Traceroute/tracert не может получить возвращаемую информацию о переходах

Question

Здесь возможны как минимум два случая:

Первое: если вы находитесь за шлюзом NAT (в частности, то, что стандарты называют NAPT, или то, что в фирменной терминологии Cisco называется «PAT»), иниктоиз переходов в вашем отчете traceroute правильной информации, то ваш код шлюза NAT неправильно обрабатывает сообщения ICMP "Destination Unreachable; Time Exceeded". И поскольку сообщения "Time Exceeded" не требуют какой-либо специальной обработки NAT, чем любые другие сообщения "Destination Unreachable", ваш NAT, вероятно, не обрабатываетлюбойСообщения ICMP "Destination Unreachable" отображаются правильно. Для большинства реализаций NAT я не ожидаю, что это будет ошибкой конфигурации; более вероятно, что кодовая база вашего NAT просто не содержит работающего кода для обработки таких сообщений. Поэтому, хотя вы можете попробовать заглянуть в пользовательский интерфейс конфигурации и руководство для вашего шлюза NAT, чтобы посмотреть, можно ли включить какую-то обработку ICMP, которая в настоящее время отключена, я подозреваю, что вы ничего не добьетесь таким образом, и вам просто придется заменить вашу текущую реализацию NAT на лучшую (что может потребовать замены вашего маршрутизатора на лучший маршрутизатор).

Второе: если некоторые из переходов возвращают полезную информацию, а другие нет, то это означает, что маршрутизаторы "неудачных" переходов вообще не возвращают ICMP "Destination Unreachable; Time Exceeded". Это может быть ошибкой реализации (багом), но, скорее всего, он настроен так, чтобы этого не делать (некоторые системные администраторы беспокоятся, что ответ на ping и traceroute выдает слишком много информации о сети). Поскольку вы, вероятно, не владеете или не имеете никакого влияния на эти маршрутизаторы в других сетях, расположенных далеко в Интернете, вы ничего не можете сделать, чтобы заставить эти маршрутизаторы отправлять необходимые ICMP-сообщения, которые позволяют traceroute работать.

И последнее: это почти третий случай, но это больше похоже на частный случай случая №2. Если некоторые ранние переходы работают, но в какой-то момент один переход и все последующие переходы терпят неудачу, это признак того, что брандмауэр может отбрасывать все соответствующие сообщения ICMP от всех последующих маршрутизаторов. Многие корпоративные/институциональные сети имеют брандмауэр на границе своей сети, который отбрасывает многие виды сообщений ICMP по (ошибочным, IMHO) причинам «безопасности».

Answer 1

Здесь возможны как минимум два случая:

Первое: если вы находитесь за шлюзом NAT (в частности, то, что стандарты называют NAPT, или то, что в фирменной терминологии Cisco называется «PAT»), иниктоиз переходов в вашем отчете traceroute правильной информации, то ваш код шлюза NAT неправильно обрабатывает сообщения ICMP "Destination Unreachable; Time Exceeded". И поскольку сообщения "Time Exceeded" не требуют какой-либо специальной обработки NAT, чем любые другие сообщения "Destination Unreachable", ваш NAT, вероятно, не обрабатываетлюбойСообщения ICMP "Destination Unreachable" отображаются правильно. Для большинства реализаций NAT я не ожидаю, что это будет ошибкой конфигурации; более вероятно, что кодовая база вашего NAT просто не содержит работающего кода для обработки таких сообщений. Поэтому, хотя вы можете попробовать заглянуть в пользовательский интерфейс конфигурации и руководство для вашего шлюза NAT, чтобы посмотреть, можно ли включить какую-то обработку ICMP, которая в настоящее время отключена, я подозреваю, что вы ничего не добьетесь таким образом, и вам просто придется заменить вашу текущую реализацию NAT на лучшую (что может потребовать замены вашего маршрутизатора на лучший маршрутизатор).

Второе: если некоторые из переходов возвращают полезную информацию, а другие нет, то это означает, что маршрутизаторы "неудачных" переходов вообще не возвращают ICMP "Destination Unreachable; Time Exceeded". Это может быть ошибкой реализации (багом), но, скорее всего, он настроен так, чтобы этого не делать (некоторые системные администраторы беспокоятся, что ответ на ping и traceroute выдает слишком много информации о сети). Поскольку вы, вероятно, не владеете или не имеете никакого влияния на эти маршрутизаторы в других сетях, расположенных далеко в Интернете, вы ничего не можете сделать, чтобы заставить эти маршрутизаторы отправлять необходимые ICMP-сообщения, которые позволяют traceroute работать.

И последнее: это почти третий случай, но это больше похоже на частный случай случая №2. Если некоторые ранние переходы работают, но в какой-то момент один переход и все последующие переходы терпят неудачу, это признак того, что брандмауэр может отбрасывать все соответствующие сообщения ICMP от всех последующих маршрутизаторов. Многие корпоративные/институциональные сети имеют брандмауэр на границе своей сети, который отбрасывает многие виды сообщений ICMP по (ошибочным, IMHO) причинам «безопасности».

Traceroute/tracert не может получить возвращаемую информацию о переходах

решение1

Связанный контент