配置 SNAT 和NAT
• 安全网络地址转换简介
• 创建SANT pool
• 实施SNAT
• 实施NAT
• 管理SNAT 和NAT
• SNAT 示例
安全网络地址转换简介
在 BIG-IP®本地流量管理(LTM)系统上配置的Real Server 可以将入
站数据包的目的地IP 地址转换为另一个目的地IP 地址,以便对该数据
包进行负载平衡。通常,源IP 地址保持不变。
此外,也可以创建安全网络地址转换(SNAT)。SNAT 是一个将原始客
户机IP 地址(也就是源IP 地址)映射到您所选择的转换地址的对象。
因此,SNAT 会让LTM 系统将入站数据包的源IP 地址转换为您指定的
地址。SNAT 的目的非常简单,即:确保目标服务器通过LTM 系统将其
响应返回到指定的地址,而不是直接发送到原始客户机IP 地址。
要创建SNAT,可以使用Configuration 工具或编写iRule,这取决于您
创建的SNAT 类型。
♦ 注
这种转换类型对Real Server 执行的目的地地址转换没有影响。
在以下情况下SNAT 十分有用:
• 连接到需要可路由返回IP 地址的外部设备;
• 通过与客户机相同的IP 子网上的节点连接到Real Server。
♦ 提示
由于 SNAT 的目的只是改变入站数据包的源IP 地址,因此术语安全网
络地址转换有些用词不当。缩写词SNAT 最好定义为源网络地址转换,
或源NAT。
SNAT的工作原理
SNAT 的工作原理如下:
1. LTM 系统接收从原始客户机IP 地址发送的数据包,并检查SNAT
中是否定义了此源地址。
2. 如果SNAT 中定义了客户机的IP 地址,那么LTM 系统将源IP 地
址改变为SNAT 中定义的转换地址。
3. 然后,LTM 系统将SNAT 转换地址作为源地址,向目标服务器发
送客户机请求。
此流程的最终结果是目标服务器为客户机提供了一个可路由的IP 地址,
服务器在响应时,可将此IP 地址指定为目的地IP 地址。
将原始IP地址映射到转换地址
根据您的需要,在创建SNAT 时可以通过多种方法将原始IP 地址映射
到转换地址。例如,您可以显式地将原始IP 地址映射到单一转换地址,
或者创建一个转换地址的pool,然后将原始IP 地址映射到此地址pool。
将特定原始IP 地址映射到特定转换地址
创建 SNAT 的一种方法是将一个或多个原始IP 地址直接映射到您所选
择的特定转换地址。采用这种方法创建的SNAT 是标准型SNAT。标准
SNAT 是使用Configuration 工具的“New SNAT”屏幕创建的SNAT 对
象。有关标准SNAT 的详细信息,请参阅第11-6 页上的“实施SNAT”。
使用SNAT 自动映射特性
创建 SNAT 的另一种方法是使用LTM 系统的SNAT 自动映射特性。
SNAT Automap 特性可自动将系统本身的IP 地址映射到在创建SNAT
过程中指定的原始IP 地址。在使用该特性时,无需显式指定转换地址。
采用这种方法创建的SNAT 是标准型SNAT。有关标准SNAT 的详细信
息,请参阅第11-6 页上的“实施SNAT”。
将特定原始IP 地址映射到转换地址pool
您也可以通过创建转换地址pool,然后将原始IP 地址映射到整个转换
pool 来创建SNAT。这个转换地址pool 就是众所周知的SANT pool。您
可以使用Configuration 工具的“New SANT Pool”屏幕来创建SANT
pool。有关创建SANT pool 的详细信息,请参阅第11-6 页上的“实施
SNAT”。
创建SANT pool 并将其映射到原始IP 地址之后,Real Server 就会接收
从原始IP 地址发送的数据包,而LTM 系统会从SANT pool 选择转换地
址。然后,系统会将原始IP 地址转换为所选地址。
您可以采用以下两种方法之一将原始IP 地址映射到SANT pool:
• 通过创建SNAT 对象。
通过Configuration 工具中的“New SNAT”屏幕,采用这种方法
创建的SNAT 是标准型SNAT。有关标准SNAT 的详细信息,请参
阅第11-6 页上的“创建标准SNAT”。
• 通过编写iRule。
采用这种方法,您无需创建SNAT 对象。但是需要编写包括snat
或snat pool 命令的iRule。通过编写iRule 创建的SNAT 类型称
为智能SNAT。智能SNAT 使用iRule,将一个或多个原始客户机
IP 地址映射到转换地址。有关智能SNAT 的详细信息,请参阅第
11-9 页上的“创建智能SNAT”。
将所有原始IP 地址映射到转换地址pool
创建 SNAT 的另一种方法是创建SANT pool(使用Configuration 工具
的“New SANT pool”屏幕),并且将其直接分配到Real Server,作为
Real Server 的资源。在将SANT pool 分配到Real Server 之后,LTM
系统会自动将来自Real Server 的所有原始IP 地址映射到该SANT
pool。借助智能SNAT,您无需使用Configuration 工具的“New SNAT”
屏幕创建SNAT 对象。有关这种类型的SNAT 的详细信息,请参阅第
11-10 页上的“将SANT pool 直接分配到Real Server”。
创建SANT pool
如果您决定使用SANT pool 作为在SNAT 中指定转换地址的方法,那么
必须首先创建SANT pool,指定一个或多个您所希望包括在SANT pool
中的转换地址。您可以使用Configuration 工具创建SANT pool。有关
SANT pool 的背景信息,请参阅第11-3 上页的“将特定原始IP 地址映
射到转换地址pool”。
创建SANT pool 后,可以创建最符合您的需求的SNAT 类型(Standard
SNAT、Intelligent SNAT 或直接分配到Real Server 的SANT pool)。要
了解您可以创建的不同SNAT 类型,请参阅第11-6 页上的“实施SNAT”。
在创建SANT pool 时,必须对两个设置进行配置。表11.1 列出并介绍
了这些设置。
属性说明 缺省值
Name
Member List
SANT pool 的唯一名称。
您希望包括在SANT pool 中的IP 地址列表。如果您添加的IP 地
址还没有被指定为转换地址,那么LTM 系统会自动将其指定为转
换地址,并且根据它们的缺省值,分配适当的属性。此设置是必
需的。
无缺省值
无缺省值
表11.1 SANT pool 的属性
您向SANT pool 添加的每个转换地址都有多个设置,您可以在向SANT
pool 添加地址之后对这些设置进行配置。有关这些设置的详细信息,请
参阅第11-8 页上的“指定转换地址”。
创建了SANT pool 后,您必须执行以下操作之一:
• 参考您创建的SNAT 对象中的SANT pool。在创建标准SNAT 时
执行此操作。有关详细信息,请参阅第11-6 页上的“创建标准
SNAT”。
• 参考iRule 中的SANT pool,然后将iRule 作为一项资源分配到
