组网:不涉及
问题描述:从本地测试终端10.242.17.41发起到远端服务器10.126.89.205的traceroute、ping和telnet。设备接口配置包过滤后tracert跟踪不可达,ping和telnet正常,将包过滤取消后tracert跟踪正常
接口配置
interface Ten-GigabitEthernet2/0/25.3000
description to-ZZmanCORE-BJDSoffice-1/0/25.3000
ip address 169.255.0.22 255.255.255.248
packet-filter 3888 inbound
acl number 3888
description office-to-idc-security_filter_acl
rule 0 permit icmp //允许icmp报文通过
rule 10 permit ip destination 10.9.196.100 0.0.0.1
rule 10 comment zhuanzhuan_gitlab
配置包过滤前
配置包过滤后
这种情况只能抓包来看tracert的报文类型。
经抓包对比后得知,交换机tracert时,发出的报文类型是udp,并且udp的端口号是大于1024的,windows PC tracert 发出的报文类型是icmp,现场设备发出的报文类型是udp类型,被一条acl的rule 65050 deny udp destination-port gt 1024给deny掉了。
交换机发出的
PC发出的
设备tracert功能正常,系被包过滤过滤掉了报文,可修改包过滤或使用PC等tracert报文类型为ICMP的设备进行 tracert跟踪
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作