发布时间: 2017-11-13 | 浏览次数: 1888 | 下载次数: 35 | 作者: lWX466262 | 文档编号: EKB1001031474
某局点用户咨询如何S6700如何禁止ping不禁止tracert,查询资料得知tracert报文每个阶段会向一个途经设备发送3次请求报文(为了可靠性保证)、该设备会向tracert报文发出者发送ICMP响应报文。Tracert报文的初始TTL为1,每经历一个阶段TTL值加1,直到达到目的地;在到达目的地前“响应”报文中的type为11(Time-to-live exceeded),达到后“响应”报文中的type为3(Destination
Unreachable)
在ACL中可选择禁止对应的ping包ICMP类型即可,比如按照如下的ACL写:
[S6700-acl-adv-3000]rule 10 deny icmp icmp-type
INTEGER<0-255> ICMP type
echo Type=8, Code=0
echo-reply Type=0, Code=0
fragmentneed-DFset Type=3, Code=4
host-redirect Type=5, Code=1
host-tos-redirect Type=5, Code=3
host-unreachable Type=3, Code=1
information-reply Type=16, Code=0
information-request Type=15, Code=0
net-redirect Type=5, Code=0
net-tos-redirect Type=5, Code=2
net-unreachable Type=3, Code=0
parameter-problem Type=12, Code=0
port-unreachable Type=3, Code=3
protocol-unreachable Type=3, Code=2
reassembly-timeout Type=11, Code=1
source-quench Type=4, Code=0
source-route-failed Type=3, Code=5
timestamp-reply Type=14, Code=0
timestamp-request Type=13, Code=0
ttl-exceeded Type=11, Code=0
[S6700-acl-adv-3000]rule 10 deny icmp icmp-type echo
相应的如何禁止tracert可以禁止icmp类型为port-unreachable Type=3, Code=3和ttl-exceeded Type=11, Code=0即可