Real Server。在创建智能SNAT 时执行此操作。有关详细信息,
请参阅第11-9 页上的“创建智能SNAT”。
• 将SANT pool 直接作为一项资源分配到Real Server。有关详细信
息,请参阅第11-10 页上的“将SANT pool 直接分配到Real
Server”。
创建SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏中,点击SNAT Pool List。
此操作将显示现有SANT Pool 列表。
4. 在屏幕的右上角,点击Create。
5. 在Name 设置中,输入SANT pool 的唯一名称。
6. 在Member List 设置中,输入IP 地址。
7. 点击Add。
8. 对希望添加的每个转换地址重复步骤6 和步骤7。
9. 点击Finished。
实施SNAT
在实施安全网络地址转换前,应该决定要创建哪种类型的SNAT。可以
创建的SNAT 类型包括:
• 标准SNAT
标准SNAT 是使用Configuration 工具创建的对象,它指定将一个
或多个原始客户机IP 地址映射到转换地址。对于这种类型的
SNAT,LTM 系统用来决定何时应用转换地址的标准将严格基于原
始IP 地址。也就是说,如果数据包来自您在SNAT 中指定的原始
IP 地址,那么LTM 系统会将该地址转换为指定的转换地址。
您可以创建的标准SNAT 包括以下三种类型:
• 在其中可以指定特定转换地址的SNAT
• 使用自动映射特性的SNAT
• 在其中可以指定SANT pool 作为转换地址的SNAT
• 智能SNAT
与标准SNAT 类似,智能SNAT 可将一个或多个原始客户机IP 地
址映射到转换地址。但是,您应该在iRule 中而不是通过创建SNAT
对象来实施这种类型的SNAT 映射。对于这种类型的SNAT,LTM
系统用来确定何时应用转换地址的标准基于在iRule 中指定的任何
数据片断(例如,HTTP cookie 或服务器端口)。
• 将SANT pool 作为Real Server 资源分配
这种类型的SNAT 只包含直接作为一项资源分配到Real Server
的SANT pool。在实施这种类型的SNAT 时,只需创建SANT pool,
而无需创建SNAT 对象或iRule。
有关将原始IP 地址映射到转换地址的详细信息,请参阅第11-2 页上的
“将原始IP 地址映射到转换地址”。
创建标准SNAT
您可以使用Configuration 工具创建标准SNAT。转换地址或映射原始IP
地址的地址可以是特定IP 地址、现有SANT pool 或自身IP 地址(使用
自动映射特性)。
在创建标准SNAT 时,LTM 系统自动为SNAT 分配一组属性。同时,您
必须在创建SNAT 时配置Name 和Translation 设置,您可以使用其它
设置的缺省值,也可以在以后修改这些值。
创建标准SNAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在屏幕的右上角,点击Create。
4. 在Name 设置中,输入SNAT 的唯一名称。
5. 在Translation 设置中,选择IP Address、SANT Pool 或
Automap。
6. 如果选择IP Address 或SANT Pool,那么输入IP 地址或选择
SANT pool 名称。
7. 更改或保留所有其它值。
8. 点击Finished。
表11.2 显示了可以为SNAT 配置的设置。表格的下面是每种设置的详细
说明。
属性 说明 缺省值
Name 指定标准SNAT 的唯一名称。此属性设置是必需的。 无缺省值
Translation 根据所选的值,指定单独的IP 地址、SANT pool 名称或自动映射
选项。可能的值包括:IP Address、SANT Pool 或Automap。
Automap
Origin 指定您希望映射转换地址、转换pool 或自身IP 地址的原始客户机
IP 地址。可能的值包括All Address 或Address List。
所有地址
VLAN Traffic 希望应用SNAT 的VLAN。可能的值包括:All VLANs、Enabled
On 和Disabled On。
所有VLAN
表11.2 标准 SNAT 的属性
指定SNAT 名称
您可以为标准SNAT 配置的最基本设置是SNAT 名称。SNAT 名称要区
分大小写,并且只能包含字母、数字和下划线(_)。不允许使用保留的关
键字。
您定义的每个SNAT 都必须有唯一的名称。
指定转换地址
Translation 设置可指定您希望映射到原始客户机IP 地址的转换地址。
有关转换地址的背景信息,请参阅第11-2 页上的“将原始IP 地址映射
到转换地址”。
Translation 设置包括3 个可能的值:
• IP 地址
在创建SNAT 时,可以指定一个您希望SNAT 将其用作转换地址
的特殊IP 地址。有关指定特殊转换地址的详细流程,请参阅第
11-14 页上的“显式定义转换地址的步骤”。
• SANT pool
此值使您能够指定映射原始客户IP 地址的现有SANT pool。有关
SANT pool 以及如何创建SANT pool 的信息,请参阅第11-4 页上
的“创建SANT pool”。有关使用SANT pool 的标准SNAT 的示例,
请参阅第11-16 页上的“示例1--建立使用SANT pool 的标准
SNAT”。
• 自动映射
与SANT pool 类似,SNAT 自动映射特性使您能够将一个或多个
原始客户机IP 地址映射到转换地址pool。但是,使用SNAT 自动
映射特性,您无需创建pool。LTM 系统会利用LTM 系统的所有自
身IP 地址,作为pool 的转换地址高效地为您创建pool。
在指定转换地址或SANT pool 时,LTM 系统会自动为该转换地址分配
一组属性。您可以使用这些属性的缺省值,也可以根据您的需要更改这
些值。表11.3 列出并说明了转换地址的属性。
属性 说明 缺省值
IP address 指定为转换地址的IP 地址。此设置是必需的。 无缺省值
State
转换地址的状态包括启用和禁用。如果设置为禁用,那么转换
地址无法用于启动连接。 Enabled
ARP
决定LTM 系统是否响应ARP 请求或发送ARP 欺骗的设置。
Enabled
Connection Limit
转换地址不再启动连接前所必须达到的连接数量限制。缺省值
0 表示设置是禁用的。 0
TCP Idle Timeout 定义了允许使用SNAT 地址启动的TCP 连接秒数的定时器,
在连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
UDP Idle Timeout 定义了允许使用SNAT 地址启动UDP 连接的秒数的定时器,
在连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
IP Idle Timeout 定义了允许使用SNAT 地址启动IP 连接的秒数的定时器,在
