客户的设备是sr6608,在设备的端口上配置了ACL禁止策略,但是因此产生大量icmp type3code13报文。
在debug信息中会看到有如下信息:
*Jan 31 15:48:03:770 2018 pjsnjvs02 SOCKET/7/ICMP: -Slot=3;
ICMP Output:
ICMP Packet: src = 11.127.249.138, dst = 11.28.182.155
type = 3, code = 13 (communication-filter-forbidden)
Original IP: src = 11.28.182.155, dst = 11.25.47.176
proto = 6, first 8 bytes = 19D70D3D 411A44BF
*Jan 31 15:48:03:770 2018 pjsnjvs02 SOCKET/7/ICMP: -Slot=3;
ICMP Output:
ICMP Packet: src = 11.127.249.138, dst = 11.28.182.155
type = 3, code = 13 (communication-filter-forbidden)
Original IP: src = 11.28.182.155, dst = 11.25.47.176
proto = 6, first 8 bytes = 19D70D3D 411A44BF
debug到的信息如下:
*Jan 31 15:48:03:770 2018 pjsnjvs02 SOCKET/7/ICMP: -Slot=3;
ICMP Output:
ICMP Packet: src = 11.127.249.138, dst = 11.28.182.155
type = 3, code = 13 (communication-filter-forbidden)
Original IP: src = 11.28.182.155, dst = 11.25.47.176
proto = 6, first 8 bytes = 19D70D3D 411A44BF
这段debug是:11.28.182.155发送报文给11.25.47.176但是在11.127.249.138处配置了ACL给deny掉了,然后11.127.249.138又给11.28.182.155回了一个ICMP报文这段debug是:11.28.182.155发送报文给11.25.47.176但是在11.127.249.138处配置了ACL给deny掉了,然后11.127.249.138又给11.28.182.155回了一个ICMP报文。
其中:
type=3, 不可达。
code=13, 被过滤掉了。
发现客户的配置中有ip unreachables enable,所以,在打开icmp不可达功能,并且有不可达报文,这个是正常现象。如果想避免发送太多icmp不可达报文。建议关闭icmp不可达,命令:undo ip unreachables enable
发现客户的配置中有ip unreachables enable,所以,在打开icmp不可达功能,并且有不可达报文,这个是正常现象。如果想避免发送太多icmp不可达报文。建议关闭icmp不可达,命令:undo ip unreachables enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作