Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Características de ICMP

Utilice las funciones del Protocolo de mensajes de control de Internet (ICMP) para diagnosticar problemas de red y comprobar la accesibilidad del dispositivo.

Mensajes de redirección de protocolo

El redireccionamiento ICMP, también conocido como redirección de protocolo, es un mecanismo utilizado por conmutadores y enrutadores para transmitir información de enrutamiento a hosts. Los dispositivos usan mensajes de redirección de protocolo para notificar a los hosts en el mismo vínculo de datos de la mejor ruta disponible para un destino determinado.

Descripción de los mensajes de redirección del protocolo

Los mensajes de redirección de protocolo informan a un host que actualice su información de enrutamiento y que envíe paquetes en una ruta alternativa. Suponga que un host intenta enviar un paquete de datos a través de un conmutador S1 y S1 envía el paquete de datos a otro conmutador, S2. Además, suponga que hay disponible una ruta directa desde el host a S2 (es decir, el host y S2 están en el mismo segmento de Ethernet). Luego, S1 envía un mensaje de redirección de protocolo para informar al host que la mejor ruta para el destino es la ruta directa a S2. Luego, el host debe enviar paquetes directamente a S2 en lugar de enviarlos a través de S1. S2 sigue enviando el paquete original que recibió de S1 al destino previsto.

Consulte RFC-1122 y RFC-4861 para obtener más detalles sobre la redirección de protocolos.

Nota:

  • Los conmutadores no envían mensajes de redirección de protocolo si el paquete de datos contiene información de enrutamiento.

  • Todos los conmutadores de la serie EX admiten el envío de mensajes de redirección de protocolo para el tráfico IPv4 e IPv6.

Deshabilitar mensajes de redirección de protocolo

De forma predeterminada, los dispositivos envían mensajes de redirección de protocolo para el tráfico IPv4 e IPv6. Por razones de seguridad, es posible que desee deshabilitar el dispositivo para que no envíe mensajes de redirección de protocolo.

Para deshabilitar los mensajes de redirección de protocolo para todo el dispositivo, incluya la no-redirects instrucción o no-redirects-ipv6 en el [edit system] nivel jerárquico.

  • Para tráfico IPv4:

  • Para tráfico IPv6:

Para volver a habilitar el envío de mensajes de redirección en el dispositivo, elimine la no-redirects instrucción (para el tráfico IPv4) o la instrucción (para el no-redirects-ipv6 tráfico IPv6) de la configuración.

Para deshabilitar los mensajes de redirección de protocolo por interfaz, incluya la no-redirects instrucción en el [edit interfaces interface-name unit logical-unit-number family family] nivel jerárquico.

  • Para tráfico IPv4:

  • Para tráfico IPv6:

Pings

Los pings usan ICMP. Un ping correcto se produce cuando un dispositivo envía una solicitud de eco ICMP a un destino y el destino responde con una respuesta de eco ICMP. Sin embargo, es posible que haya situaciones en las que no desee que su dispositivo responda a solicitudes de ping.

Deshabilitar la respuesta del motor de enrutamiento a los paquetes de ping de multidifusión

De forma predeterminada, el motor de enrutamiento responde a las solicitudes de eco ICMP enviadas a las direcciones de grupo de multidifusión. Al configurar el motor de enrutamiento para ignorar los paquetes de ping de multidifusión, puede evitar que personas no autorizadas descubran la lista de dispositivos perimetrales de proveedor (PE) en la red.

Para deshabilitar que el motor de enrutamiento responda a estas solicitudes de eco ICMP, incluya la no-multicast-echo instrucción en el [edit system] nivel de jerarquía:

Desactive la dirección IP y las marcas de hora en las respuestas de ping

Cuando se ejecuta el ping comando con la record-route opción, el motor de enrutamiento muestra la ruta de los paquetes de solicitud de eco ICMP y las marcas de hora en las respuestas de eco ICMP de forma predeterminada. Al configurar las no-ping-record-route opciones y no-ping-timestamp , puede evitar que personas no autorizadas descubran información sobre el dispositivo de borde del proveedor (PE) y su dirección de circuito cerrado.

Puede configurar el motor de enrutamiento para deshabilitar la configuración de la record-route opción en el encabezado IP de los paquetes de solicitud de ping. La deshabilitación de la record-route opción impide que el motor de enrutamiento grabe y muestre la ruta de los paquetes de solicitud de eco ICMP en la respuesta.

