企业中禁ping和tracert有什么实际意义? |
您所在的位置:网站首页 › tracert -s › 企业中禁ping和tracert有什么实际意义? |
企业禁ping/traceroute,如同作茧自缚,扳石头砸自己的脚。 这是典型的因噎废食!ICMP(IP Control Management Protocol)的设计初衷就是解决IP包在传输过程中遇到一些错误而报告源主机的一种机制。而源主机可能会因为ICMP被禁而无法到达源主机,源主机不知道网络发生了一些问题而造成通信障碍。 企业禁止ping/traceroute,是禁止外部IP来ping/traceroute 企业内部主机,内部主机之间应该是可以互相ping/traceroute的,但是万一内部主机与外部主机有通信障碍了,禁止了ping/traceroute该如何排错呢?用什么工具呢?所以全面地禁止ping/traceroute不是一种明智的选择! 据我对企业网的了解,公司一般会禁防火墙的traceroute,即禁止ICMP TTL expired,ICMP Destination Unreachable,这两个对应的就是traceroute 的工作原理,所以当traceroute 终点是防火墙、或途径防火墙,traceroute 的显示一般就是* * * ,让你看不出它的IP(虽然有时你可以尝试猜得出),这点在一定程度上可以将firewall 隐藏起来。 但即使是防火墙,一般也不禁止Ping,即不会禁止 ICMP type 0/8,即 ICMP Echo Request / Reply,这样可以非常方便网络排错,但是为了减少大流量的ping包对网络设备CPU资源的影响,会采用CoPP (Control Plane Policy)限速机制来限制ICMP发送速率。比如限制 ICMP rate 为 1 秒一个,这样的速率既便于排错又可以避免通过ICMP的网络攻击。 既然大家爱看,我就补充一点干货: 同学们了解Path MTU Discovery的工作原理吗? 依靠将IP包里DF == 1 ( Don't Fragment ),如果在传输路径中遇到 IP packet size > MTU,将被丢弃,同时发ICMP type 3 /code 4 给源主机,告诉它需要分片,而如果网络不分青红皂白禁了 ICMP,那就无法发送ICMP type 3 /code 4 给源主机了,只是把包默默地丢弃,而源主机却被蒙在鼓里不知情,还会一直发送数据,数据全部进入了一个大大地流量黑洞,这就是为什么有时用户无法访问网络的一个原因。所以对于ICMP要谨慎小心,要知道ICMP本来就是IP的一个辅助协议,竟然把它禁了,由此引起的后果有没有权衡过? |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |