- ベストアンサー
Cisco2610のフィルタリング(ICMPのType3)について
下記構成にてLANを組んでおります。 --------------------------------------------------------- Server-HUB-Cisco2610-((MODEM-Serial-MODEM-Cisco805-PC)×4) -PC×15 --------------------------------------------------------- ServerからIPパケットをブロードキャスト(以下BC)にて送信した時、 Serverから見てCisco2610の先にあるPCで該当ポートを開けないと、 Cisco2610からServerにICMPの障害パケット"Port Unreachable"が 返ってきます。その障害パケットとServerから送出するBCが衝突する らしく一部のBCパケットが消失(HUB直結のPCも受信不可)しています。 そこでCisco2610にてICMPのType3(ICMP到達不能メッセージ)を送信 抑止したいのですが、可能ですか?可能であれば設定方法(コマンド) をご教授下さい。マニュアル(英文)、製品取扱会社でも設定方法は 解りませんでした。他のPing等はそのまま使えることが前提です。 何卒よろしくお願い致します。
- LemonT
- お礼率92% (24/26)
- その他(インターネット接続・通信)
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
今手元にルータが無いので予想ですが... access-list 101 deny icmp any any 3 3 なんかではどうですか? Type3のフィルタはやったことないですが、 昔Timestamp(Type13,14)のフィルタはやったことがあります。 その時、 ...13 0 といった感じだったので、 後ろの「0」はcodeなのかなぁ...なんて。 はずしてたらごめんなさい。
その他の回答 (2)
No.#2のものです。 ちゃんと読んでなかったです。すみません。 "Port Unreachable"だけじゃなくてType3全部止めるんでしたね。 だったら access-list 101 deny icmp any any 3 0 でいけるかも... でもって何も考えずに回答してましたが、 ただのコリジョンではなくパケットの消失となると 根本的な解決をしないと「"つぎはぎ"ネットワーク」になってしまうような気がします。 で、Type3を止めるとなると正常に接続できない場合 レスポンスが悪くなったりとか影響がでる...かな?
お礼
回答ありがとうございます。 すぐに試したいのですが、事情により時間がかかりそうです。 あまり構築例の無いネットワーク構成だと思っています。
補足
PCがHUB直結のみなら、BCパケット抜けも発生しないので、 単にCisco2610のフィルタ設定なんだろうと軽く考えていました。 Type3を抑止することにより悪影響が出ますか?
- mimis
- ベストアンサー率66% (16/24)
最近、CISCO製品自体触っていないので良く解りませんが、通常のルータのフィルタ機能でICMPのTypeを設定できるものは今まで見たことがありません。 FireWallアプライアンス製品などであれば、可能なものもありますが・・・。 もし、ServerがWindows系であればServer側に簡易FireWallソフトを導入するのが簡単だと思います。ASCIIのWinWrapperならMSのサーバーOSで動作しますし、確かICMPのタイプ別にルールが作成できたと思います。 (体験版がダウンロードできますので確認してみてください。) ASCII NT http://www.ant.co.jp/Products/winwrapper10_Index.html また、BCの衝突=コリジョンという意味であればServer-HUB間などをFullDuplexにすれば、改善されるのでは? ちゃんとした回答ではなくてごめんなさい。
お礼
回答ありがとうございます。 2日間程回答ゼロだったので、ひと安心です。 やはりICMPのTypeでフィルタリングするのは難しいかなー。
補足
Serverは、更にその上位装置がいるため訳あってLinuxです。 >また、BCの衝突=コリジョンという意味であればServer-HUB間などをFullDuplexにすれば なるほど!LANスイッチですね。 試してみたいのですが、すぐには無理そうです。 ありがとうございました。
お礼
回答ありがとうございます。 いろいろ探し回って"access-list..."までは、辿り着いたのですが、 やはり"... any any"の後が必要なのですね。
補足
設定したことのある方がいらっしゃると心強いです。 いろいろ探し回った際、 「アクセスリストを設定すると、permitで明示的に許可された場合以外は、 すべて拒否(deny)扱いになります。」 という記述があったので、仮にPingだけを有効にする場合なら access-list 101 permit icmp any any echo access-list 101 deny icmp any any なのかなーとか思っていましたが、どうなのでしょうか。 よろしくお願いします。