Когда маршрутизатор дропает какой-либо IP-пакет, то одновременно с этим он генерирует сообщение ICMP unreachable.

Наиболее частые причины генерации этого сообщения следующие:

— host/port unreachable – маршрутизатор не может отмаршрутизировать пакет

— административный запрет – пакет фильтруется списком доступа

— пакету требуется фрагментация, но в нем установлен DF-бит.

Есть два способа для управления генерацией таких ICMP unreachable сообщений:

— отключить их генерацию на интерфейсе командой no ip unreachables

— можно контролировать частоту генерации сообщений глобальной командой ip icmp rate-limit unreachable <RATE per ms>

— контролировать частоту сообщений “packet too big” (появляются в случае если пакету требуется фрагментация, а на нем установлен бит DF – критично для технологии PMTU) командой ip icmp rate-limit unreachable DF <RATE per ms>