摘 要：NAT是為了延緩IPv4地址耗盡而推出的技術，它和它的穿越技術結(jié)合滿足了大部分IPv4用戶的需求，延長了IPv4的生命周期，最大限度的推遲了IPv6時代的到來。實際組網(wǎng)中，若通過單臺設備進行NAT轉(zhuǎn)換，一旦發(fā)生單點故障，就會導致網(wǎng)絡不通。因此在重要的節(jié)點一般都部署兩臺或多臺設備通過VRRP或動態(tài)路由等機制進行鏈路切換，構(gòu)成NAT冗余備份組網(wǎng)，實現(xiàn)設備間的實時數(shù)據(jù)備份，當一臺設備故障后，流量自動切換到另一臺設備上，同時實現(xiàn)NAT功能和規(guī)避單點故障的雙機熱備份功能，提高網(wǎng)絡的可靠性。

關鍵詞：NAT；雙機熱備份；方案；設計；實現(xiàn)

1 利用VRRP實現(xiàn)流量切換

虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，簡稱VRRP）是由IETF提出的，用來解決局域網(wǎng)中配置靜態(tài)網(wǎng)關出現(xiàn)單點失效現(xiàn)象的路由協(xié)議，廣泛應用在邊緣網(wǎng)絡中。它是一種選擇協(xié)議，可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的另一臺VRRP路由器中?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器， 一旦主路由器不可用，動態(tài)的故障轉(zhuǎn)移機制就允許虛擬路由器的IP地址作為終端主機的默認第一跳路由。它是一種路由容錯協(xié)議，也可以叫做備份路由協(xié)議。一個局域網(wǎng)絡內(nèi)的所有主機都設置缺省路由，當網(wǎng)內(nèi)主機發(fā)出的目的地址不在本網(wǎng)段時，報文將被通過缺省路由發(fā)往外部路由器，從而實現(xiàn)主機與外部網(wǎng)絡的通信。當缺省路由器down掉（即端口關閉）之后，內(nèi)部主機將無法與外部通信，如果路由器設置了VRRP時，那么這時，虛擬路由將啟用備份路由器，從而實現(xiàn)全網(wǎng)通信。

通過VRRP將網(wǎng)絡中的一組設備配置成一個備份組，這組設備在功能上就相當于一臺虛擬設備，網(wǎng)絡中的主機只需要知道這個虛擬設備的IP地址，通過這個虛擬設備與其它網(wǎng)絡進行通信。備份組中，僅有一臺設備處于活動狀態(tài)，能夠轉(zhuǎn)發(fā)報文，稱為主用設備（Master），其余設備都處于備份狀態(tài)，并隨時按照優(yōu)先級高低做好接替任務的準備，稱為備份設備（Backup）。當發(fā)現(xiàn)主用設備故障時，優(yōu)先級高的備用設備會當選為新的Master 接替原Master 工作，整個過程對用戶來說是完全透明的，這就很好的實現(xiàn)了流量切換。

3 NAT與雙機熱備份組合中注意的問題分析

3.1 地址池的優(yōu)先級屬性配置

當雙機熱備的兩臺設備在網(wǎng)絡中還需要完成NAT功能時，兩臺設備上配置的NAT地址池的地址空間必須完全一樣，這樣才能保證在一臺設備發(fā)生故障時，另一臺設備能夠接替故障設備上的業(yè)務運行。但是如果兩臺設備在做地址轉(zhuǎn)換時，分別從各自的地址池中選用了相同的地址，且分配了相同的端口號，則會導致兩臺設備上的反向會話完全一樣，無法進行會話數(shù)據(jù)的備份。

為解決該問題，NAT 地址池引入了低優(yōu)先級屬性。在雙機熱備的兩臺設備上配置地址空間相同但優(yōu)先級不同的地址池。例如在兩臺設備上均配置地址池100.0.0.1到100.0.0.10，其中一臺設備上的100.0.0.1到100.0.0.10 地址池為低優(yōu)先級。在進行地址轉(zhuǎn)換時，低優(yōu)先級NAT地址池中地址的端口取值范圍為35001～65535，高優(yōu)先級地址池中地址的端口取值范圍為1024～35000。這樣主備兩臺防火墻雖然使用相同的NAT地址池中的地址，但是由于地址池的優(yōu)先級不同，所以NAT 轉(zhuǎn)換后公網(wǎng)IP和公網(wǎng)端口就不會出現(xiàn)完全相同的情況了，在備份會話數(shù)據(jù)時就不會發(fā)生沖突。

3.2 配置低優(yōu)先級不響應ARP請求

在特定組網(wǎng)條件下，雙機熱備支持NAT的兩臺設備還可能會發(fā)生ARP響應沖突的情況。如圖2所示，F(xiàn)irewall 1和Firewall 2上均配置了NAT地址池100.0.0.1到100.0.0.10，當Router發(fā)起ARP請求，詢問這兩個地址池中的某個地址（如100.0.0.2）時，F(xiàn)irewall 1和Firewall 2都會收到這個ARP請求，并識別出這是自己地址池中的地址。兩臺設備都會回復一個ARP 響應，導致ARP 響應沖突。

為解決上述問題，NAT 地址池引入了新的地址池 ARP 響應機制，即可以設置低優(yōu)先級的地址池在設備的熱備狀態(tài)處于同步狀態(tài)時不響應ARP請求，從而保證不會出現(xiàn)ARP響應沖突。

4 結(jié)束語

NAT的雙機熱備份方案，解決了IPv4地址短缺問題的同時也很好的提高了組網(wǎng)系統(tǒng)的可靠性，拓展了NAT的應用場景，為NAT在多種環(huán)境下的應用提供了解決方案。

參考文獻

[1]李戰(zhàn)國，王寅川.NET技術安全問題探討[J].平頂山學院學報，2014，2（29）：71-73.

[2]孫衛(wèi)喜，席少龍.對等網(wǎng)聯(lián)下NAT穿越問題的研究[J].電子技術應用，2013，5（39）：132-134.

[3]王丹.NAT技術的原理及實踐[J].電子制作，2014，4（253）：140-141.

[4]韓可玉，王振濤.NAT和防火墻穿越技術研究[J].軟件導刊，2013，3（137）：134-136.

[5]汪衍輝.使用VRRP協(xié)議實現(xiàn)路由器的熱備份[J].科技創(chuàng)新與應用，2013，14（54）：88-89.

作者簡介：耿飛（1981，1-），男，江蘇徐州，學歷：本科，學位：碩士，職稱：講師，江蘇農(nóng)林職業(yè)技術學院信息工程系，研究方向：網(wǎng)絡與多媒體技術。