连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
表 11.3 SNAT 转换地址的属性
指定原始IP 地址
Origin 设置可指定希望映射到转换地址的原始客户机IP 地址。您可以
添加一个IP 地址或多个IP 地址作为此设置的值。
指定VLAN 流量
VLAN Traffic 设置可指定您希望应用SNAT 的VLAN。可能的值包括:
ALL VLANS、Enabled On 和Diabled On。
创建智能SNAT
进行安全地址转换的一种方法是创建智能 SNAT。如前面所述,智能
SNAT 不是SNAT 对象,而是将一个或多个原始客户机IP 地址映射到转
换地址的iRule。要创建智能SNAT,必须完成以下任务:
• 如果您正在将原始IP 地址映射到SANT pool(与单个转换地址相
反),那么可以使用New SANT Pools 屏幕来创建一个或多个将那
些转换地址作为成员的SANT pool。有关详细信息,请参阅第11-5
页上的“创建SANT pool”。
• 使用“新建规则”屏幕来创建包括snat 或snatpool 命令的iRule。
这些iRule 命令可指定转换地址或转换地址pool,LTM 系统会从
该pool 中选择转换地址。有关iRules™的详细信息,请参阅第13
章“编写iRule”。
• 从Resources 屏幕选择适当的Real Server,然后将iRule 作为一
项资源分配到该Real Server。有关Real Server 的详细信息,请
参阅第2 章“配置Real Server”。
♦ 注
有关智能 SNAT 的示例,请参阅第11-17 上的“示例2--建立智能
SNAT”。
将SANT pool直接分配到Real Server
除了使用iRule 创建SNAT 对象或智能SNAT,您也可以选择只创建
SANT pool,然后直接将其作为一项资源分配到Real Server。这样,您
就无需显式定义映射转换地址的原始IP 地址。
实施NAT
网络转换地址(NAT)可提供别名IP 地址,当建立或接收外部网络上到
客户机的连接时,节点会将此别名IP 地址用作其源IP 地址。(这使其与
只能启动而不能接收连接的SNAT 区分开来。)
识别内部网络上节点的IP 地址无需经外部网络路由。这不仅可以确保节
点避免非法连接,而且也可防止节点(和内部网络上的其它主机)接收
直接管理连接或启动到外部服务器(如邮件服务器或数据库)的连接。
使用NAT 可以解决这个问题。NAT 会向特殊节点分配可路由的IP 地址,
在连接到外部服务器时,该节点可以用作其源IP 地址。您可以使用NAT
IP 地址,通过LTM 系统直接连接到节点,而不是让LTM 系统根据指定
的负载平衡方法向随机节点发送流量。
♦ 注
请注意,NAT 不支持端口转换,不适用于在数据包中嵌入IP 地址的协
议如FTP、NT 域或CORBA IIOP。
您必须使用Configuration 工具为每个节点创建单独的NAT。建NAT 时,
需要配置一组属性。同时,您必须在创建NAT 时配置NAT Address 和
Origin Address 设置,您可以使用其它设置的缺省值,也可以在以后修
改这些值。
创建NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
将打开SNAT 屏幕。
3. 点击NAT List 菜单。
4. 在屏幕的右上角,点击Create。
将打开New NAT 屏幕。
5. 在NAT Address 框中,输入您希望用作转换地址的IP 地址。
6. 在Origin Address 框中,输入要转换的原始客户机IP 地址。
7. 在必要时保留或修改所有其它值。
8. 点击Finished。
表11.4 列出了您可以为NAT 配置的设置及每项设置的说明。
NAT 属性 说明 缺省值
NAT Address 在LTM 系统的外部网络上可路由的IP 地址。
无缺省值
Origin Address 原始地址是您希望通过NAT 连接的主机节点IP 地址。
无缺省值
State NAT 的状态,即NAT 启用或禁用。
Enabled
ARP 指示LTM 系统响应来自指定NAT 地址的ARP 请求、并发送用于
路由器表更新的ARP 欺骗请求的设置。
Enabled
VLAN Traffic 在存在多个内部VLAN 时,可以显式禁用NAT 不会映射的VLAN。 All VLANS
表11.4 NAT 配置设置
除了这些选项,您也可以设置转换型Real Server,有选择性地将流量
转发到特定地址。
其它限制
使用NAT 时,应该了解以下限制:
• Origin Address 框中定义的IP 地址必须可路由到系统后面的特定
服务器。
• 必须在重新定义一个NAT 前删除原来的NAT。
管理SNAT和NAT
使用Configuration 工具,您可以以多种方式管理现有SNAT。例如,您
可能在创建新的SANT pool 之前查看现有SANT pool 的列表。或者,
您可能希望修改标准SNAT 将源IP 地址映射到转换地址的方式。
在管理SNAT 时,必须执行以下任务:
• 查看或修改SNAT、SNAT 或SANT pool。
• 定义或查看转换地址。
• 删除SNAT 或NAT、SANT pool 和转换地址。
• 启用或禁用负载平衡Pool 的SNAT 或NAT。
• 启用或禁用SNAT 或NAT 转换地址。
查看或修改SNAT、NAT和SANT pool
您可以查看或修改以前创建的任何SNAT、NAT 或SNAT。
查看或修改SNAT 或NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 选择要查看的项目类型:
• 如果要查看或修改SNAT,点击SNAT 名称。
• 如果要查看或修改NAT,找到NAT List 菜单,然后点击NAT
地址。
4. 查看或修改显示的设置。
5. 如果修改了任何设置,点击Update。
查看或修改SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SANT Pool List 菜单。
此操作将显示现有SNAT 列表。
4. 点击SANT pool 名称。
5. 查看或修改显示的设置。
6. 如果修改了任何设置,点击Update。
定义并查看转换地址
您可以定义转换地址或查看以前定义的任何现有转换地址。
显式定义转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示任何现有转换地址。
4. 在屏幕的右上角,点击Create。
5. 保留或更改所有属性设置。
6. 点击Finished。
查看转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示现有转换地址列表。
4. 点击一个转换地址。
5. 查看或修改显示的设置。
6. 如果修改了任何设置,点击Update。
删除SNAT、NAT、SANT pool和转换地址
