圖1
如此說來難道我們就不能找出更好的辦法�,讓VPN工作站既能正常訪問單位內(nèi)部網(wǎng)絡(luò)�����,又能順暢訪問Internet網(wǎng)絡(luò)了嗎?在回答這個(gè)問題之前,我們認(rèn)為有必要先來探究一下VPN工作站的路由尋徑情況����。既然VPN訪問外網(wǎng)不暢的原因是由路由引起的,現(xiàn)在我們不妨仔細(xì)檢查一下VPN網(wǎng)絡(luò)連接成功前后����,VPN工作站的本地路由表發(fā)生了什么變化��,之后根據(jù)具體的變化情況來尋找網(wǎng)絡(luò)故障的原因所在�。當(dāng)VPN工作站沒有建立VPN網(wǎng)絡(luò)連接時(shí)�����,我們可以在本地系統(tǒng)依次單擊"開始"/"運(yùn)行"命令����,在彈出的系統(tǒng)運(yùn)行文本框中輸入字符串命令"cmd",單擊回車鍵后,將系統(tǒng)狀態(tài)切換到DOS命令行狀態(tài);在 DOS命令行提示符下輸入字符串命令"route print",單擊回車鍵后�����,我們將看到如圖2所示的結(jié)果界面��。
接著�����,在VPN工作站中建立好VPN網(wǎng)絡(luò)連接后���,再次進(jìn)入到DOS命令行狀態(tài)��,并在該狀態(tài)下執(zhí)行字符串命令"route print",隨后我們又將看到一個(gè)與圖2界面不同的結(jié)果;仔細(xì)對(duì)比這兩個(gè)結(jié)果畫面����,我們可以非常清楚地看到,在建立VPN網(wǎng)絡(luò)連接后本地工作站的路由表內(nèi)容發(fā)生了明顯變化�,變化較大的就是本地VPN工作站訪問Internet網(wǎng)絡(luò)的路徑會(huì)優(yōu)先選用VPN的計(jì)劃程序端口,之后上網(wǎng)請求信息會(huì)通過VPN端口將數(shù)據(jù)信息轉(zhuǎn)發(fā)到遠(yuǎn)程VPN服務(wù)器中���,這個(gè)尋找路徑的過程自然不會(huì)成功訪問到Internet網(wǎng)絡(luò)中的內(nèi)容��,而只能訪問到單位內(nèi)部網(wǎng)絡(luò)的內(nèi)容�����,這也是前面所說的VPN工作站建立VPN網(wǎng)絡(luò)連接后不能順暢訪問Internet網(wǎng)絡(luò)的原因。
圖2
揭密數(shù)據(jù)在VPN通道傳輸過程
為了更好地解決VPN訪問外網(wǎng)不暢的故障現(xiàn)象�����,我們還有必要來了解一下上網(wǎng)數(shù)據(jù)信息在VPN網(wǎng)絡(luò)連接通道中的傳輸過程�。我們知道,VPN網(wǎng)絡(luò)連接接口其實(shí)就是一個(gè)點(diǎn)對(duì)點(diǎn)方式的虛擬鏈路接口���,當(dāng)VPN網(wǎng)絡(luò)連接接口收到網(wǎng)絡(luò)訪問包時(shí)�,該連接接口就會(huì)把從網(wǎng)絡(luò)層獲取得來的數(shù)據(jù)信息包封裝成PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀,同時(shí)對(duì)該數(shù)據(jù)幀進(jìn)行安全加密操作����,之后再把安全封裝好的數(shù)據(jù)幀信息傳輸?shù)街付ǖ木W(wǎng)關(guān)那里,這里所提到的網(wǎng)關(guān)其實(shí)就是VPN工作站自己���,因此這個(gè)被安全封裝的上網(wǎng)數(shù)據(jù)信息幀又被重新返回給本地工作站再次進(jìn)行處理�,這次處理操作實(shí)際上就是再次對(duì)上網(wǎng)數(shù)據(jù)信息幀進(jìn)行封裝的過程���。
那么VPN工作站為什么需要重復(fù)對(duì)上網(wǎng)數(shù)據(jù)信息幀進(jìn)行封裝呢?這是因?yàn)榈谝淮芜M(jìn)行安全封裝的數(shù)據(jù)幀往往只能通過虛擬的VPN網(wǎng)絡(luò)連接接口進(jìn)行傳輸����,要想將上網(wǎng)數(shù)據(jù)信息通過實(shí)際的網(wǎng)絡(luò)連接接口進(jìn)行傳輸��,還需要在實(shí)際的網(wǎng)絡(luò)鏈路層中重新進(jìn)行一次安全封裝操作才行�。而在最終封裝成符合網(wǎng)絡(luò)鏈路層傳輸要求的數(shù)據(jù)幀之前,往往要對(duì)第一次封裝過的上網(wǎng)數(shù)據(jù)信息幀進(jìn)行其他的多級(jí)封裝����,這是由于按照規(guī)定是無法直接把PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀封裝在另一個(gè)鏈路層數(shù)據(jù)幀中的,這需要在PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀之前添加一些報(bào)頭��,例如最簡單的是添加一個(gè)GRE報(bào)頭和IP報(bào)頭。
當(dāng)上網(wǎng)數(shù)據(jù)信息幀被封裝到符合網(wǎng)絡(luò)層傳輸要求時(shí)���,比方說在封裝到IP報(bào)頭的時(shí)候�,還需要在這個(gè)過程中進(jìn)行一次路由指定��,這是因?yàn)樯暇W(wǎng)數(shù)據(jù)信息包必須要明確地發(fā)送到目標(biāo)遠(yuǎn)程VPN服務(wù)器那里�,上網(wǎng)數(shù)據(jù)信息包需要在這里尋找到一條能夠到達(dá)目標(biāo)遠(yuǎn)程VPN服務(wù)器的路由,之后上網(wǎng)數(shù)據(jù)信息就在目標(biāo)路由的指定下將數(shù)據(jù)送到特定的網(wǎng)絡(luò)接口進(jìn)行處理�。
應(yīng)對(duì)VPN訪問外網(wǎng)不暢的方案
通過上面的分析,我們不難看出���,使用VPN網(wǎng)絡(luò)連接訪問單位內(nèi)部網(wǎng)絡(luò)時(shí)�,一定要讓通過VPN網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)信息包先到達(dá)VPN網(wǎng)絡(luò)虛擬連接接口進(jìn)行處理����,倘若沒有經(jīng)過虛擬VPN網(wǎng)絡(luò)連接接口處理的話,那么通過VPN網(wǎng)絡(luò)連接出去的數(shù)據(jù)信息包就沒有經(jīng)過安全加密環(huán)節(jié)����,這些的數(shù)據(jù)信息在 Internet通道中傳輸時(shí)�����,自然就會(huì)影響到單位內(nèi)部網(wǎng)絡(luò)的安全性。
