某局点反馈采用MSR2600路由器作为出口网关设备后,内网苹果电脑无法和外网的苹果电脑进行屏幕共享,但是更换其它厂商路由器正常,怀疑是我司路由器将Mac系统屏幕共享数据阻断了。
MAC系统自带屏幕共享功能,需要共享屏幕双方申请Apple ID。在此问题中更换其它厂商设备就可以解决,首先怀疑是否为设备处理机制有问题?于是让客户在电脑接在第三方路由器下进行抓包,以及电脑在MSR路由器下进行抓包。
使用第三方路由器抓包信息:
从抓包来看,用户的业务应该涉及UDP穿越NAT和SIP协议,STUN(UDP穿越NAT)用途之一就是用于SIP的客户端初始化连接。且在第三方下抓包看,request是由外网IP地址发起的,
电脑在MSR设备下抓包信息:
从抓包看当电脑连接在MSR路由器下后,只有内网发起的request请求报文。外网到电脑的数据应该是被路由器过滤了。
通过查找产品手册最终发现MSR路由器NAT是支持两种模式的,默认为“Address and Port-Dependent Mapping”这种模式,但是在这种模式下由于NAT会记录数据的端口,导致外网的请求报文无法通过路由器最终导致此问题。
PAT方式出方向动态地址转换支持两种模式:
Endpoint-Independent Mapping(不关心对端地址和端口的转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。
Address and Port-Dependent Mapping(关心对端地址和端口的转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,由于相同的源地址和源端口号不要求被转换为相同的外部地址和端口号,所以通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT网关之后的主机间进行互访。
在MSR配置nat mapping-behavior endpoint-independent后客户问题解决。
配置命令:
<H3C>system
[H3C]nat mapping-behavior endpoint-independent
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作