request過程:
1.真實源地址(3.3.3.3)將數據包發給f5虛擬的vs地址(1.1.1.5:80);
2.f5將真實源地址(3.3.3.3)轉換成SNAT地址(1.1.1.100),並將vs地址(1.1.1.5:80)轉換成真實源站地址(1.1.1.1:8080);
3. SNAT地址(1.1.1.100)將數據包發送給真實源站地址(1.1.1.1:8080)。
response過程:
1. 真實源站地址(1.1.1.1:8080)將數據包發送給SNAT地址(1.1.1.100);
2. f5將真實源站地址(1.1.1.1:8080)轉換成vs地址(1.1.1.5:80),並將SNAT地址(1.1.1.100)轉換成真實源地址(3.3.3.3);
3. vs地址(1.1.1.5:80)將數據包發送給真實源地址(3.3.3.3)。
2)若不使用SNAT
3)SNAT將客戶端的地址轉換成BIG-IP上的地址
優勢
•不用修改網絡和服務器配置
•便於進行簡單的測試
•One Connect 功能可以工作在一個性能最好的模式
•需要直接訪問服務器時,不需要對BIG-IP進行額外的配置
缺點
•服務器上看到的源地址都是BIG-IP的地址
•排錯的難度相對較高
•外部網段可以直接訪問到服務器,降低了安全性
注:BIG-IP可以將客戶端的源地址寫到HTTP包頭里,以便后台服務器讀取:
•插入一個x-forward 字段在HTTP包頭里(RFC 標准格式)
•客戶通過iRules定義的HTTP包頭字段
4)SNAT 可以被應用在:
•全局
•將BIG-IP默認關閉的服務模式更改為默認通過
•在某一個virtual server上生效
•SNAT Automap
•SNAT Pool
•在特定環境下生效
•VLANs
•Addressing
•iRules