1 VPN服務(wù)的方式
針對(duì)不同的用戶需求,目前VPN服務(wù)主要有三種方式:遠(yuǎn)程用戶訪問(Access VPN)、企業(yè)內(nèi)聯(lián)(Intranet VPN)和企業(yè)外聯(lián)(Extranet VPN)。
1.1遠(yuǎn)程用戶服務(wù)
企業(yè)局域網(wǎng)的服務(wù)器安裝了VPN軟件,就可以利用隧道技術(shù)及其特殊的加密通訊協(xié)議,在遠(yuǎn)程用戶和服務(wù)器之間創(chuàng)建一個(gè)跨越Intranet的虛擬專用網(wǎng)絡(luò)。遠(yuǎn)程用戶在異地上網(wǎng)后使用指定的帳號(hào)登錄VPN服務(wù)器,就能達(dá)到遠(yuǎn)程訪問的目的。遠(yuǎn)程用戶服務(wù)方式適用于單機(jī)用戶與企業(yè)VPN服務(wù)器之間的通信連接,例如公司流動(dòng)人員在外地遠(yuǎn)程辦公。
1.2企業(yè)內(nèi)聯(lián)服務(wù)
在企業(yè)內(nèi)部網(wǎng)絡(luò)安裝一臺(tái)VPN服務(wù)器并對(duì)所有數(shù)據(jù)進(jìn)行加密,然后指定一些符合特定身份要求的用戶才能連接本服務(wù)器,獲取訪問的權(quán)利。企業(yè)內(nèi)聯(lián)服務(wù)方式可以保證重要信息在整個(gè)企業(yè)內(nèi)部網(wǎng)上安全傳輸,適用于企業(yè)局域網(wǎng)中存儲(chǔ)有重要數(shù)據(jù)的部門和特殊用戶在內(nèi)網(wǎng)里安全通信。
1.3企業(yè)外聯(lián)服務(wù)
企業(yè)外聯(lián)服務(wù)是指企業(yè)分支機(jī)構(gòu)、客戶或合作伙伴各自所在的局域網(wǎng)與本企業(yè)內(nèi)部網(wǎng)之間的VPN通信。是基于各自的VPN設(shè)備及其加密通訊協(xié)議,采用撥號(hào)或?qū)>通過Intranet公共資源相互接人。此方式適用于將客戶、供應(yīng)商、合作伙伴安全可靠地連接到本地企業(yè)內(nèi)部網(wǎng)并相互通信。
2 VPN服務(wù)的實(shí)現(xiàn)
目前主流的VPN服務(wù)實(shí)現(xiàn)模式有兩種。一是基于VPN服務(wù)器,適用于遠(yuǎn)程用戶和企業(yè)內(nèi)聯(lián)服務(wù)方式;二是基于V PN路由器,適用于企業(yè)外聯(lián)服務(wù)方式。
2.1 VPN服務(wù)器
VPN服務(wù)器是主要是利用Windows Server2003自帶的VPN軟件或第三方VPN軟件安裝而生成,其主要職能是執(zhí)行路由和遠(yuǎn)程訪問服務(wù),當(dāng)一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn),VPN服務(wù)器接收并驗(yàn)證該請(qǐng)求無誤后,就充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶機(jī)提供虛擬專用網(wǎng)絡(luò)的接入,然后執(zhí)行數(shù)據(jù)打包和解包等與通信有關(guān)的工作。VPN服務(wù)器的搭建主要是添加網(wǎng)卡、路由、遠(yuǎn)程訪問服務(wù)組件、設(shè)置內(nèi)外網(wǎng)卡的各項(xiàng)IP參數(shù)、創(chuàng)建VPN服務(wù)的用戶帳號(hào)及其遠(yuǎn)程訪問權(quán)限等。
VPN客戶機(jī)只要設(shè)置好本機(jī)的虛擬專用網(wǎng)絡(luò)連接選項(xiàng),再輸入指定的訪問VPN服務(wù)器的合法帳號(hào)和密碼,就可以安全地享受相應(yīng)的數(shù)據(jù)服務(wù)了。
2.2 VPN路由器
VPN路由器專為不同企業(yè)之間的VPN用戶提供路由,由于它在隧道處理能力與硬件加密等方面具備特定的能力,故屬于專用路由器。VPN路由器自身裝備了各種不同的VPN協(xié)議,例如IPsec,PPTP, L2TP或SSL,并通過軟件工具來運(yùn)行這些VPN協(xié)議。VPN路由器之所以能取代VPN服務(wù)器建立VPN連接。是因?yàn)榫哂幸韵鹿δ埽?/p>
