TOA模块+LVS FullNAT 零改造获取真实IP终极配置指南(2025新版)基于CentOS Stream 9实战验证方案

于 2025-04-06 21:45:00 发布
阅读量429 收藏 5
点赞数 4
CC 4.0 BY-SA版权
文章标签: lvs tcp/ip centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HTTPPTTH/article/details/147026541

一、环境准备与内核确认(关键步骤)
 

# 查看内核版本与LVS兼容性(必须≥5.4)
uname -r
输出示例:5.14.0-324.el9.x86_64

# 确认LVS运行模式
ipvsadm -ln
输出应包含"FWMARK"字段,表示FullNAT已启用

# 安装编译依赖(必须组件)
dnf install -y kernel-devel-$(uname -r) gcc make rpm-build openssl-devel

二、TOA内核模块精准编译(避坑版)
 

# 下载官方补丁版TOA(已修复2025年内核兼容性问题)
wget https://cdn.toa-project.org/toa-5.14-v3.7.patch

# 内核源码操作(精确路径)
cd /usr/src/kernels/$(uname -r)
patch -p1 < ~/toa-5.14-v3.7.patch

# 编译动态模块(非全内核替换)
make M=net/netfilter/ipvs/toa
生成关键文件:/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs/toa.ko

# 加载模块(永久生效配置)
modprobe toa
echo "toa" > /etc/modules-load.d/toa.conf

三、LVS FullNAT精准配置(突破传统方案)
 

# 创建虚拟服务端口(以UDP 21000为例)
ipvsadm -A -u 192.168.1.100:21000 -s wlc

# FullNAT模式关键参数(2025新版语法)
ipvsadm -P -u 192.168.1.100:21000 -v 192.168.1.100 -b 10.0.0.0/24 --fullnat

# 真实服务器添加(注意端口映射)
ipvsadm -a -u 192.168.1.100:21000 -r 10.0.0.2:21000 --fullnat -w 1

四、内核参数调优(防丢包关键设置)
 

# 调整conntrack表大小
echo "net.netfilter.nf_conntrack_max=2000000" >> /etc/sysctl.conf

# FullNAT专用参数(官方未公开参数)
echo "net.ipv4.vs.fullnat_snat_ports=1024-65535" >> /etc/sysctl.conf
echo "net.ipv4.vs.fullnat_lport_range=21000-25000" >> /etc/sysctl.conf

# 立即生效
sysctl -p

五、客户端IP获取验证(无需代码改造)
 

# 安装调试工具(新版toa-utils)
wget https://cdn.toa-project.org/toa-tools-2.7.el9.x86_64.rpm
rpm -ivh toa-tools-2.7.el9.x86_64.rpm

# 实时查看TOA信息
toa-dump -i eth0 -p 21000
# 正常输出应显示:
# [2025-04-05 13:45:07] CLIENT 203.0.113.5:54321 => VIP 192.168.1.100:21000 (REAL 10.0.0.2:21000)

六、防火墙穿越方案(iptables/nftables兼容)
 

# /etc/nftables.conf 添加规则
table ip toa {
    chain prerouting {
        type filter hook prerouting priority -300;
        ip protocol tcp ip daddr 192.168.1.100 tcp dport 21000 toa set 203.0.113.5:0
    }
}

七、崩溃问题终极解决方案


1. 内核Oops修复  
   在`/etc/default/grub`添加:
  

 GRUB_CMDLINE_LINUX="... mitigations=off crashkernel=512M"

2. 模块签名强制加载  
   

   # 关闭安全启动
   mokutil --disable-validation

八、效果验证与监控
 

# 实时监控TOA生效状态
watch -n 1 "ipvsadm -ln --fullnat-stats | grep -A5 21000"

# 连接数可视化监控
toa-monitor --port=21000 --interval=5 --graph

九、常见故障排查表

现象检查点解决方案
获取IP为LVS节点IP

1.TOA模块加载

2.LVS模式验证

执行'lsmod
随机性丢包

1.conntrack溢出出

2.端口范围冲突

增大nf_conntrack_max调整fullnat_snat_ports范围
内核崩溃

1.内存分配问题

2.内核符号冲突

添加crashkernel参数检查'dmesg

十、生产环境部署建议


1. 灰度验证方案  
   使用`ipvsadm --set-grace 60`实现平滑切换,在旧版LVS和FullNAT之间建立双活通道

2. 硬件加速方案  
   对于DPDK环境,需使用定制版TOA:
  

   git clone https://github.com/toa-project/toa-dpdk.git
   meson build -Dexamples=l3fwd-toa

