通过VPN网络连接通道,位于Internet任何位置处的用户,都能轻轻松松访问到单位局域网中的隐私信息;相比传统的网络访问形式,VPN网络连接组网成本更经济,网络安全性更高,而且很适合用户的移动办公需求。不过,在执行 VPN网络连接的流程中,我们可能会遇到各式各样的新疑问,面对这样的疑问我们须要转换思路、对症下药,才能高速 处理好这类故障现象;这不,网侠就曾遭遇过一则奇怪的VPN连接速度下降故障,现在本文就将该故障原由的追踪流程贡献出来,希望大家能从中获得一些启发!
VPN连接变慢
最近,省中心新上了一套科技计划在线申报系统,该系统工作于VPN网络环境,其数据库位于省中心局域网的某台文件服务器中,各市级客户端用户可以通过VPN网络连接借助Web形式执行 访问、申报。在运行一段时间后,网侠发觉访问在线申报系统的速度很慢,有的时候连打开一个基本的系统登录页面都要耗费很长时间;网侠估计这中间肯定有地点出疑问了,于是电话联系省中心的工程师,询问他们科技计划在线申报系统在软件开发方面能不能存在什么限定,对方工程师经过一番仔细地检查测试,回复说这套系统在软件配置方面不存在任何限定,并且其他市的用户可以正常访问这套系统。既然这套系统没有疑问,难道是网侠所在单位的局域网到省中心之间的这段网络出现了疑问?
网侠单位的局域网是一个基本的二层结构,每一个处室的计算机都通过100M双绞线连接到局域网的普通二层交换机上,普通二层交换机直接与硬件防火墙连接,并通过该防火墙自带的路由功能执行 共享上网,硬件防火墙后面连接的是宽带接入设备,该设备通过2M光纤线路与Internet网络保持连接,并且本地局域网中的所有计算机都是运用静态IP地址上网。省中心的组网结构基本与网侠单位局域网的网络结构相同,这两个局域网是通过各自硬件防火墙建立的VPN网络通道执行 相连的,而各个市级用户须要访问的科技计划在线申报系统,部署安装在省中心局域网的一台文件服务器中。
追查故障原由
由于网侠单位局域网与省中心局域网之间的VPN连接通道是通过硬件防火墙建立的,按理来说它的网络传输速度要比软件防火墙快许多,对应的VPN网络连接速度也应该很快才对。为此,网侠打算先从本地局域网开始查起;网侠在自己的计算机中,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“ping 10.172.168.1”(其中10.172.168.1为本地局域网的网关地址),单击回车键后,网侠从其后返回的结果信息中,发觉 ping值为1ms,这说明本地局域网的网关可以正常访问。接着运用 ping命令测试本地ISP分配给网侠单位的广域网端口地址,测试结果表明一切正常,而且中途也没有掉包、断行现象,这就说明本地局域网到本地ISP之间的这段线路是正常的,同时也意味着本地局域网不存在任何疑问。
下面,网侠开始运用 ping命令测试省中心连接本单位网络时对应的广域网端口地址,从返回的结果来看该ping值达到了20ms,不过这期间没有丢包、掉行的现象发生,这说明从网侠的局域网到省中心的广域网之间的连接也不存在任何疑问;继续运用 ping命令测试省中心局域网的网关地址时,网侠发觉这次测试得到的结果为50ms,同时在测试流程中存在数据丢包、掉行现象,看来省中心的广域网端口地址到对应的网关地址之间存在疑问;而这段网络通道上包含的传输介质主要有硬件防火墙设备、宽带接入设备以及网络双绞线,会不会是其中的一个出现了疑问呢?
想到这一点,网侠立即联系省中心技能人员,恳请他们将连接宽带接入设备与硬件防火墙设备之间的那段网络双绞线更换掉,在更换了一根网络线缆后,网侠继续运用 ping命令测试省中心的网关地址,结果发觉得到的返回结果依然和上次一样,这说明网络双绞线不存在任何疑问,那现在能出疑问的无非就是硬件防火墙设备、宽带接入设备了。
由于省中心与各个地级市单位网络连接时,运用的设备几乎都是相同型号的设备,并且它们都是一次性采购回来的,按理来说它们的工作性能也差不多,为此网侠请求省中心的技能人员帮忙运用其他市的设备替代一下可能出现疑问的宽带接入设备,在替代成功之后,网侠再一次执行 了ping测试,来观察省中心局域网的网关地址能不能能够正常ping通,结果发觉还是不可以,这说明上述疑问也不是由宽带接入设备引起的。这可蹊跷了,难道疑问出现在硬件防火墙设备上?
考虑到硬件防火墙设备刚买回来没有多长时间,网侠估计该设备在硬件质量方面不存在什么疑问,疑问会不会出现在参数配置上呢?不得已,网侠只好请省中心的工作人员登录到硬件防火墙设备的后台管理界面,将其中的一些主要参数记录下来,然后网侠再与他对照一下本地局域网防火墙的有关参数,看看在参数配置方面能不能存在疑问。果然,这一努力没有白费,在查看到硬件防火墙设备的端口参数时,省中心工作人员发觉硬件防火墙设备与二层交换机之间的连接端口工作模式被配置为了100M、全双工模式,而硬件防火墙设备与宽带接入设备之间的连接端口工作模式被配置为了自适应模式;但是,网侠发觉本地局域网运用的硬件防火墙设备,其局域网连接端口与广域网连接端口工作模式都被配置成了100M、全双工模式,难道是这点不同,造成了VPN连接速度下降吗?
处理故障现象
网侠经过查阅这款硬件防火墙的参数说明书,发觉在默认状态下该防火墙的局域网连接端口与广域网连接端口工作模式都处于自适应模式状态,但是在实际组网的时候,网侠清楚地记得这些端口应该全部被配置成100M、全双工模式状态,那么为什么省中心硬件防火墙的一个端口处于100M、全双工模式状态,另外一个端口处于自适应模式状态呢?看来,很可能是工作人员在工作中遗忘了对该参数的修改配置;于是,网侠请求省中心的工作人员,将对应硬件防火墙的广域网连接端口工作模式从自适应状态修改成100M、全双工模式状态,当修改操作完成后,网侠继续运用 ping命令测试省中心的网关地址,这一次网侠看到了明显不一样的测试结果:ping测试数值从以前的50ms变成了30ms,同时在测试流程中也没有发生数据丢包、掉行现象。
此时,网侠随意从本地局域网的一台计算机中,访问了省中心的在线申报系统,结果打开速度很快。至此,VPN连接速度下降的故障现象就被成功处理了。
最后的总结
仔细回顾上面的故障排除流程,网侠认为之所以在处理网络故障时走了一些弯路,主要就是网侠基本地认为省中心与本地局域网运用的网络结构几乎都一样,并且其中的主要网络设备都是集中采购,并且经过统一配置的,于是就没有怀疑它们之间的差异性。事实上,由于工作人员的疏忽,造成了省中心硬件防火墙的广域网连接速度与局域网连接速度不相匹配;大家知道,当连接端口工作于100M、全双工模式状态时,硬件防火墙可以同时执行 数据接收操作和发送操作,而当连接端口工作于自适应模式状态时,硬件防火墙往往不能同时执行 数据接收操作和发送操作,这样一来VPN连接速度就会下降。
