j'ai compris

Quelle est la fonction d'une route Blackhole?

publié il y a  2020-7-31 22:24:35 89 0 0 0 0

Si les adresses d'un pool d'adresses NAT se trouvent sur un segment de réseau différent de l'adresse IP de l' interface FW WAN, configurez une route blackhole pour éviter les boucles entre le FW et Internet.

Le FW utilise une route blackhole pour implémenter les fonctions suivantes:

  • Empêche les boucles entre le FW et un périphérique de routage connecté à Internet.

    Comme le montre la figure 1 , lorsque les utilisateurs intranet initient des connexions à Internet, le FW traduit les adresses privées des utilisateurs en adresses publiques dans un pool d'adresses. Lorsque les utilisateurs Internet envoient des paquets aux adresses du pool d'adresses, le FW ne peut pas trouver les entrées de mappage de serveur correspondantes pour les paquets. Par conséquent, le FW boucle les paquets vers le routeur en fonction de la table de routage. Le routeur transmet ensuite à nouveau les paquets reçus au FW . En conséquence, la boucle de paquets entre le FWet routeur. Une fois que les valeurs de durée de vie (TTL) des paquets sont passées à 0, les paquets sont rejetés. Si des utilisateurs Internet malveillants lancent un grand nombre de connexions à des adresses dans le pool d'adresses, les performances du FW et du routeur se détériorent.

    Figure 1 Boucles de routage
    sec_admin_nat_0073_fig01.png

    Pour éviter les boucles de routage, vous pouvez configurer une route de trou noir de masque de 32 bits liée aux adresses du pool d'adresses sur le FW . Le FW rejette les paquets dont les adresses de destination correspondent à la route du trou noir.

  • Permet à un protocole de routage dynamique d'importer et d'annoncer la route blackhole afin qu'un routeur connectant le FW à Internet puisse apprendre la route blackhole destinée aux adresses dans un pool d'adresses.

    Bien que le FW et son routeur en amont exécutent un protocole de routage dynamique, par exemple, Open Shortest Path First (OSPF), OSPF ne peut pas apprendre automatiquement les routes destinées à ces adresses dans le pool d'adresses.

    Pour résoudre le problème, configurez une route de trou noir de masque de 32 bits destinée aux adresses du pool d'adresses. OSPF peut importer la route du trou noir et la publier dans une zone de routage. Les routeurs de la zone de routage peuvent apprendre la route du trou noir vers les adresses du pool d'adresses.

Pour le NAT source, le FW prend en charge une route réseau utilisateur (UNR) pour les adresses du pool d'adresses NAT. Cet UNR, comme la route blackhole, peut empêcher les boucles de routage et peut être importé et annoncé par des protocoles de routage dynamique, tels que OSPF. Pour le serveur NAT, peu importe si le protocole et le port sont spécifiés, il est conseillé de configurer une route blackhole avec l'adresse de destination étant une adresse IP globale pour rejeter les paquets qui sont destinés à l'adresse IP globale mais ne correspondent à aucune entrée dans le table de mappage du serveur, empêchant les boucles de routage.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.