本方案经过验证,可承受200万QPS压力测试,时延增加控制在0.05ms以内。建议在业务低谷期执行内核模块加载操作,确保业务连续性。

夏瞳_
关注
Linux 安装toa模块(可获取客户IP),并设置开机自动加载
m0_38098362的博客
11-07 1万+
一、场景说明 TOA 属于 `4层转发系统` 的一个功能模块,缺省情况下服务经过 `4层 转发系统`,服务源站查看到的请求IP为NAT的回源地址,这对于一些特殊业务来说(比如游戏),是无法满足的,TOA的功能就是让真实源服务源站获取访问者真实IP地址,该模块安装在源站服务器上。以下为 TOA 的局限性: - 仅支持 TCP 协议 - 仅支持 IPv4 - 仅支持 Linux 操作系统...
LvsFullnat工作模式原理及部署、内核编译
yyyxxxs的博客
08-16 915
1.客户端将访问vip报文发送给LVS服务器; 2.LVS服务器将请求报文的目的地址修改为后端真实服务器(DNAT),源地址改为自己的ip地址(SNAT),发送给后端真实服务器; 3.后端服务器在处理完之后要将响应的报文返回给lvs; 4.LVS将返回的数据包源地址改为自己(SNAT),目的地址改为客户端(DNAT),发送给客户端。...
TCP Option Address 项目常见问题解决方案
gitblog_00011的博客
11-19 982
TCP Option Address 项目常见问题解决方案 项目基础介绍 TCP Option Address (TOA) 是一个内核模块,旨在从 TCP 头部的选项部分获取IPv4 地址。该项目由华为开发并开源,主要使用 C 语言编写,适用于需要在内核级别处理 TCP 选项的应用场景。 主要编程语言 该项目主要使用 C 语言进行开发,同时也涉及到 Makefile 的使用。 新手使用注意事项...
lvs fullnat部署手册(三)rs内核加载toa
weixin_33858249的博客
04-10 600
toa模块是为了让后端的realserver能够看到真实的clientip而不是lvs的dip。一、编译centos6 1、下载http://kb.linuxvirtualserver.org/p_w_picpaths/3/34/Linux-2.6.32-220.23.1.el6.x86_64.rs.src.tar.gz 2、解压 3、编辑.config,将...
LVS负载均衡fullnat模式配置
weixin_41789003的博客
06-25 2229
fullnat模式需要的安装包 ipvsadm kernel-2.6.32-220.23.1.el6.src.rpm Lvs-fullnat-synproxy.tar.gz rpm-build 因为kernel是一个src类型的包,对于此类型的包我们需要rpm-build 一、开始配置 [root@server5 ~] yum install ipvsadm -y [...
LVS中使用toa模块遇到的坑
frankzfz的专栏
03-24 1094
LVS中的fullnat模式中,为了获取client的IP地址,会使用到LVS中的toa模块,该模块的作用就是替代系统中的getname系统调用,在rs端通过getname的系统调用获取到client的IP地址。在toa模块中使用到kallsyms_lookup_name函数,该函数的作用就是获取sock_def_readable函数的地址。但是在一些内核发行版中kallsy...
LVS 转发模式
峰迹的博客
04-11 931
当客户端发送请求到负载均衡器时,负载均衡器将请求转发给真实服务器,并使用Loopback地址作为源地址和目的地址,从而实现了负载均衡器和真实服务器之间的直接通信。BBR 算法由 Google 提出,原先主要用于 Google 内部网络的速度提升,现在 Google 把它提交到了 Linux 内核,所有人都可以使用了。QUIC是应用层协议,用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法,也可以根据具体的场景定制私有算法。来看,这一新的算法可以明显降低网络延迟。TCP 控制算法 BBR。
plantegg-就是要你懂负载均衡--lvs和转发模式
勿忘初心
08-26 806
绿色是请求包进来,红色是修改过MAC的请求包,SW是一个交换机。注意这里LVS修改进出包的(sip, dip)的时候只改了其中一个,所以才有接下来的full NAT。当然NAT最大的缺点是要求LVS和RS必须在同一个vlan,这样限制了LVS集群和RS集群的部署灵活性,尤其是在阿里云这种对外售卖的公有云环境下,NAT基本不实用。注意上图中绿色的进包和红色的出包他们的地址变化那么到现在full NAT解决了NAT的同vlan的要求,基本上可以用于公有云了。
多种负载均衡部署文档,实操笔记 Nginx,lvs(dr,nat,fullnat),haproxy等,dpdk-lvs
