《IP地址及规划网络地址》-项目11

【任务目标】在公司网络设备上使用ACL技术，过滤不安全的信息，保障网络设备和服务器的安全。【材料清单】交换机（1台）；路由器（1台）；测试用PC（3台）；网络线（4根）。【任务说明】（1）按图11-1搭建A公司网络，按要求配置网络设备，使网络互通。（2）在路由器上使用ACL技术，要求除指定PC外，其他PC不能Telnet到路由器上。任务1使用ACL实现公司内部设备及信息安全上一页下一页返回【工作过程1】保障设备设备安全配置步骤：#在路由器Quidway上允许防火墙[Quidway]firewallenable#设置防火墙默认过滤方式为允许包通过[Quidway]firewalldefaultpermit#创建访问控制列表2000[Quidway]aclnumber2000#配置规则允许特定主机访问网络设备[Quidway-acl-basic-2000]rulepermitsource×.×.×.×[Quidway-acl-basic-2000]ruledenyip#进入VTY用户界面视图任务1使用ACL实现公司内部设备及信息安全上一页下一页返回[Quidway]user-interfacevty04#在VTY用户界面视图下使用ACL进行访问控制[Quidway-ui-vty0-4]acl2000inbound如此，就只允许指定的管理员IP地址进行Telent操作，再加上登录密码，使用网络设备更加安全。【工作过程2】保障服务器安全#创建访问控制列表3002[Quidway]aclnumber3002#配置规则只允许用户访问服务器开放的服务[Quidway-acl-adv-3002]rulepermittcpsourceanydestination×.×.×.×0eq80[Quidway-acl-adv-3002]rulepermittcpsourceanydestination×.×.×.×0eq20任务1使用ACL实现公司内部设备及信息安全上一页下一页返回[Quidway-acl-adv-3002]rulepermittcpsourceanydestination×.×.×.×0eq21[Quidway-acl-adv-3002]ruledenyip#将规则3002作用于从接口Ethernet0/0出去的包[Quidway-Ethernet0/0]firewallpacket-filter3002outbound如此，就只允许PC到服务器的WWW、FTP访问通过，其他数据全部拒绝，保证了服务器的安全。任务1使用ACL实现公司内部设备及信息安全上一页返回下一页【任务说明】（1）按图11-1搭建A公司网络，按要求配置网络设备，使网络互通。（2）在路由器上使用ACL技术，要求除员工工作需要使用的网络资料，其余通信一律过滤掉。【任务分析】首先，分析一下这个需求，DNS使用UDP53端口，E-mail使用TCP25/110端口，浏览Internet现在基本上都是使用HTTP或HTTPS进行访问，标准端口是TCP/80端口和TCP/443，MSN使用TCP/1863端口，QQ登录会使用到TCP/UDP8000这两个端口，还有可能使用到udp/4000进行通讯。这些需求见表11-1。【工作过程3】#创建访问控制列表3003任务2使用ACL实现公司员工上班时和工作无关的信息过滤下一页返回上一页[Quidway]aclnumber3003#配置规则只允许用户访问服务器开放的服务[Quidway-acl-adv-3003]rulepermituppsourceanydestinationany0eq53[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq25[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq110[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq80[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq443任务2使用ACL实现公司员工上班时和工作无关的信息过滤上一页下一页返回[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq1863[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq21[Quidway-acl-adv-3003]rulepermittcpsourceanydestinationany0eq21[Quidway-acl-adv-3003]rulepermituppsourceanydestinationany0eq4000[Quidway-acl-adv-3003]rulepermituppsourceanydestinationany0eq8000[Quidway-acl-adv-3002]ruledenyip#将规则3003作用于从接口Ethernet0/1进入的包[Quidway-Ethernet0/1]firewallpacket-filter3003outbound任务2使用ACL实现公司员工上班时和工作无关的信息过滤上一页返回下一页【任务说明】（1）按图11-1搭建A公司网络，按要求配置网络设备，使网络互通。（2）在路由器上使用ACL技术，要求在路由器接口处过滤掉常见的网络病毒，形成对公司网络的最基本的一层保护。【任务分析】路由器的功能是保持网络的连通性，尽自己最大的能力转发数据包。网络病毒发送的大量垃圾报文，路由器是不能识别的，比如流行的冲击波病毒。这需要手工配置ACL，通过配置，路由器可以部分处理这些垃圾报文。如禁止端口号为135的TCP报文；禁止端口号为69的UDP报文；禁止ICMP报文；以上只是辅助措施，根本的解决办法是查杀PC的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库，提高安全意识。任务3使用ACL应对常见网络病毒下一页返回上一页【工作过程4】病毒的攻击，可能来自公网，也可能来自内网。#创建访问控制列表3001aclnumber3001#配置ACL规则防范网络病毒

