ACG1000-AK240
- 0关注
- 0收藏,59浏览
1. 全局关闭ICMP
通过ACL拒绝所有ICMP流量:
[ACG] acl 3000
[ACG-acl-adv-3000] rule deny icmp any any
[ACG-acl-adv-3000] quit
[ACG] interface GigabitEthernet0/0/1
[ACG-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
[ACG-GigabitEthernet0/0/1] quit
此配置会阻断所有ICMP报文(含ping、Traceroute使用的ICMP类型)。
2. 阻断Traceroute(基于ICMP)
若Traceroute依赖ICMP,上述ICMP阻断已生效。若需单独控制,可在应用识别中禁用Traceroute应用:
[ACG] application-traffic-control
[ACG-application-traffic-control] application deny traceroute
结论:可通过ACL全局关闭ICMP实现对Traceroute的阻断,或结合应用识别单独控制。配置后需验证流量(如ping、Traceroute)是否被阻断。
ACG1000‑AK240 没有一条命令能 “全局彻底关闭 ICMP / Traceroute”,但可以做到:
禁止设备自身响应 ping(echo-reply)
禁止设备自身发出 ttl‑expires /unreachable(影响 traceroute)
通过策略全局阻断内网→外网的 ICMP 和 traceroute 流量
下面分两块说:设备自身、流量策略。
一、关闭设备自身的 ICMP 响应(别人 ping 不到 ACG)
ACG1000(Comware V7 内核)支持关闭 ICMP 回显应答:
bash
运行
system-view
# 关闭本机响应 ping(别人 ping 设备,设备不回)
undo icmp echo-reply enable
验证:
bash
运行
display current-configuration | include icmp
与 traceroute 相关的两条(默认就是关闭)
bash
运行
# 关闭 TTL 超时应答(traceroute 靠这个显示路径)
undo ip ttl-expires enable
# 关闭目的不可达应答
undo ip unreachables enable
默认这两条就是 关闭,所以别人 traceroute 经过 ACG 时,这一跳会显示 * * *。
效果:
ping ACG 本身 → 不通
traceroute 经过 ACG → 不暴露自身 IP
二、全局阻断所有终端的 ICMP / Traceroute 流量(内网→外网)
如果你的意思是:内网所有机器都不能 ping、不能 traceroute 外网,要在 ACG 上全局拦。
1)命令行方式(ACL + 策略)
bash
运行
system-view
# 1. 禁止 ICMP(ping)
acl advanced 3000
rule deny icmp
# 2. 禁止 Linux traceroute 默认 UDP 端口段 33434–33534
acl advanced 3001
rule deny udp destination-port 33434 to 33534
# 3. 在全局/出方向调用(根据你的模式:路由/透明)
# 假设外网口是 ge1
interface GigabitEthernet1
packet-filter 3000 outbound
packet-filter 3001 outbound
这样:
内网任何主机 ping 外网 → 被 ACG 拦截
内网 Linux traceroute 外网 → 被拦截
Windows tracert 用 ICMP → 也被拦截
2)Web 界面方式(更常用)
登录 ACG Web → 策略配置 → 访问控制 → ACL
新建 ACL:
协议:ICMP → 拒绝
协议:UDP,目的端口 33434–33534 → 拒绝
将 ACL 应用到 外网接口出方向 或 全局安全策略。
三、总结(你要的一句话)
不能用一条命令 “全局关闭 ICMP/Traceroute 功能”;
但可以:
undo icmp echo-reply enable:设备自身不响应 ping;
默认已关闭 ttl-expires/unreachables:不泄露 traceroute 路径;
配置 ACL 阻断 ICMP+UDP 33434–33534:内网所有终端无法 ping/traceroute 外网。
暂无评论
具体配置方法
1. 通过命令行关闭ICMP功能
# 登录设备命令行(通过telnet或ssh)
H3C> enable
H3C# configure terminal
# 关闭ICMP应答功能
H3C(config)# icmp echo-reply disable
# 或者更严格的ICMP限制
H3C(config)# access-list 100 deny icmp any any
H3C(config)# access-list 100 permit ip any any
H3C(config)# interface ge0/0 # 根据实际接口调整
H3C(config-if)# ip access-group 100 in2. 关闭Traceroute功能
# 禁止ICMP TTL超时消息
H3C(config)# no ip unreachables
# 或者通过ACL限制
H3C(config)# access-list 101 deny udp any any range 33434 33534
H3C(config)# access-list 101 deny icmp any any time-exceeded
H3C(config)# access-list 101 permit ip any any通过Web界面配置(如果支持)
- 登录Web管理界面
- 进入"安全策略"或"访问控制"模块
- 创建新的访问控制策略
- 设置规则:
- 协议类型:ICMP
- 动作:拒绝
- 应用范围:全局
注意事项
- 影响评估:关闭ICMP可能会影响网络诊断工具(如ping)的使用
- 业务影响:某些应用程序可能依赖ICMP进行网络状态检测
- 建议测试:在生产环境应用前,建议在测试环境验证配置效果
- 备份配置:修改前请备份当前配置,以便出现问题时快速恢复
推荐操作步骤
- 通过SSH登录设备命令行
- 执行上述ICMP和Traceroute限制命令
- 保存配置:
save config - 验证效果:从外部网络测试ping和traceroute是否被阻止
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论