F5 용어집

보안 네트워크 주소 변환(SNAT)

SNAT(보안 네트워크 주소 변환)란 무엇인가요?

SNAT(Secure Network Address Translation)는 F5에서 제공하는 로드 밸런서인 F5 BIG-IP 로컬 트래픽 관리(LTM)에 구현된 기능입니다. SNAT는 수신 패킷의 소스 IP 주소를 수정하여 다른 IP 주소로 변환합니다. BIG-IP LTM에는 NAT 기능도 포함되어 있어 개인 IP 주소와 글로벌 IP 주소 간의 일대일 매핑이 가능합니다. SNAT는 NAT와 매우 유사하지만, 여러 개의 원래 주소를 하나의 변환된 주소로 매핑할 수 있도록 하여 기능을 향상시킵니다.

SNAT는 주소 변환을 위한 세 가지 방법을 제공합니다.

  1. 하나 이상의 원래 주소를 특정 변환된 주소로 직접 매핑합니다.
  2. BIG-IP의 자체 IP 주소 중 하나를 자동으로 선택하여 주소 변환(SNAT 자동맵)합니다.
  3. iRules(Intelligent SNAT)에 구체적으로 정의된 규칙을 사용합니다.

SNAT의 일반적인 사용 사례는 내부 네트워크 서버에서 나가는 요청의 소스 개인 IP 주소를 글로벌 IP 주소로 수정하는 것입니다. 그러나 주요 기능은 외부 클라이언트로부터 들어오는 요청에 대한 주소 변환을 처리하는 것입니다.

일반적으로 BIG-IP LTM은 외부 클라이언트로부터 패킷을 수신하고, 사전 구성된 규칙을 적용하여 대상 글로벌 IP 주소를 내부 개인 IP 주소로 변환한 다음, 해당 패킷을 서버로 전달합니다. 서버 응답은 일반적으로 BIG-IP LTM을 통해 다시 라우팅되는데, 여기서 서버의 소스 개인 IP 주소는 클라이언트로 전송되기 전에 글로벌 IP 주소로 다시 변환됩니다.

하지만 특정 네트워크 구성으로 인해 이 경로가 중단됩니다. 예를 들어:

  • 클라이언트, BIG-IP, 서버가 동일한 네트워크에 있는 원암 구성에서 서버 응답은 BIG-IP를 우회하여 클라이언트로 직접 전송됩니다. 결과적으로 클라이언트는 서버의 소스 IP 주소가 클라이언트가 원래 요청한 IP 주소와 일치하지 않기 때문에 응답을 거부합니다.
  • BIG-IP가 클라이언트와 서버 세그먼트를 분리하는 보다 복잡한 구성에서도 중간 라우터가 BIG-IP 대신 기본 게이트웨이 역할을 하는 경우 유사한 라우팅 문제가 발생할 수 있습니다.

SNAT는 서버 응답이 항상 BIG-IP를 통과하도록 보장하여 이러한 문제를 해결합니다. 이를 위해 들어오는 패킷의 소스 주소를 BIG-IP의 IP 주소로 변환한 다음 이를 서버로 전달하여 BIG-IP를 통해 응답이 반환되도록 보장합니다.