黑洞路由 一句话总结,就如同是将所有无关的路由吸入黑洞,让它们有来无回的一种路由。

提到黑洞路由就要提一下null0接口。

null0口是个永不down的口,一般用于管理,admin建立一个路由条目,将接到的某个源地址转向null0接口,这样对系统负载影响非常小。 如果同样的功能用ACL(地址访问控制列表)实现,流量增大时CPU利用率就会明显增加。所以,设置黑洞路由一直是解决固定DOS***的最好办法。相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。

路由黑洞

黑洞路由与路由黑洞这两个概念容易混淆,为了方便区别,在此做了一下比较。 在路由器中配置路由黑洞完全是出于安全因素,设有黑洞的路由会默默地抛弃掉数据包而不指明原因。而一个黑洞路由器是指一个不支持PMTU且被配置为不发送“Destination Unreachable--目的不可达”回应消息的路由器。 可以这样看:如果一个路由器不支持PMTU并且配置为不发送ICMP Destination Unreachable消息数据包,那么源主机可能发送一个永远得不到路由的大数据包。因为路由器没有给源主机发回应消息,主机不能确定PMTU就是问题的所在。但如果源主机端启用了PMTU,则源主机在重试几次大的MTU之后,如果还收不到路由器的应答,那源主机自动将PMTU设置为576bytes. 在Windows 2000下PMTU启用设置是---HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnablePMTUBHDetect REG_DWORD 0(默认禁用)或1(启用) 在Windows XP下也可以试一下。 (NOTE:PMTU--Path Maximum Transfer Unit是指当一个要发送的数据包的大小与当前路径中的最小的MTU值一样) 区别于黑洞路由的是,这是路由器自动总结生成总结路由后产生的副效果。

CISCO模拟器案例: 路由器A上面有缺省路由0.0.0.0 0.0.0.0 202.1.1.2

#为了不产生环路(服务器上ping 202.1.100.101可在AB间产生环路) #添加黑洞路由 ip route 202.1.100.0 255.255.255.0 null0

vlan 10 192.168.1.1 f 0/1-5 vlan 20 192.168.2.1 f 0/6-10 vlan 30 192.168.3.1 f 0/11-15 vlan 100 10.1.1.1 f 0/24

SwitchA:

enable conf t vlan 10 exit vlan 20 exit vlan 30 exit vlan 40 exit ip routing inter range f 0/1-5 switchport mode acc switchport acc vlan 10 exit inter range f 0/6-10 switchport mode acc switchport acc vlan 20 exit inter range f 0/11-15 switchport mode acc switchport acc vlan 30 exit inter f 0/24 switchport mode acc switchport acc vlan 100 exit

inter vlan 10 ip add 192.168.1.1 255.255.255.0 no shut exit inter vlan 20 ip add 192.168.2.1 255.255.255.0 exit inter vlan 30 ip add 192.168.3.1 255.255.255.0 exit inter vlan 100 ip add 10.1.1.1 255.255.255.0 exit

router rip ver 2 net 10.1.1.0 redis conn exit enable conf t inter f 0/0 ip add 10.1.1.2 255.255.255.0 ip nat inside no shut exit inter f 0/1 ip add 202.1.1.1 255.255.255.0 ip nat outside no shut exit ip route 0.0.0.0 0.0.0.0 202.1.1.2 router rip ver 2 default ori net 10.1.1.0 exit ip nat inside source stat 192.168.3.100 202.1.100.100

Router B: #注意最后是路由到202.1.100.0网段 enable conf t inter f 0/0 ip add 202.1.1.2 255.255.255.0 no shut exit ip route 202.1.100.0 255.255.255.0 202.1.1.1