您可以删除以前创建的任何现有SNAT、NAT、SANT pool 或转换地址。
删除SNAT 或NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 选择要删除的项目类型:
• 如果要删除SNAT,首先找到要删除的SNAT,然后选中左
边的Select 框。
• 如果要删除NAT,点击NAT List 菜单,找到要删除的NAT,
然后选中左边的Select 框。
4. 在屏幕底部,点击Delete。
删除SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SANT Pool List 菜单。
此操作将显示现有SANT Pool 列表。
4. 找到要删除的SANT pool,选中左边的Select 框。
5. 在屏幕底部,点击Delete。
删除转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示现有转换地址列表。
4. 找到要删除的转换地址,选中左边的Select 框。
5. 在屏幕底部,点击Delete。
启用或禁用负载平衡Pool的SNAT或NAT
配置负载平衡Pool 时,可以明确禁止在使用该pool 的任何连接上进行
SNAT 或NAT 转换。在缺省模式下,可以启用此设置。有关详细信息,
请参阅第4 章“配置负载平衡Pool”。
启用或禁用SNAT转换地址
使用 Configuration 工具,可以启用或禁用单独的SNAT 转换地址。
启用或禁用SNAT 转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
3. 在菜单栏上,点击SNAT Translation List 菜单。
4. 找到要启用或禁用的转换地址,选中左边的Select 框。
5. 在屏幕底部,点击Enable 或Disable。
SNAT示例
下面的示例展示了实施使用SANT pool 的SNAT 的方法。这些示例说明
了您如何:
• 建立使用SANT pool 的标准SNAT。
• 建立智能SNAT。
♦ 注
为了更好地说明使用SANT pool 的SNAT,下面的示例展示了LTM 系
统的bigip.conf 文件中的示例条目。bigip.conf 文件中的条目代表了使
用Configuration 工具配置LTM 系统的结果。
示例1――建立使用SANT pool的标准SNAT
在某些情况下,您可能需要创建将原始IP 地址映射到SANT pool 而非
单独的转换地址的SNAT。为了阐明这种类型的SNAT,假设ISP 为两
个客户分别提供了可路由的IP 地址,用于链接到互联网。客户需要将这
些可路由的IP 地址用作虚拟IP 地址和转换地址,以便流量流入自己的
服务器和从自己的服务器流出。
在这种情况下,SNAT 提供了解决方案。为了实施SNAT,ISP 采取了
以下三个步骤。
首先,ISP 创建图11.1 所示的负载平衡Pool isp_pool。
图11.1 基本负载平衡Pool 的bigip.conf 条目
接 下 来 , ISP 创建3 个SANT pool : customer1_snatpool 、
customer2_snatpool 和other_snatpool。如图11.2 所示。请注意,
LTM 系统自动指定SANT Pool 成员作为转换地址。
图11.2 3 个SANT pool 的bigip.conf 条目
最后,ISP 使用Configuration 工具创建可将每个原始IP 地址直接映射
到适当SANT pool 的SNAT。图11.3 所示为在bigip.conf 文件中显示
的映射。
图11.3 将原始地址映射到SANT pool 的bigip.conf 条目
示例2――建立智能SNAT
如果要使 SNAT 映射基于除原始客户机IP 地址之外的标准(如服务器
端口),那么可以编写iRule 并在iRule 中指定SANT pool。在这种情况
下,可以使用Configuration 工具中的SNAT 屏幕只创建SANT pool,
而不创建实际的SNAT 对象。
例如,假设用户(如ISP)有两个冗余互联网连接。此外,ISP 需要处
理许多同时进行的CHAT 连接(使用端口531),并且希望避免消耗服
务器端客户机端口资源。最后,ISP 希望分别收集CHAT、SMTP 和所
有其它流量的统计数据。在这种情况下,配置智能SNAT 是选择转换地
址的最佳方法。
为了实施SNAT,ISP 采取了以下步骤。
首先,ISP 创建称为out_pool 的负载平衡Pool。在bigip.conf 文件中,
pool 与图11.4 中的示例类似。
图11.4 用于智能SNAT 的pool 的bigip.conf 条目
接下来,如图11.5 所示,ISP 使用Configuration 工具来创建称为
chat_snatpool 的SANT pool,该pool 包含4 个IP 地址:199.5.6.10、
199.5.6.11、207.8.9.10 和207.8.9.11。LTM 系统会在创建SANT pool
的过程中自动将这些IP 地址指定为转换地址。这些地址对应两个用于
CHAT 流量的下一跳网络。在bigip.conf 文件中,SANT pool 与图11.5
中的示例类似。
图11.5 CHAT 流量的SANT pool 定义
接下来,对于每个转换地址,ISP 使用Configuration 工具将TCP 连接
的超时值改为600。
然后,ISP 创建第二个SANT poolsmtp_snatpool,该pool 包括两个转
换地址:199.5.6.20 和207.8.9.20。每个地址分别对应两个用于SMTP
流量的下一跳网络中的一个。在bigip.conf 文件中,SANT pool 与图
11.6 中的示例类似。
图11.6 SMTP 流量的SANT pool 定义
接下来,ISP 创建面向所有其它流量(即非CHAT 和非SMTP 流量)的
SANT poolother_snatpool,在该pool 中,每个IP 地址分别对应所有
其它流量将使用的两个下一跳网络中的一个。如图11.7 所示。
图11.7 所有其它流量的SANT pool 定义
然后,ISP 编写iRule,根据初始数据包的服务器端口选择SANT pool
和负载平衡Pool out_pool。第11-19 页的图11.9 显示了iRule 如何指
定命令TCP::local_port 来说明可用作选择转换地址基础的数据包数据
的类型。iRule 还显示了命令snatpool (图11.8 所示)来指定SANT pool,
LTM 系统将从该pool 选择转换地址。
图11.8 参考智能SNAT 的iRule 示例
iRule 中的if 语句指示LTM 系统测试在客户机请求的标头中指定的服务
器端口值。LTM 系统根据结果选择SANT pool 和负载平衡Pool。
最后,ISP 将iRule 作为一项资源分配到通配符Real Server,如图11.9
所示。
图11.9 将iRule 分配到通配符Real Server
• 创建SANT pool
