1 VPN服務的方式
針對不同的用戶需求,目前VPN服務主要有三種方式:遠程用戶訪問(Access VPN)、企業內聯(Intranet VPN)和企業外聯(Extranet VPN)。
1.1遠程用戶服務
企業局域網的服務器安裝了VPN軟件,就可以利用隧道技術及其特殊的加密通訊協議,在遠程用戶和服務器之間創建一個跨越Intranet的虛擬專用網絡。遠程用戶在異地上網后使用指定的帳號登錄VPN服務器,就能達到遠程訪問的目的。遠程用戶服務方式適用于單機用戶與企業VPN服務器之間的通信連接,例如公司流動人員在外地遠程辦公。
1.2企業內聯服務
在企業內部網絡安裝一臺VPN服務器并對所有數據進行加密,然后指定一些符合特定身份要求的用戶才能連接本服務器,獲取訪問的權利。企業內聯服務方式可以保證重要信息在整個企業內部網上安全傳輸,適用于企業局域網中存儲有重要數據的部門和特殊用戶在內網里安全通信。
1.3企業外聯服務
企業外聯服務是指企業分支機構、客戶或合作伙伴各自所在的局域網與本企業內部網之間的VPN通信。是基于各自的VPN設備及其加密通訊協議,采用撥號或專線通過Intranet公共資源相互接人。此方式適用于將客戶、供應商、合作伙伴安全可靠地連接到本地企業內部網并相互通信。
2 VPN服務的實現
目前主流的VPN服務實現模式有兩種。一是基于VPN服務器,適用于遠程用戶和企業內聯服務方式;二是基于V PN路由器,適用于企業外聯服務方式。
2.1 VPN服務器
VPN服務器是主要是利用Windows Server2003自帶的VPN軟件或第三方VPN軟件安裝而生成,其主要職能是執行路由和遠程訪問服務,當一個進入VPN網絡的請求被批準,VPN服務器接收并驗證該請求無誤后,就充當一臺路由器向這個VPN客戶機提供虛擬專用網絡的接入,然后執行數據打包和解包等與通信有關的工作。VPN服務器的搭建主要是添加網卡、路由、遠程訪問服務組件、設置內外網卡的各項IP參數、創建VPN服務的用戶帳號及其遠程訪問權限等。
VPN客戶機只要設置好本機的虛擬專用網絡連接選項,再輸入指定的訪問VPN服務器的合法帳號和密碼,就可以安全地享受相應的數據服務了。
2.2 VPN路由器
VPN路由器專為不同企業之間的VPN用戶提供路由,由于它在隧道處理能力與硬件加密等方面具備特定的能力,故屬于專用路由器。VPN路由器自身裝備了各種不同的VPN協議,例如IPsec,PPTP, L2TP或SSL,并通過軟件工具來運行這些VPN協議。VPN路由器之所以能取代VPN服務器建立VPN連接。是因為具有以下功能:
1)支持安全的站點間和遠程接人VPN,可以支持最多4000條IPSec隧道,其3DES加密的分組轉發速率高達155Mbps;支持56位DES和168位3DES加密,并具有HMAC-MDS和HMAC-SHAT報文驗證功能;會話密鑰可通過IKE進行動態管理。
2)支持用戶級驗證,包括本地口令、遠程驗證撥入用戶服務(RADIUS )或通過X.509v3格式化數字認證;支持IPCP, PAP/CHAP, MLPPP和可選的IPSec安全性。
3)支持傳統的數據訪問應用以及目前和未來的新廣域網服務;支持集成的多服務語音/傳真/數據應用。
4)支持VPN pass through功能,即客戶機可以順利與VPN路由器建立連接;具有VPN server的所有功能,例如Linksys RV082, NETGEARFVL328, DrayTek Vigor 2900DWnet, SAFEcon50。
VPN路由器只要完成預置共享密鑰、SA協商過程的IKE, IPSec等配置就可以投人使用,而客戶機則不用安裝VPN客戶端軟件就能實施不同網絡之間的遠程訪問。
3 VPN服務故障的現象與成因
無論采用哪一種VPN服務方式,當它發生故障時必定涉及到服務端和客戶端,必然跨越本地網不同的網段和設備,或者跨越另一個同樣包含路由器與防火墻的ISP網絡。由于數據在到達目的地之前需要在許多連接上進行傳送,若這些連接發生故障時,或許不屬于VPN服務故障但又摻雜其中,給VPN服務故障的分析和排查帶來了一定的難度。假設在局域網的數據鏈路和其他服務運行正常的前提下,現在列舉一些最常見的VPN服務故障現象及其成因。
3.1 VPN連接故障
VPN連接故障是指進人VPN服務之前的有效連接無法建立和開通,典型的故障表現有如下兩種。
3.1.1 VPN連接不能創建
