1  VPN服務(wù)的方式

    針對不同的用戶需求，目前VPN服務(wù)主要有三種方式:遠(yuǎn)程用戶訪問(Access VPN)、企業(yè)內(nèi)聯(lián)(Intranet VPN)和企業(yè)外聯(lián)(Extranet VPN)。

    1.1遠(yuǎn)程用戶服務(wù)

    企業(yè)局域網(wǎng)的服務(wù)器安裝了VPN軟件，就可以利用隧道技術(shù)及其特殊的加密通訊協(xié)議，在遠(yuǎn)程用戶和服務(wù)器之間創(chuàng)建一個跨越Intranet的虛擬專用網(wǎng)絡(luò)。遠(yuǎn)程用戶在異地上網(wǎng)后使用指定的帳號登錄VPN服務(wù)器，就能達到遠(yuǎn)程訪問的目的。遠(yuǎn)程用戶服務(wù)方式適用于單機用戶與企業(yè)VPN服務(wù)器之間的通信連接，例如公司流動人員在外地遠(yuǎn)程辦公。

    1.2企業(yè)內(nèi)聯(lián)服務(wù)

    在企業(yè)內(nèi)部網(wǎng)絡(luò)安裝一臺VPN服務(wù)器并對所有數(shù)據(jù)進行加密，然后指定一些符合特定身份要求的用戶才能連接本服務(wù)器，獲取訪問的權(quán)利。企業(yè)內(nèi)聯(lián)服務(wù)方式可以保證重要信息在整個企業(yè)內(nèi)部網(wǎng)上安全傳輸，適用于企業(yè)局域網(wǎng)中存儲有重要數(shù)據(jù)的部門和特殊用戶在內(nèi)網(wǎng)里安全通信。

    1.3企業(yè)外聯(lián)服務(wù)

    企業(yè)外聯(lián)服務(wù)是指企業(yè)分支機構(gòu)、客戶或合作伙伴各自所在的局域網(wǎng)與本企業(yè)內(nèi)部網(wǎng)之間的VPN通信。是基于各自的VPN設(shè)備及其加密通訊協(xié)議，采用撥號或?qū)＞�通過Intranet公共資源相互接人。此方式適用于將客戶、供應(yīng)商、合作伙伴安全可靠地連接到本地企業(yè)內(nèi)部網(wǎng)并相互通信。

2 VPN服務(wù)的實現(xiàn)

    目前主流的VPN服務(wù)實現(xiàn)模式有兩種。一是基于VPN服務(wù)器，適用于遠(yuǎn)程用戶和企業(yè)內(nèi)聯(lián)服務(wù)方式;二是基于V PN路由器，適用于企業(yè)外聯(lián)服務(wù)方式。

    2.1 VPN服務(wù)器

    VPN服務(wù)器是主要是利用Windows Server2003自帶的VPN軟件或第三方VPN軟件安裝而生成，其主要職能是執(zhí)行路由和遠(yuǎn)程訪問服務(wù)，當(dāng)一個進入VPN網(wǎng)絡(luò)的請求被批準(zhǔn)，VPN服務(wù)器接收并驗證該請求無誤后，就充當(dāng)一臺路由器向這個VPN客戶機提供虛擬專用網(wǎng)絡(luò)的接入，然后執(zhí)行數(shù)據(jù)打包和解包等與通信有關(guān)的工作。VPN服務(wù)器的搭建主要是添加網(wǎng)卡、路由、遠(yuǎn)程訪問服務(wù)組件、設(shè)置內(nèi)外網(wǎng)卡的各項IP參數(shù)、創(chuàng)建VPN服務(wù)的用戶帳號及其遠(yuǎn)程訪問權(quán)限等。

    VPN客戶機只要設(shè)置好本機的虛擬專用網(wǎng)絡(luò)連接選項，再輸入指定的訪問VPN服務(wù)器的合法帳號和密碼，就可以安全地享受相應(yīng)的數(shù)據(jù)服務(wù)了。

    2.2 VPN路由器

    VPN路由器專為不同企業(yè)之間的VPN用戶提供路由，由于它在隧道處理能力與硬件加密等方面具備特定的能力，故屬于專用路由器。VPN路由器自身裝備了各種不同的VPN協(xié)議，例如IPsec,PPTP, L2TP或SSL，并通過軟件工具來運行這些VPN協(xié)議。VPN路由器之所以能取代VPN服務(wù)器建立VPN連接。是因為具有以下功能：