rule0denytcpsource-porteq3127rule1denytcpsource-porteq1025rule2denytcpsource-porteq5554rule3denytcpsource-porteq9996rule4denytcpsource-porteq1068rule5denytcpsource-porteq135rule6denyudpsource-porteq135任务3使用ACL应对常见网络病毒上一页下一页返回rule7denytcpsource-porteq137rule8denyudpsource-porteqnetbios-nsrule9denytcpsource-porteq138rule10denyudpsource-porteqnetbios-dgmrule11denytcpsource-porteq139rule12denyudpsource-porteqnetbios-ssnrule13denytcpsource-porteq593rule14denytcpsource-porteq4444rule15denytcpsource-porteq5800rule16denytcpsource-porteq5900rule18denytcpsource-porteq8998rule19denytcpsource-porteq445任务3使用ACL应对常见网络病毒上一页下一页返回rule20denyudpsource-porteq445rule21denyudpsource-porteq1434rule30denytcpdestination-porteq3127rule31denytcpdestination-porteq1025rule32denytcpdestination-porteq5554rule33denytcpdestination-porteq9996rule34denytcpdestination-porteq1068rule35denytcpdestination-porteq135rule36denyudpdestination-porteq135rule37denytcpdestination-porteq137rule38denyudpdestination-porteqnetbios-nsrule39denytcpdestination-porteq138任务3使用ACL应对常见网络病毒上一页下一页返回rule40denyudpdestination-porteqnetbios-dgmrule41denytcpdestination-porteq139rule42denyudpdestination-porteqnetbios-ssnrule43denytcpdestination-porteq593rule44denytcpdestination-porteq4444rule45denytcpdestination-porteq5800rule46denytcpdestination-porteq5900rule48denytcpdestination-porteq8998rule49denytcpdestination-porteq445rule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434#将规则3001作用于路由器每个接口任务3使用ACL应对常见网络病毒上一页下一页返回firewallpacket-filter3001inbound/outbound知识1理解访问控制列表基础知识【任务目标】理解访问控制列表基础知识。【知识准备】（一）访问控制列表概述路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（AccessControlList）定义的。访问控制列表是由permit|deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。任务3使用ACL应对常见网络病毒上一页下一页返回（二）访问控制列表的分类按照访问控制列表的用途，可以分为以下四类。（1）基本的访问控制列表（BasicACL）；（2）高级的访问控制列表（AdvancedACL）；（3）基于接口的访问控制列表（Interface-basedACL）；（4）基于MAC的访问控制列表（MAC-basedACL）。访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址的访问控制列表。任务3使用ACL应对常见网络病毒上一页下一页返回（三）访问控制列表的匹配顺序一个访问控制列表可以由多条permit｜deny语句组成，每一条语句描述的规则是不相同的，这些规则可能存在重复或矛盾的地方，所以，在将一个数据包和访问控制列表的规则进行匹配的时候，就需要确定规则的匹配顺序，决定到底采用哪些规则。有两种匹配顺序：配置顺序和自动排序。配置顺序是指按照用户配置ACL的规则的先后进行匹配。自动排序使用“深度优先”的原则。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如

