本帖最后由 朱容成51537 于 2020-11-18 13:22 编辑
背景: 用户使用AF对外映射了服务器,AF启用地域访问控制,只允许上海地区的用户访问AF后的业务。
问题现象: 部分上海用户通过百度搜索”IP”查询自身IP地址显示为上海某公司,但是访问被AF的地域访问控制拦截,无法正常访问用户的业务
排查过程: 通过在AF上抓包发现,被拦截的用户的IP并非用户百度搜索的上海某公司的IP地址,而是江苏的电信IP地址。因此被AF的地域访问控制拦截
问题原因: 中国的公网IP地址目前较为匮乏,基本都被电信、移动、联通三大运营商瓜分,因此部分起步较晚的运营商,例如某公司,只能租用三大运营商的公网IP。此类运营商被成为二级运营商,他们所采用的架构类似于他们自己创建了一张大的局域网,分配给用户的公网IP都是假的公网IP。是属于他们这张大局域网的私网IP地址。而很多用户使用某公司访问百度、视频网站、测试网站速度都非常快,而访问一些较为冷门的网站都非常慢,原因就是此类二级运营商在他们”大局域网”内部署了大量的CDN服务器。类似于百度、视频网站、测速网站这些主流网站在二级运营商的“大局域网”内都搭建了自己的服务器,用户测速相当于直接在他们局域网内测速,因此测出来的速度非常快,看一些主流网站视频都非常流畅。但访问一些没有在二级运营商网络中搭建CDN服务器的网站就非常慢。被广大网友称之为假宽带。 使用某公司的用户在访问被我们AF做了地域访问控制的业务时,实际用的是某公司的出口IP与我们AF后端的业务进行的通信,因此被AF拦截。而他们的“大局域网”内有百度或者其他IP采集网站的CDN服务器,因此搜索出来的IP地址显示是上海,让客户认为我们的AF地域访问控制功能有问题。
解决办法: 方法1: 在某公司防火墙内搭建一个源IP采集网站,用户访问此网站可直接收集到访问过来的用户的真实IP地址,然后在地域访问控制中将此IP地址的地域改为上海,搭建方法参考网上教程,在此不做阐述。
| 
发表于 2024-6-28 09:36
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