在本地主機新建一個VPN連接時,看到創建向導界面中“VPN連接”選項和“撥號到專用網絡”選項都處于灰色不可選狀態,以致VPN連接無法創建。故障原因主要是:
1)本地主機的操作系統中與VPN連接相關文件受損。
2)與創建VPN連接相關的遠程服務工作狀態不正常,例如Remote Access Connection Manager系統服務被意外關閉運行。
3.1.2 VPN連接失敗
完成VPN連接創建并設置好有關網絡參數后,打開連接對話框,反復單擊“連接”按鈕時,桌面卻出現連接失敗的提示,或者屏幕右下角沒有出現已連接成功的計算機圖標。故障原因主要是:
1) VPN連接參數設置錯誤,例如帳戶、密碼和撥人權限、VPN服務的IP指向等。
2)本地系統沒有啟用或者被暫時關閉已默認的路由功能。
3) VPN的接入設備例如寬帶路由器不支持VPN協議,或者路由器的VPN連接功能未打開;VPN服務器或VPN路由器自身出現一些暫時未知故障。
3.2 VPN訪問故障
VPN訪問故障是指網絡雖然連接成功,但訪問服務卻失敗,常見的故障表現如下。
1)客戶端可以遠程登錄目的地局域網,但卻無法訪問網內的服務器或其他主機,并出現無法訪問的故障提示。故障原因主要是:
(1)遠程客戶機沒有安裝NetBELJI協議,導致不能建立網絡訪問的輸出輸入關系。
(2)與目的地局域網連接的TCP/IP設置方式不同,例如目的地局域網采用DHCP方式為本地各主機動態分配IP地址,而遠程客戶機手動設置固定的IP地址,結果無法從VPN服務器中獲取對應的IP地址而造成訪問失敗。
(3)遠程客戶機訪問的資源使用權限設置不正確,或者該帳戶在組策略中已被鎖死,任何訪問都被拒絕。
2)在局域網的客戶端不能同時請求Internet和VPN服務。局域網內的各主機本來可以正常訪問Internet,但開啟VPN連接服務之后就不能上網了,必須退出當前的VPN連接才可以重新訪問Internet。故障原因主要是:
在客戶端若同時啟用Internet和VPN連接服務,則客戶端的主機就會自動屏蔽原來默認的Internet連接網關而指向VPN服務器的網關,因而導致開啟VPN連接服務之后就無法上網。
3)用戶能夠連接遠程VPN服務器,但不能訪問企業網絡內的任何資源,不能解析主機名,甚至也不能ping通企業網絡里的任何主機。故障原因主要是:
(1)該用戶所在的網絡與VPN服務器所在的企業網絡使用的是同樣的網絡ID號。例如,該用戶網絡使用的ID是10.0.0.0!24,如果企業網也使用了10.0.0.0/24這個ID,那么它們就不能互訪,因為VPN客戶端主機會把目標地址當作本地網絡地址,所以就不會通過VPN界面連接到遠程網絡上。
(2) VPN客戶端連接的VPN服務器/防火墻設備上的規則不允許該客戶端訪問企業網絡里的資源,除非修改防火墻的配置,否則不能允許VPN客戶端訪問所需的網絡資源。
3.3 VPN路由器故障
由于企業外聯服務方式多為跨地域、跨網段地進行,業務覆蓋范圍比較大,通常都使用VPN路由器去實現,因此VPN路由器的故障很有代表性,而且直接影響VPN外聯服務的質量。VPN路由器的故障主要集中在物理故障、接口故障和配置故障這三個方面。
3.3.1物理故障
1)通電之后無響應:表現為接通路由器的電源開關時,電源燈不亮,風扇不轉,路由器沒有響應。
2)部件物理損壞:表現為系統無法識別接口卡等外插部件,或者可以被識別,但配置正確完成后,接口不能正常工作。
3)系統配置文件損壞:路由器的系統配置文件是固化在硬件集成芯片中的,若該芯片組有問題,路由器就不能正常工作。例如開機后總是進入rmon狀態,就說明系統配置文件IOS存在問題。
3.3.2接口故障
1)同步串口故障:表現為VPN路由的連通性問題,例如串口運行及線路協議關閉,或者接口和線路協議都在運行,但路由器仍然不斷丟包。
2)以太接口故障:表現為帶寬的過分利用、碰撞沖突頻繁、信息包丟失,出現不兼容的幀類型等。
3)異步串口故障:表現為在通過異步鏈路傳輸基于LAN通信量時丟失緩沖區和數據信息包。
3.3.3配置故障
1) IPsec中的AH協議與NAT沖突。AH用驗證算法保護包括IP頭在內的整個報文不被修改,而執行NAT,功能則要修改IP報文,結果是修改過的報文到達目的地肯定無法通過驗證。
2) IKE與NAPT沖突。IKE的協商端口一般固定為500,若多個主機連接一臺NAT設備且與同一目標主機協商IKE SA時,目標主機的報文需要由NAPT分路到不同的源主機,典型的做法是轉換內部主機IKE的UDP源端口。但是,在重建密鑰時經常會出現不可知錯誤,除非修改的源端口在重建密鑰時用作目的端口。