• 实施SNAT
• 实施NAT
• 管理SNAT 和NAT
• SNAT 示例
安全网络地址转换简介
在 BIG-IP®本地流量管理(LTM)系统上配置的Real Server 可以将入
站数据包的目的地IP 地址转换为另一个目的地IP 地址,以便对该数据
包进行负载平衡。通常,源IP 地址保持不变。
此外,也可以创建安全网络地址转换(SNAT)。SNAT 是一个将原始客
户机IP 地址(也就是源IP 地址)映射到您所选择的转换地址的对象。
因此,SNAT 会让LTM 系统将入站数据包的源IP 地址转换为您指定的
地址。SNAT 的目的非常简单,即:确保目标服务器通过LTM 系统将其
响应返回到指定的地址,而不是直接发送到原始客户机IP 地址。
要创建SNAT,可以使用Configuration 工具或编写iRule,这取决于您
创建的SNAT 类型。
♦ 注
这种转换类型对Real Server 执行的目的地地址转换没有影响。
在以下情况下SNAT 十分有用:
• 连接到需要可路由返回IP 地址的外部设备;
• 通过与客户机相同的IP 子网上的节点连接到Real Server。
♦ 提示
由于 SNAT 的目的只是改变入站数据包的源IP 地址,因此术语安全网
络地址转换有些用词不当。缩写词SNAT 最好定义为源网络地址转换,
或源NAT。
SNAT的工作原理
SNAT 的工作原理如下:
1. LTM 系统接收从原始客户机IP 地址发送的数据包,并检查SNAT
中是否定义了此源地址。
2. 如果SNAT 中定义了客户机的IP 地址,那么LTM 系统将源IP 地
址改变为SNAT 中定义的转换地址。
3. 然后,LTM 系统将SNAT 转换地址作为源地址,向目标服务器发
送客户机请求。
此流程的最终结果是目标服务器为客户机提供了一个可路由的IP 地址,
服务器在响应时,可将此IP 地址指定为目的地IP 地址。
将原始IP地址映射到转换地址
根据您的需要,在创建SNAT 时可以通过多种方法将原始IP 地址映射
到转换地址。例如,您可以显式地将原始IP 地址映射到单一转换地址,
或者创建一个转换地址的pool,然后将原始IP 地址映射到此地址pool。
将特定原始IP 地址映射到特定转换地址
创建 SNAT 的一种方法是将一个或多个原始IP 地址直接映射到您所选
择的特定转换地址。采用这种方法创建的SNAT 是标准型SNAT。标准
SNAT 是使用Configuration 工具的“New SNAT”屏幕创建的SNAT 对
象。有关标准SNAT 的详细信息,请参阅第11-6 页上的“实施SNAT”。
使用SNAT 自动映射特性
创建 SNAT 的另一种方法是使用LTM 系统的SNAT 自动映射特性。
SNAT Automap 特性可自动将系统本身的IP 地址映射到在创建SNAT
过程中指定的原始IP 地址。在使用该特性时,无需显式指定转换地址。
采用这种方法创建的SNAT 是标准型SNAT。有关标准SNAT 的详细信
息,请参阅第11-6 页上的“实施SNAT”。
将特定原始IP 地址映射到转换地址pool
您也可以通过创建转换地址pool,然后将原始IP 地址映射到整个转换
pool 来创建SNAT。这个转换地址pool 就是众所周知的SANT pool。您
可以使用Configuration 工具的“New SANT Pool”屏幕来创建SANT
pool。有关创建SANT pool 的详细信息,请参阅第11-6 页上的“实施
SNAT”。
创建SANT pool 并将其映射到原始IP 地址之后,Real Server 就会接收
从原始IP 地址发送的数据包,而LTM 系统会从SANT pool 选择转换地
址。然后,系统会将原始IP 地址转换为所选地址。
您可以采用以下两种方法之一将原始IP 地址映射到SANT pool:
• 通过创建SNAT 对象。
通过Configuration 工具中的“New SNAT”屏幕,采用这种方法
创建的SNAT 是标准型SNAT。有关标准SNAT 的详细信息,请参
阅第11-6 页上的“创建标准SNAT”。
• 通过编写iRule。
采用这种方法,您无需创建SNAT 对象。但是需要编写包括snat
或snat pool 命令的iRule。通过编写iRule 创建的SNAT 类型称
为智能SNAT。智能SNAT 使用iRule,将一个或多个原始客户机
IP 地址映射到转换地址。有关智能SNAT 的详细信息,请参阅第
11-9 页上的“创建智能SNAT”。
将所有原始IP 地址映射到转换地址pool
创建 SNAT 的另一种方法是创建SANT pool(使用Configuration 工具
的“New SANT pool”屏幕),并且将其直接分配到Real Server,作为
Real Server 的资源。在将SANT pool 分配到Real Server 之后,LTM
系统会自动将来自Real Server 的所有原始IP 地址映射到该SANT
pool。借助智能SNAT,您无需使用Configuration 工具的“New SNAT”
屏幕创建SNAT 对象。有关这种类型的SNAT 的详细信息,请参阅第
11-10 页上的“将SANT pool 直接分配到Real Server”。
创建SANT pool
如果您决定使用SANT pool 作为在SNAT 中指定转换地址的方法,那么
必须首先创建SANT pool,指定一个或多个您所希望包括在SANT pool
中的转换地址。您可以使用Configuration 工具创建SANT pool。有关
SANT pool 的背景信息,请参阅第11-3 上页的“将特定原始IP 地址映
射到转换地址pool”。
创建SANT pool 后,可以创建最符合您的需求的SNAT 类型(Standard
SNAT、Intelligent SNAT 或直接分配到Real Server 的SANT pool)。要
了解您可以创建的不同SNAT 类型,请参阅第11-6 页上的“实施SNAT”。
在创建SANT pool 时,必须对两个设置进行配置。表11.1 列出并介绍
了这些设置。
属性说明 缺省值
Name
Member List
SANT pool 的唯一名称。
您希望包括在SANT pool 中的IP 地址列表。如果您添加的IP 地
址还没有被指定为转换地址,那么LTM 系统会自动将其指定为转
换地址,并且根据它们的缺省值,分配适当的属性。此设置是必
需的。
无缺省值
无缺省值
表11.1 SANT pool 的属性
您向SANT pool 添加的每个转换地址都有多个设置,您可以在向SANT
pool 添加地址之后对这些设置进行配置。有关这些设置的详细信息,请
参阅第11-8 页上的“指定转换地址”。
创建了SANT pool 后,您必须执行以下操作之一:
• 参考您创建的SNAT 对象中的SANT pool。在创建标准SNAT 时
执行此操作。有关详细信息,请参阅第11-6 页上的“创建标准
SNAT”。
• 参考iRule 中的SANT pool,然后将iRule 作为一项资源分配到
Real Server。在创建智能SNAT 时执行此操作。有关详细信息,