1)支持安全的站點(diǎn)間和遠(yuǎn)程接人VPN,可以支持最多4000條IPSec隧道,其3DES加密的分組轉(zhuǎn)發(fā)速率高達(dá)155Mbps;支持56位DES和168位3DES加密,并具有HMAC-MDS和HMAC-SHAT報(bào)文驗(yàn)證功能;會(huì)話密鑰可通過IKE進(jìn)行動(dòng)態(tài)管理。
2)支持用戶級(jí)驗(yàn)證,包括本地口令、遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS )或通過X.509v3格式化數(shù)字認(rèn)證;支持IPCP, PAP/CHAP, MLPPP和可選的IPSec安全性。
3)支持傳統(tǒng)的數(shù)據(jù)訪問應(yīng)用以及目前和未來的新廣域網(wǎng)服務(wù);支持集成的多服務(wù)語(yǔ)音/傳真/數(shù)據(jù)應(yīng)用。
4)支持VPN pass through功能,即客戶機(jī)可以順利與VPN路由器建立連接;具有VPN server的所有功能,例如Linksys RV082, NETGEARFVL328, DrayTek Vigor 2900DWnet, SAFEcon50。
VPN路由器只要完成預(yù)置共享密鑰、SA協(xié)商過程的IKE, IPSec等配置就可以投人使用,而客戶機(jī)則不用安裝VPN客戶端軟件就能實(shí)施不同網(wǎng)絡(luò)之間的遠(yuǎn)程訪問。
3 VPN服務(wù)故障的現(xiàn)象與成因
無論采用哪一種VPN服務(wù)方式,當(dāng)它發(fā)生故障時(shí)必定涉及到服務(wù)端和客戶端,必然跨越本地網(wǎng)不同的網(wǎng)段和設(shè)備,或者跨越另一個(gè)同樣包含路由器與防火墻的ISP網(wǎng)絡(luò)。由于數(shù)據(jù)在到達(dá)目的地之前需要在許多連接上進(jìn)行傳送,若這些連接發(fā)生故障時(shí),或許不屬于VPN服務(wù)故障但又摻雜其中,給VPN服務(wù)故障的分析和排查帶來了一定的難度。假設(shè)在局域網(wǎng)的數(shù)據(jù)鏈路和其他服務(wù)運(yùn)行正常的前提下,現(xiàn)在列舉一些最常見的VPN服務(wù)故障現(xiàn)象及其成因。
3.1 VPN連接故障
VPN連接故障是指進(jìn)人VPN服務(wù)之前的有效連接無法建立和開通,典型的故障表現(xiàn)有如下兩種。
3.1.1 VPN連接不能創(chuàng)建
在本地主機(jī)新建一個(gè)VPN連接時(shí),看到創(chuàng)建向?qū)Ы缑嬷小癡PN連接”選項(xiàng)和“撥號(hào)到專用網(wǎng)絡(luò)”選項(xiàng)都處于灰色不可選狀態(tài),以致VPN連接無法創(chuàng)建。故障原因主要是:
1)本地主機(jī)的操作系統(tǒng)中與VPN連接相關(guān)文件受損。
2)與創(chuàng)建VPN連接相關(guān)的遠(yuǎn)程服務(wù)工作狀態(tài)不正常,例如Remote Access Connection Manager系統(tǒng)服務(wù)被意外關(guān)閉運(yùn)行。
3.1.2 VPN連接失敗
完成VPN連接創(chuàng)建并設(shè)置好有關(guān)網(wǎng)絡(luò)參數(shù)后,打開連接對(duì)話框,反復(fù)單擊“連接”按鈕時(shí),桌面卻出現(xiàn)連接失敗的提示,或者屏幕右下角沒有出現(xiàn)已連接成功的計(jì)算機(jī)圖標(biāo)。故障原因主要是:
1) VPN連接參數(shù)設(shè)置錯(cuò)誤,例如帳戶、密碼和撥人權(quán)限、VPN服務(wù)的IP指向等。
2)本地系統(tǒng)沒有啟用或者被暫時(shí)關(guān)閉已默認(rèn)的路由功能。
3) VPN的接入設(shè)備例如寬帶路由器不支持VPN協(xié)議,或者路由器的VPN連接功能未打開;VPN服務(wù)器或VPN路由器自身出現(xiàn)一些暫時(shí)未知故障。
