java获取f5真实ip配置_f5源站获取http/https访问的真实源IP解决方案

1.背景

F5负载均衡设备，很多场景下需要采用旁挂的方式部署。为了保证访问到源站的数据流的request和response的TCP路径一致，f5采用了snat机制。但是这样导致源站上看到的来源IP都是snat地址，而看不到真实的访问源地址。

2.http访问

对于HTTP应用可以直接在VS中开启X-Forwarded规则

3.https访问

由于HTTPS应用到达F5的数据都是密文，F5只能看到网络层的地址，4—7层的内容无法看到，所以F5也无法像http应用一样将客户端地址插入到X_forward_for字段；

目前HTTPS应用的加解密工作都是由服务器自身完成的，为了保证F5能够看到4—7层的数据，需要将加解密工作交给F5来做：

1)根证书和KEY文件导入F5设备，F5代替服务器同用户端建立SSL通道;

2)F5将加密数据解密后通过X_forward_for功能插入用户端源IP

3)业务部门将服务器上的443端口更改为80端口即取消证书加解密工作

此过程在原有服务器上进行证书撤销操作，会影响到应用中断，建议重新搭建2台提供相同业务的80