F5常用5种插入客户端源地址方法简述

goodluck

一、 引言
随着 IT 环境的高速发展，解决我们日常各种需求的应用像雨后春笋
般以一个惊人的速度爆发式增长，而其中大部分应用为了抢占市场都存在
开发周期短的问题。如果基于这样的一个背景让应用开发人员将功能是否
满足需求、可用性、应用性能、安全性、是否按时上线、后期维护复杂度
等几个现实问题做优先级排序，那么安全性肯定会排在最后。但实际上现
在大多数应用在设计业务逻辑时就已经对安全有了一定要求。比如最近一
段时间经常在项目上遇见后端服务器需要查看客户端源 IP 地址的需求。这
实际上就是一个简单的安全手段，通过查看客户端源 IP 地址来达到审计的
目的，或者通过 ACL 列表过滤客户端请求等。
我们在讨论如何让后端服务器看到客户端源 IP 地址前先来看一下 F5
的几种部署模式。首先是三角传输(即 npath 模式)，这是一种非常古老的部
署模式，主要应用于响应包明显大于请求包的场景(如请求包大小为 10k，
服务器回包 1000M！有点夸张)，但随着设备性能的不断提高且该模式配置
极其复杂(需要服务器开启 loopback 功能，并通过 iptable 关闭 ARP 响应功
能，但不同 Linux 版本关闭 iptable 命令均不同)目前已经退出了历史舞台。
其次，第二种是路由模式，由于其工作原理类似于路由器而得名。通过这
种部署模式 BIG-IP 就可以满足需求，让后端服务器看到客户端源 IP 地址。
既然这样，问题不就解决了吗？？但往往生活就是这样不尽如人意。比如
后端服务器和客户端处于相同网段，当服务器看到客户端 IP 地址后直接通
过二层回包，这样客户端收到的数据包由于请求目的地址和回包地址不同
而自动被拒绝。类似场景就比较尴尬了，即需要让后端服务器看到客户端
源地址又不能让后端服务器看到客户端源地址，在这样一个矛盾的现实案
例中我们要想同时满足网络和应用的需求，只能通过非常规的方法来进行
处理。最近遇到了好几个类似的问题，但由于应用程序的不同客户端
IP地址插入的位置也不尽相同，本文通过汇总几种常用的插入 IP 方式进一步
展现 F5 在软件定义方面的强大优势，但由于应用快速发展及个人经验等
客观因素影响，无法将所有方法一一进行阐述，如果哪位兄弟们有其他更
好的方法烦请告诉我一下，非常感谢(联系方式 mars_crow@sina.com)。

F5常用5种插入客户端源地址方法简述.pdf (1.01 MB, 下载次数: 34)

2023-3-9 22:26 上传

点击文件名下载附件

xxy5503

感谢分享