ping大包过防火墙不通

可以看下防火墙上面是否有这些限制：

1、是否开启了超大ICMP报文攻击防范功能？但这个是默认关闭的

firewall defend large-icmp enable命令用来开启超大ICMP报文攻击防范功能。

undo firewall defend large-icmp enable命令用来关闭超大ICMP报文攻击防范功能。

2、是否配置了超大ICMP报文攻击防范参数，允许报文长度小于4000字节？

# 配置超大ICMP报文攻击防范参数，允许报文长度小于3000字节的ICMP报文通过。

<sysname> system-view

[sysname] firewall defend large-icmp enable

[sysname] firewall defend large-icmp max-length 3000

3、是否开启了分片报文丢弃功能?

firewall fragment-discard enable命令用来开启分片报文丢弃功能。

undo firewall fragment-discard enable命令用来关闭分片报文丢弃功能。

4、查看防火墙有没有丢包，可以在防火墙上做一下流量统计为问题进一步定位：

如果丢包了，然后通过命令查看丢包原因：

1、sys //进入系统视图

2、diag //进入诊断视图

3、display firewall statistic acl //查看丢包原因

来源 华为O3论坛 mzpp