Vérification unicast de transfert de chemin inverse pour les VPN
Comprendre le RPF unicast (commutateurs)
Pour vous protéger contre l’usurpation IP et certains types d’attaques par déni de service (DoS) et par déni de service distribué (DDoS), le RPF (Reverse-Path-Forwarding) unicast vérifie que les paquets arrivent d’un chemin légitime. Pour ce faire, il vérifie l’adresse source de chaque paquet qui arrive sur une interface d’entrée non fiable et, en la comparant à l’entrée de la table de transfert pour son adresse source. Si le paquet provient d’un chemin valide, c’est-à-dire d’un chemin que l’expéditeur utiliserait pour atteindre la destination, l’équipement transfère le paquet à l’adresse de destination. S’il ne s’agit pas d’un chemin valide, l’équipement rejette le paquet. À moins d’être protégé, l’usurpage IP peut être un moyen efficace pour les intrus de transmettre des paquets IP à une destination en tant que trafic authentique, alors qu’en fait, les paquets ne sont pas réellement destinés à la destination.
Le RPF unicast est pris en charge pour les familles de protocoles IPv4 et IPv6, ainsi que pour la famille d’adresses de réseau privé virtuel (VPN). Le RPF unicast n’est pas pris en charge sur les interfaces configurées en tant que sources de tunnel. Cela n’affecte que les paquets de transit sortant du tunnel.
Il existe deux modes RPF unicast, le mode strict et le mode lâche. Le mode strict par défaut, c’est-à-dire que le commutateur transfère un paquet uniquement si l’interface de réception est le meilleur chemin de retour vers l’adresse source unicast du paquet. Le mode strict est particulièrement utile sur les interfaces non fiables (où des utilisateurs ou des processus non fiables peuvent placer des paquets sur le segment réseau), ainsi que pour les interfaces à routage symétrique (voir Quand activer le RPF unicast).) Pour plus d’informations sur le RPF unicast strict, voir RFC 3704, Filtrage entrant pour les réseaux multihomed à http://www.ietf.org/rfc/rfc3704.txt.
Pour activer le RPF unicast en mode strict sur une interface client-périphérie sélectionnée :
[modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check
L’autre mode est le mode lâche, ce qui signifie que le système vérifie si le paquet a une adresse source avec un préfixe correspondant dans la table de routage, mais il ne vérifie pas si l’interface de réception est le meilleur chemin de retour vers l’adresse source unicast du paquet.
Pour activer le mode RPF unicast, saisissez :
[modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check mode loose
- Présentation du RPF unicast pour commutateurs
- Implémentation RPF unicast
- Quand activer le RPF unicast
- Quand ne pas activer le RPF unicast
- Limites de l’implémentation unicast RPF sur les commutateurs EX3200, EX4200 et EX4300
Présentation du RPF unicast pour commutateurs
Le RPF unicast fonctionne comme un filtre entrant qui réduit le transfert des paquets IP susceptibles d’usurper une adresse. Par défaut, le RPF unicast est désactivé sur les interfaces du commutateur. Le commutateur prend uniquement en charge la méthode de chemins actifs pour déterminer le meilleur chemin de retour vers une adresse source unicast. La méthode des chemins actifs recherche la meilleure entrée de chemin inverse dans la table de transfert. Il ne prend pas en compte les autres routes spécifiées à l’aide de méthodes spécifiques au protocole de routage pour déterminer le meilleur chemin de retour.
Si la table de transfert répertorie l’interface de réception comme interface à utiliser pour renvoyer le paquet vers sa source unicast, elle est la meilleure interface de retour.
Implémentation RPF unicast
- Filtrage de paquets RPF unicast
- Requêtes BOOTP (Bootstrap Protocol) et DHCP
- Gestion des routes par défaut
Filtrage de paquets RPF unicast
Lorsque vous activez le RPF unicast sur le commutateur, le commutateur gère le trafic de la manière suivante :
Si le commutateur reçoit un paquet sur l’interface qui est le meilleur chemin de retour vers l’adresse source unicast de ce paquet, le commutateur transfère le paquet.
Si le meilleur chemin de retour entre le commutateur et l’adresse source unicast du paquet n’est pas l’interface de réception, le commutateur rejette le paquet.
Si le commutateur reçoit un paquet dont l’adresse IP source n’a pas d’entrée de routage dans la table de transfert, le commutateur écarte le paquet.