    1)支持安全的站點間和遠(yuǎn)程接人VPN，可以支持最多4000條IPSec隧道，其3DES加密的分組轉(zhuǎn)發(fā)速率高達155Mbps;支持56位DES和168位3DES加密，并具有HMAC-MDS和HMAC-SHAT報文驗證功能;會話密鑰可通過IKE進行動態(tài)管理。

    2)支持用戶級驗證，包括本地口令、遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS )或通過X.509v3格式化數(shù)字認(rèn)證;支持IPCP, PAP/CHAP, MLPPP和可選的IPSec安全性。

    3)支持傳統(tǒng)的數(shù)據(jù)訪問應(yīng)用以及目前和未來的新廣域網(wǎng)服務(wù);支持集成的多服務(wù)語音/傳真/數(shù)據(jù)應(yīng)用。

    4)支持VPN pass through功能，即客戶機可以順利與VPN路由器建立連接;具有VPN server的所有功能，例如Linksys RV082, NETGEARFVL328, DrayTek Vigor 2900DWnet, SAFEcon50。

    VPN路由器只要完成預(yù)置共享密鑰、SA協(xié)商過程的IKE, IPSec等配置就可以投人使用，而客戶機則不用安裝VPN客戶端軟件就能實施不同網(wǎng)絡(luò)之間的遠(yuǎn)程訪問。

3 VPN服務(wù)故障的現(xiàn)象與成因

    無論采用哪一種VPN服務(wù)方式，當(dāng)它發(fā)生故障時必定涉及到服務(wù)端和客戶端，必然跨越本地網(wǎng)不同的網(wǎng)段和設(shè)備，或者跨越另一個同樣包含路由器與防火墻的ISP網(wǎng)絡(luò)。由于數(shù)據(jù)在到達目的地之前需要在許多連接上進行傳送，若這些連接發(fā)生故障時，或許不屬于VPN服務(wù)故障但又摻雜其中，給VPN服務(wù)故障的分析和排查帶來了一定的難度。假設(shè)在局域網(wǎng)的數(shù)據(jù)鏈路和其他服務(wù)運行正常的前提下，現(xiàn)在列舉一些最常見的VPN服務(wù)故障現(xiàn)象及其成因。

    3.1 VPN連接故障

    VPN連接故障是指進人VPN服務(wù)之前的有效連接無法建立和開通，典型的故障表現(xiàn)有如下兩種。

    3.1.1 VPN連接不能創(chuàng)建

    在本地主機新建一個VPN連接時，看到創(chuàng)建向?qū)Ы缑嬷小癡PN連接”選項和“撥號到專用網(wǎng)絡(luò)”選項都處于灰色不可選狀態(tài)，以致VPN連接無法創(chuàng)建。故障原因主要是:

    1)本地主機的操作系統(tǒng)中與VPN連接相關(guān)文件受損。

    2)與創(chuàng)建VPN連接相關(guān)的遠(yuǎn)程服務(wù)工作狀態(tài)不正常，例如Remote Access Connection Manager系統(tǒng)服務(wù)被意外關(guān)閉運行。

    3.1.2 VPN連接失敗

    完成VPN連接創(chuàng)建并設(shè)置好有關(guān)網(wǎng)絡(luò)參數(shù)后，打開連接對話框，反復(fù)單擊“連接”按鈕時，桌面卻出現(xiàn)連接失敗的提示，或者屏幕右下角沒有出現(xiàn)已連接成功的計算機圖標(biāo)。故障原因主要是:

    1) VPN連接參數(shù)設(shè)置錯誤，例如帳戶、密碼和撥人權(quán)限、VPN服務(wù)的IP指向等。

    2)本地系統(tǒng)沒有啟用或者被暫時關(guān)閉已默認(rèn)的路由功能。

    3)  VPN的接入設(shè)備例如寬帶路由器不支持VPN協(xié)議，或者路由器的VPN連接功能未打開;VPN服務(wù)器或VPN路由器自身出現(xiàn)一些暫時未知故障。

