VPN連接速度下降 禍起端口模式
原創【51CTO.com獨家特稿】通過VPN網絡連接通道,位于Internet任何位置處的用戶,都能輕松訪問到單位局域網中的隱私信息;相比傳統的網絡訪問方式,VPN網絡連接組網成本更經濟,網絡安全性更高,而且很適合用戶的移動辦公需求。不過,在進行VPN網絡連接的過程中,我們可能會遇到各式各樣的新問題,面對這樣的問題我們需要轉換思路、對癥下藥,才能迅速解決好這類故障現象;這不,筆者就曾遭遇過一則奇怪的VPN連接速度下降故障,現在本文就將該故障原因的追蹤過程貢獻出來,希望大家能從中獲得一些啟發!
VPN連接變慢
最近,省中心新上了一套科技計劃在線申報系統,該系統工作于VPN網絡環境,其數據庫位于省中心局域網的某臺文件服務器中,各市級客戶端用戶可以通過VPN網絡連接借助Web方式進行訪問、申報。在運行一段時間后,筆者發現訪問在線申報系統的速度很慢,有的時候連打開一個簡單的系統登錄頁面都要耗費很長時間;筆者估計這中間肯定有地方出問題了,于是電話聯系省中心的工程師,詢問他們科技計劃在線申報系統在軟件開發方面是否存在什么限制,對方工程師經過一番仔細地檢查測試,回復說這套系統在軟件設置方面不存在任何限制,并且其他市的用戶可以正常訪問這套系統。既然這套系統沒有問題,難道是筆者所在單位的局域網到省中心之間的這段網絡出現了問題?
筆者單位的局域網是一個簡單的二層結構,每一個處室的計算機都通過100M雙絞線連接到局域網的普通二層交換機上,普通二層交換機直接與硬件防火墻連接,并通過該防火墻自帶的路由功能進行共享上網,硬件防火墻后面連接的是寬帶接入設備,該設備通過2M光纖線路與Internet網絡保持連接,并且本地局域網中的所有計算機都是使用靜態IP地址上網。省中心的組網結構基本與筆者單位局域網的網絡結構相同,這兩個局域網是通過各自硬件防火墻創建的VPN網絡通道進行相連的,而各個市級用戶需要訪問的科技計劃在線申報系統,部署安裝在省中心局域網的一臺文件服務器中。
追查故障原因
由于筆者單位局域網與省中心局域網之間的VPN連接通道是通過硬件防火墻創建的,按理來說它的網絡傳輸速度要比軟件防火墻快許多,對應的VPN網絡連接速度也應該很快才對。為此,筆者打算先從本地局域網開始查起;筆者在自己的計算機中,依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“ping 10.172.168.1”(其中10.172.168.1為本地局域網的網關地址),單擊回車鍵后,筆者從其后返回的結果信息中,發現ping值為1ms,這說明本地局域網的網關可以正常訪問。接著使用ping命令測試本地ISP分配給筆者單位的廣域網端口地址,測試結果表明一切正常,而且中途也沒有掉包、斷行現象,這就說明本地局域網到本地ISP之間的這段線路是正常的,同時也意味著本地局域網不存在任何問題。
下面,筆者開始使用ping命令測試省中心連接本單位網絡時對應的廣域網端口地址,從返回的結果來看該ping值達到了20ms,不過這期間沒有丟包、掉行的現象發生,這說明從筆者的局域網到省中心的廣域網之間的連接也不存在任何問題;繼續使用ping命令測試省中心局域網的網關地址時,筆者發現這次測試得到的結果為50ms,同時在測試過程中存在數據丟包、掉行現象,看來省中心的廣域網端口地址到對應的網關地址之間存在問題;而這段網絡通道上包含的傳輸介質主要有硬件防火墻設備、寬帶接入設備以及網絡雙絞線,會不會是其中的一個出現了問題呢?
想到這一點,筆者立即聯系省中心技術人員,懇請他們將連接寬帶接入設備與硬件防火墻設備之間的那段網絡雙絞線更換掉,在更換了一根網絡線纜后,筆者繼續使用ping命令測試省中心的網關地址,結果發現得到的返回結果依然和上次一樣,這說明網絡雙絞線不存在任何問題,那現在能出問題的無非就是硬件防火墻設備、寬帶接入設備了。
由于省中心與各個地級市單位網絡連接時,使用的設備幾乎都是相同型號的設備,并且它們都是一次性采購回來的,按理來說它們的工作性能也差不多,為此筆者請求省中心的技術人員幫忙使用其他市的設備替代一下可能出現問題的寬帶接入設備,在替代成功之后,筆者再一次進行了ping測試,來觀察省中心局域網的網關地址是否能夠正常ping通,結果發現還是不行,這說明上述問題也不是由寬帶接入設備引起的。這可蹊蹺了,難道問題出現在硬件防火墻設備上?
考慮到硬件防火墻設備剛買回來沒有多長時間,筆者估計該設備在硬件質量方面不存在什么問題,問題會不會出現在參數設置上呢?不得已,筆者只好請省中心的工作人員登錄到硬件防火墻設備的后臺管理界面,將其中的一些重要參數記錄下來,然后筆者再與他對照一下本地局域網防火墻的相關參數,看看在參數設置方面是否存在問題。果然,這一努力沒有白費,在查看到硬件防火墻設備的端口參數時,省中心工作人員發現硬件防火墻設備與二層交換機之間的連接端口工作模式被設置為了100M、全雙工模式,而硬件防火墻設備與寬帶接入設備之間的連接端口工作模式被設置為了自適應模式;但是,筆者發現本地局域網使用的硬件防火墻設備,其局域網連接端口與廣域網連接端口工作模式都被設置成了100M、全雙工模式,難道是這點不同,造成了VPN連接速度下降嗎?
解決故障現象
筆者經過查閱這款硬件防火墻的參數說明書,發現在默認狀態下該防火墻的局域網連接端口與廣域網連接端口工作模式都處于自適應模式狀態,但是在實際組網的時候,筆者清楚地記得這些端口應該全部被設置成100M、全雙工模式狀態,那么為什么省中心硬件防火墻的一個端口處于100M、全雙工模式狀態,另外一個端口處于自適應模式狀態呢?看來,很可能是工作人員在工作中遺忘了對該參數的修改設置;于是,筆者請求省中心的工作人員,將對應硬件防火墻的廣域網連接端口工作模式從自適應狀態修改成100M、全雙工模式狀態,當修改操作完成后,筆者繼續使用ping命令測試省中心的網關地址,這一次筆者看到了明顯不一樣的測試結果:ping測試數值從以前的50ms變成了30ms,同時在測試過程中也沒有發生數據丟包、掉行現象。
此時,筆者隨意從本地局域網的一臺計算機中,訪問了省中心的在線申報系統,結果打開速度很快。至此,VPN連接速度下降的故障現象就被成功解決了。
最后的總結
仔細回顧上面的故障排除過程,筆者認為之所以在解決網絡故障時走了一些彎路,主要就是筆者簡單地認為省中心與本地局域網使用的網絡結構幾乎都一樣,并且其中的主要網絡設備都是集中采購,并且經過統一配置的,于是就沒有懷疑它們之間的差異性。事實上,由于工作人員的疏忽,造成了省中心硬件防火墻的廣域網連接速度與局域網連接速度不相匹配;大家知道,當連接端口工作于100M、全雙工模式狀態時,硬件防火墻可以同時進行數據接收操作和發送操作,而當連接端口工作于自適應模式狀態時,硬件防火墻往往不能同時進行數據接收操作和發送操作,這樣一來VPN連接速度就會下降。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
