SNAT:

跟路由器、防火墙一样,BIG-IP系统提供NAT (Network Address Translation)和SNAT(Secure Network Address Translation)地址转换机制,SNAT地址转换跟Cisco PAT方式类似。如果不启用NAT/SNAT,负载均衡池内部节点将无法访问外部网络,即外部IP可以通过虚拟服务器IP访问负载均衡池节点,但负载均衡池内部节点不能发起对外连接。

NAT和SNAT都可以通过地址转换访问外部网络,不过SNAT不接受外部发起的连接。一个SNAT地址可以对应一个节点地址、多个节点地址或一个VLAN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤。

说明:

SNAT地址可以不是唯一的,比如,SNAT地址可以使用虚拟服务器的IP地址。

配置步骤(1)

在导航面板中选择Local Traffic->SNATs标签,点击“Create”按钮添加SNAT地址。

SNAT配置

(2)

在“Name”文本框中输入名称

(3)

在 “Translation”文本框中输入SNAT IP地址,并在“Origin List”的“Origin Address”文本框中输入节点IP地址或在“VLAN Traffic”的下拉框中选择“Enable on”或“Disable on”在VLAN List中选择相应的Vlan,点击“<<”加入“Selected”列表。

(4)

按“Finished”完成添加SNAT IP地址。

(5)

通常我们希望内部节点可以Ping到外部网络,这时我们需要在System>Gernal Properties>Local Traffic>Gernal”中启用“Snat Packet forwarding“。

说明:

如果需要添加外部单独访问内部特定节点IP。由于NAT和SNAT不能共存,可以针对特定节点创建单个节点组成的负载均衡池Pool,服务为“0”,然后创建虚拟服务器VIP,服务也为“0”,将VIP和Pool关联起来,这时候这个VIP就是那台要访问的服务器。

验证SNAT配置

在检查SNAT配置正确性之前,必须确保BIG-IP系统网关已经配置完毕。请在CLI界面用“netstat –nr”命令确定网关信息已经配置完毕:

f5test1:~# netstat -nr

Routing tables

Internet:

Destination Gateway Flags MTU If

default 10.77.88.254 UGS 3400 vlan1

10.76.160.135 10.77.88.254 UGHc 3400 vlan1

10.77.88.192/26 link#7 UC 3400 vlan1

10.77.88.250 0.e0.fc.5.36.78 UHLc 3400 vlan1

10.77.88.254 0.e0.fc.2.5d.f2 UHLc 3400 vlan1

127 127.0.0.1 UGRS 4352 lo0

127.0.0.1 127.0.0.1 UH 4352 lo0

192.168.1 link#6 UC 3400 vlan0

192.168.129 link#8 UC 3400 vlan2

192.168.129.12 link#8 UHLc 3400 vlan2

192.168.129.13 link#8 UHLc 3400 vlan2

192.168.129.16 0.e0.81.3.45.27 UHLc 3400 lo0

f5test1:~#

在BIG-IP系统CLI界面中用TCPDUMP验证SNAT配置。举例,在内部节点(IP:192.168.129.12)中Ping外部IP地址(10.77.220.82),BIG-IP的Internal VLAN IP为192.168.129.16(对应SNAT地址为10.77.88.213),测试显示如下:

f5test1:~# tcpdump -i external host 10.77.88.213 and icmp

tcpdump: listening on external

11:04:55.085576 10.77.88.213 > 10.77.220.82: icmp: echo request

11:04:55.087803 10.77.220.82 > 10.77.88.213: icmp: echo reply

11:04:55.099550 10.77.88.213 > 10.77.220.82: icmp: echo request

11:04:55.102797 10.77.220.82 > 10.77.88.213: icmp: echo reply

f5test1:~# tcpdump -i internal host 192.168.129.12 and icmp

tcpdump: listening on internal

11:06:02.859518 192.168.129.12 > 10.77.220.82: icmp: echo request

11:06:02.861788 10.77.220.82 > 192.168.129.12: icmp: echo reply

11:06:02.865022 192.168.129.12 > 10.77.220.82: icmp: echo request

11:06:02.866768 10.77.220.82 > 192.168.129.12: icmp: echo reply

如何实时监视BIG-IP的连接状态?

请使用“watch b conn”命令,退出请按“Ctrl + C”,显示示例如下:

F5 SNAT NAT相关的更多相关文章

  1. f5 SNAT

    request过程: 1.真实源地址(3.3.3.3)将数据包发给f5虚拟的vs地址(1.1.1.5:80): 2.f5将真实源地址(3.3.3.3)转换成SNAT地址(1.1.1.100),并将vs ...

