TCP应用场景，插入客户端源IP到TCP.option字段的配置指导

版本7.0.8R7FT。虚拟服务的服务类型为TCP，AD后端的OA服务要审计各终端，但是OA服务器得到的ip地址都是AD设备的地址。现在怎么配置，才能让后面的应用得到实际的终端IP地址？

将OA服务的网关直接指向AD设备，这样AD就不会做源地址转换，OA服务可以直接获取到终端的真实IP地址。

关于您提到的AD版本7.0.8R7FT的配置问题，以下是详细的解答：

1. 获取真实终端IP地址的配置

在您的场景中，AD设备串联在线路中，后端的OA服务需要审计终端的真实IP地址，但目前只能获取到AD设备的IP地址。要解决这个问题，可以考虑以下方案：

• 方案1：使用TCP.option字段插入和提取
  您可以配置AD设备，使其在TCP.option字段中插入客户端的真实IP地址。具体步骤如下：

  
  

  
  
  确保您的AD设备版本为7.0.8R3及以上，并且配置TCP虚拟服务。
  
  使用iPRO脚本来插入和提取TCP.option字段。您可以在AD的配置文档中找到相关的脚本，具体的配置指导可以参考以下链接：https://support.sangfor.com.cn/productDocument/read?product_id=31&version_id=250&category_id=205777
  需要注意的是，您可能需要在后端的OA服务中配置相应的模块，以便提取TCP.option字段中的真实IP。
  
• 方案2：直接将OA服务的网关指向AD
  如果您不想使用TCP.option字段，另一种方法是将OA服务的网关直接指向AD设备，这样AD就不会做源地址转换，OA服务可以直接获取到终端的真实IP地址。

  
  
  
  

2. 将虚拟服务的服务类型改为HTTP类型

如果您考虑将虚拟服务的服务类型改为HTTP类型，这也是一个可行的方案。具体步骤如下：

• 修改服务类型
  在AD中将虚拟服务的类型从TCP改为HTTP。这样，AD可以在HTTP头部中插入X-Forwarded-For字段，后端的OA服务可以通过读取该字段来获取真实的客户端IP地址。
• 后端OA服务的调整
  需要确保后端的OA服务能够识别X-Forwarded-For字段。如果OA服务当前不支持该字段，您可能需要对其进行相应的修改，以便能够正确读取和处理该字段。
• 其他相关配置
  除了修改服务类型，您还需要检查AD的优化策略，确保启用“传输客户端IP至后台服务器”的功能，以便在HTTP头部中插入真实的客户端IP。

  
  
  
  

总结来说，您可以选择使用TCP.option字段插入真实IP的方案，或者直接将虚拟服务类型改为HTTP。两种方案都需要一定的配置，但具体的复杂程度取决于您的网络架构和后端服务的支持情况。

（1）补充完整一下。一台AD服务器，串在线路中（不是旁路），后端有个OA服务，AD对该OA的虚拟服务的服务类型时TCP。现在OA服务想审计终端，但是现在获得的IP地址都是AD的地址。现在就想解决这个问题。可不可行？是不是需要比较复杂的操作？几处提到的iPRO的TCP.option插入和提取两个脚本在哪儿？是测试好的发行包吗？
（2）如果不可行，直接将该虚拟服务的服务类型改为http类型可不可行？是只改这一处就行还是要改其它相关的地方？是不是需要后端的OA服务也做接口更改，AD这边单独改不行？

配置前提确认
AD部署模式
确保AD设备为单臂模式（旁路部署），且虚拟服务类型为TCP。若为网关模式，需调整路由策略以允许流量回程。
后端服务器要求
OA服务器需支持TCP Option字段解析，且未启用其他代理（如Nginx的real_ip模块）。若服务器已配置代理，需优先修改代理配置。

在深信服应用交付AD（版本7.0.8R7FT）的TCP应用场景中，若要让后端OA服务器获取实际终端IP而非AD设备地址，需通过源IP透传功能实现