深信服AF配置双向地址转换后，出网数据包源IP变成了AF的内网IP，导致手机APP打卡地址异常

一、故障现象

问题描述：在配置信服AF双向地址转换后，发现出网数据包的源IP地址被转换为AF设备的内网IP地址，导致手机APP打卡功能出现地址异常问题。具体表现为：

1.手机APP获取到的源IP地址为防火墙内网IP，而非终端用户的真实公网IP

2. 打卡定位信息不准确，影响考勤记录的正确性

3. 外部服务无法获取到真实的客户端IP地址

影响范围：

● 所有通过该AF设备进行地址转换的移动设备

● 依赖真实客户端IP地址进行定位的服务

● 需要识别真实用户来源的业务系统

二、原因分析问题根因分析

该问题是由于AF双向地址转换的源地址转换配置错误导致：
双向地址转换默认支持配置源地址转换规则，如果配置中将「源地址转换为」设置为AF出接口（内网口）地址，则所有经过该规则的出网数据包源IP都会被转换为AF的内网IP，最终导致手机APP获取到的源IP是防火墙内网IP，打卡地址异常

解决方案

请按照以下步骤修改配置：

1. 进入双向地址转换配置界面

  打开对应配置路径：新建目的地址转换，将外网AF外网地址访问时转换为内网AF的出口地址，源地址为WAN，所有IP

2. 修改AC准入

通过对外网访问内网映射业务抓包分析，数据包没有到达内网防火墙所以导致内网防火墙只能看到外网AF内网IP地址；需要在AC中绑定内网AF对应出口IP

3. 保存配置并验证

保存配置后，重新测试手机APP打卡，确认地址显示是正常。

测试验证步骤：

1. 使用手机APP进行打卡测试

2. 检查打卡记录中的地理位置信息

3. 通过网络抓包工具验证数据包源IP

4. 确认外部服务接收到的客户端IP是否正确

预期结果：

● 手机APP打卡地址显示正常

● 外部服务能够获取到终端设备的真实公网IP

● 网络通信正常，无其他异常现象

四、预防措施

4.1 配置规范

1. 明确业务需求：在配置地址转换前，充分了解业务对源IP地址的需求

2. 区分内外网场景：根据访问方向选择合适的转换策略

3. 保留真实IP：对于需要客户端真实IP的业务，避免不必要的源地址转换

4.2 配置检查清单

● 确认双向地址转换规则的适用范围

● 检查源地址转换配置是否符合业务需求

● 验证转换后IP地址是否满足外部服务要求

● 测试关键业务功能是否正常

五、总结

本次问题的根本原因在于对AF双向地址转换功能的理解不够深入，特别是对源地址转换配置的影响认识不足。通过本次问题的解决，我们获得了以下经验：

1. 功能理解：深入理解双向地址转换的工作原理和配置选项

2. 业务影响：充分评估网络配置对上层业务的影响

3. 配置规范：建立标准化的配置流程和检查机制

4. 测试验证：完善配置变更后的测试验证流程