请参阅第11-9 页上的“创建智能SNAT”。
• 将SANT pool 直接作为一项资源分配到Real Server。有关详细信
息,请参阅第11-10 页上的“将SANT pool 直接分配到Real
Server”。
创建SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏中,点击SNAT Pool List。
此操作将显示现有SANT Pool 列表。
4. 在屏幕的右上角,点击Create。
5. 在Name 设置中,输入SANT pool 的唯一名称。
6. 在Member List 设置中,输入IP 地址。
7. 点击Add。
8. 对希望添加的每个转换地址重复步骤6 和步骤7。
9. 点击Finished。
实施SNAT
在实施安全网络地址转换前,应该决定要创建哪种类型的SNAT。可以
创建的SNAT 类型包括:
• 标准SNAT
标准SNAT 是使用Configuration 工具创建的对象,它指定将一个
或多个原始客户机IP 地址映射到转换地址。对于这种类型的
SNAT,LTM 系统用来决定何时应用转换地址的标准将严格基于原
始IP 地址。也就是说,如果数据包来自您在SNAT 中指定的原始
IP 地址,那么LTM 系统会将该地址转换为指定的转换地址。
您可以创建的标准SNAT 包括以下三种类型:
• 在其中可以指定特定转换地址的SNAT
• 使用自动映射特性的SNAT
• 在其中可以指定SANT pool 作为转换地址的SNAT
• 智能SNAT
与标准SNAT 类似,智能SNAT 可将一个或多个原始客户机IP 地
址映射到转换地址。但是,您应该在iRule 中而不是通过创建SNAT
对象来实施这种类型的SNAT 映射。对于这种类型的SNAT,LTM
系统用来确定何时应用转换地址的标准基于在iRule 中指定的任何
数据片断(例如,HTTP cookie 或服务器端口)。
• 将SANT pool 作为Real Server 资源分配
这种类型的SNAT 只包含直接作为一项资源分配到Real Server
的SANT pool。在实施这种类型的SNAT 时,只需创建SANT pool,
而无需创建SNAT 对象或iRule。
有关将原始IP 地址映射到转换地址的详细信息,请参阅第11-2 页上的
“将原始IP 地址映射到转换地址”。
创建标准SNAT
您可以使用Configuration 工具创建标准SNAT。转换地址或映射原始IP
地址的地址可以是特定IP 地址、现有SANT pool 或自身IP 地址(使用
自动映射特性)。
在创建标准SNAT 时,LTM 系统自动为SNAT 分配一组属性。同时,您
必须在创建SNAT 时配置Name 和Translation 设置,您可以使用其它
设置的缺省值,也可以在以后修改这些值。
创建标准SNAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在屏幕的右上角,点击Create。
4. 在Name 设置中,输入SNAT 的唯一名称。
5. 在Translation 设置中,选择IP Address、SANT Pool 或
Automap。
6. 如果选择IP Address 或SANT Pool,那么输入IP 地址或选择
SANT pool 名称。
7. 更改或保留所有其它值。
8. 点击Finished。
表11.2 显示了可以为SNAT 配置的设置。表格的下面是每种设置的详细
说明。
属性 说明 缺省值
Name 指定标准SNAT 的唯一名称。此属性设置是必需的。 无缺省值
Translation 根据所选的值,指定单独的IP 地址、SANT pool 名称或自动映射
选项。可能的值包括:IP Address、SANT Pool 或Automap。
Automap
Origin 指定您希望映射转换地址、转换pool 或自身IP 地址的原始客户机
IP 地址。可能的值包括All Address 或Address List。
所有地址
VLAN Traffic 希望应用SNAT 的VLAN。可能的值包括:All VLANs、Enabled
On 和Disabled On。
所有VLAN
表11.2 标准 SNAT 的属性
指定SNAT 名称
您可以为标准SNAT 配置的最基本设置是SNAT 名称。SNAT 名称要区
分大小写,并且只能包含字母、数字和下划线(_)。不允许使用保留的关
键字。
您定义的每个SNAT 都必须有唯一的名称。
指定转换地址
Translation 设置可指定您希望映射到原始客户机IP 地址的转换地址。
有关转换地址的背景信息,请参阅第11-2 页上的“将原始IP 地址映射
到转换地址”。
Translation 设置包括3 个可能的值:
• IP 地址
在创建SNAT 时,可以指定一个您希望SNAT 将其用作转换地址
的特殊IP 地址。有关指定特殊转换地址的详细流程,请参阅第
11-14 页上的“显式定义转换地址的步骤”。
• SANT pool
此值使您能够指定映射原始客户IP 地址的现有SANT pool。有关
SANT pool 以及如何创建SANT pool 的信息,请参阅第11-4 页上
的“创建SANT pool”。有关使用SANT pool 的标准SNAT 的示例,
请参阅第11-16 页上的“示例1--建立使用SANT pool 的标准
SNAT”。
• 自动映射
与SANT pool 类似,SNAT 自动映射特性使您能够将一个或多个
原始客户机IP 地址映射到转换地址pool。但是,使用SNAT 自动
映射特性,您无需创建pool。LTM 系统会利用LTM 系统的所有自
身IP 地址,作为pool 的转换地址高效地为您创建pool。
在指定转换地址或SANT pool 时,LTM 系统会自动为该转换地址分配
一组属性。您可以使用这些属性的缺省值,也可以根据您的需要更改这
些值。表11.3 列出并说明了转换地址的属性。
属性 说明 缺省值
IP address 指定为转换地址的IP 地址。此设置是必需的。 无缺省值
State
转换地址的状态包括启用和禁用。如果设置为禁用,那么转换
地址无法用于启动连接。 Enabled
ARP
决定LTM 系统是否响应ARP 请求或发送ARP 欺骗的设置。
Enabled
Connection Limit
转换地址不再启动连接前所必须达到的连接数量限制。缺省值
0 表示设置是禁用的。 0
TCP Idle Timeout 定义了允许使用SNAT 地址启动的TCP 连接秒数的定时器,
在连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
UDP Idle Timeout 定义了允许使用SNAT 地址启动UDP 连接的秒数的定时器,
在连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
IP Idle Timeout 定义了允许使用SNAT 地址启动IP 连接的秒数的定时器,在
连接自动断开之前保持空闲。可能的值为不确定或指定。
Indefinite
