强叔侃墙实验(卷一下)讲课.pptVIP

校验：从私网PC1拼公网FS1正常，从公网PC2拼NAT地址池中的地址202.1.1.10会产生环路，该环路由TTL127递减为1为止。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：从私网PC1拼公网FS1正常，从公网PC2拼NAT地址池中的地址202.1.1.10会产生环路，该环路由TTL127递减为1为止。解决方法：在FW1上添加黑洞路由： [fw1]ip route-static 202.1.1.8 29 null0，则环路打破。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：此时无环路，TTL值直接到127为止。所以当防火墙上NAT 地址池地址和公网接口地址不在同一网段时，必须配置黑洞路由，避免在防火墙和路由器之间产生路由环路。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：路由表中指向Null0的路由存在且起了作用从而解决从外网访问内网时尽管不能访问，但会产生环路引起的垃圾流量问题。 配置 NAT 时为什么要同时配置黑洞路由实验十八 当防火墙上NAT 地址池地址和公网接口地址在同一网段时，建议配置黑洞路由，梳理整个过程如下： 1. 路由器收到公网PC访问NAT 地址池地址的报文后，发现目的地址属于自己的直连网段，发送ARP 请求，防火墙会回应这个ARP 请求，前两个ARP 报文就是来完成了这一交互过程的。然后路由器使用防火墙告知的MA