Requêtes BOOTP (Bootstrap Protocol) et DHCP
Les paquets de requête DHCP et BOOTP (Bootstrap Protocol) sont envoyés avec une adresse MAC de diffusion. Le commutateur n’effectue donc pas de vérifications RPF unicast. Le commutateur transfère tous les paquets BOOTP et les paquets de requête DHCP sans effectuer de vérifications RPF unicast.
Gestion des routes par défaut
Si le meilleur chemin de retour vers la source est le routage par défaut (0.0.0.0
) et que le routage par défaut pointe vers reject
, le commutateur rejette les paquets. Si le routage par défaut pointe vers une interface réseau valide, le commutateur effectue une vérification RPF unicast normale sur les paquets.
Sur l’EX4300, le routage par défaut n’est pas utilisé lorsque le commutateur est configuré en mode RPF unicast strict.
Quand activer le RPF unicast
Activez le RPF unicast lorsque vous souhaitez vous assurer que le trafic arrivant sur une interface réseau provient d’une source qui se trouve sur un réseau que l’interface peut atteindre. Vous pouvez activer le RPF unicast sur des interfaces non fiables pour filtrer les paquets usurpés. Par exemple, une application courante pour le RPF unicast est d’aider à protéger un réseau d’entreprise contre les attaques DoS/DDoS provenant d’Internet.
Activez le RPF unicast uniquement sur les interfaces à routage symétrique, et au plus près de la source du trafic arrête le trafic usurpé avant qu’il ne puisse proliférer ou atteindre des interfaces qui n’ont pas de RPF unicast activé. Comme le RPF unicast est activé à l’échelle mondiale sur les commutateurs EX3200, EX4200 et EX4300, assurez-vous que toutes les interfaces sont routés symétriquement avant d’activer le RPF unicast sur ces commutateurs, comme illustré en figure 1. L’activation d’un RPF unicast sur des interfaces à routage asymétrique permet de filtrer les paquets provenant de sources légitimes. Une interface à routage symétrique utilise la même route dans les deux sens entre la source et la destination.
Le RPF unicast est activé dans le monde entier sur les commutateurs EX3200, EX4200 et EX4300. Avec ces équipements, assurez-vous que toutes les interfaces sont routés symétriquement avant d’activer le RPF unicast sur ces commutateurs. L’activation d’un RPF unicast sur des interfaces à routage asymétrique permet de filtrer les paquets provenant de sources légitimes.

Les interfaces de commutation suivantes sont les plus susceptibles d’être routés symétriquement et sont donc candidates pour un RPF unicast permettant :
La périphérie du fournisseur de services pour un client
La périphérie client vers un fournisseur de services
Un point d’accès unique hors du réseau (généralement sur le périmètre du réseau)
Un réseau de terminaux qui n’a qu’une seule liaison
Sur les commutateurs EX3200, EX4200 et EX4300, nous vous recommandons d’activer explicitement le RPF unicast sur toutes les interfaces ou une seule interface. Pour éviter toute confusion, ne l’activez pas uniquement sur certaines interfaces :
L’activation explicite du RPF unicast sur une seule interface facilite la désactivation à l’avenir, car vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle vous l’avez explicitement activé. Si vous activez explicitement le RPF unicast sur deux interfaces et que vous le désactivez sur une seule interface, le RPF unicast est toujours implicitement activé globalement sur le commutateur. L’inconvénient de cette approche est que le commutateur affiche l’indicateur indiquant que le RPF unicast est activé uniquement sur les interfaces sur lesquelles le RPF unicast est explicitement activé, de sorte que même si le RPF unicast est activé sur toutes les interfaces, ce statut n’est pas affiché.
En activant le RPF unicast explicitement sur toutes les interfaces, il est plus facile de savoir si le RPF unicast est activé sur le commutateur, car chaque interface affiche le statut correct. (Seules les interfaces sur lesquelles vous activez explicitement le RPF unicast affichent l’indicateur indiquant que le RPF unicast est activé.) L’inconvénient de cette approche est que si vous souhaitez désactiver le RPF unicast, vous devez le désactiver explicitement sur chaque interface. Si le RPF unicast est activé sur n’importe quelle interface, il est implicitement activé sur toutes les interfaces.
Quand ne pas activer le RPF unicast
En règle générale, vous n’activez pas le RPF unicast si :
Les interfaces de commutation sont multi-foyers.
Les interfaces de commutation sont des interfaces de confiance.
