CN113422844B - 一种实现双活网络地址转换网关的方法 - Google Patents

一种实现双活网络地址转换网关的方法 Download PDF

Info

Publication number
CN113422844B
CN113422844B CN202110684598.0A CN202110684598A CN113422844B CN 113422844 B CN113422844 B CN 113422844B CN 202110684598 A CN202110684598 A CN 202110684598A CN 113422844 B CN113422844 B CN 113422844B
Authority
CN
China
Prior art keywords
nat gateway
nat
gateway
ecmp
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110684598.0A
Other languages
English (en)
Other versions
CN113422844A (zh
Inventor
杨燚
张晖
孙思清
李彦君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN202110684598.0A priority Critical patent/CN113422844B/zh
Publication of CN113422844A publication Critical patent/CN113422844A/zh
Application granted granted Critical
Publication of CN113422844B publication Critical patent/CN113422844B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • H04L41/0826Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for reduction of network costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0889Techniques to speed-up the configuration process
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • H04L61/2532Clique of NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种实现双活网络地址转换网关的方法,属于NAT网关技术领域,本发明使用OVS/OVS DPDK实现NAT,SNAT和DNAT。使用核心交换机策略路由和ECMP分流。使用openflow规则做NAT,SNAT和DNAT。使用ECMP实现高可用和水平扩展。避免了频繁的状态表同步,实现了两个NAT网关双活的模式。

