NAT雙機(jī)熱備份方案的設(shè)計(jì)與實(shí)現(xiàn)

摘 要：NAT是為了延緩IPv4地址耗盡而推出的技術(shù)，它和它的穿越技術(shù)結(jié)合滿(mǎn)足了大部分IPv4用戶(hù)的需求，延長(zhǎng)了IPv4的生命周期，最大限度的推遲了IPv6時(shí)代的到來(lái)。實(shí)際組網(wǎng)中，若通過(guò)單臺(tái)設(shè)備進(jìn)行NAT轉(zhuǎn)換，一旦發(fā)生單點(diǎn)故障，就會(huì)導(dǎo)致網(wǎng)絡(luò)不通。因此在重要的節(jié)點(diǎn)一般都部署兩臺(tái)或多臺(tái)設(shè)備通過(guò)VRRP或動(dòng)態(tài)路由等機(jī)制進(jìn)行鏈路切換，構(gòu)成NAT冗余備份組網(wǎng)，實(shí)現(xiàn)設(shè)備間的實(shí)時(shí)數(shù)據(jù)備份，當(dāng)一臺(tái)設(shè)備故障后，流量自動(dòng)切換到另一臺(tái)設(shè)備上，同時(shí)實(shí)現(xiàn)NAT功能和規(guī)避單點(diǎn)故障的雙機(jī)熱備份功能，提高網(wǎng)絡(luò)的可靠性。

關(guān)鍵詞：NAT；雙機(jī)熱備份；方案；設(shè)計(jì)；實(shí)現(xiàn)

1 利用VRRP實(shí)現(xiàn)流量切換

虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，簡(jiǎn)稱(chēng)VRRP）是由IETF提出的，用來(lái)解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點(diǎn)失效現(xiàn)象的路由協(xié)議，廣泛應(yīng)用在邊緣網(wǎng)絡(luò)中。它是一種選擇協(xié)議，可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的另一臺(tái)VRRP路由器中。控制虛擬路由器IP地址的VRRP路由器稱(chēng)為主路由器， 一旦主路由器不可用，動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制就允許虛擬路由器的IP地址作為終端主機(jī)的默認(rèn)第一跳路由。它是一種路由容錯(cuò)協(xié)議，也可以叫做備份路由協(xié)議。一個(gè)局域網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置缺省路由，當(dāng)網(wǎng)內(nèi)主機(jī)發(fā)出的目的地址不在本網(wǎng)段時(shí)，報(bào)文將被通過(guò)缺省路由發(fā)往外部路由器，從而實(shí)現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)缺省路由器down掉（即端口關(guān)閉）之后，內(nèi)部主機(jī)將無(wú)法與外部通信，如果路由器設(shè)置了VRRP時(shí)，那么這時(shí)，虛擬路由將啟用備份路由器，從而實(shí)現(xiàn)全網(wǎng)通信。

通過(guò)VRRP將網(wǎng)絡(luò)中的一組設(shè)備配置成一個(gè)備份組，這組設(shè)備在功能上就相當(dāng)于一臺(tái)虛擬設(shè)備，網(wǎng)絡(luò)中的主機(jī)只需要知道這個(gè)虛擬設(shè)備的IP地址，通過(guò)這個(gè)虛擬設(shè)備與其它網(wǎng)絡(luò)進(jìn)行通信。備份組中，僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)，能夠轉(zhuǎn)發(fā)報(bào)文，稱(chēng)為主用設(shè)備（Master），其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備，稱(chēng)為備份設(shè)備（Backup）。當(dāng)發(fā)現(xiàn)主用設(shè)備故障時(shí)，優(yōu)先級(jí)高的備用設(shè)備會(huì)當(dāng)選為新的Master 接替原Master 工作，整個(gè)過(guò)程對(duì)用戶(hù)來(lái)說(shuō)是完全透明的，這就很好的實(shí)現(xiàn)了流量切換。

3 NAT與雙機(jī)熱備份組合中注意的問(wèn)題分析

3.1 地址池的優(yōu)先級(jí)屬性配置

當(dāng)雙機(jī)熱備的兩臺(tái)設(shè)備在網(wǎng)絡(luò)中還需要完成NAT功能時(shí)，兩臺(tái)設(shè)備上配置的NAT地址池的地址空間必須完全一樣，這樣才能保證在一臺(tái)設(shè)備發(fā)生故障時(shí)，另一臺(tái)設(shè)備能夠接替故障設(shè)備上的業(yè)務(wù)運(yùn)行。但是如果兩臺(tái)設(shè)備在做地址轉(zhuǎn)換時(shí)，分別從各自的地址池中選用了相同的地址，且分配了相同的端口號(hào)，則會(huì)導(dǎo)致兩臺(tái)設(shè)備上的反向會(huì)話完全一樣，無(wú)法進(jìn)行會(huì)話數(shù)據(jù)的備份。

