客户希望禁止内网 tracert 外网 ,但是可以ping

发布时间:  2012-07-18 浏览次数:  150 下载次数:  0
问题描述
客户希望禁止内网 trust  tracert 外网  untrust),但是可以ping
告警信息
处理过程
[USG5300]ip service-set test type object
[USG5300-object-service-set-test]service protocol icmp icmp-type ttl-exceeded


[USG5300]policy interzone trust untrust outbound
[USG5300-policy-interzone-trust-untrust-outbound]policy 0
[USG5300-policy-interzone-trust-untrust-outbound-0]action deny
[USG5300-policy-interzone-trust-untrust-outbound-0]policy service service-set test  

(禁止ttl-exceeded 报文)
 
 
[USG5500-policy-interzone-trust-untrust-outbound]policy  1
[USG5500-policy-interzone-trust-untrust-outbound-1]action  permit 
(允许其它报文通过)
根因
  通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包,Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时,路由器应该将“ICMP 已超时”的消息发回源系统。
Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包,这在 Tracert 实用程序中看不到。
 

ping时发出的报文类型为echo,回应报文的类型为echo-reply
tracert时,发出的报文类型和ping相同,返回的icmp报文类型为ttl-exceeded
建议与总结

END