Description

一种实现双活网络地址转换网关的方法
技术领域
本发明涉及NAT网关技术领域,尤其涉及一种实现双活网络地址转换网关的方法。
背景技术
NAT网关实现主备工作时,只有一个节点处于工作状态,另一个节点只是备用,处于闲置状态,这就造成资源浪费。现有的一些实现双活的方案异常复杂,它需要进行状态表同步,对于TCP的状态表同步,只要任何一个方向的TCP包序号发生改变时都要做,因此同步状态表基本不切实际。
发明内容
为了解决以上技术问题,本发明提供了一种实现双活网络地址转换网关的方法,避免了频繁的状态表同步,同时还能实现双活的工作模式。
本发明的技术方案是:
一种实现双活网络地址转换网关的方法,利用交换机的ECMP能力实现到NAT网关的流量的负载均衡,但是对于任何一个连接(包括有状态的和无状态的),只有一个NAT网关有该连接的状态表,当ECMP把该连接的包分发到另一个没有该连接的NAT网关时,该NAT网关会把包送到本地的状态表查看是否有连接在,如果没有则设置标记,NAT网关看到该标记就知道本地没有状态表,它就会把包送到另外一个NAT网关,每一个NAT网关都会这么做,这样,对于任何连接的数据包,不管ECMP把它分发到哪一个NAT网关,最终都会在有该连接状态的NAT网关节点上处理,从而实现了两个NAT网关双活的模式。
进一步的,
1)使用OVS/OVS DPDK实现NAT,SNAT和DNAT;
2)使用核心交换机策略路由和ECMP分流;
3)使用openflow规则做NAT,SNAT和DNAT;
4)使用ECMP实现高可用和水平扩展。
进一步的,
对源IP是浮动IP,目标IP是EIP的流量,交换机配置两条策略路由,一条到NAT网关1,一条到NAT网关2,这样就对出去的流量启动了ECMP,同时需要配置ECMP使用源IP,源端口,目标IP,目标端口来分发流量,从而做到尽可能的负载均衡。
对源IP和目标IP都是EIP的流量,交换机需要配置两条策略路由,一条到NAT网关1,一条到NAT网关2,这样就对回来的流量启动了ECMP,ECMP分流使用的五元组是全局配置,这里就无须配置了。
每个NAT网关配置四个网络接口,一个是内部数据接口,一个是外部数据接口,一个是管理IP接口,一个是状态表同步接口。
两个NAT网关的管理IP使用VRRP配置一个VIP,一旦一个NAT网关故障,管理VIP将自动切换到另一个NAT网关。
管理IP有主备之分,以确保配置总是先配置到主,然后再由主把配置同步到备上。
两个NAT网关的内部数据接口和外部数据接口不需要VRRP管理,链路的好坏由交换机去检测判断,当然NAT网关本地也必须要有周期性的检测机制,确保数据接口故障后管理VIP的及时切换和连接状态表的及时同步。
每个NAT网关为每个配置的SNAT和DNAT添加另外的openflow规则,来把不属于该NAT网关连接状态表的连接的流量重新发送到另一个NAT网关。
每一个NAT网关启动conntrackd后台服务,当管理VIP发生切换时,借助它把故障的NAT网关的连接状态表同步到工作的NAT网关上来。
本发明的有益效果是
1)使用低成本的方法实现NAT网关的高可用性和水平扩展。
2)使用现有的技术,开发部署快。
3)避免使用额外的负载均衡设备和专有的NAT网关设备,大大降低部署和运维成本。
附图说明
图1是本发明的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明利用交换机的ECMP能力实现到NAT网关的流量的负载均衡,但是对于任何一个连接(包括有状态的和无状态的),只有一个NAT网关有该连接的状态表,当ECMP把该连接的包分发到另一个没有该连接的NAT网关时,该NAT网关会把包送到本地的状态表查看是否有连接在,如果没有会设置标记,NAT网关看到该标记就知道本地没有状态表,它就会把包送到另外一个NAT网关,每一个NAT网关都会这么做,这样,对于任何连接的数据包,不管ECMP把它分发到哪一个NAT网关,最终都会在有该连接状态的NAT网关节点上处理,从而实现了两个NAT网关双活的模式。
NAT网关有三种情况要处理:
1)一对一的NAT,对于这种NAT,因为它是无状态的,所以天然就支持双活模式,任何一个NAT网关都能处理这种连接的任何数据包;
2)对于SNAT和DNAT(它们是有连接的),如果ECMP仍然把属于一个连接的包分发到同一个NAT网关,也无须特殊考虑,但这种可能性较低;
3)对于SNAT和DNAT,如果ECMP把属于一个连接的包分发到不同的NAT网关,此时该连接第一个包分发到的网关拥有状态表,当该连接反向的包分发到另一个NAT网关,该网关发现无连接状态,就会把包重新发送到有该连接状态的NAT网关,从而确保对于任何连接,进出的包总是被相同的NAT网关处理;
对于可靠性的保证,有两个机制来实现:
A、交换机能通过ARP检测到NAT网关不通,一旦出现这种情况,交换机将不再把数据包分发到该故障NAT网关,而是把所有的包都送到还正常工作的NAT网关;
B、此时工作的NAT网关也会通过另一个状态表同步通道(状态表同步网络接口,必须处在工作状态)把故障的NAT网关的状态表同步到工作的NAT网关,从而确保工作的NAT网关能全部接管故障NAT网关处理的所有连接,做到一个NAT网关故障不影响现有的网络连接。
两个NAT网关实现双活的具体部署如图1所示:
1)对源IP是浮动IP,目标IP是EIP的流量,交换机配置两条策略路由,一条到NAT网关1,一条到NAT网关2,这样就对出去的流量启动了ECMP,同时需要配置ECMP使用源IP,源端口,目标IP,目标端口来分发流量,从而做到尽可能的负载均衡。
2)对源IP和目标IP都是EIP的流量,交换机也需要配置两条策略路由,一条到NAT网关1,一条到NAT网关2,这样就对回来的流量启动了ECMP(ECMP分流使用的五元组是全局配置,这里就无须配置了)。
3)每个NAT网关需要配置四个网络接口,一个是内部数据接口,一个是外部数据接口,一个是管理IP接口,一个是状态表同步接口。
4)两个NAT网关的管理IP使用VRRP配置一个VIP,一旦一个NAT网关故障,管理VIP将自动切换到另一个NAT网关。管理IP有主备之分,以确保配置总是先配置到主,然后再由主把配置同步到备上。
5)两个NAT网关的内部数据接口和外部数据接口不需要VRRP管理,链路的好坏由交换机去检测判断,当然NAT网关本地也必须要有周期性的检测机制,确保数据接口故障后管理VIP的及时切换和连接状态表的及时同步。
6)每个NAT网关为每个配置的SNAT和DNAT添加另外的openflow规则,来把不属于该NAT网关连接状态表的连接的流量重新发送到另一个NAT网关。
7)每一个NAT网关启动conntrackd后台服务,当管理VIP发生切换时,借助它把故障的NAT网关的连接状态表同步到工作的NAT网关上来。
以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (1)

