Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Recursos do ICMP

Use recursos do Protocolo de Mensagem de Controle de Internet (ICMP) para diagnosticar problemas de rede e verificar a alcance do dispositivo.

Mensagens de redirecionamento de protocolo

O redirecionamento do ICMP, também conhecido como redirecionamento de protocolo, é um mecanismo usado por switches e roteadores para transmitir informações de roteamento aos hosts. Os dispositivos usam mensagens de redirecionamento de protocolo para notificar os hosts no mesmo link de dados da melhor rota disponível para um determinado destino.

Entender mensagens de redirecionamento de protocolo

Mensagens de redirecionamento de protocolo informam um host para atualizar suas informações de roteamento e enviar pacotes em uma rota alternativa. Suponha que um host tente enviar um pacote de dados por meio de um switch S1 e S1 envie o pacote de dados para outro switch, s2. Além disso, suponha que um caminho direto do host ao S2 esteja disponível (ou seja, o host e o S2 estão no mesmo segmento de Ethernet). Em seguida, a S1 envia uma mensagem de redirecionamento de protocolo para informar ao host que a melhor rota para o destino é a rota direta para s2. Em seguida, o host deve enviar pacotes diretamente para s2 em vez de enviá-los através do S1. O S2 ainda envia o pacote original que recebeu do S1 para o destino pretendido.

Consulte o RFC-1122 e o RFC-4861 para obter mais detalhes sobre o redirecionamento do protocolo.

Nota:
  • Os switches não enviam mensagens de redirecionamento de protocolo se o pacote de dados contém informações de roteamento.

  • Todos os switches da série EX oferecem suporte ao envio de mensagens de redirecionamento de protocolo para tráfego IPv4 e IPv6.

Desativar mensagens de redirecionamento de protocolo

Por padrão, os dispositivos enviam mensagens de redirecionamento de protocolo para tráfego IPv4 e IPv6. Por motivos de segurança, você pode querer desativar o dispositivo do envio de mensagens de redirecionamento de protocolo.

Para desativar mensagens de redirecionamento de protocolo para todo o dispositivo, inclua a no-redirects ou no-redirects-ipv6 declaração no nível de [edit system] hierarquia.

  • Para tráfego IPv4:

  • Para tráfego IPv6:

Para re habilitar o envio de mensagens de redirecionamento no dispositivo, exclua a no-redirects declaração (para tráfego IPv4) ou a no-redirects-ipv6 declaração (para tráfego IPv6) da configuração.

Para desativar mensagens de redirecionamento de protocolo por interface, inclua a no-redirects declaração no nível da [edit interfaces interface-name unit logical-unit-number family family] hierarquia.

  • Para tráfego IPv4:

  • Para tráfego IPv6:

Pings

Pings usam ICMP. Um ping bem-sucedido é quando um dispositivo envia uma solicitação de eco de ICMP para um alvo e o alvo responde com uma resposta de eco ICMP. No entanto, pode haver situações em que você não deseja que seu dispositivo responda às solicitações de ping.

Desativar a resposta do mecanismo de roteamento a pacotes de ping multicast

Por padrão, o Mecanismo de Roteamento responde às solicitações de eco do ICMP enviadas a endereços de grupos multicast. Ao configurar o mecanismo de roteamento para ignorar pacotes de ping multicast, você pode impedir que pessoas não autorizadas descubram a lista de dispositivos de borda (PE) do provedor na rede.

Para desativar o mecanismo de roteamento de responder a essas solicitações de eco ICMP, inclua a no-multicast-echo declaração no nível de [edit system] hierarquia:

Desativar o endereço IP de relatórios e os tempos em respostas de ping

Quando você emite o ping comando com a opçãorecord-route, o Mecanismo de Roteamento exibe o caminho dos pacotes de solicitação de eco ICMP e os tempostamps nas respostas de eco do ICMP por padrão. Ao configurar as opções e no-ping-timestamp as no-ping-record-route opções, você pode impedir que pessoas não autorizadas descubram informações sobre o dispositivo de borda (PE) do provedor e seu endereço de loopback.

Você pode configurar o mecanismo de roteamento para desabilitar a configuração da opção record-route no cabeçalho IP dos pacotes de solicitação de ping. Desativar a opção record-route impede o mecanismo de roteamento de gravar e exibir o caminho dos pacotes de solicitação de eco ICMP na resposta.

