最近帮几个客户处理高防IP的域名解析故障，发现不少朋友在防护节点部署时踩了同样的坑。今天把高频问题梳理成实操方案，遇到问题直接翻这条清单，能省下不少排查时间。

一、防护解析死活不生效？先查这三条

上周深夜接到紧急电话，客户切高防后流量死活不进清洗节点。排查时发现：

1. TTL值没提前缩 - 老DNS记录TTL设了7200秒（2小时），切换时没提前调低到300秒。结果全国递归DNS缓存没更新，流量继续走源站IP被打挂。

操作建议：迁移前48小时把TTL压到最低，用dig @8.8.8.8 yourdomain.com看各地DNS缓存是否刷新。

二、高防回源失败？多半是白名单没配

防护流量进清洗节点后，经常卡在回源阶段。最常见两个雷区：

源站防火墙拦了高防节点IP - 清洗集群的出口IP没加到云服务器白名单。某次客户源站用安全组只放了自家办公室IP，高防回源全被拒。

高防平台要手动开端口 - 很多人以为配了80/443就行，实际像TCP 3306数据库端口必须单独配置转发策略。曾遇到客户Mysql连不上，折腾半天发现高防控制台没放行数据库端口。

三、流量切高防后访问卡成PPT？查线路调度

某电商大促时切高防，北方用户突然访问超时。根本原因是：

默认解析策略没开分线路 - 电信用户被调度到联通节点，跨网延迟暴涨200ms。后来在DNS服务商后台配置分省智能解析，电信请求指到电信高防IP，卡顿立减。

突发流量超清洗阈值 - 清洗集群单节点默认防护值20Gbps，某客户直播活动流量峰值冲到45G。提前联系厂商调高弹性防护值才扛住。

四、SSL证书报错？小心这三个配置

HTTPS站点配高防时证书错误高发：

证书没传到高防平台 - 清洗节点要独立部署证书。见过客户只在源站配了证书，结果用户到高防链路无证书可用。

SNI配置踩坑 - 多个域名用同一高防IP时，必须在控制台绑定对应证书的域名。某企业因未配SNI，用户访问总是收到默认证书告警。

证书链不完整 - 高防平台要求上传包含中间CA的完整链，少个环节就触发浏览器不信任。

五、CNAME解析反复掉线？检查解析冲突

最隐蔽的故障：某客户CNAME记录每小时自动消失。最终挖出：

历史A记录没删干净 - DNS服务商存在同名A记录残留，CNAME被系统判定冲突失效。

CNAME值带结尾点 - 把防护商提供的"xxx.cname.gddp.com."（含结尾点）完整复制，少个点解析直接罢工。

搞高防解析就像给服务器穿防弹衣，一个小纽扣没扣好防护就失效。下次遇到解析故障时，先顺着这条清单过一遍：查TTL、验白名单、调线路、核证书、清冲突。省下找客服排队的功夫，够喝三杯咖啡了。