Glosario de F5

Traducción segura de direcciones de red (SNAT)

¿Qué es SNAT (traducción segura de direcciones de red)?

SNAT (Traducción segura de direcciones de red) es una función implementada en F5 BIG-IP Local Traffic Management (LTM), un balanceador de carga proporcionado por F5. SNAT modifica la dirección IP de origen de los paquetes entrantes, convirtiéndola en una dirección IP diferente. BIG-IP LTM también incluye funcionalidad NAT, que permite el mapeo uno a uno entre direcciones IP privadas y direcciones IP globales. Si bien SNAT se parece mucho a NAT, mejora la funcionalidad al permitir que múltiples direcciones originales se asignen a una única dirección traducida.

SNAT ofrece tres métodos para la traducción de direcciones:

  1. Asignar directamente una o más direcciones originales a una dirección traducida específica.
  2. Selección automática de una de las direcciones IP propias de BIG-IP para la traducción de direcciones (SNAT Automap).
  3. Utilizando reglas definidas específicamente en iRules (Intelligent SNAT).

Un caso de uso común para SNAT es modificar la dirección IP privada de origen de las solicitudes salientes de los servidores de red internos a una dirección IP global. Sin embargo, su función principal radica en gestionar la traducción de direcciones para solicitudes entrantes de clientes externos.

Normalmente, BIG-IP LTM recibe paquetes de clientes externos, aplica reglas preconfiguradas para traducir la dirección IP global de destino a una dirección IP privada interna y reenvía los paquetes al servidor. Las respuestas del servidor normalmente se enrutan a través de BIG-IP LTM, donde la dirección IP privada de origen del servidor se traduce nuevamente a una dirección IP global antes de enviarse al cliente.

Sin embargo, ciertas configuraciones de red interrumpen esta ruta. Por ejemplo:

  • En configuraciones de un solo brazo, donde el cliente, BIG-IP y el servidor residen en la misma red, la respuesta del servidor omite BIG-IP y se envía directamente al cliente. Como resultado, el cliente rechaza la respuesta porque la dirección IP de origen del servidor no coincide con la dirección IP que el cliente solicitó originalmente.
  • Incluso en configuraciones más complejas, donde BIG-IP separa los segmentos de cliente y servidor, pueden surgir problemas si un enrutador intermedio actúa como puerta de enlace predeterminada en lugar de BIG-IP, lo que genera problemas de enrutamiento similares.

SNAT resuelve estos problemas al garantizar que las respuestas del servidor siempre pasen a través de BIG-IP. Esto se logra traduciendo la dirección de origen de los paquetes entrantes a la propia dirección IP de BIG-IP antes de reenviarlos al servidor, lo que garantiza que las respuestas regresen a través de BIG-IP.