所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

FAQ-S6700如何禁止ping不禁止tracert

发布时间:  2017-11-13  |   浏览次数:  1501  |   下载次数:  35  |   作者:  lWX466262  |   文档编号: EKB1001031474

目录

问题描述

某局点用户咨询如何S6700如何禁止ping不禁止tracert,查询资料得tracert报文每个阶段会向一个途经设备发送3次请求报文(为了可靠性保证)、该设备会向tracert报文发出者发送ICMP响应报文。Tracert报文的初始TTL1,每经历一个阶段TTL值加1,直到达到目的地;在到达目的地前“响应”报文中的type11Time-to-live exceeded),达到后“响应报文中的type3Destination
Unreachable

解决方案

在ACL中可选择禁止对应的ping包ICMP类型即可,比如按照如下的ACL写:

[S6700-acl-adv-3000]rule 10 deny icmp icmp-type 
  INTEGER<0-255>        ICMP type
  echo                  Type=8, Code=0
  echo-reply            Type=0, Code=0
  fragmentneed-DFset    Type=3, Code=4
  host-redirect         Type=5, Code=1
  host-tos-redirect     Type=5, Code=3
  host-unreachable      Type=3, Code=1
  information-reply     Type=16, Code=0
  information-request   Type=15, Code=0
  net-redirect          Type=5, Code=0
  net-tos-redirect      Type=5, Code=2
  net-unreachable       Type=3, Code=0
  parameter-problem     Type=12, Code=0
  port-unreachable      Type=3, Code=3
  protocol-unreachable  Type=3, Code=2
  reassembly-timeout    Type=11, Code=1
  source-quench         Type=4, Code=0
  source-route-failed   Type=3, Code=5
  timestamp-reply       Type=14, Code=0
  timestamp-request     Type=13, Code=0
  ttl-exceeded          Type=11, Code=0

[S6700-acl-adv-3000]rule 10 deny icmp icmp-type echo

相应的如何禁止tracert可以禁止icmp类型为port-unreachable  Type=3, Code=3和ttl-exceeded Type=11, Code=0即可