【51CTO.com獨(dú)家特稿】通過(guò)VPN網(wǎng)絡(luò)連接通道，位于Internet任何位置處的用戶，都能輕松訪問(wèn)到單位局域網(wǎng)中的隱私信息；相比傳統(tǒng)的網(wǎng)絡(luò)訪問(wèn)方式，VPN網(wǎng)絡(luò)連接組網(wǎng)成本更經(jīng)濟(jì)，網(wǎng)絡(luò)安全性更高，而且很適合用戶的移動(dòng)辦公需求。不過(guò)，在進(jìn)行VPN網(wǎng)絡(luò)連接的過(guò)程中，我們可能會(huì)遇到各式各樣的新問(wèn)題，面對(duì)這樣的問(wèn)題我們需要轉(zhuǎn)換思路、對(duì)癥下藥，才能迅速解決好這類故障現(xiàn)象；這不，筆者就曾遭遇過(guò)一則奇怪的VPN連接速度下降故障，現(xiàn)在本文就將該故障原因的追蹤過(guò)程貢獻(xiàn)出來(lái)，希望大家能從中獲得一些啟發(fā)！

VPN連接變慢   

最近，省中心新上了一套科技計(jì)劃在線申報(bào)系統(tǒng)，該系統(tǒng)工作于VPN網(wǎng)絡(luò)環(huán)境，其數(shù)據(jù)庫(kù)位于省中心局域網(wǎng)的某臺(tái)文件服務(wù)器中，各市級(jí)客戶端用戶可以通過(guò)VPN網(wǎng)絡(luò)連接借助Web方式進(jìn)行訪問(wèn)、申報(bào)。在運(yùn)行一段時(shí)間后，筆者發(fā)現(xiàn)訪問(wèn)在線申報(bào)系統(tǒng)的速度很慢，有的時(shí)候連打開(kāi)一個(gè)簡(jiǎn)單的系統(tǒng)登錄頁(yè)面都要耗費(fèi)很長(zhǎng)時(shí)間；筆者估計(jì)這中間肯定有地方出問(wèn)題了，于是電話聯(lián)系省中心的工程師，詢問(wèn)他們科技計(jì)劃在線申報(bào)系統(tǒng)在軟件開(kāi)發(fā)方面是否存在什么限制，對(duì)方工程師經(jīng)過(guò)一番仔細(xì)地檢查測(cè)試，回復(fù)說(shuō)這套系統(tǒng)在軟件設(shè)置方面不存在任何限制，并且其他市的用戶可以正常訪問(wèn)這套系統(tǒng)。既然這套系統(tǒng)沒(méi)有問(wèn)題，難道是筆者所在單位的局域網(wǎng)到省中心之間的這段網(wǎng)絡(luò)出現(xiàn)了問(wèn)題？   

筆者單位的局域網(wǎng)是一個(gè)簡(jiǎn)單的二層結(jié)構(gòu)，每一個(gè)處室的計(jì)算機(jī)都通過(guò)100M雙絞線連接到局域網(wǎng)的普通二層交換機(jī)上，普通二層交換機(jī)直接與硬件防火墻連接，并通過(guò)該防火墻自帶的路由功能進(jìn)行共享上網(wǎng)，硬件防火墻后面連接的是寬帶接入設(shè)備，該設(shè)備通過(guò)2M光纖線路與Internet網(wǎng)絡(luò)保持連接，并且本地局域網(wǎng)中的所有計(jì)算機(jī)都是使用靜態(tài)IP地址上網(wǎng)。省中心的組網(wǎng)結(jié)構(gòu)基本與筆者單位局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)相同，這兩個(gè)局域網(wǎng)是通過(guò)各自硬件防火墻創(chuàng)建的VPN網(wǎng)絡(luò)通道進(jìn)行相連的，而各個(gè)市級(jí)用戶需要訪問(wèn)的科技計(jì)劃在線申報(bào)系統(tǒng)，部署安裝在省中心局域網(wǎng)的一臺(tái)文件服務(wù)器中。

