在切换到Umbrella之后对Akamai服务的内容和域进行故障排除

简介

本文档介绍在切换到Cisco Umbrella后，如何解决Akamai服务的内容和域的问题。

什么是Akamai，如何使用它？

Akamai是一个内容交付网络(CDN),通过Web为许多内容提供商存储和提供内容。其中包括流视频、图像、站点内容、脚本、广告等。Akamai是许多CDN之一，例如Amazon CloudFront或Limelight Networks，它们提供许多热门网站的主干。

CDN由网站使用，因为它具有非常高的流量，包括大的流量高峰（例如出现突发新闻事件）。 Web管理员无需为自己的托管基础设施付费来托管其站点（该基础设施需要足够强大以服务高峰时间，同时使站点大部分时间处于部分空闲状态），而是使用CDN，以便他们只为实际使用的资源付费。在速度较慢时，内容流出的资源更少，而在高峰时，CDN会扩展其资源以服务于每个人，而不会错过任何机会。最终结果是一个运行时间更长、可为Web管理员节省资金的站点。Akamai是这种类型的CDN中最大的一个。

要确认网站是否使用Akamai，请查找www.sitename.com，该地址指向作为CNAME的子域，例如edgesuite.net、akamai.net、edgekey.net、amakaiedge.net（通常全部为.net）。 请务必查找www.domain.com而不是domain.com以检查是否有Akamai CNAME。

注意：某些站点只使用Akamai处理站点内的图像或视频内容，并且只有图像引用Akamai通过CNAME提供的域。

使用Cisco Umbrella是否影响Akamai内容？为什么从Umbrella返回的IP与我的ISP不同？

使用Cisco Umbrella不会单独影响Akamai内容，除非您的某个域列表阻止了任何Akamai域。请记住，添加的任何域都是自动为所有子域添加的通配符(例如：*.domain)，因此在阻止列表中输入“akamai.net”会打破Web上的许多站点。

您的ISP的DNS服务器和Cisco Umbrella具体处理Akamai流量的方式也可能有所不同。ISP的DNS甚至可能导致加载不同的内容。ISP的DNS服务器返回的IP地址与查询Cisco时收到的IP地址相异的情况很常见，但这并不意味着Cisco的结果不正确。事实正好相反。虽然结果确实不同，但这是因为Cisco/OpenDNS和Akamai使用EDNS客户端子网(ECS)参与了全球互联网加速项目。 继续阅读本文以了解这如何影响从DNS请求返回的IP。

这只影响赤舞吗？

否。这可能会影响任何使用ECS的CDN提供商。赤麦是最常见的一种。

什么是ECS？它如何发挥作用？

ECS代表EDNS客户端子网，是全球互联网加速项目的一部分，旨在改善全球分布式网站（尤其是CDN）的功能和速度。

不使用ECS:从当前DNS服务器请求DNS，然后DNS服务器查询域的授权DNS服务器，并返回要连接的服务器的IP地址。此服务器靠近所查询的DNS服务器，并且可能远离您的当前位置。查询的DNS服务器确定哪个区域的内容服务器用于提供答案。最终用户距离提供内容的服务器可能很远，从而导致速度缓慢。例如：巴西用户A查询本地DNS服务器集，该服务器集恰好是迈阿密的DNS服务器。位于迈阿密的DNS服务器为域返回一个靠近迈阿密的回复IP地址。用户A对下载速度太慢，而且来自美国感到沮丧。

使用ECS:递归DNS服务器的DNS在其发送给授权DNS服务器的DNS请求后附加了源子网（通常为/24）。域的授权服务器以自定义应答响应，响应其认为最接近的最佳服务器以满足最终用户的请求。用户可以在任何位置查询DNS服务器，但仍可获得本地服务器来提供内容。例如：巴西用户A查询本地DNS服务器集，该服务器集恰好是迈阿密的DNS服务器。DNS服务器在迈阿密启用了ECS，并将用户来自巴西子网的域传递到权威DNS服务器。然后返回位于巴西圣保罗的数据中心的回复IP地址作为域名。用户A对迈阿密的DNS服务器支持ECS并从内容提供商快速下载感到高兴。