BGP porte des préfixes et certains de ces préfixes ne sont pas annoncés ou ne sont pas acceptés par le FAI en vertu de sa politique. (Dans ce cas, l’effet est le même que le filtrage d’une interface à l’aide d’une liste d’accès incomplète.)
Les interfaces de commutation sont au cœur du réseau. Les interfaces centrales sont généralement routés de manière asymétrique.
Une interface à routage asymétrique utilise différents chemins pour envoyer et recevoir des paquets entre la source et la destination, comme le montre la figure 2. Cela signifie que si une interface reçoit un paquet, cette interface ne correspond pas à l’entrée de la table de transfert en tant que meilleur chemin de retour vers la source. Si l’interface de réception n’est pas le meilleur chemin de retour vers la source d’un paquet, le RPF unicast fait rejeter le paquet même s’il provient d’une source valide.

N’activez pas le RPF unicast sur les commutateurs EX3200, EX4200 et EX4300 si des interfaces de commutation sont routés de manière asymétrique, car le RPF unicast est activé globalement sur toutes les interfaces de ces commutateurs. Toutes les interfaces de commutation doivent être routés symétriquement pour que vous puissiez activer le RPF unicast sans risque que le commutateur se débarrasse du trafic que vous souhaitez transférer.
Limites de l’implémentation unicast RPF sur les commutateurs EX3200, EX4200 et EX4300
Sur les commutateurs EX3200, EX4200 et EX4300, le commutateur implémente le RPF unicast à l’échelle mondiale. Vous ne pouvez pas activer le RPF unicast par interface. Le RPF unicast est globalement désactivé par défaut.
Lorsque vous activez le RPF unicast sur n’importe quelle interface, il est automatiquement activé sur toutes les interfaces de commutation, y compris les groupes d’agrégation de liaisons (LAG), les interfaces de routage et de pontage intégrés (IRB) et les interfaces VLAN routées (RRV).
Lorsque vous désactivez le RPF unicast sur l’interface (ou les interfaces) sur lesquelles vous avez activé le RPF unicast, il est automatiquement désactivé sur toutes les interfaces de commutateur.
Vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle il a été explicitement activé ou le RPF unicast reste activé sur toutes les interfaces de commutateur.
Les commutateurs QFX, OCX et EX3200 et EX4200 n’effectuent pas de filtrage RPF unicast sur le trafic ECMP (Equal-Cost Multipath). Le contrôle RPF unicast n’examine qu’un seul meilleur chemin de retour vers la source du paquet, mais le trafic ECMP utilise un bloc d’adresses comprenant plusieurs chemins. En utilisant le RPF unicast pour filtrer le trafic ECMP sur ces commutateurs, le commutateur peut rejeter les paquets que vous souhaitez transférer, car le filtre RPF unicast n’examine pas l’ensemble du bloc d’adresses ECMP.
Voir aussi
Exemple : configuration d’un RPF unicast (sur un routeur)
Cet exemple montre comment protéger les interfaces entrantes contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) en configurant le RPF unicast sur une interface de périphérie client pour filtrer le trafic entrant.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire.
Aperçu
Dans cet exemple, l’équipement A utilise OSPF pour annoncer un préfixe pour la liaison qui se connecte à l’équipement D. L’équipement B a un RPF unicast configuré. OSPF est activé sur les liaisons entre l’équipement B et l’équipement C, ni sur les liaisons entre l’équipement A et l’équipement C, mais pas sur les liaisons entre l’équipement A et l’équipement B. Par conséquent, l’équipement B apprend le chemin vers l’équipement D via l’équipement C.
Si le filtrage entrant est utilisé dans un environnement où DHCP ou BOOTP est utilisé, il faut s’assurer que les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255 sont autorisés à atteindre l’agent relais dans les routeurs le cas échéant.
Cet exemple inclut également un filtre d’échec. Lorsqu’un paquet échoue au contrôle RPF unicast, le filtre d’échec est évalué pour déterminer si le paquet doit être accepté de toute façon. Le filtre d’échec de cet exemple permet aux interfaces de l’équipement B d’accepter les paquets DHCP (Dynamic Host Configuration Protocol). Le filtre accepte tous les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie.
