3.44 我被VPN撞了一下腰

作者: 《网管员世界》杂志社 出处:电子工业出版社易飞思公司 　2007-09-14 14:49　   砖    好    评论  条 　进入论坛

阅读提示：《网管员世界2007超值精华本》全书分为攻防实战、管理维护、故障诊断、疑难解答4个部分，共精选收录了400多篇实用、精彩的技术文章,该书第三章主要介绍了各种故障诊断，本节是VPN问题。

我被VPN撞了一下腰
近日，我单位为卫生系统组建VPN网络，以满足数据传输的安全性、可靠性，而且，VPN网络投资小，见效快，组网迅捷。经过近一周的试验，终于试验好了卫生系统VPN网络，现将在试验遇到的问题写出来，以供同行们参考和指正。
VPN网络结构
我单位的网络结构为：由1台华为S8016和3台华为S6503组成一个双链路冗余核心层，由5台华为S5516构成网络的汇聚层，各学校通过华为S3526（或S3026）交换机与华为S5516或华为S6503相连，整个网络使用光纤相连。
现在，要利用现有的光纤线路，组建VPN网络，先期的节点数大约是30个，都是各乡镇的卫生医疗单位，由于各乡镇卫生医疗单位和各乡镇学校的距离很近，所以计划用光纤从学校接入各乡镇医疗单位。网络拓扑图如图1所示。

图1  VPN网络拓扑图

这样，一个物理网络要运行两个单位的业务，并且，根据双方的要求，两套业务不能相互访问，卫生系统不能访问因特网而且要保证卫生网传输的数据安全，投资也不能高。
卫生系统组网方案
第一步：在学校接入的交换机上划分VLAN，分开这两个单位的IP地址。
第二步：在交换机上把IP地址和MAC地址绑定（各个医疗单位接入的计算机数量很少）。
第三步：在三层交换机上做访问控制列表，禁止两个单位相互访问。
第四步：给卫生单位做一个VPN，各卫生接入单位必须拨号才能访问本单位的服务器群。
第一步到第三步在这里就略过了，这3步只需要在接入交换机和三层交换机上做就可以了。
而在做第四步时遇到了麻烦。
VPN服务器我们采用Windows 2000系统，各卫生接入单位采用Windows系统自带的拨号软件。由于我单位已使用了A类地址，所以计划给卫生单位用B类地址，这样在做访问控制列表时简单一些。VPN服务器采用联想服务器T200，双网卡，安装有Windows 2000服务器高级版。
根据这个思路，我们开始试验VPN。
先配置好两块网卡的IP地址，第一块IP地址为172.16.0.1，网关为172.16.0.254，子网掩码为255.255.255.0。第二块IP地址为172.31.0.1，网关为172.31.0.254，子网掩码为255.255.255.0。由于只是试验，对IP地址没有很好地规划。准备工作就绪后，开始安装VPN服务器。
在Windows系统下安装VPN服务是非常简单的，单击“开始→程序→管理工具→路由和远程访问”，就可以安装VPN服务了。在指定客户端IP地址范围时，我们指定了172.31.0.100～172.31.0.200。不到5分钟， VPN配置好了，在客户机上试验拨入，没有问题。
但领导曾指示，在卫生网刚刚建立的时候不开通因特网，到了某个适当时候再开通。现在试试能不能上因特网？试了一下，不能，再试了几次，也不行。有点奇怪了，我们并没有禁止上因特网啊。看看防火墙是怎样配置的？登录进去一看，上面果然没有允许172.31.0.0这个网段访问因特网。加入这个网段，再试一下，还是不行。根据从简单到复杂的原则，先不要拨入VPN，在交换机上把访问控制列表去掉，直接把机器的IP地址改为172.31.0.120。再试，没有问题。再拨入VPN，试了一下，不能上网，问题大了。
寻找了许多解决方法，最多的就是把客户端的虚拟专用连接里面的“在远程网络上使用默认网关”前面的钩去掉，就可以上因特网了。但这种方法在数据传输的安全性方面不是很好。
既然第一种方法不行，赶紧试试第二种吧。在静态路由里面加入了3条路由（如图2所示）。

图2  路由图

再试试，内部网络倒是能够访问了，但外网还是无法访问。看来要转换思路了，是不是VPN配置错了？配置了N次，还是不行。干脆在配置VPN时改变拨入服务器的IP地址，即服务器用172.31.0.1地址，客户端用172.16.0.0这个地址段。配置好后，拨入VPN服务器，客户端居然获得的是172.31.0.101，明明该获得172.16.0.101啊，怎么是这个地址？是不是没有重启？启动服务器后，拨入服务器，试了一下，正确了。加入静态路由（和上面的路由差不多），顺手上了一下www.163. com，能上了。
这是什么原因呢？加入的静态路由起了什么作用呢？到底是哪条路由起了作用呢？我有点好奇，每删除一条，就试试能否上网，结果把我加入的路由全删除了，还是能够上网。
经过我的仔细观察和反复试验，原来能否上网和VPN服务器的默认网关及网卡的顺序有关。开始我的服务器IP地址是172.16.0.1，而这块网卡恰好是服务器默认的网卡，Windows系统不管你有几块网卡，它总是要有一个默认网关和网卡才能上网，而我做VPN时，恰恰用的是默认网卡。我们都知道，只要一做VPN服务，那么做VPN的那个网卡和那个网卡的默认网关都将发生变化，不能上网和路由，但Windows的默认网关却不主动发生变化，还是和原来没做VPN一样，而我恰好遇到这种情况。并且，就是重启机器也不能解决默认网关的问题。那么怎样解决这个问题呢？很简单，您只需要在VPN服务器上建立一个虚拟专网连接并拨入VPN服务器，此时，如果用Route Print来看VPN服务器的路由，您将发现没有默认网关。这时，断开这个虚拟连接，再次用Route Print来看路由表，默认网关就变为另外一张网卡的默认网关了。
经验总结
 配置好VPN服务后，最好重启一次机器，特别是在配置了多次的情况下，否则，有时越配越乱。
 Windows系统有默认的网卡和网关，这也解释了为什么双网卡机器（一块连因特网，一块连局域网）有时不能上网的原因，原因就是Windows系统默认的网卡恰好是连局域网的，而系统又不能自动识别，导致不能上网。
 客户端能否上网，只需要看客户端获得的IP地址和VPN服务器的默认网关是否在同一网段，如果是在同一网段，则能上网，否则就不能。

回书目   上一节   下一节