追查故障原因   

由于筆者單位局域網(wǎng)與省中心局域網(wǎng)之間的VPN連接通道是通過(guò)硬件防火墻創(chuàng)建的，按理來(lái)說(shuō)它的網(wǎng)絡(luò)傳輸速度要比軟件防火墻快許多，對(duì)應(yīng)的VPN網(wǎng)絡(luò)連接速度也應(yīng)該很快才對(duì)。為此，筆者打算先從本地局域網(wǎng)開(kāi)始查起；筆者在自己的計(jì)算機(jī)中，依次單擊“開(kāi)始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“ping 10.172.168.1”(其中10.172.168.1為本地局域網(wǎng)的網(wǎng)關(guān)地址)，單擊回車鍵后，筆者從其后返回的結(jié)果信息中，發(fā)現(xiàn)ping值為1ms，這說(shuō)明本地局域網(wǎng)的網(wǎng)關(guān)可以正常訪問(wèn)。接著使用ping命令測(cè)試本地ISP分配給筆者單位的廣域網(wǎng)端口地址，測(cè)試結(jié)果表明一切正常，而且中途也沒(méi)有掉包、斷行現(xiàn)象，這就說(shuō)明本地局域網(wǎng)到本地ISP之間的這段線路是正常的，同時(shí)也意味著本地局域網(wǎng)不存在任何問(wèn)題。   

下面，筆者開(kāi)始使用ping命令測(cè)試省中心連接本單位網(wǎng)絡(luò)時(shí)對(duì)應(yīng)的廣域網(wǎng)端口地址，從返回的結(jié)果來(lái)看該ping值達(dá)到了20ms，不過(guò)這期間沒(méi)有丟包、掉行的現(xiàn)象發(fā)生，這說(shuō)明從筆者的局域網(wǎng)到省中心的廣域網(wǎng)之間的連接也不存在任何問(wèn)題；繼續(xù)使用ping命令測(cè)試省中心局域網(wǎng)的網(wǎng)關(guān)地址時(shí)，筆者發(fā)現(xiàn)這次測(cè)試得到的結(jié)果為50ms，同時(shí)在測(cè)試過(guò)程中存在數(shù)據(jù)丟包、掉行現(xiàn)象，看來(lái)省中心的廣域網(wǎng)端口地址到對(duì)應(yīng)的網(wǎng)關(guān)地址之間存在問(wèn)題；而這段網(wǎng)絡(luò)通道上包含的傳輸介質(zhì)主要有硬件防火墻設(shè)備、寬帶接入設(shè)備以及網(wǎng)絡(luò)雙絞線，會(huì)不會(huì)是其中的一個(gè)出現(xiàn)了問(wèn)題呢？   

想到這一點(diǎn)，筆者立即聯(lián)系省中心技術(shù)人員，懇請(qǐng)他們將連接寬帶接入設(shè)備與硬件防火墻設(shè)備之間的那段網(wǎng)絡(luò)雙絞線更換掉，在更換了一根網(wǎng)絡(luò)線纜后，筆者繼續(xù)使用ping命令測(cè)試省中心的網(wǎng)關(guān)地址，結(jié)果發(fā)現(xiàn)得到的返回結(jié)果依然和上次一樣，這說(shuō)明網(wǎng)絡(luò)雙絞線不存在任何問(wèn)題，那現(xiàn)在能出問(wèn)題的無(wú)非就是硬件防火墻設(shè)備、寬帶接入設(shè)備了。   

由于省中心與各個(gè)地級(jí)市單位網(wǎng)絡(luò)連接時(shí)，使用的設(shè)備幾乎都是相同型號(hào)的設(shè)備，并且它們都是一次性采購(gòu)回來(lái)的，按理來(lái)說(shuō)它們的工作性能也差不多，為此筆者請(qǐng)求省中心的技術(shù)人員幫忙使用其他市的設(shè)備替代一下可能出現(xiàn)問(wèn)題的寬帶接入設(shè)備，在替代成功之后，筆者再一次進(jìn)行了ping測(cè)試，來(lái)觀察省中心局域網(wǎng)的網(wǎng)關(guān)地址是否能夠正常ping通，結(jié)果發(fā)現(xiàn)還是不行，這說(shuō)明上述問(wèn)題也不是由寬帶接入設(shè)備引起的。這可蹊蹺了，難道問(wèn)題出現(xiàn)在硬件防火墻設(shè)備上？   

