所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

USG9560trace ipv6地址时显示*,其他的节点正常

发布时间:  2019-07-12  |   浏览次数:  309  |   下载次数:  0  |   作者:  lWX463319  |   文档编号: EKB1001130113

目录

问题描述

USG9560配置ipv6,trace ipv6地址的时候显示*,其他的节点正常显示。

接口下的IPV6配置
interface GigabitEthernet1/2/4
 description To-OT                  
 undo shutdown
 ipv6 enable
 ip address x.x.1.2 255.255.255.0
 ipv6 address x:x:2002:FF91:1::1/64
 ospfv3 1 area 0.0.0.0
 anti-ddos flow-statistic enable
 alias jnu8
 gateway x.x.1.1 route disable
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

告警信息

处理过程

测试结果如下:
[FW1]tracert ipv6 x:x:2002:FF91:1::100                    //FW2上关闭,undo ipv6 icmp hop-limit-exceeded send
traceroute to x::1  30 hops max,60 bytes packet     
1  *  *  *                                                                                           

2 1002::1 1 ms  1 ms  1 ms       
 
                                                                 
[FW1]tracert ipv6 x:x:2002:FF91:1::1                     //FW2上开启ipv6 icmp hop-limit-exceeded send
traceroute to 2001:DA8:2002:FF91:1::1     30 hops max,60 bytes packet                                                   

1 x:x:2002:FF91:1::2   1 ms  1 ms  1 ms                                                                           

2 x:x:2002:FF91:1::100 1 ms  1 ms  1 ms


根因

ipv6 icmp hop-limit-exceeded send命令用来使能接口的ICMPv6 hop-limit超时报文的发送功能。

建议与总结

当设备接收到hop-limit值为1的报文会回应ICMPv6 hop-limit超时报文,该报文将设备的IPv6地址作为ICMPv6差错

报文的源IPv6地址,相当于暴露出设备的IPv6地址,存在网络安全问题。同时当设备遇到报文泛洪攻击时,不断回

应ICMPv6 hop-limit超时报文,会导致CPU占用率过高,影响设备性能。通过undo ipv6 icmp hop-limit-exceeded

send命令在ICMPv6报文的入接口关闭系统ICMPv6 hop-limit报文发送功能可以解决该问题。