huawei华为NE5000E旁挂E8000E防火墙NAT地址池没有配置黑洞路由，导致NE5000E上环路CPU过高问题处理案例

问题描述

城域网出口NE5000E旁挂E8000E-X16防火墙，用来给NE5000E下挂BRAS的业务做NAT。 


NE5000E CPU达到99%，<RT01-NE5KE>dis cpu   

TaskName        CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation   
ROUT                  99%         0/ 6667f5d       ROUTRoute task 

处理过程

上行业务，BRAS通过默认路由引导到NE5000E，NE5000E通过策略路由引导到E8000E-X16防火墙，防火墙经过地址转换后通过默认路由回到NE5000E，经过省干NE5000E出城域网。 
下行业务，省干NE5000E回到地市NE5000E后，通过静态路由引导到E8000E-X16防火墙，防火墙通过查找对应SESSION表项后，静态路由回到地市NE5000E，地市NE5000E返回BRAS。 

问题出现在回程业务上，当外网有攻击地市私网的未知流量时，省干NE5000E回到地市NE5000E后，通过静态路由引导到E8000E-X16防火墙，此时防火墙上没有对应的SESSION表项，流量到了防火墙后，匹配默认路由回到NE5000E。环路产生。 

根因

问题出现在回程业务上，当外网有攻击地市私网的未知流量时，省干NE5000E回到地市NE5000E后，通过静态路由引导到E8000E-X16防火墙，此时防火墙上没有对应的SESSION表项，流量到了防火墙后，匹配默认路由回到NE5000E。环路产生。 

解决方案

E8000E-X16上需要增加对防火墙发布的地址池黑洞路由解决，NE5000E旁挂的E8000E-X16防火墙一共需要配置如下至少三条静态路由，其中黑洞路由是需要增加的。 
 ip route-static 0.0.0.0 0 x.x.x.x  (配置缺省路由） 
 ip route-static x.x.x.x x.x.x.x x.x.x.x (配置针对私网地址的回程静态路由） 
 ip route-static x.x.x.x x.x.x.x NULL0    (针对 nat地址池配置黑洞路由） 
配置黑洞路由的目的是，流量引导到E8000E-X16后，如果发现没有SESSION表项，又是访问对应私网网段的流量，则匹配黑洞路由，这样环路就不会产生了。 

建议与总结

NE5000E在旁挂E8000E-X16防火墙做NAT的时候，需要在防火墙上对地址池做黑洞路由，以避免环路产生。