Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Recursos do ICMP

RESUMO Use recursos do Protocolo de Mensagem de Controle de Internet (ICMP) para diagnosticar problemas de rede e verificar a acessibilidade do dispositivo.

Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.

Mensagens de redirecionamento de protocolo

O redirecionamento do ICMP, também conhecido como redirecionamento de protocolo, é um mecanismo usado por switches e roteadores para transmitir informações de roteamento aos hosts. Os dispositivos usam mensagens de redirecionamento de protocolo para notificar os hosts no mesmo link de dados da melhor rota disponível para um determinado destino.

Entender as mensagens de redirecionamento de protocolo

As mensagens de redirecionamento de protocolo informam um host para atualizar suas informações de roteamento e enviar pacotes em uma rota alternativa. Suponha que um host tente enviar um pacote de dados através de um switch S1 e S1 envia o pacote de dados para outro switch, s2. Além disso, suponha que um caminho direto do host para o S2 esteja disponível (ou seja, o host e o S2 estão no mesmo segmento de Ethernet). A S1 então envia uma mensagem de redirecionamento de protocolo para informar ao host que a melhor rota para o destino é a rota direta para s2. Em seguida, o host deve enviar pacotes diretamente para o S2 em vez de mandá-los através do S1. A S2 ainda envia o pacote original que recebeu da S1 para o destino pretendido.

Consulte RFC-1122 e RFC-4861 para obter mais detalhes sobre o redirecionamento do protocolo.

Nota:

  • Os switches não enviam mensagens de redirecionamento de protocolo se o pacote de dados contém informações de roteamento.

  • Todos os switches da série EX oferecem suporte ao envio de mensagens de redirecionamento de protocolo para tráfego IPv4 e IPv6.

Desativar mensagens de redirecionamento de protocolo

Por padrão, os dispositivos enviam mensagens de redirecionamento de protocolo para tráfego IPv4 e IPv6. Por razões de segurança, você pode querer desativar o dispositivo de enviar mensagens de redirecionamento de protocolo.

Para desativar mensagens de redirecionamento de protocolo para todo o dispositivo, inclua a no-redirects ou no-redirects-ipv6 declaração no nível hierárquico [edit system] .

  • Para tráfego IPv4:

  • Para tráfego IPv6:

Para re habilitar o envio de mensagens de redirecionamento no dispositivo, exclua a no-redirects declaração (para tráfego IPv4) ou a no-redirects-ipv6 declaração (para tráfego IPv6) da configuração.

Para desativar mensagens de redirecionamento de protocolo por interface, inclua a no-redirects declaração no nível de [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

  • Para tráfego IPv4:

  • Para tráfego IPv6:

Pings

Os pings usam ICMP. Um ping bem-sucedido é quando um dispositivo envia uma solicitação de eco do ICMP para um alvo e o alvo responde com uma resposta de eco ICMP. No entanto, pode haver situações em que você não deseja que seu dispositivo responda às solicitações de ping.

Desativar a resposta do mecanismo de roteamento a pacotes de ping multicast

Por padrão, o Mecanismo de Roteamento responde às solicitações de eco do ICMP enviadas a endereços de grupo multicast. Ao configurar o Mecanismo de Roteamento para ignorar pacotes de ping multicast, você pode impedir que pessoas não autorizadas descubram a lista de dispositivos de borda de provedor (PE) na rede.

Para desativar o mecanismo de roteamento de responder a essas solicitações de eco do ICMP, inclua a no-multicast-echo declaração no nível hierárquico [edit system] :

Desativar o endereço IP de relatórios e os datas de tempo em respostas de ping

Quando você emite o ping comando com a opçãorecord-route, o Mecanismo de Roteamento exibe o caminho dos pacotes de solicitação de eco do ICMP e dos tempostamps nas respostas de eco do ICMP por padrão. Ao configurar as opções e no-ping-timestamp as no-ping-record-route opções, você pode impedir que pessoas não autorizadas descubram informações sobre o dispositivo de borda (PE) do provedor e seu endereço loopback.

Você pode configurar o Mecanismo de roteamento para desabilitar a configuração da opção record-route no cabeçalho IP dos pacotes de solicitação de ping. A desativação da opção record-route impede que o Mecanismo de Roteamento grava e exibe o caminho dos pacotes de solicitação de eco do ICMP na resposta.

Para configurar o mecanismo de roteamento para desabilitar a configuração da opção record route , inclua a no-ping-record-route declaração no nível hierárquico [edit system] :

Para desativar o relatório de datas de tempo nas respostas de eco do ICMP, inclua a opção no-ping-time-stamp no nível hierárquico [edit system] :

Mensagens de quench de origem

Quando um dispositivo está recebendo muitos ou não desejados datagramas, ele pode enviar uma mensagem de desatenção de origem para o dispositivo de origem. A mensagem de saída de origem sinaliza o dispositivo de origem para reduzir a quantidade de tráfego que está enviando.

Por padrão, o dispositivo reage às mensagens de detecção de origem do ICMP. Para ignorar as mensagens de saciemento de origem do ICMP, inclua a no-source-quench declaração no nível de [edit system internet-options] hierarquia:

Para parar de ignorar as mensagens quencham a origem do ICMP, use a source-quench declaração:

Expiração do tempo de vida (TTL)

O valor de tempo de vida (TTL) em um cabeçalho de pacote determina quanto tempo o pacote permanece viajando pela rede. Os decrementos de valor de TTL com cada dispositivo (ou salto) pelo que o pacote viaja. Quando um dispositivo recebe um pacote com um valor de TTL de 0, ele descarta o pacote. A mensagem de expiração de TTL é enviada usando ICMP.

