IP VPN指通过共享的IP网络上建立私有的数据通道, 将分布在不同地域的网络或终端连接起来, 构成一个专用的、具有一定安全性和服务质量保证的网络。IP VPN是通过隧道机制实现的, 隧道机制可以提供一定的安全性, 并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。目前常见的IP VPN技术有第二层隧道协议 (L 2 T P) 、I P安全协议 (IPSec) 、多协议标签交换 (MPLS) 协议等。
您可以通过无数种方式构建虚拟专用网络。最低限度的V P N实现方案由连接Internet的RAS PPTP服务器、连接Internet的客户端以及位于上述服务器与客户端之间的P P T P连接所组成。只要I S P服务或Internet连接处于可用状态, 客户端即可从世界上的任意一个角落与您的服务器建立连接。然而, 大多数VPN并非仅仅由相互连接的服务器与客户端构成。通常情况下, VPN服务器位于一个可以实现路由的LAN网段上, 并处在防火墙后方;客户端连接则使用一个同样包含路由器与防火墙的ISP网络。图1显示了一种常见的移动客户端VPN实现方案。
为确保VPN连接成功, PPTP客户端必须正确维护两套TCP/IP协议栈设置:其中一套面向于ISP与Internet连接, 另一套面向于VPN服务器连接。客户端路由表同样必须包含两条记录:其中一条负责将网络数据包定向至提供Internet浏览服务的ISP, 另一条指向用于实现LAN浏览的VPN服务器接口。当协议栈设置不正确时, 客户端将会遇到严重问题。通常情况下, NT客户端维护独立的TCP/IP协议栈设置, 然而, 当同时配备网卡和调制解调器时, Windows 95客户端则会经常出现协议栈设置问题。在建立PPTP连接后, Windows 9x缺省网关可能仍旧指向ISP, 从而使客户端无法成功浏览LAN。下面, 让我们来看一看最为常见的客户端连接问题。
客户端无法连接PPTP服务器:您可能遇到的第一种问题是客户端无法连接到PPTP服务器。此时, 您需要对以下三种可能导致这种问题的因素进行查看。
建立VPN服务器Internet连通性。在完成客户端配置工作后, 您需要验证VPN服务器具备一条Internet连接。验证这种连接的最简单方式是从设置服务器TCP/IP地址的客户端上对服务器执行ping操作。 (如果您的PPTP服务器位于防火墙后方且防火墙被设置为阻止Internet控制消息协议--ICMP--ping消息, 那么, 这种验证方式将无法使用。) 如果ping指令显示消息请求超时, 则说明服务器Internet连接可能存在某种问题。如果服务器通过地址进行响应, 您可以在DUN记录的电话号码字段中输入TCP/IP地址以便建立PPTP会话。尽管与通过全面验证的域名 (FQDN) 相比有些不够友好, 这项技术在您知道服务器地址的情况下仍旧非常有效。
需要注意的是, 使用拨号连接的服务器很有可能在每次与ISP建立连接时获得不同的地址。如需通过地址进行连接, 您必须了解服务器每次建立拨号连接时由ISP所分配的地址。通常情况下, 您的RAS服务器将使用一个永久地址, 从而消除了连接过程中的一项细微可变因素。
如果服务器通过地址进行响应, 请继续使用名称对其执行ping操作。如果服务器无法通过名称进行响应, 原因可能有两种服务器可能不具备注册域名, 或者您的ISP DNS服务器可能处于停机状态或无法正常工作。
查看PPTP过滤功能。当服务器上的PPTP过滤功能处于启用状态时, 您可能会看到消息“错误678:无法应答”或“错误650:远程访问服务器无法响应”。此时, 请在服务器上禁用PPTP过滤功能 (Net Stop RASPPTPF) , 并查看是否可以建立非过滤连接。
假如能够在过滤功能处于禁用状态的情况下建立连接, 请检查服务器的过滤器设置。假如您禁用了编号为1 3 7和1 3 8的U P D端口或者编号为1 3 9的T C P端口, Net BIOS数据包将无法通过网络。对于单播 (点对点) 通信过程, 您同样需要在客户端与服务器之间的所有防火墙与路由器上启用这些端口。
过滤G R E协议。假如服务器能够通过地址和名称进行响应但您仍然无法建立连接, 那么, 您所使用的ISP路由器、内部路由器或防火墙可能过滤掉了GRE数据包。为建立一条PPTP隧道, 客户端与服务器之间需要交换GRE数据包, 然而, 由于需要在内部利用GRE来治理路由器, 某些ISP会禁用外部GRE数据包。尽管GRE过滤功能并不常用, 但他的确能够阻止PPTP连接, 因此, 请确保您在VPN连接两端均启用了编号为47的IP协议端口 (GRE) 以及编号为1723的TCP端口。您可以利用Microsoft网络监视器或其它类似的网络探测工具来确定GRE过滤功能是否被启用。
客户端能够连接但无法登录:您可能碰到的第二种问题是已经建立连接的客户端无法进行登录。此时, 您需要对以下三种可能导致这种问题的因素进行查看。
配置域和服务器帐号。您可以将RAS服务器配置为域控制器或独立系统。假如您将服务器配置为域控制器, 请确保用户的域帐号具备拨入权限。假如服务器并非域控制器, 缺省情况下, R A S将通过本地SAM对客户端授权凭证进行验证。用户可以通过两种方式在独立服务器上实现身份验证:利用RAS服务器上的本地帐号或利用强制服务器通过域SAM对证书进行验证的注册表项。无论采用何种方式, 您所提供的帐号都必须具备拨入权限。
当管理员在Windows 2000 (Win2K) 中利用标准隧道协议与IP安全性 (IPSec) 时, 这些技术将被广泛采用。在学习这些技术的过程中, 我们应当做到由浅入深且一步一个脚印, 此后, 我们便可以高枕无忧了。
摘要:随着IP VPN业务的不断发展, 而如何迅速的配置好客户端以便建立与服务器的虚拟专用网络是我们所面临的一个新的课题。本文对工作中所出现的配置客户端的常见问题进行了剖析, 从多个方面对此进行了探讨, 并提出了相应的解决方法。
关键词:IP VPN,故障诊断
【浅谈IPVPN客户端故障诊断分析】相关文章:
浅谈锅炉风机故障诊断及状态维修12-16
机床数控系统故障诊断方法浅谈11-19
水电机组故障诊断分析论文04-27
水电机组故障诊断分析论文提纲11-15
数控机床故障诊断分析论文04-27
机电设备故障诊断技术分析论文04-29
汽车机械故障诊断技术应用分析09-10
汽车电机故障诊断方法分析论文05-01
关于乡镇变压器故障诊断技术的分析09-12