- 论坛徽章:
- 0
|
不知道大家是怎样理解三层交换和路由之间的关系的,起初我个人认为三层交换就是使用了路由技术在IP层面的快速交换技术,然而最近发现了一个比较有趣的现象,使我对这方面有了更深的了解,如果感兴趣的请看如下问题:
有一个设备RouterA,有一个出口连线连接外网,设备IP为10.0.0.1,其出口对端IP为10.0.0.2;
同时RouterA直连一个网段,为192.168.0.0/24,RouterA的接口IP设置为192.168.0.1;
其次RouterA还有一条线连接到另外一个设备RouterB,RouterA的互联接口IP设置为10.172.0.2,RouterB的设备直连网段192.168.1.0/24,设备互联的接口IP为10.172.0.1。
RouterB以及其所连接的整网段只与RouterA互联,并经由RouterA访问外网出口,没有其他额外出口。
所以经由此互联后RouterA中有如下路由表
Destination/Mask Protocol Pre Cost Nexthop
192.168.0.0/24 DIRECT 0 0 192.168.0.1
192.168.0.1/32 DIRECT 0 0 127.0.0.1
192.168.1.0/24 STATIC 60 0 10.172.0.1
10.0.0.0/30 DIRECT 0 0 10.0.0.1
10.0.0.1/32 DIRECT 0 0 127.0.0.1
0.0.0.0/0 STATIC 60 0 10.0.0.2
10.172.0.0/30 DIRECT 0 0 10.172.0.2
10.172.0.2/32 DIRECT 0 0 127.0.0.1
这个网络拓扑已经正常运行了许久,下面所挂2个网段的机器也一直正常,现在假设突然192.168.0.100和192.168.1.100这两个IP出现严重安全问题,需要从路由上完全封锁此IP的通讯,假设我们使用黑洞路由实现,而不能使用acl等高级包过滤功能,但是我只有RouterA的管理权限,用因此我需要在RouterA做封锁操作,而不能到RouterB操作,因此我在RouterA上做如下操作:
RouterA# ip route 192.168.0.100/32 null0 blackhole
RouterA# ip route 192.168.0.100/32 null0 blackhole
因此路由表会增加2条:
Destination/Mask Protocol Pre Cost Nexthop
192.168.0.100/24 STATIC 60 0 NULL0
192.168.1.100/24 STATIC 60 0 NULL0
现在请问,此种配置方法是否能将这两个IP与外网的所有通讯全部阻隔?能与不能请说明原因。
请回答时仔细思考一下,不要以为答案很显然,并请注意我并没有说明RouterA是何种设备,请想一下如果RouterA是三层交换或者是路由器2种不同情况的时候,结果是否有变化。 |
|
免费注册
发表于 2006-11-10 22:02
