我正在研究Cisco IOS的“良好实践”文档,其中一个控件告诉我要在路由器中禁用ICMPredirect数据包。 听起来很合理。 所以我在Cisco Packet Tracker(一个漂亮的小networking模拟器程序)中进行testing。 在我的虚拟路由器的IOS CLI中,input以下内容: jcios01#config term Enter configuration commands, one per line. End with CNTL/Z. jcios01(config)#interface GigabitEthernet9/0 jcios01(config-if)#no ip mask-reply ^ % Invalid input detected at '^' marker. 我感到困惑。 这就是文件要做的事情。 启用“config term”,“interface”,然后是“no ip mask-reply”。 我忘了什么吗? 是的,我是思科新手。
在IPv4中,如果IP数据包中没有设置DF(不分段)标志,则路由器在到目的地的path上完成分段。 一旦数据包被分段,其分段可能采取不同的path(由于各种原因,如拓扑变化)到目的地。 如果在到达目的地的path上的一些链路上,一个路由器发现链路MTU小于帧大小,则该分组需要被分段或丢弃。 一个数据包的碎片可以被重新分割吗? 如果是的话,在由此创build的新的单个片段中,MF标志的值是多less?
我的生产服务器保存在美国东海岸,一些支持应用程序保存在欧洲的阿姆斯特丹。 在美国东海岸也有一个Nagios实例运行,它通过ssh进行一些端口检查和一些检查。 问题是几乎每天我都会观察使用mtr(traceroute和ping的组合)以及持续约1分钟的小问题。 我向阿姆斯特丹的服务提供商展示了这些mtr输出,但他否认有任何问题说ICMP(由mtr使用)不是一种可靠的方法来衡量丢弃,因为ICMP在路由器上的优先级最低。 所以路由器可以放弃ICMP,但是对于TCP来说,它们会很好。 我如何向服务提供商certificate他的服务确实存在问题,他需要解决这个问题? 什么是正确的工具和技术呢?
我在INPUT链上丢弃所有的ICMP type 8数据包,所以现在我看到日志条目,因为Fabric脚本尝试联系另一台服务器,如下所示: kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ] 但是,它们与我习惯的tcp / udp日志条目不同,特别是方括号中的部分。 这是不同的部分涉及到什么?
我的电脑正在向任意目的地发送ICMP数据包。 我不明白原因。 其中一个包的转储是: Internet Control Message Protocol Type: 3 (Destination unreachable) Code: 3 (Port unreachable) Checksum: 0x811b [correct] Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 0000 00.. = Differentiated Services Codepoint: Default (0x00) …. ..0. = ECN-Capable Transport (ECT): […]
我通常对(和来自)两个服务器运行正常运行时间/延迟testing,我们在不同的站点拥有这个服务器,直到最近我用google dns服务器作为控制组。 不过,我已经意识到在延长的时间内监视延迟是潜在的问题。 几乎所有的主要服务提供商都使用ANYCAST。 对于简短的testing,这并不重要,但是我需要运行一组testing至less一个星期来尝试捕获一个间歇性的问题,而在尝试testing延迟的情况下,Anycast优先级的改变将导致延迟值服务器相应地改变。 由于我向ISP提交了这些数据的图表,因此我需要避免/考虑尽可能多的variables。 只有一个testing服务器的数据高峰将只会导致头痛。 所以任何人都可以推荐服务器: 没有使用任播 由拥有良好的正常运行时间声誉的实体所拥有(所以他们不能认为问题在服务器端) 将响应ICMP请求 有一个可用的服务运行在TCP / UDP(最好是http或dns) 不会考虑每10分钟一个自动请求被滥用 可以从世界任何地方访问 对isp来说不是本地的(考虑这是一个敌对派对的调查) 提前致谢。 编辑:添加上面的#6和#7。 更多信息:我试图演示我们本地ISPnetworking的整个节点的networking问题。 他们正在积极地将问题归咎于客户现场安装的设备(我们的备用站点就是其中之一),并且拒绝将问题升级。 (尽pipe这些企业中有2家提供ISP提供的调制解调器,而且我们所有人都有完全不同的路由器/业务运行) 我已经非常熟悉需要testing一个isp控制的IP,但是他们正在主动丢弃所有针对网关IP地址的数据包,并且只传递网关之外的stream量。 因此,为了演示这个问题,我将数据包发送到同一节点的其他系统,离受影响节点一跳的系统以及完全在networking之外的系统。 不幸的是,我现在所有的系统都是由我自己直接pipe理的,或者是有偏见的人来帮助我。 我需要在跟踪/日志/图表中包含几个100%不受我自己或isp控制的系统,以使graphics具有稳定/无偏差的控制组。 这些要求是合法的,我只是试图确保所有可能导致数据无效的内容已经被覆盖。 总结:我需要能够将tcp / udp / icmp显示为3个独立的数据点,并且我需要能够显示本地节点内的连接,从本地节点到另一个附近节点,从这2个节点到互联网,并通过互联网对可validation的服务器和控制组,我无法控制任何。 同样,Google / opendns / yahoo / msn / facebook / etc都使用anycast,每次选播caching过期时都会抛出数字,所以我需要一个可用于此类testing的IP或服务器的build议。 我希望有人知道由ISC或ICANN等人运行的系统,或者甚至可能是一个.gov服务器(fcc或nsa也许?)安装这种types的testing。 再次感谢。
有没有可能通过TCP使用MTR? 如果不是有另一种select? 我做了一些研究,而且我没有find办法做这样的事情,所以我想知道有没有人有这样的经验。 如果真的没有这样的事情,从networking的angular度来看,对MySQL服务器的非常快速的ICMP请求进行扩展testing的最好方法是什么,所以我们可以通过networking解决一个非常快速的丢包问题。
我正在使用ping命令来了解远程机器是否打开。 但问题是,如果防火墙处于打开状态,并且假定远程计算机已closures,ping命令(ICMP Packect)在远程计算机上将不被接受,因为ping状态返回false。 有没有其他的方法来知道远程机器是否打开防火墙。
通过检查ICMP time-exceeded数据包的有效负载,我注意到有时它是最后一个路由器(当返回的数据包中ttl=2时),或者甚至是前一个(最多5跳之前, ttl=5 )数据包并生成一个ICMP消息。 怎么会这样? 这背后有什么理由? 你如何在CISCO路由器中设置? 编辑: 请注意, 所有这些数据包都是ICMPtypes11代码0,这意味着: type = time-exceeded,code = ttl-zero-transit-transit 编辑2:这是这样的ICMP数据包的两个例子。 ###[ IP ]### version = 4L ihl = 5L tos = 0x0 len = 168 id = 9969 flags = frag = 0L ttl = 243 proto = icmp chksum = 0x19ea src = 193.51.189.25 dst = 134.59.129.241 \options […]
我正在通过与我的虚拟主机提供商的连接来解决MTU问题。 问题是我在MTU大小设置为1492的ppoe后面,防止我使用“scp”。 一旦将MTU从1492改为1500,scp可以正常工作,但是大多数其他连接不能。 networking托pipe服务提供商和互联网提供商都不确认ICMPstream量的阻塞。 有什么办法来检查谁(在路上的IP)阻止ICMP? 谢谢