华为ENSP黑洞路由的实验实现网络隔离

---

黑洞路由

黑洞路由是一种将特定流量重定向到一个不存在的或专门用于丢弃数据包的接口（如Null0接口）的路由策略。其目的是为了阻止这些流量在网络中进一步传播，从而保护网络资源和正常流量的传输。

黑洞路由的原理

在ENSP中，配置黑洞路由通常涉及在路由器或三层交换机上设置静态路由条目，这些条目将目标IP地址或IP地址范围指向一个丢弃接口。例如，管理员可以配置一个黑洞路由条目，将来自恶意IP地址的流量重定向到Null0接口，从而实现流量的丢弃。

实验

1.实验要求

研发部门只能和财务部门通信不能连接其他网络，财务部可以全网通信。

2.拓扑图

3.配置命令

AR1

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sy R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.25.13.1 24
[R1-GigabitEthernet0/0/0]q
[R1]int l	
[R1]int LoopBack 0
[R1-LoopBack0]ip add 1.1.1.1 24
[R1-LoopBack0]q
[R1]ip ro	
[R1]ip route-s	
[R1]ip route-static 0.0.0.0 0 10.25.13.3

AR2

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sy R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.25.23.1 24
[R2-GigabitEthernet0/0/0]q
[R2]int l	
[R2]int LoopBack 0
[R2-LoopBack0]ip add 2.2.2.2 24
[R2-LoopBack0]q
[R2]ip ro	
[R2]ip route-s	
[R2]ip route-static 0.0.0.0 0 10.25.23.3

AR3

[Huawei]sy R3
[R3]un in en
Info: Information center is disabled.
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 10.25.13.3 24
[R3-GigabitEthernet0/0/0]int g0/0/1
[R3-GigabitEthernet0/0/1]ip add 10.25.23.3 24
[R3-GigabitEthernet0/0/1]int g0/0/2
[R3-GigabitEthernet0/0/2]ip add 10.25.34.3 24
[R3-GigabitEthernet0/0/2]int g1/0/0
[R3-GigabitEthernet1/0/0]ip add 10.25.1.3 24
[R3-GigabitEthernet1/0/0]q
[R3]ip ro	
[R3]ip route-s	
[R3]ip route-static 1.1.1.1 24 10.25.13.1
Info: The destination address and mask of the configured static route mismatched
, and the static route 1.1.1.0/24 was generated.
[R3]ip route-static 2.2.2.2 24 10.25.23.2
Info: The destination address and mask of the configured static route mismatched
, and the static route 2.2.2.0/24 was generated.
[R3]ip ro	
[R3]ip route-s	
[R3]ip route-static 10.1.1.0 24 10.25.34.4
[R3]ip route-static 10.1.2.0 24 10.25.34.4
[R3]ip route-static 10.1.2.0 24 10.25.1.4 p	
[R3]ip route-static 10.1.2.0 24 10.25.1.4 pr	
[R3]ip route-static 10.1.2.0 24 10.25.1.4 preference 100
[R3]ip route-static 10.1.1.0 24 10.25.1.4 preference 100

AR4

[Huawei]sy R4
[R4]un in en
Info: Information center is disabled.
[R4]int g0/0/0
[R4]-GigabitEthernet0/0/0]ip add 10.1.1.254 24
[R4-GigabitEthernet0/0/0]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 10.1.2.254 24
[R4-GigabitEthernet0/0/1]int g0/0/2
[R4-GigabitEthernet0/0/2]ip add 10.25.34.4 24
[R4-GigabitEthernet0/0/2]int g1/0/0
[R4-GigabitEthernet1/0/0]ip add 10.25.1.4 24
[R4-GigabitEthernet1/0/0]q
[R4]ip ro	
[R4]ip route-s	
[R4]ip route-static 0.0.0.0 0 10.25.34.3
[R4]ip route-static 0.0.0.0 0 10.25.1.3 	
[R4]ip route-static 10.1.2.1 32 null 0

总结

本次实验通过配置黑洞路由，成功实现了研发部门与财务部门之间的单向通信，并展示了黑洞路由在网络安全中的应用价值。通过实践，加深了对路由配置和网络安全的理解。

以上就是今天实验的内容，本文仅仅简单介绍了黑洞路由的使用。