在局域網組網規模相對較大的單位,單位員工時常會選用VPN方式來訪問內部網絡。借助VPN網絡連接,單位員工可以十分輕松地擺脫地理位置的限制,隨心所欲地在Internet網絡的任何位置都能訪問到單位內部網絡。相比普通撥號網絡連接服務,VPN網絡連接服務具有被更多上網用戶認可的優勢,目前在使用過程中正在慢慢取代普通的撥號網絡連接服務。不過在實際使用VPN網絡的時候,當單位員工成功建立VPN連接后,盡管能夠順暢地訪問單位的內部網絡資源,不過此時員工的本地工作站卻不能訪問Internet網絡了,這是什么原因呢? 現在,本文就對這種故障現象進行詳細剖析,希望大家能從中獲得收獲!
初探VPN工作站訪問外網不暢
眾所周知,VPN工作站是利用Internet網絡連接單位內部網絡VPN服務器的,那么為什么上網用戶在成功創建了VPN網絡連接后,反而不能順暢訪問Internet網絡中的內容呢?發生了這種故障現象時,很多熟悉網絡知識的朋友都知道這種現象可能是由路由參數設置不當引起的,所以在解決這種故障現象時,許多人都會打開VPN網絡連接的屬性設置界面,進入其中的高級TCP/IP設置頁面,再將“在遠程網絡上使用默認網關”項目取消選中(如圖1所示),來實現訪問Internet網絡的目的。
從表面上來看這種解決故障的方法是切實可行的,上網用戶會認為解決了一個路由故障,事實上簡單地取消選中“在遠程網絡上使用默認網關”項目容易造成新的路由故障,甚至還可能威脅到單位內部網絡的運行安全性。我們不妨捫心自想一下,當初使用VPN網絡連接訪問單位內部網絡的目標是為了保障局域網網絡的安全運行,結果卻可能由于VPN網絡連接影響了整個單位網絡的運行安全性,那么這樣就有點得不償失了。
圖1
如此說來難道我們就不能找出更好的辦法,讓VPN工作站既能正常訪問單位內部網絡,又能順暢訪問Internet網絡了嗎?在回答這個問題之前,我們認為有必要先來探究一下VPN工作站的路由尋徑情況。既然VPN訪問外網不暢的原因是由路由引起的,現在我們不妨仔細檢查一下VPN網絡連接成功前后,VPN工作站的本地路由表發生了什么變化,之后根據具體的變化情況來尋找網絡故障的原因所在。當VPN工作站沒有建立VPN網絡連接時,我們可以在本地系統依次單擊“開始”/“運行”命令,在彈出的系統運行文本框中輸入字符串命令“cmd”,單擊回車鍵后,將系統狀態切換到DOS命令行狀態;在DOS命令行提示符下輸入字符串命令“route print”,單擊回車鍵后,我們將看到如圖2所示的結果界面。
接著,在VPN工作站中建立好VPN網絡連接后,再次進入到DOS命令行狀態,并在該狀態下執行字符串命令“route print”,隨后我們又將看到一個與圖2界面不同的結果;仔細對比這兩個結果畫面,我們可以非常清楚地看到,在建立VPN網絡連接后本地工作站的路由表內容發生了明顯變化,變化較大的就是本地VPN工作站訪問Internet網絡的路徑會優先選用VPN的計劃程序端口,之后上網請求信息會通過VPN端口將數據信息轉發到遠程VPN服務器中,這個尋找路徑的過程自然不會成功訪問到Internet網絡中的內容,而只能訪問到單位內部網絡的內容,這也是前面所說的VPN工作站建立VPN網絡連接后不能順暢訪問Internet網絡的原因。
圖2
揭密數據在VPN通道傳輸過程
為了更好地解決VPN訪問外網不暢的故障現象,我們還有必要來了解一下上網數據信息在VPN網絡連接通道中的傳輸過程。我們知道,VPN網絡連接接口其實就是一個點對點方式的虛擬鏈路接口,當VPN網絡連接接口收到網絡訪問包時,該連接接口就會把從網絡層獲取得來的數據信息包封裝成PPP點對點格式的數據幀,同時對該數據幀進行安全加密操作,之后再把安全封裝好的數據幀信息傳輸到指定的網關那里,這里所提到的網關其實就是VPN工作站自己,因此這個被安全封裝的上網數據信息幀又被重新返回給本地工作站再次進行處理,這次處理操作實際上就是再次對上網數據信息幀進行封裝的過程。
