• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1050防火墙为业务网关,ping测试业务后防火墙回复icmp type3 code 0

2021-09-26提问
  • 0关注
  • 1收藏,1413浏览
粉丝: 关注:

问题描述:

设置列表

  • 有序列表
  • 无序列表

对齐方式

  • 靠左
  • 居中
  • 靠右

设备型号:F1050

设备版本:version: 7.1.064, Release 9313P12

当前拓扑


问题描述:

221.208.164.10 访问 10.160.95.11 访问失败,通过ping测试 ,

当前收集的信息1

<4a-fw02>tracert -a 221.208.164.6 10.160.95.1 traceroute to 10.160.95.1 (10.160.95.1) from 221.208.164.6, 30 hops at most, 52 bytes each packet, press CTRL_C to break 

 1 10.10.40.1 (10.10.40.1) 0.434 ms 0.304 ms 0.315 ms

 2 10.10.20.1 (10.10.20.1) 2.524 ms 0.846 ms 0.722 ms



双方路由没有问题,通过OSPF学习,中间的FW1 的2个接口在相同区域,应该没有问题,使用的测试是域间策略引用ACL的那种;

%Sep 26 12:48:22:193 2021 4a-fw02 FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -COntext=1; SrcZoneName(1025)=IpAsDomain;DstZoneName(1035)=Trust;Type(1067)=ACL;Acl(1068)=2222;RuleID(1078)=0;Protocol(1001)=ICMP;SrcIPAddr(1003)=221.208.164.10;DstIPAddr(1007)=10.160.95.11;IcmpType(1062)=ECHO(8);IcmpCode(1063)=0;MatchCount(1069)=296;Event(1048)=Permit

也抓到策略允许通过的提升


但是在FW2上抓debug 发现网关回复icmp type3 code 0 的网络不可达信息 ,通过在221.208.194.11安装抓包软件 发现也是网关回复这个icmp type3 code 0 

*Sep 26 10:00:02:206 2021 4a-fw02 IPFW/7/IPFW_PACKET: -COntext=1; 

 Sending, interface = Vlan-interface611 

version = 4, headlen = 20, tos = 0

 pktlen = 80, pktid = 40076, offset = 0, ttl = 255, protocol = 1 

checksum = 7022, s = 221.208.164.6, d = 221.208.164.10 channelID = 0,

 vpn-InstanceIn = 0, vpn-InstanceOut = 0. prompt: 

Sending IP packet from local at interface Vlan-interface611. Payload: ICMP type = 3, code = 0, checksum = 0x6163.   

这边


但是感觉这边的会话应该是正常的

dis session table ipv4 protocol icmp verbose 

 Slot 1: 

Initiator: 

 Source IP/port: 221.208.164.10/9 

 Destination IP/port: 10.160.95.11/2048 

 DS-Lite tunnel peer: 

- VPN instance/VLAN ID/Inline ID: -/-/- 

 Protocol: ICMP(1) Inbound interface: Vlan-interface611 

 Source security zone: IpAsDomain 

Responder: 

 Source IP/port: 10.160.95.11/9 

 Destination IP/port: 221.208.164.10/0 

 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- 

 Protocol: ICMP(1) Inbound interface: GigabitEthernet1/0/23 

 Source security zone: Trust 

State: ICMP_REPLY Application: ICMP Start time: 2021-09-26 01:22:16 TTL: 29s 

Initiator->Responder: 52876 packets 3172560 bytes 

Responder->Initiator: 52876 packets 3172560 bytes 


相关配置

***.***/surl_yMAIpPfiNMG (提取码:5f94)​








组网及组网描述:

设置列表

  • 有序列表
  • 无序列表

配置信息在附件里 

最佳答案

粉丝:39人 关注:10人

最好是抓包看一下,ICMP差错报文是谁发的。

30Network Unreachable——网络不可达 x

是网关防火墙发的

发表时间:2021-09-26 更多>>

是网关防火墙发的

发表时间:2021-09-26
2 个回答
知了小白
粉丝: 关注:

我的故障是  221.208.164.10无法访问10.160.95.11 ,发现网关回复 icmp type 3 code0 是我排查故障发现的但是不知道是不是他导致的,[污]   还是其他原因。排查不出来了

或者 有什么命令能查看数据包被没被防火墙丢弃?

链接:https://pan.baidu.com/s/1NPsqiovkGhyuJMs0GW8oZQ 提取码:1234 配置信息

发表时间:2021-09-26 更多>>

各位大佬

发表时间:2021-09-26

链接:https://pan.baidu.com/s/1NPsqiovkGhyuJMs0GW8oZQ 提取码:1234 配置信息

发表时间:2021-09-26
粉丝:22人 关注:1人

说明网关防火墙没有到这个目的地址的路由。

主要是由路由 而且双方网关 互ping都通, 路由没有问题,所以才纠结到底是不是网关导致的,

发表时间:2021-09-26 更多>>

<4a-fw02>tracert -a 221.208.164.6 10.160.95.1 traceroute to 10.160.95.1 (10.160.95.1) from 221.208.164.6, 30 hops at most, 52 bytes each packet, press CTRL_C to break 1 10.10.40.1 (10.10.40.1) 0.434 ms 0.304 ms 0.315 ms 2 10.10.20.1 (10.10.20.1) 2.524 ms 0.846 ms 0.722 ms 有的有的 双方网关ping测试 路由 teracer 都是可达的

发表时间:2021-09-26
回复:

那找一下这个包是谁发的,说明有设备一直发这个目的地址不可达报文,导致其他设备都认为目的不可达。

知什么了 发表时间:2021-09-26

网关发的

发表时间:2021-09-26

主要是由路由 而且双方网关 互ping都通, 路由没有问题,所以才纠结到底是不是网关导致的,

发表时间:2021-09-26

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明