指定了一台主机：，而55则指定了一个网段：～55，显然前者在访问控制规则中排在前面。任务3使用ACL应对常见网络病毒上一页下一页返回具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口的访问控制规则，配置了“any”的规则排在后面，其他按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。使用displayacl命令就可以看出是哪条规则首先生效。显示时，列在前面的规则首先生效。（四）访问控制列表的创建一个访问控制列表是由permit｜deny语句组成的一系列的规则列表，若干个规则列表构成一个访问控制列表。在配置访问控制列表的规则之前，首先需要创建一个访问控制列表。任务3使用ACL应对常见网络病毒上一页下一页返回可以使用如下命令创建一个访问控制列表：aclnumberacl-number[match-order{config｜auto}]可以使用如下的命令删除一个或所有的访问控制列表：undoacl{numberacl-number｜all}参数说明：①numberacl-number：定义一个数字型的ACL。②acl-number：访问控制规则序号。1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999是基于MAC地址的访问控制列表。③match-orderconfig：指定匹配该规则时按用户的配置顺序。任务3使用ACL应对常见网络病毒上一页下一页返回④match-orderauto：指定匹配该规则时系统自动排序，即按“深度优先”的顺序。⑤all：删除所有配置的ACL。默认情况下匹配顺序为按用户的配置排序，即“config”。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序，除非把该ACL的内容全部删除，再重新指定其匹配顺序。创建了一个访问控制列表之后，将进入ACL视图，ACL视图是按照访问控制列表的用途来分类的，例如创建了一个数字编号为3000的数字型ACL，将进入高级ACL视图，路由器的提示符如下所示：[Quidway-acl-adv-3000]进入了ACL视图之后，就可以配置ACL的规则了。对于不同的ACL，其规则是不一样的，具体的各种ACL的规则的配置方法将在后面小节中分别介绍。任务3使用ACL应对常见网络病毒上一页下一页返回知识2理解访问控制列表原理【任务目标】理解访问控制列表原理。【知识准备】（一）基本访问控制列表基本访问控制列表只能使用源地址信息作为定义访问控制列表的规则的元素。通过上面小节介绍的ACL命令，可以创建一个基本的访问控制列表，同时进入基本访问控制列表视图，在基本访问控制列表视图下，可以创建基本访问控制列表的规则。可以使用如下的命令定义一个基本访问控制列表的规则：rule[rule-id]{permit|deny|commenttext}[source{sour-addrsour-wildcard|any}][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]任务3使用ACL应对常见网络病毒上一页下一页返回参数说明：①rule-id：可选参数，ACL规则编号，范围为0～65534。当指定了编号，如果与编号对应的ACL规则已经存在，则会部分覆盖旧的规格，相当于编辑一个已经存在的ACL的规则。故建议用户在编辑一个已存在编号的规则前，先将旧的规则删除，再创建新的规则，否则配置结果可能与预期的效果不同。如果与编号对应的ACL规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统会自动为这个ACL规则分配一个编号，并增加新规则。②permit：通过符合条件的数据包。③deny：丢弃符合条件的数据包。④commenttext：是指针对每条rule的一个注释。⑤source：可选参数，指定ACL规则的源地址信息。如果不指定，表示报文的任何源地址都匹配。任务3使用ACL应对常见网络病毒上一页下一页返回⑥sour-addr：数据包的源地址，点分十进制表示；或用“any”代表源地址，通配符55。⑦sour-wildcard：源地址通配符，点分十进制表示。⑧time-range：可选参数，指定访问控制列表的生效时间。⑨time-name：访问控制列表生效的时间段名字。⑩logging：可选参数，是否对符合条件的数据包做日志。日志内容包括访问控制规则的序号，数据包通过或被丢弃，数据包的数目。⑪fragment：可选参数，指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。⑫vpn-instance：可选参数，指定报文是属于哪个VPN实例的。如果没有指定，该规则对所有VPN实例中的报文都无效；如果指定了，则表示该规则仅仅对指定的VPN实例中的报文有效。任务3使用ACL应对常见网络病毒上一页下一页返回对已经存在的ACL规则，如果采用指定ACL规则编号的方式进行编辑，没有配置的部分是不受影响的。例如先配置了一个ACL规则：rule1denysource0然后再对这个ACL规则进行编辑：rule1denylogging这个时候，ACL的规则变成：rule1denysource0logging可以使用如下命令删除一个基本访问控制列表的规则：undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]任务3使用ACL应对常见网络病毒上一页下一页返回参数说明：①rule-id：ACL规则编号，必须是一个已经存在的ACL规则编号。如果后面不指定参数，则将这个ACL规则完全删除。否则只是删除对应ACL规则的部分信息。②commenttext：是指针对每条rule的一个注释。③source：可选参数，仅仅删除编号对应的ACL规则的源地址部分的信息设置。④time-range：可选参数，仅仅删除编号对应的ACL规则在规定时间生效的设置。⑤logging：可选参数，仅仅删除编号对应的ACL规则对符合条件的数据包做日志的设置。⑥fragment：可选参数，仅仅删除编号对应的ACL规则仅对非首片分片报文有效的设置。任务3使用ACL应对常见网络病毒上一页下一页返回⑦vpn-instance：可选参数，仅仅删除编号对应的ACL规则中关于VPN实例的设置。（二）高级访问控制列表高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP的源端口、目的端口，ICMP协议的类型、代码等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。通过前面小节介绍的ACL命令，可以创建一个高级的访问控制列表，同时进入高级访问控制列表视图，在高级访问控制列表视图下，可以创建高级访问控制列表的规则。任务3使用ACL应对常见网络病毒上一页下一页返回可以使用如下的命令定义一个高级访问控制列表规则：rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]参数说明：①rule-id：可选参数，ACL规则编号，范围为0～65534。当指定了编号，如果与编号对应的ACL规则已经存在，则会部分覆盖旧的规则，相当于编辑一个已经存在的ACL的规则。故建议用户在编辑一个已存在编号的规则前，先将旧的规则删除，再创建新的规则，否则配置结果可能与预期的效果不同。任务3使用ACL应对常见网络病毒上一页下一页返回如果与编号对应的ACL规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统自动会为这个ACL规则分配一个编号。②deny：拒绝符合条件的数据包。③permit：允许符合条件的数据包。④commenttext：是指针对每条rule的一个注释。⑤protocol：用名字或数字表示的IP承载的协议类型。数字范围为1～255；名字取值范围为：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。⑥source：可选参数，指定ACL规则的源地址信息。如果不配置，表示报文的任何源地址都匹配。⑦sour-addr：数据包的源地址，点分十进制表示；或用“any”代表源地址，通配符55。⑧sour-wildcard：源地址通配符，点分十进制表示。任务3使用ACL应对常见网络病毒上一页下一页返回⑨destination：可选参数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。⑩dest-addr：数据包的目的地址，点分十进制表示；或用“any”代表目的地址

