USG6680 V5R1C00 tracert 显示星号解决方法

发布时间:  2015-09-24 浏览次数:  706 下载次数:  0
问题描述

组网:PC--内网设备---USG6680出口设备--ISP;

内网PC上网都是正常的,但是tracert 公网地址(8.8.8.8),出口设备USG6680的地址不会显示,显示的是星号;

告警信息
处理过程

1.关闭tracert 防范攻击;undo firewall defend tracert enable命令用来关闭Tracert报文攻击防范功能。

2.开启设备发送icmp不可达报文:icmp host-unreachable send命令用来使能系统的ICMP主机不可达报文的发送功能。

3.开启设备ICMP ttl 超时报文发送功能;icmp ttl-exceeded send命令用来使能接口的ICMP TTL超时报文的发送功能。

根因
设备没有开启icmp不可达报文发送功能和icmp ttl超时报文发送功能;
解决方案

1.关闭tracert 防范攻击;undo firewall defend tracert enable命令用来关闭Tracert报文攻击防范功能。

2.开启设备发送icmp不可达报文:icmp host-unreachable send命令用来使能系统的ICMP主机不可达报文的发送功能。

3.开启设备ICMP ttl 超时报文发送功能;icmp ttl-exceeded send命令用来使能接口的ICMP TTL超时报文的发送功能。

之前的V1R1版本的使用关闭tracert防范攻击,另外配置 ip ttl-expires enable和ip unreachables enable 就可以解决tracert的时候usg设备显示星号的问题;

建议与总结
USG6000系列V1R1版本 ip ttl-expires enable和 ip unreachables enable这两个命令在v500r001c00版本上改成了: icmp ttl-exceeded sendicmp host-unreachable send

END