七、NAT场景下黑洞路由作用

最新推荐文章于 2024-06-11 14:35:52 发布
最新推荐文章于 2024-06-11 14:35:52 发布
阅读量1.5k 收藏 16
点赞数 2
分类专栏: 网络协议 文章标签: 网络 运维 NAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012451051/article/details/134875321
版权

学习防火墙之前,对路由交换应要有一定的认识

——————————————————————————————————————————————————

1.源NAT场景下的黑洞路由

先搭建一个典型的源NAT组网环境。

在这里插入图片描述

防火墙上NAT相关配置如下:

1、配置NAT地址池

nat address-group GW 
 section 0 110.1.1.10 110.1.1.10

2、配置NAT策略

nat-policy
 rule name sounat
  source-zone trust
  destination-zone untrust
  source-address 192.168.100.0 mask 255.255.255.0
  action source-nat address-group GW

3、配置安全策略

security-policy
 rule name sounatpolicy
  source-zone trust
  destination-zone untrust
  source-address 192.168.100.0 mask 255.255.255.0
  action permit

4、默认路由

ip route-static 0.0.0.0 0.0.0.0 110.1.1.2

NAT地址池是110.1.1.10,防火墙与路由器相连接口地址是110.1.1.0/30,NAT地址池和防火墙公网接口地址不在同一网段。

正常情况下,私网PC访问公网WEB服务器,会生成会话表,源地址进行了转换,一切都没有问题。

在这里插入图片描述

此时,如果公网上的一台PC,主动访问防火墙的NAT地址池地址,会发生什么情况?

在公网WEB执行Ping 110.1.1.10,发现无法Ping通。

在这里插入图片描述

显然,这是正常的结果,因为NAT地址池只有在转换私网地址的时候才会用到,也就是说,私网PC必须先发起访问请求,防火墙收到该请求后才会为其转换地址。NAT地址池地址并不对外提供任何单独的服务。所以当公网PC主动访问NAT地址池地址时,报文无法穿过防火墙到达私网PC,结果肯定不通。

但实际情况远远没有这么简单,我们在防火墙的G1/0/0口上抓包,然后再次在公网WEB上执行PING 110.1.1.10命令,使用-c 1参数,就Ping一次报文。

在这里插入图片描述
不看不知道,一看吓一跳,报文的TTL值逐一递减,最后变为1。

TTL是报文的生存时间,每经过一台设备的转发,TTL值减1,当TTL值为0时,就会被设备丢弃。这说明公网PC主动访问NAT地址池地址的报文,在防火墙和路由器之间相互转发。

梳理下过程:

1、路由器收到公网PC访问NAT地址池地址报文后,发现目的地址不是自己的直连网段,因此查找路由表,发送到防火墙。

2、防火墙收到报文后,该报文不属于私网访问公网的回程报文,无法匹配会话表,同时目的地址也不是自己的直连网段(防火墙没有意识到该报文的目的地址是自己的NAT地址池地址),只能根据缺省路由来转发。因为报文从同一接口入和出,相当于一个安全区域流动,默认情况下不受安全策略控制,这样报文又从防火墙出接口发送至路由器。

3、路由器收到该报文后,再次查找路由表,还是发送到防火墙,如此反复。

下来我们配置一条路由黑洞,为了避免影响其他业务,将掩码设置为32位。

ip route-static 110.1.1.10 255.255.255.255 NULL0

第二种方法:在防火墙配置NAT地址池时,配置命令:

nat address-group GW 
 route enable
 section 0 110.1.1.10 110.1.1.10

两者作用相同

在这里插入图片描述
Ping了一次,抓到了1个ICMP报文,说明防火墙收到路由器发送过来的报文后,匹配到了黑洞路由,直接将报文丢弃。此时就不会在防火墙和路由器之间产生路由环路,及时收到再多的报文,都会送到黑洞中。且不会影响正常业务。