3.2 VPN訪問故障
VPN訪問故障是指網(wǎng)絡(luò)雖然連接成功,但訪問服務(wù)卻失敗,常見的故障表現(xiàn)如下。
1)客戶端可以遠(yuǎn)程登錄目的地局域網(wǎng),但卻無法訪問網(wǎng)內(nèi)的服務(wù)器或其他主機(jī),并出現(xiàn)無法訪問的故障提示。故障原因主要是:
(1)遠(yuǎn)程客戶機(jī)沒有安裝NetBELJI協(xié)議,導(dǎo)致不能建立網(wǎng)絡(luò)訪問的輸出輸入關(guān)系。
(2)與目的地局域網(wǎng)連接的TCP/IP設(shè)置方式不同,例如目的地局域網(wǎng)采用DHCP方式為本地各主機(jī)動(dòng)態(tài)分配IP地址,而遠(yuǎn)程客戶機(jī)手動(dòng)設(shè)置固定的IP地址,結(jié)果無法從VPN服務(wù)器中獲取對(duì)應(yīng)的IP地址而造成訪問失敗。
(3)遠(yuǎn)程客戶機(jī)訪問的資源使用權(quán)限設(shè)置不正確,或者該帳戶在組策略中已被鎖死,任何訪問都被拒絕。
2)在局域網(wǎng)的客戶端不能同時(shí)請(qǐng)求Internet和VPN服務(wù)。局域網(wǎng)內(nèi)的各主機(jī)本來可以正常訪問Internet,但開啟VPN連接服務(wù)之后就不能上網(wǎng)了,必須退出當(dāng)前的VPN連接才可以重新訪問Internet。故障原因主要是:
在客戶端若同時(shí)啟用Internet和VPN連接服務(wù),則客戶端的主機(jī)就會(huì)自動(dòng)屏蔽原來默認(rèn)的Internet連接網(wǎng)關(guān)而指向VPN服務(wù)器的網(wǎng)關(guān),因而導(dǎo)致開啟VPN連接服務(wù)之后就無法上網(wǎng)。
3)用戶能夠連接遠(yuǎn)程VPN服務(wù)器,但不能訪問企業(yè)網(wǎng)絡(luò)內(nèi)的任何資源,不能解析主機(jī)名,甚至也不能ping通企業(yè)網(wǎng)絡(luò)里的任何主機(jī)。故障原因主要是:
(1)該用戶所在的網(wǎng)絡(luò)與VPN服務(wù)器所在的企業(yè)網(wǎng)絡(luò)使用的是同樣的網(wǎng)絡(luò)ID號(hào)。例如,該用戶網(wǎng)絡(luò)使用的ID是10.0.0.0!24,如果企業(yè)網(wǎng)也使用了10.0.0.0/24這個(gè)ID,那么它們就不能互訪,因?yàn)閂PN客戶端主機(jī)會(huì)把目標(biāo)地址當(dāng)作本地網(wǎng)絡(luò)地址,所以就不會(huì)通過VPN界面連接到遠(yuǎn)程網(wǎng)絡(luò)上。
(2) VPN客戶端連接的VPN服務(wù)器/防火墻設(shè)備上的規(guī)則不允許該客戶端訪問企業(yè)網(wǎng)絡(luò)里的資源,除非修改防火墻的配置,否則不能允許VPN客戶端訪問所需的網(wǎng)絡(luò)資源。
3.3 VPN路由器故障
由于企業(yè)外聯(lián)服務(wù)方式多為跨地域、跨網(wǎng)段地進(jìn)行,業(yè)務(wù)覆蓋范圍比較大,通常都使用VPN路由器去實(shí)現(xiàn),因此VPN路由器的故障很有代表性,而且直接影響VPN外聯(lián)服務(wù)的質(zhì)量。VPN路由器的故障主要集中在物理故障、接口故障和配置故障這三個(gè)方面。
3.3.1物理故障
1)通電之后無響應(yīng):表現(xiàn)為接通路由器的電源開關(guān)時(shí),電源燈不亮,風(fēng)扇不轉(zhuǎn),路由器沒有響應(yīng)。
2)部件物理?yè)p壞:表現(xiàn)為系統(tǒng)無法識(shí)別接口卡等外插部件,或者可以被識(shí)別,但配置正確完成后,接口不能正常工作。
3)系統(tǒng)配置文件損壞:路由器的系統(tǒng)配置文件是固化在硬件集成芯片中的,若該芯片組有問題,路由器就不能正常工作。例如開機(jī)后總是進(jìn)入rmon狀態(tài),就說明系統(tǒng)配置文件IOS存在問題。
3.3.2接口故障
