,,有时为了排查网络的连通性需要用到Traceroute,然而有的设备默认并不开启路由跟踪,在排查故障的时候有时会要用到路径跟踪程序来判断路由的正确性。
,机房里有一台H3C SecPath和天融信防火墙相连,其他还有几台路由设备。在天融信上做了路,由访问的时候不通,由于路由设备较多,排查的时候使用路径跟踪程序到H3C的设备就不通了,SecPath没有ip ttl-expires启用ip无法启用,ip df-unreachables使这样的命令,于是考虑做访问策略,写了以下策略用在了SecPath的主机相连端口进方向:
规则1允许icmp icmp-type回声,,,,,#回显请求
规则2允许icmp icmp-type回应应答,,,#回显应答
规则3允许icmp icmp-type ttl-exceeded,,# ICMP超时响应报文
规则4允许ICMP icmp-type port-unreachable, # ICMP端口不可达
然后跟踪经SecPath,还是不的行,在官网找了资料,相关配置说:
,防火墙保护路径跟踪程序命令用来打开路径跟踪程序报文* * *防范功能
,,当时比较着急并未理解这句话的含义,把这个命令敲上了还是不行,为进一步排查打开了调试功能:
终端调试
终端监控
调试防火墙包过滤所有
找到了相关报文:
唯一觉得比较有问题的地方就是:rcvIfName (1023)=InLoopBack0 ,
这里出现了一个环回接口,难道相关报文被丢到了InLoopBack0,查找配置文件没发现InLoopBack0接口的配置,所以我觉得在图形界面里又该有相关设置,在最相关的“防火墙管理”,“* * *防范里”有一项“路由跟踪* * *”,将该项去掉,然后再试果然可以了! !
,通过对比之前的配置文件发现少了一句防火墙保护路径跟踪程序,这时才明白这条命条是打开报文* * *防范功能,而不是路径跟踪程序!一时疏忽竟绕了个大弯子。现在跟踪也可以通过天融信防火墙,该条命令不但阻止本地路由被跟踪其他经过的报文也会被丢弃。
至此,具体配置可以这样:
,1、在内部接口的在方向:
,规则0允许icmp X.X.X.来源X 0 #想要允许的IP
,以下规则禁止其他所有平内网
,规则1否认icmp目的地10.0.0.0 0.255.255.255 icmp-type回声
,规则2否认icmp目的地172.16.0 0.15.255.255 icmp-type回声
,规则3否认icmp目的地192.168.0.0 0.0.255.255 icmp-type回声
,所有主机可以平外网
,规则4否认icmp icmp-type回声
,其他类型的ICMP报文(路径跟踪程序)禁止通行
,规则10否认icmp
,2,在设备外部接口的在方向
,无限制的IP
,规则0允许icmp X.X.X.来源X
,允许所有主机平外网的回显报文
,规则1允许icmp icmp-type回应应答
,允许路径跟踪程序的回显信息
,规则2允许icmp icmp-type ttl-exceeded
,规则3允许icmp icmp-type port-unreachable #最好有这一条路由跟踪需要port-unreachable的icmp返回包,,
,规则10否认icmp ,,,,#其他禁用
,当然首先关闭防路由跟踪功能:undo 防火墙保护路径跟踪程序
,以上设置完后只有允许的IP可以无限使用ICMP,其他主机只能使用平,且只能ping通外网地址,互联网用户不能使用ICMP与外网设备通信,这样设置相对安全。
