有时为了排查网络的连通性需要用到Traceroute,然而有的设备默认并不开启路由跟踪,在排查故障的时候有时会要用到tracert来判断路由的正确性。
  机房里有一台 H3C SecPath 和天融信防火墙相连,其他还有几台路由设备。在天融信上做了路由,访问的时候不通,由于路由设备较多,排查的时候使用tracert到H3C的设备就不通了,SecPath 没有ip ttl-expires enable、ip unreachables enable、ip df-unreachables enable这样的命令,于是考虑做访问策略,写了以下策略用在了SecPath的主机相连端口进方向:


rule 1 permit icmp icmp-type echo          #回显请求
rule 2 permit icmp icmp-type echo-reply      #回显应答
rule 3 permit icmp icmp-type ttl-exceeded     #ICMP超时响应报文
rule 4 permit icmp icmp-type port-unreachable  #ICMP端口不可达


然后trace经SecPath,还是不行,在官网找了资料,相关配置说:


 firewall defend tracert 命令用来打开tracert 报文***防范功能


   当时比较着急并未理解这句话的含义,把这个命令敲上了还是不行,为进一步排查打开了debug功能: