網(wǎng)絡(luò)故障診斷分析：處理VPN連接故障

虛擬專網(wǎng)(Virtual private networking，VPN)提供了有安全保障的安全連接，但是很多事情都可能會出錯。下面是一些情況以及應(yīng)該做的處理建議。

成都創(chuàng)新互聯(lián)專注于宣威網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供宣威營銷型網(wǎng)站建設(shè)，宣威網(wǎng)站制作、宣威網(wǎng)頁設(shè)計、宣威網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務(wù)，打造宣威網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供宣威網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

用戶不能訪問文件服務(wù)器

如果這個用戶可以通過IP地址但不能通過名稱來訪問文件服務(wù)器，最有可能的原因是域名解析的問題?？赡軙荖etBIOS 或者DNS主機名解析有問題。如果客戶端操作系統(tǒng)使用NetBIOS，VPN服務(wù)器就應(yīng)該為該VPN客戶端分配一個內(nèi)網(wǎng)主機名。

如果使用DNS來為VPN用戶解析內(nèi)部網(wǎng)主機名，一定要確保這些客戶端能夠正確解析企業(yè)網(wǎng)絡(luò)中所使用的域名。如果無域的計算機試圖使用DNS來解析位于VPN服務(wù)器后面的內(nèi)網(wǎng)服務(wù)器域名，就經(jīng)常會遇到這個問題。

用戶不能訪問企業(yè)網(wǎng)的任何內(nèi)容

有時候用戶能夠連接到遠程VPN服務(wù)器，但是不能夠連接到企業(yè)網(wǎng)絡(luò)內(nèi)的任何資源。它們不能解析主機名，甚至也不能ping通企業(yè)網(wǎng)絡(luò)里的資源。

這個問題最常見的原因是該用戶連接到的網(wǎng)絡(luò)同VPN服務(wù)器后面的企業(yè)網(wǎng)絡(luò)使用的是同樣的網(wǎng)絡(luò)ID。例如，該用戶連接到一個賓館寬帶網(wǎng)絡(luò)中，該網(wǎng)絡(luò)使用的ID是10.0.0.0/24。如果企業(yè)網(wǎng)也使用了10.0.0.0/24這個ID，它們就不能連接，因為VPN客戶端機器會把目標地址當作本地網(wǎng)絡(luò)地址，所以就不會通過VPN界面連接到遠程網(wǎng)絡(luò)上。

另一個常見的通訊失敗的原因是VPN客戶端連接到的VPN服務(wù)器/防火墻設(shè)備上的規(guī)則不允許該客戶端訪問企業(yè)網(wǎng)絡(luò)里的資源。解決的方法是修改防火墻的配置，允許VPN客戶端訪問適當?shù)木W(wǎng)絡(luò)資源。

用戶不能從NAT設(shè)備后連接到VPN服務(wù)器

絕大部分防火墻和NAT路由器支持NAT設(shè)備后面的PPTP VPN協(xié)議。然而，一些高端的網(wǎng)絡(luò)設(shè)備供應(yīng)商卻并沒有為PPTP VPN協(xié)議設(shè)置NAT編輯器。如果用戶是在這樣一個設(shè)備后面，使用PPTP進行VPN連接就會失敗，而使用VPN協(xié)議則可以成功。

所有的NAT設(shè)備和防火墻都支持基于IPSec的VPN協(xié)議IPSecpassthrough。這些VPN協(xié)議包括IPSec渠道模式和兼容RFC的L2TP/IPSec。這些VPN協(xié)議可以支持NAT，IPSec通信被壓縮成UDP報頭在網(wǎng)絡(luò)中往返。

如果你的VPN客戶端和服務(wù)器支持NAT，客戶端嘗試使用L2TP/IPSec穿過一個NAT連接一臺兼容NAT-T的VPN服務(wù)器，那么出現(xiàn)這種問題最有可能的原因是客戶端使用了Windows XP Service Pack 2。Service Pack 2阻止了L2TP/IPSec VPN 客戶端的NAT通信。如果想解決這個問題，你可以按照Microsoft Knowledge Base article 885407中的指導(dǎo)，對VPN客戶端機器注冊表進行修改。

用戶抱怨速度太慢

性能差是最難解決的問題之一。有很多種可能的原因，重要的是要獲得用戶的準確而詳細的描述，說清楚他們在做什么，以及什么時候發(fā)現(xiàn)速度慢的。

VPN客戶端覺得速度慢最常見的一個原因是這些客戶端位于一個使用PPPoE的DSL網(wǎng)絡(luò)后面。這些網(wǎng)絡(luò)連接經(jīng)常會遇到傳輸單元(MTU)問題，這個問題會造成連接和性能兩方面的影響。