BIGIP-LTM中的NAT和SNAT

 

http://250688049.blog.51cto.com/643101/1095880

一、NAT（Network Address Translation）网络地址转换1、NAT简介

NAT作用在当私网IP访问公网的时候将私网IP转换成公网的IP；访问这个公网IP可以直接访问到所映射的私网服务器。因此，也可以理解为双向NAT, Origin和Destination都是一个固定的IP地址，转换也是双向的从那个方向上都可以做地址翻译。

2、NAT在F5中的应用

NAT是一对一地址映射关系。即一个公网IP地址只和一个私网IP地址映射。

3、设置

NAT address： 转换成的公网IP地址。是在F5中会被客户端直接访问的两种IP之一，另一种是VSIP（Virtual Server IP）。

Origin address：被转换的私网IP地址。

二、SNAT（Security Network Address Translation）安全网络地址转换

1、SNAT简介

SNAT作用在当私网IP访问公网的时候将源地址“私网IP及端口”转换成公网的IP及端口。

2、SNAT在F5中的应用

SNAT是多对一地址映射关系，即多个内网IP进行对公网访问的时候，被映射成少量公网IP地址，甚至是一个公网IP地址。一个私网IP占用公网IP地址的几个端口，进行对公网的访问。

当与F5相连的服务器网关没有指向F5的Self IP时，需要开启SNAT，用以返回数据包的路径处理。

当F5直接单线连接至交换机时（单臂连接模式），需要开启SNAT，用以区分数据流，用以返回数据包的路径处理。

3、设置

F5中的SNAT有多种设置：

3.1 在VS中可以设置automap 即自动转换成出口SELF IP；也可选SNATPOOL。

3.2 在SNAT中指定固定的 IP地址

Automap模式，自动转换成出口SELF IP：

指定公网IP地址转换：

指定一个SNAT POOL，POOL内设置多个公网IP：

3.3 SNAT pool转换规则：默认是轮询选择POOL内IP地址。4、备注

SNAT可以用IRULES进行一些特别设置

例如：在多链路OUTBOUND选择中根据所选链路进行指定IP的SNAT

在OUTBOUND中根据内网IP地址进行指定IP的SNAT

进行SNAT会话保持，使一个内网IP访问公网时被换成一个公网IP地址

三、注意事项

SNAT的Destination可以和VS是同一个地址，而NAT的destination不能和VS是同一个地址。

SNAT是一对多的关系，也就是Origin定义命中的所有源IP，在离开BIGIP的时候，源IP会被转换为SNAT里面定义的Destination地址。如果用SNAT Pool，则使用SNAT Pool的地址轮询。SNAT是单向的，也就是说从外面来访问SNAT的Destination地址是什么也不能访问的。

NAT是一对一的关系，Origin和Destination都是一个固定的IP地址，转换也是双向的从那个方向上都可以做地址翻译。