如果部分企业数据中心网络不需要与internet直接通信,那么我们为什么要配置路由器,使网络上的每个系统在默认情况下都能访问internet呢?
部分原因是,许多企业使用执行端口地址转换(PAT)的internet周长防火墙,该防火墙具有允许访问internet的默认策略,这种解决方案为攻击者破坏安全性留下了可能的路径。
+也在网络世界:足球竞猜app软件IPv6部署指南;什么是边缘计算,它是如何改变网络的?+
传统的网络设计与默认路由
网络工程师在防火墙的北向路由器上配置静态或动态(例如BGP)路由与上游isp。这是网络工程师的传统和习惯,也配置了静态默认路由(例如:0.0.0.0/0,::/0)指向防火墙内部路由器上的防火墙。如下图所示,这个内部路由器然后将这个静态默认值重新分发到内部动态路由协议(例如OSPF、EIGRP)。因此,当任何内部路由器收到一个发送给某个IP地址的包,而这个IP地址并没有出现在它的路由表中时,这个包就会使用默认的路由进行转发(例如,最后的门户)。因此,无论是否需要,每个内部网络上的每个系统都有一个通向Internet的路径。
删除默认网关
现在,连接到这些内部边缘路由器的终端节点也使用a默认网关它将所有非本地网络流量定向到第一跳路由器。对于接入网,终端用户设备从其接收此默认路由DHCP选项。尽管可以从所有主机中删除默认路由,但是对于每台服务器手工删除路由将是一种管理负担。在有限的一组数据中心网络设备上配置默认路由的存在或不存在将更容易实现相同的结果。2020欧洲杯预赛