Tracert 第一跳不同的子网

网络工程 路由 IPv4 tcp 子网
2022-02-14 14:08:22

有人可以告诉我以下如何可能吗?

我有一个远程站点,与总部的 L2 连接。客户端是这样配置的...

  • 客户端 (rc01) IP 地址 10.1.1.1/24
  • 网关 10.1.1.254/24(问题:我无法访问或控制此设备)

HQ Edge 防火墙详细信息...

  • 内部 192.168.1.1/24
  • 外部 100.1.0.1/30

HQ 示例服务器...我们称之为 hq01

  • 192.168.1.2/24
  • 网关 192.168.1.1/24

当我从 rc01 -> hq01 运行 tracert 时,第一个响应来自 hq01。但是,如果我执行相反的操作(hq01 -> rc01),则第一个响应来自预期的 hq 防火墙的内部接口。

rc01 如何在不先通过网关的情况下找到 hq01?

1个回答

防火墙可以设置为不减少 ttl(生存时间)作为弱安全功能,以使其不可见。这是 ASA 上的默认设置。

解释你的场景,

FW(10.1.1.254) 在服务器范围 192.168.1.0/24 中有一个接口。然后 ttl=1 的 traceroute 将命中 hq01 并在 FW 将数据包传递到直接连接的子网时得到响应,而不会减少 ttl。

在相反的方向上,您的服务器 hq01 使用真正的路由器,并将其视为第一跳,FW 再次被隐藏(没有 ttl 递减),接下来您会看到 pc。

跟踪路由概述

其它你可能感兴趣的问题
上一篇TTl !=1 ICMP Port Unreachable 消息中的值 (traceroute) 下一篇通过 VPN 连接我们的客户