Bir önceki dersimizde Destination NAT (DNAT) yapılandırmasını ele almıştık. Bu dersimizde ise ağ dünyasında oldukça önemli bir yapı olan Source NAT (SNAT) üzerinde duracağız. İlk olarak DNAT’ın işleyişini kısaca hatırlayıp, ardından SNAT’ın nasıl çalıştığını, ne zaman ve hangi senaryolarda kullanılması gerektiğini açıklayacağız.
Destination NAT (DNAT) İşleyişi Nasıldı?
Destination NAT (DNAT), dışarıdan gelen trafiğin bir Virtual Server IP adresine yönlendirilip, bu isteğin arka plandaki uygun sunucuya iletilmesini sağlar. DNAT genellikle şu şekilde çalışır:
- Kullanıcı bir web sitesine erişmek için bir istek gönderir.
- Bu istek, F5 BIG-IP cihazı üzerindeki bir Virtual Server’a ulaşır.
- F5, istek yapılan hedef IP adresini (Virtual Server IP) alır ve bu isteği, arka plandaki sunuculardan birine yönlendirir.
- Gelen istek, sunucuya iletilip cevaplandıktan sonra dönüş trafiği yine F5 üzerinden kullanıcılara ulaştırılır.
Bu işlem, sunucuların F5 BIG-IP cihazını default gateway olarak kullanması durumunda sorunsuz çalışır. Ancak, bazı durumlarda dönüş trafiği F5’i pas geçebilir. Bu gibi durumlarda Source NAT (SNAT) devreye girer.
| Vmnet | Name | Subnet | Ethernet Interface | IP Adresi |
|---|---|---|---|---|
| Vmnet1 | Management | 192.168.137.0/24 | Mgmt | 1.0 |
| Vmnet3 | External | 192.168.63.0/24 | Ethernet1 | 1.1 |
| Vmnet2 | Internal | 192.168.29.0/24 | Ethernet2 | 1.2 |
| Vmnet8 | HA | 192.168.171.0/24 | Ethernet3 | 1.3 |
Source NAT (SNAT) Nedir?
Source NAT (SNAT), giden ağ trafiğinin kaynak IP adresinin değiştirilmesi işlemidir. Bu, F5 BIG-IP cihazının dönüş trafiğinin mutlaka kendisi üzerinden geçmesini sağlaması için önemlidir. Özellikle aşağıdaki durumlarda kullanılır:
- Default Gateway Sorunu: Eğer web sunucuları F5 yerine bir router’ı default gateway olarak kullanıyorsa, dönüş trafiği F5’i atlayarak doğrudan router üzerinden kullanıcıya ulaşabilir. Bu durum F5’in denetim yeteneklerini sınırlayabilir. SNAT, bu sorunu çözmek için dönüş trafiğini F5 üzerinden yönlendirir.
- Asimetrik Trafik Sorunu: Ağda asimetrik rotalama yapıldığında, gelen ve giden trafik farklı yolları izleyebilir. Bu durum, ağ güvenliği ve performans sorunlarına yol açabilir. SNAT, trafiği simetrik hale getirir.
- IP Çakışmaları: Aynı IP aralıklarına sahip ağlar arasında IP çakışmalarını önlemek için SNAT kullanılabilir. SNAT, bir ağdaki IP adreslerini başka bir ağdaki aynı adreslerden ayırır.
SNAT Ne Zaman Kullanılmalıdır?
Aşağıdaki durumlar SNAT kullanımının gerekli olduğu durumlardır:
- Sunucuların Default Gateway’inin F5 Olmadığı Durumlar: Eğer arka plandaki sunucular F5 yerine bir router’ı default gateway olarak kullanıyorsa, dönüş trafiği doğrudan router üzerinden geçer ve F5 kontrol dışı kalır. Bu gibi durumlarda SNAT kullanmak dönüş trafiğini F5 üzerinden geçirir.
