1 VPN服务的方式
针对不同的用户需求,目前VPN服务主要有三种方式:远程用户访问(Access VPN)、企业内联(Intranet VPN)和企业外联(Extranet VPN)。
1.1远程用户服务
企业局域网的服务器安装了VPN软件,就可以利用隧道技术及其特殊的加密通讯协议,在远程用户和服务器之间创建一个跨越Intranet的虚拟专用网络。远程用户在异地上网后使用指定的帐号登录VPN服务器,就能达到远程访问的目的。远程用户服务方式适用于单机用户与企业VPN服务器之间的通信连接,例如公司流动人员在外地远程办公。
1.2企业内联服务
在企业内部网络安装一台VPN服务器并对所有数据进行加密,然后指定一些符合特定身份要求的用户才能连接本服务器,获取访问的权利。企业内联服务方式可以保证重要信息在整个企业内部网上安全传输,适用于企业局域网中存储有重要数据的部门和特殊用户在内网里安全通信。
1.3企业外联服务
企业外联服务是指企业分支机构、客户或合作伙伴各自所在的局域网与本企业内部网之间的VPN通信。是基于各自的VPN设备及其加密通讯协议,采用拨号或专线通过Intranet公共资源相互接人。此方式适用于将客户、供应商、合作伙伴安全可靠地连接到本地企业内部网并相互通信。
2 VPN服务的实现
目前主流的VPN服务实现模式有两种。一是基于VPN服务器,适用于远程用户和企业内联服务方式;二是基于V PN路由器,适用于企业外联服务方式。
2.1 VPN服务器
VPN服务器是主要是利用Windows Server2003自带的VPN软件或第三方VPN软件安装而生成,其主要职能是执行路由和远程访问服务,当一个进入VPN网络的请求被批准,VPN服务器接收并验证该请求无误后,就充当一台路由器向这个VPN客户机提供虚拟专用网络的接入,然后执行数据打包和解包等与通信有关的工作。VPN服务器的搭建主要是添加网卡、路由、远程访问服务组件、设置内外网卡的各项IP参数、创建VPN服务的用户帐号及其远程访问权限等。
VPN客户机只要设置好本机的虚拟专用网络连接选项,再输入指定的访问VPN服务器的合法帐号和密码,就可以安全地享受相应的数据服务了。
2.2 VPN路由器
VPN路由器专为不同企业之间的VPN用户提供路由,由于它在隧道处理能力与硬件加密等方面具备特定的能力,故属于专用路由器。VPN路由器自身装备了各种不同的VPN协议,例如IPsec,PPTP, L2TP或SSL,并通过软件工具来运行这些VPN协议。VPN路由器之所以能取代VPN服务器建立VPN连接。是因为具有以下功能:
1)支持安全的站点间和远程接人VPN,可以支持最多4000条IPSec隧道,其3DES加密的分组转发速率高达155Mbps;支持56位DES和168位3DES加密,并具有HMAC-MDS和HMAC-SHAT报文验证功能;会话密钥可通过IKE进行动态管理。
2)支持用户级验证,包括本地口令、远程验证拨入用户服务(RADIUS )或通过X.509v3格式化数字认证;支持IPCP, PAP/CHAP, MLPPP和可选的IPSec安全性。
3)支持传统的数据访问应用以及目前和未来的新广域网服务;支持集成的多服务语音/传真/数据应用。
4)支持VPN pass through功能,即客户机可以顺利与VPN路由器建立连接;具有VPN server的所有功能,例如Linksys RV082, NETGEARFVL328, DrayTek Vigor 2900DWnet, SAFEcon50。
VPN路由器只要完成预置共享密钥、SA协商过程的IKE, IPSec等配置就可以投人使用,而客户机则不用安装VPN客户端软件就能实施不同网络之间的远程访问。
3 VPN服务故障的现象与成因
无论采用哪一种VPN服务方式,当它发生故障时必定涉及到服务端和客户端,必然跨越本地网不同的网段和设备,或者跨越另一个同样包含路由器与防火墙的ISP网络。由于数据在到达目的地之前需要在许多连接上进行传送,若这些连接发生故障时,或许不属于VPN服务故障但又掺杂其中,给VPN服务故障的分析和排查带来了一定的难度。假设在局域网的数据链路和其他服务运行正常的前提下,现在列举一些最常见的VPN服务故障现象及其成因。
3.1 VPN连接故障
VPN连接故障是指进人VPN服务之前的有效连接无法建立和开通,典型的故障表现有如下两种。
3.1.1 VPN连接不能创建
