Linux | 防火墙什么场景下需要配置黑洞路由

  • 内容
  • 相关

回答

当NAT地址池地址与公网接口地址不在同一网段时,必须配置黑洞路由。

当公网用户主动访问NAT地址池中的地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。

当NAT地址池地址与公网接口地址在同一网段时,建议配置黑洞路由。

在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。

当NAT地址池地址与公网接口地址一致时,不需要配置黑洞路由。

FW收到公网用户的报文后,发现是访问自身的报文,这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃,不会产生路由环路。

对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址不在同一网段时,必须配置黑洞路由。

当公网用户主动访问NAT Server的global地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。

对于配置指定协议和端口的NAT Server并且NAT Server的Global地址和公网接口地址在同一网段时,建议配置黑洞路由。

在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。

当NAT Server的global地址与公网接口地址一致时,不需要配置黑洞路由。

FW收到公网用户的报文后,如果能匹配上Server-map表,就转换目的地址,然后转发到私网;如果不能匹配上Server-map表,就会认为是访问自身的报文,这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃。不会产生路由环路。

当使用NAT策略配置目的NAT时,为避免产生路由环路等问题,建议配置黑洞路由。

 您阅读这篇文章共花了:

上一篇:Linux | grep用于if逻辑判断

下一篇:Linux | shell与expect结合使用

本文标签:    

版权声明:本文依据CC-BY-NC-SA 3.0协议发布,若无特殊注明,本文皆为《fishyoung》原创,转载请保留文章出处。

本文链接:Linux | 防火墙什么场景下需要配置黑洞路由 - http://www.fishyoung.com/post-256.html

发表评论

用QQ号可快速填写资料,资料不会被公开。 必填项已用 * 标注

评论时请勿使用恶意语言,如恶意使用将禁封IP段,请知晓~