2025-12-29 00:36:54 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了H3C的Guard路由功能，通过实验验证其利用OSPF和最长匹配原理将异常流量牵引至Null0接口丢弃。发现其本质是黑洞路由，无需专用设备即可在核心路由器生效。重点提醒Guard路由不写入配置文件，重启后失效，故障排查时需检查当前路由表。 综合评分： 88 文章分类： 网络安全,安全建设

cover_image

H3C这个冷门功能Guard路由有什么用？我搭了一套实验环境，发现了它的秘密

原创

衡水铁头哥

铁军哥

2025年12月28日 07:37 北京

俗话说，温故而知新。上次在配置OSPF的路由引入时（OSPF路由引入的陷阱：为何Ubuntu上静态路由神秘消失？深挖FRR路由分类机制），我发现了一个超出我认证的功能：Guard路由。

倒不是因为这个功能有多新，单纯是因为之前根本没有注意到过。查了一下官网手册，发现配置方式跟静态路由类似，命令为ip route-guard，这不就是每次写静态路由时，默认补全却一直被我忽略的命令吗？

那这个Guard路由究竟是何方神圣？又有什么用呢？

按照官网说法，Guard路由的主要作用是：当去往某一目的地的流量中包含引起网络异常的流量时，Guard路由将去往该目的地的所有流量牵引到Guard设备上，由Guard设备对流量进行过滤和清洗。Guard路由既可以由管理员手工配置，也可以根据收到的信息触发Guard设备上的脚本自动配置。

按照这张图来看，Device B需要先配置流量镜像，将所有流量镜像给Detector设备，由Detector设备流量进行检测。当Detector设备检测到异常流量时，通知Guard设备自动创建Guard路由，并通过动态路由协议该路由发布给Device B。

这样，所有异常流量都将被牵引到Guard设备上，而Guard路由具有出接口为Null0的特点，这样，就能实现丢弃异常流量的效果，减轻对业务网络的影响。这，不就是黑洞路由吗？

由此可见，Guard路由是一种网络层的粗粒度过滤手段。它身手敏捷（配置简单，生效快），但行事鲁莽（无法区分具体应用），误伤风险较高，因此在使用IPS等应用层设备进行精细化流量管控的今天，可能已英雄无用武之地。

然而，官方手册的配置示例再次掉链子，描述复杂且存疑。纸上得来终觉浅，绝知此事要躬行，下面，就由我来演示一个正确的Guard路由简单配置案例吧。

首先，我们没有流量检测设备，那就直接使用手工配置Guard路由就行了。按照上图所示，使用OSPF完成全局设备互联配置。

RT1

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.1.1.1&nbsp;255.255.255.255#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.12.1.1&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.1.1.1&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.12.1.0&nbsp;0.0.0.255

RT2

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.2.2.2&nbsp;255.255.255.0#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.12.1.2&nbsp;255.255.255.0#interface&nbsp;GigabitEthernet0/1&nbsp;ip&nbsp;address&nbsp;10.23.1.2&nbsp;255.255.255.0#interface&nbsp;GigabitEthernet0/2&nbsp;ip&nbsp;address&nbsp;10.24.1.2&nbsp;255.255.255.0#interface&nbsp;GigabitEthernet5/0&nbsp;ip&nbsp;address&nbsp;10.25.1.2&nbsp;255.255.255.0#interface&nbsp;GigabitEthernet5/1ip&nbsp;address&nbsp;10.26.1.2&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.2.2.2&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.12.1.0&nbsp;0.0.0.255&nbsp;&nbsp;network&nbsp;10.23.1.0&nbsp;0.0.0.255&nbsp;&nbsp;network&nbsp;10.24.1.0&nbsp;0.0.0.255&nbsp;&nbsp;network&nbsp;10.25.1.0&nbsp;0.0.0.255&nbsp;&nbsp;network&nbsp;10.26.1.0&nbsp;0.0.0.255

Guard

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.3.3.3&nbsp;255.255.255.255#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.23.1.3&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.3.3.3&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.23.1.0&nbsp;0.0.0.255

RT4

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.4.4.4&nbsp;255.255.255.255#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.24.1.4&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.4.4.4&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.24.1.0&nbsp;0.0.0.255

