Glossaire F5

Traduction d'adresses réseau sécurisée (SNAT)

Qu'est-ce que SNAT (Secure Network Address Translation) ?

SNAT (Secure Network Address Translation) est une fonctionnalité implémentée dans F5 BIG-IP Local Traffic Management (LTM), un équilibreur de charge fourni par F5. SNAT modifie l'adresse IP source des paquets entrants, la convertissant en une adresse IP différente. BIG-IP LTM inclut également la fonctionnalité NAT, qui permet un mappage un à un entre les adresses IP privées et les adresses IP globales. Bien que SNAT ressemble beaucoup à NAT, il améliore les fonctionnalités en permettant à plusieurs adresses d'origine d'être mappées à une seule adresse traduite.

SNAT propose trois méthodes de traduction d'adresses :

  1. Mappage direct d'une ou plusieurs adresses d'origine vers une adresse traduite spécifique.
  2. Sélection automatique d'une adresse IP parmi celles de BIG-IP pour la traduction d'adresses (SNAT Automap).
  3. Utilisation de règles spécifiquement définies dans iRules (Intelligent SNAT).

Un cas d’utilisation courant de SNAT consiste à modifier l’adresse IP privée source des requêtes sortantes des serveurs de réseau internes en une adresse IP globale. Cependant, sa fonction principale réside dans la gestion de la traduction d’adresses pour les demandes entrantes provenant de clients externes.

En règle générale, BIG-IP LTM reçoit des paquets provenant de clients externes, applique des règles préconfigurées pour traduire l'adresse IP globale de destination en une adresse IP privée interne et transmet les paquets au serveur. Les réponses du serveur sont généralement acheminées via BIG-IP LTM, où l'adresse IP privée source du serveur est traduite en une adresse IP globale avant d'être envoyée au client.

Cependant, certaines configurations de réseau perturbent cette route. Par exemple:

  • Dans les configurations à un bras, où le client, BIG-IP et le serveur résident dans le même réseau, la réponse du serveur contourne BIG-IP et est envoyée directement au client. Par conséquent, le client rejette la réponse car l’adresse IP source du serveur ne correspond pas à l’adresse IP initialement demandée par le client.
  • Même dans des configurations plus complexes, où BIG-IP sépare les segments client et serveur, des problèmes peuvent survenir si un routeur intermédiaire agit comme passerelle par défaut au lieu de BIG-IP, ce qui entraîne des problèmes de routage similaires.

SNAT résout ces problèmes en garantissant que les réponses du serveur passent toujours par BIG-IP. Il y parvient en traduisant l’adresse source des paquets entrants en adresse IP propre à BIG-IP avant de les transmettre au serveur, garantissant ainsi que les réponses reviennent via BIG-IP.