1.一种实现双活网络地址转换网关的方法,其特征在于,
利用交换机的ECMP能力实现到NAT网关的流量的负载均衡,但是对于任何一个连接,包括有状态的和无状态的,只有一个NAT网关有该连接的状态表,当ECMP把该连接的包分发到另一个没有该连接的NAT网关时,该NAT网关会把包送到本地的状态表查看是否有连接在,如果没有则设置标记,NAT网关看到该标记就知道本地没有状态表,它就会把包送到另外一个NAT网关,每一个NAT网关都会这么做;对于任何连接的数据包,不管ECMP把它分发到哪一个NAT网关,最终都会在有该连接状态的NAT网关节点上处理;
使用OVS/OVS DPDK实现NAT, SNAT和DNAT;
使用核心交换机策略路由和ECMP分流;
使用openflow规则做NAT,SNAT和DNAT;
使用ECMP实现高可用和水平扩展;
对源IP是浮动IP,目标IP是EIP的流量,交换机配置两条策略路由,一条到NAT网关1,一条到NAT网关2,对出去的流量启动了ECMP,同时需要配置ECMP使用源IP,源端口,目标IP,目标端口来分发流量,从而做到尽可能的负载均衡;
对源IP和目标IP都是EIP的流量,交换机需要配置两条策略路由,一条到NAT网关1,一条到NAT网关2,这样就对回来的流量启动了ECMP,ECMP分流使用的五元组是全局配置;
每个NAT网关配置四个网络接口,一个是内部数据接口,一个是外部数据接口,一个是管理IP接口,一个是状态表同步接口;
两个NAT网关的管理IP使用VRRP配置一个VIP,一旦一个NAT网关故障,管理VIP将自动切换到另一个NAT网关;
管理IP有主备之分,以确保配置总是先配置到主,然后再由主把配置同步到备上;
两个NAT网关的内部数据接口和外部数据接口不需要VRRP管理,链路的好坏由交换机去检测判断,当然NAT网关本地也必须要有周期性的检测机制,确保数据接口故障后管理VIP的及时切换和连接状态表的及时同步;
每个NAT网关为每个配置的SNAT和DNAT添加另外的openflow规则,来把不属于该NAT网关连接状态表的连接的流量重新发送到另一个NAT网关;
每一个NAT网关启动conntrackd后台服务,当管理VIP发生切换时,借助它把故障的NAT网关的连接状态表同步到工作的NAT网关上来。
CN202110684598.0A 2021-06-21 2021-06-21 一种实现双活网络地址转换网关的方法 Active CN113422844B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110684598.0A CN113422844B (zh) 2021-06-21 2021-06-21 一种实现双活网络地址转换网关的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110684598.0A CN113422844B (zh) 2021-06-21 2021-06-21 一种实现双活网络地址转换网关的方法

Publications (2)

Publication Number Publication Date
CN113422844A CN113422844A (zh) 2021-09-21
CN113422844B true CN113422844B (zh) 2022-12-27

Family

ID=77789398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110684598.0A Active CN113422844B (zh) 2021-06-21 2021-06-21 一种实现双活网络地址转换网关的方法

Country Status (1)

