USG9300 tracert 问题

发布时间:  2012-07-18 浏览次数:  101 下载次数:  0
问题描述
USG9300 起了vlanif 接口
interface Vlanif503
 description connect to XiDeShengWangGuan S5352 gi 0/0/39
 ip address 188.1.22.122 255.255.255.252
 
在USG9310下面内网的电脑tracert外网,比如新浪,发现有些电脑可以tracert到USG9310地址,有些tracert到USG9300这一跳无显示。
如下图是客户在内网电脑商可以tracert到的显示
 
告警信息
处理过程
如果要求不能tracert到防火墙这一跳,需要打开tracert攻击防范。
1.  在用户视图下执行命令system-view,进入系统视图。
2.  执行命令firewall defend tracert enable,开启Tracert报文攻击防范功能
根因
原因  USG9310默认是开启trace的,之所有有些电脑可以trace到,是因为配置中看到有 Vlanif 接口,USG9300 从VLAN_IF 接入的 TRACERT 不能显示。
建议与总结

我们在之前的USG5500以下的防火墙都是默认关闭tracert的,而USG9300是默认开启的。

END