怎样写网络小说,盗墓笔记txt全集下载,如何发布网络小说

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

H3C防火墻開啟路由跟蹤-創(chuàng)新互聯(lián)

有時為了排查網絡的連通性需要用到Traceroute，然而有的設備默認并不開啟路由跟蹤，在排查故障的時候有時會要用到tracert來判斷路由的正確性。
機房里有一臺 H3C SecPath 和天融信防火墻相連，其他還有幾臺路由設備。在天融信上做了路由，訪問的時候不通，由于路由設備較多，排查的時候使用tracert到H3C的設備就不通了，SecPath 沒有ip ttl-expires enable、ip unreachables enable、ip df-unreachables enable這樣的命令，于是考慮做訪問策略，寫了以下策略用在了SecPath的主機相連端口進方向：

創(chuàng)新互聯(lián)建站長期為1000+客戶提供的網站建設服務，團隊從業(yè)經驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網生態(tài)環(huán)境。為茂南企業(yè)提供專業(yè)的成都網站建設、網站建設，茂南網站改版等技術服務。擁有十多年豐富建站經驗和眾多成功案例,為您定制開發(fā)。

rule 1 permit icmp icmp-type echo      #回顯請求
rule 2 permit icmp icmp-type echo-reply    #回顯應答
rule 3 permit icmp icmp-type ttl-exceeded   #ICMP超時響應報文
rule 4 permit icmp icmp-type port-unreachable #ICMP端口不可達

然后trace經SecPath，還是不行，在官網找了資料，相關配置說：

firewall defend tracert 命令用來打開tracert 報文***防范功能

當時比較著急并未理解這句話的含義，把這個命令敲上了還是不行，為進一步排查打開了debug功能：
terminal debugging
terminal monitor
debugging firewall packet-filter all
找到了相關報文：

H3C防火墻開啟路由跟蹤

唯一覺得比較有問題的地方就是：rcvIfName(1023)=InLoopBack0

這里出現(xiàn)了一個環(huán)回接口，難道相關報文被丟到了InLoopBack0，查找配置文件沒發(fā)現(xiàn) InLoopBack0接口的配置，所以我覺得在圖形界面里又該有相關設置，在最相關的“防火墻管理”、“***防范里”有一項“路由跟蹤***”，將該項去掉，然后再試果然可以了?。?/p>

通過對比之前的配置文件發(fā)現(xiàn)少了一句firewall defend tracert，這時才明白這條命條是打開報文***防范功能，而不是tracert！一時疏忽竟繞了個大彎子。現(xiàn)在trace 也可以通過天融信防火墻，該條命令不但阻止本地路由被跟蹤其他經過的報文也會被丟棄。
至此，具體配置可以這樣：

1、在內部接口的IN方向：
rule 0 permit icmp source X.X.X.X 0 #想要允許的IP

以下規(guī)則禁止其他所有ping內網
rule 1 deny icmp destination 10.0.0.0 0.255.255.255 icmp-type echo
rule 2 deny icmp destination 172.16.0 0.15.255.255 icmp-type echo
rule 3 deny icmp destination 192.168.0.0 0.0.255.255 icmp-type echo

所有主機可以ping外網
rule 4 deny icmp icmp-type echo

其他類型的ICMP報文（tracert）禁止通行
rule 10 deny icmp

2、在設備外部接口的IN方向

無限制的IP
rule 0 permit icmp source X.X.X.X 0

允許所有主機ping外網的回顯報文
rule 1 permit icmp icmp-type echo-reply

允許Tracert的回顯信息
rule 2 permit icmp icmp-type ttl-exceeded
rule 3 permit icmp icmp-type port-unreachable #最好有這一條traceroute需要port-unreachable的ICMP返回包
rule 10 deny icmp #其他禁用

當然首先關閉防路由跟蹤功能：undo firewall defend tracert

以上設置完后只有允許的IP可以無限使用ICMP，其他主機只能使用ping，且只能ping通外網地址，互聯(lián)網用戶不能使用ICMP與外網設備通信，這樣設置相對安全。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站名稱：H3C防火墻開啟路由跟蹤-創(chuàng)新互聯(lián)
文章轉載：http://fisionsoft.com.cn/article/dcopeo.html

新聞中心

其他資訊