前言: 想问一下各位大大有没有人熟悉思科9300交换器的 我在客户端建置一个很简单独立环境架构 ATUR—L3交换器（c9300)—L2交换器 L3交换器上长个种不需求的SVI当Gateway都有做HSRP下面再接一台cisco 9200当L2中间绑 lacp port-channel并打trunk all L3交换器还扮演DHCP server(测试过PC接到L2交换器後可拿到指定网段及DNS IP) 依照客户的标准会使用Route-map去包ACL 我是将NAT Pool A指定route-map config如下 ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25 5.255.255.224 ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over load SVI GW:ip nat inside 交换器其中一个physical port指定为route port设定public IP并设定为ip nat outside 路由设定为ip route 0.0.0.0 0.0.0.0 小乌龟public IP L2接PC後可以成功拿到IP并可Ping到外网(168.95.1.1、8.8.8.8) 但开启Web无法显示网页，在L3交换器上show ip nat translation及debug ip nat detai led都没有看到udp 53 port 查修: 用电脑直接接小乌龟并设定IP为交换器NAT後的pubic IP可使用Web(URL可成功解析为IP) 在L3交换器上用span抓取封包只看到其他协定的封包有source为转译成功的IP DNS的封包都是带我SVI的private IP所以无法成功回应 最後把route map拿掉改单纯使用Extend ACL 就可有成功DNS解析 抓封包看source也成功转成pool内的public IP destination 168.95.1.1及source为168. 95.1.1 destination 为pool中的public IP 结论: 使用Route-map match ACL中permit的IP address的方式无法使DNS协定的private IP成功 转译成pool中的pubic IP 单纯只使用ACL DNS可成功转译网路服务也正常 想问一下为甚麽多套一层route-map会无法work有人知道吗?谢谢 ▂ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.129.11.61 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1663133379.A.58F.html ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 13:39:45 ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 13:40:37 ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 13:42:10 ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 13:44:59 ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 13:47:04 ※ 编辑: en22348829 (106.64.176.90 台湾), 09/14/2022 14:44:32 感谢A大的回应想不到您是某I的竟然对思科也有涉略 不过比较奇怪的点是他的盖写说不 支援route-map做NAT但是目前只看到udp53无法转译 其他TCP是可以成功转的 ICMP也是正 常转译 ※ 编辑: en22348829 (27.52.64.192 台湾), 09/15/2022 23:57:28 Ok感谢回覆主要是这个案子客户并没有买router 也没有PBR的需求 ※ 编辑: en22348829 (39.8.12.51 台湾), 09/16/2022 10:53:03 纯粹客户环境的标准化 太专业了 我也觉得客户未来会装个Forti 不然这环境完全裸露在外部 我只有在route po rt(wan)塞个Acl挡 ssh跟telnet而已 ※ 编辑: en22348829 (27.247.139.235 台湾), 09/17/2022 23:46:29