ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
为了避免路由环路 ,采用null 0端口作为静态路由,丢弃数据包。
根据实际情况对出口进行设置,内网使用可能造成通讯故障。
黑洞路由,便是将所有无关路由吸入其中,使它们有来无回的路由,一般是admin主动建立的路由条目。
提到黑洞路由就要提一下null0接口。
null0口是个永不down的口,一般用于管理,详见null0的词条
admin建立一个路由条目,将接到的某个源地址转向null0接口,这样对系统负载影响非常小。
如果同样的功能用ACL(地址访问控制列表)实现,则流量增大时CPU利用率会明显增加。
所以,设置黑洞路由一直是解决固定DOS攻击的最好办法。
相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。
黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。
在路由器中配置路由黑洞完全是出于安全因素,设有黑洞的路由会默默地抛弃掉数据包而不指明原因。
黑洞路由实际是一种特殊的静态路由,顾名思义,就是目的地址为该网段的数据报文到达设备之后,将被丢弃。另外,将报文丢到Null接口的操作应不需要CPU进行什么处理,所以处理大量的报文也不会消耗设备的CPU资源!
利用黑洞路由的这个特点,可以在实际组网中避免路由环路的形成。如下就是黑洞路由的配置:ip route 1.1.0.0 255.255.248.0 null 0,这样就可以有效地防止这种路由环。
在中兴的三层交换机中,有的没有NULL接口,如要配置黑洞路由,就是要先建立一个loop back接口用于做为黑洞替代Null接口。
阅读(4190) | 评论(0) | 转发(0) |
