黑洞路由相關知識整理(附:cisco模擬器案例)
黑洞路由
一句話總結,就如同是將所有無關的路由吸入黑洞,讓它們有來無回的一種路由。
提到黑洞路由就要提一下null0接口。
null0口是個永不down的口,一般用於管理,admin建立一個路由條目,將接到的某個源地址轉向null0接口,這樣對系統負載影響非常小。
如果同樣的功能用ACL(地址訪問控制列表)實現,流量增大時CPU利用率就會明顯增加。所以,設置黑洞路由一直是解決固定DOS***的最好辦法。相當於洪水來臨時,在洪水途經的路上附近挖一個不見底的巨大深坑,然後將洪水引入其中。黑洞路由最大的好處是充分利用了路由器的包轉發能力,對系統負載影響非常小。
路由黑洞
黑洞路由與路由黑洞這兩個概念容易混淆,為了方便區別,在此做了一下比較。
可以這樣看:如果一個路由器不支持PMTU並且配置為不發送ICMP Destination Unreachable消息數據包,那麽源主機可能發送一個永遠得不到路由的大數據包。因為路由器沒有給源主機發回應消息,主機不能確定PMTU就是問題的所在。但如果源主機端啟用了PMTU,則源主機在重試幾次大的MTU之後,如果還收不到路由器的應答,那源主機自動將PMTU設置為576bytes.
EnablePMTUBHDetect REG_DWORD 0(默認禁用)或1(啟用)
在Windows XP下也可以試一下。
(NOTE:PMTU--Path Maximum Transfer Unit是指當一個要發送的數據包的大小與當前路徑中的最小的MTU值一樣)
區別於黑洞路由的是,這是路由器自動總結生成總結路由後產生的副效果。
CISCO模擬器案例:
路由器A上面有缺省路由0.0.0.0 0.0.0.0 202.1.1.2
#為了不產生環路(服務器上ping 202.1.100.101可在AB間產生環路)
vlan 10 192.168.1.1 f 0/1-5
vlan 20 192.168.2.1 f 0/6-10
vlan 30 192.168.3.1 f 0/11-15
vlan 100 10.1.1.1 f 0/24
SwitchA:
enable
conf t
vlan 10
exit
vlan 20
exit
vlan 30
exit
vlan 40
exit
ip routing
inter range f 0/1-5
switchport mode acc
switchport acc vlan 10
exit
inter range f 0/6-10
switchport mode acc
switchport acc vlan 20
exit
inter range f 0/11-15
switchport mode acc
switchport acc vlan 30
exit
inter f 0/24
switchport mode acc
switchport acc vlan 100
exit
inter vlan 10
ip add 192.168.1.1 255.255.255.0
no shut
exit
inter vlan 20
ip add 192.168.2.1 255.255.255.0
exit
inter vlan 30
ip add 192.168.3.1 255.255.255.0
exit
inter vlan 100
ip add 10.1.1.1 255.255.255.0
exit
router rip
ver 2
net 10.1.1.0
redis conn
exit
enable
conf t
inter f 0/0
ip add 10.1.1.2 255.255.255.0
ip nat inside
no shut
exit
inter f 0/1
ip add 202.1.1.1 255.255.255.0
ip nat outside
no shut
exit
ip route 0.0.0.0 0.0.0.0 202.1.1.2
router rip
ver 2
default ori
net 10.1.1.0
exit
ip nat inside source stat 192.168.3.100 202.1.100.100
Router B:
#註意最後是路由到202.1.100.0網段
enable
conf t
inter f 0/0
ip add 202.1.1.2 255.255.255.0
no shut
exit
ip route 202.1.100.0 255.255.255.0 202.1.1.1
黑洞路由相關知識整理(附:cisco模擬器案例)