Équipement A
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces fe-0/0/2 unit 5 family inet address 10.0.0.5/30 set interfaces fe-0/0/1 unit 17 family inet address 10.0.0.17/30 set interfaces fe-0/1/1 unit 25 family inet address 10.0.0.25/30 set interfaces fe-1/1/1 unit 29 family inet address 10.0.0.29/30 set protocols ospf export send-direct set protocols ospf area 0.0.0.0 interface fe-0/1/1.25 set protocols ospf area 0.0.0.0 interface fe-1/1/1.29 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct from route-filter 10.0.0.16/30 exact set policy-options policy-statement send-direct then accept
Équipement B
set interfaces fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/1/1 unit 6 family inet address 10.0.0.6/30 set interfaces fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/1 unit 9 family inet address 10.0.0.9/30 set interfaces fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/0 unit 13 family inet address 10.0.0.13/30 set protocols ospf area 0.0.0.0 interface fe-0/1/1.9 set protocols ospf area 0.0.0.0 interface fe-0/1/0.13 set routing-options forwarding-table unicast-reverse-path active-paths set firewall filter rpf-special-case-dhcp term allow-dhcp from source-address 0.0.0.0/32 set firewall filter rpf-special-case-dhcp term allow-dhcp from destination-address 255.255.255.255/32 set firewall filter rpf-special-case-dhcp term allow-dhcp then count rpf-dhcp-traffic set firewall filter rpf-special-case-dhcp term allow-dhcp then accept set firewall filter rpf-special-case-dhcp term default then log set firewall filter rpf-special-case-dhcp term default then reject
Équipement C
set interfaces fe-1/2/0 unit 10 family inet address 10.0.0.10/30 set interfaces fe-0/0/2 unit 14 family inet address 10.0.0.14/30 set interfaces fe-1/0/2 unit 21 family inet address 10.0.0.21/30 set interfaces fe-1/2/2 unit 26 family inet address 10.0.0.26/30 set interfaces fe-1/2/1 unit 30 family inet address 10.0.0.30/30 set protocols ospf area 0.0.0.0 interface fe-1/2/0.10 set protocols ospf area 0.0.0.0 interface fe-0/0/2.14 set protocols ospf area 0.0.0.0 interface fe-1/2/2.26 set protocols ospf area 0.0.0.0 interface fe-1/2/1.30
Équipement D
set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30
Équipement E
set interfaces fe-1/2/0 unit 22 family inet address 10.0.0.22/30
Configuration de l’équipement A
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.
Pour configurer l’équipement A :
Configurez les interfaces.
[edit interfaces] user@A# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30 user@A# set fe-0/0/2 unit 5 family inet address 10.0.0.5/30 user@A# set fe-0/0/1 unit 17 family inet address 10.0.0.17/30 user@A# set fe-0/1/1 unit 25 family inet address 10.0.0.25/30 user@A# set fe-1/1/1 unit 29 family inet address 10.0.0.29/30
Configurez OSPF.
[edit protocols ospf] user@A# set export send-direct user@A# set area 0.0.0.0 interface fe-0/1/1.25 user@A# set area 0.0.0.0 interface fe-1/1/1.29
Configurez la stratégie de routage.
[edit policy-options policy-statement send-direct] user@A# set from protocol direct user@A# set from route-filter 10.0.0.16/30 exact user@A# set then accept
Si vous avez fini de configurer l’équipement A, validez la configuration.
[edit] user@A# commit
Configuration de l’équipement B
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.
Pour configurer l’équipement B :
Configurez les interfaces.
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet address 10.0.0.2/30 user@B# set fe-1/1/1 unit 6 family inet address 10.0.0.6/30 user@B# set fe-0/1/1 unit 9 family inet address 10.0.0.9/30 user@B# set fe-0/1/0 unit 13 family inet address 10.0.0.13/30
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@B# set interface fe-0/1/1.9 user@B# set interface fe-0/1/0.13
Configurez le RPF unicast et appliquez le filtre d’échec optionnel.
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp
(Facultatif) Configurez le filtre d’échec qui est évalué si un paquet échoue au contrôle RPF.
[edit firewall filter rpf-special-case-dhcp] user@B# set term allow-dhcp from source-address 0.0.0.0/32 user@B# set term allow-dhcp from destination-address 255.255.255.255/32 user@B# set term allow-dhcp then count rpf-dhcp-traffic user@B# set term allow-dhcp then accept user@B# set term default then log user@B# set term default then reject
(Facultatif) Configurez uniquement les chemins actifs à prendre en compte dans la vérification RPF.
Il s’agit du comportement par défaut.
