园区网核心架构:DHCP部署与黑洞路由防环实战
园区网核心架构:DHCP部署与黑洞路由防环实战
在典型的中大型企业园区网架构中,核心交换机通常不仅负责内网的三层高速转发,还需承担 DHCP Server 的角色为海量终端分配 IP。同时,为精简路由表,往往会在防火墙上配置静态汇总路由指向内网,但这极易引发严重的三层路由环路。本实验将通过实战演示如何在核心层部署 DHCP,并通过黑洞路由彻底消除环路隐患。
一、实验环境与网络规划
- 模拟平台:H3C HCL 或 eNSP 模拟器。
- 网络拓扑:
- 出口网关:防火墙(FW)。
- 园区核心层:三层交换机(Core Switch),作为内网各 VLAN 的网关及 DHCP 服务器。
- 接入层:二层交换机(Access Switch)。
- IP 地址规划:
- VLAN 10(办公区):
192.168.10.0/24,网关192.168.10.254。 - VLAN 20(业务区):
192.168.20.0/24,网关192.168.20.254。 - FW 与核心交换机互联链路:
10.1.1.0/30。
- VLAN 10(办公区):
二、园区核心层 DHCP Server 部署实战
在核心交换机上配置 DHCP 服务,为不同 VLAN 的终端动态分配 IP、网关和 DNS。
1. 开启 DHCP 服务并创建地址池
进入核心交换机,全局激活 DHCP 服务,并为 VLAN 10 创建地址池:
1 | <Core_SW> system-view |
2. 配置 SVI (VLAN 虚接口) 网关
配置 VLAN 10 接口 IP 作为终端的默认网关:
1 | [Core_SW] vlan 10 |
同理配置 VLAN 20 的 DHCP 地址池与 SVI。配置完成后,下联 PC 设置为自动获取 IP,验证是否能成功分配到 192.168.10.x 或 192.168.20.x 的地址。
三、三层路由环路的产生与验证
1. 缺省与汇总路由的配置
为了实现全网互通并简化配置:
- 核心交换机配置缺省路由,将所有未知的外网流量丢给防火墙:
1
[Core_SW] ip route-static 0.0.0.0 0 10.1.1.1
- 防火墙配置汇总路由,将发往内网
192.168.x.x的响应流量指向核心交换机(使用大网段/16减少条目):1
[FW] ip route-static 192.168.0.0 16 10.1.1.2
2. 环路触发场景模拟
此时,如果内网 PC 或外部攻击者发送一个数据包前往 192.168.8.8(该网段在核心交换机上不存在):
- FW 收到包:查询路由表,匹配到
192.168.0.0/16的汇总路由,将包发给核心交换机。 - 核心交换机收到包:查询路由表,发现没有
192.168.8.0的明细路由,于是匹配到缺省路由0.0.0.0/0,又把包扔回给 FW。 - 结果:数据包在 FW 与核心交换机之间来回“踢皮球”,直至报文的 TTL 耗尽,形成严重的三层路由环路。
四、黑洞路由(Null0)防环解决方案
为了打破这一逻辑环路,我们需要在核心交换机上利用**“最长掩码匹配原则”**与黑洞接口 Null0 进行防护。
1. 配置 Null0 黑洞路由
在核心交换机上配置一条与防火墙汇总网段一致的 Null0 路由:
1 | [Core_SW] ip route-static 192.168.0.0 16 NULL0 |
2. 防环逻辑验证
再次模拟访问 192.168.8.8:
- 核心交换机收到包:查询路由表。
- 路由匹配:此时核心交换机路由表中有两条匹配项:缺省路由
0.0.0.0/0和 黑洞路由192.168.0.0/16。 - 最长匹配生效:由于
/16的掩码长于/0,核心交换机优先选择黑洞路由。 - 结果:数据包被直接丢弃,不再发回给防火墙,环路被成功切断。
扩展说明:如果访问的是合法的 192.168.10.10 终端,由于存在 192.168.10.0/24 的直连明细路由,/24 掩码长于 /16 黑洞路由,因此合法流量依然会正常转发,不受任何影响。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 小枝的博客!