如何解决内网正常上网,但通过tracert公网IP或网站时,第一跳无法获取IP仅显示*号
以下运维均现网维护,命令配置均在物理设备上配置
【问题描述】
1、组网方式:PC--内网设备(交换机)---USG6660E出口设备--3个ISP;
2、问题如下图:
① 内网PC上网都是正常的,通过tracert 内网IP正常,
② 但通过tracert 公网地址(www.baidu.com 或 8.8.8.8 ),出口设备USG6660E的 地址不会显示,仅显示的是星号(如:红色框)
告警信息:无
【处理过程】
[USG6500E] undo firewall defend tracert enable /*关闭Tracert报文攻击防范功能
[USG6500E] icmp host-unreachable send /* 使能系统的ICMP主机不可达报文的发送功能
[USG6500E] icmp ttl-exceeded send /* 使能接口的ICMP TTL超时报文的发送功能
【根本原因】设备没有开启icmp不可达报文发送功能和icmp ttl超时报文发送功能;
【解决方案】
1.关闭tracert 防范攻击;undo firewall defend tracert enable命令用来关闭Tracert报文攻击防范功能。
2.开启设备发送icmp不可达报文:icmp host-unreachable send命令用来使能系统的ICMP主机不可达报文的发送功能。
3.开启设备ICMP ttl 超时报文发送功能;icmp ttl-exceeded send命令用来使能接口的ICMP TTL超时报文的发送功能。
之前的V1R1版本的使用关闭tracert防范攻击,另外配置 ip ttl-expires enable和ip unreachables enable 就可以解决tracert的时候usg设备显示星号的问题;
建议与总结
USG6000系列V1R1版本 ip ttl-expires enable和 ip unreachables enable这两个命令
在v500r001c00版本上改成了: icmp ttl-exceeded send 和 icmp host-unreachable send
