NE5000E旁挂E8000E防火墙NAT地址池没有配置黑洞路由,导致NE5000E上环路CPU过高问题处理案例

发布时间:  2012-11-14 浏览次数:  309 下载次数:  0
问题描述
城域网出口NE5000E旁挂E8000E-X16防火墙,用来给NE5000E下挂BRAS的业务做NAT。



NE5000E CPU达到99%,<RT01-NE5KE>dis cpu  

TaskName        CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation  
ROUT                  99%         0/ 6667f5d       ROUTRoute task

处理过程
上行业务,BRAS通过默认路由引导到NE5000E,NE5000E通过策略路由引导到E8000E-X16防火墙,防火墙经过地址转换后通过默认路由回到NE5000E,经过省干NE5000E出城域网。
下行业务,省干NE5000E回到地市NE5000E后,通过静态路由引导到E8000E-X16防火墙,防火墙通过查找对应SESSION表项后,静态路由回到地市NE5000E,地市NE5000E返回BRAS。

问题出现在回程业务上,当外网有攻击地市私网的未知流量时,省干NE5000E回到地市NE5000E后,通过静态路由引导到E8000E-X16防火墙,此时防火墙上没有对应的SESSION表项,流量到了防火墙后,匹配默认路由回到NE5000E。环路产生。

根因
问题出现在回程业务上,当外网有攻击地市私网的未知流量时,省干NE5000E回到地市NE5000E后,通过静态路由引导到E8000E-X16防火墙,此时防火墙上没有对应的SESSION表项,流量到了防火墙后,匹配默认路由回到NE5000E。环路产生。
解决方案
E8000E-X16上需要增加对防火墙发布的地址池黑洞路由解决,NE5000E旁挂的E8000E-X16防火墙一共需要配置如下至少三条静态路由,其中黑洞路由是需要增加的。
 ip route-static 0.0.0.0 0 x.x.x.x  (配置缺省路由)
 ip route-static x.x.x.x x.x.x.x x.x.x.x (配置针对私网地址的回程静态路由)
 ip route-static x.x.x.x x.x.x.x NULL0    (针对 nat地址池配置黑洞路由)
配置黑洞路由的目的是,流量引导到E8000E-X16后,如果发现没有SESSION表项,又是访问对应私网网段的流量,则匹配黑洞路由,这样环路就不会产生了。

建议与总结
NE5000E在旁挂E8000E-X16防火墙做NAT的时候,需要在防火墙上对地址池做黑洞路由,以避免环路产生。

END