防火墙排查错误开启tracert功能的方法比较

发布时间:  2017-02-12 浏览次数:  244 下载次数:  0
问题描述

高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试,

需要开启tracert功能的命令,看到每一跳的路径。

并不是所有的防火墙开启ip unreachables enable 都可以启用,不同的防火墙命令各不相同。

处理过程


防火墙默认都是不允许tracert命令的,需要配置不同的命令进行开启。

需要采用以下步骤进行开启tracert功能;

第一步,需要关闭报文攻击防范功能:

undo firewall defend tracert enable  命令用来关闭Tracert报文攻击防范功能。

低端防火墙USG6390,V100R001C30,需要配置 undo firewall defend tracert enable
中端防火墙USG6650,V100R001C30,需要配置 undo firewall defend tracert enable  
高端防火墙USG9560,V500R001C30,需要配置 undo firewall defend tracert enable  

第二步,防火墙作为中间设备需要配置开启ICMP超时报文功能:

如果中间设备是NGFW,需要在设备上执行ip ttl-expires enable命令,开启ICMP超时报文发送功能;

第三步,如果作为目的设备开启ICMP目的不可达报文发送功能。

如果目的端是NGFW,需要在设备上执行ip unreachables enable命令,

ip unreachables enable命令用来启用ICMP目的不可达报文(需要分片但设置了不分片标志位的ICMP报文除外)的发送功能。


建议与总结



高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试,

根据不同的防火墙命令,需要开始开启不通的tracert功能的命令,看到每一跳的路径。

END