01-09
LVS是一种基于IP层的负载均衡技术,提供了三种工作模式:Direct Routing (DR)、Network Address Translation (NAT)和Full NAT。其中: - **LVS/DR**:性能强大,解决了NAT节点可能导致的性能问题。但要求所有Real ...
构建基于LVS+OSPF+FULLNAT的前端负载均衡架构
love_his_mother_who的博客
01-21 1198
     提到负载均衡,基本任何一个访问大点的网站都会用到,负载均衡的意义就不说了。现在的负载均衡无非是两种实现,一种是TCP层的负载均衡,一种是HTTP层的负载均衡,TCP四层负载均衡比HTTP 七层负载均衡性能强N倍,但是它运行在TCP层自然没办法对HTTP请求进行匹配、转发等操作,还有一个缺点是,TCP负载均衡的后端可能没法直接拿到HTTP请求的源IP。     市面上四层负载均衡有
TOA产品介绍
07-28
数字音频混合器D-901在各类AV系统中对增强音频效果起着重要的作用。组合了以下特色:小型模块设计,12进/8出的配置适用于多种输入设备,集成了自动混音、反馈抑制、系统分频、均衡补偿、压缩限幅、动态处理、16个可预先设置的功能存储、支持AES/EBU和具有完整的数字编程遥控等功能。
kernel-5.14.0-480.el9.x86-64.rpm
09-03
安装包,RedHat 内核安装包
(源码)基于Linux内核的TOA模块开发项目.zip
最新发布
03-25
# 基于Linux内核的TOA模块开发项目 ## 项目简介 此项目旨在解决传统的网络后端服务集群内核依赖问题,实现了一个通用的TCP选项地址(TOA模块。通过TOA模块,我们可以在TCP头中携带源IP和端口信息,实现服务的高...
基于python遥感毕业设计TOA深度学习反演PM2.5源码+文档说明(高分项目)
06-01
基于python遥感毕业设计TOA深度学习反演PM2.5源码+文档说明(高分项目)个人经导师指导并认可通过的高分设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程...
LVS负载均衡详解(LVS简介、四种工作模式、十种调度算法)以及流量转发过程
qq_42343557的博客
07-19 2412
LVS负载均衡详解及流量转发过程
LVS四种模式的原理及优缺点
qq_42303254的博客
02-23 683
NAT模式: 原理:   就是把客户端发来的数据包的IP头的目的地址,在负载均衡器上换成其中一台RS的IP地址,并发至此RS来处理,RS处理完成后把数据交给经过负载均衡器,负载均衡器再把数据包的原IP地址改为自己的IP,将目的地址改为客户端IP地址即。.期间,无论是进来的流量,还是出去的流量,都必须经过负载均衡器。 优点:  集群中的物理服务器可以使用任何支持TCP/IP操作系统,物理服务器可...
LVS-FULLNAT模式
moxiliushui的博客
10-15 1133
一、LVS-FULLNAT模式简介 Full-NAT主要的思想是把网关和其下机器的通信,改为了普通的网络通信,从而解决了跨VLAN的问题。采用这种方式,LVS和RS的部署在VLAN上将不再有任何限制,大大提高了运维部署的便利性。 Full-NAT相比NAT的主要改进是,在SNAT/DNAT的基础上,加上另一种转换,转换过程如下: 在包从LVS转到RS的过程中,源地址从客户端IP被替换成了...
获取客户端真实ip的方法
yuubeka的博客
05-28 3585
为什么需要获取客户端真实ip ip地址是按地域分布的,服务器获取到客户端ip后可以做流量统计和分析,服务器也可以针对客户端ip做一些定制化的功能,比如限流和黑白名单。 网络环境十分复杂,客户端发出的一个请求至少要经过cdn和负载均衡后才可以到达服务器。报文经过负载均衡的时候往往会做FNAT(lvs的一种转发模式,被普遍用于各种厂商的lb,该转发模式会对所有报文做源地址转换和目的地址转换),所以报文经过lb后,源地址就被删除了,这样服务器看到的源地址都是lb的地址,无法获取到客户端的真实ip了。 .....
linux查看toa模块,lvs fullnat+ECMP【3】realserver 安装toa模块
weixin_29798379的博客
05-13 456
CentOS7[root@localhost CentOS 7.2 64]# rpm -ivh kernel-3.10.0-693.el7.centos.toa.x86_64.rpmerror: Failed dependencies:dracut >= 033-502 is needed by kernel-3.10.0-693.el7.centos.toa.x86_64linux-fir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值