【51CTO.com独家特稿】通过VPN网络连接通道,位于Internet任何位置处的用户,都能轻松访问到单位局域网中的隐私信息;相比传统的网络访问方式,VPN网络连接组网成本更经济,网络安全性更高,而且很适合用户的移动办公需求。不过,在进行VPN网络连接的过程中,我们可能会遇到各式各样的新问题,面对这样的问题我们需要转换思路、对症下药,才能迅速解决好这类故障现象;这不,笔者就曾遭遇过一则奇怪的VPN连接速度下降故障,现在本文就将该故障原因的追踪过程贡献出来,希望大家能从中获得一些启发!
VPN连接变慢
最近,省中心新上了一套科技计划在线申报系统,该系统工作于VPN网络环境,其数据库位于省中心局域网的某台文件服务器中,各市级客户端用户可以通过VPN网络连接借助Web方式进行访问、申报。在运行一段时间后,笔者发现访问在线申报系统的速度很慢,有的时候连打开一个简单的系统登录页面都要耗费很长时间;笔者估计这中间肯定有地方出问题了,于是电话联系省中心的工程师,询问他们科技计划在线申报系统在软件开发方面是否存在什么限制,对方工程师经过一番仔细地检查测试,回复说这套系统在软件设置方面不存在任何限制,并且其他市的用户可以正常访问这套系统。既然这套系统没有问题,难道是笔者所在单位的局域网到省中心之间的这段网络出现了问题?
笔者单位的局域网是一个简单的二层结构,每一个处室的计算机都通过100M双绞线连接到局域网的普通二层交换机上,普通二层交换机直接与硬件防火墙连接,并通过该防火墙自带的路由功能进行共享上网,硬件防火墙后面连接的是宽带接入设备,该设备通过2M光纤线路与Internet网络保持连接,并且本地局域网中的所有计算机都是使用静态IP地址上网。省中心的组网结构基本与笔者单位局域网的网络结构相同,这两个局域网是通过各自硬件防火墙创建的VPN网络通道进行相连的,而各个市级用户需要访问的科技计划在线申报系统,部署安装在省中心局域网的一台文件服务器中。
追查故障原因
由于笔者单位局域网与省中心局域网之间的VPN连接通道是通过硬件防火墙创建的,按理来说它的网络传输速度要比软件防火墙快许多,对应的VPN网络连接速度也应该很快才对。为此,笔者打算先从本地局域网开始查起;笔者在自己的计算机中,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“ping 10.172.168.1”(其中10.172.168.1为本地局域网的网关地址),单击回车键后,笔者从其后返回的结果信息中,发现ping值为1ms,这说明本地局域网的网关可以正常访问。接着使用ping命令测试本地ISP分配给笔者单位的广域网端口地址,测试结果表明一切正常,而且中途也没有掉包、断行现象,这就说明本地局域网到本地ISP之间的这段线路是正常的,同时也意味着本地局域网不存在任何问题。
下面,笔者开始使用ping命令测试省中心连接本单位网络时对应的广域网端口地址,从返回的结果来看该ping值达到了20ms,不过这期间没有丢包、掉行的现象发生,这说明从笔者的局域网到省中心的广域网之间的连接也不存在任何问题;继续使用ping命令测试省中心局域网的网关地址时,笔者发现这次测试得到的结果为50ms,同时在测试过程中存在数据丢包、掉行现象,看来省中心的广域网端口地址到对应的网关地址之间存在问题;而这段网络通道上包含的传输介质主要有硬件防火墙设备、宽带接入设备以及网络双绞线,会不会是其中的一个出现了问题呢?
想到这一点,笔者立即联系省中心技术人员,恳请他们将连接宽带接入设备与硬件防火墙设备之间的那段网络双绞线更换掉,在更换了一根网络线缆后,笔者继续使用ping命令测试省中心的网关地址,结果发现得到的返回结果依然和上次一样,这说明网络双绞线不存在任何问题,那现在能出问题的无非就是硬件防火墙设备、宽带接入设备了。
由于省中心与各个地级市单位网络连接时,使用的设备几乎都是相同型号的设备,并且它们都是一次性采购回来的,按理来说它们的工作性能也差不多,为此笔者请求省中心的技术人员帮忙使用其他市的设备替代一下可能出现问题的宽带接入设备,在替代成功之后,笔者再一次进行了ping测试,来观察省中心局域网的网关地址是否能够正常ping通,结果发现还是不行,这说明上述问题也不是由宽带接入设备引起的。这可蹊跷了,难道问题出现在硬件防火墙设备上?
考虑到硬件防火墙设备刚买回来没有多长时间,笔者估计该设备在硬件质量方面不存在什么问题,问题会不会出现在参数设置上呢?不得已,笔者只好请省中心的工作人员登录到硬件防火墙设备的后台管理界面,将其中的一些重要参数记录下来,然后笔者再与他对照一下本地局域网防火墙的相关参数,看看在参数设置方面是否存在问题。果然,这一努力没有白费,在查看到硬件防火墙设备的端口参数时,省中心工作人员发现硬件防火墙设备与二层交换机之间的连接端口工作模式被设置为了100M、全双工模式,而硬件防火墙设备与宽带接入设备之间的连接端口工作模式被设置为了自适应模式;但是,笔者发现本地局域网使用的硬件防火墙设备,其局域网连接端口与广域网连接端口工作模式都被设置成了100M、全双工模式,难道是这点不同,造成了VPN连接速度下降吗?
解决故障现象
笔者经过查阅这款硬件防火墙的参数说明书,发现在默认状态下该防火墙的局域网连接端口与广域网连接端口工作模式都处于自适应模式状态,但是在实际组网的时候,笔者清楚地记得这些端口应该全部被设置成100M、全双工模式状态,那么为什么省中心硬件防火墙的一个端口处于100M、全双工模式状态,另外一个端口处于自适应模式状态呢?看来,很可能是工作人员在工作中遗忘了对该参数的修改设置;于是,笔者请求省中心的工作人员,将对应硬件防火墙的广域网连接端口工作模式从自适应状态修改成100M、全双工模式状态,当修改操作完成后,笔者继续使用ping命令测试省中心的网关地址,这一次笔者看到了明显不一样的测试结果:ping测试数值从以前的50ms变成了30ms,同时在测试过程中也没有发生数据丢包、掉行现象。
此时,笔者随意从本地局域网的一台计算机中,访问了省中心的在线申报系统,结果打开速度很快。至此,VPN连接速度下降的故障现象就被成功解决了。
最后的总结
仔细回顾上面的故障排除过程,笔者认为之所以在解决网络故障时走了一些弯路,主要就是笔者简单地认为省中心与本地局域网使用的网络结构几乎都一样,并且其中的主要网络设备都是集中采购,并且经过统一配置的,于是就没有怀疑它们之间的差异性。事实上,由于工作人员的疏忽,造成了省中心硬件防火墙的广域网连接速度与局域网连接速度不相匹配;大家知道,当连接端口工作于100M、全双工模式状态时,硬件防火墙可以同时进行数据接收操作和发送操作,而当连接端口工作于自适应模式状态时,硬件防火墙往往不能同时进行数据接收操作和发送操作,这样一来VPN连接速度就会下降。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】