网络访问缓慢 源自VPN客户端网关出错

　　我们出差在外或下班回家的时候，常常由于工作原因需要登录到单位内部的局域网网络收发邮件，甚至使用单位内部网络的相关业务系统查询数据信息。要安全实现这样的访问目的，我们一般会利用WindowsServer 2003系统自带的远程访问服务功能架设一台VPN服务器，日后我们就可以通过VPN虚拟专用网络连接，象访问本地局域网那样来在Internet网络的任何位置处访问单位内部的网络了。不过，本地工作站中同时创建了不同类型的网络连接后，常常容易导致网络访问出现一些稀奇古怪的故障现象，这些故障多半都是网关设置错乱引起的;只要我们能够对症下药，找准故障发生的原因，就一定能快速解决上述类型的网络故障!

　　实战案例组网情况

　　笔者朋友在单位负责网站信息报送工作，平时各个处室的最新信息都是先发送到内网的信息报送专用信箱，之后朋友定期打开信息对报送信息进行审核、发布。为了保证信息审核、发布的及时性，朋友希望下班回家也能访问单位内部网络，以便能够随时随地进入信息报送专用信箱进行信息审核发布工作;为了满足这样的访问需求，朋友特地在内网的一台WindowsServer 2003系统中架设了VPN服务器，该服务器同时安装了两块网卡设备，一块网卡设备使用的是公网静态IP地址60.155.50.148，并用这块网卡设备直接连接Internet网络，另外一块网卡设备使用的是内网静态IP地址10.192.168.148，并用这块网卡设备直接连接单位内部网络。

　　在这台Windows Server 2003系统中架设VPN服务器时，朋友先是依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中双击“管理工具”图标，之后再双击“路由和远程访问”选项，进入路由和远程访问控制窗口;用鼠标右键单击该窗口中的目标主机名称，并执行右键菜单中的“配置并启用路由和远程访问”命令，再根据向导提示依次选中“远程访问(拨号或VPN)”、“VPN”选项，之后选中与Internet网络直接相连的本地连接选项;当向导窗口提示如何为VPN客户端分配IP地址时，选择“自动”选项(如图1所示)，最后单击“确定”按钮完成VPN服务器架设任务。

　　（图1）

　　为了让自己能够很顺利地访问VPN服务器，朋友又在VPN服务器中创建了一个新的用户帐号，之后打开该目标用户帐号的属性设置窗口，单击该窗口中的“拨入”标签，在对应标签页面中将远程访问权限参数调整为“允许拨入”。

　　完成了上述各项工作后，朋友又在自己家中的那台Windows XP计算机中创建了VPN客户端网络连接，以便利用该连接通过Internet网络通道访问单位内部的网络。在创建VPN客户端网络连接时，依次单击“开始”/“设置”/“网络连接”/“新建连接向导”命令，在其后弹出的向导设置窗口中依次选中“连接到我的工作场所网络”、“虚拟专用网络连接”选项，之后设置好虚拟网络连接名称、输入VPN服务器的主机名称或IP地址，这里朋友输入的是VPN服务器连接Internet网络的公网静态IP地址60.155.50.148，最后单击“确定”按钮完成VPN客户端网络连接的创建工作。

　　访问Internet速度缓慢

　　做好了上面的准备工作后，笔者朋友利用先前创建的VPN客户端网络连接与单位的VPN服务器建立连接后，发现访问Internet网络的速度变得非常缓慢，有时干脆就不能正常访问Internet网络。起初，笔者朋友还以为是本地客户端系统存在网络病毒，于是立即找来了最新版本的杀毒软件，并且对本地系统的各个角落进行了彻底地病毒查杀操作;在经过一段时间的等待之后，本地系统中还真存在一些网络病毒，找到这些病毒之后，朋友显得非常兴奋，并且非常肯定地认为网络病毒就是导致访问Internet网络速度缓慢的“罪槐祸首”，可是杀完毒并重新启动计算机系统后，笔者朋友看到之前出现的故障现象根本就没有消失，也就是说现在仍然不能正常访问Internet网络。

