企业禁ping/traceroute，如同作茧自缚，扳石头砸自己的脚。

这是典型的因噎废食！ICMP（IP Control Management Protocol）的设计初衷就是解决IP包在传输过程中遇到一些错误而报告源主机的一种机制。而源主机可能会因为ICMP被禁而无法到达源主机，源主机不知道网络发生了一些问题而造成通信障碍。

企业禁止ping/traceroute，是禁止外部IP来ping/traceroute 企业内部主机，内部主机之间应该是可以互相ping/traceroute的，但是万一内部主机与外部主机有通信障碍了，禁止了ping/traceroute该如何排错呢？用什么工具呢？所以全面地禁止ping/traceroute不是一种明智的选择！

据我对企业网的了解，公司一般会禁防火墙的traceroute，即禁止ICMP TTL expired，ICMP Destination Unreachable，这两个对应的就是traceroute 的工作原理，所以当traceroute 终点是防火墙、或途径防火墙，traceroute 的显示一般就是* * * ，让你看不出它的IP（虽然有时你可以尝试猜得出），这点在一定程度上可以将firewall 隐藏起来。

但即使是防火墙，一般也不禁止Ping，即不会禁止 ICMP type 0/8，即 ICMP Echo Request / Reply，这样可以非常方便网络排错，但是为了减少大流量的ping包对网络设备CPU资源的影响，会采用CoPP （Control Plane Policy）限速机制来限制ICMP发送速率。比如限制 ICMP rate 为 1 秒一个，这样的速率既便于排错又可以避免通过ICMP的网络攻击。

既然大家爱看，我就补充一点干货：

同学们了解Path MTU Discovery的工作原理吗？

依靠将IP包里DF == 1 （ Don't Fragment ），如果在传输路径中遇到 IP packet size > MTU，将被丢弃，同时发ICMP type 3 /code 4 给源主机，告诉它需要分片，而如果网络不分青红皂白禁了 ICMP，那就无法发送ICMP type 3 /code 4 给源主机了，只是把包默默地丢弃，而源主机却被蒙在鼓里不知情，还会一直发送数据，数据全部进入了一个大大地流量黑洞，这就是为什么有时用户无法访问网络的一个原因。所以对于ICMP要谨慎小心，要知道ICMP本来就是IP的一个辅助协议，竟然把它禁了，由此引起的后果有没有权衡过？