Country Link
CN (1) CN113422844B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115665048A (zh) * 2022-10-09 2023-01-31 浪潮云信息技术股份公司 基于四层负载均衡集群的同步conntrack方法、系统及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108123871A (zh) * 2016-11-28 2018-06-05 中兴通讯股份有限公司 等价多路径ecmp处理方法及装置
CN110661904A (zh) * 2019-10-25 2020-01-07 浪潮云信息技术有限公司 一种实现源网络地址转换网关水平扩展的方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2266086A1 (en) * 1999-03-17 2000-09-17 Timestep Corporation Method of gateway redundancy for use in secure network communication
US9876714B2 (en) * 2014-11-14 2018-01-23 Nicira, Inc. Stateful services on stateless clustered edge
US10257156B2 (en) * 2014-12-31 2019-04-09 F5 Networks, Inc. Overprovisioning floating IP addresses to provide stateful ECMP for traffic groups
JP6705857B2 (ja) * 2018-03-28 2020-06-03 日本電信電話株式会社 通信装置、通信制御システム、通信制御方法及び通信制御プログラム
WO2020254838A1 (en) * 2019-06-19 2020-12-24 Citrix Systems Inc. Large scale nat system
US11436111B2 (en) * 2019-10-03 2022-09-06 Cisco Technology, Inc. Highly-available distributed network address translation (NAT) architecture with failover solutions
CN110753137B (zh) * 2019-10-25 2022-05-31 浪潮云信息技术股份公司 一种实现一对一网络地址转换网关水平扩展的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108123871A (zh) * 2016-11-28 2018-06-05 中兴通讯股份有限公司 等价多路径ecmp处理方法及装置
CN110661904A (zh) * 2019-10-25 2020-01-07 浪潮云信息技术有限公司 一种实现源网络地址转换网关水平扩展的方法

Also Published As

Publication number Publication date
CN113422844A (zh) 2021-09-21

Similar Documents

Publication Publication Date Title
EP3373547B1 (en) Method for realizing disaster tolerance backup
CN100579072C (zh) 一种在ip设备之间进行通信的方法和系统
CN101483558B (zh) 网络设备接入分组交换网络的方法、系统及装置
JP5661929B2 (ja) マルチシャーシリンクアグリゲーションのためのシステムおよび方法
US20100329111A1 (en) Multi-Active Detection Method And Stack Member Device
JP6189783B2 (ja) 中継システムおよびスイッチ装置
US7881188B2 (en) Methods, systems, and computer program products for implementing link redundancy in a media gateway
CN102148677B (zh) 一种更新地址解析协议表项的方法及核心交换机
US9537756B2 (en) Method for synchronized BGP and VRRP failover of a network device in a network
US9491122B2 (en) Systems and methods for server and switch failover in a black core network
US20110055622A1 (en) Network system and network relay apparatus
EP2533475A1 (en) Method and system for host route reachability in packet transport network access ring
CN110753137B (zh) 一种实现一对一网络地址转换网关水平扩展的方法
US20080219207A1 (en) Base stations routing traffic over a packet backhaul network to multiple routing elements
JP2015515809A (ja) 仮想ファブリックリンク障害復旧のためのシステムおよび方法
CN108337161B (zh) 一种mlag接口故障三层数据流量平滑切换的方法
CN100454875C (zh) 一种用户网络边缘设备双归属或多归属的实现方法及系统
CN1863198A (zh) 一种实时恢复业务的装置及方法
CN101060533B (zh) 一种提高vgmp协议可靠性的方法、系统及装置
WO2018166308A1 (zh) 一种分布式nat双机热备份流量切换系统和方法
JP2009049640A (ja) 冗長化ゲートウェイシステムのためのネットワークスイッチ装置
CN113422844B (zh) 一种实现双活网络地址转换网关的方法
CN106452882B (zh) 一种万能网络护照服务器的备份切换方法及系统
CN110661904A (zh) 一种实现源网络地址转换网关水平扩展的方法
EP1964330B1 (en) Method for reducing fault detection time in a telecommunication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant