|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Dmitry V. Golov 2:5020/400 14 Sep 2007 16:28:13
To : Alexey Vissarionov
Subject : icmp unreachable при недоступности на Ethernet
--------------------------------------------------------------------------------
DK>> Лучше защитится чем-то в духе:
DK>> 6500(config)#mls rate-limit unicast ip icmp unreachable no-route 100
DK>> а то CPU (RP) может поплохеть при DoS на такую подсеть.
AV> Rate limit - можно, а вообще отключать - просто глупо.
Так а включить-то как??? :)
Просто ip unreachables похоже не охватывает случай с недоступнотью хоста в
локалке.
Сейчас работают только следующие случаи:
- роутер не знает куда дальше послать IP-пакет (например, протокол на
интерфейсе лежит, следовательно connected-маршрута нет в таблице
маршрутизации, а дефаулт-маршрута по какой-то причине тоже нет)
- роутер явно знает (статик роут), что он должен послать пакет в Null
- роутер неявно знает, что должен послать пакет в Null (например, есть ip
summary-address eigrp, а мореспецифик маршрута нет)
- роутер знает, куда послать пакет, но не может из-за аксесс-листа.
А вот случай с выключенным хостом в живой локалке ни под один из этих не
попадает.
--- ifmail v.2.15dev5.4
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
