能ping通，但是tracerout不通，各位大神，小弟跪拜答案

飞过

小弟前阵子出去干活，在一台3750上做ntp，需要和远端的一个服务器做时钟同步，我是客户端，但是怎么做也同步不了，后来发现我能ping通远端的服务器，但是tracerout服务器的时候，在中途的一台设备上就停了，我认为的原因就是，中间的这台设备的端口把icmp功能禁掉了，所以tracerout不通。今天我想用gns3模拟这种情况，看看到底是不是因为这个原因导致的时钟无法同步，但是我用四台路由器做实验，拓扑是四台设备首尾相连，成一条线形拓扑，我把第三台的入接口的icmp功能禁掉了，然后又允许其他的功能都是permit，然后我测试的结果是ping第三台被禁掉接口的ip是不通的，结果是U.U.U，然后我ping第四台路由器，结果是可以穿过第三台路由器，成功ping通，但是我最够测试tracerout第四台路由器的时候，也成功了，请问这是为什么？还望各位大神不吝指教。PS：我记得tracerout的时候，这个协议会把途径的所有设备端口都ping一遍，如果哪个设备ping不通，tracerout的结果就会停在那个设备上


该贴已经同步到 飞过的微博

cvb

这可能是人家不想让你跟踪路径，这问题我也遇到过

zhouzongxi

飞过

cvb 发表于 2013-4-17 12:06
这可能是人家不想让你跟踪路径，这问题我也遇到过

我现在想用模拟实验做出来这种情况，就是能ping通，不能tracerout通的情况，我应该怎么配置命令

glen134

用ICMP访问列表！！！
比如源网络是 172.22.0.0/16 在一台路由器上设置拒绝从172.22.0.0/16到任意目的地的ICMP traceroute
access-list 111 deny icmp 172.22.0.0 0.0.255.255 any traceroute
access-list 111 permit ip any any!!!

飞过

glen134 发表于 2013-4-17 15:01
用ICMP访问列表！！！
比如源网络是 172.22.0.0/16 在一台路由器上设置拒绝从172.22.0.0/16到任意目的地的 ...

tracerout不是一个单独的协议吧，他是调用ping命令，然后逐一测试和途径设备的连通性，所以我只要关闭中间某个设备的icmp，就能阻断tracerout了吧，而且我也试过了您给的命令，但好像还是不行，tracerout还是能通

∝、ＭｙＬī。

ping也是基于icmp的，所以肯定不是关了ICMP，可能是禁了tracert的端口。

briwind

学习了

glen134

飞过 发表于 2013-4-17 17:01
tracerout不是一个单独的协议吧，他是调用ping命令，然后逐一测试和途径设备的连通性，所以我只要关闭中间 ...

access-list 111 permit ip any any把这个no掉就行了

glen134

glen134 发表于 2013-4-19 21:18
access-list 111 permit ip any any把这个no掉就行了

或者换成 access-list 111 permit icmp any any

庄歪

xie990

regex1982

traceroute基于UDP协议（高端口号）+ICMP协议，tracert基于ICMP协议。

飞过

regex1982 发表于 2013-5-3 10:14
traceroute基于UDP协议（高端口号）+ICMP协议，tracert基于ICMP协议。

，不懂，这位大哥可否详细讲一下，或者给小弟发一份文档什么的，我现在想模拟出一个环境，就是从起点到终点能ping通，但是如果tracerout的话，到了中间的某台设备就通不了了，请问具体的配置命令是什么

regex1982

飞过 发表于 2013-5-3 14:04
，不懂，这位大哥可否详细讲一下，或者给小弟发一份文档什么的，我现在想模拟出一个环境，就是从起点到终 ...

中间设备是否有应用ACL？