配置华为防火墙允许对tracert路探测回显

最新推荐文章于 2025-03-17 15:13:38 发布
最新推荐文章于 2025-03-17 15:13:38 发布
阅读量8.1k 收藏 3
点赞数 26
分类专栏: 华为安全 文章标签: 防火墙 华为防火墙 tracert探测回显 安全设备 tracert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yang__Qi/article/details/119492062
版权
本文介绍了如何通过命令配置防火墙,允许对Tracert路由探测回显。在示例中,<R1>设备首次尝试Tracert到202.1.1.1时未能成功,但在配置FW1设备发送ICMP TTL超时消息后,Tracert成功进行,显示了完整的路径。这展示了Tracert工作原理,即通过递增TTL值来探测网络路径,并依赖ICMP回显响应。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

命令配置防火墙允许对tracert路探测回显:

<R1>tracert 202.1.1.1

 traceroute to  202.1.1.1(202.1.1.1), max hops: 30 ,packet length: 40,press CTRL
_C to break 

 1  *  *  * 

 2 202.1.1.1 80 ms  30 ms  50 ms 
<R1>

[FW1]icmp ttl-exceeded send     //允许对tracert路探测回显 

<R1>tracert 202.1.1.1

 traceroute to  202.1.1.1(202.1.1.1), max hops: 30 ,packet length: 40,press CTRL
_C to break 

 1 192.168.1.2 60 ms  40 ms  30 ms 

 2 202.1.1.1 80 ms  40 ms  40 ms 
<R1>

原理:发送探测报文TTL=1(第一跳)TTL=2(第二跳)…以此类推,当中间的三层设备收到TTL值等于1的报文时,认为发送环路,报文无法继续转发。并回馈一个ICMP的报文通知源端。

