当前位置:首页 > 游戏资讯 > 黑洞路由原理(黑洞路由配置命令)

黑洞路由原理(黑洞路由配置命令)

黑洞路由实际是一种特殊的静态路由,将所有无关路由吸入其中,使它们有来无回的路由,一般是admin主动建立的路由条目。它使目的地址为该网段的数据报文到达设备之后,将被丢弃。

在众多类型的出接口中,有一种接口非常特殊,那就是Null(无效)接口,这种类型的接口只有一个编号,也就是0。Null0是一个系统保留的逻辑接口,当网络设备在转发某些数据包时。如果使用出接口为Null0的路由,那么这些报文将直接丢弃,就像扔进一个黑洞(垃圾站),因此出接口为Null0的路由又称为黑洞路由。

Null0口是个永不down的口,将报文丢到Null接口的操作应不需要CPU进行什么处理,所以处理大量的报文也不会消耗设备的CPU资源。如果同样的功能用ACL(地址访问控制列表)实现,则流量增大时CPU利用率会明显增加。黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。所以,设置黑洞路由一直是解决固定DOS攻击的最好办法。相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。

一个黑洞路由器是指一个不支持PMTU且被配置为不发送“DestinationUnreachable--目的不可达”回应消息的路由器。

试想一下,在做汇总的路由器上,一条明细路由消失了,但是他依然会通告汇总路由出去,那么远端的路由器依然会发包上来。这是汇总路由器查找明细没有路由,就匹配了缺省路由或汇聚路由,送回了发包来的路由器,于是这些包一直打环,要等到TTL超时才能停下。

黑洞路由是一种颇有用处的路由,在图中,R1的GE0/0/0连接着一个终端网络,处于该终端网络的PC将默认网关设置为R1的GE0/0/0接口IP地址,而为了让PC能够访问R2右侧的服务器网络,我们在R1上配置了一条默认路由:

黑洞路由原理,黑洞路由配置命令

使用黑洞路由便可,R1增加如下配置

iproute-static192.168.200.0255.255.255.0NULL0

使用上述命令就可以为R1增加一条到达192.168.200.0/24的路由,而且该路由的出接口是NULL0,完成上述配置后,先查看一下R1的路由表。

查看的命令是:displayiprouting-table。

从路由表中,大家可以看见我们为R1所配置的黑洞路由。现在,当PC访问192.168.200.0/24时,数据包先被默认网关R1,R1通过路由表查询,发现数据包的目的IP地址匹配路由192.168.200.0/24,而这条路由的出接口是NULL0,因此它将数据包直接丢弃。如此一来,PC将无法访问192.168.200.0/24。实际上,这是一种实现流量过滤的简单而且又有效的方法。

(1)在部署了路由汇总的网络中,用于防止数据转发出现环路

(2)在部署了NAT(网络地址转换)的网络中,用于防止数据转发出现的环路

(3)在BGP网络中,用于发布特定网段的路由