FAQ-什么情况下需要配置黑洞路由

发布时间:  2014-09-19 浏览次数:  333 下载次数:  0
问题描述
什么情况下需要配置黑洞路由?
解决方案
当NAT地址池地址与设备连接外网接口的地址在不同的网段时,需要配置黑洞路由。
黑洞路由有以下两方面的作用:
 避免NGFW与上行路由设备之间产生路由环路
图11-1如所示,正常情况下,内部网络中的用户主动访问外部网络,并使用地址池地址作为转换后的公网地址。当外部网络中的用户主动访问地址池中的地址时,NGFW收到报文后,由于没有匹配到会话表,将会根据路由表将报文转发至Router。Router收到报文后会继续转发给NGFW,由此报文将在NGFW和Router之间循环转发,直到TTL为0后被丢弃。当外部网络中有大量的恶意用户主动访问地址池地址时,将会影响NGFW和Router的处理性能。
图11-1 路由环路示意图

为了避免上述情况,在NGFW上配置目的地址为地址池地址的32位黑洞路由,外网主动访问地址池地址的报文匹配到黑洞路由后直接被丢弃,不会在NGFW和Router之间循环转发。
对于服务器静态映射来说,也需要在配置目的地址为公网地址的32位黑洞路由,使外网访问公网地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,不会在NGFW和上行路由设备之间循环转发。
 引入到动态协议中并发布出去,使上行路由设备学习到去往地址池地址的路由
当NGFW和上行路由设备上开启动态路由协议(如OSPF)时,为了简化配置,希望上行路由设备可以自动学习到去往地址池地址的路由,但是在动态路由协议中无法直接引用地址池地址。
为了实现上述需求,可以配置目的地址为地址池地址的32位黑洞路由,引入到动态协议中并发布出去,使上行路由设备学习到去往地址池地址的路由。

END