园区交换机S9706 V2R1SPC300 SPU板卡 NAT不生效

发布时间:  2013-11-04 浏览次数:  190 下载次数:  0
问题描述
        某银行一级省行客户A,在广域网区部署两台S9706作为核心交换机,每台97上搭配业务增值SPU卡,实现NAT功能。在设备上线运行后,原有已配置在S9706上的NAT/PAT功能正常。
 
        客户A接到业务部门需求,需要新添加一个总行的目的地址10.x.x.x,当该省行内业务终端访问该总行地址时,将源地址转换为172.x.x.x。客户A检查了原有NAT配置,源地址172.x.x.x已经存在,只需要在S9706上将该目的地址加到相应的ACL即可。

        客户A添加完成后,与业务部门联系测试,业务部门反馈测试结果失败,仍然不能访问改地址,且在SPU板上没有相应的nat session建立。

  
告警信息

处理过程
        根据以上原因分析,首先在S9706上将该地址的引流策略删除,等待SPU板上的普通流表老化后,再重新添加,使流量命中NAT ACL。测试后业务访问正常。

相关配置信息如下,秩序将rule 300 undo后,等到老化时间后添加即可:

登陆S9706
acl name prd_nat_class 3989
rule 300 permit ip destination 10.x.x.x 0(总行目的地址)


traffic classifier c_prd_nat operator and precedence 55
if-match acl prd_nat_class

traffic behavior b_nat_redirect
redirect ip-nexthop 10.254.x.x (SPU板地址)      

traffic policy tp_prd
classifier c_prd_nat behavior b_nat_redirect

interface x/x/x
 traffic-policy tp_prd inbound


SPU板配置:
acl number 3000
rule 5 permit ip destination 10.x.x.x 0

 nat address-group 2 172.x.x.x 172.x.x.x

interface Eth-Trunk0.906
 nat outbound 3000 address-group 2

根因
        华为工程师与客户A沟通后,了解到客户A在添加该总行目的地址时,首先在S9706的引流策略中添加了该目的地址,然后进入SPU板,在相应的ACL中添加了该目的地址。
       
        该配置步骤会导致,在SPU板上将该总行地址添加到相应ACL列表前,S9706已经提前将该数据流引入到SPU板,SPU板会生成普通session表。
        在普通Session表生成后,再在SPU板上将该总行目的地自添加到相应ACL后,由于SPU板上已经存在非NAT Session表,该数据流到达SPU板后,优先基于非NATSession表转发,并不会命中相应ACL。
        
       同时,普通流表的老化时间,默认为300s,在300s内如果有该业务流量通过SPU板,流表会刷新流表的老化时间,导致NAT配置不生效。

       
建议与总结
在该版本的NAT配置步骤,必须先配置SPU板,后配置S9706的引流策略,即可规避该问题。

针对该问题,华为已经通过S9706的最新补丁SPH011,新增了清除流表的命令,在该新补丁下,可以通过命令将某一条流清除,即使步骤不对的情况下,也可以很快将NAT业务生效。

END