    3.2 VPN訪問故障

    VPN訪問故障是指網(wǎng)絡(luò)雖然連接成功，但訪問服務(wù)卻失敗，常見的故障表現(xiàn)如下。

    1)客戶端可以遠(yuǎn)程登錄目的地局域網(wǎng)，但卻無法訪問網(wǎng)內(nèi)的服務(wù)器或其他主機，并出現(xiàn)無法訪問的故障提示。故障原因主要是:

    (1)遠(yuǎn)程客戶機沒有安裝NetBELJI協(xié)議，導(dǎo)致不能建立網(wǎng)絡(luò)訪問的輸出輸入關(guān)系。

    (2)與目的地局域網(wǎng)連接的TCP/IP設(shè)置方式不同，例如目的地局域網(wǎng)采用DHCP方式為本地各主機動態(tài)分配IP地址，而遠(yuǎn)程客戶機手動設(shè)置固定的IP地址，結(jié)果無法從VPN服務(wù)器中獲取對應(yīng)的IP地址而造成訪問失敗。

    (3)遠(yuǎn)程客戶機訪問的資源使用權(quán)限設(shè)置不正確，或者該帳戶在組策略中已被鎖死，任何訪問都被拒絕。

    2)在局域網(wǎng)的客戶端不能同時請求Internet和VPN服務(wù)。局域網(wǎng)內(nèi)的各主機本來可以正常訪問Internet，但開啟VPN連接服務(wù)之后就不能上網(wǎng)了，必須退出當(dāng)前的VPN連接才可以重新訪問Internet。故障原因主要是:

    在客戶端若同時啟用Internet和VPN連接服務(wù)，則客戶端的主機就會自動屏蔽原來默認(rèn)的Internet連接網(wǎng)關(guān)而指向VPN服務(wù)器的網(wǎng)關(guān)，因而導(dǎo)致開啟VPN連接服務(wù)之后就無法上網(wǎng)。

    3)用戶能夠連接遠(yuǎn)程VPN服務(wù)器，但不能訪問企業(yè)網(wǎng)絡(luò)內(nèi)的任何資源，不能解析主機名，甚至也不能ping通企業(yè)網(wǎng)絡(luò)里的任何主機。故障原因主要是:

    (1)該用戶所在的網(wǎng)絡(luò)與VPN服務(wù)器所在的企業(yè)網(wǎng)絡(luò)使用的是同樣的網(wǎng)絡(luò)ID號。例如，該用戶網(wǎng)絡(luò)使用的ID是10.0.0.0!24，如果企業(yè)網(wǎng)也使用了10.0.0.0/24這個ID，那么它們就不能互訪，因為VPN客戶端主機會把目標(biāo)地址當(dāng)作本地網(wǎng)絡(luò)地址，所以就不會通過VPN界面連接到遠(yuǎn)程網(wǎng)絡(luò)上。

    (2) VPN客戶端連接的VPN服務(wù)器/防火墻設(shè)備上的規(guī)則不允許該客戶端訪問企業(yè)網(wǎng)絡(luò)里的資源，除非修改防火墻的配置，否則不能允許VPN客戶端訪問所需的網(wǎng)絡(luò)資源。

    3.3 VPN路由器故障

    由于企業(yè)外聯(lián)服務(wù)方式多為跨地域、跨網(wǎng)段地進行，業(yè)務(wù)覆蓋范圍比較大，通常都使用VPN路由器去實現(xiàn)，因此VPN路由器的故障很有代表性，而且直接影響VPN外聯(lián)服務(wù)的質(zhì)量。VPN路由器的故障主要集中在物理故障、接口故障和配置故障這三個方面。

    3.3.1物理故障

    1)通電之后無響應(yīng):表現(xiàn)為接通路由器的電源開關(guān)時，電源燈不亮，風(fēng)扇不轉(zhuǎn)，路由器沒有響應(yīng)。

    2)部件物理損壞:表現(xiàn)為系統(tǒng)無法識別接口卡等外插部件，或者可以被識別，但配置正確完成后，接口不能正常工作。

    3)系統(tǒng)配置文件損壞:路由器的系統(tǒng)配置文件是固化在硬件集成芯片中的，若該芯片組有問題，路由器就不能正常工作。例如開機后總是進入rmon狀態(tài)，就說明系統(tǒng)配置文件IOS存在問題。