Você pode configurar seu dispositivo para usar um endereço IPv4 como endereço fonte para mensagens de erro de expiração do tempo de vida (TTL) do ICMP. Isso significa que você pode configurar o endereço de loopback como endereço de origem em resposta a pacotes de erro do ICMP. Fazer isso é útil quando você não pode usar o endereço do dispositivo para fins de traceroute porque você tem endereços IPv4 duplicados em sua rede.

O endereço fonte deve ser um endereço IPv4. Para especificar o endereço de origem, use a opção ttl-expired-source-address source-address no nível de [edit system icmp (System)] hierarquia:

Essa configuração só se aplica às mensagens de expiração de TTL do ICMP. Outras mensagens de resposta a erros do ICMP continuam a usar o endereço da interface de entrada como endereço fonte.

Limite de taxa de tráfego ICMP

Para limitar a taxa em que as mensagens ICMPv4 ou ICMPv6 podem ser geradas pelo Mecanismo de Roteamento e enviadas ao Mecanismo de Roteamento, inclua a declaração de limitação de taxa apropriada no nível hierárquico [edit system internet-options] .

  • Para IPv4:

  • Para IPv6:

Mensagens de erro do ICMP limite de taxa

Por padrão, as mensagens de erro do ICMP para pacotes IPv4 e IPv6 não expirados por TTL são geradas à taxa de 1 pacote por segundo (pps). Você pode ajustar essa taxa a um valor que você decide que fornece informações suficientes para sua rede sem causar congestionamento de rede.

Nota:

Para pacotes IPv4 ou IPv6 expirados por TTL, a taxa de mensagens de erro do ICMP não é configurável. Ela é fixa em 500 pps.

Por que avaliar as mensagens de erro ICMPv4 e ICMPv6

Um caso de uso de exemplo para ajustar o limite de taxa é um data center que fornece serviços web. Suponha que esse data center tenha muitos servidores na rede que usam quadros jumbo com um MTU de 9100 bytes quando eles se comunicam com hosts pela Internet. Esses outros hosts exigem um MTU de 1500 bytes. A menos que o tamanho máximo do segmento (MSS) seja aplicado em ambos os lados da conexão, um servidor pode responder com um pacote que é muito grande para ser transmitido pela Internet sem ser fragmentado quando chega ao roteador de borda no data center.

Como as implementações de TCP/IP geralmente têm o Path MTU Discovery habilitado por padrão com o dont-fragment bit definido para 1, um dispositivo de trânsito soltará um pacote que é muito grande em vez de fragmentá-lo. O dispositivo devolverá uma mensagem de erro do ICMP indicando que o destino era inalcançável porque o pacote era muito grande. A mensagem também fornecerá o MTU que é necessário onde o erro ocorreu. O host de envio deve ajustar o envio de MSS para essa conexão e reencaminhar os dados em tamanhos menores de pacotes para evitar o problema de fragmentação.

Em velocidades de interface de alto núcleo, o limite de taxa padrão de 1 pps para as mensagens de erro pode não ser suficiente para notificar todos os hosts quando há muitos hosts na rede que exigem esse serviço. A consequência é que os pacotes de saída são silenciosamente descartados. Essa ação pode desencadear retransmissões adicionais ou comportamentos de back-off, dependendo do volume de solicitações que o roteador de borda de data center está lidando em cada interface voltada para o núcleo.

Nessa situação, você pode aumentar o limite de taxa para permitir que um volume maior de pacotes superdimensionados chegue aos hosts de envio. (Incluir mais interfaces voltadas para o núcleo também pode ajudar a resolver o problema.)

Como avaliar as mensagens de erro de ICMPv4 e ICMPv6

Embora você configure o limite de taxa no nível de [edit chassis] hierarquia, ele não é um limite em todo o chassi. Em vez disso, o limite de taxa se aplica por família de interface. Isso significa, por exemplo, que várias interfaces físicas configuradas podem family inet gerar simultaneamente as mensagens de erro do ICMP no ritmo configurado.

Nota:

Esse limite de taxa só entra em vigor para tráfego que dura 10 segundos ou mais. O limite de taxa não é aplicado ao tráfego com uma duração mais curta, como 5 segundos ou 9 segundos.

  • Para configurar o limite de taxa para ICMPv4, use a icmp declaração:

    A partir do Junos OS Release 19.1R1, a taxa máxima aumentou de 50 pps para 1000 pps.

  • Para configurar o limite de taxa para ICMPv6, use a icmp6 declaração:

Você também deve considerar que o valor limite da taxa pode interagir com sua configuração de proteção contra DDoS. O valor padrão de largura de banda para pacotes excedidos que excedem o MTU é de 250 pps. A proteção contra DDoS sinaliza uma violação quando o número de pacotes excede esse valor. Se você definir o limite de taxa acima do valor de largura de banda atual mtu-exceeded , então você deve configurar o valor de largura de banda para corresponder ao limite de taxa.

Por exemplo, suponha que você defina o limite de taxa de ICMP para 300 pps:

Você deve configurar a proteção mtu-exceeded bandwidth contra DDoS para corresponder a esse valor.

Documentação relacionada