request过程:
1.真实源地址(3.3.3.3)将数据包发给f5虚拟的vs地址(1.1.1.5:80);
2.f5将真实源地址(3.3.3.3)转换成SNAT地址(1.1.1.100),并将vs地址(1.1.1.5:80)转换成真实源站地址(1.1.1.1:8080);
3. SNAT地址(1.1.1.100)将数据包发送给真实源站地址(1.1.1.1:8080)。
response过程:
1. 真实源站地址(1.1.1.1:8080)将数据包发送给SNAT地址(1.1.1.100);
2. f5将真实源站地址(1.1.1.1:8080)转换成vs地址(1.1.1.5:80),并将SNAT地址(1.1.1.100)转换成真实源地址(3.3.3.3);
3. vs地址(1.1.1.5:80)将数据包发送给真实源地址(3.3.3.3)。
2)若不使用SNAT
3)SNAT将客户端的地址转换成BIG-IP上的地址
优势
•不用修改网络和服务器配置
•便于进行简单的测试
•One Connect 功能可以工作在一个性能最好的模式
•需要直接访问服务器时,不需要对BIG-IP进行额外的配置
缺点
•服务器上看到的源地址都是BIG-IP的地址
•排错的难度相对较高
•外部网段可以直接访问到服务器,降低了安全性
注:BIG-IP可以将客户端的源地址写到HTTP包头里,以便后台服务器读取:
•插入一个x-forward 字段在HTTP包头里(RFC 标准格式)
•客户通过iRules定义的HTTP包头字段
4)SNAT 可以被应用在:
•全局
•将BIG-IP默认关闭的服务模式更改为默认通过
•在某一个virtual server上生效
•SNAT Automap
•SNAT Pool
•在特定环境下生效
•VLANs
•Addressing
•iRules