  2. F5 负载均衡 相关资源

    F5负载均衡之检查命令的说明http://net.zdnet.com.cn/network_security_zone/2010/0505/1730942.shtml F5培训http://wenku ...

  3. VMware中Linux的NAT相关配置

    我这边使用的是CentOS7,因为搭建环境主要是为了后期做集群,所以会搭建三台机器master,slave1,slave2. 一.设置固定IP 1. 进入到/etc/sysconfig/network ...

  4. 虚机中访问外网;NAT中的POSTROUTING是怎么搞的?

    看下docker中是怎么配置的网络 在虚机中访问外网:设定了qemu,在主机上添加路由:sudo iptables -t nat -I POSTROUTING -s 192.168.1.110 -j ...

  5. [译] NAT - 网络地址转换(2016)

    [译] NAT - 网络地址转换(2016) Published at 2019-02-17 | Last Update 译者序 本文翻译自 2016 年的一篇英文博客 NAT - Network A ...

  6. HCNA Routing&Switching之地址转换技术NAT

    前文我们了解了包过滤工具ACL相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15156308.html:今天我们来聊一聊地址转换技术NAT相关话题: ...

  7. NAT技术

    该文摘自百度百科"NAT"中的一部分 NAT(Network Address Translation,网络地址转换)是1994年提出的.当在专用网内部的一些主机本来已经分配到了本地 ...

  8. 关于NAT穿透的一些理解

    前些天在知乎回答了一个智能家居远程控制方面的问题,感觉自己对无公网IP地址环境下的穿透问题有些了解.昨天同事拿来一个网络摄像头,安装在ADSL路由器上网的环境下,可以远程查看视频,效果还挺不错,问我厂 ...

  9. Ubuntu 设置NAT共享网络(命令行方法)

    本文介绍如何使用iptables来实现NAT转发,事实上就是将一台机器作为网关(gateway)来使用.我们假设充当网关的机器至少有网卡eth0和eth1,使用eth0表示连接到外网的网卡,使用eth ...

随机推荐

  1. 爬虫模拟登陆之formdata表单数据

    首先HTTP协议是个无连接的协议,浏览器和服务器之间是以循环往复的请求回复来交互的,交互的形式是以文件形式来进行的.比如在chrome开发者工具network中看到了 每一行是一个文件,又文件大小啊, ...

  2. BZOJ 3527 【ZJOI2014】 力

    题目链接:力 听说这道题是\(FFT\)板子题,于是我就来写了…… 首先可以发现这个式子:\[E_i=\sum_{j<i}\frac{q_j}{(i-j)^2}-\sum_{j>i}\fr ...

  3. Angel 实现FFM 一、对于Angel 和分布式机器学习的简单了解

    Angel是腾讯开源的一个分布式机器学习框架.是一个PS模式的分布式机器学习框架. https://github.com/Angel-ML/angel   这是github地址. 我了解的分布式机器学 ...

  4. Mysql语句转义

    String sqlStr = "SELECT * FROM t_sys_dic WHERE idPath LIKE" + "'" + "/19/20 ...

  5. data模块

    这个模块原本应该存放Excel文件,提供utils目录下的config模块调用: 这里公司内部无法使用Excel读取数据,顾使用了ddt,其实里面就是.xslx文件

  6. 使用Jenkins来实现内部的持续集成流程(上)

    前言 Jenkins和TeamCity都是大杀器,用于搭建内部持续集成环境都是妥妥的.本篇主要介绍Jenkins的安装,下篇将介绍相关配置和使用. 目录 安装和配置 第一次启动 插件安装,第一次进入时 ...

  7. IEnumerable的用法

    本文导读:IEnumerable和IEnumerable<T>接口在.NET中是非常重要的接口,它允许开发人员定义foreach语句功能的实现并支持非泛型方法的简单的迭代,IEnumera ...

  8. Spring Boot 集成 FreeMarker 详解案例(十五)

    一.Springboot 那些事 SpringBoot 很方便的集成 FreeMarker ,DAO 数据库操作层依旧用的是 Mybatis,本文将会一步一步到来如何集成 FreeMarker 以及配 ...

  9. JDK1.7+eclipse 4.4(luna)+pydev4.4.5构建django开发环境

    最近一直用pycharm搞django学习,但是到2017年随着版本的不断更新,启动之慢,吃资源吃内存越来越严重.果然想找一个IDE替代品. 之前用java开发分布式WEB应用,用eclipse开了N ...

  10. 16款最受关注的智能手表 苹果iWatch领衔

    智能手表逐渐成为科技行业的新宠,而传闻中的苹果iWatch以及已经确认即将推出的三星Galaxy Gear,显然让这股热潮达到了顶峰,也预示着大牌厂商将逐渐进入该领域,推出更多成熟的产品.以下便是16 ...