需要拒绝其他设备tracert到路由器,执行undo ip unreachable 和undo ip ttl后提示功能禁用了,但是依然能tracert到该路由器。
怎样能拒绝其他设备或终端tracert到路由器。
(0)
最佳答案
要拒绝其他设备或终端tracert到路由器,您可以在路由器上配置ACL,将ICMP协议的报文给拒绝。因为tracert功能是基于ICMP协议来实现的,如果路由器不回应ICMP报文,就无法显示路由器的地址1。
具体的配置步骤如下:
例如,如果您的路由器的三层接口是GigabitEthernet 1/0/1,您可以执行以下命令:
<H3C> system-view
[H3C] acl basic 2000
[H3C-acl-basic-2000] rule deny icmp
[H3C-acl-basic-2000] rule permit
[H3C-acl-basic-2000] quit
[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter 2000 inbound
(0)
acl限制icmp
(0)
实现不了
通过ACL,可以只禁止TRACERT,不禁止ping吗
不行
那有没有只禁用tracert的办法呢
防火墙可以做到
路由器自身可以实现吗
实现不了
开启ip ttl-expires enable和ip unreachables enable这两条命令,不是undo掉,开启后就不会tracert到节点
(0)
我用模拟器测试了,开启是禁止tracert,undo就会禁止掉,但是刚在真是路由器上就不行
我用模拟器测试了,开启是禁止tracert,undo就会禁止掉,但是刚在真是路由器上就不行
1、ACL一般应用到接口上
2、可用icmp的类别或者报文类型来区分ping 和tracert ,ping用的是表1-9里红色那组,tracert 用的绿色那组
3、undo ip ttl-expires enable是可以禁止掉其它设备tracert的
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
全局的话是要怎么操作,我没有找到,还有就是ACL禁用ICMP,那路由器自身也就ping不出去了。