概述

黑洞路由可解决NAT源地址转换过程中的路由环路问题，同理，NAT目的地址转换【NAT Server】也存在路由环路问题。

本期文章分享重点是黑洞路由应用于NAT目的地址转换示例。

组网应用示例

Tips：组网应用示例采用新华三HCL模拟器演绎

从上述的组网拓扑图和组网配置可知：

1、R1设备nat server地址：【202.102.1.10】和【202.102.1.11】与该设备的G0/0的接口IP【202.102.1.2/30】不属于同一地址段。

2、R2设备配置了目的IP是【202.102.1.10和202.102.1.11】，下一跳是R1的静态路由。

PC2分别telnet访问【202.102.1.10和202.102.1.11】，R1设备生成了对应的nat会话，如下图所示；

然而，当查看R1设备的路由表，惊奇的发现：

R1设备自动生成关于nat server地址的两条黑洞路由，如下图所示；

其中，

202.102.1.10/32黑洞路由是解决路由环路的问题；

假设，

202.102.1.11/32黑洞路由不存在是否会产生路由环路呢？

为了便于测试验证黑洞路由在nat目的地址转换过程中的作用，再次采用Cisco Packet Tracer进行演绎，组网拓扑及配置如下图所示。

PC2分别telnet访问【202.102.1.10和202.102.1.11】TCP 80端口，R1设备生成了对应的nat会话，如下图所示；

然而，查看R1设备的路由表发现：

R1设备并没有默认产生黑洞路由，如下图所示；

构造PC2向R1的nat server【202.102.1.10】发送的ping报文，如下图所示；

在“Simulation Panel”中执行播放按键

，发现PC2是无法ping通202.102.1.10，另外，该ping报文在R1和R2之间来回转发，产生路由环路。分析每个ping报文，其中报文中的TTL值持续减少，如下图所示；

构造PC2向R1的nat server【202.102.1.11】发送的ping报文。

在“Simulation Panel”中执行播放按键

，发现PC2是可以ping通202.102.1.11，不存在路由环路，如下图所示；

从ping报文转发的路径分析，当PC2向202.102.1.11发起ping，真正的响应者是Server1设备。

因此，在HCL模拟器上，即便R1设备没有自动生成202.102.1.11/32黑洞路由，也不会产生路由环路。

#R1设备配置黑洞路由

ip route 202.102.1.10 255.255.255.255 Null0

再次查看R1设备的路由表，发现一条黑洞路由，如下图所示；

再次构造PC2向R1的nat地址池地址【202.102.1.10】发送的ping报文。

在“Simulation Panel”中执行播放按键

，发现PC2是依然无法ping通202.102.1.10，但是，该ping报文在R1和R2之间来回转发的现象消失了，如下图所示；

在NAT目的地址转换过程中，当出口设备【R1】配置了特定协议和端口的NAT Server，并且NAT Server的Global地址和公网接口地址不在同一网段时，必须配置黑洞路由，避免在出口设备【R1】和公网路由器【R2】之间产生路由环路。

然而，当出口设备【R1】配置了一对一的NAT Server，即便NAT Server的Global地址和公网接口地址不在同一网段，也不会产生路由环路。

Tips：

新华三模拟器的路由设备自动生成关于NAT Server地址的黑洞路由；

Cisco Packet Tracer模拟器的路由设备不会自动生成关于NAT Server地址的黑洞路由。

以上分享，希望各位小伙伴有所收获，欢迎各位点赞、收藏和指正。