組網(wǎng)狀態(tài)

筆者單位通過ISA Server部署了內(nèi)網(wǎng)的VPN服務(wù)器，當(dāng)用戶在Internet網(wǎng)絡(luò)上訪問上級(jí)單位內(nèi)網(wǎng)資源時(shí)，必須先通過VPN客戶端連接到單位內(nèi)網(wǎng)。圖1所示為網(wǎng)絡(luò)結(jié)構(gòu)圖，其中ISA Server系統(tǒng)所在的服務(wù)器主機(jī)，同時(shí)安裝了三塊物理網(wǎng)卡設(shè)備，部署有ISA Server和Windows Server 2003兩個(gè)不同的服務(wù)器操作系統(tǒng)，通過合理配置，將其中的ISA Server部署成了內(nèi)網(wǎng)的VPN服務(wù)器，該服務(wù)器允許普通VPN客戶端同時(shí)在“外網(wǎng)”和“內(nèi)網(wǎng)”中呼叫，將與上級(jí)內(nèi)網(wǎng)相連的連接配置為隔離區(qū)域，該區(qū)域只允許VPN客戶端系統(tǒng)訪問，不允許其他普通客戶端系統(tǒng)訪問。對于外網(wǎng)客戶端用戶來說，可以通過Internet網(wǎng)絡(luò)直接撥號(hào)外網(wǎng)地址，與VPN服務(wù)器進(jìn)行通信；對于內(nèi)網(wǎng)客戶端用戶來說，需要通過局域網(wǎng)撥號(hào)專門的內(nèi)網(wǎng)地址，訪問單位的VPN服務(wù)器。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

故障現(xiàn)象

完成各種配置后，網(wǎng)管員分別從內(nèi)網(wǎng)和外網(wǎng)進(jìn)行了訪問測試，發(fā)現(xiàn)內(nèi)、外網(wǎng)VPN客戶端系統(tǒng)都能高效訪問VPN服務(wù)器中的數(shù)據(jù)。不過近日，網(wǎng)管員接到報(bào)修電話，反映通過VPN客戶端訪問上級(jí)內(nèi)網(wǎng)Web服務(wù)器時(shí)，網(wǎng)頁顯示速度十分緩慢。接到保修任務(wù)后，網(wǎng)管員認(rèn)為可能是上級(jí)內(nèi)網(wǎng)Web服務(wù)器自身有問題。登錄VPN服務(wù)器，打開IE瀏覽器，直接訪問目標(biāo)Web服務(wù)器主頁面，發(fā)現(xiàn)網(wǎng)頁顯示速度正常，顯然問題不是出在上級(jí)內(nèi)網(wǎng)Web服務(wù)器身上。

難道VPN客戶端有問題？網(wǎng)管員立即趕到故障現(xiàn)場，經(jīng)過反復(fù)測試，發(fā)現(xiàn)在單位內(nèi)網(wǎng)的VPN服務(wù)器中，能夠正常訪問上級(jí)單位的內(nèi)網(wǎng)Web服務(wù)器，而且用戶在單位內(nèi)網(wǎng)環(huán)境中，通過VPN客戶端系統(tǒng)也能正常訪問80端口的Web站點(diǎn)，只是在訪問80端口以外的其他站點(diǎn)頁面時(shí)，感覺到訪問速度非常緩慢。

通過了解得知，為了保證Web內(nèi)容的訪問安全，上級(jí)內(nèi)網(wǎng)Web服務(wù)器開通了不同Web訪問端口，不同端口對應(yīng)不同內(nèi)容，而有的內(nèi)網(wǎng)用戶不管是訪問Web服務(wù)器80端口的內(nèi)容，還是訪問其他端口的內(nèi)容，訪問速度都很正常，但內(nèi)網(wǎng)中的絕大多數(shù)用戶在訪問其他端口的Web內(nèi)容時(shí)速度不正常。

故障排查

既然有些用戶可以正常訪問80端口或其他端口的Web內(nèi)容，那就意味著Web服務(wù)器自身沒有問題，故障一定出在VPN客戶端身上。網(wǎng)管員將正常的和非正常的VPN客戶端放在一起進(jìn)行比對檢查，看到訪問正常的VPN客戶端沒有及時(shí)安裝漏洞補(bǔ)丁程序，而訪問速度不正常的VPN客戶端系統(tǒng)都是及時(shí)更新漏洞補(bǔ)丁程序的，看來問題出在這個(gè)地方。網(wǎng)管員初步認(rèn)定可能是微軟的某個(gè)漏洞補(bǔ)丁造成的。在ISA Server系統(tǒng)進(jìn)入80以外端口的屬性對話框，在其中的“應(yīng)用程序篩選器”位置處，選中“Web代理篩選器”選項(xiàng)，確認(rèn)后保存設(shè)置操作。之后，重新在故障VPN客戶端進(jìn)行Web訪問測試，訪問速度終于恢復(fù)了正常。

故障總結(jié)

在這次故障排查過程得到了不少啟發(fā)：一是某些漏洞補(bǔ)丁程序自身存在Bug或與客戶端系統(tǒng)中的部分軟件存在沖突時(shí)，可能引發(fā)一些莫名其妙的網(wǎng)絡(luò)故障。二是在排查網(wǎng)絡(luò)故障的過程中，要合理地將一些看似關(guān)聯(lián)程度不大的現(xiàn)象或問題，用轉(zhuǎn)變思維的方法有機(jī)地聯(lián)系在一起，特別是這次將Windows系統(tǒng)是否及時(shí)更新補(bǔ)丁程序用在解決Web訪問的過程中。三是在日常的網(wǎng)絡(luò)運(yùn)行維護(hù)過程中，盡力養(yǎng)成善于思考、勤于總結(jié)的習(xí)慣，時(shí)間長了以后，就可以達(dá)到透過故障現(xiàn)象看到故障本質(zhì)的能力。