我对网络几乎一无所知,所以如果这是一个愚蠢或奇怪的问题,我深表歉意。
我们的系统管理/IT 支持外包给了一家咨询公司。我与他们合作试图解决路由问题。我们设置了基于策略的路由,该路由应通过单独的路由器将任何连接尝试路由到某个 IP 范围。由于我还没有使用此连接的程序,所以我试图通过 tracert 验证它是否设置正确。该策略有时会正确地将其路由到单独的连接,其余时间则使用 catch-all 互联网连接策略错误地路由。
与我合作的咨询公司人员无法解决这个问题,因此他不得不联系 Watchguard 的代表。他们确定这是由于默认互联网路由策略在策略列表中的排名高于特定 IP 范围策略所致。当调整此策略后问题仍然存在时,代表继续说防火墙策略无论如何都不会影响任何 ping 或 tracert 尝试,并且任何尝试连接到设置范围内的 IP 的程序都将被正确路由。
我还没有机会使用将要使用该连接的特定应用程序来验证这一点。但是,我看到一些对某些 IP 的连接尝试被随机路由到单独的连接,而这些 IP 不应该触发该策略。似乎所有策略都配置正确,所以我认为这是防火墙问题。代表声称防火墙策略不影响 ping/tracert 有任何道理吗?我可能需要再次与他们联系以纠正此问题,但我想提前知道这个人是否知道自己在说什么。
答案1
ping正在使用ICMP,通常traceroute会产生UDP或 ICMP 流量(Unix/Windows 差异)。因此,从技术上讲,您应该能够根据所使用的协议轻松辨别诊断流量和应用程序生成的流量(假设它使用TCP)。
因此,路由策略可能设置为仅适用于 TCP 流量(作为示例)。所以你的问题中的陈述可能是有效的。但这将是管理员的具体决定。根据 IP 范围将策略应用于所有流量(无论类型如何)应该没有问题。因此,如果他们愿意,诊断流量将使用相同的策略。事实上,我认为首先这样做会更合理。
话虽如此,这位代表可能有一些优点,所以你不应该过早地解雇他。但我会谨慎行事,因为你提到的其他问题(不应该触发的策略)意味着可能存在一些配置问题。因此,他同样有可能可能的确不是知道他在说什么。
答案2
Karol Picza 的回答很好 - 您需要区分 TCP、UDP 和 ICMP。作为帮助您排除故障的附加点,请查看名为 的 Linux 工具traceproto。它与标准非常相似,traceroute具有能够指定协议和端口的附加功能,而标准 traceroute 仅使用 ICMP。