1)同步串口故障:表現(xiàn)為VPN路由的連通性問題,例如串口運(yùn)行及線路協(xié)議關(guān)閉,或者接口和線路協(xié)議都在運(yùn)行,但路由器仍然不斷丟包。
2)以太接口故障:表現(xiàn)為帶寬的過分利用、碰撞沖突頻繁、信息包丟失,出現(xiàn)不兼容的幀類型等。
3)異步串口故障:表現(xiàn)為在通過異步鏈路傳輸基于LAN通信量時(shí)丟失緩沖區(qū)和數(shù)據(jù)信息包。
3.3.3配置故障
1) IPsec中的AH協(xié)議與NAT沖突。AH用驗(yàn)證算法保護(hù)包括IP頭在內(nèi)的整個(gè)報(bào)文不被修改,而執(zhí)行NAT,功能則要修改IP報(bào)文,結(jié)果是修改過的報(bào)文到達(dá)目的地肯定無法通過驗(yàn)證。
2) IKE與NAPT沖突。IKE的協(xié)商端口一般固定為500,若多個(gè)主機(jī)連接一臺(tái)NAT設(shè)備且與同一目標(biāo)主機(jī)協(xié)商IKE SA時(shí),目標(biāo)主機(jī)的報(bào)文需要由NAPT分路到不同的源主機(jī),典型的做法是轉(zhuǎn)換內(nèi)部主機(jī)IKE的UDP源端口。但是,在重建密鑰時(shí)經(jīng)常會(huì)出現(xiàn)不可知錯(cuò)誤,除非修改的源端口在重建密鑰時(shí)用作目的端口。
3) SA(安全關(guān)聯(lián))錯(cuò)誤。當(dāng)多個(gè)主機(jī)連接一臺(tái)NAT設(shè)備并與同一個(gè)目標(biāo)主機(jī)協(xié)商安全策略庫(kù)(SPD)的內(nèi)容時(shí),可能發(fā)送到錯(cuò)誤的SA中去,因?yàn)樵谀繕?biāo)機(jī)看來,這些SA并沒有差別,都是存在于同一對(duì)主機(jī)之間。
4 VPN服務(wù)故障的系統(tǒng)化診斷
VPN服務(wù)的內(nèi)容包括了多個(gè)連接和應(yīng)用服務(wù),例如數(shù)據(jù)庫(kù)服務(wù)、文件服務(wù)、FTP服務(wù)和WEB服務(wù)等。既基于Internet又受制于Internet,例如訪問速度和配置兼容問題。由于VPN服務(wù)的牽涉面廣,發(fā)生故障時(shí)往往跟局域網(wǎng)的一些常見故障糾結(jié)在一起,如果沒有一個(gè)系統(tǒng)化的流程和方法,其診斷和處理可能要較長(zhǎng)時(shí)間。以下給出一個(gè)VPN服務(wù)故障系統(tǒng)化診斷流程圖和具體說明。
4.1 故障診斷流程
如圖1所示。
圖1 故障診斷流程圖
4.2故障診斷流程詳解
以遠(yuǎn)程用戶或企業(yè)外聯(lián)服務(wù)方式的VPN故障為診斷原型。
1)檢查VPN連接設(shè)備。當(dāng)VPN服務(wù)發(fā)生故障的時(shí)候,首先在服務(wù)端進(jìn)行排查,對(duì)VPN連接設(shè)備實(shí)施一系列檢測(cè),例如網(wǎng)卡1P參數(shù)、路由和遠(yuǎn)程訪問功能窗口設(shè)置、用戶的帳號(hào)、撥入權(quán)限等;檢查VPN路由器是否出現(xiàn)軟硬件故障,相關(guān)的VPN設(shè)置是否發(fā)生了變化等。所有檢測(cè)工作完成后,在服務(wù)端的網(wǎng)絡(luò)就近選一工作站直接訪問VPN服務(wù)器或VPN路由器,若通則可確定VPN連接正常;反之應(yīng)繼續(xù)查找未知故障。
2)檢查被訪問的應(yīng)用服務(wù)器。如果VPN連接正常之后訪問還未成功,可任選一主機(jī)在內(nèi)網(wǎng)就近訪問該應(yīng)用服務(wù)器,若正常說明應(yīng)用服務(wù)器及其數(shù)據(jù)鏈路是正常的;若訪問失敗就首先檢查應(yīng)用服務(wù)器的工作狀態(tài)和服務(wù)設(shè)置是否正確,沒有問題就下一步。
3)檢查核心交換機(jī)的性能與端口設(shè)置。如果Ping不通應(yīng)用服務(wù)器與VPN服務(wù)器或VPN路由器之間的連接鏈路,就要檢查核心層的主交換機(jī),通過觀察交換機(jī)端口指示燈的工作狀態(tài),大致判斷與VPN連接相關(guān)的端口是否有問題,檢查原來的路由設(shè)置有無擅自發(fā)生變化。有故障立即處理,無故障就下一步。
