March 3, 2026

EIGRP Passive Interface: Sicherheit und sauberes Design

Ein „Passive Interface“ in EIGRP sorgt dafür, dass ein Router auf einem Interface keine EIGRP-Hellos mehr sendet und damit keine Nachbarschaften aufbauen kann. Das ist ein zentraler Baustein für Sicherheit und sauberes Design: LAN-Segmente, in denen keine Router-Nachbarn erwartet werden, bleiben ruhig, weniger angreifbar und verursachen weniger Routing-„Noise“. Gleichzeitig kann das zugehörige Netz weiterhin in EIGRP angekündigt werden – wenn die EIGRP-Konfiguration korrekt gesetzt ist.

Was bewirkt passive-interface bei EIGRP?

Mit passive-interface deaktivierst du die EIGRP-Nachbarschaftsbildung auf einem Interface. EIGRP-Updates und Hellos werden nicht mehr gesendet/empfangen. Das Interface-Netz kann trotzdem als Route im EIGRP auftauchen und verteilt werden.

  • Keine Hellos → keine Neighbors auf diesem Interface
  • Weniger Angriffsfläche (keine ungewollten Router-Nachbarn)
  • Weniger Multicast-Traffic im LAN
  • Netz kann weiterhin angekündigt werden (Designabhängig)

Warum Passive Interfaces Best Practice sind

In den meisten Designs sollen EIGRP-Nachbarn nur auf Transitlinks entstehen (Router-zu-Router). Access-LANs, Server-VLANs oder Client-Netze brauchen in der Regel keine Nachbarschaften, weil dort keine Router stehen sollten.

  • Sauberes IGP-Design: Neighbors nur dort, wo sie hingehören
  • Schutz gegen „Rogue Router“ im LAN (unautorisierte Nachbarschaft)
  • Reduzierte L2-Belastung durch weniger Multicast
  • Einfacheres Troubleshooting (weniger Neighbor-„Rauschen“)

Praxisregel: Default-passive und Transitlinks gezielt aktivieren

Die betriebssichere Vorgehensweise ist: alle Interfaces standardmäßig passiv setzen und nur die benötigten Transitinterfaces wieder aktiv machen. So verhinderst du, dass neue VLANs/Ports unbemerkt EIGRP sprechen.

Empfohlenes Muster: passive-interface default

Router# configure terminal
Router(config)# router eigrp 100
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface gigabitEthernet0/1
Router(config-router)# no passive-interface gigabitEthernet0/2
Router(config-router)# end

Was das Muster praktisch bedeutet

  • Alle Interfaces: keine EIGRP-Hellos
  • Nur Gi0/1 und Gi0/2: EIGRP aktiv (Neighbors möglich)
  • Neue Interfaces/VLANs sind automatisch „safe“

Einzelnes Interface passiv setzen (klassisch)

Wenn du nur wenige LAN-Interfaces blocken willst, kannst du auch gezielt einzelne Interfaces passiv schalten. In großen Umgebungen ist Default-passive aber meist sicherer.

Beispiel: LAN-Interface passiv

Router# configure terminal
Router(config)# router eigrp 100
Router(config-router)# passive-interface gigabitEthernet0/0
Router(config-router)# end

Wichtiger Punkt: Wird das Netz trotzdem announced?

Ein häufiger Denkfehler: „passive“ bedeutet nicht automatisch „nicht advertised“. Entscheidend ist, ob das Netz über network-Statements in EIGRP enthalten ist. Ist es enthalten, wird es typischerweise weiterhin als Route verteilt – nur ohne Neighbor-Bildung auf genau diesem Interface.

Prüfen, welche Netze EIGRP aktiviert

Router# show ip protocols
Router# show running-config | section router eigrp

Beispiel: LAN-Netz wird annonciert, Interface bleibt passiv

Router# configure terminal
Router(config)# router eigrp 100
Router(config-router)# network 192.168.10.0 0.0.0.255
Router(config-router)# passive-interface gigabitEthernet0/0
Router(config-router)# end

Sicherheit: Passive Interface ist gut – aber nicht die einzige Maßnahme

Passive Interfaces reduzieren Risiko, ersetzen aber keine echten Sicherheitskontrollen. In kritischen Netzen kombinierst du das mit Authentifizierung und ACLs, insbesondere auf Transitlinks.

  • EIGRP-Authentifizierung auf Transitlinks (Key-Chain)
  • ACLs, die EIGRP (IP-Protokoll 88) nur dort erlauben, wo nötig
  • Management- und Transit-VLANs strikt trennen

ACL-Hinweis: EIGRP ist IP-Protokoll 88

Router# show running-config | include access-group
Router# show access-lists

Typische Fehler: Passive Interface versehentlich auf Transit

Der Klassiker im Troubleshooting: Das Transitinterface ist passiv, daher entstehen keine Neighbors und keine Routen. Mit Default-passive ist das besonders relevant, wenn du das „no passive-interface“ vergisst.

Symptom: Keine Neighbors

Router# show ip eigrp neighbors

Fix: Transitinterface aktivieren

Router# configure terminal
Router(config)# router eigrp 100
Router(config-router)# no passive-interface gigabitEthernet0/1
Router(config-router)# end

Verifikation: Passive Interfaces und Routing prüfen

Nach der Konfiguration prüfst du, ob Neighbors nur auf den gewünschten Links existieren und ob die LAN-Netze trotzdem im EIGRP verteilt werden.

Neighbors und aktive Protokolle prüfen

Router# show ip eigrp neighbors
Router# show ip protocols

Routen prüfen

Router# show ip route eigrp
Router# show ip route 192.168.10.0

Interface-Kontext prüfen

Router# show running-config | section router eigrp
Router# show running-config interface gigabitEthernet0/0

Best Practices: Sauberes EIGRP-Design mit Passive Interfaces

Mit wenigen Regeln wird das Design robust und auditierbar. Ziel ist, dass EIGRP nur auf explizit freigegebenen Transitlinks arbeitet.

  • passive-interface default als Standard, Transitlinks explizit „no passive“
  • LANs/Client-VLANs grundsätzlich passiv
  • Transitlinks zusätzlich authentifizieren und ggf. per ACL absichern
  • Änderungen nach jedem Change verifizieren (Neighbors + Routes)
  • Dokumentation: welche Interfaces sind EIGRP-Transit, welche nicht

Konfiguration speichern

Wenn Nachbarn wie geplant nur auf Transitlinks existieren und Routen korrekt verteilt werden, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)