使用Cisco Umbrella时会导致什么问题？

Cisco Umbrella的全局DNS网络和Akamai启用了ECS，因此以您当前的DNS出口子网的最佳服务器IP应答。当与某些ISP进行负载均衡时，或ISP的终端存在路由问题时，这会成为一个问题。例如，一个ISP可以拥有内部Akamai服务器，并将任何使用其ISP DNS服务器的用户定向到此本地服务器。然后，它们会阻止其他Akamai服务器的IP，以强制所有人都使用其本地Akamai服务器来节省传输成本。

切换到思科时，我们直接询问Akamai对于最终用户子网使用的最佳服务器是什么，Akamai直接响应。特别是在负载均衡连接中，Akamai可以返回ISP无法正确路由到的有效IP。

在此场景中，切换到Cisco Umbrella后，Akamai服务的内容间歇性地不加载。最常见的表现形式是新闻页面，例如加载为没有丰富内容的HTML线框。最常见的问题是ISP Time Warner Cable(RoadRunner)的问题。

请注意，Cisco Umbrella for Akamai内容返回的IP在这些情况下是有效的，并且ISP会超时，因为它未建立连接。要确认确实存在此类问题，请在位于不同网络连接类型的设备上（例如移动数据上的手机）上测试完全相同的IP。

如果您在响应Cisco Umbrella的DNS请求时未获得IP地址，则这是另一个问题。如需帮助，请联系support@umbrella.com。仅当页面未加载时，Cisco Umbrella才使用有效的Akamai IP地址响应。

如果发生这种情况，谁能提供帮助？

您的ISP是唯一能够帮助解决此问题的方。这是因为DNS请求返回一个IP地址，而ISP会将该IP地址超时，而世界其它地方可以连接到该IP。Cisco Umbrella已完成其返回有效IP地址以响应DNS请求的部分。ISP尚未完成将数据路由到此IP地址的过程。您对ISP的订用是为了允许访问Internet资源，但这是他们未能做到的。

ISP是唯一能够排除网络与对等体之间路由故障的；Cisco Umbrella没有可视性，无法修复此路由问题。我们只能显示正在返回有效的IP，且无法将其路由到。

示例：Domain.com是指IP 1.2.3.4的a1234.a.akamaiedge.net的CNAME。与1.2.3.4的连接超时。运行traceroute时，我们经过ISP经过8个步骤，但停止获得回报。

示例问题和解决方案：与ISP交谈之后，问题在于ISP的IP范围没有从Akamai返回到ISP空间内用户IP的返回路由。ISP提供了两种选择：1)等待Akamai添加一条返回此IP的路由，或者2)将ISP范围内的IP更改为具有从Akamai返回路由的IP。

需要帮助才能与您的ISP合作？我们可以帮助解释并提供证据，确认从Akamai A-record返回的IP通过我们的解析程序从Akamai有效。

故障排除提示

您认为此问题影响您但不确定？以下是一些有用的故障排除提示。我们的支持团队需要这些步骤才能为您提供帮助。收集此信息后，请联系support@umbrella.com寻求帮助。

1. 尝nslookup queries试对有问题的域使用。本示例使用www.foxnews.com，该站点在撰写本文时由Akamai提供支持。
   • nslookup www.foxnews.com
   • nslookup www.foxnews.com 8.8.8.8
   • nslookup www.foxnews.com 208.67.222.22
   • nslookup www.foxnews.com 208.67.220.220
2. 使用:traceroutes这取决于操作系统，tracert可以是(Windows)traceroute或(OS X)。 在本例中，您正在尝试跟踪FQDN以及在步骤1中获得的IP地址。
   • tracert www.foxnews.com
   • tracert <结果IP为nslookupwww.foxnews.com>
   • tracert nslookup <www.foxnews.com 8.8.8.8的结果IP>
   • tracert <结果IP nslookupwww.foxnews.com 208.67.222.222>
3. 收集无法访问的域和IP的列表，它们可以共享被您的ISP阻止的通用Akamai主机基础设施。