https://kb.pocnet.net/index.php?action=history&feed=atom&title=ICMP-RedirectsICMP-Redirects - Versionsgeschichte2026-04-21T05:28:29ZVersionsgeschichte dieser Seite in KnowledgebaseMediaWiki 1.43.8https://kb.pocnet.net/index.php?title=ICMP-Redirects&diff=849&oldid=prevPoC: /* Fallstrick */ Zitat besser herausgearbeitet2010-11-21T00:57:31Z<p><span class="autocomment">Fallstrick: </span> Zitat besser herausgearbeitet</p>
<p><b>Neue Seite</b></p><div>'''ICMP-Redirects''' werden oft auf den Routerinterfaces ausgeschaltet. Manchmal sind sie trotzdem nützlich.<br />
<br />
== Grundlagen ==<br />
ICMP Redirects dienen dazu, Clients einen direkteren Weg zu einem Ziel (Server) zu zeigen.<br />
<br />
[[Datei:Redirect-example.jpg|center]]<br />
<br />
Im folgenden Beispiel greift der Client ''Cl'' auf den Server ''Svr'' zu, um eine Datei herunterzuladen, zum Beispiel per FTP. Die Anfrage gelangt also über Router ''R2'' auf den Server ''Svr''. Der wiederum schickt die Antwortpakete mit der Datei zu ''R1'', welcher anhand seiner Routingtabelle die Pakete aber an ''R2'' weiterleitet. ''R2'' weiß, daß die Pakete für das Interface auf seiner rechten Seite bestimmt sind und leitet sie dann an den Client ''Cl'' weiter.<br />
<br />
Warum ist das so? Nun, der Server hat nur sein Defaultgateway konfiguriert, er kennt ausschließlich diesen Weg, zu Maschinen außerhalb seines eigenen Netzwerksegmentes. Der ganze Traffic zum Client geht also über diesen Router. Angenommen, ''R1'' ist 'n kleiner 830er oder 1700er Router, die intern nur 10MBit Routen können, während ''R2'' ein dicker 3600er ist, der auch 100MBit routen kann. Der Benutzer an ''Cl'' wundert sich, warum er bei Downloads vom Server nur 10MBit kriegt, während der Netzwerkadministrator sich wundert, warum er auf ''R1'' Traffic sieht, der auf dem gleichen Wege wie er reinkommt, auch wieder rausgeht.<br />
<br />
== ICMP Redirects ==<br />
Router ''R1'' erkennt nun, daß der Server ''Svr'' zu doof ist, den Traffic direkt zu ''R2'' zu senden, obwohl er das eigentlich könnte, weil ''Svr'' als auch die beiden Router im selben Netzwerksegment stehen. Daher generiert ''R1'' ein ICMP-Redirect-Paket mit dem Ziel ''R2'' und dem Inhalt ''Cl'' und sendet das an ''Svr''. Das bedeutet für ''Svr'': Hey, schick Deinen Traffic für ''Cl'' an ''R2''. Der Server merkt sich diesen Redirect und schickt ab sofort den Traffic direkt zu ''R2''. ''R1'' wird entlastet und ''Cl'' erhält die Daten mit der vollen Geschwindigkeit.<br />
<br />
Sobald ''Svr'' den Redirect nach einer Weile wieder vergißt, kriegt er von ''R1'' wieder einen zugeschickt.<br />
<br />
Per Default sind diese ICMP-Redirects eingeschaltet.<br />
<br />
dslrouter#show ip int vlan1<br />
Vlan1 is up, line protocol is up<br />
Internet address is 192.168.59.1/26<br />
Broadcast address is 255.255.255.255<br />
Address determined by non-volatile memory<br />
MTU is 1500 bytes<br />
Helper address is not set<br />
Directed broadcast forwarding is enabled<br />
Multicast reserved groups joined: 224.0.0.1 224.0.0.2 224.0.0.10<br />
Outgoing access list is not set<br />
Inbound access list is not set<br />
Proxy ARP is enabled<br />
Local Proxy ARP is disabled<br />
Security level is default<br />
Split horizon is enabled<br />
'''ICMP redirects are always sent'''<br />
ICMP unreachables are always sent<br />
ICMP mask replies are never sent<br />
IP fast switching is enabled<br />
IP fast switching on the same interface is disabled<br />
IP Flow switching is enabled<br />
IP CEF switching is enabled<br />
IP CEF Flow Fast switching turbo vector<br />
IP multicast fast switching is enabled<br />
IP multicast distributed fast switching is disabled<br />
IP route-cache flags are Fast, Flow cache, CEF, Full Flow<br />
Router Discovery is enabled<br />
IP output packet accounting is disabled<br />
IP access violation accounting is disabled<br />
TCP/IP header compression is disabled<br />
RTP/IP header compression is disabled<br />
Policy routing is disabled<br />
Network address translation is enabled, interface in domain inside<br />
BGP Policy Mapping is disabled<br />
WCCP Redirect outbound is disabled<br />
WCCP Redirect inbound is disabled<br />
WCCP Redirect exclude is disabled<br />
<br />
== Fallstrick ==<br />
Um auch für den beschriebenen Fall die Last auf ''R1'' klein zu halten, wenn ICMP-Redirects nicht akzeptiert werden, hat [[Benutzer:PoC|der Autor]] empfohlen, in der Interfacekonfiguration ein<br />
<br />
ip route-cache same-interface<br />
<br />
aufzunehmen. Nun hat sich gezeigt, daß diese Konfiguration dafür sorgt, daß ICMP-Redirects nicht mehr generiert werden. Der Route-Cache sorgt zwar dafür, daß auf ''R1'' die Last klein bleibt, weil die Pakete nicht über die CPU gehen, aber dafür bleibt die Netzlast hoch, weil keine ICMP-Redirects generiert werden.<br />
<br />
Zitat aus der [http://www.cisco.com/en/US/docs/ios/12_1/switch/configuration/guide/xcdipsp.html Cisco-Dokumentation]:<br />
<br />
<blockquote><br />
<u>Enabling Fast Switching on the Same IP Interface</u>: You can enable IP fast switching when the input and output interfaces are the same interface. This normally is not recommended, though it is useful when you have partially meshed media such as Frame Relay. '''You could use this feature on other interfaces, although it is not recommended because it would interfere with redirection.'''<br />
</blockquote><br />
<br />
== Andere Systeme ==<br />
Linux generiert auch ICMP Redirects. Kann man z.&nbsp;B. mit sysctl abschalten/anschalten:<br />
<br />
# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0<br />
# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0<br />
<br />
Ob PIX/ASA auch solche Redirects generiert, ist nicht bekannt.<br />
<br />
== Schlußfolgerung ==<br />
Wenn wir eine Konstellation wie im obigen Beispiel haben, dann lassen wir auf Multipoint-Interfaces wie Ethernet, FDDI, oder Token Ring den <code>ip route-cache same-interface</code> weg.<br />
<br />
<br />
[[Kategorie:Software]]<br />
[[Kategorie:Cisco]]<br />
[[Kategorie:Internet]]</div>PoC