F5负载均衡上使用iRule 来选择SNAT pool

F5负载均衡上使用iRule 来选择SNAT pool

需求：使用iRule 根据不同目的地址或端口，来选择SNAT 地址 ，实现相同的后台节点，访问不同目的地址或者目的端口时，源地址也会不同； 网络概况：内网：后台节点server：192.168.10.71对应VLAN： Internal-selfIP： 192.168.10.1外网：客户端client： 172.16.10.172对应VLAN： external-selfIP: 172.16.10.1

1.需求一： 负载均衡功能（client访问server）

解决方案1、

新建virtual server ：172.16.10.100：80 VS关联一个负载均衡pool： Pool member： 192.168.10.71：80

2.需求二： SNAT功能（server访问client），一个或多个内网节点转换成一个源地址；

解决方案1、

新建SNAT ：out_snat： 172.16.10.71 snat out_snat { translation 172.16.10.71 origin 192.168.10.71 //只允许一台机器出向访问 }

解决方案2、

snat out_snat2 { translation 172.16.10.250 origin 0.0.0.0 mask 0.0.0.0 //允许所有的机器出向访问 }

解决方案3、

snat out_snat3 { translation 172.16.10.188 origin 0.0.0.0 mask 0.0.0.0 vlan internal enable //仅限于vlan --internal 的流量命中 }

3.需求三： iSNAT功能（server访问client），一个内网节点转换成多个源地址；

解决方案1、

新建必要的出向的pool（将访问的目的地址+端口 做成pool形式，以便iRule调用）: pool { member 172.16.10.71:80 } pool ftp_pool { member 172.16.10.71:21 } 新建必要的snatpool： snatpool SNATPool_21 { member 172.16.10.21 } snatpool SNATPool_80 { member 172.16.10.80 } snatpool Internal_SNAT_Pool { member 172.16.10.250 } 新建virtual server ：snat_VS： 0.0.0.0：0 VS关联一个iRule ：iSNAT_Rule，内容如下： rule iSNAT_Rule { when CLIENT_ACCEPTED { /* 定义事件 */ set MYPORT [TCP::local_port] /* 定义目的端口 */ set S_IP [IP::client_addr] /* 定义发起访问的源地址 */ log local0. "Port is $MYPORT" /* 记录日志，打印在/var/log/ltm */ log local0. " S_IP is $S_IP" if {[IP::addr [IP::client_addr] equals 192.168.10.71]} /* 设置源地址过滤条件 */ { switch $MYPORT { /* 根据不同目的端口，选择不同SNAT地址 */ 80 { snatpool SNATPool_80 pool /* 最终选择访问目的地 */ } 21 { snatpool SNATPool_21 pool ftp_pool } default { snatpool Internal_SNAT_Pool pool other_pool } } } else { /* 如果是其他后台节点，可根据需求自由配置*/ snatpool Internal_SNAT_Pool pool http_pool } } } //其实整个实现需求的核心在于iRule

此方案配置完成后，BIG-IP系统会做如下动作：

（如从server 访问client 的0.0.0.0:0；iSNAT_Rule被引用，检查请求数据包，BIG-IP系统选中SNATPool_80和负载均衡pool robin负载均衡算法，BIG-IP系统从；BIG-IP系统从这翻译地址池中随机地选取一个地址 172.16.10.80 （本例为固定源地址翻译，故翻译地址池中只有一个供选择）；最后，BIG-IP系统将客户端源IP地址翻译成地址172.16.10.80，并将请求包转发至172.16.10.71：80；

此方案，切忌原有的SNAT 会失效，因为优先级是以7层为先，依次递减，故0.0.0.0的virtual server 优先级高于普通的SNAT， 所以要在iRule 中考虑详尽情况；

解决方案2、

新建必要的出向的pool（将访问的目的地址+端口 做成pool形式，以便iRule调用）: pool { member 172.16.10.71:80 } 新建virtual server ：client_VS： 192.168.10.237：0 VS关联一个iRule ：iSNAT_Rule2，内容如下： rule iSNAT_Rule2 { when CLIENT_ACCEPTED { set MYPORT [TCP::local_port] log local0. "Port is $MYPORT" switch $MYPORT { 80 { snatpool SNATPool_80 pool http } 21 { snatpool SNATPool_21 pool ftp_pool } default { snatpool Internal_SNAT_Pool pool http } } } }

此方案适合内网段中 出向访问需求很多的情况；此方案采用将virtual server 建立在相对的内网段，使得访问client 变成了访问内网段的virtual server ，在经过BIGIP的处理后，命中 iRule 中的某一个SNATpool，源地址就变成SNATpool中可供选择的地址 ，目的地址转化为出向pool 中的172.16.10.71，并将请求包转发至172.16.10.71：80；

如果内网段中的其他节点也需要访问外网，而没有一对多的源地址转换需求，即可完全按照正常的SNAT方式进行，互不冲突；

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。