SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Configuração
  • NSX Load Balancer X-Forwarded-For
31/05/2025

NSX Load Balancer X-Forwarded-For

NSX Load Balancer X-Forwarded-For

by André Ortega / quinta-feira, 09 agosto 2018 / Published in Configuração, Virtualização

(Visibilidade é tudo)

O VMWare NSX é uma plataforma de virtualização de rede, e uma das funcionalidades que podemos ter com o NSX é o Load Balancer.

Assim como outros balanceadores, o NSX pode trabalhar nos modos One Armed ou Inline.

Quando trabalhamos no modo One Armed, o NSX Edge (onde está a funcionalidade de balanceamento de carga) faz source/destinatio NAT. Ou seja, o IP do cliente é mascarado, sendo o IP do balanceador enviado para o servidor.

NSX Load Balancer

Neste caso acabamos perdendo visibilidade, já que no servidor os logs mostrarão todas as conexões com vindas do balanceador. E este é uma situação comum para todos os balanceadores.

X-Forwarded-For

Uma forma de contornar este problema, pelo menos quando estamos balanceando HTTP/HTTPS, é utilizarmos o XFF – X-Forwarded-For.

O XFF é um cabeçalho HTTP, comumente utilizado para a identificação do endereço IP de origem de clientes que se conectam a servidores web por meio de um balanceador ou servidor proxy.

Configurando XFF no NSX

A configuração do X-Forwarded-For no NSX resume-se a um checkbox.

Para ativar esta função basta selecionar o Edge onde deseja fazer a configuração, clicar na aba Manager > Load Balancer, e então, no menu lateral esquerdo clicar em Application Profile.

Selecione o Application Profile desejado e em seguida clique em editar (icone lápis).

NSX App Profile

No Application Profile marque a opção Insert X-Forwarded-For HTTP Header, e Ok.

NSX XFF

Prontinho. Com esta opção o balanceador passa a inserir o cabeçalho X-Forwarded-For, onde temos o IP do usuário.

XFF no servidor

Além de configurar o balanceador, a configuração de log do servidor precisa estar “preparada” para mostrar o IP do usuário final.

No caso do Apache devemos mudar a configuração no arquivo httpd.conf, conforme exemplo abaixo.

Remover a configuração padrão:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
CustomLog log/acces_log combined

Adicionar configuração para mostrar o XFF:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" proxy
SetEnvIf X-Forwarded-For "^.*\..*\..*\..*" forwarded
CustomLog "logs/access_log" combined env=!forwarded
CustomLog "logs/access_log" proxy env=forwarded

Com esta mudança podemos olhar os logs no servidor web e confirmar que o IP do usuário está sendo enviado.

Note o IP 10.123.45.20, da máquina do usuário que está fazendo o acesso. Também temos “acesso” do IP 10.123.45.164 (balanceador), pois o balanceador acessa o servidor para ver o status do serviço.

Logs Acesso Servidor Web

Estatísticas no Load Balancer (Bônus Track)

Podemos ver as estatísticas de utilização do Load Balancer via linha de comando.

BrainLB01-0> show service loadbalancer monitor
-----------------------------------------------------------------------
Loadbalancer Health Check Statistics:

MONITOR PROVIDER POOL MEMBER HEALTH STATUS
built-in MyWebPool LABCENTOS01_10.123.45.141 default_http_monitor:L7OK
built-in MyWebPool LABCENTOS02_10.123.45.142 default_http_monitor:L7OK
built-in MyWebPool LABCENTOS03_10.123.45.144 default_http_monitor:L7OK
BrainLB01-0> show service loadbalancer
-----------------------------------------------------------------------
Loadbalancer Services Status:

L7 Loadbalancer : running
-----------------------------------------------------------------------
L7 Loadbalancer Statistics:
STATUS PID   MAX_MEM_MB MAX_SOCK MAX_CONN MAX_PIPE CUR_CONN CONN_RATE CONN_RATE_LIMIT MAX_CONN_RATE
running 5517 0          2082     1024     0        0        0         0               49
-----------------------------------------------------------------------
L4 Loadbalancer Statistics:
MAX_CONN ACT_CONN INACT_CONN TOTAL_CONN
0 0 0 0

Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn

BrainLB01-0> show service loadbalancer monitor
-----------------------------------------------------------------------
Loadbalancer Health Check Statistics:

MONITOR PROVIDER POOL MEMBER HEALTH STATUS
built-in MyWebPool LABCENTOS01_10.123.45.141 default_http_monitor:L7OK
built-in MyWebPool LABCENTOS02_10.123.45.142 default_http_monitor:L7OK
built-in MyWebPool LABCENTOS03_10.123.45.144 default_http_monitor:L7OK
BrainLB01-0> show service loadbalancer virtual
-----------------------------------------------------------------------
Loadbalancer VirtualServer Statistics:

VIRTUAL VSHTTP01
| ADDRESS [10.123.45.164]:80
| SESSION (cur, max, total) = (0, 191, 7227)
| RATE (cur, max, limit) = (0, 49, 0)
| BYTES in = (78424078), out = (396960457)
+->POOL MyWebPool
| LB METHOD round-robin
| LB PROTOCOL L7
| Transparent disabled
| SESSION (cur, max, total) = (0, 62, 963499)
| BYTES in = (78424078), out = (396958836)
+->POOL MEMBER: MyWebPool/LABCENTOS01_10.123.45.141, STATUS: UP
| | HEALTH MONITOR = BUILT-IN, default_http_monitor:L7OK
| | | LAST STATE CHANGE: 2018-08-03 14:08:58
| | SESSION (cur, max, total) = (0, 21, 321168)
| | BYTES in = (26142313), out = (132319866)
+->POOL MEMBER: MyWebPool/LABCENTOS02_10.123.45.142, STATUS: UP
| | HEALTH MONITOR = BUILT-IN, default_http_monitor:L7OK
| | | LAST STATE CHANGE: 2018-08-03 14:08:58
| | SESSION (cur, max, total) = (0, 25, 321166)
| | BYTES in = (26141859), out = (132640424)
+->POOL MEMBER: MyWebPool/LABCENTOS03_10.123.45.144, STATUS: UP
| | HEALTH MONITOR = BUILT-IN, default_http_monitor:L7OK
| | | LAST STATE CHANGE: 2018-08-03 14:08:58
| | SESSION (cur, max, total) = (0, 22, 321165)
| | BYTES in = (26139906), out = (131998546)
BrainLB01-0>

Mais informações sobre XFF aqui, e guia para troubleshooting neste link.

Até a próxima.

Relacionado

Tagged under: Load Balancer, NSX, VMware, X-Forwarded-For, XFF

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

pessoa programando
Automação de Redes: Ferramentas e Técnicas para Simplificar a Gestão de Infraestrutura
Upgrade ASA em appliance Firepower (Platform Mode)
Cisco SD-Access: O novo conceito de rede intuitiva

You must be logged in to post a comment.

POSTS RECENTES

  • DevNet evolui: novas certificações CCNA, CCNP e CCIE Automation
    DevNet evolui: novas certificações CCNA, CCNP e CCIE Automation
    30/05/2025
  • Novidades na Certificação CCNP Collaboration da Cisco
    Novidades na Certificação CCNP Collaboration da Cisco
    29/05/2025
  • Cisco atualiza nomes das certificações de cibersegurança
    Cisco atualiza nomes das certificações de cibersegurança
    28/05/2025
  • Criminosos Utilizam Site Fake de Antivírus para Propagar Malware
    Criminosos Utilizam Site Fake de Antivírus para Propagar Malware
    28/05/2025
  • Brasil na Operação RapTor: Ação Global na Dark Web
    Brasil na Operação RapTor: Ação Global na Dark Web
    24/05/2025

Tags

#Microsoft #CobaltStrike #Ransomware #AtaquesCibernéticos #SegurançaDigital #Hackers #Fortra #HealthISAC #ProteçãoDeDados #TI #CyberThreats #SegurançaNaNuvem #Tecnologia #MicrosoftSecurity #Broadcom 2324 2010 2015 2017 2022 2023 2024 2350 200-125 25 anos 2560C 2960C 2960X 2975 350-050 3560-X 200-301 2009 200-120 100-101 #Multicloud #VMwareTransformation 1 ano 1.1.1.100 10 anos 10 Gbps 100 empresas 200-101 100 Gigabit 1905 1921 1925 1941 2.0 1900 2800 2900 2013 2011 1800 2960 3750 2960S

Arquivo

Login

  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

X

Blog: Verificando MD5 (hash) de um arquivo no Windows e Linux brainwork.com.br/2023/05/11/v… #Checksum #CiscoChampion #Hash

Hahahahah Muito bom twitter.com/TracketPacer/s…

Blog: Trocar ícone (favicon) da página guest no Cisco ISE brainwork.com.br/2023/04/24/t… #Cisco_Champion #Customização #Favicon

Blog: Cisco Champion 2023 brainwork.com.br/2023/04/10/c… #CiscoChampion

Blog: RFC 2324 (HTCPCP), conhece? brainwork.com.br/2023/04/01/r… #2324 #CiscoChampion #HTCPCP

Seguir @brainworkblog
  1. ./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE
  2. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  3. ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. André Ortega em Atualizando Cisco 9300 (Install Mode)
  5. Dominique em Atualizando Cisco 9300 (Install Mode)

Entre em contato:

  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP
Gerenciar o consentimento
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos. O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
Gerenciar opções Gerenciar serviços Manage {vendor_count} vendors Leia mais sobre esses propósitos
Ver preferências
{title} {title} {title}