Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fonctionnalités ICMP

Utilisez les fonctionnalités ICMP (Internet Control Message Protocol) pour diagnostiquer les problèmes réseau et vérifier l’accessibilité des équipements.

Messages de redirection de protocole

La redirection ICMP, également connue sous le nom de redirection de protocole, est un mécanisme utilisé par les commutateurs et les routeurs pour transmettre des informations de routage aux hôtes. Les équipements utilisent des messages de redirection de protocole pour notifier aux hôtes sur la même liaison de données le meilleur itinéraire disponible pour une destination donnée.

Comprendre les messages de redirection de protocole

Les messages de redirection de protocole informent un hôte de mettre à jour ses informations de routage et d’envoyer des paquets sur un autre chemin. Supposons qu’un hôte tente d’envoyer un paquet de données via un commutateur S1 et que S1 envoie le paquet de données à un autre commutateur, S2. Supposons également qu’un chemin direct de l’hôte vers S2 soit disponible (c’est-à-dire que l’hôte et le S2 sont sur le même segment Ethernet). S1 envoie ensuite un message de redirection de protocole pour informer l’hôte que la meilleure route pour la destination est la route directe vers S2. L’hôte doit alors envoyer les paquets directement au S2 au lieu de les envoyer via S1. S2 envoie toujours le paquet d’origine qu’il a reçu de S1 à la destination prévue.

Reportez-vous aux RFC-1122 et RFC-4861 pour plus de détails sur la redirection de protocole.

Note:
  • Les commutateurs n’envoient pas de messages de redirection de protocole si le paquet de données contient des informations de routage.

  • Tous les commutateurs EX Series prennent en charge l’envoi de messages de redirection de protocole pour le trafic IPv4 et IPv6.

Désactiver les messages de redirection de protocole

Par défaut, les équipements envoient des messages de redirection de protocole pour le trafic IPv4 et IPv6. Pour des raisons de sécurité, vous pouvez désactiver l’équipement de l’envoi de messages de redirection de protocole.

Pour désactiver les messages de redirection de protocole pour l’ensemble de l’équipement, incluez l’instruction no-redirects ou no-redirects-ipv6 au niveau de la [edit system] hiérarchie.

  • Pour le trafic IPv4 :

  • Pour le trafic IPv6 :

Pour ré-activer l’envoi de messages de redirection sur l’équipement, supprimez l’instruction no-redirects (pour le trafic IPv4) ou l’instruction (pour le no-redirects-ipv6 trafic IPv6) de la configuration.

Pour désactiver les messages de redirection de protocole par interface, incluez l’instruction no-redirects au niveau de la [edit interfaces interface-name unit logical-unit-number family family] hiérarchie.

  • Pour le trafic IPv4 :

  • Pour le trafic IPv6 :

Pings

Les pings utilisent ICMP. Un ping réussi est lorsqu’un équipement envoie une demande d’écho ICMP à une cible et que la cible répond par une réponse d’écho ICMP. Cependant, il peut y avoir des situations où vous ne souhaitez pas que votre équipement réponde aux demandes ping.

Désactiver la réponse du moteur de routage aux paquets Ping multicast

Par défaut, le moteur de routage répond aux demandes d’écho ICMP envoyées aux adresses de groupe multicast. En configurant le moteur de routage pour ignorer les paquets ping multicast, vous pouvez empêcher les personnes non autorisées de découvrir la liste des équipements de périphérie des fournisseurs (PE) sur le réseau.

Pour désactiver le moteur de routage de répondre à ces demandes d’écho ICMP, incluez l’instruction no-multicast-echo au niveau de la [edit system] hiérarchie :

Désactiver l’adresse IP de reporting et les horodatages dans les réponses Ping

Lorsque vous envoyez la ping commande avec l’option record-route , le moteur de routage affiche le chemin des paquets de demande d’écho ICMP et les horodatages dans les réponses d’écho ICMP par défaut. En configurant les no-ping-record-route options et no-ping-timestamp , vous pouvez empêcher les personnes non autorisées de découvrir des informations sur l’équipement de périphérie du fournisseur (PE) et son adresse de bouclage.

Vous pouvez configurer le moteur de routage pour désactiver le paramètre de l’option dans l’en-tête record-route IP des paquets de requête ping. La désactivation de l’option record-route empêche le moteur de routage d’enregistrer et d’afficher le chemin des paquets de demande d’écho ICMP dans la réponse.