RT5

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.5.5.5&nbsp;255.255.255.255#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.25.1.5&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.5.5.5&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.25.1.0&nbsp;0.0.0.255

RT6

#interface&nbsp;LoopBack0&nbsp;ip&nbsp;address&nbsp;10.6.6.6&nbsp;255.255.255.255#interface&nbsp;GigabitEthernet0/0&nbsp;ip&nbsp;address&nbsp;10.26.1.6&nbsp;255.255.255.0#ospf&nbsp;1&nbsp;router-id&nbsp;10.6.6.6&nbsp;area&nbsp;0.0.0.0&nbsp;&nbsp;network&nbsp;10.26.1.0&nbsp;0.0.0.255

这样一来，通过全局OSPF动态学习，我们从RT1上就可以访问到所有设备了。

按照实验设定，RT4、RT5和RT6分别是三台内网服务器，正常情况下RT1可以访问这三台设备。

而Guard设备作为Guard路由的配置点，需要在OSPF进程中引入Guard路由。

当检测业务异常时，直接配置Guard路由并通过动态路由协议推送到全网，影响路由转发。

那么问题来了，对于RT2而言，所有的路由都是直连路由，优先级是最高的，怎么影响转发呢？

对了，就是写一个32位的主机路由，命中路由的最长匹配原则，实现影响转发的效果。

ip&nbsp;route-guard&nbsp;10.24.1.4&nbsp;32

可以看到，配置了Guard路由之后，该路由条目的接口为NULL0，下一条为0.0.0.0，也就是直接丢弃的意思了。

再到其他设备进行查看，可以看到，全网都学到了这个32位的主机路由。除了所有设备都不能访问RT4之外，RT4也不能访问其他设备了。

如果回过头来看，这个Guard路由倒也不必使用专门的Guard设备来配置，在RT2上配置，效果应该也是一样的。

#ospf&nbsp;1&nbsp;router-id&nbsp;10.2.2.2&nbsp;import-route guard#ip&nbsp;route-guard&nbsp;10.25.1.5&nbsp;32

查看RT设备的路由表。

可以看到，效果都是一样的。既然如此，实际应用中完全可以省掉这台Guard设备。当然，使用专门的Guard设备搭配检测设备来使用，能降低直接操作核心设备的误操作流量风险。

最后，一个重要的坑点需要注意！Guard路由不会写入到配置文件中，这意味着设备重启后，这些临时禁令会自动消失。排查问题时若只看配置，极易漏网，务必查看当前路由表！

通过这次探索，我们不仅弄懂了一个生僻命令，更加深了对路由控制能力的理解。Guard路由像一把锋利的手术刀，在特定应急场景下能发挥奇效。但在应用识别、微隔离技术日益成熟的今天，它更像是一个复古的备选方案。

你在网络运维中，是否遇到过适合使用这种粗暴但有效方案的场景？欢迎在评论区分享你的见解！

***推荐阅读***

无需公网IPv4！手把手教你配置基于IPv6的WireGuard安全隧道

基于IPv6配置openVPN实战：告别双栈难题，一步打通IPv6隧道！

openVPN进阶技巧：如何实现从服务端反向访问客户端内网？

OpenVPN管理竟能如此简单？实时监控、固定IP、强制下线，运维效率翻倍

OpenVPN管理迎来终极形态：支持6种多因子认证，安全等级拉满，运维效率飙升！

服务器端口不对外开放怎么办？用SSH“秒建”加密隧道，安全访问内部服务

让Ubuntu服务器变身OSPF路由器！实现服务器与网络设备直接对话

OSPF路由引入的陷阱：为何Ubuntu上静态路由神秘消失？深挖FRR路由分类机制

真白嫖攻略：如何将免费的运营商云电脑，变成高性能远程开发/测试服务器？

Windows系统VPN老掉线？我教你轻松实现VPN开机自启、断线重连，7×24小时稳定守护

RDP授权119天不够用？给你的Windows Server来个“永久”授权

256台H100服务器的RoCEv2无损与全互联算力网络建设方案

2048卡H100算力中心100G无阻塞存储网建设方案

2048卡H100算力中心HPE Alletra 4140存储集群部署手册

2048卡H100算力中心H3C R5500 G6服务器集群部署手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥衡水铁头哥《H3C这个冷门功能Guard路由有什么用？我搭了一套实验环境，发现了它的秘密》