黑洞路由概述
一条路由无论静态还是动态,都需要关联到一个出接口。路由出接口一般指设备要到达一个目的网络的出站接口。路由的出接口可以为设备的物理接口(千兆口、百兆口)、也可以是逻辑接口(VLAN接口、Tunnel接口等)。
在网络设备转发数据包时,如果使用出接口Null0的路由,那么这些报文将会被直接丢弃,就像被丢尽了一个黑洞里,因此出接口为Null0的路由被称为黑洞路由。
NULL0接口
Null0接口(无效的接口)是一个系统保留的逻辑接口,也是比较特殊的一个接口,此接口只有一个编号,就是0。
黑洞路由实验拓扑
黑洞路由配置
路由器R1配置
为了让PC能够访问R2右侧的服务器,R1配置一条默认路由 ip route-static 0.0.0.0 0 20.1.1.2,PC访问本地网段10.1.1.0之外的资源时,流量都会发往R1,然后R1转发给R2
<Huawei>system-view
[Huawei]interface Ethernet 0/0/0
[Huawei-Ethernet0/0/0]ip address 10.1.1.1 24
[Huawei-Ethernet0/0/0]quit
[Huawei]interface Ethernet 0/0/1
[Huawei-Ethernet0/0/1]ip address 20.1.1.1 24
[Huawei-Ethernet0/0/1]quit
[Huawei]ip route-static 0.0.0.0 0 20.1.1.2
路由器R2配置
为了让流量通过同样需要配置一条默认路由,将下一跳地址设置成R1右侧接口的IP地址。
<Huawei>system-view
[Huawei]interface ethernet 0/0/0
[Huawei-Ethernet0/0/0]ip address 20.1.1.2 24
[Huawei-Ethernet0/0/0]quit
[Huawei]ip route-static 0.0.0.0 0 20.1.1.1
[Huawei]interface ethernet 0/0/1
[Huawei-Ethernet0/0/1]ip address 30.1.1.1 24
路由配置完成,测试路由可达性。
路由可达性测试
从PC1 ping PC2 (ping 30.1.1.2),如果出现不通,可用display ip routing-table查看路由表项是否有30.1.1.0/24网络地址的路由。
从PC2 ping PC1
测试完全没有问题,PC1与PC2是可以互相通信的,如果网络中出现一个需求,PC2作为一台服务器,它并不希望被网络地址10.1.1.0/24访问,能否仅仅通过路由的配置来实现,这时,使用黑洞路由便可,R1增加如下配置
[Huawei]ip route-static 30.1.1.0 24 NULL 0
增加配置后,通过命令display ip routing-table查看R1的路由表
从路由表中,可以看到R1的黑洞路由,当PC1访问30.1.1.0/24时,数据包转发到R1,R1查询路由表,发现数据包目的IP匹配的地址匹配30.1.1.0/24,而该条路由的出接口为Null0,因此它将数据包直接丢弃,PC1将无法访问PC2。
测试PC1访问PC2,结果是请求超时,数据包被丢弃了。
如此一来,PC1将无法访问30.1.1.0/24网段,这其实是一种流量过滤的简单而又有效的方法。
黑洞路由其他使用场景
除了上述场景,黑洞路由还可以用于:
- 在部署路由汇总中,用于防止数据转发出现环路
- 在部署了NAT(网络地址转换)网络中,用于防止数据转发出现环路。
- 在BGP网络中,用于发布特定网段的路由,