為解決該問(wèn)題，NAT 地址池引入了低優(yōu)先級(jí)屬性。在雙機(jī)熱備的兩臺(tái)設(shè)備上配置地址空間相同但優(yōu)先級(jí)不同的地址池。例如在兩臺(tái)設(shè)備上均配置地址池100.0.0.1到100.0.0.10，其中一臺(tái)設(shè)備上的100.0.0.1到100.0.0.10 地址池為低優(yōu)先級(jí)。在進(jìn)行地址轉(zhuǎn)換時(shí)，低優(yōu)先級(jí)NAT地址池中地址的端口取值范圍為35001～65535，高優(yōu)先級(jí)地址池中地址的端口取值范圍為1024～35000。這樣主備兩臺(tái)防火墻雖然使用相同的NAT地址池中的地址，但是由于地址池的優(yōu)先級(jí)不同，所以NAT 轉(zhuǎn)換后公網(wǎng)IP和公網(wǎng)端口就不會(huì)出現(xiàn)完全相同的情況了，在備份會(huì)話數(shù)據(jù)時(shí)就不會(huì)發(fā)生沖突。

3.2 配置低優(yōu)先級(jí)不響應(yīng)ARP請(qǐng)求

在特定組網(wǎng)條件下，雙機(jī)熱備支持NAT的兩臺(tái)設(shè)備還可能會(huì)發(fā)生ARP響應(yīng)沖突的情況。如圖2所示，F(xiàn)irewall 1和Firewall 2上均配置了NAT地址池100.0.0.1到100.0.0.10，當(dāng)Router發(fā)起ARP請(qǐng)求，詢(xún)問(wèn)這兩個(gè)地址池中的某個(gè)地址（如100.0.0.2）時(shí)，F(xiàn)irewall 1和Firewall 2都會(huì)收到這個(gè)ARP請(qǐng)求，并識(shí)別出這是自己地址池中的地址。兩臺(tái)設(shè)備都會(huì)回復(fù)一個(gè)ARP 響應(yīng)，導(dǎo)致ARP 響應(yīng)沖突。

為解決上述問(wèn)題，NAT 地址池引入了新的地址池 ARP 響應(yīng)機(jī)制，即可以設(shè)置低優(yōu)先級(jí)的地址池在設(shè)備的熱備狀態(tài)處于同步狀態(tài)時(shí)不響應(yīng)ARP請(qǐng)求，從而保證不會(huì)出現(xiàn)ARP響應(yīng)沖突。

4 結(jié)束語(yǔ)

NAT的雙機(jī)熱備份方案，解決了IPv4地址短缺問(wèn)題的同時(shí)也很好的提高了組網(wǎng)系統(tǒng)的可靠性，拓展了NAT的應(yīng)用場(chǎng)景，為NAT在多種環(huán)境下的應(yīng)用提供了解決方案。

參考文獻(xiàn)

[1]李戰(zhàn)國(guó)，王寅川.NET技術(shù)安全問(wèn)題探討[J].平頂山學(xué)院學(xué)報(bào)，2014，2（29）：71-73.

[2]孫衛(wèi)喜，席少龍.對(duì)等網(wǎng)聯(lián)下NAT穿越問(wèn)題的研究[J].電子技術(shù)應(yīng)用，2013，5（39）：132-134.

[3]王丹.NAT技術(shù)的原理及實(shí)踐[J].電子制作，2014，4（253）：140-141.

[4]韓可玉，王振濤.NAT和防火墻穿越技術(shù)研究[J].軟件導(dǎo)刊，2013，3（137）：134-136.

[5]汪衍輝.使用VRRP協(xié)議實(shí)現(xiàn)路由器的熱備份[J].科技創(chuàng)新與應(yīng)用，2013，14（54）：88-89.

作者簡(jiǎn)介：耿飛（1981，1-），男，江蘇徐州，學(xué)歷：本科，學(xué)位：碩士，職稱(chēng)：講師，江蘇農(nóng)林職業(yè)技術(shù)學(xué)院信息工程系，研究方向：網(wǎng)絡(luò)與多媒體技術(shù)。