网络连通性测试ping和tracert命令
小菜鸟
11-26 8790
ping和tracert命令 Ping简介 Ping是基于ICMP协议实现的。通过从源端向目的端发送ICMP回显请求(Echo Request)报文后,根据是否收到目的端的ICMP回显应答(Echo Reply)报文来判断目的端是否可达。即源端在一个有效时间内(等待回显应答报文超时时间之前)收到目的端返的ICMP回显应答报文,则说明目的端可达。如果在有效时间内,没有收到应答报文,则说明目的端不可达。对于可达的目的端,根据发送报文个数、接收到响应报文个数来判断链的质量,根据Ping报文的往返时间来判断
实战篇【4】-HUAWEI防火墙开局基础配置
weixin_47402139的博客
03-06 2858
本篇文章为“HUAWEI防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。 区别于“H3C交换机开局基础配置”只是厂商间命令形式的差别,功能实现上一致;
华为USG6550E开启Tracert
繁星流动天际
09-02 4254
FAQ:如何配置才能在执行Tracert命令时本机不示星号 问题 如何配置才能在执行Tracert命令时本机不示星号? 答 ·Tracert防火墙自身。 放开到防火墙Local域的ICMP或者UDP报文包过滤。如果Tracert使用UDP报文,那么还需要执行命令icmp host-unreachable send开启ICMP目的站不可达报文的发送功能。 ·Tracert经过防火墙转发。 1.放开经过防火墙转发ICMP或者UDP报文包过滤。 2.配置ICMP超...
华为hcia——Datacom实验指南——Ping和Tracert的工作原理
最新发布
m0_64432806的博客
03-17 1236
ICMP位于网络层中,在其网络层中子层等级高于IP协议,所以在进行数据封装的时候,先进行ICMP封装再进行IP封装。
华为ensp,tracert经过防火墙示***号
白话聊网络的博客
10-15 2998
一、USG5500 存在问题: tracert一台经过防火墙的服务器IP地址,经过防火墙示*号。无法详细的示出tracert径信息。 解决方法: 1.配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2.关闭Tracert报文攻击防范功能(危险操作) [USG5500]undo firewall defend tracert enable 3.查看结果: 二、USG6000 存在问题: 解决方法: V5R1及之后版本(包括USG600
华为防火墙排查排障开启tracert功能的方法
weixin_46505763的博客
11-19 906
高端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,需要开启tracert功能的命令,看到每一跳的径。如果目的端是NGFW,需要在设备上执行ip unreachables enable命令,用来启用ICMP目的不可达报文(需要分片但设置了不分片标志位的ICMP报文除外)的发送功能。如果中间设备是NGFW,需要在设备上执行ip ttl-expires enable命令,开启ICMP超时报文发送功能;防火墙默认都是不允许tracert命令的,需要配置不同的命令进行开启。
huawei网络设备设置回显
z15158080的博客
01-17 2776
huawei网络设备设置回显 undo ter monitor
traceroute经过防火墙回显问题
weixin_47119622的博客
01-12 1984
linux系统traceroute默认使用UDP协议发送数据包,日常运维过程需要测试可能会忽略这一点,导致防火墙策略已经开放ICMP协议但是traceroute回显不正常。
安全HCIP之防火墙回显
XiaoHG_CSDN的博客
10-05 847
防火墙回显 配置防火墙允许回显:icmp ttl-exceeded send 注意:防火墙为了安全起见(不暴露自己的IP地址),默认情况下不处理TTL=1的探测报文,收到该报文后直接丢弃,且不会应; 此时tracert时,会有 * * * 出现的多数是防火墙设备; tracert x.x.x.x:用于探测去往某目标经过的三层设备的个数; tracert原理:发送探测报文TTL=1(第一跳)、TTL=2(第二跳)。。。依次类推,当中的三层设备收到TTL之等于1的报文时认为是发生环,报文无法继续转
华为HCIE-R&S(数通)论述题(五)
weixin_54493444的博客
09-30 1316
华为HCIE-R&S(数通)论述题(五)
常用网络工具_华为网络技术培训 经典中的经典
09-15
3. **telnet**:这是一种远程登录协议,允许用户通过命令行界面控制远程服务器,进行网络设备配置或测试端口开放情况。 4. **SSH(Secure Shell)**:相较于telnet,SSH提供加密的网络通信,增强了安全性,是远程...
华为技术资料集 常用网络工具的使用
12-08
8. **nmap**:网络安全扫描工具,能探测网络上活跃的主机、开放的端口和服务,对网络安全评估和网络审计至关重要。 9. **iperf**:网络带宽测试工具,可以测量网络的上传、下载速度和数据传输速率,帮助评估网络...
ICMP协议&服务器怎么开启关闭ICMP协议?
Wangduomi的博客
06-17 6581
一、ICMP协议简介 ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 ICMP使用IP的基本支持,就像它是一个更高级别的协议,但是,ICMP实际上是IP的一个组成部分,必须由每个IP模块实现。 二、ICMP协议的作用 .
华为交换机常用功能配置
basyn的专栏
05-22 3780
15.将文件“file-from-r1.bak”从R2下载到R1,并更名为“file-from-r2.bak”。13.使用display interface命令查看接口详细信息。15.R2配置为FTP服务器。16.删除R2上的文件“file-from-r1.bak”。11.设置空闲超时时间为20分钟,默认为10分钟。14.从R1使用Telnet方式登录到R2。尝试从R1用FTP工具登录到R2。19.示当前生效的配置信息。18.示以保存的配置文件。17.保存当前的配置文件。20.清除存储的配置文件。
问题1:PING不通 开启防火墙ICMP回显
weixin_34239169的博客
02-18 2100
问题:在虚拟机192.168.1.113上PING不通物理机192.168.1.114,但能在物理机上通过CRT连接上虚拟机 解决:开启防火墙ICMP回显Windows防火墙→高级设置→入站规则→文件和打印机共享(回显请求 - ICMPv4-In)→在【已启用】上打个勾 转载于:https://blog.51cto.com/13662944/2351169...
解决tracert经过防火墙示*号
友人A的博客
02-23 9910
存在问题: tracert一台经过防火墙的服务器IP地址,经过防火墙示*号。无法详细的示出tracert径信息。 解决方法: 1、配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能(危险操作) [USG5500]undo firewall defend tracert enable 查...
解除禁tracet_防火墙如可禁止tracert允许ping
weixin_42525387的博客
12-24 2184
问题描述FAQ:用户想在网络中禁止tracert,但允许ping。在策略中deny掉了icmp协议,tracert和ping都被禁止了。告警信息无处理过程在我们的设备上:ping时发出的报文类型为echo,类型码为8,应报文的类型为echo-reply,类型码为0tracert时,发出的报文类型和ping相同(但ttl值不同);返的icmp报文类型为ttl-exceeded, 类型码为 Typ...
WIN10 PING不通 开启防火墙ICMP回显
boy_hxm的专栏
01-11 6558
今天在Windows防火墙→高级设置→入站规则→文件和打印机共享(回显请求 - ICMPv4-In)→在【已启用】上打勾后还是没有icmp回显。经过一翻努力的查找和试探,终于找到了另一个回显请求。那就是虚拟机监控(回显请求-ICMPv6-In),见下图。开启了虚拟机监控(回显请求-ICMPv6-In)规则后网络邻居ping本机就有回显了。 ...
华为USG配置案例_允许trust区域ping通trust区域中的接口
热门推荐
荆盼的博客
08-18 1万+
允许trust区域ping通trust区域中的接口进入接口模式 service-manage ping permit  
评论 53
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

正在努力中的杨Sir

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值