【51CTO.com獨家特稿】通過VPN網(wǎng)絡(luò)連接通道，位于Internet任何位置處的用戶，都能輕松訪問到單位局域網(wǎng)中的隱私信息；相比傳統(tǒng)的網(wǎng)絡(luò)訪問方式，VPN網(wǎng)絡(luò)連接組網(wǎng)成本更經(jīng)濟，網(wǎng)絡(luò)安全性更高，而且很適合用戶的移動辦公需求。不過，在進行VPN網(wǎng)絡(luò)連接的過程中，我們可能會遇到各式各樣的新問題，面對這樣的問題我們需要轉(zhuǎn)換思路、對癥下藥，才能迅速解決好這類故障現(xiàn)象；這不，筆者就曾遭遇過一則奇怪的VPN連接速度下降故障，現(xiàn)在本文就將該故障原因的追蹤過程貢獻出來，希望大家能從中獲得一些啟發(fā)！

VPN連接變慢   

最近，省中心新上了一套科技計劃在線申報系統(tǒng)，該系統(tǒng)工作于VPN網(wǎng)絡(luò)環(huán)境，其數(shù)據(jù)庫位于省中心局域網(wǎng)的某臺文件服務(wù)器中，各市級客戶端用戶可以通過VPN網(wǎng)絡(luò)連接借助Web方式進行訪問、申報。在運行一段時間后，筆者發(fā)現(xiàn)訪問在線申報系統(tǒng)的速度很慢，有的時候連打開一個簡單的系統(tǒng)登錄頁面都要耗費很長時間；筆者估計這中間肯定有地方出問題了，于是電話聯(lián)系省中心的工程師，詢問他們科技計劃在線申報系統(tǒng)在軟件開發(fā)方面是否存在什么限制，對方工程師經(jīng)過一番仔細地檢查測試，回復(fù)說這套系統(tǒng)在軟件設(shè)置方面不存在任何限制，并且其他市的用戶可以正常訪問這套系統(tǒng)。既然這套系統(tǒng)沒有問題，難道是筆者所在單位的局域網(wǎng)到省中心之間的這段網(wǎng)絡(luò)出現(xiàn)了問題？   

筆者單位的局域網(wǎng)是一個簡單的二層結(jié)構(gòu)，每一個處室的計算機都通過100M雙絞線連接到局域網(wǎng)的普通二層交換機上，普通二層交換機直接與硬件防火墻連接，并通過該防火墻自帶的路由功能進行共享上網(wǎng)，硬件防火墻后面連接的是寬帶接入設(shè)備，該設(shè)備通過2M光纖線路與Internet網(wǎng)絡(luò)保持連接，并且本地局域網(wǎng)中的所有計算機都是使用靜態(tài)IP地址上網(wǎng)。省中心的組網(wǎng)結(jié)構(gòu)基本與筆者單位局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)相同，這兩個局域網(wǎng)是通過各自硬件防火墻創(chuàng)建的VPN網(wǎng)絡(luò)通道進行相連的，而各個市級用戶需要訪問的科技計劃在線申報系統(tǒng)，部署安裝在省中心局域網(wǎng)的一臺文件服務(wù)器中。

追查故障原因   

由于筆者單位局域網(wǎng)與省中心局域網(wǎng)之間的VPN連接通道是通過硬件防火墻創(chuàng)建的，按理來說它的網(wǎng)絡(luò)傳輸速度要比軟件防火墻快許多，對應(yīng)的VPN網(wǎng)絡(luò)連接速度也應(yīng)該很快才對。為此，筆者打算先從本地局域網(wǎng)開始查起；筆者在自己的計算機中，依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“ping 10.172.168.1”(其中10.172.168.1為本地局域網(wǎng)的網(wǎng)關(guān)地址)，單擊回車鍵后，筆者從其后返回的結(jié)果信息中，發(fā)現(xiàn)ping值為1ms，這說明本地局域網(wǎng)的網(wǎng)關(guān)可以正常訪問。接著使用ping命令測試本地ISP分配給筆者單位的廣域網(wǎng)端口地址，測試結(jié)果表明一切正常，而且中途也沒有掉包、斷行現(xiàn)象，這就說明本地局域網(wǎng)到本地ISP之間的這段線路是正常的，同時也意味著本地局域網(wǎng)不存在任何問題。   

下面，筆者開始使用ping命令測試省中心連接本單位網(wǎng)絡(luò)時對應(yīng)的廣域網(wǎng)端口地址，從返回的結(jié)果來看該ping值達到了20ms，不過這期間沒有丟包、掉行的現(xiàn)象發(fā)生，這說明從筆者的局域網(wǎng)到省中心的廣域網(wǎng)之間的連接也不存在任何問題；繼續(xù)使用ping命令測試省中心局域網(wǎng)的網(wǎng)關(guān)地址時，筆者發(fā)現(xiàn)這次測試得到的結(jié)果為50ms，同時在測試過程中存在數(shù)據(jù)丟包、掉行現(xiàn)象，看來省中心的廣域網(wǎng)端口地址到對應(yīng)的網(wǎng)關(guān)地址之間存在問題；而這段網(wǎng)絡(luò)通道上包含的傳輸介質(zhì)主要有硬件防火墻設(shè)備、寬帶接入設(shè)備以及網(wǎng)絡(luò)雙絞線，會不會是其中的一個出現(xiàn)了問題呢？   

