[請益] cisco9300交換器NAT問題

看板MIS (IT資訊人員)作者en22348829 (DanielDuck)時間2年前 (2022/09/14 13:29)推噓4(4推 0噓 7→)

留言11則, 3人參與討論串1/1

前言: 想問一下各位大大有沒有人熟悉思科9300交換器的我在客戶端建置一個很簡單獨立環境架構 ATUR—L3交換器（c9300)—L2交換器 L3交換器上長個種不需求的SVI當Gateway都有做HSRP下面再接一台cisco 9200當L2中間綁 lacp port-channel並打trunk all L3交換器還扮演DHCP server(測試過PC接到L2交換器後可拿到指定網段及DNS IP) 依照客戶的標準會使用Route-map去包ACL 我是將NAT Pool A指定route-map config如下 ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25 5.255.255.224 ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over load SVI GW:ip nat inside 交換器其中一個physical port指定為route port設定public IP並設定為ip nat outside 路由設定為ip route 0.0.0.0 0.0.0.0 小烏龜public IP L2接PC後可以成功拿到IP並可Ping到外網(168.95.1.1、8.8.8.8) 但開啟Web無法顯示網頁，在L3交換器上show ip nat translation及debug ip nat detai led都沒有看到udp 53 port 查修: 用電腦直接接小烏龜並設定IP為交換器NAT後的pubic IP可使用Web(URL可成功解析為IP) 在L3交換器上用span抓取封包只看到其他協定的封包有source為轉譯成功的IP DNS的封包都是帶我SVI的private IP所以無法成功回應最後把route map拿掉改單純使用Extend ACL 就可有成功DNS解析抓封包看source也成功轉成pool內的public IP destination 168.95.1.1及source為168. 95.1.1 destination 為pool中的public IP 結論: 使用Route-map match ACL中permit的IP address的方式無法使DNS協定的private IP成功轉譯成pool中的pubic IP 單純只使用ACL DNS可成功轉譯網路服務也正常想問一下為甚麼多套一層route-map會無法work有人知道嗎?謝謝 ▂ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.129.11.61 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1663133379.A.58F.html ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:39:45 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:40:37 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:42:10 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:44:59 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:47:04 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 14:44:32

推

a12321a

09/15 00:53, 2年前 , 1^F

09/15 00:53, 1^F

→

a12321a

09/15 00:54, 2年前 , 2^F

09/15 00:54, 2^F

→

a12321a

09/15 00:56, 2年前 , 3^F

09/15 00:56, 3^F