表 11.3 SNAT 转换地址的属性
指定原始IP 地址
Origin 设置可指定希望映射到转换地址的原始客户机IP 地址。您可以
添加一个IP 地址或多个IP 地址作为此设置的值。
指定VLAN 流量
VLAN Traffic 设置可指定您希望应用SNAT 的VLAN。可能的值包括:
ALL VLANS、Enabled On 和Diabled On。
创建智能SNAT
进行安全地址转换的一种方法是创建智能 SNAT。如前面所述,智能
SNAT 不是SNAT 对象,而是将一个或多个原始客户机IP 地址映射到转
换地址的iRule。要创建智能SNAT,必须完成以下任务:
• 如果您正在将原始IP 地址映射到SANT pool(与单个转换地址相
反),那么可以使用New SANT Pools 屏幕来创建一个或多个将那
些转换地址作为成员的SANT pool。有关详细信息,请参阅第11-5
页上的“创建SANT pool”。
• 使用“新建规则”屏幕来创建包括snat 或snatpool 命令的iRule。
这些iRule 命令可指定转换地址或转换地址pool,LTM 系统会从
该pool 中选择转换地址。有关iRules™的详细信息,请参阅第13
章“编写iRule”。
• 从Resources 屏幕选择适当的Real Server,然后将iRule 作为一
项资源分配到该Real Server。有关Real Server 的详细信息,请
参阅第2 章“配置Real Server”。
♦ 注
有关智能 SNAT 的示例,请参阅第11-17 上的“示例2--建立智能
SNAT”。
将SANT pool直接分配到Real Server
除了使用iRule 创建SNAT 对象或智能SNAT,您也可以选择只创建
SANT pool,然后直接将其作为一项资源分配到Real Server。这样,您
就无需显式定义映射转换地址的原始IP 地址。
实施NAT
网络转换地址(NAT)可提供别名IP 地址,当建立或接收外部网络上到
客户机的连接时,节点会将此别名IP 地址用作其源IP 地址。(这使其与
只能启动而不能接收连接的SNAT 区分开来。)
识别内部网络上节点的IP 地址无需经外部网络路由。这不仅可以确保节
点避免非法连接,而且也可防止节点(和内部网络上的其它主机)接收
直接管理连接或启动到外部服务器(如邮件服务器或数据库)的连接。
使用NAT 可以解决这个问题。NAT 会向特殊节点分配可路由的IP 地址,
在连接到外部服务器时,该节点可以用作其源IP 地址。您可以使用NAT
IP 地址,通过LTM 系统直接连接到节点,而不是让LTM 系统根据指定
的负载平衡方法向随机节点发送流量。
♦ 注
请注意,NAT 不支持端口转换,不适用于在数据包中嵌入IP 地址的协
议如FTP、NT 域或CORBA IIOP。
您必须使用Configuration 工具为每个节点创建单独的NAT。建NAT 时,
需要配置一组属性。同时,您必须在创建NAT 时配置NAT Address 和
Origin Address 设置,您可以使用其它设置的缺省值,也可以在以后修
改这些值。
创建NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
将打开SNAT 屏幕。
3. 点击NAT List 菜单。
4. 在屏幕的右上角,点击Create。
将打开New NAT 屏幕。
5. 在NAT Address 框中,输入您希望用作转换地址的IP 地址。
6. 在Origin Address 框中,输入要转换的原始客户机IP 地址。
7. 在必要时保留或修改所有其它值。
8. 点击Finished。
表11.4 列出了您可以为NAT 配置的设置及每项设置的说明。
NAT 属性 说明 缺省值
NAT Address 在LTM 系统的外部网络上可路由的IP 地址。
无缺省值
Origin Address 原始地址是您希望通过NAT 连接的主机节点IP 地址。
无缺省值
State NAT 的状态,即NAT 启用或禁用。
Enabled
ARP 指示LTM 系统响应来自指定NAT 地址的ARP 请求、并发送用于
路由器表更新的ARP 欺骗请求的设置。
Enabled
VLAN Traffic 在存在多个内部VLAN 时,可以显式禁用NAT 不会映射的VLAN。 All VLANS
表11.4 NAT 配置设置
除了这些选项,您也可以设置转换型Real Server,有选择性地将流量
转发到特定地址。
其它限制
使用NAT 时,应该了解以下限制:
• Origin Address 框中定义的IP 地址必须可路由到系统后面的特定
服务器。
• 必须在重新定义一个NAT 前删除原来的NAT。
管理SNAT和NAT
使用Configuration 工具,您可以以多种方式管理现有SNAT。例如,您
可能在创建新的SANT pool 之前查看现有SANT pool 的列表。或者,
您可能希望修改标准SNAT 将源IP 地址映射到转换地址的方式。
在管理SNAT 时,必须执行以下任务:
• 查看或修改SNAT、SNAT 或SANT pool。
• 定义或查看转换地址。
• 删除SNAT 或NAT、SANT pool 和转换地址。
• 启用或禁用负载平衡Pool 的SNAT 或NAT。
• 启用或禁用SNAT 或NAT 转换地址。
查看或修改SNAT、NAT和SANT pool
您可以查看或修改以前创建的任何SNAT、NAT 或SNAT。
查看或修改SNAT 或NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 选择要查看的项目类型:
• 如果要查看或修改SNAT,点击SNAT 名称。
• 如果要查看或修改NAT,找到NAT List 菜单,然后点击NAT
地址。
4. 查看或修改显示的设置。
5. 如果修改了任何设置,点击Update。
查看或修改SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SANT Pool List 菜单。
此操作将显示现有SNAT 列表。
4. 点击SANT pool 名称。
5. 查看或修改显示的设置。
6. 如果修改了任何设置,点击Update。
定义并查看转换地址
您可以定义转换地址或查看以前定义的任何现有转换地址。
显式定义转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示任何现有转换地址。
4. 在屏幕的右上角,点击Create。
5. 保留或更改所有属性设置。
6. 点击Finished。
查看转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示现有转换地址列表。
4. 点击一个转换地址。
5. 查看或修改显示的设置。
6. 如果修改了任何设置,点击Update。
删除SNAT、NAT、SANT pool和转换地址
您可以删除以前创建的任何现有SNAT、NAT、SANT pool 或转换地址。