在本地主机新建一个VPN连接时,看到创建向导界面中“VPN连接”选项和“拨号到专用网络”选项都处于灰色不可选状态,以致VPN连接无法创建。故障原因主要是:
1)本地主机的操作系统中与VPN连接相关文件受损。
2)与创建VPN连接相关的远程服务工作状态不正常,例如Remote Access Connection Manager系统服务被意外关闭运行。
3.1.2 VPN连接失败
完成VPN连接创建并设置好有关网络参数后,打开连接对话框,反复单击“连接”按钮时,桌面却出现连接失败的提示,或者屏幕右下角没有出现已连接成功的计算机图标。故障原因主要是:
1) VPN连接参数设置错误,例如帐户、密码和拨人权限、VPN服务的IP指向等。
2)本地系统没有启用或者被暂时关闭已默认的路由功能。
3) VPN的接入设备例如宽带路由器不支持VPN协议,或者路由器的VPN连接功能未打开;VPN服务器或VPN路由器自身出现一些暂时未知故障。
3.2 VPN访问故障
VPN访问故障是指网络虽然连接成功,但访问服务却失败,常见的故障表现如下。
1)客户端可以远程登录目的地局域网,但却无法访问网内的服务器或其他主机,并出现无法访问的故障提示。故障原因主要是:
(1)远程客户机没有安装NetBELJI协议,导致不能建立网络访问的输出输入关系。
(2)与目的地局域网连接的TCP/IP设置方式不同,例如目的地局域网采用DHCP方式为本地各主机动态分配IP地址,而远程客户机手动设置固定的IP地址,结果无法从VPN服务器中获取对应的IP地址而造成访问失败。
(3)远程客户机访问的资源使用权限设置不正确,或者该帐户在组策略中已被锁死,任何访问都被拒绝。
2)在局域网的客户端不能同时请求Internet和VPN服务。局域网内的各主机本来可以正常访问Internet,但开启VPN连接服务之后就不能上网了,必须退出当前的VPN连接才可以重新访问Internet。故障原因主要是:
在客户端若同时启用Internet和VPN连接服务,则客户端的主机就会自动屏蔽原来默认的Internet连接网关而指向VPN服务器的网关,因而导致开启VPN连接服务之后就无法上网。
3)用户能够连接远程VPN服务器,但不能访问企业网络内的任何资源,不能解析主机名,甚至也不能ping通企业网络里的任何主机。故障原因主要是:
(1)该用户所在的网络与VPN服务器所在的企业网络使用的是同样的网络ID号。例如,该用户网络使用的ID是10.0.0.0!24,如果企业网也使用了10.0.0.0/24这个ID,那么它们就不能互访,因为VPN客户端主机会把目标地址当作本地网络地址,所以就不会通过VPN界面连接到远程网络上。
(2) VPN客户端连接的VPN服务器/防火墙设备上的规则不允许该客户端访问企业网络里的资源,除非修改防火墙的配置,否则不能允许VPN客户端访问所需的网络资源。
3.3 VPN路由器故障
由于企业外联服务方式多为跨地域、跨网段地进行,业务覆盖范围比较大,通常都使用VPN路由器去实现,因此VPN路由器的故障很有代表性,而且直接影响VPN外联服务的质量。VPN路由器的故障主要集中在物理故障、接口故障和配置故障这三个方面。
3.3.1物理故障
1)通电之后无响应:表现为接通路由器的电源开关时,电源灯不亮,风扇不转,路由器没有响应。
2)部件物理损坏:表现为系统无法识别接口卡等外插部件,或者可以被识别,但配置正确完成后,接口不能正常工作。
3)系统配置文件损坏:路由器的系统配置文件是固化在硬件集成芯片中的,若该芯片组有问题,路由器就不能正常工作。例如开机后总是进入rmon状态,就说明系统配置文件IOS存在问题。
3.3.2接口故障
1)同步串口故障:表现为VPN路由的连通性问题,例如串口运行及线路协议关闭,或者接口和线路协议都在运行,但路由器仍然不断丢包。
2)以太接口故障:表现为带宽的过分利用、碰撞冲突频繁、信息包丢失,出现不兼容的帧类型等。
3)异步串口故障:表现为在通过异步链路传输基于LAN通信量时丢失缓冲区和数据信息包。
3.3.3配置故障
1) IPsec中的AH协议与NAT冲突。AH用验证算法保护包括IP头在内的整个报文不被修改,而执行NAT,功能则要修改IP报文,结果是修改过的报文到达目的地肯定无法通过验证。
2) IKE与NAPT冲突。IKE的协商端口一般固定为500,若多个主机连接一台NAT设备且与同一目标主机协商IKE SA时,目标主机的报文需要由NAPT分路到不同的源主机,典型的做法是转换内部主机IKE的UDP源端口。但是,在重建密钥时经常会出现不可知错误,除非修改的源端口在重建密钥时用作目的端口。
