技術領域

本發明涉及網絡應用領域，具體涉及一種用于管理外網訪問的方法及一種用于管理外網訪問的系統。

背景技術

NAT（Network?Address?Translation，網絡地址轉換）服務器作為網絡接出設備，負責為私有網段機器提供訪問因特網（Internet）的功能，必須要具有高可用性。

目前高可用性是通過VRRP（Virtual?Router?Redundancy?Protocol，虛擬路由冗余協議）心跳協議來實現的。VRRP協議設計的目的，是為了解決靜態路由引發的單點故障問題。VRRP的核心是一個選擇協議，可以把一個虛擬路由器的責任動態分配到局域網上的VRRP路由器中的一臺。控制虛擬路由器IP（Internet?Protocol，因特網協議）地址的VRRP路由器稱為主路由器，它負責轉發數據包到這些虛擬IP地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。使用VRRP的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。

通過NAT設備訪問外網的服務器，需要和NAT設備在同一個網段，同時把該服務器的默認網關設置為NAT設備提供的VIP（Virtual?IP，虛擬服務IP）。

為了使用VRRP心跳協議，NAT設備在運行時，會在用戶態運行實現了VRRP協議的連續運行的Daemon程序。該Daemon程序會在VRRP心跳發生變化時，負責VIP的管理。

圖1示出了根據現有技術的NAT設備的配置示意圖。參見圖1，目前NAT設備的一般配置為兩臺NAT設備。其中，兩臺NAT設備之間采用VRRP協議，選取出來的主NAT設備上綁定VIP，并提供NAT訪問外網的服務。主NAT設備會定期發出VRRP心跳，以便備NAT設備知道主NAT設備仍然活著。其中，主NAT設備是通過VRRP協議中的權值（Priority）字段來決定的，Priority最大的NAT設備成為主NAT設備。

圖2示出了根據現有技術的主備NAT切換后的配置示意圖。在主NAT設備的服務程序關閉或崩潰或其他方式DOWN掉或者主NAT設備自身發生故障等無法提供服務的時候，備NAT設備持續監聽VRRP心跳，沒有收到主NAT設備的心跳報文，則兩臺NAT設備的狀態會遷移到如圖2的狀態：備NAT設備自動成為主NAT設備，接管VIP，提供服務。然后，備NAT設備定期發送VRRP心跳報文，以讓其他設備獲知其存活狀態。

后續，若主NAT設備服務恢復后，會主動搶占備NAT設備上的VIP，再次成為主NAT設備，相應的，流量就會重新回到主NAT設備上。

通過上述的過程，當一臺NAT設備服務出現問題的時候，另外一臺NAT設備可以很快的接管服務器，實現了高可用性。

VRRP協議是一種路由選擇協議，在進行路由選擇時，只能有一個主路由器進行路由轉發。對應到NAT設備使用的場景，即一個VIP在同一時間內只能綁定在一臺NAT設備上，這會導致如下問題：

1）首先，單個NAT設備會成為性能瓶頸。具體的，因為在一定時間內，特定VIP的流量只能被轉發到一臺NAT設備上，單臺NAT設備的流量處理能力是一定的，如果該VIP對應的流量很大，該NAT設備的流量處理能力就會成為性能瓶頸。

2）其次，NAT設備集群的擴展較為復雜。一般情況下，考慮一臺NAT設備的安全性較差，現有技術都會使用2臺NAT設備組成一個集群提供服務。但隨著訪問外網服務器數目和流量的增加，集群性能會遇到瓶頸，此時需要擴展NAT設備集群，有兩種手段來擴展：

第一，新建一個2臺NAT設備的集群。該手段帶來的問題是需要人為地在多個集群間劃分業務，以進行流量均衡，如果某個業務流量變大，還需要隨時進行調整。

第二，增加NAT設備服務器到原有集群。該手段帶來的問題是，需要人為地為每個業務劃分各臺NAT設備的權值，以便實現各NAT設備的流量均衡，以及各個業務的高可用發生。以三臺NAT設備（分別NAT設備A、NAT設備B、NAT設備C）的集群為例，該集群承擔3臺業務（業務1、業務2、業務3），總流量為270，則理想配置為：

業務1設置的權值為NAT設備A->110,NAT設備B->90，NAT設備C->70;

業務2設置的權值為NAT設備B->110,NAT設備A->90，NAT設備C->70;