10. ICMP の設定
10.2 IPv6 の設定
10.2.5 ICMP Redirect 受信時の処理の設定
[ 書式 ] ipv6 icmp redirect receive action no ipv6 icmp redirect receive [action] [ 設定値 ] ○ action
● on...処理する
● off...無視する
[ 説明 ] ICMP Redirect を受けた場合に処理するか無視するかを設定する。
[ 初期値 ] off
10.2.6 ICMP Time Exceeded を送信するか否かの設定
[ 書式 ] ipv6 icmp time-exceeded send send no ipv6 icmp time-exceeded send [send] [ 設定値 ] ○ send
● on...送信する
● off...送信しない
[ 説明 ] ICMP Time Exceeded を出すか否かを設定する。
[ 初期値 ] on
10.2.7 ICMP Destination Unreachable を送信するか否かの設定
[ 書式 ] ipv6 icmp unreachable send send no ipv6 icmp unreachable send [send] [ 設定値 ] ○ send
● on...送信する
● off...送信しない
[ 説明 ] ICMP Destination Unreachable を出すか否かを設定する。
[ 初期値 ] on
10.2.8 受信した ICMP のログを記録するか否かの設定
[ 書式 ] ipv6 icmp log log no ipv6 icmp log[log] [ 設定値 ] ○ log
● on...記録する
● off...記録しない
[ 説明 ] 受信した ICMP を DEBUG タイプのログに記録するか否かを設定する。
[ 初期値 ] off
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
10.2.9 ICMP Packet-Too-Big を送信するか否かの設定
[ 書式 ] ipv6 icmp packet-too-big send send no ipv6 icmp packet-too-big send [send] [ 設定値 ] ○ send
● on... 送信する
● off... 送信しない
[ 説明 ] ICMP Packet-Too-Big を出すか否かを設定する。
[ 初期値 ] on
10.2.10 IPsec で復号したパケットに対して ICMP エラーを送るか否か
[ 書式 ] ipv6 icmp error-decrypted-ipsec send switch no ipv6 icmp error-decrypted-ipsec send [switch]
[ 設定値 ] ○ switch
● on... IPsec で復号したパケットに対して ICMP エラー を送る
● off... IPsec で復号したパケットに対して ICMP エラー を送らない [ 説明 ] IPsec で復号したパケットに対して ICMP エラーを送るか否か設定する。
[ ノート ] ICMP エラーには復号したパケットの先頭部分が含まれるため、ICMP エラーが送信元に返送される時にも IPsec で 処理されないようになってい ると、本来 IPsec で保護したい通信が保護されずにネットワークに流れて しまう可 能性がある。特に、フィルタ型ルーティングでプロトコルによって IPsec で処理するかどうか切替えている場合 には注意が必要となる。
ICMP エラーを送らないように設定すると、traceroute に対して反応がなくなるなどの現象になる。
[ 初期値 ] on
10.2.11 ステルス機能の設定
[ 書式 ] ipv6 stealth all
ipv6 stealth interface[interface...]
no ipv6 stealth[...]
[ 設定値 ] ○ all... すべての論理インタフェースからのパケットに対してステルス動作を行う
○ interface... 指定した論理インタフェースからのパケットに対してステルス動作を行う
[ 説明 ] このコマンドを設定すると、指定されたインタフェースから自分宛に来たパケットが原因で発生する ICMP および
TCP リセットを返さないようになる。
自分がサポートしていないプロトコルや IPv6 ヘッダ、あるいはオープンしていない TCP/UDP ポートに対して指 定されたインタフェースからパケットを受信した時に、通常であれば ICMP unreachable や TCP リセットを返送 する。しかし、このコマンドを設定しておくとそれを禁止することができ、ポートスキャナーなどによる攻撃を 受けた時にルータの存在を隠すことができる。
[ ノート ] 指定されたインタフェースからの PING にも答えなくなるので注意が必要である。
自分宛ではないパケットが原因で発生する ICMP はこのコマンドでは制御できない。それらを送信しないようにす るには、ipv6 icmp *コマンド群を用いる必要がある。
[ 初期値 ] ステルス動作を行わない
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
[ 適用モデル ] RTX3000 RTX1100 RT107e
10.2.12 サイズエラーで切り詰められたフレームに対して、ICMP エラー (Packet Too Big) を送信するか否かの設定
[ 書式 ] ipv6 icmp packet-too-big-for-truncated send send no ipv6 icmp packet-too-big-for-truncated send [send]
[ 設定値 ] ○ send
● on...送信する
● off...送信しない
[ 説明 ] LAN インタフェースで受信したが、そのインタフェースの MTU を越える長さだったために切り詰められたフレー
ムに対して ICMP Packet Too Bigを送信するか否かを設定する。
[ ノート ] ジャンボフレームを使用する LAN では、ホストやスイッチングハブによってジャンボフレームの最大値が異な
る。そのため、LAN 上に存在 するすべての機器のジャンボフレームサイズをそろえておかないと通信できなく なってしまう。
設定ミスにより、ルーターのフレームサイズより大きなフレームを送信するよう設定されたホストがあった時に、
ルーターは通常、自身のインタフェースの MTU を越える長さのフレームを受信した場合には単 にそれを破棄する が、このコマンドを onと設定しておくとそのようなフレームにも ICMPエラーを返すようになる。このことによ り経路 MTU 探索が有効に働き、ホストが早めにフレームサイズを小さく切り詰めることが期待できる。
[ 初期値 ] on
[ 適用モデル ] RTX3000 RTX1100 RT107e