网络工程 - 如何在 SG300 上禁用 ICMP 类型 9（路由器通告） - 吾爱随笔录

如何在 SG300 上禁用 ICMP 类型 9（路由器通告）

网络工程 icmp 思科-SG300

2022-02-26 18:52:43

奇怪的是，我们的 cisco SG300 正在通过 IPv4（不是 IPv6）制作“路由器公告”/“移动 IP 广告”（ICMP 类型 9）。它们来自交换机的 IP/MAC，发往 224.0.0.1/0100.5e00.0001

root@ftp:~# tcpdump -ennvvs0 -i eth0 host 224.0.0.1
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:49:30.511878 34:62:88:74:35:7e > 01:00:5e:00:00:01, ethertype IPv4 (0x0800), length 60: (tos 0xe0, ttl 1, id 31447, offset 0, flags [none], proto ICMP (1), length 36)
    192.168.161.116 > 224.0.0.1: ICMP router advertisement lifetime 30:00 1: {192.168.161.116 0}, length 16
15:49:36.598195 dc:eb:94:75:69:1e > 01:00:5e:00:00:01, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 1, id 36901, offset 0, flags [none], proto ICMP (1), length 36)
    192.168.161.102 > 224.0.0.1: ICMP router advertisement lifetime 30:00 1: {192.168.161.102 0}, length 16
15:50:01.276335 88:f0:77:58:81:16 > 01:00:5e:00:00:01, ethertype IPv4 (0x0800), length 60: (tos 0xe0, ttl 1, id 43069, offset 0, flags [none], proto ICMP (1), length 36)
    192.168.161.101 > 224.0.0.1: ICMP router advertisement lifetime 30:00 1: {192.168.161.101 0}, length 16
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

大多数设备似乎都忽略了它们。但一些 HP 打印机看到它们并更改了其手动配置的默认网关以指向 RA 的发件人。

这些开关不提供任何注意路径。如何禁用这些公告？

配置：

sg10-1#sho run
config-file-header
sg10-1
v1.4.7.6 / R800_NIK_1_4_194_194
CLI v1.0
set system mode router 

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
vlan database
vlan 100,110,161-162,666
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
hostname sg10-1
logging host 192.168.161.3
no passwords complexity enable
username foobar password encrypted **** privilege 15
ip ssh server
snmp-server location HydroLab
snmp-server community **** ro view Default
clock timezone " " 0 minutes 0
clock source sntp
!
interface vlan 1
 shutdown
!
interface vlan 100
 name offship
!
interface vlan 110
 name Telepresence
!
interface vlan 161
 name SSSG
 ip address 192.168.161.101 255.255.255.0
!
interface vlan 162
 name ALVIN
!
interface vlan 666
 name unused
 shutdown
!
interface gigabitethernet1
 switchport mode access
 switchport access vlan 162
!
interface gigabitethernet2
 switchport mode access
 switchport access vlan 162
!
interface gigabitethernet3
 switchport mode access
 switchport access vlan 162
!
interface gigabitethernet4
 switchport mode access
 switchport access vlan 100
!
interface gigabitethernet5
 switchport mode access
 switchport access vlan 100
!
interface gigabitethernet6
 description HIVE8
 switchport trunk allowed vlan add 100,110,162
 switchport trunk native vlan 666
!
interface gigabitethernet7
 switchport mode access
 switchport access vlan 100
!
interface gigabitethernet10
 description Trunk_C2960x-1_1/0/27
 switchport trunk allowed vlan add 100,161-162
 switchport trunk native vlan 666
!
exit

2个回答

我遇到了同样的问题（不需要的 icmp 类型 9），导致我的网络上出现一些不对称的路由（受影响的设备是 ILO 和 PDU），从而使网关上的 RP 过滤捕获了数据包。

我无法停用交换机的此功能，所以我最终添加了一些过滤器（如 ericx），但在端口级别：

! Define the ACL to block the multicast packet
mac access-list extended BlockICMP9
deny any 01:00:5e:00:00:00 00:00:00:ff:ff:ff ace-priority 20
exit

! Block the packet at port level
interface TengigabitEthernet1/0/23
 service-acl output BlockICMP9 default-action permit-any

这条规则可能有点矫枉过正（不够精确），但由于我的网络上没有多播，所以它足够远，并且工作正常。

格雷格。

除了完全禁用交换机上的第 3 层之外，似乎没有禁用 IPv4 RA 的旋钮。

所以：set system mode switch会这样做。这会导致您的整个配置重置为出厂设置，并且显然会删除所有第 3 层功能。

我确实创建了一个多播过滤器：

...

bridge multicast filtering

...

!
interface vlan 161
 name SSSG
 ip address 192.168.161.116 255.255.255.0
 no ip address dhcp
 bridge multicast address 01:00:5e:00:00:01
 bridge multicast forbidden address 01:00:5e:00:00:01 add gi14
 bridge multicast forbidden forward-all add gi14
!

然而，虽然这个过滤器确实成功地阻止了其他 SG300 的 RA，但它仍然允许 RA 来自它自己。

通常我不认为RA应该是一个问题。这是我记得第一次在 IPv4 中看到它。除了发送者的 IP 地址和过期时间之外，数据包中没有任何信息。没有列出路线。

遗憾的是，同一网络上的 4 台手动配置的 HP 打印机在重新启动后使用了他们看到的第一个 RA，并使用其中的 IP 而不是硬编码的 IP 作为网关。打印机在重新启动后不到 10 分钟的时间内可以正常工作，然后基本消失。

其它你可能感兴趣的问题

上一篇以太网 CSMA/CD 中的最小帧大小下一篇为什么 L2TP 基于 PPP 而不是 PPPoE？