取消
显示结果 
搜索替代 
您的意思是: 
cancel
8814
查看次数
0
有帮助
7
回复

cisco2911 应用控制

fitwate
Spotlight
Spotlight
本帖最后由 fitwate 于 2015-7-22 10:30 编辑
问题描述如下:
公司有同事要通过手机 访问一个app 微店买家版
在公司无线网络环境下(思科无线AP)无法访问消息界面,链接如下
http://im.weidian.com/chat/ 访问此界面一直转圈,无法访问
#######################################
网络出口1 解决方法如下:
在网络出口1,ASA 如下操作后,可以正常访问
policy-map global_policy
class inspection_default
no inspect skinny (取消)
访问相应界面正常(消息界面)
#######################################
网络出口2 无法解决
出口设备为 思科2911路由
设备信息如下:
License Info:
License UDI:
-------------------------------------------------
Device# PID SN
-------------------------------------------------
*0 CISCO2911/K9 xxxxxx
Technology Package License Information for Module:'c2900'
-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
#######################################
cisco2911 如何设置取消 skinny 还是有什么其他设置?
已测试,将cisco2911路由器上联线直接连接在一台家用无线路由器,一切访问都正常。更换路由器为 一台tp-link路由器 同样的nat配置,一切正常!思科2911路由器只做了 nat,其他无配置
1 个已接受解答

已接受的解答

pebao
Cisco Employee
Cisco Employee
http://blog.webernetz.net/2014/05/09/cisco-router-disable-dns-rewrite-alg-for-static-nats/
这个帖子和您的状况很相似,你可以试试在路由器上配置命令:no ip nat service alg udp dns。

在原帖中查看解决方案

7 条回复7

pebao
Cisco Employee
Cisco Employee
http://blog.webernetz.net/2014/05/09/cisco-router-disable-dns-rewrite-alg-for-static-nats/
这个帖子和您的状况很相似,你可以试试在路由器上配置命令:no ip nat service alg udp dns。

zdh
Level 1
Level 1
双出口下才出问题还是只用单出口就有问题?确定出口路由是否做了策略路由或流量负载均衡等,相关配置是否影响了回包的路径等。

fitwate
Spotlight
Spotlight
本帖最后由 fitwate 于 2015-7-23 10:29 编辑
zdh@maxvoc.com 发表于 2015-7-22 13:41 back.gif
双出口下才出问题还是只用单出口就有问题?确定出口路由是否做了策略路由或流量负载均衡等,相关配置是否影 ...

我们的备线是冷备的,平时只有固定ip使用备线。默认用户只使用一条主上联出口。谢谢!

fitwate
Spotlight
Spotlight
本帖最后由 fitwate 于 2015-7-22 18:39 编辑
我看手册没看出什么结果,思路一直限制在 和防火墙ASA的skinny相关设置,可是路由器实在找不到有什么默认配置,后来在nat 参数后面问号发现这样一个参数
no-payload No translation of embedded address/port in the payload
加上之后 就好了,手机访问 那个聊天界面就正常了
最终配置命令
ip nat inside source list nat_acl pool nat_1 overload no-payload
no-payload(网上找的翻译,禁止在数据包有效载荷中嵌入地址或端口)的具体含义还不太清楚,加上之后对其他应用目前还没影响!
请了解这个参数的大神,帮忙解释一下 应用场景

fitwate
Spotlight
Spotlight
本帖最后由 fitwate 于 2015-7-23 10:26 编辑
今天发现新的问题,如果加了 no-payload,无法解析内网邮箱。
邮件在公司内网,使用内网地址,路由 静态一对一nat映射,内网主机ping 邮箱域名,经过路由器转换为内网地址。但是如果加了 no-payload 会造成内网用户解析邮件域名为公网地址。
抓包发现那个聊天app 使用的 TCP 2000端口
可以添加两个nat 思路如下:
第一条nat ,acl 只写 目标 为2000,端口 nat加 no-payload
第二条nat,acl 全部 不加no-payload
实例:
#
ip access-list extended nat_acl
permit tcp any any eq 2000
ip access-list extended nat_acl_1
permit ip host 192.168.1.2 any
#
ip nat pool nat_1 1.1.1.1 1.1.1.1 netmask 255.255.255.248
#
ip nat inside source list nat_acl pool nat_1 overload no-payload
ip nat inside source list nat_acl_1 pool nat_1 overload
大家看看这样做会有什么问题不? 或者有什么彻底的办法 解决 TCP 2000端口 聊天的问题

imest1
Level 1
Level 1
同问同问同问同问同问同问

taosun2
Cisco Employee
Cisco Employee
快捷链接