两台防火墙启用vrrp及nat地址组调用vrid,上联一台网关,正常情况下,网关侧的arp记录,应该是虚IP、nat ip都对应虚mac,arp即虚ip-虚mac,nat ip-虚mac;
但是防火墙发出的nat后的数据包内,携带的源mac却是物理接口的实mac,即nat ip-实mac;
这样一来,网关回复数据包,正常情况下,是以arp记录来呢?还是以数据包内的ip-mac对应关系来呢?
(0)
RBM么? 参考:
缺省情况下,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则NAT设备使用NAT接口的物理MAC地址应答此ARP请求报文。
如图2-20所示,在双机热备组网环境中配置动态NAT功能后,NAT与VRRP备份组没有绑定的情况下,内网访问外网的报文的处理流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源IP地址会被转换成NAT地址组中的IP地址,然后报文被Device A转发给Router。
(2) 若NAT地址组中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由可达,所以Router会广播ARP报文请求NAT地址组中IP地址对应的MAC地址(而不是请求VRRP备份组1虚拟IP地址对应的MAC地址)。
(3) 当Device A和Device B接收到此ARP请求报文后,因为两台Device上有相同的NAT地址组配置,所以两台Device都会将自身上行接口的物理MAC地址应答给Router。
(4) 在这种情况下,Router就会时而以Device A上行接口的MAC地址来封装报文,将报文送到Device A;时而以Device B上行接口的MAC地址来封装报文,将报文送到Device B,从而影响业务的正常运行。
在双机热备网络环境中,为了解决上述NAT部署的问题,必须将NAT与VRRP备份组绑定。
图2-20 NAT未绑定VRRP备份组示意图
将NAT与VRRP备份组绑定后,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则只能由VRRP备份组中Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求。
如图2-21所示,在双机热备组网环境中配置动态NAT功能后,NAT与VRRP备份组绑定的情况下,内网访问外网的报文的处理流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源IP地址会被转换成NAT地址组中的IP地址,然后报文被Device A转发给Router。
(2) 若NAT地址组中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由可达,所以Router会广播ARP报文请求NAT地址组中IP地址对应的MAC地址(而不是请求VRRP备份组1虚拟IP地址对应的MAC地址)。
(3) 当Device A和Device B接收到此ARP请求报文后,只有VRRP备份组中Master设备(Device A)使用VRRP备份组1的虚拟MAC地址响应此ARP请求给Router。
(4) 在这种情况下,Router只会收到Master设备(Device A)响应的ARP报文,Router就会以VRRP备份组1的虚拟MAC地址来封装报文,将报文送到Device A,从而可以保证业务的正常运行。
图2-21 NAT绑定VRRP备份组示意图
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
所哟,也就是说,网关路由器会根据arp记录即nat地址-虚mac的方式将报文转发给防火墙,并且与防火墙物理接口没有关系 问题1:nat后的数据包内携带物理接口mac和nat地址,对路由器回复数据包没有影响对不对?路由器仍按arp记录回复,根本不care数据包内的ip和mac 问题2:路由器收到的nat地址的arp响应以及刷新,都是防火墙回复给路由器网关的,路由器网关在广播arp请求时,arp请求报文内ip地址为nat地址,mac为0,然后防火墙收到后,回复mac为虚mac,路由器上不会主动修改arp记录,对不对?