有关VPN连接的15项故障诊断提示..docVIP

有关VPN连接的15项故障诊断提示 Paula Sharick HYPERLINK /info/subs/ 本页主要标题： HYPERLINK /info/subs/ HYPERLINK /china/technet/archives/columns/tips/15tipsfo.asp \l a VPN服务器建议 HYPERLINK /china/technet/archives/columns/tips/15tipsfo.asp \l b 客户端故障诊断 HYPERLINK /china/technet/archives/columns/tips/15tipsfo.asp \l c 最终准备就绪 您 可以通过无数种方式构建虚拟专用网络。最低限度的VPN实现方案由连接Internet的RAS PPTP服务器、连接Internet的客户端以及位于上述服务器与客户端之间的PPTP连接所组成。只要ISP服务或Internet连接处于可用状 态，客户端即可从世界上的任意一个角落与您的服务器建立连接。然而，大多数VPN并非仅仅由相互连接的服务器与客户端构成。通常情况下，VPN服务器位于 一个可以实现路由的LAN网段上，并处在防火墙后方；客户端连接则使用一个同样包含路由器与防火墙的ISP网络。图1显示了一种常见的移动客户端VPN实 现方案。 您 只需通过几个简单步骤即可以独立服务器或域控制器的方式创建一台PPTP服务器。您需要安装RAS和PPTP协议，并按照配置拨号连接的方式来配置 PPTP端口。Windows NT客户端安装过程同样相当直接：您只需装载PPTP并配置通过Internet与PPTP服务器相连的PPTP连接。由于安装方式如此简单，您自然会认 为VPN连接将一次调试通过。然而，实际情况却是，VPN连接在某些情况下仍旧需要进行调节。 VPN 故障诊断与WAN连通性故障诊断非常相似，由于数据在到达目的地之前需要在许多连接上进行传送，因此，整个处理过程相当复杂。举例来说，通常情况下，数据 需要通过防火墙、ISP网络甚至其它ISP网络从客户端传送至ISP路由器，再由ISP路由器依次传送至企业路由器、防火墙或代理服务器，并最终到达目标 PPTP服务器。 当 客户端与某个ISP建立连接时（这种连接使用VPN连接中的点对点协议--PPP--部分），ISP将为客户端分配一个TCP/IP地址、一个DNS服务 器地址以及一个缺省网关。当客户端发起一个PPTP连接时，这项操作将创建第二个TCP/IP会话（这个会话是VPN连接的隧道部分），并将其嵌入到用以 提供数据包加密与封装功能的第一个会话内部。当客户端连接成功后，VPN服务器将为客户端分配第二个IP地址、第二个DNS服务器地址、可选WINS服务 器以及另一个缺省网关。图2显示了组成PPTP会话的两部分内容--PPP连接和PPTP连接。在连接中的每一条链接上，均有可能出现故障。了解常见配置 与连通性问题并掌握必要的故障诊断操作步骤将帮助您对VPN连接进行解译与调试。 VPN服务器建议 如 果可能的话，请从一台装有最低限度服务且仅含TCP/IP与PPTP协议的NT服务器开始。NT 4.0 Service Packs 5（SP5）与SP6a修正了大量有关PPTP连接的问题，其中包括与碎片数据包、被丢弃的连接以及被拒绝的连接相关的性能问题。如果在尝试对客户端连接 进行调试之前首先利用服务软件包对服务器进行更新，那么，您将能够节省大量时间。为帮助您保持简单直接的服务器配置，以便实现故障诊断目的，我将为您提供 四条建议。 配置一台多宿主服务器：如 果您的PPTP服务器配备了两块网卡，一块针对LAN，一块针对WAN，那么，请将LAN适配器上的网关设置为空（请注意，这里要求设置为空而非设置为 0）。在WAN网络接口的网关字段中输入ISP所定义的TCP/IP地址；网关地址通常指向ISP所属的一台路由器。您需要保持LAN网关设置为空，以便 使服务器能够将网络数据包路由至客户端。当您为服务器配置多个网络适配器时，保持LAN网关设置为空是一种标准实现方式。如需获取更多有关如何为多宿主服 务器配置路由方式的信息，请查看“原先发布的相关文章”中的第XX页。在测试过程中，我建议您手工输入LAN NIC的TCP/IP地址与WINS服务器地址（而不要通过DHCP为其分配这些取值）。 配置RAS：当 您安装RAS时，请仅为那些真正需要提供支持的活动客户端连接配置必要数量的VPN端口。尽管每台RAS服务器能够支持256条并行连接（假设您拥有足够 支持所有这些活动的网络带宽），然而，在实际应用过程中，您可能只需要为您的漫游用户提供40条并行连接。接下来，将服务器配置为通过静态地址池而非 DHCP服务