防火墙排查错误开启tracert功能的方法

1.问题描述

今天在防火墙USG6320电信和联通双线基础上，加了一条银企直联专线，完成NAT等基础配置后，进行ping测试，网络联通没有问题，为进一步确认添加的明细路由是否通过该专线出去到银行的服务器，于是进行tracert路由跟踪，当跳数到三层核心设备后，跳数超时。 经查在线技术文档，是这样描述的： 高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试, 需要开启tracert功能的命令,看到每一跳的路径。 并不是所有的防火墙开启ip unreachables enable 都可以启用,不同的防火墙命令各不相同。

2.处理过程

防火墙默认都是不允许tracert命令的,需要配置不同的命令进行开启。 需要采用以下步骤进行开启tracert功能。

第一步，关闭防火墙报文攻击防范功能

1. [HAOPYTHON_USG6500_1]undo firewall defend tracert enable  
2. 15:21:40  2019/04/08  

第二步，防火墙作为中间设备需要配置开启ICMP超时报文功能

1. [HAOPYTHON_USG6500_1]ip ttl-expires enable  
2. 15:26:21  2019/04/08  

第三步,如果作为目的设备开启ICMP目的不可达报文发送功能

如果目的端是NGFW,需要在设备上执行ip unreachables enable命令。

ip unreachables enable命令用来启用ICMP目的不可达报文(需要分片但设置了不分片标志位的ICMP报文除外)的发送功能。

3.路由跟踪测试

1. C:\Users\surface>tracert 15.0.32.17*  
2. 通过最多 30 个跃点跟踪到 15.0.32.170 的路由  
3.   1     4 ms     4 ms     4 ms  10.128.3*.1  
4.   2     5 ms     5 ms     4 ms  10.12*.254.1  
5.   3     1 ms     1 ms     1 ms  10.12*.250.1  
6.   4     4 ms     5 ms     4 ms  192.168.111.146  
7.   5    19 ms    18 ms    16 ms  199.199.3.33  
8.   6    17 ms    16 ms    16 ms  16.0.225.97  
9.   7    17 ms    17 ms    17 ms  16.0.225.73  
10.   8    17 ms    18 ms    16 ms  16.0.225.130  
11.   9    18 ms    17 ms    17 ms  16.0.226.26  
12.  10    76 ms    75 ms    75 ms  11.239.139.9  
13.  11    76 ms    76 ms    79 ms  11.239.133.129  
14.  12    77 ms    77 ms    77 ms  11.239.225.34  
15.  13    75 ms    75 ms    77 ms  11.239.5.2  
16.  14    73 ms    72 ms    72 ms  11.152.250.85  
17.  15    73 ms    72 ms    72 ms  11.152.250.230  
18.  16    73 ms    72 ms    73 ms  11.152.250.1  
19.  17    73 ms    73 ms    73 ms  11.152.250.1  
20.  18    73 ms    77 ms    74 ms  11.152.250.1  
21.  19    73 ms    73 ms    73 ms  15.0.32.17*  
22. 跟踪完成。  

4.建议与总结

高低端防火墙默认都是不允许tracert命令的,会影响我们调测过程中排错,以及验收时的主备倒换测试,

根据不同的防火墙命令,需要开始开启不通的tracert功能的命令,看到每一跳的路径。