本文介绍了如何在运行Junos OS 9.6及更高版本的SRX设备上配置允许ICMP-Traceroute的特定应用程序,以解决TTL大于1的数据包被丢弃的问题。内容包括配置UDP和ICMP Traceroute的应用示例,以及通过Wireshark抓包分析防火墙如何处理Traceroute数据包。
通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数,Junos-OS提供是的默认参数命令Hidden的,junos-defaults group包含了预定义的参数和通用的应用状态;
Junos-OS软件使用的提供的Traceroute的应用配置如下所示:
Traceroute application:
application junos-traceroute {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
}
The traceroute application stops at the device supporting the firewall (packets with ttl > 1 will be discarded).
application junos-traceroute-ttl-1 {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 1;
}
以上应用配置仅支持在J-Series基于数据包设备(junos-os 9.3是最后一版本)
现在,必须配置一个特定的应用程序来显式地允许traceroute包在运行Junos OS 9.6及以后版本的SRX设备上,而不是上面提到的应用程序。
当配置以上指定 的应用协议和TTL溢出值时,将会显示以下报错:
application traceroute {
##
## Warning: statement ignored: unsupported platform (srx210h-poe)
##
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