Pour configurer le moteur de routage afin de désactiver le paramètre de l’option record route , incluez l’instruction no-ping-record-route au niveau de la [edit system] hiérarchie :

Pour désactiver le reporting des horodatages dans les réponses d’écho ICMP, incluez l’option no-ping-time-stamp au niveau de la [edit system] hiérarchie :

Messages de désaltérment source

Lorsqu’un équipement reçoit trop de datagrammes ou qu’il n’est pas souhaité, il peut envoyer un message de trempe source à l’équipement d’origine. Le message de quench source signale à l’équipement d’origine de réduire la quantité de trafic qu’il envoie.

Par défaut, l’équipement réagit aux messages de trempe source ICMP. Pour ignorer les messages de quench source ICMP, incluez l’énoncé no-source-quench au niveau de la [edit system internet-options] hiérarchie :

Pour éviter d’ignorer les messages de quench source ICMP, utilisez l’énoncé source-quench :

Expiration du délai de diffusion (TTL)

La valeur TTL (time-to-live) d’un en-tête de paquet détermine la durée de déplacement du paquet sur le réseau. La valeur TTL se décrémente avec chaque équipement (ou saut) que le paquet traverse. Lorsqu’un équipement reçoit un paquet avec une valeur TTL de 0, il le jette. Le message d’expiration TTL est envoyé à l’aide d’ICMP.

Vous pouvez configurer votre équipement pour qu’il utilise une adresse IPv4 comme adresse source pour les messages d’erreur DTTL (Time-to-live) ICMP. Cela signifie que vous pouvez configurer l’adresse de bouclage en tant qu’adresse source en réponse aux paquets d’erreur ICMP. Cela est utile lorsque vous ne pouvez pas utiliser l’adresse de l’équipement à des fins de traceroute car vous avez des adresses IPv4 dupliquées dans votre réseau.

L’adresse source doit être une adresse IPv4. Pour spécifier l’adresse source, utilisez l’option ttl-expired-source-address source-address au niveau de la [edit system icmp (System)] hiérarchie :

Cette configuration s’applique uniquement aux messages d’expiration ICMP TTL. D’autres messages de réponse d’erreur ICMP continuent d’utiliser l’adresse de l’interface entrante comme adresse source.

Débit limité trafic ICMP

Pour limiter la vitesse à laquelle les messages ICMPv4 ou ICMPv6 peuvent être générés par le moteur de routage et envoyés au moteur de routage, incluez l’instruction de limitation de débit appropriée au niveau de la [edit system internet-options] hiérarchie.

  • Pour IPv4 :

  • Pour IPv6 :

Messages d’erreur ICMP limites de débit

Par défaut, les messages d’erreur ICMP pour les paquets IPv4 et IPv6 non-TTL ayant expiré sont générés à un débit de 1 paquet par seconde (pps). Vous pouvez ajuster ce taux à une valeur qui, selon vous, fournit suffisamment d’informations pour votre réseau sans causer d’encombrement du réseau.

Note:

Pour les paquets IPv4 ou IPv6 ayant expiré de TTL, le débit des messages d’erreur ICMP n’est pas configurable. Il est fixé à 500 pps.

Pourquoi évaluer les messages d’erreur ICMPv4 et ICMPv6

Un centre de données fournissant des services Web est par exemple un cas d’utilisation pour ajuster la limite de débit. Supposons que ce centre de données dispose de nombreux serveurs sur le réseau qui utilisent des trames jumbo avec un MTU de 9100 octets lorsqu’ils communiquent avec des hôtes via Internet. Ces autres hôtes ont besoin d’une MTU de 1 500 octets. À moins que la taille maximale des segments (MSS) ne soit appliquée de part et d’autre de la connexion, un serveur peut répondre avec un paquet trop volumineux pour être transmis sur Internet sans être fragmenté lorsqu’il atteint le routeur de périphérie du centre de données.

Étant donné que les implémentations TCP/IP ont souvent path MTU Discovery activée par défaut avec le dont-fragment bit défini sur 1, un équipement de transit abandonne un paquet trop important plutôt que de le fragmenter. L’équipement renvoie un message d’erreur ICMP indiquant que la destination était inaccessible parce que le paquet était trop important. Le message fournit également le MTU requis là où l’erreur s’est produite. L’hôte d’envoi doit ajuster le MSS d’envoi pour cette connexion et renvoyer les données dans des tailles de paquets plus petites pour éviter le problème de fragmentation.

