1. snat作用
f5的部署方式分为串接和旁路,串接就是服务器网关指向f5,旁路就是网关不指向f5
串接情况下是不需要启用snat的,但是今天需要讲清楚原理
A客户端 Z 服务器端
Q1旁路模式下相同或者不同网段为什么不启用snat分析?
- 同网段下:
A访问F5 ,数据到达f5之后,f5将数据包的目的地址修改为Z,然后转发出去,此时Z主机上收到来自A的请求。
Z应答A的syn请求,但是由于是同一个网段,数据直接到达了A,A收到数据包发现Z发给自己一个syn确认,但是A实际上并没有和Z通信,A一直是和F5通信,所以A收到包会发一个reset包给Z。所以无法访问
- 不同网段下:
大致原理也是一样的,不同是此时Z回包不能直接arp了,需要走自己本身的网关,但是网关又不是F5,所以此时网也不通。
启用snat之后上述两种情况都可以通
启用snat之后f5收到数据包会将源ip修改为self ip,目的地址修改为z
回包f5会把源ip改为vip,目的ip改为原始地址
Q2穿行模式下相同或者不同网段不启用snat分析
- 同网段下:
A访问F5,数据达到F5,f5将数据包的目的地址修改为Z,然后转发,Z收到之后仍然直接arp回包给A,网络无法访问
- 不同网段下:
A访问F5,数据到达f5,f5将数据包的目的修改为Z,然后转发,Z收到之后发现不是同一个网段,但是此时网关是f5,所以他直接回包给f5,f5收到之后将源修改为f5 vip,目的为A,此时网络可以访问