NAT场景:配置黑洞路由(配置NAT时什么情况下需要添加黑洞路由)

NAT场景:配置黑洞路由(配置NAT时什么情况下需要添加黑洞路由)
(1)当NAT地址池地址与出接口地址不在同一网段时,必须配置黑洞路由。当公网用户主动访问NAT地址池中的地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。
(2)当NAT地址池地址与出接口地址在同一网段时,建议配置黑洞路由。在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。
因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。
可以使用ip route-static ip-address NULL 0命令手工进行配置,也可以使用route enable命令配置UNR路由。该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。
相关:
route enable #为地址池生成UNR路由,该UNR路由的作用与黑洞路由作用相同,可以防止路由环路。
ARP查询,但是没有结果:配置静态路由使用下一跳IP地址和使用出接口的区别
http://www.zh-cjh.com/luyoujiaohuan/2173.html
(3)当NAT地址池地址与出接口地址一致时,FW收到公网用户的报文后,发现是访问自身的报文,这时候取决于出接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃。不会产生路由环路,也不需配置黑洞路由。



配置NAT时什么情况下需要添加黑洞路由

配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。

配置带端口的nat server,并且nat server的global地址跟出接口不在同一网段时,必须将nat server的global地址配置为黑洞路由。

防火墙配置NAT的时候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址为目的地址的报文,防火墙查路由,仍向出接口发送,但防火墙下行设备认为该地址的目的路由在防火墙上,将报文又发回到防火墙,从而导致路由环路。

NAT地址池地址或nat server的global地址跟出接口IP地址在同一网段也可以配置黑洞路由,可以避免防火墙发起对NAT地址池地址或nat server的global地址的ARP请求报文,节省防火墙ARP资源。


NAT网络地址转换(列表、list、全)natlist
http://www.zh-cjh.com/wenzhangguilei/988.html
路由(列表、list、全)路由list、routelist
http://www.zh-cjh.com/wenzhangguilei/2297.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » NAT场景:配置黑洞路由(配置NAT时什么情况下需要添加黑洞路由)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!