那么VPN工作站為什么需要重復對上網數據信息幀進行封裝呢?這是因為第一次進行安全封裝的數據幀往往只能通過虛擬的VPN網絡連接接口進行傳輸,要想將上網數據信息通過實際的網絡連接接口進行傳輸,還需要在實際的網絡鏈路層中重新進行一次安全封裝操作才行。而在最終封裝成符合網絡鏈路層傳輸要求的數據幀之前,往往要對第一次封裝過的上網數據信息幀進行其他的多級封裝,這是由于按照規定是無法直接把PPP點對點格式的數據幀封裝在另一個鏈路層數據幀中的,這需要在PPP點對點格式的數據幀之前添加一些報頭,例如最簡單的是添加一個GRE報頭和IP報頭。
當上網數據信息幀被封裝到符合網絡層傳輸要求時,比方說在封裝到IP報頭的時候,還需要在這個過程中進行一次路由指定,這是因為上網數據信息包必須要明確地發送到目標遠程VPN服務器那里,上網數據信息包需要在這里尋找到一條能夠到達目標遠程VPN服務器的路由,之后上網數據信息就在目標路由的指定下將數據送到特定的網絡接口進行處理。
應對VPN訪問外網不暢的方案
通過上面的分析,我們不難看出,使用VPN網絡連接訪問單位內部網絡時,一定要讓通過VPN網絡連接傳輸的數據信息包先到達VPN網絡虛擬連接接口進行處理,倘若沒有經過虛擬VPN網絡連接接口處理的話,那么通過VPN網絡連接出去的數據信息包就沒有經過安全加密環節,這些的數據信息在Internet通道中傳輸時,自然就會影響到單位內部網絡的安全性。
當我們在VPN網絡連接屬性設置界面中將“在遠程網絡上使用默認網關”項目取消選中時,盡管遠程局域網網絡能通過Internet通道到達目標網站內容,可是這個訪問過程沒有通過虛擬VPN網絡連接端口進行傳輸,那樣一來上網信息就沒有經過安全加密處理,這樣的話上網信息的安全性就無法得到保證,很顯然這并不是VPN網絡訪問真正想要實現的目的,所以簡單地將“在遠程網絡上使用默認網關”項目取消選中顯然是不可取的。
退一步來說,即使我們將遠程局域網的內網IP地址分配給VPN工作站,一旦將“在遠程網絡上使用默認網關”項目的選中狀態取消,同樣也會出現路由尋徑問題,因為此時所有發送到本地工作子網中的數據信息包都將被自動路由到遠程局域網網絡中。為了有效防止VPN工作站出現這種路由尋徑錯誤,我們可以嘗試為VPN工作站分配一個特殊的IP地址,確保該地址不能與VPN工作站所處的本地工作子網地址范圍相同,不過要與遠程局域網工作子網地址范圍相同。
但是,如果將VPN網絡連接屬性設置界面中的“在遠程網絡上使用默認網關”選項保持選中,我們就不能實現同時訪問遠程局域網和Internet網絡的目的,這顯然是一個兩難問題,針對這種問題我們目前還沒有找到一個合適的設置方法,只能在不同的工作環境中使用不同的網絡設置來解決網絡連接問題。由于將VPN網絡連接屬性設置界面中的“在遠程網絡上使用默認網關”項目取消選中,一定會影響遠程局域網的安全運行。
為此,在遠程局域網對安全要求較高的情況下,我們肯定要選中“在遠程網絡上使用默認網關”選項;對于那些既想訪問Internet網絡又想訪問遠程局域網的的朋友來說,我們不妨嘗試使用HTTP代理實現訪問Internet網絡的目的,該功能大部分代理服務器往往是支持的。例如,要是我們希望VPN工作站能夠同時訪問Internet網絡和遠程局域網時,可以考慮在VPN服務器中安裝專業的代理服務器程序,例如可以安裝專業的Wingate工具程序;之后從系統的“開始”菜單中啟動運行Wingate程序,打開“Users”選項設置頁面,再雙擊“Assumed users”選項,然后單擊其后界面中的“By IP Address”選項卡,在對應的選項設置頁面中單擊“Add”按鈕,如此一來我們就能看到Location設置對話框了,在這里輸入需要訪問代理服務器的VPN工作站IP地址,同時將對應界面中的“Guest”項目選中,最后單擊“OK”按鈕,那樣一來指定的VPN工作站就能通過代理服務器來訪問Internet網絡中的內容了。
