FAQ-什么情况下地址池中的地址需要配置黑洞路由

发布时间:  2014-09-19 浏览次数:  137 下载次数:  0
问题描述
什么情况下地址池中的地址需要配置黑洞路由?
解决方案
当NAT地址池地址与USG9000连接外网接口的地址在不同的网段时,需要配置黑洞路由。
黑洞路由有以下两方面的作用:
 避免USG9000与上行路由设备之间产生路由环路
如图1-1所示,正常情况下,内部网络中的用户主动访问外部网络,并使用地址池地址作为转换后的公网地址。当外部网络中的用户主动访问地址池中的地址时,USG9000收到报文后,由于没有匹配到会话表,将会根据路由表将报文转发至Router。Router收到报文后会继续转发给USG9000,由此报文将在USG9000和Router之间循环转发,直到TTL为0后被丢弃。当外部网络中有大量的恶意用户主动访问地址池地址时,将会影响USG9000和Router的处理性能。
图1-1 路由环路示意图

为了避免上述情况,在USG9000上配置目的地址为地址池地址的32位黑洞路由,外网主动访问地址池地址的报文匹配到黑洞路由后直接被丢弃,不会在USG9000和Router之间循环转发。
对于NAT Server来说,也需要在配置目的地址为Global地址的32位黑洞路由,使外网访问Global地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,不会在USG9000和上行路由设备之间循环转发。
 引入到动态协议中并发布出去,使上行路由设备学习到去往地址池地址的路由
当USG9000和上行路由设备上开启动态路由协议(如OSPF)时,为了简化配置,希望上行路由设备可以自动学习到去往地址池地址的路由,但是在动态路由协议中无法直接引用地址池地址。
为了实现上述需求,可以配置目的地址为地址池地址的32位黑洞路由,引入到动态协议中并发布出去,使上行路由设备学习到去往地址池地址的路由。

END