À des vitesses d’interface centrales élevées, la limite de débit par défaut de 1 pps pour les messages d’erreur peut ne pas être suffisante pour notifier tous les hôtes lorsque de nombreux hôtes sur le réseau ont besoin de ce service. La conséquence est que les paquets sortants sont silencieusement abandonnés. Cette action peut déclencher des retransmissions ou des comportements de back-off supplémentaires, en fonction du volume de requêtes que le routeur de périphérie du centre de données traite sur chaque interface centrale.

Dans cette situation, vous pouvez augmenter la limite de débit pour permettre à un plus grand volume de paquets surdimensionné d’atteindre les hôtes d’envoi. (L’ajout d’interfaces centrales peut également aider à résoudre le problème.)

Comment évaluer les messages d’erreur ICMPv4 et ICMPv6

Bien que vous configurez la limite de débit au niveau de la [edit chassis] hiérarchie, il ne s’agit pas d’une limite à l’échelle du châssis. Au lieu de cela, la limite de débit s’applique par famille d’interfaces. Cela signifie, par exemple, que plusieurs interfaces physiques configurées avec family inet peuvent simultanément générer des messages d’erreur ICMP au rythme configuré.

Note:

Cette limite de débit n’est effective que pour le trafic qui dure 10 secondes ou plus. La limite de débit n’est pas appliquée au trafic avec une durée plus courte, par exemple 5 secondes ou 9 secondes.

  • Pour configurer la limite de débit pour ICMPv4, utilisez l’instruction icmp :

    À partir de la version 19.1R1 de Junos OS, le débit maximal est passé de 50 pps à 1 000 pps.

  • Pour configurer la limite de débit pour ICMPv6, utilisez l’instruction icmp6 :

Vous devez également tenir compte du fait que la valeur limite de débit peut interagir avec votre configuration de protection DDoS. La valeur de bande passante par défaut pour les paquets exceptionnés qui dépassent le MTU est de 250 pps. La protection DDoS signale une violation lorsque le nombre de paquets dépasse cette valeur. Si vous définissez la limite de débit supérieure à la valeur de bande passante actuelle mtu-exceeded , vous devez configurer la valeur de la bande passante pour qu’elle corresponde à la limite de débit.

Par exemple, supposons que vous définissez la limite de débit ICMP à 300 pps :

Vous devez configurer la protection mtu-exceeded bandwidth DDoS pour qu’elle corresponde à cette valeur.

Option d’extension ICMP pour les messages d’erreur sélectifs

Un équipement IP utilise le protocole ICMP pour diagnostiquer les problèmes de communication réseau, en particulier pour déterminer si un datagramme arrive à sa destination prévue en temps voulu. Si un datagramme n’arrive pas à la destination prévue, ICMP signale un message d’erreur approprié à l’équipement IP d’origine.

Lorsque des problèmes réseau empêchent la distribution de paquets IP, les équipements réseau utilisent ICMP pour générer des messages d’erreur à l’adresse IP source. ICMPv4 et ICMPv6 offrent une option d’extension pour les messages d’erreur sélectifs.

Avantages de l’extension ICMP

L’extension ICMP permet d’identifier l’interface et d’autres informations comme suit :

  • Les messages ICMPv4 et ICMPv6 ne pouvaient pas identifier l'interface d'un datagramme qui ne peut pas être traité sur une interface non numérotée.

  • Les messages ICMP sont créés en déterminant l’adresse source d’une interface entrante et en envoyant des paquets à l’équipement d’origine ; toutefois, l’équipement d’origine n’a aucun moyen de savoir d’où provient le message ICMP.

L’extension ICMP vous permet d’identifier l’équipement réseau répondant au message ICMP qui comprend les informations suivantes :

  • Un datagramme reçu via une interface IP.

  • Un datagramme est arrivé au composant sous-IP d’une interface IP.

  • Interface IP dans laquelle le datagramme serait transféré.

  • Adresse IP du saut suivant vers laquelle elle aurait été transféré.

Nous avons implémenté la RFC5837 pour nous permettre d’ajouter des champs supplémentaires à des messages ICMP (IPv4 et IPv6) pour les interfaces Ethernet agrégées numérotées et non numérotées :

  • Délai ICMPv4 dépassé
  • Destination ICMPv4 inaccessible
  • Dépassement du temps ICMPv6
  • Destination ICMPv6 inaccessible
Note:

L’extension ICMPv6 n’est prise en charge que pour les interfaces numérotées.

Comment activer l’extension ICMP

Pour activer l’extension ICMPv4 :

Pour désactiver l’extension ICMPv4, supprimez la configuration :

Pour activer l’extension ICMPv6 :

Pour désactiver l’extension ICMPv6, supprimez la configuration :