F5常用5种插入客户端源地址方法简述.pdf

F5 常用5 种插入客户端源地址方法简述 常旭 2014 年 8 月 目录 一、 引言3 二、 测试环境4 2 .1、网络拓扑4 2.2 、基础配置4 三、 应用层常用方法 5 3.1 、X-Forwarded -For 5 3.1.1 、配置步骤 5 3.1.2 、验证 6 3.2 、插入Header 7 3.2.1 、配置步骤 8 3.2.2 、验证 8 3.3 、插入Cookie 9 3.3.1 、配置步骤 10 3.3.2 、验证 10 3.4 、TCP-Option 11 3.4.1 、配置步骤 12 3.4.2 、验证 13 3.5 、TCP-payload 15 3.5.1 、配置步骤 16 3.5.2 、验证 17 四、 总结 18 一、 引言 随着 IT 环境的高速发展，解决我们日常各种需求的应用像雨后春笋 般以一个惊人的速度爆发式增长，而其中大部分应用为了抢占市场都存在 开发周期短的问题。如果基于这样的一个背景让应用开发人员将功能是否 满足需求、可用性、应用性能、安全性、是否按时上线、后期维护复杂度 等几个现实问题做优先级排序，那么安全性肯定会排在最后。但实际上现 在大多数应用在设计业务逻辑时就已经对安全有了一定要求。比如最近一 段时间经常在项目上遇见后端服务器需要查看客户端源 IP 地址的需求。这 实际上就是一个简单的安全手段，通过查看客户端源IP 地址来达到审计的 目的，或者通过ACL 列表过滤客户端请求等。 我们在讨论如何让后端服务器看到客户端源 IP 地址前先来看一下 F5 的几种部署模式。首先是三角传输( 即npath 模式) ，这是一种非常古老的部 署模式，主要应用于响应包明显大于请求包的场景(如请求包大小为 10k， 服务器回包 1000M ！有点夸张) ，但随着设备性能的不断提高且该模式配置 极其复杂(需要服务器开启loopback 功能，并通过 iptable 关闭ARP 响应功 能，但不同Linux 版本关闭iptable 命令均不同) 目前已经退出了历史舞台。 其次，第二种是路由模式，由于其工作原理类似于路由器而得名。通过这 种部署模式 BIG-IP 就可以满足需求，让后端服务器看到客户端源 IP 地址。 既然这样，问题不就解决了吗？？但往往生活就是这样不尽如人意。比如 后端服务器和客户端处于相同网段，当服务器看到客户端 IP 地址后直接通 过二层回包，这样客户端收到的数据包由于请求目的地址和回包地址不同 而自动被拒绝。类似场景就比较尴尬了，即需要让后端服务器看到客户端 源地址又不能让后端服务器看到客户端源地址，在这样一个矛盾的现实案 例中我们要想同时满足网络和应用的需求，只能通过非常规的方法来进行 处理。最近遇到了好几个类似的问题，但由于应用程序的不同客户端 IP 地址插入的位置也不尽相同，本文通过汇总几种常用的插入 IP 方式进一步 展现 F5 在软件定义方面的强大优势，但由于应用快速发展及个人经验等 客观因素影响，无法将所有方法一一进行阐述，如果哪位兄弟们有其他更 好的方法烦请告诉我一下，非常感谢(联系方式mars_crow@) 。 二、 测试环境 2.1 、网络拓扑 在笔记本上安装 VMware ，并开启四台虚拟机。其中两台为 Virtual Edition-v11.4.1 ，另外两台为后端真实服务器。访问流程如上图，通过 IE 浏览器访问第一台 VE 的VS ，由于Pool member 是第二台 VE 的VS ，因 此流量自动转发到第二台 VE ，并最终分配到后端两台真实服务器。本次 测试所有 iRule 均添加到第一台 VE ，所有 i