TCP 高速パス プロファイルは TCP 接続をプロキシしません。クライアントを宛先サーバに直接接続し、クライアントの宛先仮想サービス アドレスを選択した宛先サーバの IP アドレスを使用して変換します。クライアントの送信元 IP アドレスは、SE の IP アドレスに NAT 変換できます。これを構成するオプションは、SE グループおよびその他のプロファイルの設定を通じて利用できます。
クライアントから TCP SYN を受信すると、NSX Advanced Load Balancer はロード バランシングの決定を行い、SYN とその後のすべてのパケットをサーバに直接転送します。クライアントとサーバ間の通信は、クライアントとサーバ間でネゴシエートされるパラメータ、シーケンス番号、および TCP オプションを使用して、単一の TCP 接続を介して行われます。
TCP 高速パス プロファイル
TCP プロキシ プロファイルのオプションは、TCP 高速パス構成には関係ありません。TCP セッションはクライアントとサーバ間で直接ネゴシエートされ、SE は NAT 操作のみを実行するためです。高速パス プロファイル タイプには、次の設定があります。
[SYN 保護を有効にする]:無効にすると、NSX Advanced Load Balancer は最初のクライアント SYN パケットに基づいてロード バランシングを実行します。SYN はサーバに転送されます。NSX Advanced Load Balancer は単にクライアントとサーバ間でパケットを転送するだけで、サーバはなりすまし IP アドレスからの SYN フラッド攻撃に対して脆弱になります。SYN 保護を有効にすると、NSX Advanced Load Balancer はクライアントとの最初の TCP 3 ウェイ ハンドシェイクをプロキシして、クライアントがなりすましの送信元 IP アドレスではないことを検証します。3 ウェイ ハンドシェイクが確立されると、NSX Advanced Load Balancer はサーバ側でハンドシェイクを再生します。クライアントとサーバが接続されると、パス スルー(高速パス)モードに戻ります。このプロセスはディレイド バインディングとも呼ばれています。
TCP セキュリティを最大限に高める場合は、TCP プロキシ モードの使用を検討してください。
[セッション アイドル タイムアウト]:アイドル フローは、指定した期間が経過すると終了(タイムアウト)します。NSX Advanced Load Balancer は、クライアントとサーバの両方に TCP リセットを発行します。
