TCP 快速路径配置文件不会为 TCP 连接提供代理。它直接将客户端连接到目标服务器,并将客户端的目标虚拟服务地址转换为所选目标服务器的 IP 地址。可以通过 NAT 将客户端的源 IP 地址转换为 SE 的 IP 地址。配置该功能的选项是通过 SE 组和其他配置文件中的设置提供的。
从客户端收到 TCP SYN 时,NSX Advanced Load Balancer 做出负载均衡决策,并将 SYN 和所有后续数据包直接转发到服务器。客户端到服务器的通信是通过单个 TCP 连接完成的,并使用客户端和服务器之间协商的参数、序列号和 TCP 选项。
TCP 快速路径配置文件
TCP 代理配置文件选项与 TCP 快速路径配置无关,因为 TCP 会话是在客户端和服务器之间直接协商的,SE 仅执行 NAT 操作。快速路径配置文件类型具有以下设置:
启用 SYN 保护 - 如果停用,NSX Advanced Load Balancer 根据初始客户端 SYN 数据包执行负载均衡。SYN 将转发到服务器。NSX Advanced Load Balancer 仅在客户端和服务器之间转发数据包,从而使服务器容易受到来自仿冒 IP 地址的 SYN 泛洪攻击。在启用了 SYN 保护的情况下,NSX Advanced Load Balancer 为与客户端之间的初始 TCP 三向握手提供代理,以验证客户端不是仿冒的源 IP 地址。在建立三向握手后,NSX Advanced Load Balancer 在服务器端重新执行握手过程。在连接客户端和服务器后,它将恢复为直通(快速路径)模式。该过程也称为延迟的绑定。
请考虑使用 TCP 代理模式以获得最大的 TCP 安全性。
会话空闲超时 - 空闲流在指定时间段后终止(超时)。NSX Advanced Load Balancer 向客户端和服务器发出 TCP 重置。
