防火墙做IRF，接口配从地址有什么限制吗？

当从同一个物理接口发出报文时，防火墙的本地发包机制通常默认会优先选择接口的主地址作为源IP。即便你在命令里用 -a 参数指定了从地址，防火墙在处理这个报文时，可能因为内部路由或转发表项的查找逻辑，最终还是“绕过”了你的指定，用主地址发了出去，或者因为源地址和期望的不匹配而直接被丢弃。

1. 检查并开启ICMP差错报文控制

这是最关键的一步。很多H3C防火墙默认关闭了 tracert 必需的报文回应功能。

在防火墙的系统视图下，执行以下命令：

ip ttl-expires enable

执行后再次测试。如果问题依旧，进行下一步。

2. 检查并放行安全策略

你需要在安全策略中，明确放行源地址为 10.192.6.6 的流量，并且不能仅放行 ping 协议。

tracert 同时使用了 ICMP 和 UDP 报文（默认使用UDP高端口），因此策略需要放行这两种协议。

检查方向：从防火墙本身（Local域）发起的流量。

可以参考以下策略示例（以Web配置为例，或在命令行配置）：

特别注意：在配置安全策略时，除了上述从Local域到Trust域的放行策略，还需要检查Trust域到Local域是否有允许返回的ICMP差错报文的策略，即放行 icmp-type time-exceeded 和 icmp-type port-unreachable。

配置后再次测试。如果问题依旧，进行下一步。

3. 检查策略路由的匹配逻辑

如果你配置了策略路由（PBR），也可能影响流量走向。

1. 检查策略路由的匹配规则，是否只匹配了源地址为 10.192.6.5 或 10.192.6.0/24 网段。

2. 确保源地址 10.192.6.6 被正确地匹配，并应用了正确的下一跳和出接口。如果策略路由将流量引向了错误的方向，tracert 也会失败。

4. 检查防火墙是否开启了防攻击保护

有些安全防护功能会直接丢弃 tracert 报文。

检查并尝试关闭以下功能：