前言: 想問一下各位大大有沒有人熟悉思科9300交換器的 我在客戶端建置一個很簡單獨立環境架構 ATUR—L3交換器（c9300)—L2交換器 L3交換器上長個種不需求的SVI當Gateway都有做HSRP下面再接一台cisco 9200當L2中間綁 lacp port-channel並打trunk all L3交換器還扮演DHCP server(測試過PC接到L2交換器後可拿到指定網段及DNS IP) 依照客戶的標準會使用Route-map去包ACL 我是將NAT Pool A指定route-map config如下 ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25 5.255.255.224 ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over load SVI GW:ip nat inside 交換器其中一個physical port指定為route port設定public IP並設定為ip nat outside 路由設定為ip route 0.0.0.0 0.0.0.0 小烏龜public IP L2接PC後可以成功拿到IP並可Ping到外網(168.95.1.1、8.8.8.8) 但開啟Web無法顯示網頁，在L3交換器上show ip nat translation及debug ip nat detai led都沒有看到udp 53 port 查修: 用電腦直接接小烏龜並設定IP為交換器NAT後的pubic IP可使用Web(URL可成功解析為IP) 在L3交換器上用span抓取封包只看到其他協定的封包有source為轉譯成功的IP DNS的封包都是帶我SVI的private IP所以無法成功回應 最後把route map拿掉改單純使用Extend ACL 就可有成功DNS解析 抓封包看source也成功轉成pool內的public IP destination 168.95.1.1及source為168. 95.1.1 destination 為pool中的public IP 結論: 使用Route-map match ACL中permit的IP address的方式無法使DNS協定的private IP成功 轉譯成pool中的pubic IP 單純只使用ACL DNS可成功轉譯網路服務也正常 想問一下為甚麼多套一層route-map會無法work有人知道嗎?謝謝 ▂ --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.129.11.61 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1663133379.A.58F.html ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:39:45 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:40:37 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:42:10 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:44:59 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:47:04 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 14:44:32 感謝A大的回應想不到您是某I的竟然對思科也有涉略 不過比較奇怪的點是他的蓋寫說不 支援route-map做NAT但是目前只看到udp53無法轉譯 其他TCP是可以成功轉的 ICMP也是正 常轉譯 ※ 編輯: en22348829 (27.52.64.192 臺灣), 09/15/2022 23:57:28 Ok感謝回覆主要是這個案子客戶並沒有買router 也沒有PBR的需求 ※ 編輯: en22348829 (39.8.12.51 臺灣), 09/16/2022 10:53:03 純粹客戶環境的標準化 太專業了 我也覺得客戶未來會裝個Forti 不然這環境完全裸露在外部 我只有在route po rt(wan)塞個Acl擋 ssh跟telnet而已 ※ 編輯: en22348829 (27.247.139.235 臺灣), 09/17/2022 23:46:29