■ 山東 欒曉鵬 孫紅春

筆者公司配置了深信服VPN 3150設備，為異地園區(qū)和出差員工提供IPSec VPN與SSL VPN服務。隨著客戶端操作系統(tǒng)的多樣化、移動化越來越嚴重，加之需要訪問的VPN資源也不僅局限于TCP服務，為此，對于SSL VPN的資源建立我們根據(jù)需要設置了TCP應用及L3VPN應用。

資源性質中的TCP應用與L3VPN應用還是有較大區(qū)別的，TCP應用需要在VPN客戶端IE瀏覽器上安裝一個ProxyIE控件，通過該控件實現(xiàn)TCP與SSL協(xié)議數(shù)據(jù)轉換。客戶端數(shù)據(jù)提交到SSL VPN設備后，由SSL VPN設備發(fā)起對資源服務器的訪問。此方式僅支持TCP應用。L3VPN應用需要在VPN客戶端安裝虛擬網(wǎng)卡，這一點與IPSec方式類似，通過虛擬網(wǎng)卡與SSL VPN設備間建立隧道并封裝傳輸數(shù)據(jù)。此方式支持所有TCP、UDP、ICMP應用。另外，如果資源服務器需要主動訪問VPN客戶端時，資源應用只能選用L3VPN而不是TCP了。

圖1 登錄時的SSL VPN連接狀態(tài)

圖2 登錄數(shù)秒后的SSL VPN連接狀態(tài)

故障現(xiàn)象

異地用戶通過Windows 7、Windows 8等系統(tǒng)訪問公司SSL VPN資源正常。相同的鏈路、賬戶、網(wǎng)絡及IE設置，使用Windows 10訪問公司SSL VPN資源，可以登錄到VPN且能看到資源列表，但是無法正常使用VPN資源。

故障排查

1.檢查IE設置

Windows 10自帶IE及Edge兩款瀏覽器。檢查IE的Internet屬性→高級設置，確?！笆褂肧SL 3.0”和“使用TLS 1.0”已勾選。

2.檢查并啟用涉及的系統(tǒng)服務

運 行 services.msc，檢查“Routing and Remote Access”、“Device Install Service”、“Device Setup Manager”服務，確保這三項系統(tǒng)服務啟動運行。

3.以管理員身份運行IE或者VPN登錄工具easyconnect登錄VPN

提交SSL VPN賬戶與密碼，桌面右下角提示VPN已連接，但經(jīng)過仔細觀察，在登錄后的數(shù)秒后，虛擬IP地址由正常的地址池分配IP（2.0.1.8）變成了“未分配”狀態(tài)（如圖 1、圖 2）。

4.在SSL VPN登錄界面下載svpntool工具（SSL VPN控件調試修復工具）進行控件修復，并啟動DebugView工具對登錄VPN過程進行抓包日志分析。

圖3 登錄初期日志節(jié)選（隧道建立、服務器下發(fā)資源）

圖4 登錄過程的報錯日志

圖5 設備管理器中網(wǎng)絡適配器狀態(tài)

根據(jù)日志分析，登錄初期，客戶端與VPN設備建立了正常的隧道，并獲取了VPN服務器下發(fā)資源（如圖3）。但在后續(xù)的日志中出現(xiàn)了“獲取虛擬網(wǎng)卡信息失敗”錯誤（如圖4）。這個錯誤提示與登錄狀態(tài)未分配到虛擬IP地址現(xiàn)象相呼應，于是解決問題的關注點集中在虛擬網(wǎng)卡上了。

故障解決

進入系統(tǒng)設備管理器查看虛擬網(wǎng)卡設備狀態(tài)，網(wǎng)絡適配器設備狀態(tài)中，VPN虛擬網(wǎng)卡“Sangfor SSL VPN CS Support System VNIC”處于設備隱藏且停用狀態(tài)。找到了問題所在，啟用VPN虛擬網(wǎng)卡。重新登錄SSL VPN，驗證功能，故障排除。

經(jīng)驗總結

對于SSL VPN的登錄使用問題，首先應保證IE瀏覽器及系統(tǒng)的相關服務正確配置與啟用；再根據(jù)出現(xiàn)的問題配以網(wǎng)絡分析工具加以診斷。在實際運維工作中出現(xiàn)問題時，往往僅根據(jù)故障現(xiàn)象很難進行準確定位和排查，這時通過網(wǎng)絡抓包工具（Sniffer、Wireshark等）或專門的診斷日志分析工具，可以很方便地進行故障定位，同時，對各種通訊過程、協(xié)議學習都有很大的幫助。另外，根據(jù)虛擬網(wǎng)卡在Windows 7與Windows 10系統(tǒng)的中安裝對比，Windows 10對虛擬設備雖然安裝好驅動，但需手動啟用，實際使用較為不便，不過從安全性角度考慮，這一點還是值得肯定的。