千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

Cisco Nexus 之“ip redirect”

发表于:2025-01-20 作者:千家信息网编辑
千家信息网最后更新 2025年01月20日,ICMP Redirect引起的网络丢包场景当网络设备发下发送给自己的数据包,下一跳地址和发送源地址在同一个子网时,就会回复一个icmp redirect报文,用于向发送源设备指出存在一个更加优化的路
千家信息网最后更新 2025年01月20日Cisco Nexus 之“ip redirect”

ICMP Redirect引起的网络丢包

场景

当网络设备发下发送给自己的数据包,下一跳地址和发送源地址在同一个子网时,就会回复一个icmp redirect报文,用于向发送源设备指出存在一个更加优化的路由。当源设备接收到这个icmp redirect报文后,后续数据包就会直接发送给新的下一跳。

引起原因

这一般都是由于策略路由(PBR)或者不优化的路由(错误的静态)引起的。

  +---+  |   +----------+ ---+  +---+          |    |10.1.1.2/24      |    |                 |    |          +---+                 |LAN +----------+   |                 |    |          +---+                 |    |        10.1.1.1/24  +---+          |    |  |   +----------+----+  +---+10.1.1.3/24

如图所示,假设10.1.1.2去往10.1.1.3的的数据包被策略路由强行发网10.1.1.1,10.1.1.1会发现下一跳和自己在同一个网段,接下来将会向10.1.1.2回复一个ICMP Redirect。

                    +---+                    |   +----------+ ---+                    +---+          |    |                  10.1.1.2/24      |    |                                   |    |          +---+                                   |LAN +----------+   |                                   |    |          +---+                                   |    |        10.1.1.1/24                    +---+          |    |192.168.1.0/24<-----+   +----------+----+                    +---+                  10.1.1.3/24

如上图,还有一种路由不优化的情况,假设路由设置如下:
10.1.1.2
ip route 192.168.1.0/24 10.1.1.1
10.1.1.1
ip route 192.168.1.0/24 10.1.1.3
10.1.1.3
ip route 192.168.1.0/24 x.x.x.x

这种情况下,10.1.1.1同样也会向10.1.1.2回复ICMP Redirect。

危害

由于需要网络设备回复ICMP Redirect报文,数据包需要发送给CPU进行处理,这将增加CPU额外的负担。
为了避免这种情况(或***),Nexus在硬件层面对需要ICMP Redirect报文进行限速。
目前, IP redirects通过Layer 3 Time-to-Live (TTL) 速率限制。默认是500个包每秒。如果超过这个值,将带来丢包

N7K# show hardware rate-limiter Units for Config: packets per secondAllowed, Dropped & Total: aggregated since last clear countersrl-1: STP and Fabricpath-ISISrl-2: L3-ISIS and OTV-ISISrl-3: UDLD, LACP, CDP and LLDPrl-4: Q-in-Q and ARP requestrl-5: IGMP, NTP, DHCP-Snoop, Port-Security, Mgmt and Copy trafficModule: 1Rate-limiter PG Multiplier: 1.00  R-L Class           Config           Allowed         Dropped            Total +------------------+--------+---------------+---------------+-----------------+  L3 mtu                   500               0               0                 0  L3 ttl                   500               0               0                 0  L3 control             10000               0               0                 0

解决方案及建议

1、关闭ICMP Redirect

int vlan xx no ip redirect

2、调整Hardware Rade-limite值

Example:N7K(config)# hardware rate-limiter layer-3 ttl 1000

本文参考文档
Cisco Nexus 7000 Series NX-OS Security Configuration Guide


很赞哦!
路由 报文 数据 设备 情况 网络 地址 策略 网络设备 接下来 上图 包被 原因 发网 建议 文档 方案 硬件 网段 解决方案 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 梦幻西游服务器火区排名 数据库开发与应用技术就业 teradata数据库运行系统 金蝶旗舰版数据库 管理信息系统网络安全 在vs中插入数据到数据库 数据库把查询的结果作为新表 18年网络安全宣传周口号 网络安全工程师证书三级 网络技术专业山东专科排名 河北省马全通网络技术有限公司 村民数据库是什么意思 数据库怎么检查触发器是否运行 软件开发新建二次开发 软件开发设施需求包括哪些 软件开发的目标怎么描述 服务器不可用请联系管理员 本地mdb数据库自动退出窗体 网络技术对乐器市场营销的影响 北京新锐伟业网络技术 绍兴通信网络技术电话 宁夏果蔬配送软件开发 与软件开发方面的专业有哪些 软件开发公司女生 天津免备案服务器系统虚拟主机 扬州互联网软件开发价钱 sql数据库还原错误3421 服务器与交换机用什么网线 江苏进口刀片服务器生产厂家 华为手机浏览器网络安全证书

相关文章

0