[edit routing-options forwarding-table] user@B# set unicast-reverse-path active-paths
Si vous avez fini de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Résultats
Confirmez votre configuration en publiant le show firewall
, show interfaces
, show protocols
, show routing-options
et show policy-options
les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Équipement A
user@A# show interfaces fe-1/2/0 { unit 1 { family inet { address 10.0.0.1/30; } } } fe-0/0/2 { unit 5 { family inet { address 10.0.0.5/30; } } } fe-0/0/1 { unit 17 { family inet { address 10.0.0.17/30; } } } fe-0/1/1 { unit 25 { family inet { address 10.0.0.25/30; } } } fe-1/1/1 { unit 29 { family inet { address 10.0.0.29/30; } } }
user@A# show protocols ospf { export send-direct; area 0.0.0.0 { interface fe-0/1/1.25; interface fe-1/1/1.29; } }
user@A# show policy-options policy-statement send-direct { from { protocol direct; route-filter 10.0.0.16/30 exact; } then accept; }
Équipement B
user@B# show firewall filter rpf-special-case-dhcp { term allow-dhcp { from { source-address { 0.0.0.0/32; } destination-address { 255.255.255.255/32; } } then { count rpf-dhcp-traffic; accept; } } term default { then { log; reject; } } } user@B# show interfaces fe-1/2/0 { unit 2 { family inet { rpf-check fail-filter rpf-special-case-dhcp; address 10.0.0.2/30; } } } fe-1/1/1 { unit 6 { family inet { rpf-check fail-filter rpf-special-case-dhcp; address 10.0.0.6/30; } } } fe-0/1/1 { unit 9 { family inet { rpf-check fail-filter rpf-special-case-dhcp; address 10.0.0.9/30; } } } fe-0/1/0 { unit 13 { family inet { rpf-check fail-filter rpf-special-case-dhcp; address 10.0.0.13/30; } } }
user@B# show protocols ospf { area 0.0.0.0 { interface fe-0/1/1.9; interface fe-0/1/0.13; } }
user@B# show routing-options forwarding-table { unicast-reverse-path active-paths; }
Saisissez les configurations de l’équipement C, de l’équipement D et de l’équipement E, comme illustré dans configuration rapide cli.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Confirmer que le RPF unicast est activé
- Vérifiez que les adresses source sont bloquées
- Confirmer que les adresses source sont débloquées
Confirmer que le RPF unicast est activé
But
Assurez-vous que les interfaces sur l’équipement B ont un RPF unicast activé.
Action
user@B> show interfaces fe-0/1/0.13 extensive Logical interface fe-0/1/0.13 (Index 73) (SNMP ifIndex 553) (Generation 208) Flags: SNMP-Traps 0x4000 Encapsulation: ENET2 Traffic statistics: Input bytes : 999390 Output bytes : 1230122 Input packets: 12563 Output packets: 12613 Local statistics: Input bytes : 998994 Output bytes : 1230122 Input packets: 12563 Output packets: 12613 Transit statistics: Input bytes : 396 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 289, Route table: 22 Flags: Sendbcast-pkt-to-re, uRPF RPF Failures: Packets: 0, Bytes: 0 Addresses, Flags: Is-Preferred Is-Primary Destination: 10.0.0.12/30, Local: 10.0.0.13, Broadcast: 10.0.0.15, Generation: 241
Sens
L’indicateur uRPF confirme que le RPF unicast est activé sur cette interface.
Vérifiez que les adresses source sont bloquées
But
Utilisez la ping
commande pour vous assurer que l’équipement B bloque le trafic provenant d’adresses sources inattendues.
Action
Depuis l’équipement A, ping aux interfaces de l’équipement B, en utilisant 10.0.0.17 comme adresse source.
user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.6 (10.0.0.6): 56 data bytes ^C --- 10.0.0.6 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss
Sens
Comme prévu, l’opération ping échoue.
Confirmer que les adresses source sont débloquées
But
Utilisez la ping
commande pour vous assurer que l’équipement B ne bloque pas le trafic lorsque la vérification RPF est désactivée.
Action
Désactiver la vérification RPF sur l’une des interfaces.
Réexécutez l’opération ping.
user@B> deactivate interfaces fe-1/1/1.6 family inet rpf-check user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=63 time=1.316 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=1.263 ms ^C --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.263/1.289/1.316/0.027 ms
Sens
Comme prévu, l’opération ping réussit.