强叔侃墙实验(卷一下)解读.pptVIP

校验：从私网PC1拼公网FS1正常，从公网PC2拼NAT地址池中的地址202.1.1.10会产生环路，该环路由TTL127递减为1为止。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：从私网PC1拼公网FS1正常，从公网PC2拼NAT地址池中的地址202.1.1.10会产生环路，该环路由TTL127递减为1为止。解决方法：在FW1上添加黑洞路由： [fw1]ip route-static 202.1.1.8 29 null0，则环路打破。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：此时无环路，TTL值直接到127为止。所以当防火墙上NAT 地址池地址和公网接口地址不在同一网段时，必须配置黑洞路由，避免在防火墙和路由器之间产生路由环路。 配置 NAT 时为什么要同时配置黑洞路由实验十八 校验：路由表中指向Null0的路由存在且起了作用从而解决从外网访问内网时尽管不能访问，但会产生环路引起的垃圾流量问题。 配置 NAT 时为什么要同时配置黑洞路由实验十八 当防火墙上NAT 地址池地址和公网接口地址在同一网段时，建议配置黑洞路由，梳理整个过程如下： 1. 路由器收到公网PC访问NAT 地址池地址的报文后，发现目的地址属于自己的直连网段，发送ARP 请求，防火墙会回应这个ARP 请求，前两个ARP 报文就是来完成了这一交互过程的。然后路由器使用防火墙告知的MAC 地址封装报文，发送至防火墙。 2. 防火墙收到报文后，发现报文的目的地址和自己的GE0/0/1 接口在同一网段，此时不会查路由表，直接发送ARP 请求报文（第三个ARP 报文），寻找该地址的MAC 地址（防火墙依然没有意识到该报文的目的地址是自己的NAT 地址池地址）。但是网络中其它设备都没有配置这个地址，肯定就不会回应，最终防火墙将报文丢弃。 所以说，在这种情况下不会产生路由环路。但是如果公网上的捣乱分子发起大量访问时，防火墙将发送大量的ARP 请求报文，也会消耗系统资源。所以，当防火墙上NAT 地址池地址和公网接口地址在同一网段时，建议也配置黑洞路由，避免防火墙发送ARP 请求报文，节省防火墙的系统资源。 如使用easy-ip方式进行NAT时，也可以把公网接口地址配置成地址池地址。这样，NAT 转换使用的地址和公网接口 地址就是同一个地址了。在这种情况下，需要配置黑洞路由吗？我们来分析一下整个流程：防火墙收到公网PC 的报文后，发现是访问自身的报文，这时候就取决于公网接口所属安全区域和Local 安全区域之间的安全策略，安全策略允许通过，就处理；安全策略不允许通过，就丢弃。不会产生路由环路，也不需要配置黑洞路由。 另外：当防火墙上配置了特定协议和端口的NAT Server 并且NAT Server 的Global 地址和公网接口地址不在同一网段时，必须配置黑洞路由，避免在防火墙和路由器之间产生路由环路。 配置 NAT 时为什么要同时配置黑洞路由实验十八 总结如下： 对于源NAT 来说： 如果 NAT 地址池地址与公网接口地址不在同一网段，必须配置黑洞路由。 如果 NAT 地址池地址与公网接口地址在同一网段，建议也配置黑洞路由。 对于配置了特定协议和端口的 NAT Server 来说： 如果 NAT Server 的Global 地址与公网接口地址不在同一网段，必须配置黑洞路由。 如果 NAT Server 的Global 地址与公网接口地址在同一网段，建议也配置黑洞路由。 口诀： 地址不在同网段，报文无奈来回走，黑洞路由必须配，防止环路显身手； 地址虽在同网段，但是会发ARP 请求，黑洞路由也配上，节省资源不用愁！ 配置 NAT 时为什么要同时配置黑洞路由实验十八 Fw1 上可粘贴配置： sys sys fw1 int g0/0/0 ip address 192.168.0.1 255.255.255.0 int g0/0/1 ip address 202.1.1.1 255.255.255.252 firewall zone trust add interface GigabitEthernet0/0/0 firewall zone untrust add interface GigabitEthernet0/0/1 quit ip route-static 0.0.0.0 0.0.0.0 202.1.1.2 ip route-static 202.1.1.8 255.255.255.248 NULL0 ip route-static 210.1.1.0 255.255.255.0 202.1.1.2 ip route-static 220.1.1.0 255.255.255.0 202.1.1.2 nat