    3.3.2接口故障

    1)同步串口故障:表現(xiàn)為VPN路由的連通性問題，例如串口運行及線路協(xié)議關(guān)閉，或者接口和線路協(xié)議都在運行，但路由器仍然不斷丟包。

    2)以太接口故障:表現(xiàn)為帶寬的過分利用、碰撞沖突頻繁、信息包丟失，出現(xiàn)不兼容的幀類型等。

    3)異步串口故障:表現(xiàn)為在通過異步鏈路傳輸基于LAN通信量時丟失緩沖區(qū)和數(shù)據(jù)信息包。

    3.3.3配置故障

    1) IPsec中的AH協(xié)議與NAT沖突。AH用驗證算法保護包括IP頭在內(nèi)的整個報文不被修改，而執(zhí)行NAT，功能則要修改IP報文，結(jié)果是修改過的報文到達目的地肯定無法通過驗證。

    2) IKE與NAPT沖突。IKE的協(xié)商端口一般固定為500，若多個主機連接一臺NAT設(shè)備且與同一目標(biāo)主機協(xié)商IKE SA時，目標(biāo)主機的報文需要由NAPT分路到不同的源主機，典型的做法是轉(zhuǎn)換內(nèi)部主機IKE的UDP源端口。但是，在重建密鑰時經(jīng)常會出現(xiàn)不可知錯誤，除非修改的源端口在重建密鑰時用作目的端口。

    3) SA(安全關(guān)聯(lián))錯誤。當(dāng)多個主機連接一臺NAT設(shè)備并與同一個目標(biāo)主機協(xié)商安全策略庫(SPD)的內(nèi)容時，可能發(fā)送到錯誤的SA中去，因為在目標(biāo)機看來，這些SA并沒有差別，都是存在于同一對主機之間。

4 VPN服務(wù)故障的系統(tǒng)化診斷

    VPN服務(wù)的內(nèi)容包括了多個連接和應(yīng)用服務(wù)，例如數(shù)據(jù)庫服務(wù)、文件服務(wù)、FTP服務(wù)和WEB服務(wù)等。既基于Internet又受制于Internet，例如訪問速度和配置兼容問題。由于VPN服務(wù)的牽涉面廣，發(fā)生故障時往往跟局域網(wǎng)的一些常見故障糾結(jié)在一起，如果沒有一個系統(tǒng)化的流程和方法，其診斷和處理可能要較長時間。以下給出一個VPN服務(wù)故障系統(tǒng)化診斷流程圖和具體說明。

    4.1 故障診斷流程

    如圖1所示。

圖1 故障診斷流程圖

    4.2故障診斷流程詳解

    以遠(yuǎn)程用戶或企業(yè)外聯(lián)服務(wù)方式的VPN故障為診斷原型。

    1)檢查VPN連接設(shè)備。當(dāng)VPN服務(wù)發(fā)生故障的時候，首先在服務(wù)端進行排查，對VPN連接設(shè)備實施一系列檢測，例如網(wǎng)卡1P參數(shù)、路由和遠(yuǎn)程訪問功能窗口設(shè)置、用戶的帳號、撥入權(quán)限等;檢查VPN路由器是否出現(xiàn)軟硬件故障，相關(guān)的VPN設(shè)置是否發(fā)生了變化等。所有檢測工作完成后，在服務(wù)端的網(wǎng)絡(luò)就近選一工作站直接訪問VPN服務(wù)器或VPN路由器，若通則可確定VPN連接正常;反之應(yīng)繼續(xù)查找未知故障。

    2)檢查被訪問的應(yīng)用服務(wù)器。如果VPN連接正常之后訪問還未成功，可任選一主機在內(nèi)網(wǎng)就近訪問該應(yīng)用服務(wù)器，若正常說明應(yīng)用服務(wù)器及其數(shù)據(jù)鏈路是正常的;若訪問失敗就首先檢查應(yīng)用服務(wù)器的工作狀態(tài)和服務(wù)設(shè)置是否正確，沒有問題就下一步。

