cisco ios ファイアウォールは icmp トラフィックをどのように処理しますか?

Cisco IOS ファイアウォールは、さまざまな方法で ICMP (Internet Control Message Protocol) トラフィックを処理できます。 ICMP は、ネットワーク管理、エラー報告、診断の目的で使用される重要なプロトコルです。デフォルトでは、Cisco IOS ファイアウォールはすべての ICMP トラフィックを許可しますが、特定のポリシーを適用して ICMP トラフィックを制御するように設定できます。

ICMP メッセージ タイプとその機能

Cisco IOS ファイアウォールが ICMP トラフィックをどのように処理するかを理解するために、いくつかの一般的な ICMP メッセージ タイプとその機能を確認してみましょう。

1. ICMP エコー要求 (タイプ 8) とエコー応答 (タイプ 0): これらのメッセージは、ネットワーク パスの到達可能性と往復時間をテストするために使用されます。デバイスがエコー要求を送信すると、宛先デバイスはエコー応答で応答します。

2. ICMP 宛先に到達不能 (タイプ 3): このメッセージは、デバイスがパケットを目的の宛先に配信できない場合に送信されます。メッセージには、「ホストに到達できない」、「ポートに到達できない」、または「宛先ネットワークに到達できない」など、失敗の理由を指定するコードが含まれています。

3. ICMP 時間が超過しました (タイプ 11): このメッセージは、パケットの存続時間 (TTL) フィールドが宛先に到達する前にゼロに達したときに送信されます。これは、過剰なネットワーク トラフィックまたは長いネットワーク パスが原因で発生する可能性があります。

4. ICMP パラメータの問題 (タイプ 12): このメッセージは、デバイスが無効なヘッダーまたはデータ フィールドを持つ ICMP メッセージを受信したときに送信されます。

Cisco IOS でのデフォルトの ICMP 処理

デフォルトでは、Cisco IOS ファイアウォールは、エコー要求/応答メッセージ、宛先到達不能メッセージ、およびパラメータ問題メッセージを含むすべての ICMP トラフィックを許可します。ただし、ICMP トラフィックを検査およびフィルタリングするようにファイアウォールを構成することで、このデフォルトの動作を変更できます。

ICMP 検査とフィルタリングの構成

ICMP トラフィックを制御するには、Cisco IOS ファイアウォール設定で「access-list」コマンドと「icmp」コマンドを使用できます。以下にいくつかの例を示します。

1. 特定の種類の ICMP トラフィックを許可する:

「」

アクセスリスト 100 許可 icmp ホスト <送信元 IP> <宛先 IP> エコー応答

「」

2. エコー リクエスト メッセージの拒否:

「」

アクセス リスト 101 拒否 icmp ホスト <ソース IP> 任意のエコー要求

「」

3. 特定の ICMP メッセージ タイプのみを許可する:

「」

ファイアウォールポリシー100

icmp 100 を許可する

「」

4. ICMP トラフィックのログ記録:

「」

ロギング icmp <ログレベル>

「」

これらの設定オプションを適用すると、Cisco IOS ファイアウォールを通過する ICMP トラフィック フローを制御し、潜在的に有害なトラフィックや不要なトラフィックをブロックしながら、必要かつ許可された ICMP メッセージのみが許可されるようにすることができます。