Glossário da F5

Tradução Segura de Endereços de Rede (SNAT)

O que é SNAT (Tradução Segura de Endereços de Rede)?

SNAT (Secure Network Address Translation) é um recurso implementado no F5 BIG-IP Local Traffic Management (LTM), um balanceador de carga fornecido pela F5. O SNAT modifica o endereço IP de origem dos pacotes recebidos, convertendo-o em um endereço IP diferente. O BIG-IP LTM também inclui a funcionalidade NAT, que permite o mapeamento um-para-um entre endereços IP privados e endereços IP globais. Embora o SNAT seja muito parecido com o NAT, ele melhora a funcionalidade ao permitir que vários endereços originais sejam mapeados para um único endereço traduzido.

O SNAT oferece três métodos para tradução de endereços:

  1. Mapeamento direto de um ou mais endereços originais para um endereço traduzido específico.
  2. Seleção automática de um dos endereços IP do BIG-IP para tradução de endereços (SNAT Automap).
  3. Utilizando regras definidas especificamente em iRules (Intelligent SNAT).

Um caso de uso comum para SNAT é modificar o endereço IP privado de origem de solicitações de saída de servidores de rede interna para um endereço IP global. Entretanto, sua função principal é manipular a tradução de endereços para solicitações recebidas de clientes externos.

Normalmente, o BIG-IP LTM recebe pacotes de clientes externos, aplica regras pré-configuradas para traduzir o endereço IP global de destino em um endereço IP privado interno e encaminha os pacotes para o servidor. As respostas do servidor normalmente são roteadas de volta pelo BIG-IP LTM, onde o endereço IP privado de origem do servidor é traduzido de volta para um endereço IP global antes de ser enviado ao cliente.

Entretanto, certas configurações de rede interrompem essa rota. Por exemplo:

  • Em configurações de um braço, onde o cliente, o BIG-IP e o servidor residem na mesma rede, a resposta do servidor ignora o BIG-IP e é enviada diretamente ao cliente. Como resultado, o cliente rejeita a resposta porque o endereço IP de origem do servidor não corresponde ao endereço IP solicitado originalmente pelo cliente.
  • Mesmo em configurações mais complexas, onde o BIG-IP separa os segmentos de cliente e servidor, podem surgir problemas se um roteador intermediário atuar como gateway padrão em vez do BIG-IP, levando a problemas de roteamento semelhantes.

O SNAT resolve esses problemas garantindo que as respostas do servidor sempre passem pelo BIG-IP. Ele faz isso traduzindo o endereço de origem dos pacotes recebidos para o próprio endereço IP do BIG-IP antes de encaminhá-los ao servidor, garantindo que as respostas retornem via BIG-IP.