[請益] cisco9300交換器NAT問題

看板MIS (IT資訊人員)作者 (DanielDuck)時間2年前 (2022/09/14 13:29), 2年前編輯推噓4(407)
留言11則, 3人參與, 2年前最新討論串1/1
前言: 想問一下各位大大有沒有人熟悉思科9300交換器的 我在客戶端建置一個很簡單獨立環境架構 ATUR—L3交換器(c9300)—L2交換器 L3交換器上長個種不需求的SVI當Gateway都有做HSRP下面再接一台cisco 9200當L2中間綁 lacp port-channel並打trunk all L3交換器還扮演DHCP server(測試過PC接到L2交換器後可拿到指定網段及DNS IP) 依照客戶的標準會使用Route-map去包ACL 我是將NAT Pool A指定route-map config如下 ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25 5.255.255.224 ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over load SVI GW:ip nat inside 交換器其中一個physical port指定為route port設定public IP並設定為ip nat outside 路由設定為ip route 0.0.0.0 0.0.0.0 小烏龜public IP L2接PC後可以成功拿到IP並可Ping到外網(168.95.1.1、8.8.8.8) 但開啟Web無法顯示網頁,在L3交換器上show ip nat translation及debug ip nat detai led都沒有看到udp 53 port 查修: 用電腦直接接小烏龜並設定IP為交換器NAT後的pubic IP可使用Web(URL可成功解析為IP) 在L3交換器上用span抓取封包只看到其他協定的封包有source為轉譯成功的IP DNS的封包都是帶我SVI的private IP所以無法成功回應 最後把route map拿掉改單純使用Extend ACL 就可有成功DNS解析 抓封包看source也成功轉成pool內的public IP destination 168.95.1.1及source為168. 95.1.1 destination 為pool中的public IP 結論: 使用Route-map match ACL中permit的IP address的方式無法使DNS協定的private IP成功 轉譯成pool中的pubic IP 單純只使用ACL DNS可成功轉譯網路服務也正常 想問一下為甚麼多套一層route-map會無法work有人知道嗎?謝謝 ▂ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.129.11.61 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1663133379.A.58F.html ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:39:45 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:40:37 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:42:10 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:44:59 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:47:04 ※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 14:44:32

09/15 00:53, 2年前 , 1F
9300 IOSXE 不支援route-mapped的NAT
09/15 00:53, 1F

09/15 00:54, 2年前 , 2F

09/15 00:56, 2年前 , 3F
幫你打星號 看一下
09/15 00:56, 3F
感謝A大的回應想不到您是某I的竟然對思科也有涉略 不過比較奇怪的點是他的蓋寫說不 支援route-map做NAT但是目前只看到udp53無法轉譯 其他TCP是可以成功轉的 ICMP也是正 常轉譯 ※ 編輯: en22348829 (27.52.64.192 臺灣), 09/15/2022 23:57:28

09/16 09:20, 2年前 , 4F
不建議在SWTICH上做NAT 問題會很多
09/16 09:20, 4F

09/16 09:52, 2年前 , 5F
同樓上 同樣這功能你拿catalysts 8000(router)的IOSXE測
09/16 09:52, 5F

09/16 09:52, 2年前 , 6F
試絕對沒問題 主要就是定位不同,尤其route-map NAT主要
09/16 09:52, 6F

09/16 09:52, 2年前 , 7F
應該也是用在PBR,沒特殊需求就ACL的NAT就好
09/16 09:52, 7F
Ok感謝回覆主要是這個案子客戶並沒有買router 也沒有PBR的需求 ※ 編輯: en22348829 (39.8.12.51 臺灣), 09/16/2022 10:53:03

09/16 13:07, 2年前 , 8F
傳統ACL就能做的東西,有必要非用route-map做嗎?
09/16 13:07, 8F
純粹客戶環境的標準化

09/16 13:09, 2年前 , 9F
沒Router 也建議把NAT做在FW上 能買思科的客戶應該可以再
09/16 13:09, 9F

09/16 13:09, 2年前 , 10F
塞小fortigate 免得未來調整不易 思科也要注意交期 CCW的
09/16 13:09, 10F

09/16 13:09, 2年前 , 11F
BOM c9300記得都206天以上 而且強制Cisco DNA訂閱3/5年
09/16 13:09, 11F
太專業了 我也覺得客戶未來會裝個Forti 不然這環境完全裸露在外部 我只有在route po rt(wan)塞個Acl擋 ssh跟telnet而已 ※ 編輯: en22348829 (27.247.139.235 臺灣), 09/17/2022 23:46:29
文章代碼(AID): #1Z8MR3MF (MIS)
文章代碼(AID): #1Z8MR3MF (MIS)