前言:
想问一下各位大大有没有人熟悉思科9300交换器的
我在客户端建置一个很简单独立环境架构
ATUR—L3交换器(c9300)—L2交换器
L3交换器上长个种不需求的SVI当Gateway都有做HSRP下面再接一台cisco 9200当L2中间绑
lacp port-channel并打trunk all
L3交换器还扮演DHCP server(测试过PC接到L2交换器后可拿到指定网段及DNS IP)
依照客户的标准会使用Route-map去包ACL
我是将NAT Pool A指定route-map
config如下
ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25
5.255.255.224
ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over
load
SVI GW:ip nat inside
交换器其中一个physical port指定为route port设定public IP并设定为ip nat outside
路由设定为ip route 0.0.0.0 0.0.0.0 小乌龟public IP
L2接PC后可以成功拿到IP并可Ping到外网(168.95.1.1、8.8.8.8)
但开启Web无法显示网页,在L3交换器上show ip nat translation及debug ip nat detai
led都没有看到udp 53 port
查修:
用电脑直接接小乌龟并设定IP为交换器NAT后的pubic IP可使用Web(URL可成功解析为IP)
在L3交换器上用span抓取封包只看到其他协定的封包有source为转译成功的IP
DNS的封包都是带我SVI的private IP所以无法成功回应
最后把route map拿掉改单纯使用Extend ACL 就可有成功DNS解析
抓封包看source也成功转成pool内的public IP destination 168.95.1.1及source为168.
95.1.1 destination 为pool中的public IP
结论:
使用Route-map match ACL中permit的IP address的方式无法使DNS协定的private IP成功
转译成pool中的pubic IP
单纯只使用ACL DNS可成功转译网络服务也正常
想问一下为什么多套一层route-map会无法work有人知道吗?谢谢
▂