前言:
想問一下各位大大有沒有人熟悉思科9300交換器的
我在客戶端建置一個很簡單獨立環境架構
ATUR—L3交換器（c9300)—L2交換器
L3交換器上長個種不需求的SVI當Gateway都有做HSRP下面再接一台cisco 9200當L2中間綁
lacp port-channel並打trunk all
L3交換器還扮演DHCP server(測試過PC接到L2交換器後可拿到指定網段及DNS IP)
依照客戶的標準會使用Route-map去包ACL
我是將NAT Pool A指定route-map
config如下
ip nat pool Inside_Trasfer_pool (start Public IP to end public IP) netmask 25
5.255.255.224
ip nat inside source route-map Inside_NAT_Policy pool Inside_Trasfer_pool over
load
SVI GW:ip nat inside
交換器其中一個physical port指定為route port設定public IP並設定為ip nat outside
路由設定為ip route 0.0.0.0 0.0.0.0 小烏龜public IP
L2接PC後可以成功拿到IP並可Ping到外網(168.95.1.1、8.8.8.8)
但開啟Web無法顯示網頁，在L3交換器上show ip nat translation及debug ip nat detai
led都沒有看到udp 53 port
查修:
用電腦直接接小烏龜並設定IP為交換器NAT後的pubic IP可使用Web(URL可成功解析為IP)
在L3交換器上用span抓取封包只看到其他協定的封包有source為轉譯成功的IP
DNS的封包都是帶我SVI的private IP所以無法成功回應
最後把route map拿掉改單純使用Extend ACL 就可有成功DNS解析
抓封包看source也成功轉成pool內的public IP destination 168.95.1.1及source為168.
95.1.1 destination 為pool中的public IP
結論:
使用Route-map match ACL中permit的IP address的方式無法使DNS協定的private IP成功
轉譯成pool中的pubic IP
單純只使用ACL DNS可成功轉譯網路服務也正常
想問一下為甚麼多套一層route-map會無法work有人知道嗎?謝謝
▂

9300 IOSXE 不支援route-mapped的NAThttps://reurl.cc/D3YOLNhttps://i.imgur.com/ZblQ4fH.jpg 幫你打星號 看一下

不建議在SWTICH上做NAT 問題會很多

同樓上 同樣這功能你拿catalysts 8000（router)的IOSXE測試絕對沒問題 主要就是定位不同，尤其route-map NAT主要應該也是用在PBR，沒特殊需求就ACL的NAT就好

傳統ACL就能做的東西，有必要非用route-map做嗎?

沒Router 也建議把NAT做在FW上 能買思科的客戶應該可以再塞小fortigate 免得未來調整不易 思科也要注意交期 CCW的BOM c9300記得都206天以上 而且強制Cisco DNA訂閱3/5年