第七章:使用SNATs处理流量
SNATs:
传统的vs都是对目的地址和端口进行改变,而源地址没有改变,如果你需要对源地址和源端口进行更改,则需要使用SNAT能力,好处在于:
1、允许不可路由地址(网络内部)的设备获得可路由地址以进入网络外部。2、确保目标服务器通过BIG-IP系统返回响应,而不是直接发送到原始客户端IP地址。
SNAT提供多个节点的映射,通常是内部设备与SNAT地址之间。与nat一样,SNAT地址需要外部可路由的,而节点地址一般不可路由。与nat不同,不能向SNAT地址发起连接。这就是snat比NATs更安全的原因。只有节点可以发起连接。
当BIG-IP系统看到来自SNAT关联节点的连接发起时,源地址将从该节点的实际地址转换为SNAT地址。当目的设备响应时,SNAT地址被转换回节点地址。
snat可以以多种方式配置,包括一对一映射、多对一映射或全对一映射。一对一映射允许单个主机通过BIG-IP系统发起连接。多对一映射允许指定的主机列表通过BIG-IP系统发起连接。all-to-one映射允许所有主机通过BIG-IP系统发起连接。BIG-IP系统中需要在该节点到达的VLAN上开启SNAT功能。缺省情况下,所有vlan在创建时都使能snat。缺省情况下,snat仅支持UDP和TCP协议。注意,源端口通常在连接建立过程中进行转换,以确保所有连接的端口和地址组合都是唯一的。
有三种类型的SNAT地址:
1、一个静态地址