想到這一點，筆者立即聯(lián)系省中心技術(shù)人員，懇請他們將連接寬帶接入設(shè)備與硬件防火墻設(shè)備之間的那段網(wǎng)絡(luò)雙絞線更換掉，在更換了一根網(wǎng)絡(luò)線纜后，筆者繼續(xù)使用ping命令測試省中心的網(wǎng)關(guān)地址，結(jié)果發(fā)現(xiàn)得到的返回結(jié)果依然和上次一樣，這說明網(wǎng)絡(luò)雙絞線不存在任何問題，那現(xiàn)在能出問題的無非就是硬件防火墻設(shè)備、寬帶接入設(shè)備了。   

由于省中心與各個地級市單位網(wǎng)絡(luò)連接時，使用的設(shè)備幾乎都是相同型號的設(shè)備，并且它們都是一次性采購回來的，按理來說它們的工作性能也差不多，為此筆者請求省中心的技術(shù)人員幫忙使用其他市的設(shè)備替代一下可能出現(xiàn)問題的寬帶接入設(shè)備，在替代成功之后，筆者再一次進行了ping測試，來觀察省中心局域網(wǎng)的網(wǎng)關(guān)地址是否能夠正常ping通，結(jié)果發(fā)現(xiàn)還是不行，這說明上述問題也不是由寬帶接入設(shè)備引起的。這可蹊蹺了，難道問題出現(xiàn)在硬件防火墻設(shè)備上？   

考慮到硬件防火墻設(shè)備剛買回來沒有多長時間，筆者估計該設(shè)備在硬件質(zhì)量方面不存在什么問題，問題會不會出現(xiàn)在參數(shù)設(shè)置上呢？不得已，筆者只好請省中心的工作人員登錄到硬件防火墻設(shè)備的后臺管理界面，將其中的一些重要參數(shù)記錄下來，然后筆者再與他對照一下本地局域網(wǎng)防火墻的相關(guān)參數(shù)，看看在參數(shù)設(shè)置方面是否存在問題。果然，這一努力沒有白費，在查看到硬件防火墻設(shè)備的端口參數(shù)時，省中心工作人員發(fā)現(xiàn)硬件防火墻設(shè)備與二層交換機之間的連接端口工作模式被設(shè)置為了100M、全雙工模式，而硬件防火墻設(shè)備與寬帶接入設(shè)備之間的連接端口工作模式被設(shè)置為了自適應(yīng)模式；但是，筆者發(fā)現(xiàn)本地局域網(wǎng)使用的硬件防火墻設(shè)備，其局域網(wǎng)連接端口與廣域網(wǎng)連接端口工作模式都被設(shè)置成了100M、全雙工模式，難道是這點不同，造成了VPN連接速度下降嗎？

解決故障現(xiàn)象   

筆者經(jīng)過查閱這款硬件防火墻的參數(shù)說明書，發(fā)現(xiàn)在默認(rèn)狀態(tài)下該防火墻的局域網(wǎng)連接端口與廣域網(wǎng)連接端口工作模式都處于自適應(yīng)模式狀態(tài)，但是在實際組網(wǎng)的時候，筆者清楚地記得這些端口應(yīng)該全部被設(shè)置成100M、全雙工模式狀態(tài)，那么為什么省中心硬件防火墻的一個端口處于100M、全雙工模式狀態(tài)，另外一個端口處于自適應(yīng)模式狀態(tài)呢？看來，很可能是工作人員在工作中遺忘了對該參數(shù)的修改設(shè)置；于是，筆者請求省中心的工作人員，將對應(yīng)硬件防火墻的廣域網(wǎng)連接端口工作模式從自適應(yīng)狀態(tài)修改成100M、全雙工模式狀態(tài)，當(dāng)修改操作完成后，筆者繼續(xù)使用ping命令測試省中心的網(wǎng)關(guān)地址，這一次筆者看到了明顯不一樣的測試結(jié)果：ping測試數(shù)值從以前的50ms變成了30ms，同時在測試過程中也沒有發(fā)生數(shù)據(jù)丟包、掉行現(xiàn)象。   

此時，筆者隨意從本地局域網(wǎng)的一臺計算機中，訪問了省中心的在線申報系統(tǒng)，結(jié)果打開速度很快。至此，VPN連接速度下降的故障現(xiàn)象就被成功解決了。

最后的總結(jié)   

仔細回顧上面的故障排除過程，筆者認(rèn)為之所以在解決網(wǎng)絡(luò)故障時走了一些彎路，主要就是筆者簡單地認(rèn)為省中心與本地局域網(wǎng)使用的網(wǎng)絡(luò)結(jié)構(gòu)幾乎都一樣，并且其中的主要網(wǎng)絡(luò)設(shè)備都是集中采購，并且經(jīng)過統(tǒng)一配置的，于是就沒有懷疑它們之間的差異性。事實上，由于工作人員的疏忽，造成了省中心硬件防火墻的廣域網(wǎng)連接速度與局域網(wǎng)連接速度不相匹配；大家知道，當(dāng)連接端口工作于100M、全雙工模式狀態(tài)時，硬件防火墻可以同時進行數(shù)據(jù)接收操作和發(fā)送操作，而當(dāng)連接端口工作于自適應(yīng)模式狀態(tài)時，硬件防火墻往往不能同時進行數(shù)據(jù)接收操作和發(fā)送操作，這樣一來VPN連接速度就會下降。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 技術(shù)診斷分析:處理VPN連接故障
2. VPN訪問故障之排疑解惑