　　会不会是VPN客户端网络连接的上网参数没有设置正确?朋友不放心，于是重新进入客户端系统的网络连接列表窗口，用鼠标右键单击VPN客户端网络连接，从弹出的快捷菜单中执行“属性”命令，打开VPN客户端网络连接的属性设置窗口，朋友仔细检查了该窗口中的各项参数，特别是VPN服务器的IP地址，都没有找到任何可疑的地方。后来，朋友偶然检查VPN客户端系统的本地路由表参数时，发现系统中竟然同时存在两条缺省路由，其中一条缺省路由的网关地址已经被设置成了169.254.81.19，该地址是在VPN客户端网络连接被创建成功后系统自动创建的，并且该条缺省路由的Metric数值为1; 另外一条缺省路由的网关地址仍然是以前的缺省网关地址，不过该缺省路由的Metric数值已经从先前的18变成了19。由于前面一条缺省路由的Metric数值比后面一条缺省路由的Metric数值小，当VPN客户端工作站需要访问Internet网络中的某台工作站时，将会自动优先选用前面一条缺省路由，这样一来VPN客户端工作站的上网请求数据包将会优先通过VPN网络连接转发到VPN服务器中，之后VPN服务器再将上网请求数据包提交给Internet网络。Internet网络中的目标主机一旦接收到上网请求后，也是先将处理结果信息转交给VPN服务器，然后再由VPN服务器返回给VPN客户端工作站系统。很显然，朋友在自己的工作站系统中通过VPN客户端网络连接上网时，并没有通过本地的Internet线路直接上网访问内容，而是通过VPN服务器的Internet线路间接上网访问内容的，如此一来访问Internet网络的速度自然会受到影响。

　　解决访问速度缓慢故障

　　从上面的故障现象及其原因分析中我们可以看出，导致访问Internet速度缓慢的“罪槐祸首”其实就是在创建VPN客户端网络连接时系统自动创建的那条缺省路由，要想解决上面的故障现象，我们只要想办法让VPN客户端系统不使用指向169.254.81.19地址的缺省路由就可以了，下面就是具体的实现步骤：

　　首先在VPN客户端工作站系统中，依次单击系统桌面中的“开始”/“设置”/“网络连接”命令，在弹出的本地系统网络连接列表窗口中，用鼠标右键单击目标VPN客户端网络连接图标，从弹出的快捷菜单中执行“属性”命令，打开目标VPN客户端网络连接的属性设置界面;

　　其次单击该设置界面中的“网络”标签，并在对应标签页面中选中“Internet协议(TCP/IP)”选项，再单击“属性”按钮，打开TCP/IP属性设置对话框，单击该对话框中的“高级”按钮，进入TCP/IP协议的高级属性设置界面;

　　（图2）

　　接着在高级属性设置界面中单击“常规”标签，打开如图2所示的标签设置页面，将该页面中的“在远程网络上使用默认网关”选项取消选中，再单击“确定”按钮，如此一来本地VPN客户端系统就没有了指向169.254.81.19地址的路由了，那么本地系统就能通过原来的默认路由进行上网访问了。

　　不过，当我们直接取消选中指向169.254.81.19地址的路由时，本地VPN客户端系统将只能通过Internet网络通道访问VPN服务器这一台主机系统，而无法通过VPN服务器继续访问单位内部的其他主机系统，这是因为本地VPN客户端系统不存在单位内部网络的访问路由，此时我们需要手工加上单位内部网络的访问路由记录。比方说，单位内部网络使用了10.192.0.0的子网地址，那么我们需要在本地VPN客户端系统增加如下路由记录：

　　首先依次单击本地VPN客户端系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中，输入“cmd”字符串命令，单击回车键后，将系统屏幕切换到MS-DOS窗口;

　　其次在MS-DOS窗口的命令提示符下，输入字符串命令“route add 10.192.0.0 mask 255.255.0.0 169.254.81.19”，单击回车键后，本地VPN客户端系统就会成功加入单位内部网络的访问路由了，这样一来本地VPN客户端系统就能通过Internet访问通道非常方便地访问单位内部网络中任何一台主机系统了，而且访问速度也很快。

　　小提示

　　在架设VPN服务器时，我们应该根据单位内网的工作站数量、内部网络带宽大小等因素不同，进行有针对性地架设;正常来说，架设VPN服务器有以下几种方式：

　　1.架设单接口VPN服务器。让单位的核心路由器或防火墙转发到Internet网络并对外提供服务，VPN客户端系统在呼叫VPN服务器时的地址就是路由器或防火墙的外网地址。

　　2.架设双接口VPN服务器。许多单位具有多个公网地址，在为了减少核心路由器或者防火墙的负担时，我们应该采用这种架设方式，在这种架设方式下，VPN客户端访问内网是直接通过VPN服务器访问，并不通过路由器。

　　3.VPN服务器同时做代理服务器。这种方式是在原来代理服务器(或者防火墙)的基础上，启用VPN服务器，或者是直接采用ISA Server作为代理服务器，在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。在现在网络改造中，这种情况是比较多的。