3) SA(安全關聯)錯誤。當多個主機連接一臺NAT設備并與同一個目標主機協商安全策略庫(SPD)的內容時,可能發送到錯誤的SA中去,因為在目標機看來,這些SA并沒有差別,都是存在于同一對主機之間。
4 VPN服務故障的系統化診斷
VPN服務的內容包括了多個連接和應用服務,例如數據庫服務、文件服務、FTP服務和WEB服務等。既基于Internet又受制于Internet,例如訪問速度和配置兼容問題。由于VPN服務的牽涉面廣,發生故障時往往跟局域網的一些常見故障糾結在一起,如果沒有一個系統化的流程和方法,其診斷和處理可能要較長時間。以下給出一個VPN服務故障系統化診斷流程圖和具體說明。
4.1 故障診斷流程
如圖1所示。
圖1 故障診斷流程圖
4.2故障診斷流程詳解
以遠程用戶或企業外聯服務方式的VPN故障為診斷原型。
1)檢查VPN連接設備。當VPN服務發生故障的時候,首先在服務端進行排查,對VPN連接設備實施一系列檢測,例如網卡1P參數、路由和遠程訪問功能窗口設置、用戶的帳號、撥入權限等;檢查VPN路由器是否出現軟硬件故障,相關的VPN設置是否發生了變化等。所有檢測工作完成后,在服務端的網絡就近選一工作站直接訪問VPN服務器或VPN路由器,若通則可確定VPN連接正常;反之應繼續查找未知故障。
2)檢查被訪問的應用服務器。如果VPN連接正常之后訪問還未成功,可任選一主機在內網就近訪問該應用服務器,若正常說明應用服務器及其數據鏈路是正常的;若訪問失敗就首先檢查應用服務器的工作狀態和服務設置是否正確,沒有問題就下一步。
3)檢查核心交換機的性能與端口設置。如果Ping不通應用服務器與VPN服務器或VPN路由器之間的連接鏈路,就要檢查核心層的主交換機,通過觀察交換機端口指示燈的工作狀態,大致判斷與VPN連接相關的端口是否有問題,檢查原來的路由設置有無擅自發生變化。有故障立即處理,無故障就下一步。
4)檢查傳輸介質。如果核心交換機部份無故障,就要檢查VPN服務器或VPN路由器與交換機之間、應用服務器與交換機之間和外網接人的傳輸介質,如果出現開路、短路或接觸不良的故障現象,就會阻隔VPN與應用服務之間的數據傳輸。
上述四個排查及處理步驟完成之后,意味著服務器端已經正常,如果VPN服務故障還未消除,問題必然發生在來訪的客戶端。應到客戶端現場繼續排障:
5)檢查客戶端網絡的路由器、交換機、用戶網卡及其網絡參數的設置。如果一個局域網的用戶要進行VPN遠程訪問時,必經本地網絡的接入設備和互聯設備,即網卡、交換機和路由器,如果這些設備任一個有故障,用戶就不能連接到外網及VPN。這一個步驟主要是檢查用戶端所在的網絡連通狀況,指的是從用戶主機到網絡出口這段傳輸鏈路,包括線纜,網卡,接入層、匯聚層、核心層交換機以及路由設備,確認它們的運行狀態和完好率。
6)檢查遠程連接是否成功。在確認客戶端的網絡連通無故障或存在問題已經成功解決之后,嘗試在用戶主機的VPN連接窗口進行遠程訪問連接,如果成功就進入下一步;如果失敗就檢查遠程連接的所有設置步驟,包括網關、DNS, NAT,以及外網IP地址是否與被訪問的VPN服務器輸出端IP地址同一網段。必要時重新創建遠程連接,若問題仍未解決,再認真核實本機用戶帳號及密碼是否正確。
7)檢查遠程訪間是否成功。遠程連接成功意味著訪問通道已經順利建立,如果不能訪問到自己所需的應用服務器,應該檢查被訪應用服務器的域名、機名或IP地址等有關的名稱標識,如果都正確那就是客戶端主機的操作系統故障了,當問題簡單到這種程度,相信馬上就可以得到解決。
5結論
VPN服務的高度安全、高性價比和組網方式的簡捷性特別適用那些地域跨度大而數據保密要求高的用戶,成為許多國家機密單位和重點工商企業在網絡服務上的首選。當前VPN服務的技術實現易,故障診斷難的困擾,源于VPN服務故障與局域網的常規故障經常不可避免地摻雜為復合故障,因此增加了排查的難度和時間,阻礙了用戶的正常工作。如果能夠不斷總結實戰經驗,遵循一定的排查規律,系統化地建立高效的排查流程,對VPN服務故障作出精確的診斷,相信能在最短時間內修復VPN服務故障。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:VPN服務故障的分析與系統化診斷
本文網址:http://www.guhuozai8.cn/html/consultation/1083946844.html
相關文章
