F5 用語集

セキュアネットワークアドレス変換(SNAT)

SNAT (セキュア ネットワーク アドレス変換) とは何ですか?

SNAT (Secure Network Address Translation) は、F5 が提供するロードバランサーである F5 BIG-IP Local Traffic Management (LTM) に実装されている機能です。 SNAT は、着信パケットの送信元 IP アドレスを変更し、別の IP アドレスに変換します。 BIG-IP LTM には、プライベート IP アドレスとグローバル IP アドレス間の 1 対 1 マッピングを可能にする NAT 機能も含まれています。 SNAT は NAT とよく似ていますが、複数の元のアドレスを 1 つの変換されたアドレスにマッピングできるようにすることで機能が強化されています。

SNAT は、アドレス変換に 3 つの方法を提供します。

  1. 1 つ以上の元のアドレスを特定の変換されたアドレスに直接マッピングします。
  2. BIG-IP 自身の IP アドレスから 1 つを自動的に選択してアドレス変換します (SNAT Automap)。
  3. iRules (Intelligent SNAT) で具体的に定義されたルールを使用します。

SNAT の一般的な使用例は、内部ネットワーク サーバーからの送信要求の送信元プライベート IP アドレスをグローバル IP アドレスに変更することです。 ただし、その主な機能は、外部クライアントからの受信要求のアドレス変換を処理することにあります。

通常、BIG-IP LTM は外部クライアントからパケットを受信し、事前設定されたルールを適用して宛先グローバル IP アドレスを内部プライベート IP アドレスに変換し、パケットをサーバーに転送します。 サーバー応答は通常、BIG-IP LTM を経由してルーティングされ、サーバーの送信元プライベート IP アドレスは、クライアントに送信される前にグローバル IP アドレスに変換されます。

ただし、特定のネットワーク構成ではこのルートが中断されます。 たとえば、次のようになります。

  • クライアント、BIG-IP、サーバーが同じネットワーク内に存在するワンアーム構成では、サーバーの応答は BIG-IP をバイパスし、クライアントに直接送信されます。 その結果、サーバーの送信元 IP アドレスがクライアントが最初に要求した IP アドレスと一致しないため、クライアントは応答を拒否します。
  • BIG-IP がクライアント セグメントとサーバー セグメントを分離するより複雑な構成でも、中間ルーターが BIG-IP ではなくデフォルト ゲートウェイとして機能すると問題が発生し、同様のルーティングの問題が発生する可能性があります。

SNAT は、サーバーの応答が常に BIG-IP を通過するようにすることで、これらの問題を解決します。 これは、受信パケットの送信元アドレスを BIG-IP 自身の IP アドレスに変換してからサーバーに転送することで実現され、応答が BIG-IP 経由で返されることを保証します。