对于配置了特定协议和端口的NAT Server来说:
如果NAT Server的Global地址与公网接口地址不在同一网段,必须配置黑洞路由;
如果NAT Server的Global地址与公网接口地址在同一网段,建议也配置黑洞路由。
最后,大家再来跟强叔默念一下本篇内功心法的口诀:地址不在同网段,报文无奈来回走,黑洞路由必须配,防止环路显身手;地址虽在同网段,但是会发ARP请求,黑洞路由也配上,节省资源不用愁!
【扩展阅读】
除了防止路由环路、节省设备的系统资源,其实黑洞路由还有一个作用,那就是在防火墙上引入到OSPF中,发布给路由器。
我们知道,当NAT地址池地址或NAT Server的Global地址与防火墙和路由器互联接口的地址不在同一网段时,需要在路由器上配置到NAT地址池地址或NAT Server的Global地址的静态路由,保证路由器可以把去往NAT地址池地址或NAT Server的Global地址的报文发送到防火墙。
如果防火墙和路由器之间运行OSPF协议,那么就可以通过OSPF协议来学习路由,减少手动配置的工作量。但是NAT地址池地址和NAT Server的Global地址不同于接口地址,无法在OSPF中通过network的方式发布出去,那么路由器如何才能学习到路由呢?
此时就可以通过在防火墙的OSPF中引入静态路由的方式,把黑洞路由引入到OSPF中,然后通过OSPF发布给路由器。这样,路由器就知道了去往NAT地址池地址或NAT Server的Global地址的报文都要发送到防火墙上(注意,是发送到防火墙,而不是发送到黑洞中)。
以NAT Server的组网为例,NAT Server的Global地址和公网接口地址不在同一网段,防火墙和路由器都运行OSPF协议,在防火墙上的OSPF中引入静态路由:
#
ospf 100
import-route static
area 0.0.0.0
network 202.1.1.0 0.0.0.3
#
这时路由器就可以学习到去往NAT Server的Global地址的路由:
(责任编辑:电脑知识大全)
|
------分隔线----------------------------