一、NAT(Network Address Translation)网络地址转换1、NAT简介
NAT作用在当私网IP访问公网的时候将私网IP转换成公网的IP;访问这个公网IP可以直接访问到所映射的私网服务器。因此,也可以理解为双向NAT, Origin和Destination都是一个固定的IP地址,转换也是双向的从那个方向上都可以做地址翻译。
2、NAT在F5中的应用
NAT是一对一地址映射关系。即一个公网IP地址只和一个私网IP地址映射。
3、设置
NAT address: 转换成的公网IP地址。是在F5中会被客户端直接访问的两种IP之一,另一种是VSIP(Virtual Server IP)。
Origin address:被转换的私网IP地址。
二、SNAT(Security Network Address Translation)安全网络地址转换
1、SNAT简介
SNAT作用在当私网IP访问公网的时候将源地址“私网IP及端口”转换成公网的IP及端口。
2、SNAT在F5中的应用
SNAT是多对一地址映射关系,即多个内网IP进行对公网访问的时候,被映射成少量公网IP地址,甚至是一个公网IP地址。一个私网IP占用公网IP地址的几个端口,进行对公网的访问。
当与F5相连的服务器网关没有指向F5的Self IP时,需要开启SNAT,用以返回数据包的路径处理。
当F5直接单线连接至交换机时(单臂连接模式),需要开启SNAT,用以区分数据流,用以返回数据包的路径处理。
3、设置
F5中的SNAT有多种设置:
3.1 在VS中可以设置automap 即自动转换成出口SELF IP;也可选SNATPOOL。
3.2 在SNAT中指定固定的 IP地址
Automap模式,自动转换成出口SELF IP:
指定公网IP地址转换:
指定一个SNAT POOL,POOL内设置多个公网IP:
3.3 SNAT pool转换规则:默认是轮询选择POOL内IP地址。4、备注
SNAT可以用IRULES进行一些特别设置
例如:在多链路OUTBOUND选择中根据所选链路进行指定IP的SNAT
在OUTBOUND中根据内网IP地址进行指定IP的SNAT
进行SNAT会话保持,使一个内网IP访问公网时被换成一个公网IP地址
三、注意事项
SNAT的Destination可以和VS是同一个地址,而NAT的destination不能和VS是同一个地址。
SNAT是一对多的关系,也就是Origin定义命中的所有源IP,在离开BIGIP的时候,源IP会被转换为SNAT里面定义的Destination地址。如果用SNAT Pool,则使用SNAT Pool的地址轮询。SNAT是单向的,也就是说从外面来访问SNAT的Destination地址是什么也不能访问的。
NAT是一对一的关系,Origin和Destination都是一个固定的IP地址,转换也是双向的从那个方向上都可以做地址翻译。