Linux/Python学习论坛-京峰教育

 找回密码
 立即注册

一键登录:

搜索
热搜: 活动 交友 discuz
查看: 604|回复: 0

f5 源地址转换

[复制链接]

238

主题

288

帖子

1925

积分

超级版主

Rank: 8Rank: 8

积分
1925
QQ
发表于 2015-3-20 14:38:53 | 显示全部楼层 |阅读模式
初步接触F5的网络管理员可能会被F5的源地址转换搞迷糊,因为F5有多种情况下需要使用源地址转换,而且源地址转换的方法也有几种,本文就简单叙述一下F5源地址转换。
需要做源地址转换的情况:


n 内部网络主动发起请求,要求访问外部网络的服务时;
n 单臂部署F5,外部网络主动发起请求,要求访问内部网络的服务时;
两种情况下,源地址转换的配置方法都是一样的。
配置源地址转换


方法一:转换为出口所属VLAN的 IP 或者出口所属 VLAN 的浮动 IP。
              配置:定义一个SNAT转换项,在转换地址部分选择Automap 。
              转换规则:单机部署,数据包到达F5后,F5将其源IP转换为出口所属VLAN的IP。
                                  双机部署,数据包到达F5后,F5将其源IP转换为出口所属VLAN的浮动IP。
              适用情况:内部电脑不多(外出会话数不会超过65535),而且外出数据包源地址转换没有特殊要求的情况。

方法二:转换为特定的IP地址或者IP地址池。
              配置:定义一个SNAT pool,然后定义一个SNAT转换项,在转换地址部分选择定义的SNAT pool 。
              转换规则:数据包到达F5后,F5会从SNAT pool里面依次取出一个IP,然后将数据包的源IP转换为该IP。
              适用情况:内部电脑很多(外出会话数会超过65535),而且外出数据包源地址转换没有特殊要求的情况。


方法三:根据特定的源IP或者目标IP转换为相应的IP。
配置:定义一个iRule 实现地址判断和源IP转换,定义一个匹配所有目标的VS,然后引用定义的iRule。
              转换规则:数据包到达F5后,F5 会检查其源IP或/和目标IP,然后根据iRule的逻辑决定将数据包的源IP转换为哪个IP。
              适用情况:需要根据数据包的来源或/和目标IP转换数据包的源IP,比如多链路时。
rule irule_outbound {
when LB_SELECTED {
                 if {[IP::remote_addr equals 192.168.1.1] } {
                    snatpool snat_192.168.1.1
                }
                elseif {[IP::remote_addr equals 192.168.10.1] } {
                    snatpool snat_192.168.10.1
                }
                else {
                    snat automap
                }
            }
}

              virtual vs_outbound {
            destination any:any
            persist dest_addr
            rule irule_outbound
}



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|京峰教育,只为有梦想的人 ( 京ICP备15013173号 )

GMT+8, 2019-7-24 03:47 , Processed in 0.029130 second(s), 13 queries , Apc On.

快速回复 返回顶部 返回列表