问题描述
FAQ:
用户想在网络中禁止tracert,但允许ping。在策略中deny掉了icmp协议,tracert和ping都被禁止了。
告警信息
无
处理过程
在我们的设备上:
ping时发出的报文类型为echo,类型码为8,回应报文的类型为echo-reply,类型码为0
tracert时,发出的报文类型和ping相同(但ttl值不同);返回的icmp报文类型为ttl-exceeded, 类型码为 Type=11
可以参考如下acl
acl number 3000
rule 5 permit icmp icmp-type echo
rule 10 permit icmp icmp-type echo-reply
rule 15 deny icmp icmp-type ttl-exceeded
根因
Tracert和ping都是通过icmp协议来实现的,但他们的icmp类型不一样,可以使用参数icmp-type 进行区别
建议与总结
无END
本文转自wangheyu1 51CTO博客,原文链接:http://blog.51cto.com/wangheyu1/2047486,如需转载请自行联系原作者