    3)檢查核心交換機的性能與端口設(shè)置。如果Ping不通應(yīng)用服務(wù)器與VPN服務(wù)器或VPN路由器之間的連接鏈路，就要檢查核心層的主交換機，通過觀察交換機端口指示燈的工作狀態(tài)，大致判斷與VPN連接相關(guān)的端口是否有問題，檢查原來的路由設(shè)置有無擅自發(fā)生變化。有故障立即處理，無故障就下一步。

    4)檢查傳輸介質(zhì)。如果核心交換機部份無故障，就要檢查VPN服務(wù)器或VPN路由器與交換機之間、應(yīng)用服務(wù)器與交換機之間和外網(wǎng)接人的傳輸介質(zhì)，如果出現(xiàn)開路、短路或接觸不良的故障現(xiàn)象，就會阻隔VPN與應(yīng)用服務(wù)之間的數(shù)據(jù)傳輸。

    上述四個排查及處理步驟完成之后，意味著服務(wù)器端已經(jīng)正常，如果VPN服務(wù)故障還未消除，問題必然發(fā)生在來訪的客戶端。應(yīng)到客戶端現(xiàn)場繼續(xù)排障:

    5)檢查客戶端網(wǎng)絡(luò)的路由器、交換機、用戶網(wǎng)卡及其網(wǎng)絡(luò)參數(shù)的設(shè)置。如果一個局域網(wǎng)的用戶要進行VPN遠(yuǎn)程訪問時，必經(jīng)本地網(wǎng)絡(luò)的接入設(shè)備和互聯(lián)設(shè)備，即網(wǎng)卡、交換機和路由器，如果這些設(shè)備任一個有故障，用戶就不能連接到外網(wǎng)及VPN。這一個步驟主要是檢查用戶端所在的網(wǎng)絡(luò)連通狀況，指的是從用戶主機到網(wǎng)絡(luò)出口這段傳輸鏈路，包括線纜，網(wǎng)卡，接入層、匯聚層、核心層交換機以及路由設(shè)備，確認(rèn)它們的運行狀態(tài)和完好率。

    6)檢查遠(yuǎn)程連接是否成功。在確認(rèn)客戶端的網(wǎng)絡(luò)連通無故障或存在問題已經(jīng)成功解決之后，嘗試在用戶主機的VPN連接窗口進行遠(yuǎn)程訪問連接，如果成功就進入下一步;如果失敗就檢查遠(yuǎn)程連接的所有設(shè)置步驟，包括網(wǎng)關(guān)、DNS, NAT,以及外網(wǎng)IP地址是否與被訪問的VPN服務(wù)器輸出端IP地址同一網(wǎng)段。必要時重新創(chuàng)建遠(yuǎn)程連接，若問題仍未解決，再認(rèn)真核實本機用戶帳號及密碼是否正確。

    7)檢查遠(yuǎn)程訪間是否成功。遠(yuǎn)程連接成功意味著訪問通道已經(jīng)順利建立，如果不能訪問到自己所需的應(yīng)用服務(wù)器，應(yīng)該檢查被訪應(yīng)用服務(wù)器的域名、機名或IP地址等有關(guān)的名稱標(biāo)識，如果都正確那就是客戶端主機的操作系統(tǒng)故障了，當(dāng)問題簡單到這種程度，相信馬上就可以得到解決。

5結(jié)論

    VPN服務(wù)的高度安全、高性價比和組網(wǎng)方式的簡捷性特別適用那些地域跨度大而數(shù)據(jù)保密要求高的用戶，成為許多國家機密單位和重點工商企業(yè)在網(wǎng)絡(luò)服務(wù)上的首選。當(dāng)前VPN服務(wù)的技術(shù)實現(xiàn)易，故障診斷難的困擾，源于VPN服務(wù)故障與局域網(wǎng)的常規(guī)故障經(jīng)常不可避免地?fù)诫s為復(fù)合故障，因此增加了排查的難度和時間，阻礙了用戶的正常工作。如果能夠不斷總結(jié)實戰(zhàn)經(jīng)驗，遵循一定的排查規(guī)律，系統(tǒng)化地建立高效的排查流程，對VPN服務(wù)故障作出精確的診斷，相信能在最短時間內(nèi)修復(fù)VPN服務(wù)故障。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：VPN服務(wù)故障的分析與系統(tǒng)化診斷

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083946844.html