- Farklı Ağ Segmentleri Arasında Trafik Yönlendirme: Birden fazla ağ segmenti arasında trafiği yönlendirmek gerektiğinde, SNAT kullanarak kaynak IP adresi değiştirilir ve dönüş trafiği F5’e zorunlu kılınır.
- Çakışan IP Adresleri: Eğer aynı IP aralığını kullanan ağlar arasında trafik yönlendirilmesi gerekiyorsa, SNAT ile kaynak IP’yi değiştirmek çakışmaları önler.
Source NAT (SNAT) Yapılandırması
F5 üzerinde SNAT yapılandırması oldukça basittir. Bu adımlarla SNAT’ı devreye alabiliriz:
Adım 1: Virtual Server Yapılandırması
- Local Traffic sekmesine gidin ve Virtual Servers menüsünü açın.
- Daha önceden oluşturduğunuz bir Virtual Server’ı seçin (örneğin,
vServer-HTTP). - Ayarları düzenlemek için sayfanın altına doğru inin ve Source Address Translation bölümüne gelin.
Adım 2: SNAT Yapılandırması
- Source Address Translation alanında, AutoMap seçeneğini işaretleyin. Bu seçenek, F5’in internal interface IP’sini kullanarak kaynak IP adresini otomatik olarak dönüştürür.Not: Eğer spesifik IP adreslerini kullanmak isterseniz, SNAT Pool oluşturabilirsiniz. SNAT Pool, belirli IP adreslerinin bir havuzda toplanmasını sağlar ve esnek SNAT işlemi sunar.
Adım 3: Ayarları Güncelleme
- Tüm yapılandırmaları tamamladıktan sonra Update butonuna tıklayın. Bu işlem, gelen ve giden trafiğin kaynak IP adresinin SNAT ile değiştirilmesini sağlar. Böylece dönüş trafiği F5 üzerinden yönlendirilecektir.
| Source IP | 192.168.63.55 | Request | Source IP | 192.168.29.102 |
| Source Port | 5151 | Request | Source Port | 5151 |
| Destination IP | 192.168.63.65 | Request | Destination IP | 192.168.29.155 |
| Destination Port | 80 | Request | Destination Port | 80 |
| Source IP | 192.168.63.65 | Request | Source IP | 192.168.29.155 |
| Source Port | 80 | Request | Source Port | 80 |
| Destination IP | 192.168.63.55 | Request | Destination IP | 192.168.29.102 |
| Destination Port | 5151 | Request | Destination Port | 5151 |
SNAT Pool Yapılandırması
Eğer belirli bir IP adresi kullanmak istiyorsanız SNAT Pool kullanabilirsiniz. SNAT Pool, birden fazla IP adresiyle SNAT işlemi yapmanızı sağlar. Bunun için:
- Local Traffic > Address Translation > SNAT Pools menüsüne gidin.
- Create butonuna tıklayın ve havuza dahil etmek istediğiniz IP adreslerini ekleyin.
- Bu SNAT Pool’u Virtual Server ayarlarında kullanabilirsiniz.
SNAT ve DNAT Arasındaki Farklar
SNAT ve DNAT işlemleri birbirine benzese de farklı amaçlarla kullanılırlar. Temel farklar şu şekildedir:
| Özellik | SNAT (Source NAT) | DNAT (Destination NAT) |
|---|---|---|
| Amaç | Kaynak IP adresini değiştirmek | Hedef IP adresini değiştirmek |
| Kullanım Senaryosu | Web sunucularının default gateway olmadığı durumlar | Gelen isteklerin farklı sunuculara yönlendirilmesi |
| Dönüş Trafiği | F5 üzerinden geçmesi sağlanır | Doğrudan F5 üzerinden geri iletilir |
| NAT Tipi | Outbound trafiği için kullanılır | Inbound trafiği için kullanılır |
| Örnek Yapılandırma | AutoMap veya SNAT Pool ile yapılır | Virtual Server üzerinden yapılır |
