SNAT:

跟路由器、防火墙一样,BIG-IP系统提供NAT (Network Address Translation)和SNAT(Secure Network Address Translation)地址转换机制,SNAT地址转换跟Cisco PAT方式类似。如果不启用NAT/SNAT,负载均衡池内部节点将无法访问外部网络,即外部IP可以通过虚拟服务器IP访问负载均衡池节点,但负载均衡池内部节点不能发起对外连接。

NAT和SNAT都可以通过地址转换访问外部网络,不过SNAT不接受外部发起的连接。一个SNAT地址可以对应一个节点地址、多个节点地址或一个VLAN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤。

说明:

SNAT地址可以不是唯一的,比如,SNAT地址可以使用虚拟服务器的IP地址。

配置步骤(1)

在导航面板中选择Local Traffic->SNATs标签,点击“Create”按钮添加SNAT地址。

SNAT配置

(2)

在“Name”文本框中输入名称

(3)

在 “Translation”文本框中输入SNAT IP地址,并在“Origin List”的“Origin Address”文本框中输入节点IP地址或在“VLAN Traffic”的下拉框中选择“Enable on”或“Disable on”在VLAN List中选择相应的Vlan,点击“<<”加入“Selected”列表。

(4)

按“Finished”完成添加SNAT IP地址。

(5)

通常我们希望内部节点可以Ping到外部网络,这时我们需要在System>Gernal Properties>Local Traffic>Gernal”中启用“Snat Packet forwarding“。

说明:

如果需要添加外部单独访问内部特定节点IP。由于NAT和SNAT不能共存,可以针对特定节点创建单个节点组成的负载均衡池Pool,服务为“0”,然后创建虚拟服务器VIP,服务也为“0”,将VIP和Pool关联起来,这时候这个VIP就是那台要访问的服务器。

验证SNAT配置

在检查SNAT配置正确性之前,必须确保BIG-IP系统网关已经配置完毕。请在CLI界面用“netstat –nr”命令确定网关信息已经配置完毕:

f5test1:~# netstat -nr

Routing tables

Internet:

Destination Gateway Flags MTU If

default 10.77.88.254 UGS 3400 vlan1

10.76.160.135 10.77.88.254 UGHc 3400 vlan1

10.77.88.192/26 link#7 UC 3400 vlan1

10.77.88.250 0.e0.fc.5.36.78 UHLc 3400 vlan1

10.77.88.254 0.e0.fc.2.5d.f2 UHLc 3400 vlan1

127 127.0.0.1 UGRS 4352 lo0

127.0.0.1 127.0.0.1 UH 4352 lo0

192.168.1 link#6 UC 3400 vlan0

192.168.129 link#8 UC 3400 vlan2

192.168.129.12 link#8 UHLc 3400 vlan2

192.168.129.13 link#8 UHLc 3400 vlan2

192.168.129.16 0.e0.81.3.45.27 UHLc 3400 lo0

f5test1:~#

在BIG-IP系统CLI界面中用TCPDUMP验证SNAT配置。举例,在内部节点(IP:192.168.129.12)中Ping外部IP地址(10.77.220.82),BIG-IP的Internal VLAN IP为192.168.129.16(对应SNAT地址为10.77.88.213),测试显示如下:

f5test1:~# tcpdump -i external host 10.77.88.213 and icmp

tcpdump: listening on external

11:04:55.085576 10.77.88.213 > 10.77.220.82: icmp: echo request

11:04:55.087803 10.77.220.82 > 10.77.88.213: icmp: echo reply

11:04:55.099550 10.77.88.213 > 10.77.220.82: icmp: echo request

11:04:55.102797 10.77.220.82 > 10.77.88.213: icmp: echo reply

f5test1:~# tcpdump -i internal host 192.168.129.12 and icmp

tcpdump: listening on internal

11:06:02.859518 192.168.129.12 > 10.77.220.82: icmp: echo request

11:06:02.861788 10.77.220.82 > 192.168.129.12: icmp: echo reply

11:06:02.865022 192.168.129.12 > 10.77.220.82: icmp: echo request

11:06:02.866768 10.77.220.82 > 192.168.129.12: icmp: echo reply

如何实时监视BIG-IP的连接状态?

请使用“watch b conn”命令,退出请按“Ctrl + C”,显示示例如下:

F5 SNAT NAT相关的更多相关文章

  1. f5 SNAT

    request过程: 1.真实源地址(3.3.3.3)将数据包发给f5虚拟的vs地址(1.1.1.5:80): 2.f5将真实源地址(3.3.3.3)转换成SNAT地址(1.1.1.100),并将vs ...

