M9000问题咨询

在H3C SecPath M9000系列的版本说明书里面关于NAT地址池有这样的限制说明：

SecBladeIII 和单逻辑芯片的SecBladeIV NAT地址池中的地址数必须大于或等于备份组个数，双逻辑芯片的SecBladeIV NAT地址池中的地址数必须大于或者等于备份组个数*2。这里的备份组特指自动备份组和手动备份组，且整机环境中所有业务板使用的备份组类型必须一致，不允许自动备份组和手动备份组混用。支持双逻辑改成单逻辑命令，重启业务板生效，命令行：hardware fast-forwarding standalone

至于为什么有这样的限制，是由于H3C SecPath M9000系列作为分布式设备以及业务板插卡的独有特性决定的。请见如下分析：

正常来说 H3C SecPath M9000系列由机框、主控板、业务板、接口板、 网板（M9000-S系列网板集成在主控上）。

所有的业务板对内呈现是一个Blade聚合口的形式，所有的流量以缺省的源目地址HASH的方式分散到不同的Blade成员接口，进而上送到对应业务板。

这样可以保证不做NAT的同一个业务的来回流量可以上到同一个业务板进行处理，避免了流量来回路径不一致场景的产生。

如下图所示，设备单机存在四块业务板，型号为NSQM1FWDFG0，这是一款带有2颗FPGA芯片（FG标识）的四代（D标识）防火墙(FW标识)业务板。

这四块业务板在同一个缺省引擎组中，对内集成为一个Blade-Aggregation1来处理业务（其实还有一个 Blade-Aggregation257，这个是形式上的接口，不处理业务，可以忽略不记）。如下图所示，每一块业务板都有两个Blade接口，序号为1口和3口( Blade-Aggregation1 成员接口使用奇数号标注），分别代表Blade板的两个通道channel0和channel1。当业务板为单FPGA和无FPGA的纯CPU转发时，则只有一个序号为1的Blade接口。

重点来了，在开启NAT Outbound的场景下，则NAT地址池中 地址数目至少要8个，否则无法满足业务板的需求。

如果是NAT地址池中地址数目少于8个，则部分业务板的channel将无法获取地址（一个channel至少要满足一个NAT地址），导致在这个channel中处理的流量将无法NAT地址转换。

如下所示，当NAT地址池中只有3个地址时，只有slot6cpu1的channel0、channel1和slot7cpu1的channel0能获取到NAT地址，其他channel都无法获取地址，会导致上到这些channel的流量无法进行NAT转换。

根据ofpip可以通过以下命令查看对应的流表group entry信息(可以理解为流表的action）

【probe视图下】display system internal openflow instance inner-redirect group

由于Blade聚合口缺省以源目地址HASH方式分担流量到不同业务板的两个channel上，当设备配置NAT Outbound转换时，设备会针对NAT地址池中的每一个IP地址作为目的地址Match information下发一条openflow流表，这样来保证NAT转换之后的回程流量能正确上到同一块业务板上处理，保证来回流量业务一致性。

SecBladeIII 和单逻辑芯片的SecBladeIV NAT地址池中的地址数必须大于或等于备份组个数，双逻辑芯片的SecBladeIV NAT地址池中的地址数必须大于或者等于备份组个数*2。这里的备份组特指自动备份组和手动备份组，且整机环境中所有业务板使用的备份组类型必须一致，不允许自动备份组和手动备份组混用。支持双逻辑改成单逻辑命令，重启业务板生效，命令行：hardware fast-forwarding standalone