no ip proxy-arp and so on

精选转载

fmsz 2014-03-08 12:19:58 博主文章分类：switching

no ip proxy-arp

SVI 三层接口一般都作为PC的网关对于PC来讲SVI开不开启代理ARP影响不大但是对于部分网络设备来讲如：路由器交换机这种设备他们在关闭路由选择功能后在没有默认网关的情况下会直接请求目标网段的IP地址这样代理ARP就会生效，但是这种明显是对网络资源的浪费，大量的ARP再泛红充斥网络。只需要关闭代理ARP，这种情况就不会发生。这也要求这些设备必须设置默认网关指向SVI。这样他们会请求SVI的MAC地址而不是请求目标网段的MAC，极大的减少了ARP的泛洪

no ip unreachables

ICMP unreachables are normally limited to no more than one every one-half second per input interface, but this can changed by using the ip icmp rate-limit unreachables global configuration command.

如用用户使用ACL列表。那么所有不符合条件的数据包在经过路由器时会被丢弃。返回显示目标主机不可达。因为没有合适的路由。使用 no ip unreachables 后。只会出现 timeout 。

no ip redirect

关闭端口重定向

在使用hsrp的端口上启用就行

我碰到过ip redirect的情况,当时在调试一个分支机构的HSRP,主路由器是192.168.0.253,备路由器是192.168.0.252,virtual gateway是192.168.0.254.HSRP无问题,状态都正常.但将253断电后,结果windows2000的电脑ping不通其它网段了假设是192.158.1.1(windows98可以),检查arp及show standby状态正常,windows2000多了条网关指向192.168.0.253,destination network是192.158.1.1,netmask 是255.255.255.255的主机路由.该条主机路由是一断253的电源后自动加上去的,百思不得解,后来用no ip redirects ,no ip irdp后正常

一个路由器发出的ICMP 重定向消息类型：

如果一个路由器产生这条消息，它意味着主机应该送未来的数据包到网络的路由器上,他的IP地址是在 ICMP 消息中被给定的。路由器应该总是在作为传送了数据包主机和产生ICMP重定向消息的路由器的一样的子网上。当路由器IP地址与原来的数据报头的IP地址相匹配时，一个路由环被产生。

除非具备所有的下列条件，否则路由器不能产生重定向消息：

.数据包正在被从它被接收到的相同物理的接口转发出去,

.在数据包的 IP 来源地址与作为下一跳跃IP地址的网络逻辑IP地址相同,并且

.不包含IP源路由选择。

IP重定向消息格式

一个路由器收到一 ICMP 的重定向消息类型：

如果路由器正在运行一个路由协议，或者重定向在路由器上并且在包在其上正在被送的接口上被启用。当为路由器产生的数据报选择路径时,路由器可以忽略 ICMP.

能在代码域出现的4种不同的代码：

重定向代码

由主机发布的ICMP 重定向类型的消息：

一位主机不应该发送 ICMP 重定向消息,重定向信息仅仅是由路由器 9 发送的。

由主机收到的 ICMP 的重定向消息类型：

收到的一重定向消息的主机必须因此更新它的路由信息。

每台主机都必须随时准备接受主机和网络重定向。

在下列条件下重定向消息应该被静静地丢弃：

它指定的新网关地址不在通过的网重定向到达的相同网上。

对于boreashf所说的那样，即使是no ip redirect的情况下也是不会出现网络中断的情况的，只不过增加了流量而已，在IPv4的环境中，重定向对路由器而言只是发生在报文的出接口和入接口相同的情况下，此时它会向报文的源发重定向报文同时将原来的报文正常转发出去，一般情况下，主机接到重定向报文之后会在自己的路由表增加一条主机路由，但如果重定向报文没有发出，报文会多走一跳，先由主机到Router b，再由b转向a，而后a将其转向subnet C，假设重定向正常起了作用，主机会直接将流量发向a而不用经过b来转一下，因为它们本来就是处于同一个共享网段上！

比如有这么个网络,防火墙过来的线接到核心交换机的一个口,你完全可以在这个口起3层,配ip,但是你没有这么做,你把这个口设成access口,并划入vlan1中,而且又给vlan1配了地址,一条缺省路由指向防火墙地址.所有vlan1的用户将网关都设成vlan1接口地址,而不是防火墙地址,其他vlan用户网关设为自己vlan的接口地址.这样vlan1中的用户如果访问外网,就向vlan1接口发包,交换机发现这个包最终还是要返回vlan1中的防火墙口,所以干脆给主机发重定向,让主机往那里发包,但是好像win系统不听话,还是照样往vlan1接口发包,每发一个包就重定向一次.因为常规情况下应该一次就见效,但是win死活不听话,所以交换机就瘫掉了,这就是原因.如果关闭重定向,包的路径虽然是先到背板,然后再回来,但是这样也比每个包都重定向一次快的多. 所以vlan1中主机一定要把网关设为防火墙地址,而不要设为vlan1接口地址.

no ip route-cache

在使用 debugging ip packet之前，请注意：在缺省状态下，路由器进行快速交换（Netflow），或在特定配置情况下进行CEF交换。也就是说，如果这些方法可用，则不向处理器提供数据包，因此，调试不显示任何内容。若要使调试显示内容，则需要通过no ip route-cache (适用于单点发送数据包)或no ip mroute-cache(适用于组播数据包)来禁止路由器上的快速交换。