黑洞路由不生效

问题现象

通常会在IPSec VPN环境下配置高管理距离(distance)的黑洞路由,避免IPSec连接中断时,VPN流量匹配默认路由被送到Internet。

  1. 某用户在配置VPN路由对应的黑洞路由,如下所示,distance配置为255。

    config router static
        edit 15
            set status disable
            set dst 192.168.123.0 255.255.255.0
            set distance 20
            set device "VPN_Tunnel1"
        next
        edit 16
            set dst 192.168.123.0 255.255.255.0
            set distance 255
            set blackhole enable
            set vrf 0
        next
    end
    
  2. 查看路由表中没有该黑洞路由,VPN隧道中断后,流量仍然匹配默认路由从wan1接口转发。

    FortiGate # get router info routing-table static 
    Routing table for VRF=0
    S*      0.0.0.0/0 [1/0] via 172.22.6.1, wan1, [1/0]
    
  3. 但在路由Database中可以看到该黑洞路由。

    FortiGate # get router info routing-table database | grep 192.168.123.0
    S       192.168.123.0/24 [20/0] via VPN_Tunnel1 tunnel 10.0.0.2, [1/0]
    S       192.168.123.0/24 [255/0] is a summary, Null, [1/0]
    

问题原因

路由管理距离(distance)255表示该路由无效。路由只能在routing-table database中可见。不会插入到路由转发表中,所以VPN流量不会按预期丢弃(路由),而是匹配默认路由从wan1接口转发。

解决方法

任何静态路由的管理距离都需要 ≤ 254。否则,路由条目将被视为无效路由。

config router static
    edit 16
        set dst 192.168.123.0 255.255.255.0
        set distance 254
        set blackhole enable
        set vrf 0
    next
end

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-04-24 14:41:00

results matching ""

    No results matching ""