上面只是用了一个Ping报文来演示这个过程,如果公网上的捣乱分子利用成千上万的PC主动向NAT地址池地址发起大量访问,无数的报文就会在防火墙和路由器之间循环,占用链路带宽资源,消耗大量的系统资源来处理这些报文,可能会导致正常报文无法处理。

所以,在防火墙上NAT地址池地址和公网接口地址不在同一网段时,必须配置路由黑洞,避免在防火墙和路由器之间产生路由环路。

———————————————————————

如果NAT地址池和防火墙公网接口地址在同一网段,还会出现这种问题?再次验证下。

interface GigabitEthernet1/0/0
 ip address 110.1.1.1 255.255.255.0

在来Ping抓包看看。

在这里插入图片描述
抓到了ARP报文和ICMP报文,但是没有在防火墙和路由器之间相互转发。过程:

1、路由器收到PC访问NAT地址池地址报文后,发现目的地址属于自己的直连网段,发送ARP请求,防火墙会回应这个ARP请求,前两个ARP就是来完成这一交互过程。路由器使用防火墙告知的MAC地址封装报文,发送至防火墙。

2、防火墙收到后,发现报文的目的地址和自己的G1/0/0接口在同一网段,直接发送ARP请求报文,寻找该地址的MAC地址(防火墙依然没有意识到该报文的目的地址是自己的NAT地址池地址),但是网络中其他设备都没有配置这个地址,肯定就不会回应,最终防火墙将报文丢弃。

所以说,在这种情况下不会产生路由环路,但是如果公网上捣乱分子发起大量访问时,防火墙将发送大量ARP请求报文,也会消耗系统资源。所以,当防火墙上NAT地址池地址和公网接口地址在同一网段时,建议也配置黑洞路由,避免防火墙发送ARP请求报文,节省防火墙系统资源。

ip route-static 110.1.1.10 32 NULL 0

在这里插入图片描述
配置了路由黑洞后,防火墙再也不会发送ARP请求报文。

———————————————————————

还有一种极端的情况,配置源NAT时,直接把公网接口地址作为转换后地址Easy-IP方式。也可以把公网接口地址配置成地址池地址。这样NAT转换使用的地址和公网接口地址是同一个地址。

Easy-IP方式下不需要配置路由黑洞。防火墙收到PC报文后,发现访问自身报文,这时候取决于公网接口所属安全区域和Local区域之间的安全策略。安全策略允许通过就处理,安全策略不允许通过,就丢弃。不会产生环路,也不需要配置黑洞路由。

——————————————————————————————————————————————————

2.NAT Server场景下的路由黑洞

NAT Server也存在环路的问题,不过发生环路的前提条件比较特殊,要看NAT Server是怎么配置的。先看看NAT Server Global地址和公网接口地址不再同一网段的情况。

在这里插入图片描述

假设接口地址、安全策略、安全区域、路由都已完成配置。

如果我们在防火墙上配置一条粗犷型NAT Server,将私网Web服务器发布到公网。

nat server 0 global 110.1.1.10 inside 192.168.100.2

公网PC访问110.1.1.10,目的地址都会转换成192.168.100.2,然后发送给私网Web服务器,自然不会产生环路。

但是如果配置了一条精细化的NAT Server,只把私网Web服务器特定的端口发布到公网上:

nat server protocol tcp global 110.1.1.10 8889 inside 192.168.100.2 80

此时,如果公网PC不按常理出牌,没有访问110.1.1.10的8889端口,而使用ping命令访问110.1.1.10,防火墙收到该报文,既无法匹配server-map表,也无法匹配会话表,就只能查找路由,从G1/0/0接口发出,路由器收到报文后,还是送到防火墙,依然产生环路。

在这里插入图片描述
所以,当防火墙配置了特定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址不在同一网段,必须配置路由黑洞,避免在防火墙和路由器之间产生环路。