删除SNAT 或NAT 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 选择要删除的项目类型:
• 如果要删除SNAT,首先找到要删除的SNAT,然后选中左
边的Select 框。
• 如果要删除NAT,点击NAT List 菜单,找到要删除的NAT,
然后选中左边的Select 框。
4. 在屏幕底部,点击Delete。
删除SANT pool 的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SANT Pool List 菜单。
此操作将显示现有SANT Pool 列表。
4. 找到要删除的SANT pool,选中左边的Select 框。
5. 在屏幕底部,点击Delete。
删除转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
此操作将显示现有SNAT 列表。
3. 在菜单栏上,点击SNAT Translation List 菜单。
此操作将显示现有转换地址列表。
4. 找到要删除的转换地址,选中左边的Select 框。
5. 在屏幕底部,点击Delete。
启用或禁用负载平衡Pool的SNAT或NAT
配置负载平衡Pool 时,可以明确禁止在使用该pool 的任何连接上进行
SNAT 或NAT 转换。在缺省模式下,可以启用此设置。有关详细信息,
请参阅第4 章“配置负载平衡Pool”。
启用或禁用SNAT转换地址
使用 Configuration 工具,可以启用或禁用单独的SNAT 转换地址。
启用或禁用SNAT 转换地址的步骤
1. 在Main 选项卡上,展开Local Traffic。
2. 点击SNATs。
3. 在菜单栏上,点击SNAT Translation List 菜单。
4. 找到要启用或禁用的转换地址,选中左边的Select 框。
5. 在屏幕底部,点击Enable 或Disable。
SNAT示例
下面的示例展示了实施使用SANT pool 的SNAT 的方法。这些示例说明
了您如何:
• 建立使用SANT pool 的标准SNAT。
• 建立智能SNAT。
♦ 注
为了更好地说明使用SANT pool 的SNAT,下面的示例展示了LTM 系
统的bigip.conf 文件中的示例条目。bigip.conf 文件中的条目代表了使
用Configuration 工具配置LTM 系统的结果。
示例1――建立使用SANT pool的标准SNAT
在某些情况下,您可能需要创建将原始IP 地址映射到SANT pool 而非
单独的转换地址的SNAT。为了阐明这种类型的SNAT,假设ISP 为两
个客户分别提供了可路由的IP 地址,用于链接到互联网。客户需要将这
些可路由的IP 地址用作虚拟IP 地址和转换地址,以便流量流入自己的
服务器和从自己的服务器流出。
在这种情况下,SNAT 提供了解决方案。为了实施SNAT,ISP 采取了
以下三个步骤。
首先,ISP 创建图11.1 所示的负载平衡Pool isp_pool。
图11.1 基本负载平衡Pool 的bigip.conf 条目
接 下 来 , ISP 创建3 个SANT pool : customer1_snatpool 、
customer2_snatpool 和other_snatpool。如图11.2 所示。请注意,
LTM 系统自动指定SANT Pool 成员作为转换地址。
图11.2 3 个SANT pool 的bigip.conf 条目
最后,ISP 使用Configuration 工具创建可将每个原始IP 地址直接映射
到适当SANT pool 的SNAT。图11.3 所示为在bigip.conf 文件中显示
的映射。
图11.3 将原始地址映射到SANT pool 的bigip.conf 条目
示例2――建立智能SNAT
如果要使 SNAT 映射基于除原始客户机IP 地址之外的标准(如服务器
端口),那么可以编写iRule 并在iRule 中指定SANT pool。在这种情况
下,可以使用Configuration 工具中的SNAT 屏幕只创建SANT pool,
而不创建实际的SNAT 对象。
例如,假设用户(如ISP)有两个冗余互联网连接。此外,ISP 需要处
理许多同时进行的CHAT 连接(使用端口531),并且希望避免消耗服
务器端客户机端口资源。最后,ISP 希望分别收集CHAT、SMTP 和所
有其它流量的统计数据。在这种情况下,配置智能SNAT 是选择转换地
址的最佳方法。
为了实施SNAT,ISP 采取了以下步骤。
首先,ISP 创建称为out_pool 的负载平衡Pool。在bigip.conf 文件中,
pool 与图11.4 中的示例类似。
图11.4 用于智能SNAT 的pool 的bigip.conf 条目
接下来,如图11.5 所示,ISP 使用Configuration 工具来创建称为
chat_snatpool 的SANT pool,该pool 包含4 个IP 地址:199.5.6.10、
199.5.6.11、207.8.9.10 和207.8.9.11。LTM 系统会在创建SANT pool
的过程中自动将这些IP 地址指定为转换地址。这些地址对应两个用于
CHAT 流量的下一跳网络。在bigip.conf 文件中,SANT pool 与图11.5
中的示例类似。
图11.5 CHAT 流量的SANT pool 定义
接下来,对于每个转换地址,ISP 使用Configuration 工具将TCP 连接
的超时值改为600。
然后,ISP 创建第二个SANT poolsmtp_snatpool,该pool 包括两个转
换地址:199.5.6.20 和207.8.9.20。每个地址分别对应两个用于SMTP
流量的下一跳网络中的一个。在bigip.conf 文件中,SANT pool 与图
11.6 中的示例类似。
图11.6 SMTP 流量的SANT pool 定义
接下来,ISP 创建面向所有其它流量(即非CHAT 和非SMTP 流量)的
SANT poolother_snatpool,在该pool 中,每个IP 地址分别对应所有
其它流量将使用的两个下一跳网络中的一个。如图11.7 所示。
图11.7 所有其它流量的SANT pool 定义
然后,ISP 编写iRule,根据初始数据包的服务器端口选择SANT pool
和负载平衡Pool out_pool。第11-19 页的图11.9 显示了iRule 如何指
定命令TCP::local_port 来说明可用作选择转换地址基础的数据包数据
的类型。iRule 还显示了命令snatpool (图11.8 所示)来指定SANT pool,
LTM 系统将从该pool 选择转换地址。
图11.8 参考智能SNAT 的iRule 示例
iRule 中的if 语句指示LTM 系统测试在客户机请求的标头中指定的服务
器端口值。LTM 系统根据结果选择SANT pool 和负载平衡Pool。
最后,ISP 将iRule 作为一项资源分配到通配符Real Server,如图11.9
所示。
图11.9 将iRule 分配到通配符Real Server