路由环路问题※
问题根因※
在防火墙中配置公网地址池用于源地址转换的时候,这些IP不是防火墙物理接口上的IP,有可能导致路由环路的问题
- 外网回包:用户访问地址池某个公网IP,比如202.1.1.10
- 查找路由:防火墙查找路由表是否存在202.1.1.10的路由条目
- 匹配默认路由:被防火墙的默认路由匹配,发回公网
形成环路:公网路由器查表发现目的地址是
202.1.1.10,下一跳又是防火墙,于是又把包发回来。这就形成了“乒乓效应”,消耗带宽和设备资源。- 形成环路:公网路由器查表发现目的地址是 202.1.1.10,下一跳又是防火墙,于是又把包发回来。这就形成了“乒乓效应”,消耗带宽和设备资源。如何解决
如何解决?※
UNR(User Network Route,用户网络路由)
该技术是一种由设备产生的指向NULL0接口的虚拟特殊路由,是一种黑洞路由。
工作流程:
当数据包到达防火墙,且没有匹配到有效的 NAT 会话时,设备查找路由表。
由于 UNR 路由(优先级通常为 60)比默认路由(优先级也是 60,但掩码长度为 0,匹配度低)更精确(掩码长度 32),数据包会优先匹配到这条 UNR 路由。
动作:数据包被转发到
NULL0接口,直接丢弃。结果:环路被打破,无效流量被终结。