Para configurar o mecanismo de roteamento para desabilitar a configuração da opção record route , inclua a no-ping-record-route declaração no nível de [edit system] hierarquia:

Para desativar o relatório de tempostamps nas respostas de eco do ICMP, inclua a opção no-ping-time-stamp no nível de [edit system] hierarquia:

Mensagens de quench de origem

Quando um dispositivo está recebendo muitos ou indesejável datagrams, ele pode enviar uma mensagem de saciegem de origem para o dispositivo de origem. A mensagem de saída de origem sinaliza o dispositivo de origem para reduzir a quantidade de tráfego que está enviando.

Por padrão, o dispositivo reage às mensagens de origem do ICMP. Para ignorar as mensagens de origem do ICMP, inclua a no-source-quench declaração no nível de [edit system internet-options] hierarquia:

Para parar de ignorar as mensagens de origem do ICMP, use a source-quench declaração:

Expiração do tempo de vida (TTL)

O valor de tempo de vida (TTL) em um cabeçalho de pacote determina quanto tempo o pacote permanece viajando pela rede. Os decrementos de valor de TTL com cada dispositivo (ou hop) pelo pacote passam. Quando um dispositivo recebe um pacote com um valor de TTL de 0, ele descarta o pacote. A mensagem de expiração de TTL é enviada usando ICMP.

Você pode configurar seu dispositivo para usar um endereço IPv4 como endereço de origem para mensagens de erro de expiração do ICMP time-to-live (TTL). Isso significa que você pode configurar o endereço de loopback como o endereço de origem em resposta a pacotes de erro do ICMP. Fazer isso é útil quando você não pode usar o endereço do dispositivo para fins de rastreamento porque você tem endereços IPv4 duplicados em sua rede.

O endereço de origem deve ser um endereço IPv4. Para especificar o endereço de origem, use a opção ttl-expired-source-address source-address no nível de [edit system icmp (System)] hierarquia:

Essa configuração só se aplica às mensagens expiradas do ICMP TTL. Outras mensagens de resposta a erros do ICMP continuam a usar o endereço da interface de entrada como endereço de origem.

Limite de taxa tráfego de ICMP

Para limitar a taxa em que as mensagens ICMPv4 ou ICMPv6 podem ser geradas pelo Mecanismo de Roteamento e enviadas ao Mecanismo de Roteamento, inclua a declaração de limitação de taxa apropriada no nível de [edit system internet-options] hierarquia.

  • Para IPv4:

  • Para IPv6:

Mensagens de erro do Rate Limit ICMP

Por padrão, as mensagens de erro de ICMP para pacotes IPv4 e IPv6 expirados não TTL expirados são geradas à taxa de 1 pacote por segundo (pps). Você pode ajustar essa taxa a um valor que você decide que fornece informações suficientes para sua rede sem causar congestionamento de rede.

Nota:

Para pacotes IPv4 ou IPv6 expirados por TTL, a taxa para mensagens de erro de ICMP não é configurável. Ele é fixo em 500 pps.

Por que classificar as mensagens de erro ICMPv4 e ICMPv6

Um exemplo de caso de uso para ajustar o limite de taxa é um data center que fornece serviços web. Suponha que esse data center tenha muitos servidores na rede que usam quadros jumbo com um MTU de 9100 bytes quando eles se comunicam com hosts pela Internet. Esses outros hosts exigem um MTU de 1500 bytes. A menos que o tamanho máximo do segmento (MSS) seja aplicado em ambos os lados da conexão, um servidor pode responder com um pacote que é muito grande para ser transmitido pela Internet sem ser fragmentado quando chega ao roteador de borda no data center.

Como as implementações de TCP/IP geralmente têm o Path MTU Discovery habilitado por padrão com o dont-fragment bit definido para 1, um dispositivo de trânsito soltará um pacote que é muito grande em vez de fragmentá-lo. O dispositivo devolverá uma mensagem de erro do ICMP indicando que o destino era inalcançável porque o pacote era muito grande. A mensagem também fornecerá o MTU necessário onde ocorreu o erro. O host de envio deve ajustar o envio de MSS para essa conexão e reencaminhar os dados em tamanhos menores de pacotes para evitar o problema da fragmentação.

