当前位置: 首页 > 路由交换 > ICMP
cjhcjh ICMP   此文章访问量   1647

解决USG防火墙tracert带星号*问题(ICMP报文回显)

 解决USG防火墙tracert带星号*问题(ICMP报文回显)

使能接口的ICMP TTL超时报文的发送功能icmp ttl-exceeded send(防火墙回显)
配置防火墙允许回显:icmp ttl-exceeded send
注意:防火墙为了安全起见(不暴露自己的IP地址),默认情况下不处理TTL=1的探测报文,收到该报文后直接丢弃,且不会回应;
此时tracert时,会有 * * * 出现的多数是防火墙设备;

(1)拓扑图

图片.png

(2)基本配置(略)

(3)测试

[~sw1]tracert 192.168.2.100
 traceroute to 192.168.2.100(192.168.2.100), max hops: 30, packet length: 40, press CTRL_C to break
 1  *  *  *
 2 192.168.2.100 139 ms  12 ms  16 ms
[~sw1]

(4)防火墙上配置icmp ttl-exceeded send

[USG6000V2]icmp ttl-exceeded send 

(5)测试

[~sw1]tracert 192.168.2.100     
 traceroute to 192.168.2.100(192.168.2.100), max hops: 30, packet length: 40, press CTRL_C to break
 1 192.168.1.254 27 ms  1 ms  2 ms
 2 192.168.2.100 105 ms  3 ms  15 ms
[~sw1]

图片.png


其他:

https://forum.huawei.com/enterprise/zh/thread-791819.html

解决华为防火墙tracert时无法显示正常IP地址问题
经过防火墙的流量可以ping通,但是tracert后显示的全是*, 配置让tracert命令穿越防火墙不显示星号的方法如下:
1. Tracert防火墙自身
需要放开到防火墙Local域的ICMP或者UDP报文包过滤/安全策略。如果Tracert使用ICMP报文,那么还需要执行命令ip unreachables enable(V1R1C30/V3R1C10,缺省关闭)或者icmp host-unreachable send(V5版本,缺省关闭)开启ICMP目的站不可达报文的发送功能。
2. Tracert经过防火墙转发
a. 放开经过防火墙转发ICMP或者UDP报文包过滤/安全策略。
b. 配置开启ICMP超时报文发送功能(VR1C30和V3R1C10命令:ip ttl-expires enable(缺省关闭);V5版本:icmp ttl-exceeded send(缺省关闭))。
c. 关闭Tracert报文攻击防范功能(命令:undo firewall defend tracert enable(缺省关闭))。



深信服防火墙:网关追踪路由可见(追踪回显、*号星号)
http://www.zh-cjh.com/wangluoanquan/3568.html


ping与Tracert简介(列表、list、全)pinglist、tracertlist、ICMPLIST
http://www.zh-cjh.com/wenzhangguilei/2460.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 解决USG防火墙tracert带星号*问题(ICMP报文回显)

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!