Как Вы знаете, когда маршрутизатор дропает какой-либо IP-пакет, то одновременно с этим он генерирует сообщение ICMP unreachable. Наиболее частые причины генерации этого сообщения следующие:
— host/port unreachable – маршрутизатор не может отмаршрутизировать пакет
— административный запрет – пакет фильтруется списком доступа
— пакету требуется фрагментация, но в нем установлен DF-бит.
Есть два способа для управления генерацией таких ICMP unreachable сообщений:
— отключить их генерацию на интерфейсе командой no ip unreachables
— можно контролировать частоту генерации сообщений глобальной командой ip icmp rate-limit unreachable <RATE per ms>
— контролировать частоту сообщений “packet too big” (появляются в случае если пакету требуется фрагментация, а на нем установлен бит DF – критично для технологии PMTU) командой ip icmp rate-limit unreachable DF <RATE per ms>
Метки: icmp
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
» Оставить комментарий
Вы должны войти чтобы прокомментировать.