有CDN的情况下，AD可以封掉客户端真实地址吗？ 45

有CDN的情况下，AD可以封掉客户端真实地址吗？

有CDN做内容分发了，用户端可能直接去访问节点了，不访问AD这边的真实服务器了？是有这个疑问吧？

这个反过来配置是不是能隐藏真实的地址了

AD 需要在服务器上看到客户端的真实IP方法：

方案1：在AD中配置优化策略，【应用负载】-【策略】-【优化策略】新建优化策略,启用传输客户端IP至后台服务器,将该优化策略关联到虚拟服务,配置完成之后AD转发给服务器的数据包的HTTP头部里会插入X-Forwarded-For头部,头部的值就是客户端的真实IP,服务器只要识别到这个头部的值即可读取到客户端的真实IP

缺点：服务器需要能识别X-Forwarded-For字段（需要安装插件），且只支持七层虚拟服务http（https）协议类型的业务

优点：旁路部署广泛使用
方案2：配置三角传输，AD不做源地址转换，这样服务器就能看到客户端源IP，只有四层虚拟服务才可使用三角传输

三角传输配置指导点击查看
缺点：限于旁路部署，服务器需要配置loopback接口，配置较麻烦

优点：仅单边数据通过AD，吞吐量可以翻倍
方案3：将服务器的网关直接指向AD，AD不做源地址转换
缺点：这种方式要改动服务器网关，网络结构会改变

优点：仅需调整路由



补充：旁路部署环境下，web业务服务器需要审核客户端源IP地址的需求，AD广泛使用X-Forwarded-For字段插入HTTP头部中，服务器上读取此字段来识别客户端IP

有用

前置策略，请求头部自定义，通过HTTP_X_FORWARDED_FOR
指向无服务节点。