如果NAT Server的Global地址和公网接口地址在同一网段,会发送ARP请求,和上面说的情况是一样的。

所以,当防火墙配置了特定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址在同一网段,建议也配置路由黑洞,避免在防火墙发送ARP请求报文,节省防火墙系统资源。

如果配置NAT Server时,把公网接口地址配置成Global地址,防火墙收到PC报文,匹配Server-map表然后转换目的地址,发送到特定私网。如果匹配不上Server-map表,就会认为是访问自身报文,由公网接口所属安全区域和Local区域之间安全策略决定如何处理,不会产生环路,也不需要配置黑洞路由。

——————————————————————————————————————————————————

3.总结

源NAT来说:
—————————————————

如果NAT地址池地址与公网接口地址不在同一网段,必须配置黑洞路由。
如果NAT地址池地址与公网接口地址在同一网段,建议配置黑洞路由。

对于特定协议和端口的NAT Server来说:
—————————————————

如果NAT Server的Global地址与公网接口地址不在同一网段,必须配置路由黑洞。
如果NAT Server的Global地址与公网接口地址在同一网段,建议配置路由黑洞。

——————————————————————————————————————————————————

4.黑洞路由其他作用

除了防止环路,节省系统资源,其实黑洞路由还有一个作用,就是在防火墙上引入到OSPF中,发布给路由器。

当NAT地址池地址或NAT Server的Global地址与公网接口地址不在同一网段,在路由器上需要配置静态路由,保证路由器可以把去往NAT地址池地址或NAT Server的Global地址的报文发送到防火墙。

[Router]ip route-static 110.1.1.10 255.255.255.255 110.1.1.1

如果防火墙和路由器之间运行OSPF协议,那么可以通过OSPF协议来学习路由,减少手动配置的工作量,但是NAT地址池不同于接口地址,无法在OSPF中通过network命令发布,路由器如何才能学到路由?

此时可以使用OSPF中引入静态路由方式,把黑洞路由引入到OSPF中,然后通过OSPF发布给路由器。 这样路由器就知道去往NAT地址池地址或NAT Server的Global地址的报文都要发送到防火墙上。

