我有一个现有的开关配置，它可以工作，但并不令人满意，我想切换到一个看起来很简单但我无法在生产中工作的不同配置，尽管我的脚本在此处的暂存设置中运行良好。

我们在遥远的 DC 有一个机架。我们有 2 个堆叠的 Dell N2024 和各种服务器。我们的 ISP 为我们提供了 2 个子网 - 一个是 /26 范围的公共 IP，另一个是 /30 范围，用于路由：它们.165在他们的一端，我们必须.166在我们的一端，他们​​将用作网关. 目前，我们有一个网关服务器，它已.166分配给它的一个以太网端口。我想要的是分配.166给交换机，这样即使网关主机出现故障（其中一个是网关主机的 iDRAC），其他设备也可以保持可用，本质上是使用交换机的第 3 层路由功能使其行为有点像路由器。

我能够通过 将更新应用到网关主机和交换机screen，我已经设置为如果在配置更新后无法进入，则重新启动 GFW 和服务器，到目前为止，这种情况已经发生了 100%。然而，我已经能够收集、诊断、日志和我尝试 ping.166地址的PCAP 。

我有很多可以分享的数据，但我将从基础开始，也许任何愿意提供帮助的人都可以告诉我需要扩展的内容。该过程的要点是：

1. 通过交换机 ssh 到网关，打开.166。
2. 通过 10.xxx 网络通过与166接口的不同端口连接到交换机 CLI 。
3. 将修改脚本下载到交换机
4. 运行屏幕脚本以关闭.166网关上的交换机端口，并使用新的 VLAN 配置交换机并为其提供.166IP 地址。
5. 收集诊断信息并捕获 PCAP。
6. 屏幕脚本重新加载交换机并重新启动网关主机以使我们回到当前设置。

PCAP 显示 ping ICMP 到达交换机，但它没有回复。我还可以看到交换机发送 ARP 请求。以下是一些有关配置的数据点（如果需要，我会提供更多详细信息），其中 x 用于保护公共子网：

ip routing 已启用。

我正在设置.166vlan 4010 中的地址。

interface vlan 4010
ip address x.x.8.166 255.255.255.252
exit

这是应用配置更改后的路由表：

No default gateway is configured.
C      *10.x.x.x/15 [0/0] directly connected,   Vl999
C      *x.x.8.164/30 [0/0] directly connected,   Vl4010
C      *x.x.13.192/26 [0/0] directly connected,   Vl4000

我正在使用 ACL 来管理 VLAN 间路由。我目前允许“任何”IP从互联网访问路由器子网：

ip access-list internet-to-router
permit ip any x.x.8.164 0.0.0.3
exit

route-map internet-routing deny 20
match ip address internet-to-router
exit

注意我deny在路由映射中使用路由表（如上所示），但我也尝试过permit，但这也不起作用。

我可以看到我的 ping 正在击中路线图：

route-map "internet-routing" deny 20
     Match clauses:
       ip address (access-lists) : internet-to-router
     Set clauses:
Policy routed: 17 packets, 0 bytes

但我没有得到任何回应.166。任何建议将非常受欢迎。