利用SLB实现VPN下的NAT.pdfVIP

利用SLB实现VPN下的NAT

■林岗

当许多网络管理员试图在VPN中使用不可路由的专用网络IP通信时，他们经常发现

使用NAT的VPN连接总是失败。这是因为NAT改变数据包的第三层网络地址（当然，

它也改变相应的校验和值）。IPSec或L2TP等隧道技术将专用网络的第三层网络地址

与公网的第三层网络地址进行封装和加密，并移除另一端的封装和加密。这样，NAT将

破坏隧道的通信。

两种nat实现方法

虽然在VPN环境中使用NAT很困难，但许多应用确实需要在VPN系统中使用NAT。

网络管理员可以参考两种方法。一种是在路由器之外引入特殊的NAT设备，比如防火墙。

由于NAT转换在路由器外部进行，因此避免上述NAT/VPN问题。另一种方法是使用

思科SLB技术。服务器负载平衡（SLB）是思科基于CiscoIOS的服务器负载平衡解决方

案，它允许管理员定义一个虚拟服务器来代表一组真实的服务器。当客户端发起与虚拟服

务器的连接时，IOS的SLB将根据配置的算法连接到真实服务器，从而实现负载平衡。当

然，NAT已经实现。由于SLB是网络设备本身的功能，与特定接口无关，所以在VPN

环境中使用SLB没有问题。然而，目前SLB技术只能用于Cisco6000系列交换机和

Cisco7000系列路由器。

具体实现

在实现中，我们将SLB方案作为防火墙方案的替代方案，即当防火墙从系统中移除

时（例如，由于故障等原因），SLB方案设置在中央系统中，因此客户端不需要进行任何

更改。这种方案对网络系统的设计提出更高的要求。

1.采用防火墙实现nat

系统使用VPN建立企业专用网络。Cisco7120是VPDN的LNs。该系统使用多台

服务器来处理远程客户端请求。为隐藏网络上的内部地址，系统采用NetScreen硬件

防火墙来实现NAT和负载平衡。系统如图1所示（图中的地址仅供参考，不是系统的实

际地址）。

远程客户端采用虚拟地址192.168.1.10与中心系统的服务器发起tcp连接。该连接

需经过防火墙，防火墙根据预设的负载均衡算法将虚拟地址变换为某个服务器的真实地址，

从而实现nat以及负载均衡。

防火墙的设置步骤如下：

使用浏览器，用管理员口令进入防火墙管理界面，先在interface菜单中设定

trusted和

不受信任接口的IP地址。在服务菜单中定义服务器提供的服务，系统服务器在端口

8000处提供自定义TCP服务。因此，应在服务/自定义列中添加servicesvc8000，并将

DSPort选择为8000，

transport为tcp。为限制客户端的源地址，在address/untrusted菜单中增加名

为src172的172.16.0.0/24地址段。在virtualip菜单设置virtualip1，将

servervirtualip设为

设置后，客户端可以拨号以建立客户端和路由器之间的连接。然后使用

192.168.1.10:8000与中心建立TCP套接字连接。防火墙负载平衡后，您可以与服务器建

立连接。

2.采用slb实现nat

在上述方案中，如果删除防火墙，由于远程客户数量大，不方便修改任何参数，路由

器需要实现NAT和负载平衡。由于上述原因，路由器无法在VPN下实现NAT。该系统

采用Cisco7000系列路由器，可以使用SLB功能取代防火墙。网络结构修改如图2所示。

为在不改变服务器IP地址和客户端目标地址的情况下保证通信的顺畅，路由器的SLB

功能需要负责NAT和负载平衡。具体实施情况如下：

路由器的以太网口连接到可信任的内部网，与服务器处于相同网段，并将以太网地址

改为原防火墙trusted口的地址。路由器应启动slb功能，配置如下：

!

ipslbserverfarmreal_ost#real_ost是真实