- A+
所属分类:故障排除
1.问题描述
今天在华为防火墙USG6320电信和联通双线基础上,加了一条银企直联专线,完成NAT等基础配置后,进行ping测试,网络联通没有问题,为进一步确认添加的明细路由是否通过该专线出去到银行的服务器,于是进行tracert路由跟踪,当跳数到三层核心设备后,跳数超时。
经查华为在线技术文档,是这样描述的:
高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试,
需要开启tracert功能的命令,看到每一跳的路径。
并不是所有的防火墙开启ip unreachables enable 都可以启用,不同的防火墙命令各不相同。
2.处理过程
防火墙默认都是不允许tracert命令的,需要配置不同的命令进行开启。
需要采用以下步骤进行开启tracert功能。
第一步,关闭防火墙报文攻击防范功能
- [HAOPYTHON_USG6500_1]undo firewall defend tracert enable
- 15:21:40 2019/04/08
第二步,防火墙作为中间设备需要配置开启ICMP超时报文功能
- [HAOPYTHON_USG6500_1]ip ttl-expires enable
- 15:26:21 2019/04/08
第三步,如果作为目的设备开启ICMP目的不可达报文发送功能
如果目的端是NGFW,需要在设备上执行ip unreachables enable命令。
ip unreachables enable命令用来启用ICMP目的不可达报文(需要分片但设置了不分片标志位的ICMP报文除外)的发送功能。
3.路由跟踪测试
- C:\Users\surface>tracert 15.0.32.17*
- 通过最多 30 个跃点跟踪到 15.0.32.170 的路由
- 1 4 ms 4 ms 4 ms 10.128.3*.1
- 2 5 ms 5 ms 4 ms 10.12*.254.1
- 3 1 ms 1 ms 1 ms 10.12*.250.1
- 4 4 ms 5 ms 4 ms 192.168.111.146
- 5 19 ms 18 ms 16 ms 199.199.3.33
- 6 17 ms 16 ms 16 ms 16.0.225.97
- 7 17 ms 17 ms 17 ms 16.0.225.73
- 8 17 ms 18 ms 16 ms 16.0.225.130
- 9 18 ms 17 ms 17 ms 16.0.226.26
- 10 76 ms 75 ms 75 ms 11.239.139.9
- 11 76 ms 76 ms 79 ms 11.239.133.129
- 12 77 ms 77 ms 77 ms 11.239.225.34
- 13 75 ms 75 ms 77 ms 11.239.5.2
- 14 73 ms 72 ms 72 ms 11.152.250.85
- 15 73 ms 72 ms 72 ms 11.152.250.230
- 16 73 ms 72 ms 73 ms 11.152.250.1
- 17 73 ms 73 ms 73 ms 11.152.250.1
- 18 73 ms 77 ms 74 ms 11.152.250.1
- 19 73 ms 73 ms 73 ms 15.0.32.17*
- 跟踪完成。
4.建议与总结
高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试,
根据不同的防火墙命令,需要开始开启不通的tracert功能的命令,看到每一跳的路径。