4)檢查傳輸介質(zhì)。如果核心交換機(jī)部份無故障,就要檢查VPN服務(wù)器或VPN路由器與交換機(jī)之間、應(yīng)用服務(wù)器與交換機(jī)之間和外網(wǎng)接人的傳輸介質(zhì),如果出現(xiàn)開路、短路或接觸不良的故障現(xiàn)象,就會(huì)阻隔VPN與應(yīng)用服務(wù)之間的數(shù)據(jù)傳輸。
上述四個(gè)排查及處理步驟完成之后,意味著服務(wù)器端已經(jīng)正常,如果VPN服務(wù)故障還未消除,問題必然發(fā)生在來訪的客戶端。應(yīng)到客戶端現(xiàn)場(chǎng)繼續(xù)排障:
5)檢查客戶端網(wǎng)絡(luò)的路由器、交換機(jī)、用戶網(wǎng)卡及其網(wǎng)絡(luò)參數(shù)的設(shè)置。如果一個(gè)局域網(wǎng)的用戶要進(jìn)行VPN遠(yuǎn)程訪問時(shí),必經(jīng)本地網(wǎng)絡(luò)的接入設(shè)備和互聯(lián)設(shè)備,即網(wǎng)卡、交換機(jī)和路由器,如果這些設(shè)備任一個(gè)有故障,用戶就不能連接到外網(wǎng)及VPN。這一個(gè)步驟主要是檢查用戶端所在的網(wǎng)絡(luò)連通狀況,指的是從用戶主機(jī)到網(wǎng)絡(luò)出口這段傳輸鏈路,包括線纜,網(wǎng)卡,接入層、匯聚層、核心層交換機(jī)以及路由設(shè)備,確認(rèn)它們的運(yùn)行狀態(tài)和完好率。
6)檢查遠(yuǎn)程連接是否成功。在確認(rèn)客戶端的網(wǎng)絡(luò)連通無故障或存在問題已經(jīng)成功解決之后,嘗試在用戶主機(jī)的VPN連接窗口進(jìn)行遠(yuǎn)程訪問連接,如果成功就進(jìn)入下一步;如果失敗就檢查遠(yuǎn)程連接的所有設(shè)置步驟,包括網(wǎng)關(guān)、DNS, NAT,以及外網(wǎng)IP地址是否與被訪問的VPN服務(wù)器輸出端IP地址同一網(wǎng)段。必要時(shí)重新創(chuàng)建遠(yuǎn)程連接,若問題仍未解決,再認(rèn)真核實(shí)本機(jī)用戶帳號(hào)及密碼是否正確。
7)檢查遠(yuǎn)程訪間是否成功。遠(yuǎn)程連接成功意味著訪問通道已經(jīng)順利建立,如果不能訪問到自己所需的應(yīng)用服務(wù)器,應(yīng)該檢查被訪應(yīng)用服務(wù)器的域名、機(jī)名或IP地址等有關(guān)的名稱標(biāo)識(shí),如果都正確那就是客戶端主機(jī)的操作系統(tǒng)故障了,當(dāng)問題簡(jiǎn)單到這種程度,相信馬上就可以得到解決。
5結(jié)論
VPN服務(wù)的高度安全、高性價(jià)比和組網(wǎng)方式的簡(jiǎn)捷性特別適用那些地域跨度大而數(shù)據(jù)保密要求高的用戶,成為許多國(guó)家機(jī)密單位和重點(diǎn)工商企業(yè)在網(wǎng)絡(luò)服務(wù)上的首選。當(dāng)前VPN服務(wù)的技術(shù)實(shí)現(xiàn)易,故障診斷難的困擾,源于VPN服務(wù)故障與局域網(wǎng)的常規(guī)故障經(jīng)常不可避免地?fù)诫s為復(fù)合故障,因此增加了排查的難度和時(shí)間,阻礙了用戶的正常工作。如果能夠不斷總結(jié)實(shí)戰(zhàn)經(jīng)驗(yàn),遵循一定的排查規(guī)律,系統(tǒng)化地建立高效的排查流程,對(duì)VPN服務(wù)故障作出精確的診斷,相信能在最短時(shí)間內(nèi)修復(fù)VPN服務(wù)故障。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:VPN服務(wù)故障的分析與系統(tǒng)化診斷
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083946844.html