  2. F5 负载均衡 相关资源

    F5负载均衡之检查命令的说明http://net.zdnet.com.cn/network_security_zone/2010/0505/1730942.shtml F5培训http://wenku ...

  3. VMware中Linux的NAT相关配置

    我这边使用的是CentOS7,因为搭建环境主要是为了后期做集群,所以会搭建三台机器master,slave1,slave2. 一.设置固定IP 1. 进入到/etc/sysconfig/network ...

  4. 虚机中访问外网;NAT中的POSTROUTING是怎么搞的?

    看下docker中是怎么配置的网络 在虚机中访问外网:设定了qemu,在主机上添加路由:sudo iptables -t nat -I POSTROUTING -s 192.168.1.110 -j ...

  5. [译] NAT - 网络地址转换(2016)

    [译] NAT - 网络地址转换(2016) Published at 2019-02-17 | Last Update 译者序 本文翻译自 2016 年的一篇英文博客 NAT - Network A ...

  6. HCNA Routing&Switching之地址转换技术NAT

    前文我们了解了包过滤工具ACL相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15156308.html:今天我们来聊一聊地址转换技术NAT相关话题: ...

  7. NAT技术

    该文摘自百度百科"NAT"中的一部分 NAT(Network Address Translation,网络地址转换)是1994年提出的.当在专用网内部的一些主机本来已经分配到了本地 ...

  8. 关于NAT穿透的一些理解

    前些天在知乎回答了一个智能家居远程控制方面的问题,感觉自己对无公网IP地址环境下的穿透问题有些了解.昨天同事拿来一个网络摄像头,安装在ADSL路由器上网的环境下,可以远程查看视频,效果还挺不错,问我厂 ...

  9. Ubuntu 设置NAT共享网络(命令行方法)

    本文介绍如何使用iptables来实现NAT转发,事实上就是将一台机器作为网关(gateway)来使用.我们假设充当网关的机器至少有网卡eth0和eth1,使用eth0表示连接到外网的网卡,使用eth ...

随机推荐

  1. 在 php 中使用 strace、gdb、tcpdump 调试工具

    转自:http://www.syyong.com/php/Using-strace-GDB-and-tcpdump-debugging-tools-in-PHP.html 在 php 中我们最常使用调 ...

  2. Java回顾之JDBC

    这篇文章里,我们来讨论一些和JDBC相关的话题. 概述 尽管在实际开发过程中,我们一般使用ORM框架来代替传统的JDBC,例如Hibernate或者iBatis,但JDBC是Java用来实现数据访问的 ...

  3. 读underscore

    最近在拜读只有1700行(含注释)代码的Underscore.js 1.9.1,记录一些东西 (参考https://underscorejs.org/underscore.js,https://git ...

  4. angular项目一

    1.Angularjs第三方模块angular-route和angular-ui-router的区别.差异.不同, ui-router路由器是一个第三方模块,功能非常强大.它支持一切正常ngroute ...

  5. java打开windows系统的浏览器

    获得百度的数据有两种方式,一种是用Url从流中获得,另一种是直接打开浏览器.文字识别(OCR)后再转码可以快速百度 public static void main(String[] args) thr ...

  6. Linux下启动关闭weblogic

    1. 启动主控域(必须永远先启动主控域) 首先,weblogic的启动脚本和关闭脚本都在域目录的bin文件夹下,所以,先cd到该目录 cd /home/weblogic/Oracle/Middlewa ...

  7. javascript中new Date()会存在偏差一小时的bug

    事件回顾: 因为我们的产品会有与时间转换这部分,并且流量主要集中在小程序. emmm~  获取用户出生的年/月/日/时  我们和后台协商的是换算用户选择后的时间为  年/月/日/时/分/秒  所以我们 ...

  8. SGU 139. Help Needed! 逆序数,奇偶性,分析 难度:0

    139. Help Needed! time limit per test: 0.25 sec. memory limit per test: 4096 KB Little Johnny likes ...

  9. 建造者模式 build

    引出建造者模式: package com.disign.build; /** * Created by zhen on 2017-05-19. */ public class BuildPersonT ...

  10. 作业要求20181023-4 Alpha阶段第2周/共2周 Scrum立会报告+燃尽图 02

    作业要求[https://edu.cnblogs.com/campus/nenu/2018fall/homework/2284] 版本控制:https://git.coding.net/liuyy08 ...