[請益] cisco9300交換器NAT問題
前言:
想問一下各位大大有沒有人熟悉思科9300交換器的
我在客戶端建置一個很簡單獨立環境架構
ATUR—L3交換器(c9300)—L2交換器
L3交換器上長個種不需求的SVI當Gateway都有做HSRP下面再接一台cisco 9200當L2中間綁
lacp port-channel並打trunk all
L3交換器還扮演DHCP server(測試過PC接到L2交換器後可拿到指定網段及DNS IP)
依照客戶的標準會使用Route-map去包ACL
我是將NAT Pool A指定route-map
config如下
ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25
5.255.255.224
ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over
load
SVI GW:ip nat inside
交換器其中一個physical port指定為route port設定public IP並設定為ip nat outside
路由設定為ip route 0.0.0.0 0.0.0.0 小烏龜public IP
L2接PC後可以成功拿到IP並可Ping到外網(168.95.1.1、8.8.8.8)
但開啟Web無法顯示網頁,在L3交換器上show ip nat translation及debug ip nat detai
led都沒有看到udp 53 port
查修:
用電腦直接接小烏龜並設定IP為交換器NAT後的pubic IP可使用Web(URL可成功解析為IP)
在L3交換器上用span抓取封包只看到其他協定的封包有source為轉譯成功的IP
DNS的封包都是帶我SVI的private IP所以無法成功回應
最後把route map拿掉改單純使用Extend ACL 就可有成功DNS解析
抓封包看source也成功轉成pool內的public IP destination 168.95.1.1及source為168.
95.1.1 destination 為pool中的public IP
結論:
使用Route-map match ACL中permit的IP address的方式無法使DNS協定的private IP成功
轉譯成pool中的pubic IP
單純只使用ACL DNS可成功轉譯網路服務也正常
想問一下為甚麼多套一層route-map會無法work有人知道嗎?謝謝
▂
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.129.11.61 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1663133379.A.58F.html
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:39:45
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:40:37
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:42:10
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:44:59
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 13:47:04
※ 編輯: en22348829 (106.64.176.90 臺灣), 09/14/2022 14:44:32
推
09/15 00:53,
2年前
, 1F
09/15 00:53, 1F
→
09/15 00:54,
2年前
, 2F
09/15 00:54, 2F
→
09/15 00:56,
2年前
, 3F
09/15 00:56, 3F
感謝A大的回應想不到您是某I的竟然對思科也有涉略 不過比較奇怪的點是他的蓋寫說不
支援route-map做NAT但是目前只看到udp53無法轉譯 其他TCP是可以成功轉的 ICMP也是正
常轉譯
※ 編輯: en22348829 (27.52.64.192 臺灣), 09/15/2022 23:57:28
推
09/16 09:20,
2年前
, 4F
09/16 09:20, 4F
推
09/16 09:52,
2年前
, 5F
09/16 09:52, 5F
→
09/16 09:52,
2年前
, 6F
09/16 09:52, 6F
→
09/16 09:52,
2年前
, 7F
09/16 09:52, 7F
Ok感謝回覆主要是這個案子客戶並沒有買router 也沒有PBR的需求
※ 編輯: en22348829 (39.8.12.51 臺灣), 09/16/2022 10:53:03
→
09/16 13:07,
2年前
, 8F
09/16 13:07, 8F
純粹客戶環境的標準化
推
09/16 13:09,
2年前
, 9F
09/16 13:09, 9F
→
09/16 13:09,
2年前
, 10F
09/16 13:09, 10F
→
09/16 13:09,
2年前
, 11F
09/16 13:09, 11F
太專業了 我也覺得客戶未來會裝個Forti 不然這環境完全裸露在外部 我只有在route po
rt(wan)塞個Acl擋 ssh跟telnet而已
※ 編輯: en22348829 (27.247.139.235 臺灣), 09/17/2022 23:46:29
MIS 近期熱門文章
PTT職涯區 即時熱門文章