引自免费微信小程序:皆我百晓生
首先,根据您提供的信息,我们来分析这个问题:
-
内网ping通:内网电脑可以ping通任何IP,无论是私网还是被禁止ping的企业IP,这表明网络的基本可达性没有问题。可能是由于防火墙或行为管理器的配置允许ICMP回应,或者这些IP在某些规则中被设置为可ping。
-
tracert异常:正常情况下,tracert应该显示下一跳为电脑的网关,但在有问题的网络中,tracert显示超时,可能是因为防火墙阻止了traceroute的ICMP请求,或者路径上存在其他阻止traceroute的行为。
解决方案步骤:
步骤1:检查防火墙规则
- 确认防火墙是否配置了允许ICMP回应的规则,特别是针对ping和traceroute的规则。检查是否设置了特定的白名单,允许特定源IP进行ping操作。
- 防火墙配置文件中查找与ICMP相关的条目,可能需要查看"允许ping"或"允许traceroute"的设置。
代码示例(如果防火墙配置在命令行界面):
cat /etc/firewall-cfg/ping_rules.txt
如果允许ping的规则不存在,可能需要添加类似以下的规则(具体语法取决于防火墙软件):
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
步骤2:检查行为管理器设置
- 检查行为管理器是否对ICMP流量有特殊限制,确保ping和traceroute功能未被全局禁用。
- 如果有应用控制列表(ACL),检查是否有针对ping或traceroute的策略。
步骤3:测试网关可达性
- 在内网电脑上尝试ping网关IP,看是否正常。如果ping不通,说明问题可能出在网络连接的某个环节。
- 可以尝试telnet到网关IP,看看是否能建立连接,进一步排查问题。
步骤4:查看路由器配置
- 华三S5700核心交换机虽然配置简单,但确认其是否启用了默认路由或静态路由到网关,以及是否正确转发ICMP流量。
步骤5:启用ARP代理
- 尽管核心交换机没有启用ARP代理,但启用它可能会有助于追踪问题。查看相关文档了解如何在华三S5700上启用ARP代理。
如果上述步骤都无法解决,可能需要检查网络设备之间的路由表,查看是否存在异常的路由条目,或者检查是否存在环路或其他网络层面的问题。如果需要,可以通过抓包工具(如Wireshark)来获取更详细的网络通信信息。
请根据您的实际情况逐项排查,并根据配置文件和日志调整防火墙和行为管理器的设置。如果问题依然存在,可能需要联系网络管理员或厂商技术支持寻求专业帮助。
