■ 枝江市職業(yè)教育中心 楊華 枝江市第二高級(jí)中學(xué) 姚圣勇

編者按： VPN技術(shù)盡管較為常見，但有時(shí)在搭建時(shí)有些人仍舊會(huì)犯一些低級(jí)錯(cuò)誤，導(dǎo)致不該有的故障。本文就圍繞VPN內(nèi)網(wǎng)訪問時(shí)的兩個(gè)典型錯(cuò)誤加以分析。

VPN對(duì)于網(wǎng)絡(luò)工程師是再熟悉不過的技術(shù)，在日常運(yùn)維及其他辦公領(lǐng)域中應(yīng)用廣泛，但對(duì)于網(wǎng)絡(luò)入門者來講掌握未必那么到位，會(huì)出現(xiàn)各種問題，有時(shí)還關(guān)聯(lián)到其他的網(wǎng)絡(luò)基礎(chǔ)知識(shí)。下面就通過兩個(gè)較為典型的故障案例加以剖析。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

圖2 兩個(gè)網(wǎng)段的IPv4路由表

網(wǎng)絡(luò)環(huán)境

在如圖1所示的網(wǎng)絡(luò)拓?fù)鋱D中，北京的客戶要通過內(nèi)網(wǎng)訪問遠(yuǎn)在宜昌的內(nèi)網(wǎng)資源，現(xiàn)已在宜昌端防火墻上做好SSL-VPN配置，在北京端通過SSL客戶端正確連接到VPN服務(wù)端，也獲取了VPNIP:192.168.20.10。

故障探尋

1.客戶端PC1成功連接到VPN服務(wù)器后，不能訪問任何資源，外網(wǎng)也上不了，宜昌端的內(nèi)網(wǎng)資源都無法訪問。

通過簡(jiǎn)單溝通，用戶在配置時(shí)只是簡(jiǎn)單按照教程進(jìn)行了規(guī)矩的搭建，IP地址分配也是一樣，這樣就造成了192.168.20.0這個(gè)網(wǎng)段根本沒有在對(duì)方的子網(wǎng)規(guī)劃內(nèi)，交換機(jī)、防火墻上根本就沒有它的蹤影，VPN只是打開了一個(gè)通道，讓外網(wǎng)的客戶端連接到自己的內(nèi)網(wǎng)來，如圖2所示，有宜昌端只有兩個(gè)網(wǎng)段192.168.4.0和192.168.3.0，根本不知道192.168.20.0的 存 在，因此只要在相應(yīng)網(wǎng)絡(luò)設(shè)備上VLAN、路由等配置時(shí)把此網(wǎng)段加進(jìn)去即可，通過正確配置，引入這個(gè)VPN網(wǎng)段，可以正常訪問。

2.經(jīng)過重新配置后，客戶端PC1總算可以訪問外網(wǎng)，也可以訪問SERVER1上的資源，但問題又來了，無法訪問SERVER0上的資源。

在這種情況下，應(yīng)該說VPN配置及網(wǎng)絡(luò)配置沒有問題了，這應(yīng)該是一種特例了。細(xì)心的朋友會(huì)發(fā)現(xiàn)SERVER0的網(wǎng)段跟PC1的本地網(wǎng)段是一樣的，會(huì)不會(huì)是因?yàn)榇四?看一下PC1端的本地路由表，如圖3所示。

本地的網(wǎng)絡(luò)IP段與遠(yuǎn)在VPN服務(wù)端的IP段是同一網(wǎng)段，其實(shí)這種情況還是比較常見，這個(gè)時(shí)候要分析一下路由表的訪問原則，首先優(yōu)先滿足本地接口的路由（在網(wǎng)絡(luò)設(shè)備上就是直連路由），如果沒有找到可訪問的路由，才會(huì)去找靜態(tài)默認(rèn)路由。

這 樣 看 來，PC1端 不能訪問SERVER0也就很正常了，因?yàn)楸旧碛幸粋€(gè)到192.168.3.0網(wǎng)段的接口路由，它會(huì)在本地網(wǎng)段努力去找SERVER0的IP，當(dāng)然無法訪問了。

有人馬上會(huì)想到，把其中任何一方的網(wǎng)段改一下不就萬事大吉了嗎？這是一種方法，但操作上不便，因?yàn)檫@要更改整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的相關(guān)參數(shù)了，而且要有一定的管理權(quán)限才能做。

圖3 PC1端的本地路由表

圖4 查看添加路由之后的路由表

其實(shí)可以在本地路由表上做做功課，添加一條路由，讓它優(yōu)于之前的路由。

r o u t e a d d 1 9 2.1 6 8.3.0 mask 255.255.255.0 192.168.20.10 metric 65

再來查看路由表，如圖4所示。效果很明顯，路由表多了一條本地接口的路由，在相同的路由配置下，躍點(diǎn)數(shù)越小，優(yōu)先級(jí)越高，這樣192.168.3.0這個(gè)網(wǎng)段就走VPN-IP192.168.20.10這個(gè)接口了，PC1就可以順利訪問SERVER1上的資源了。

結(jié)語

之所以有以上的錯(cuò)誤存在，一般是初學(xué)者僅僅停留在技術(shù)的配置外表上，沒有對(duì)網(wǎng)絡(luò)的內(nèi)涵有深刻的理解。所以，對(duì)于網(wǎng)絡(luò)技術(shù)的學(xué)習(xí)，還是要循序漸近，一步一個(gè)腳印，不要光注重先進(jìn)應(yīng)用的外表，而忽略了技術(shù)的細(xì)節(jié)。