摘 要:NAT是为了延缓IPv4地址耗尽而推出的技术,它和它的穿越技术结合满足了大部分IPv4用户的需求,延长了IPv4的生命周期,最大限度的推迟了IPv6时代的到来。实际组网中,若通过单台设备进行NAT转换,一旦发生单点故障,就会导致网络不通。因此在重要的节点一般都部署两台或多台设备通过VRRP或动态路由等机制进行链路切换,构成NAT冗余备份组网,实现设备间的实时数据备份,当一台设备故障后,流量自动切换到另一台设备上,同时实现NAT功能和规避单点故障的双机热备份功能,提高网络的可靠性。
关键词:NAT;双机热备份;方案;设计;实现
1 利用VRRP实现流量切换
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的,用来解决局域网中配置静态网关出现单点失效现象的路由协议,广泛应用在边缘网络中。它是一种选择协议,可以把一个虚拟路由器的责任动态分配到局域网上的另一台VRRP路由器中。控制虚拟路由器IP地址的VRRP路由器称为主路由器, 一旦主路由器不可用,动态的故障转移机制就允许虚拟路由器的IP地址作为终端主机的默认第一跳路由。它是一种路由容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。
通过VRRP将网络中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备,网络中的主机只需要知道这个虚拟设备的IP地址,通过这个虚拟设备与其它网络进行通信。备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。当发现主用设备故障时,优先级高的备用设备会当选为新的Master 接替原Master 工作,整个过程对用户来说是完全透明的,这就很好的实现了流量切换。
3 NAT与双机热备份组合中注意的问题分析
3.1 地址池的优先级属性配置
当双机热备的两台设备在网络中还需要完成NAT功能时,两台设备上配置的NAT地址池的地址空间必须完全一样,这样才能保证在一台设备发生故障时,另一台设备能够接替故障设备上的业务运行。但是如果两台设备在做地址转换时,分别从各自的地址池中选用了相同的地址,且分配了相同的端口号,则会导致两台设备上的反向会话完全一样,无法进行会话数据的备份。
为解决该问题,NAT 地址池引入了低优先级属性。在双机热备的两台设备上配置地址空间相同但优先级不同的地址池。例如在两台设备上均配置地址池100.0.0.1到100.0.0.10,其中一台设备上的100.0.0.1到100.0.0.10 地址池为低优先级。在进行地址转换时,低优先级NAT地址池中地址的端口取值范围为35001~65535,高优先级地址池中地址的端口取值范围为1024~35000。这样主备两台防火墙虽然使用相同的NAT地址池中的地址,但是由于地址池的优先级不同,所以NAT 转换后公网IP和公网端口就不会出现完全相同的情况了,在备份会话数据时就不会发生冲突。
3.2 配置低優先级不响应ARP请求
在特定组网条件下,双机热备支持NAT的两台设备还可能会发生ARP响应冲突的情况。如图2所示,Firewall 1和Firewall 2上均配置了NAT地址池100.0.0.1到100.0.0.10,当Router发起ARP请求,询问这两个地址池中的某个地址(如100.0.0.2)时,Firewall 1和Firewall 2都会收到这个ARP请求,并识别出这是自己地址池中的地址。两台设备都会回复一个ARP 响应,导致ARP 响应冲突。
为解决上述问题,NAT 地址池引入了新的地址池 ARP 响应机制,即可以设置低优先级的地址池在设备的热备状态处于同步状态时不响应ARP请求,从而保证不会出现ARP响应冲突。
4 结束语
NAT的双机热备份方案,解决了IPv4地址短缺问题的同时也很好的提高了组网系统的可靠性,拓展了NAT的应用场景,为NAT在多种环境下的应用提供了解决方案。
参考文献
[1]李战国,王寅川.NET技术安全问题探讨[J].平顶山学院学报,2014,2(29):71-73.
[2]孙卫喜,席少龙.对等网联下NAT穿越问题的研究[J].电子技术应用,2013,5(39):132-134.
[3]王丹.NAT技术的原理及实践[J].电子制作,2014,4(253):140-141.
[4]韩可玉,王振涛.NAT和防火墙穿越技术研究[J].软件导刊,2013,3(137):134-136.
[5]汪衍辉.使用VRRP协议实现路由器的热备份[J].科技创新与应用,2013,14(54):88-89.
作者简介:耿飞(1981,1-),男,江苏徐州,学历:本科,学位:硕士,职称:讲师,江苏农林职业技术学院信息工程系,研究方向:网络与多媒体技术。