F5Loadbalancer转发模式原理(客户端＞服务器)

1.透明模式&＃xff1a;Performance L4 &＃43; DNAT
原理&＃xff1a;这种类型的Virtual server.F5按照纯四层的方式处理数据包&＃xff0c;只看源IP,源端口&＃xff0c;目的IP和目的端口。数据包到达F5后&＃xff0c;只改变目的IP为后端地址和端口进行转发。这部分的数据处理方式是可以通过F5 PVA芯片来进行转发的。所以这种模式从理论上来将是不会消耗CPU的。但是F5对PVA转发的要求还是比较苛刻&＃xff0c;会有很多相关条件的限制。
后端操作&＃xff1a;默认网关需要指向F5

2.透明模式&＃xff1a;Performance L4 &＃43; SNAT &＃43; DNAT
原理&＃xff1a;这种类型的Virtual server.F5按照纯四层的方式处理数据包&＃xff0c;只看源IP,源端口&＃xff0c;目的IP和目的端口。数据包到达F5后&＃xff0c;改变源IP地址为SNAT地址的&＃xff08;一般为F5的vip&＃xff09;&＃xff0c;同时也改变目的IP为后端地址和端口进行转发。这部分的数据处理方式是可以通过F5 PVA芯片来进行转发的。所以这种模式从理论上来将是不会消耗CPU的。但是F5对PVA转发的要求还是比较苛刻&＃xff0c;会有很多相关条件的限制。
后端操作&＃xff1a;不需要任何操作               关于SNAT&＃xff0c;F5会自动增加HTTP头部x_forwarded_for标示真实的客户端地址&＃xff1b;

3.透传模式&＃xff1a;standard &＃43; DNAT
原理&＃xff1a;这种类型的Virtual server在数据包F5上是采取full proxy 7层的处理模式。一个client发起请求后&＃xff0c;首先需要跟F5建立三次握手后&＃xff0c;随后F5进行转发&＃xff0c;再跟后端real server建立三次握手时&＃xff0c;源地址和源端口为原客户端的&＃xff0c;而目的IP和端口为后端的。F5维护两个TCP协议栈。在应用HTTP Profile后,F5将数据包按照HTTP协议的方式进行处理。此时数据的处理过程完全由F5 CPU处理。也可以实现所谓的content switch(内容交换)。但是这种方式对CPU的消耗比较高。
后端操作&＃xff1a;默认网关需要指向F5(防止回程路由不一致&＃xff0c;TCP又是有状态的协议&＃xff0c;所以F5的握手得不到响应&＃xff0c;见下面)

实例举例&＃xff1a;客户端45.45.45.45访问https&＃xff1a;195.175.224.74&＃xff1a;6070&＃xff0c;到达F5。 F5将做DNAT。  TCP ID为N
DNAT&＃xff1a;195.175.224.74&＃xff08;VS公网IP&＃xff09;-->F5上的VIP 172.27.0.62(路由)-->172.27.0.19&＃xff08;服务器私网IP&＃xff09;  TCP ID为N

通信流程为&＃xff1a;
45.45.45.45-->195.175.224.74  TCP ID为N &＃xff08;检查DNAT绑定&＃xff09; 195.175.224.74&＃xff08;VS公网IP&＃xff09;-->172.27.0.62(路由)-->172.27.0.19&＃xff08;服务器私网IP&＃xff09;  TCP ID为N
最终表现为45.45.45.45-->172.27.0.19   TCP ID为N

Traffic flow:
request Flow 10.10.10.10(Client)  ---> 195.175.224.66 ---->172.27.0.30 --->172.27.0.5
172.27.0.5  ---> 172.27.0.30 ---> 195.175.224.66 ---> 10.10.10.10(server)

4&＃xff0c;透传模式&＃xff1a;standard &＃43; SNAT &＃43; DNAT

原理&＃xff1a;这种类型的Virtual server在数据包F5上是采取full proxy 7层的处理模式。一个client发起请求后&＃xff0c;首先需要跟F5建立三次握手后&＃xff0c;随后F5进行转发&＃xff0c;跟后端real server建立三次握手时&＃xff0c;源地址和源端口更改为SNAT地址的&＃xff08;&＃xff08;一般为F5的vip&＃xff09;&＃xff09;&＃xff0c;而目的IP和端口为后端的。F5维护两个TCP协议栈。在应用HTTP Profile后,F5将数据包按照HTTP协议的方式进行处理。此时数据的处理过程完全由F5 CPU处理。也可以实现所谓的content switch(内容交换)。但是这种方式对CPU的消耗比较高。
后端操作&＃xff1a;不需要任何操作

实例举例&＃xff1a;客户端45.45.45.45访问https&＃xff1a;195.175.224.74&＃xff1a;6070&＃xff0c;到达F5。TCP ID为N   F5将做DNAT和SNAT。
DNAT&＃xff1a;195.175.224.74&＃xff08;VS公网IP&＃xff09;-->172.27.0.19&＃xff08;服务器私网IP&＃xff09;  
SNAT:45.45.45.45-->F5上的VIP 172.27.0.62&＃xff08;两台F5上&＃xff0c;各自还有和后端服务器同VLAN的IP 172.27.0.61和172.27.0.60&＃xff09;TCP ID为M
通信流程为&＃xff1a;
45.45.45.45-->195.175.224.74(TCP ID为N)   检查SNAT,DNAT绑定   172.27.0.62-->172.27.0.19(TCP ID为M)

5&＃xff0c;fast http模式&＃xff1a;standard &＃43; SNAT &＃43; DNAT &＃43; oneconnect
原理&＃xff1a;oneconnect只是一个keepalive的作用&＃xff0c;让client向F5发http请求的时候&＃xff0c;可以复用同一条连接。不支持https和会话保持功能&＃xff0c;原因就是连接复用的问题。
后端操作&＃xff1a;不需要任何操作

6&＃xff0c;路由转发模式
原理&＃xff1a;和lvs的DR模式相同
后端操作&＃xff1a;和lvs的DR模式相同