ospf 100
 import-route static
 area 0.0.0.0
  network 110.1.1.0 0.0.0.3

在这里插入图片描述
——————————————————————————————————————————————————

SEVENBUS
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
多出口NAT策略路由配置
04-10
多出口NAT策略路由案例·已完成·GNS3 通过配置实现: 宿舍区访问互联网使用电信出口.教学区使用联通出口 任何一条链路故障,能够自动切换 宿舍区和教学区均使用路由器出口地址做PAT 配置思路: 基础拓扑搭建. 划分...
Windows2000 NAT共享上网路由设置
11-12
Windows 2000 NAT 共享上网路由设置 在 Windows 2000 Server / Advance Server 中,我们可以使用内置的路由服务功能来实现局域网的共享上网,而不需要使用 ICS(共享上网功能)。下面是一个详细的设置指南: 首先...
黑洞路由、 DDoS 攻击 、 环路
sunrj_niu的博客
04-18 1663
为了解决路由黑洞问题(环路),或防止doss、黑客攻击,防止服务器造成不必要的性能损耗或带宽占用。
黑洞路由:原理、应用与挑战
qq_56438857的博客
02-22 1117
黑洞路由是一种网络路由策略,它通过将特定数据包引导到一个无出口的网络接口,从而阻止这些数据包到达目的地。本文将详细介绍黑洞路由的原理、应用以及面临的挑战。
什么是黑洞路由
最新发布
x465454816134318的博客
06-11 1051
黑洞路由作为一种重要的网络安全技术,通过简单高效的流量丢弃机制,能够有效防御DDoS攻击、网络扫描和探测。在实际应用中,黑洞路由被广泛应用于不同行业,发挥着重要作用。尽管面临一些挑战,但通过技术创新和策略优化,黑洞路由在未来网络中仍具有广阔的发展前景。
黑洞路由实验
爱意随风起,人生不可弃。
05-24 1902
黑洞路由概述 在网络设备转发数据包时,如果使用出接口Null0的路由,那么这些报文将会被直接丢弃,就像被丢尽了一个黑洞里,因此出接口为Null0的路由被称为黑洞路由。 Null0接口(无效的接口)是一个系统保留的逻辑接口,也是比较特殊的一个接口,此接口只有一个编号,就是0。 实验拓扑 实验配置 R1: <Huawei>system-view [Huawei]interface Et...
静态黑洞路由是什么作用,如何配置?
玩人工智能的辣条哥的博客
11-14 1692
华三交换机。
路由黑洞与黑洞路由简介
热门推荐
@_囚徒-2018_的家园
07-30 2万+
1.路由黑洞    路由黑洞一般是在网络边界做汇总回程路由的时候产生的一种不太愿意出现的现象,就是汇总的时候有时会有一些网段并不在内网中存在,但是又包含在汇总后的网段中,如果在这个汇总的边界设备上同时还配置了缺省路由,就可能出现一些问题。这时,如果有数据包发向那些不在内网出现的网段(但是又包含在汇总网段)所在的路由器,根据最长匹配原则,并没有找到对应的路由,只能根据默认路由又回到原来的路由器,这
华为防火墙NAT情况下的黑洞路由
qq_47529104的博客
03-14 2497
概述 一般来说FW作为出口的时候,我们会部署NAT,比如部署源地址动态NAT地址池,而且还会创建一条静态路由,下一条是ISP,我们在借助这些外网地址尝试与其他主机进行通信的时候会对地址进行替换,但是我们知道回包如果想要回来就必须依靠状态化表项,如果没有对应的状态化表项的化而且没有安全策略的匹配就会导致数据包被丢弃。因为状态化表项会有固定的老化时间,所以这就导致当状态化表项老化后,如果其他主机还想通过NAT转换后的地址尝试与该主机进行通信的时候,就会出现路由环路。 下面是出现路由环路的原因的分析:
基于eNSP的黑洞路由实验(路由汇总引发的问题)
weixin_72756184的博客
10-10 1453
一:实验目的 1.学会黑洞路由的原理以及配置方法 2.了解因为路由汇总所引发的环路问题
完全开源免费路由器VyOS基础上网配置NAT-DHCP-路由.doc
03-12
VyOS 路由器基础上网配置 NAT-DHCP-路由 VyOS 路由器是一款完全开源免费的路由器解决方案,提供了灵活强大的网络路由功能。本文档将指导您如何配置 VyOS 路由器实现 NAT-DHCP-路由功能。 VyOS 路由器基本配置 ...
黑洞路由,什么是黑洞路由.doc
05-01
\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc\黑洞路由.doc
NAT黑洞
