《企业运维之云上网络原理与实践》——第二章 负载均衡 CLB——负载均衡CLB（中）-最佳实践（3）

《企业运维之云上网络原理与实践》——第二章 负载均衡 CLB——负载均衡CLB（中）-最佳实践（2） https://developer.aliyun.com/article/1230686?groupCode=supportservice

3. 获取客户端真实IP

 

在不同的监听下，获取客户端真实的IP地址的方式不同，如下图：

 

 

• IPv4四层监听

ü 通过toa可直接获取到客户端真实IP；

ü 可通过Proxy Protocol获取客户端真实IP。

 

• IPv6四层监听

ü 可通过Proxy Protocol获取客户端真实IP。

 

• 七层监听

ü 通过请求头中的x-forwarded-for获取客户端真实IP。

 

1) 通过toa获取客户端真实IP

 

 

目标IP为VPC下绑定了EIP的SLB，五元组如下：

120.195.13.68:12345-TCP->123.56.169.153:443

 

TCP三次握手第三个ACK包的完整十六进制dump，加粗部分即为完整的TCP Option：

0000 00 16 3e 34 07 96 58 60 5f 72 1e 00 08 00 45 14

0010 00 3c ac a3 40 00 2f 06 e9 7b 64 79 b8 15 0a 19

0020 8e e1 7c da 01 bb 88 77 6a 56 ad 5c bc aa a0 10

0030 00 e5 35 62 00 00 fc 14 30 39 78 c3 0d 44 19 70

0040 09 00 c0 a8 00 5b 01 bb 01 01

 

依次为：

TCP Option Kind==252（0xfc）

长度（从Kind开始算）：20字节（0x14）

客户端源端口：12345->30 39（网络字节序/大端）

客户端IP地址：120.195.13.68->78 c3 0d 44

VPC TunnelID：618521->19 70 09 00（主机字节序/小端）

Vip：192.168.0.91->c0 a8 00 5b

Vport：443->01 bb（网络字节序/大端）

 

2) 通过Proxy Protocol获取客户端真实IP

 

五元组：

120.195.13.68.34270-TCP->47.98.108.43.10086

 

0000 00 16 3e 12 90 f5 ee ff ff ff ff ff 08 00 45 00

0010 00 8c 7a b7 40 00 66 06 49 cb 78 c3 0d 44 c0 a8

0020 09 3a 85 de 01 bb 10 a9 24 18 c2 df 78 02 50 18

0030 13 88 64 6f 00 00 0d 0a Od 0a 00 Od 0a 51 55 49

0040 54 0a 21 11 00 54 78 c3 0d 44 2f 62 6c 2b 85 de

0050 27 66 03 00 04 8a 65 79 c5 04 00 3e 0o 00 00 00

0060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0090 00 00 00 00 00 00 00 00 00 00

 

从加粗的第0x36个字节开始，是TCP的payload（加粗部分），接下去就是：

 

• 12个字节是Proxy Protocol的固定签名：

\x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A

• 4bit的版本号，这里是0x2，意为V2的版本

• 4bit的command，这里是0x1，意为Proxy（0x0==Local）

• 4bit的地址族，这里是0x1，意为AF_INET（IPv4），其余的为0x0// AF_UNSPEC 0x2 // AF_INET6（IPv6）0x3 //AF_UNIX

• 4bit的transport protocol，提示接下去是哪一种传输层的协议，这里是0x1，意为STREAM（TCP），其余的为0x0 //UNSPEC 0x2 // DGRAM（UDP）

• 2字节表明接下去的长度，网络字节序，这里是0x0054==84，说明接下去的84字节都是PP本身的payload（斜体部分）

• 4字节的源IP，78 c3 0d 44转换成点分十进制即为120.195.13.68

• 4字节的目标IP，2f 62 6c 2b转换成点分十进制即为47.98.108.43

• 2字节的源端口，网络字节序，0x85de==34270

• 2字节的目标端口，网络字节序，0x2766==10086

 

3) 通过请求头中的x-forwarded-for获取真实客户端IP

 

在后端ECS上抓包，打印请求头中包含以下key-value：

X-Forwarded-For：用户真实IP，代理服务器1-IP，代理服务器2-IP，……