，通配符55。⑪dest-wildcard：目的地址通配符，点分十进制表示；或用“any”代表目的地址，通配符55。⑫icmp-type：可选参数，指定ICMP报文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。⑬icmp-type：ICMP包可以依据ICMP的消息类型进行过滤。取值为0～255的数字。⑭icmp-code：依据ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为0～255的数字。任务3使用ACL应对常见网络病毒上一页下一页返回⑮icmp-message：ICMP包可以依据ICMP消息类型名字或ICMP消息类型和码的名字进行过滤。⑯source-port：可选参数，指定UDP或者TCP报文的源端口信息，仅仅在规则指定的协议号是TCP或者UDP有效。如果不指定，表示TCP/UDP报文的任何源端口信息都匹配。⑰destination-port：可选参数，指定UDP或者TCP报文的目的端口信息，仅仅在规则指定的协议号是TCP或者UDP有效。如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。⑱operator：可选参数。比较源或者目的地址的端口号的操作符，名字及意义如下：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范围内）。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。⑲port1，port2：可选参数。TCP或UDP的端口号，用名字或数字表示，数字的取值范围为0～65535。任务3使用ACL应对常见网络病毒上一页下一页返回

dscpdscp：指定DSCP字段（IP报文中的DS字节）。图11-2ACL中tos参数的含义

precedence：可选参数，数据包可以依据优先级字段进行过滤。取值为0～7的数字，或名字。

tostos：可选参数，数据包可以依据服务类型字段进行过滤。该tos值为TOS字段中的第二位到第五位（从右向左数）的4个比特，取值范围为0～15（如下面所示），而实际表示的值为0～30。所以，当在ACL中配置了tos值（如配置为1），然后在ping命令应用-tos时，必须对其值增大2倍（即必须配置为2），这样才能够通过ping命令测试在ACL中配置的tos的结果。

logging：可选参数，是否对符合条件的数据包做日志。日志内容包括访问控制列表规则的序号，数据包通过或被丢弃，IP承载的上层协议类型，源/目的地址，源/目的端口号，数据包的数目。任务3使用ACL应对常见网络病毒上一页下一页返回

