学员提问:
内网经过防火墙tracert外网ip,在成功的情况下,只能看到最后一跳成功的纪录,其他都是“*” ;如果不成功,则全部都是看到“*”号,也就是返回包全部被FWSM外部接口丢弃了,这样对于诊断网络问题及其不方便,无法知道哪一跳不通。请问怎么设置可以避免?其实只要隐藏防火墙接口那一跳就行了。
捷盈讲师及学员解答:
如果你使用acl,需要下面这些:
permit time-exceeded
permit unreachable
如果你用inspect,那直接在class里inspect icmp就可以
如果你做了nat和inspect,你可能在trace的时候得到的是nat的地址