Para configurar el motor de enrutamiento para deshabilitar la configuración de la record route opción, incluya la no-ping-record-route instrucción en el [edit system] nivel de jerarquía:

Para deshabilitar la notificación de marcas de hora en las respuestas de eco ICMP, incluya la no-ping-time-stamp opción en el [edit system] nivel jerárquico:

Mensajes de saciamiento de origen

Cuando un dispositivo recibe demasiados datagramas o no deseados, puede enviar un mensaje de saciamiento de origen al dispositivo de origen. El mensaje de detección de origen indica al dispositivo de origen que reduzca la cantidad de tráfico que envía.

De forma predeterminada, el dispositivo reacciona a los mensajes de respuesta de origen de ICMP. Para ignorar los mensajes de respuesta de origen ICMP, incluya la no-source-quench instrucción en el [edit system internet-options] nivel jerárquico:

Para dejar de ignorar los mensajes de respuesta de origen de ICMP, utilice la source-quench instrucción:

Vencimiento del tiempo de vida (TTL)

El valor de tiempo de vida (TTL) en un encabezado de paquete determina cuánto tiempo permanece el paquete circulando por la red. El valor TTL se decrementa con cada dispositivo (o salto) por el que viaja el paquete. Cuando un dispositivo recibe un paquete con un valor TTL de 0, descarta el paquete. El mensaje de vencimiento TTL se envía mediante ICMP.

Puede configurar el dispositivo para que use una dirección IPv4 como dirección de origen para los mensajes de error de tiempo de ejecución (TTL) de ICMP. Esto significa que puede configurar la dirección de circuito cerrado como la dirección de origen en respuesta a los paquetes de error ICMP. Hacer esto es útil cuando no puede usar la dirección del dispositivo con fines de traceroute porque tiene direcciones IPv4 duplicadas en su red.

La dirección de origen debe ser una dirección IPv4. Para especificar la dirección de origen, utilice la ttl-expired-source-address source-address opción en el [edit system icmp (System)] nivel de jerarquía:

Esta configuración solo se aplica a los mensajes de vencimiento TTL ICMP. Otros mensajes de respuesta de error icMP siguen usando la dirección de la interfaz de entrada como dirección de origen.

Límite de velocidad de tráfico ICMP

Para limitar la velocidad a la que el motor de enrutamiento puede generar mensajes ICMPv4 o ICMPv6 y enviarse al motor de enrutamiento, incluya la instrucción de limitación de velocidad adecuada en el [edit system internet-options] nivel de jerarquía.

  • Para IPv4:

  • Para IPv6:

Mensajes de error ICMP de límite de velocidad

De forma predeterminada, los mensajes de error de ICMP para paquetes IPv4 e IPv6 no vencidos se generan a una velocidad de 1 paquete por segundo (pps). Puede ajustar esta velocidad a un valor que decida que proporcione suficiente información para su red sin causar congestión de la red.

Nota:

Para paquetes IPv4 o IPv6 vencidos por TTL, la velocidad de los mensajes de error ICMP no es configurable. Se fija a 500 pps.

Por qué limitar la velocidad de los mensajes de error de ICMPv4 e ICMPv6

Un caso de uso de ejemplo para ajustar el límite de velocidad es un centro de datos que proporciona servicios web. Supongamos que este centro de datos tiene muchos servidores en la red que usan tramas jumbo con una MTU de 9100 bytes cuando se comunican con hosts a través de Internet. Estos otros hosts requieren una MTU de 1500 bytes. A menos que se aplique el tamaño máximo de segmento (MSS) en ambos lados de la conexión, un servidor podría responder con un paquete que es demasiado grande para transmitirse a través de Internet sin fragmentarse cuando llega al enrutador de borde en el centro de datos.

Dado que las implementaciones TCP/IP a menudo tienen la detección de MTU de ruta habilitada de forma predeterminada con el dont-fragment bit establecido en 1, un dispositivo de tránsito soltará un paquete que es demasiado grande en lugar de fragmentarlo. El dispositivo devolverá un mensaje de error ICMP que indica que el destino era inalcanzable porque el paquete era demasiado grande. El mensaje también proporcionará la MTU que se requiere en el caso de que se haya producido el error. El host de envío debe ajustar el MSS de envío para esa conexión y reenviar los datos en paquetes de tamaños más pequeños para evitar el problema de fragmentación.

