FAQ-配置NAT时什么情况下需要添加黑洞路由

发布时间:  2014-09-18 浏览次数:  200 下载次数:  0
问题描述
配置NAT时什么情况下需要添加黑洞路由?
解决方案
1. 配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。
2. 配置带端口的nat server,并且nat server的global地址跟出接口不在同一网段时,必须将nat server的global地址配置为黑洞路由。
防火墙配置NAT的时候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址为目的地址的报文,防火墙查路由,仍向出接口发送,但防火墙下行设备认为该地址的目的路由在防火墙上,将报文又发回到防火墙,从而导致路由环路。NAT地址池地址或nat server的global地址跟出接口IP地址在同一网段也可以配置黑洞路由,在同一网段的时候,防火墙转发报文时,请求NAT地址池地址或nat server的global地址的ARP,因为无法请求到ARP而丢包,从而避免路由环路。当对NAT地址池地址或nat server的global地址配置黑洞路由后,可以避免对NAT地址池地址或nat server的global地址的ARP请求报文,节省防火墙ARP资源。

END