• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点MSR G2路由器Tracert显示异常经验案例

2017-07-12 发表
  • 0关注
  • 0收藏 1591浏览
吕甲南
吕甲南 九段
粉丝:36人 关注:1人

设备:MSR5660

版本:R0305P08

PC通过二层网络连接到MSR5660,网关为MSR5660G0/0接口。在PCtracert Server,发现tracert回显异常。

正常回显,可以正确显示下一跳。

C:\Documents and Settings\Administrator>tracert -d 192.168.2.1

Tracing route to 192.168.2.1 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.254

  2     1 ms     1 ms    <1 ms  10.1.12.2

  3     2 ms     1 ms     1 ms  10.1.23.3

  4     2 ms     2 ms     2 ms  192.168.2.1

Trace complete.

异常回显,除最后一跳,下一跳都为网关地址。

C:\Documents and Settings\Administrator>tracert -d 192.168.2.1

Tracing route to 192.168.2.1 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.254

  2     1 ms     1 ms     1 ms  192.168.1.254

  3     2 ms     1 ms     1 ms  192.168.1.254

  4     2 ms     2 ms     3 ms  192.168.2.1

Trace complete.

通过测试发现只有最后一跳可以正确显示,前面所有回显都为网关地址。在PC上和R2R3之间抓包分析。

通过抓包分析,R3已经正确回复了ICMP差错报文(TTL超时),源IP地址为R3的接口地址。经过R1后,源地址变为了R1的接口地址。也就是MSR5660ICMP差错报文的源地址进行了更改。

通过抓包分析,发送至最后一跳,也就是tracert的目的设备的报文没有被转换,该报文为正常的ICMP Echo reply报文,非ICMP差错报文。

 

经确认,我司产品实现原理参照RFC5508

       address varies depending on whether the Basic NAT or NAPT function

   [NAT-TRAD] is enforced by the NAT device.  A NAT device enforcing the

   Basic NAT function has a pool of public IP addresses and enforces

   address mapping (which is different from the endpoint mapping

   enforced by NAPT) when a private node initiates an outgoing session

   via the NAT device.  So, if the NAT device has active mapping for the

   IP address of the intermediate node Router-y, the NAT device MUST

   translate the source IP address of the ICMP Error packet with the

   public IP address in the mapping.  In all other cases, the NAT device

   MUST simply use its own IP address in the external domain to

   translate the source IP address.

RFC来看,当有nat session时,使用public地址转换ICMP差错报文源地址,其它情况使用接口地址转换ICMP差错报文源地址。其目的是为了保护私网地址不被泄露。

 

检查设备配置,发现内网接口有不相关的NAT配置,当从内网PC Tracert到公网的时候,回程的ICMP差错报文没有匹配上nat server,使用地址转换ICMP差错报文源地址,导致所有的差错报文都为G0/0的接口地址,最后一跳由于是正常的ICMP Echo reply报文,该报文没有被转换。PCTracert看到的现象就是除了最后一跳,剩下的每一跳都为网关G0/0的接口地址。

[H3C-GigabitEthernet0/0]display this

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 192.168.1.254 255.255.255.0

 ospf 1 area 0.0.0.0

 nat server protocol tcp global 1.1.1.1 inside 2.2.2.2

#

由于客户内网并无NAT Server需求,将G0/0接口下的NAT Server去掉后,Tracert回显正常。

已提交需求,针对RFC5508功能做一个开关控制。

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作