msr路由器stun問題
- 0關注
- 0收藏,840瀏覽
問題描述:
如圖,手冊裏麵對於sdwan分支nat穿越場景的配置說明,但手冊裏麵寫明了RR設備作為stun server,但是拓撲裏麵又單獨設立了一個stun server設備,配置舉例裏麵也沒有詳細列舉出stun server的配置,手冊中stun章節又指向了圖示章節,變成死循環了。
這個stun server應該如何配置?stun server alternative-ip又起到什麼作用?
- 2025-01-06提問
- 舉報
-
(0)
最佳答案
看了一下應當是路由器的配置手冊,隻從SDWAN場景裏來說,是internet鏈路存在動態NAT變換時,需要使用STUN
STUN就是一種協議用來處理NAT穿越問題的,如果以方案視角,隻需要在hub,也就是RR設備上配一個就行了,沒有要求有多個stun設備。
SDWAN裏因為CPE經常使用私網IP地址,需要經過NAT設備轉換才能訪問總部。由於CPE發出的報文在經過NAT設備後,IP地址會發生變化,如果無法獲取報文轉換後的IP地址,則CPE之間無法建立數據通道,用STUN就可以建起來TTE連接
所以圖中配置多個stun server,我理解一般就是冗餘用的,我查詢了stun server alternative-ip,就是備份的stun server ip
- 2025-01-06回答
- 評論(5)
- 舉報
-
(0)
這個圖中的stun server貌似是獨立存在的,就直接配置stun server ip?不需要配置其他東西了?
我看了圖中,單獨找了一台stun路由器,做了一個 stun client destination-ip 6.6.6.1 destination-port 20000 stun server ip 6.6.6.1 port 20000 alternative-ip 6.6.6.2 做了一個這麼個備份關係 如果是有控製器場景一般是控製器上有地方下發,就配置一個stun server ip,沒有其他的東西。 //www.yolosolive.com/cn/Service/Document_Software/Document_Center/SDN/Catalog/SD-WAN/AD-WAN/Configure/Operation_Manual/AD_WAN_6.6_CG-17258/03/?CHID=1096558#_Toc178587098 這個文檔的4.4.3節
我看了下路由器的STUN配置指導,其實也就配個ip最多加個端口,因為配置上本身就是開啟STUN協議,在IP包裏封裝一個stun message 1.5 配置STUN服務器 (1) 進入係統視圖。 system-view (2) 開啟STUN服務器功能,並指定STUN服務器的IP地址和UDP端口號。 stun server ip ip-address [ port port-number ] [ alternative-ip ip-address [ alternative-port port-number ] ] [ vpn-instance vpn-instance-name ] [ global-ip global-ip-address [ global-port port-number ] [ global-alternative-ip ip-address [ global-alternative-port port-number ] ] ] 缺省情況下,STUN服務器功能處於關閉狀態。
方案裏麵推薦用控製器下發的的stun server ip 是127.0.0.1,但是這個是基於SDWAN EVPN自動協商隧道,如果是手動建立隧道,我理解還得參考MSR配置指導裏,手動指定目的端口號,不一定非要備份的STUN設備
按照msr手冊裏麵stun章節中對於alternative-ip的描述,似乎需要指向另外一台stun server才能實現對ce網關設備的nat類型探測,我使用一台msr路由器實際驗證了一下,用stun測試工具的確如此,當不配alternative-ip時,測試工具無法判斷當前終端設備的nat類型,配置alternative-ip後,可以顯示full-cone或者Symmetric。 不清楚這塊是否對sdwan nat穿透場景產生影響?
目前都是使用rr作為stun server
- 2025-01-06回答
- 評論(1)
- 舉報
-
(0)
應該如何配置?
應該如何配置?
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
按照msr手冊裏麵stun章節中對於alternative-ip的描述,似乎需要指向另外一台stun server才能實現對ce網關設備的nat類型探測,我使用一台msr路由器實際驗證了一下,用stun測試工具的確如此,當不配alternative-ip時,測試工具無法判斷當前終端設備的nat類型,配置alternative-ip後,可以顯示full-cone或者Symmetric。 不清楚這塊是否對sdwan nat穿透場景產生影響?