在對代理服務器系統的相關參數進行合適設置后,我們還需要對VPN工作站的IE瀏覽器進行設置。在設置IE瀏覽器的代理參數時,我們可以先運行IE瀏覽器程序進入IE瀏覽器窗口,單擊該窗口菜單欄中的“工具”選項,從下拉菜單中點選“Internet選項”菜單命令,從其后的Internet屬性界面中單擊“連接”標簽,打開如圖3所示的標簽設置頁面;在該標簽設置頁面的“局域網設置”處單擊“局域網設置”按鈕,進入如圖4所示的代理服務器參數設置界面,之后在該頁面中正確輸入代理服務器的IP地址以及代理服務端口號碼,通常來說默認的代理服務端口號碼為“80”,最后單擊“確定”按鈕結束代理服務器客戶端參數設置操作,如此一來VPN工作站通過VPN網絡連接與遠程局域網中的VPN服務器建立連接后,再通過架設在VPN服務器中的代理服務器就能實現訪問Internet網絡的目的了。
圖3
圖4
當然,需要提醒各位注意的是,要是VPN工作站只想訪問遠程局域網網絡,而不訪問本地工作子網時,可以直接將VPN工作站的IP地址設置成與VPN服務器的IP地址位于相同的邏輯子網,此時我們就能將“在遠程網絡上使用默認網關”項目取消選中了。
小提示
在普通工作站中創建VPN連接時,我們有時會看到網絡連接創建向導窗口中“使用撥號或VPN連接”選項處于灰色不可選狀態,那樣的話我們就無法在普通工作站中成功創建VPN網絡連接了,那為什么會出現這種現象呢,我們又該如何解決這樣的故障現象呢?其實,引起這種網絡故障的因素有很多,我們必須對此進行依次排查。首先應該檢查本地工作站的系統文件有沒有受到受損,倘若與VPN網絡連接有關的系統文件意外受到損壞時,那就很容易出現上面的故障現象。在判斷本地工作站的系統文件有沒有受到損壞時,我們不妨先依次單擊本地系統桌面中的“開始”、“運行”命令,在其后彈出的系統運行框中輸入字符串命令“sfc /scannow”,單擊“確定”按鈕后,Windows系統就會自動掃描本地工作站系統文件,遇到有系統文件被破壞時屏幕就會自動彈出提示要求我們進行恢復。要是受損的系統文件被恢復正常后,我們再將本地工作站系統重新啟動一下,之后重新創建網絡連接,相信此時“使用撥號或VPN連接”選項就有可能處于可選狀態了。
如果通過上面的操作無法讓“使用撥號或VPN連接”選項的顯示狀態恢復正常的話,那就說明這種故障現象與系統文件無關,此時我們就需要認真檢查與VPN網絡連接創建操作相關的系統服務是否運行正常了,例如一旦系統服務Remote Access Connection Manager工作狀態不正常時,那就有可能出現“使用撥號或VPN連接”選項顯示不正常的現象了。在檢查Remote Access Connection Manager系統服務工作狀態是否運行正常時,可以依次單擊“開始”/“程序”/“管理工具”/“服務”命令,在彈出的系統服務列表界面中雙擊Remote Access Connection Manager服務選項,進入目標系統服務的屬性設置界面,在該屬性界面的常規標簽頁面中,我們就能非常直觀地看到該服務的工作狀態是否正常了。相信經過上面的設置,多半就能解決VPN網絡連接無法創建的故障現象了。