wanglv77 发表于 2021-6-17 17:33:59

怎么避免路由黑洞

  1.路由黑洞
  路由黑洞一般是在网络边界做汇总回程路由的时候产生的一种不太愿意出现的现象,就是汇总的时候有时会有一些网段并不在内网中存在,但是又包含在汇总后的网段中,如果在这个汇总的边界设备上同时还配置了缺省路由,就可能出现一些问题。这时,如果有数据包发向那些不在内网出现的网段(但是又包含在汇总网段)所在的路由器,根据最长匹配原则,并没有找到对应的路由,只能根据默认路由又回到原来的路由器,这就形成了环路,直到TTL值超时,丢弃。
  2.黑洞路由
  上面的路由黑洞是我们不愿意看到的场景,所以要有解决这个问题的方案,就是黑洞路由,其实就是一条特殊的静态路由,下一跳指向null 0口,一个不存在的口,结果就是将匹配这条路由的数据包丢弃。
  提到黑洞路由就要提一下null0接口。
  null0口是个永不down的口,一般用于管理,详见null0的词条
  admin建立一个路由条目,将接到的某个源地址转向null0接口,这样对系统负载影响非常小。
  如果同样的功能用ACL(地址访问控制列表)实现,则流量增大时CPU利用率会明显增加。
  所以,设置黑洞路由一直是解决固定DOS攻击的最好办法。
  相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。
  黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。
  在思科路由器中配置路由黑洞完全是出于安全因素,设有黑洞的路由会默默地抛弃掉数据包而不指明原因。
  一个黑洞路由器是指一个不支持PMTU且被配置为不发送“Destination Unreachable--目的不可达”回应消息的路由器。
  可以这样看:
  如果一个路由器不支持PMTU并且配置为不发送ICMP Destination Unreachable消息数据包,那么源主机可能发送一个永远得不到路由的大数据包。因为路由器没有给源主机发回应消息,主机不能确定PMTU就是问题的所在。但如果源主机端启用了PMTU,则源主机在重试几次大的MTU之后,如果还收不到路由器的应答,那源主机自动将PMTU设置为576bytes.
  以上的文章来自于工业交换机http://www.zycd.net/list-1-42.html 欢迎来咨询。

f1662 发表于 2021-6-21 15:53:05

{:6_290:}

f1662 发表于 2021-6-21 15:53:14

{:6_267:}

lyx_liyuxing 发表于 2021-7-8 17:27:12

非常有用,感谢分享

tomday 发表于 2021-11-28 16:39:23

很好的经验,受教了

tg6326 发表于 2022-5-11 17:59:32

多谢分享 多谢分享 多谢分享

Airui-7 发表于 2022-5-22 12:49:12

谢谢分享

daneo 发表于 2022-9-10 22:52:19

感谢~!

bossxue 发表于 2022-9-17 03:09:46

最好的避免路由黑洞方法就是MPLS,又快又省心,不过带来新问题就是LSP断裂,转控分离都会出现的毛病,就是控到了,没转出去

linuxphp 发表于 2022-9-28 20:15:54

areyoukai122 发表于 2023-1-4 18:52:27

學一下{:6_267:}

hufei240 发表于 2023-1-22 21:26:24

谢谢分享!

lxzhanshe 发表于 2023-3-8 09:19:27

Thanks for sharing

Sky_Kuo 发表于 2024-10-26 16:14:18

GOOD
页: [1]
查看完整版本: 怎么避免路由黑洞