考慮到硬件防火墻設(shè)備剛買回來(lái)沒(méi)有多長(zhǎng)時(shí)間，筆者估計(jì)該設(shè)備在硬件質(zhì)量方面不存在什么問(wèn)題，問(wèn)題會(huì)不會(huì)出現(xiàn)在參數(shù)設(shè)置上呢？不得已，筆者只好請(qǐng)省中心的工作人員登錄到硬件防火墻設(shè)備的后臺(tái)管理界面，將其中的一些重要參數(shù)記錄下來(lái)，然后筆者再與他對(duì)照一下本地局域網(wǎng)防火墻的相關(guān)參數(shù)，看看在參數(shù)設(shè)置方面是否存在問(wèn)題。果然，這一努力沒(méi)有白費(fèi)，在查看到硬件防火墻設(shè)備的端口參數(shù)時(shí)，省中心工作人員發(fā)現(xiàn)硬件防火墻設(shè)備與二層交換機(jī)之間的連接端口工作模式被設(shè)置為了100M、全雙工模式，而硬件防火墻設(shè)備與寬帶接入設(shè)備之間的連接端口工作模式被設(shè)置為了自適應(yīng)模式；但是，筆者發(fā)現(xiàn)本地局域網(wǎng)使用的硬件防火墻設(shè)備，其局域網(wǎng)連接端口與廣域網(wǎng)連接端口工作模式都被設(shè)置成了100M、全雙工模式，難道是這點(diǎn)不同，造成了VPN連接速度下降嗎？

解決故障現(xiàn)象   

筆者經(jīng)過(guò)查閱這款硬件防火墻的參數(shù)說(shuō)明書，發(fā)現(xiàn)在默認(rèn)狀態(tài)下該防火墻的局域網(wǎng)連接端口與廣域網(wǎng)連接端口工作模式都處于自適應(yīng)模式狀態(tài)，但是在實(shí)際組網(wǎng)的時(shí)候，筆者清楚地記得這些端口應(yīng)該全部被設(shè)置成100M、全雙工模式狀態(tài)，那么為什么省中心硬件防火墻的一個(gè)端口處于100M、全雙工模式狀態(tài)，另外一個(gè)端口處于自適應(yīng)模式狀態(tài)呢？看來(lái)，很可能是工作人員在工作中遺忘了對(duì)該參數(shù)的修改設(shè)置；于是，筆者請(qǐng)求省中心的工作人員，將對(duì)應(yīng)硬件防火墻的廣域網(wǎng)連接端口工作模式從自適應(yīng)狀態(tài)修改成100M、全雙工模式狀態(tài)，當(dāng)修改操作完成后，筆者繼續(xù)使用ping命令測(cè)試省中心的網(wǎng)關(guān)地址，這一次筆者看到了明顯不一樣的測(cè)試結(jié)果：ping測(cè)試數(shù)值從以前的50ms變成了30ms，同時(shí)在測(cè)試過(guò)程中也沒(méi)有發(fā)生數(shù)據(jù)丟包、掉行現(xiàn)象。   

此時(shí)，筆者隨意從本地局域網(wǎng)的一臺(tái)計(jì)算機(jī)中，訪問(wèn)了省中心的在線申報(bào)系統(tǒng)，結(jié)果打開(kāi)速度很快。至此，VPN連接速度下降的故障現(xiàn)象就被成功解決了。

最后的總結(jié)   

仔細(xì)回顧上面的故障排除過(guò)程，筆者認(rèn)為之所以在解決網(wǎng)絡(luò)故障時(shí)走了一些彎路，主要就是筆者簡(jiǎn)單地認(rèn)為省中心與本地局域網(wǎng)使用的網(wǎng)絡(luò)結(jié)構(gòu)幾乎都一樣，并且其中的主要網(wǎng)絡(luò)設(shè)備都是集中采購(gòu)，并且經(jīng)過(guò)統(tǒng)一配置的，于是就沒(méi)有懷疑它們之間的差異性。事實(shí)上，由于工作人員的疏忽，造成了省中心硬件防火墻的廣域網(wǎng)連接速度與局域網(wǎng)連接速度不相匹配；大家知道，當(dāng)連接端口工作于100M、全雙工模式狀態(tài)時(shí)，硬件防火墻可以同時(shí)進(jìn)行數(shù)據(jù)接收操作和發(fā)送操作，而當(dāng)連接端口工作于自適應(yīng)模式狀態(tài)時(shí)，硬件防火墻往往不能同時(shí)進(jìn)行數(shù)據(jù)接收操作和發(fā)送操作，這樣一來(lái)VPN連接速度就會(huì)下降。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 技術(shù)診斷分析:處理VPN連接故障
2. VPN訪問(wèn)故障之排疑解惑