【ip redirectって何?】
ICMP Redirect は、端末(ホスト)に対して「その宛先は、こっちの“別のゲートウェイ”に出した方が近いよ」と経路のヒントをICMPで通知する仕組みです。ip redirects を 有効/無効にすると、主に次が変わります
1) 有効(ip redirects)だと何が起きる?
ルータ(L3SW含む)が、同一インターフェースから入ってきたパケットを 同一インターフェースへ転送する状況(=「同じセグメント内に、もっと適切な次ホップがいる」状況)で、送信元ホストへ ICMP Redirect を返します。
その結果、ホスト側がその情報を採用すると次回以降その宛先は“別のゲートウェイ”へ直接送る(ホストのルーティング/キャッシュが変わる)ルータの中継が減って 最適経路になったり負荷が減ることがあります。
2) 無効(no ip redirects)だと何が変わる?
ルータが ICMP Redirect を送らなくなります。その結果、
ホストは デフォルトゲートウェイ設定のまま動く(勝手に“近道学習”しない)
ルーティングの挙動が ネットワーク機器側で一貫しやすい(設計通りに固定されやすい)
3) セキュリティ上の違い(ここが一番大きい)
ICMP Redirect は、同一セグメント上に悪意ある端末がいると、理屈としては
「その宛先は俺(攻撃者)に送れ」という 偽リダイレクト を送り
端末の通信を 迂回/盗聴(MITM) させるといった攻撃の足がかりになり得ます(端末OSの実装や設定で難易度は変わりますが、リスク要因であることは変わりません)。
なので、企業ネットワークの“サーバ/クライアント収容LAN”では no ip redirects が推奨されがちです。
4) 体感として出やすい運用差分
ip redirects 有効だと、端末が一度学習すると「ある宛先だけ急に別GWへ行く」みたいな挙動になり、
トラブル時に 経路が端末依存になって追いにくい。経路変更後も端末のキャッシュが残って 切り戻し後も挙動が戻らない(しばらくおかしい)みたいな“面倒”が起きやすいです。
5) どっちにするのが一般的?
ざっくり指針:
ユーザLAN / サーバLAN / DC:no ip redirects が多い(予測可能性+セキュリティ)
【概要】
ルータが「redirect」の動作について記載する。
redirect を有効 / 無効にした場合でそれぞれどのように経路が異なるか。
redirect 設定有無による通信経路
- NW構成
PC1のデフォルトゲートウェイはR1とする。R1では3.3.3.3向けの経路のみnext-hopをR3とし、デフォルトルートをR2に向ける。 - Redirect無効
R1のGi0/0を[no ip redirects]を設定する事により、redirectを無効にする。 - Redirect有効
R1のGi0/0を[ip redirects]を設定する事により、redirectを有効にする。
(ほとんどのIOSでは、デフォルト有効になっている)
redirectにより経路が変わる仕組み(概要)
【概要】
[PC1] → [4.4.4.4]へのICMP通信を考える
- 1発目のICMPパケットは、[PC1]→[R1]→[R2]→[R4]→[4.4.4.4]となる。
- [R1]から[PC1]に対して、redirectメッセージを送信
- 2発目のICMPパケットから、[PC1]→[R2]→[R4]→[4.4.4.4]となる。
redirectにより経路が変わる仕組み(詳細)
【詳細】
[PC1] → [4.4.4.4]へのICMP通信を考える
- 1発目のICMPパケットは、[PC1]→[R1]→[R2]→[R4]→[4.4.4.4]となる。
R1のGi0/0をredirectsを有効にしても上記の経路となる。
PC1の宛先MACアドレスは、R1 Gi0/0を利用して通信される。 - [R1]から[PC1]に対して、redirectメッセージを送信
redirectメッセージは、[ICMP Type5 Code 0] が利用される。Type 5 — Redirect Code Description 0 Redirect Datagram for the Network (or subnet) 1 Redirect Datagram for the Host 2 Redirect Datagram for the Type of Service and Network 3 Redirect Datagram for the Type of Service and Host [ICMP Type5 Code 0]の内には[4.4.4.4]へのゲートウェイをR2する内容が入っている。
- 2発目のICMPパケットから、[PC1]→[R2]→[R4]→[4.4.4.4]となる。
PC1の宛先MACアドレスは、R2 Gi0/0へ変更される事により、経路がredirectされる。
その後も[R1]を経由せず、redirectされた経路が採用される。
R1のdebug ip icmp
R1#debug ip icmp
ICMP packet debugging is on
R1#
*Apr 24 15:32:03.572: ICMP: redirect sent to 10.1.1.100 for dest 4.4.4.4, use gw 10.1.1.2
[PC1]:10.1.1.100 が4.4.4.4への通信する場合は、redirectして、GWが[R2]:10.1.1.2になることが出力される。
PC1からのTraceroute
redirect無効
traceroute to 4.4.4.4 (4.4.4.4), 30 hops max, 46 byte packets 1 10.1.1.1 (10.1.1.1) 7.074 ms 5.275 ms 5.850 ms 2 10.1.1.2 (10.1.1.2) 12.059 ms 3 10.24.1.4 (10.24.1.4) 16.752 ms 8.983 ms
redirect有効
traceroute to 4.4.4.4 (4.4.4.4), 30 hops max, 46 byte packets 1 10.1.1.2 (10.1.1.2) 6.041 ms 11.428 ms 8.779 ms 2 10.24.1.4 (10.24.1.4) 12.662 ms 9.099 ms *
Config (redirect 有効)
R1-config Clinck
hostname R1 ! interface GigabitEthernet0/0 ip address 10.1.1.1 255.255.255.0 duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 ip address 10.13.1.1 255.255.255.0 duplex auto speed auto media-type rj45 ! ip route 0.0.0.0 0.0.0.0 10.1.1.2 ip route 3.3.3.3 255.255.255.255 10.13.1.3 ! control-plane ! end
R2-config Clinck
hostname R2 ! interface GigabitEthernet0/0 ip address 10.1.1.2 255.255.255.0 duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 ip address 10.24.1.2 255.255.255.0 duplex auto speed auto media-type rj45 ! ip route 0.0.0.0 0.0.0.0 10.12.1.1 ip route 4.4.4.4 255.255.255.255 10.24.1.4 ! control-plane ! end
R3-config Clinck
hostname R3 ! interface Loopback0 ip address 3.3.3.3 255.255.255.0 ! interface GigabitEthernet0/0 ip address 10.13.1.3 255.255.255.0 duplex auto speed auto media-type rj45 ! ip route 0.0.0.0 0.0.0.0 10.13.1.1 ! control-plane ! end
R4-config Clinck
hostname R4 ! interface Loopback0 ip address 4.4.4.4 255.255.255.255 ! interface GigabitEthernet0/0 ip address 10.24.1.4 255.255.255.0 duplex auto speed auto media-type rj45 ! ip route 0.0.0.0 0.0.0.0 10.24.1.2 ! control-plane ! end
redirectのメリット・デメリット
- メリット
余計なルータを経由することが無くなるので、通信効率が良くなる。 - デメリット
自動的に経路が変わるため、認識が無いと混乱する場合がある。