04-22
我们在零以太理论(NAT)–重力矢量张量理论中研究了黑洞的一些物理性质。 我们首先回顾NAT中的黑洞解决方案,然后得出黑洞热力学的第一定律。 黑洞的温度取决于黑洞的质量和NAT“电荷”。 温度消失的极端情况类似于...
NAT路由类型检测工具(NatTypeTester)
03-21
这是一个测试NAT类型的小工具,一般也没太多用处,只有游戏玩家可能需要用来测试你的网络NAT类型是什么。NAT类型一般分为以下4种: 1. Full Cone NAT (完全圆锥型) 2. Restricted Cone NAT (地址限制圆锥型) 3....
黑洞路由的几种应用场景
IT技术
11-08 863
如果出口路由访问一条不存在的内网网段,又或者访问的那台终端停机了,那就会产生三层环路,数据包在10.0.0.1和10.0.0.2之间转256下,等TTL到0才停止。解决方案就是在核心交换机上打一条内网汇总的黑洞路由,再就是出口路由写回包路由一定要以汇总形式写,不能写个很大的汇总路由。easy-ip 这种nat不用做黑洞路由配置,其它nat都得做,如地址池natnat server都要。这种核心交换机上肯定写一条默认路由 0.0.0.0 0 10.0.0.1。
路由汇总和黑洞路由常常成对出现
杨仕虎的博客
01-09 2141
今天说几个经常被忽视的概念,但是很专业的技术 1、路由汇总 2、反掩码、通配符 1、路由汇总 作用:路由优化 a.减少路由更新的数量和大小,节省带宽资源 b.减少路由表体积,提高查表速度 c.隐藏详细的网络规划,安全 哪里可以用到: 1、涉及到配置路由都会要用,比如内网回城路由,动态路由汇总 坏处: 不精确的汇总导致路由黑洞,形成路由环路 这边就体现出专业和业余的总要时候,在避免环路...
什么是DDoS黑洞路由
因上努力,果上随缘。但行好事,莫问前程。
08-08 515
DDoS黑洞路由/过滤(有时称为黑孔)是缓解DDoS攻击的一种对策,网络流量将被路由到“黑洞”中并且丢失。如果在没有特定限制条件下实施黑洞过滤,合法和恶意网络流量都会路由到空路由或黑洞中,并从网络中丢弃。当使用UDP等无连接协议时,不会将丢弃数据通知返回给源站。对于TCP等以连接为导向的协议(需要握手才能与目标系统连接),数据丢弃时会返回通知。对于没有其他手段阻止攻击的组织,黑洞路由是一个广泛可用的选项。这种缓解方法可能会带来严重后果,从而成为缓解DDoS攻击的一个不受欢迎的选择。...
配置NAT后为什么要同时配置黑洞路由
cisco_eigrp的博客
04-16 9685
在NAT篇和拍案惊奇系列中,强叔多次提到配置NAT的同时要配置黑洞路由,避免路由环路,很多人对此不太理解,今天强叔就来为大家详细介绍其中缘由。 首先我们用eNSP模拟一个典型的源NAT环境: NAT地址池地址是202.1.1.10,防火墙与路由器互联接口地址的掩码是30位,与NAT地址池地址不在同一网段。防火墙上配置了一条缺省路由,下一跳是202.1.1.2,这样就能把私网PC访问公网Serv...
BGP——解决路由黑洞问题(路由反射器与联盟)
m0_49864110的博客
03-23 9000
我们知道,在IBGP 2 设备收到IBGP 1设备传输过来的IBGP路由后,不会将此IBGP路由传递给其它的IBGP设备,所以当其它的IBGP设备需要获得此跳IBGP路由时,就需要与IBGP 1设备建立IBGP邻居关系。既不是RR也不是客户机的IBGP设备(在AS内部需要与RR之间、以及所有的非客户机之间仍然需要全互联)以下的配置只需要在RR上进行路由反射器的配置(客户机只需要配置与RR做IBGP邻居的配置)2.RR从客户机学习到的路由,发布给所有的客户机和非客户机(除了发起此路由的客户机除外)
双机热备场景下源nat为什么要使用nat address-group
06-07
在双机热备场景下,当主设备故障或维护时,备设备需要接管主设备的工作,包括源 NAT。而为了保证源 NAT 的可靠性和高可用性,可以使用 NAT address-group 的方式对源 NAT 地址进行管理。 NAT address-group 是一种地址对象组,可以将多个地址对象打包成一个组,然后在源 NAT 规则中引用这个组。这样,在进行源 NAT 时,可以从 NAT address-group 中自动选择可用的 NAT 地址,保证源 NAT 的连续性和稳定性。 在双机热备场景下,可以将主备设备的 NAT address-group 同步,保证在主备切换时,备设备可以自动继承主设备的 NAT address-group 配置,从而实现源 NAT 的高可用性和无缝切换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值