time-rangetime-name：配置这条访问控制规则生效的时间段。

fragment：指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。

vpn-instance：可选参数，指定报文是属于哪个VPN实例的。如果没有指定，该规则对所有VPN实例中的报文都无效；如果指定了，则表示该规则仅仅对指定的VPN实例中的报文有效。对已经存在的ACL规则，如果采用指定ACL规则编号的方式进行编辑，没有配置的部分是不受影响的。例如先配置了一个ACL规则：rule1denyipsource0然后再对这个ACL规则进行编辑：rule1denyipdestination0任务3使用ACL应对常见网络病毒上一页下一页返回这个时候，ACL的规则变成：rule1denyipsource0destination0可以使用如下命令删除一个高级访问控制列表的规则：undorulerule-id[commenttext][source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法见表11-2。在指定portnumber时，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，支持的助记符见表11-3。对于ICMP协议可以指定ICMP报文类型，默认为全部ICMP报文。指定ICMP报文类型时，可以用数字（0～255），也可以用助记符，见表11-4。任务3使用ACL应对常见网络病毒上一页下一页返回配置举例请参考命令手册。这样，用户通过配置防火墙，添加适当的访问规则，就可以利用包过滤来对通过路由器的IP包进行检查，从而过滤掉用户不希望通过路由器的包，起到保护网络安全的作用。知识3访问控制列表配置【任务目标】访问控制列表配置。【知识准备】（一）配置基本访问控制列表配置基本访问控制列表，见表11-5。（二）配置高级访问控制列表配置高级访问控制列表，见表11-6。任务3使用ACL应对常见网络病毒上一页下一页返回（三）删除访问控制列表删除访问控制列表，见表11-7。（四）设置防火墙默认过滤方式设置防火墙的默认过滤方式，即在没有一个合适的规则去判定用户数据包是否可以通过的时候，防火墙采取的策略是允许还是禁止该数据包通过。请在系统视图下进行配置，见表11-8。

在防火墙开启时，系统默认为允许。（五）在接口上应用访问控制列表将访问规则应用到接口时，同时会遵循时间段过滤原则，另外可以对接口的收发报文分别指定访问规则。请在接口视图下进行配置，见表11-9。任务3使用ACL应对常见网络病毒上一页下一页返回基于接口的访问控制列表（即序号为1000～1999的ACL）只能用参数outbound。缺省的模式为标准匹配方式。（六）访问控制列表的显示与调试在完成上述配置后，在所有视图下执行display命令都可以显示配置后ACL和时间段的运行情况，通过查看显示信息确认配置的效果。在用户视图下执行reset命令可以清除访问规则计数器，见表11-10。任务3使用ACL应对常见网络病毒上一页返回图11-1返回图11-2返回表11-1返回表11-1常用服务端口应用协议端口DNSUDP53E-mailTCP25/110WEBTCP80/443MSNTCP1863FTPTCP20/21QQUDP4000/8000表11-2返回表11-2高级访问控制列表的操作符意义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间表11-31返回表11-3端口号助记符下一页表11-32返回表11-3端口号助记符上一页下一页表11-33返回表11-3端口号助记符UDPbiffbootpcbootpsdiscarddnsdnsixechomobilip-agmobilip-mnnameserverMailnotify（512）BootstrapProtocolClient（68）BootstrapProtocolServer（67）Discard（9）DomainNameService（53）DNSIXSecuritAttributeTokenMap（90）Echo（7）MobileIP-Agent（434）MobilIP-MN（435）HostNameServer（42）上一页下一页表11-34返回表11-3端口号助记符UDPnetbios-dgmnetbios-nsnetbios-ssnntpripsnmpsnmptrapsunrpcsyslogtacacs-dstalktftptimewhoXdmcpNETBIOSDatagramService（138）NETBIOSNameService（137）NETBIOSSessionService（139）NetworkTimeProtocol（123）RoutingInformationProtocol（520）SNMP（161）SNMPTRAP（162）SUNRemoteProcedureCall（111）Syslog（514）TACACS-DatabaseService（65）Talk（517）TrivialFileTransfer（69）Time（37）Who（513）XDisplayManagerControlProtocol（177）上一页表11-4返回表11-4ICMP报文类型助记符助记符意义echoecho-replyfragmentneed-DFsethost-redirecthost-tos-redirecthost-unreachableinformation-replyinformation-requestnet-redirectnet-tos-redirectnet-unreachableparameter-problemport-unreachableprotocol-unreachablereassembly-timeoutsource-quenchsource-route-failedtimestamp-replytimestamp-requestttl-exceededType=8，Code=0Type=0，Code=0Type=3，Code=4Type=5，Code=1Type=5，Code=3Type=3，Code=1Type=16，Code=0Type=15，Code=0Type=5，Code=0Type=5，Code=2Type=3，Code=0Type=12，Code=0Type=3，Code=3Type=3，Code=2Type=11，Code=1Type=4，Code=0Type=3，Code=5Type=14，Code=0Type=13，Code=0Type=11，Code=0表11-5返回表11-5配