3) SA(安全关联)错误。当多个主机连接一台NAT设备并与同一个目标主机协商安全策略库(SPD)的内容时,可能发送到错误的SA中去,因为在目标机看来,这些SA并没有差别,都是存在于同一对主机之间。
4 VPN服务故障的系统化诊断
VPN服务的内容包括了多个连接和应用服务,例如数据库服务、文件服务、FTP服务和WEB服务等。既基于Internet又受制于Internet,例如访问速度和配置兼容问题。由于VPN服务的牵涉面广,发生故障时往往跟局域网的一些常见故障纠结在一起,如果没有一个系统化的流程和方法,其诊断和处理可能要较长时间。以下给出一个VPN服务故障系统化诊断流程图和具体说明。
4.1 故障诊断流程
如图1所示。
图1 故障诊断流程图
4.2故障诊断流程详解
以远程用户或企业外联服务方式的VPN故障为诊断原型。
1)检查VPN连接设备。当VPN服务发生故障的时候,首先在服务端进行排查,对VPN连接设备实施一系列检测,例如网卡1P参数、路由和远程访问功能窗口设置、用户的帐号、拨入权限等;检查VPN路由器是否出现软硬件故障,相关的VPN设置是否发生了变化等。所有检测工作完成后,在服务端的网络就近选一工作站直接访问VPN服务器或VPN路由器,若通则可确定VPN连接正常;反之应继续查找未知故障。
2)检查被访问的应用服务器。如果VPN连接正常之后访问还未成功,可任选一主机在内网就近访问该应用服务器,若正常说明应用服务器及其数据链路是正常的;若访问失败就首先检查应用服务器的工作状态和服务设置是否正确,没有问题就下一步。
3)检查核心交换机的性能与端口设置。如果Ping不通应用服务器与VPN服务器或VPN路由器之间的连接链路,就要检查核心层的主交换机,通过观察交换机端口指示灯的工作状态,大致判断与VPN连接相关的端口是否有问题,检查原来的路由设置有无擅自发生变化。有故障立即处理,无故障就下一步。
4)检查传输介质。如果核心交换机部份无故障,就要检查VPN服务器或VPN路由器与交换机之间、应用服务器与交换机之间和外网接人的传输介质,如果出现开路、短路或接触不良的故障现象,就会阻隔VPN与应用服务之间的数据传输。
上述四个排查及处理步骤完成之后,意味着服务器端已经正常,如果VPN服务故障还未消除,问题必然发生在来访的客户端。应到客户端现场继续排障:
5)检查客户端网络的路由器、交换机、用户网卡及其网络参数的设置。如果一个局域网的用户要进行VPN远程访问时,必经本地网络的接入设备和互联设备,即网卡、交换机和路由器,如果这些设备任一个有故障,用户就不能连接到外网及VPN。这一个步骤主要是检查用户端所在的网络连通状况,指的是从用户主机到网络出口这段传输链路,包括线缆,网卡,接入层、汇聚层、核心层交换机以及路由设备,确认它们的运行状态和完好率。
6)检查远程连接是否成功。在确认客户端的网络连通无故障或存在问题已经成功解决之后,尝试在用户主机的VPN连接窗口进行远程访问连接,如果成功就进入下一步;如果失败就检查远程连接的所有设置步骤,包括网关、DNS, NAT,以及外网IP地址是否与被访问的VPN服务器输出端IP地址同一网段。必要时重新创建远程连接,若问题仍未解决,再认真核实本机用户帐号及密码是否正确。
7)检查远程访间是否成功。远程连接成功意味着访问通道已经顺利建立,如果不能访问到自己所需的应用服务器,应该检查被访应用服务器的域名、机名或IP地址等有关的名称标识,如果都正确那就是客户端主机的操作系统故障了,当问题简单到这种程度,相信马上就可以得到解决。
5结论
VPN服务的高度安全、高性价比和组网方式的简捷性特别适用那些地域跨度大而数据保密要求高的用户,成为许多国家机密单位和重点工商企业在网络服务上的首选。当前VPN服务的技术实现易,故障诊断难的困扰,源于VPN服务故障与局域网的常规故障经常不可避免地掺杂为复合故障,因此增加了排查的难度和时间,阻碍了用户的正常工作。如果能够不断总结实战经验,遵循一定的排查规律,系统化地建立高效的排查流程,对VPN服务故障作出精确的诊断,相信能在最短时间内修复VPN服务故障。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:VPN服务故障的分析与系统化诊断
本文网址:http://www.toberp.com/html/consultation/1083946844.html
相关文章