A velocidades de interfaz de núcleo alto, el límite de velocidad predeterminado de 1 pps para los mensajes de error puede no ser suficiente para notificar a todos los hosts cuando hay muchos hosts en la red que requieren este servicio. La consecuencia es que los paquetes salientes se pierden silenciosamente. Esta acción puede desencadenar retransmisiones adicionales o comportamientos de retroceso, dependiendo del volumen de solicitudes que el enrutador de borde del centro de datos maneje en cada interfaz de núcleo.

En esta situación, puede aumentar el límite de velocidad para permitir que un mayor volumen de paquetes sobredimensionados llegue a los hosts de envío. (Agregar más interfaces de núcleo también puede ayudar a resolver el problema).)

Cómo limitar la velocidad de los mensajes de error de ICMPv4 y ICMPv6

Aunque configure el límite de velocidad en el [edit chassis] nivel de jerarquía, no es un límite para todo el chasis. En su lugar, se aplica el límite de velocidad por familia de interfaz. Esto significa, por ejemplo, que varias interfaces físicas configuradas con family inet pueden generar simultáneamente los mensajes de error ICMP a la velocidad configurada.

Nota:

Este límite de velocidad solo se aplica para el tráfico que dura 10 segundos o más. El límite de velocidad no se aplica al tráfico con una duración más corta, como 5 segundos o 9 segundos.

  • Para configurar el límite de velocidad para ICMPv4, utilice la icmp instrucción:

    A partir de Junos OS versión 19.1R1, la velocidad máxima aumentó de 50 pps a 1000 pps.

  • Para configurar el límite de velocidad para ICMPv6, utilice la icmp6 instrucción:

También debe tener en cuenta que el valor de límite de velocidad puede interactuar con la configuración de protección de DDoS. El valor de ancho de banda predeterminado para paquetes excepcionales que superen la MTU es de 250 pps. La protección DDoS marca una infracción cuando el número de paquetes supera ese valor. Si establece el límite de velocidad superior al valor de ancho de banda actual mtu-exceeded , debe configurar el valor de ancho de banda para que coincida con el límite de velocidad.

Por ejemplo, supongamos que establece el límite de velocidad de ICMP en 300 pps:

Debe configurar la protección mtu-exceeded bandwidth DDoS para que coincida con ese valor.

Opción de extensión ICMP para mensajes de error selectiva

Un dispositivo IP utiliza el protocolo ICMP para diagnosticar problemas de comunicación de red, particularmente para determinar si un datagrama está llegando a su destino previsto a tiempo. Si un datagrama no llega al destino deseado, ICMP informa un mensaje de error adecuado al dispositivo IP de origen.

Cuando problemas de red impiden la entrega de paquetes IP, los dispositivos de red usan ICMP para generar mensajes de error en la dirección IP de origen. ICMPv4 e ICMPv6 ofrecen una opción de extensión para mensajes de error selectivos.

Beneficios de la extensión ICMP

La extensión ICMP ayuda a identificar la interfaz y otra información de la siguiente manera:

  • Los mensajes ICMPv4 e ICMPv6 no pudieron identificar la interfaz de un datagrama que no se puede procesar en una interfaz no numerada.

  • Los mensajes ICMP se crean mediante la determinación de la dirección de origen de una interfaz entrante y el envío de paquetes al dispositivo de origen; sin embargo, el dispositivo de origen no tiene forma de saber dónde se originó el mensaje ICMP.

La extensión ICMP le permite identificar el dispositivo de red que responde al mensaje ICMP que incluye la siguiente información:

  • Un datagrama recibido a través de una interfaz IP.

  • Un datagrama llegó al componente sub-IP de una interfaz IP.

  • La interfaz IP en la que se reenvía el datagrama.

  • Dirección IP del siguiente salto a la que se habría reenviado.

Hemos implementado rfc5837 para permitirnos anexar campos adicionales para seleccionar mensajes ICMP (IPv4 e IPv6) para interfaces Ethernet agregadas numeradas y no numeradas:

  • Tiempo de ICMPv4 superado
  • Destino ICMPv4 inalcanzable
  • Tiempo de ICMPv6 superado
  • Destino ICMPv6 inalcanzable
Nota:

La extensión ICMPv6 solo se admite para interfaces numeradas.

Cómo habilitar la extensión ICMP

Para habilitar la extensión ICMPv4:

Para deshabilitar la extensión ICMPv4, elimine la configuración:

Para habilitar la extensión ICMPv6:

Para deshabilitar la extensión ICMPv6, elimine la configuración:

Documentación relacionada