Em velocidades de interface de núcleo alto, o limite de taxa padrão de 1 pps para as mensagens de erro pode não ser suficiente para notificar todos os hosts quando há muitos hosts na rede que exigem esse serviço. A consequência é que os pacotes de saída são silenciosamente descartados. Essa ação pode desencadear retransmissões adicionais ou comportamentos de back-off, dependendo do volume de solicitações que o roteador de borda do data center está lidando em cada interface voltada para o núcleo.

Nessa situação, você pode aumentar o limite de taxa para permitir que um volume maior de pacotes superdimensionados chegue aos hosts de envio. (Adicionar mais interfaces voltadas para o núcleo também pode ajudar a resolver o problema.)

Como classificar as mensagens de erro ICMPv4 e ICMPv6

Embora você configure o limite de taxa no nível de [edit chassis] hierarquia, ele não é um limite em todo o chassi. Em vez disso, o limite de taxa se aplica por família de interface. Isso significa, por exemplo, que várias interfaces físicas configuradas podem family inet gerar simultaneamente as mensagens de erro do ICMP na taxa configurada.

Nota:

Esse limite de taxa entra em vigor apenas para tráfego que dura 10 segundos ou mais. O limite de taxa não é aplicado ao tráfego com uma duração menor, como 5 segundos ou 9 segundos.

  • Para configurar o limite de taxa para ICMPv4, use a icmp declaração:

    A partir do Junos OS Release 19.1R1, a taxa máxima aumentou de 50 pps para 1000 pps.

  • Para configurar o limite de taxa para ICMPv6, use a icmp6 declaração:

Você também deve considerar que o valor limite da taxa pode interagir com sua configuração de proteção contra DDoS. O valor padrão de largura de banda para pacotes excedidos que excedem o MTU é de 250 pps. A proteção contra DDoS sinaliza uma violação quando o número de pacotes excede esse valor. Se você definir o limite de taxa acima do valor de largura de banda atual mtu-exceeded , então você deve configurar o valor da largura de banda para combinar com o limite de taxa.

Por exemplo, suponha que você defina o limite de taxa de ICMP para 300 pps:

Você deve configurar a proteção mtu-exceeded bandwidth DDoS para combinar com esse valor.

Opção de extensão do ICMP para mensagens de erro seletivas

Um dispositivo IP usa o protocolo ICMP para diagnosticar problemas de comunicação de rede, especialmente para determinar se um datagram está chegando ao destino desejado em tempo hábil. Se um datagram não chegar ao destino desejado, o ICMP relatará uma mensagem de erro apropriada ao dispositivo IP de origem.

Quando problemas de rede impedem a entrega de pacotes IP, os dispositivos de rede usam o ICMP para gerar mensagens de erro no endereço IP de origem. O ICMPv4 e o ICMPv6 oferecem uma opção de extensão para mensagens de erro seletivas.

Benefícios da extensão do ICMP

A extensão do ICMP ajuda a identificar a interface e outras informações da seguinte forma:

  • As mensagens ICMPv4 e ICMPv6 não puderam identificar a interface de um datagram que não pode ser processado em uma interface sem números.

  • As mensagens de ICMP são criadas determinando o endereço de origem de uma interface de entrada e enviando pacotes para o dispositivo de originação; no entanto, o dispositivo de origem não tem como saber de onde a mensagem do ICMP se originou.

A extensão do ICMP permite identificar o dispositivo de rede respondendo à mensagem do ICMP que inclui as seguintes informações:

  • Um datagram recebido por meio de uma interface IP.

  • Um datagram chegou ao componente sub-IP de uma interface IP.

  • A interface IP na qual o datagram seria encaminhado.

  • Endereço IP de próximo salto ao qual teria sido encaminhado.

Implementamos o RFC5837 para nos permitir anexar campos adicionais para selecionar mensagens de ICMP (IPv4 e IPv6) para interfaces Ethernet agregadas numeradas e não numeradas:

  • Tempo de ICMPv4 ultrapassado
  • Destino ICMPv4 inalcançável
  • Tempo de ICMPv6 ultrapassado
  • Destino ICMPv6 inalcançável
Nota:

A extensão ICMPv6 só tem suporte para interfaces numeradas.

Como habilitar a extensão do ICMP

Para habilitar a extensão do ICMPv4:

Para desativar a extensão ICMPv4, exclua a configuração:

Para habilitar a extensão do ICMPv6:

Para desativar a extensão ICMPv6, exclua a configuração: