90/26880256] via 100.1.1.3, 00:00:03, Tunnel100
<略>

iosv-4#ping 36.1.1.6
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 36.1.1.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 15/32/68 ms

各SpokeにてSite側のEIGRPを有効にすると、Hubは各Siteのプレフィックスを学習してSite間の通信ができるようになる。
ただ、このままだとSite側にもEIGRPのHelloが流れてしまい、不正なルータがインターネット側のプレフィックスを入手してしまう可能性がある。
Site側のルータ（iosv-4,6）はSpokeをデフォルトルートとしてスタティックに経路が設定されているため、不要なEIGRP Helloトラフィックは帯域の無駄かつ不正利用される恐れがあるのでないほうが良い。

iosv-2(config-router)#passive-interface gi0/1
iosv-3(config-router)#passive-interface gi0/1

したがって、passive-interfaceを入れる。

結論

・SpokeはHubにだけ自サイトのプレフィックスを伝えたい(自サイトにEIGRPトラフィックを流したくない)ので、自サイトのプレフィックスのEIGRPを有効にしつつ自サイト側のインターフェースをPassive-Interfaceに指定する。
・なぜ自サイトにEIGRPトラフィックを流したくないか→帯域の圧迫になるし、不正にインターネット側のプレフィックスを入手される可能性が出てきてしまうから。

参考

CCIE Enterprise Infrastructure Foundation, 2nd Edition