| 導購 | 订阅 | 在线投稿
分享
 
 
 

動態和靜態IP地址引起的VPN問題-網絡故障

來源:互聯網網民  2008-11-28 11:20:04  評論

VPN幫助移動用戶和外地員共享總部的網絡資源,創造了虛擬的網絡環境,大大方便了外地和出差的員工,但是,如果不能正常接入到VPN網絡,勢必令終端用戶和網絡工作人員感到沮喪。爲了幫助快速解決VPN故障,現在列舉常見的三種典型的IP地址導致的網絡故障。

是否必須只能靜態地址才能獲得VPN服務?

動態地址可以同樣獲得VPN接入服務,但需要搭建一個像dyndns.com那樣的服務,就是提供公網動態DNS注冊服務,然後建立CNAME DNS(別名記錄,也被稱爲規範名字。)入口,這種記錄允許您將多個名字映射到同一台計算機,即創建的Mycompany.com名字指向同一個dyndns.com。外地員工使用VPN服務先登陸Mycompany.com就可以了。但要確認一點,就是Mycompany.com CNAME的TTL(TTL值全稱是生存時間」Time To Live」)設置要正確。

原來正常登陸到VPN,但現在用DSL接入方式了,筆記本就不能接入到VPN了,請問是什麽問題?

很可能問題處在,你使用一個靜態IP地址,同時DHCP(Dynamic Host Configure Protocol, 動態主機配置協議)服務也開啓了。而VPN設置是只能具體的IP地址才能建立一個連接,所以先從內部調查原因。

另外,就是調換新的Modem或者路由器設備,或者也有可能就是ISP服務商不支持VPN,所以需要和ISP核實是否支持,另外致電設備商客戶是否支持VPN。

我是常駐外地辦公人員,此前從來沒出現過VPN接入問題。然而,ISP關閉了我個人用戶的接入賬號,讓我開通一個企業級的接入賬號,我已經換了兩個調制解調器,一個用靜態地址,另外一個用動態地址,如果直接連接到電腦上沒有問題,但是如果用了Linksys的路由器就是連接不上VPN,請問是什麽問題?

由于不清楚你的VPN和路由器星號,所以只能基于網絡症狀猜測,不是Modem和IP地址的問題,而是路由器的問題,路由器導致IP地址混亂且阻斷了VPN協議,NAT導致VPN數據不正常。

此前遇到過同樣的問題,就是路由器默認的子網和調制解調器默認的子網重疊了,或者和公司的網絡重疊了。例如,Modem和路由器都被設置成192.168.1.x用來接入,就會導致電腦不能正常接入。同樣,公司的網絡和路由器同樣使用192.168.1.x,也許能夠連接到VPN上,但實際上還是在內部網絡上,方法很簡單就是修改路由器的默認網絡就可以,包括IP地址和DHCP範圍。

更經常地,路由器默認狀態是阻止VPN協議的,導致路由器就像一個防火牆設備。例如,IPsec VPN需要路由器支持協議50或51(ESP or AH),而PPTP VPN需要路由器支持協議47(GRE),所以需要激活路由器上的功能。Linksys RT31P2,就需要設置Security/VPN Passthrough。

即使激活路由器上VPN功能,也有可能VPN隧道被NAT破壞。經常看到的現象是VPN明明是連接上了,就是沒有數據交換。大多數 VPN網關已經升級到NAT Traversal (NAT穿越)能力,這樣就避免NAT破壞VPN封裝的UDP包。但如果沒有升級到NAT Traversal,VPN就需會丟包,所以咨詢VPN設備商,是否支持NAT穿越能力。

備注:

別名記錄(CNAME)

也被稱爲規範名字。這種記錄允許您將多個名字映射到同一台計算機。 通常用于同時提供WWW和MAIL服務的計算機。例如,有一台計算機名爲「host.mydomain.com」(A記錄)。 它同時提供WWW和MAIL服務,爲了便于用戶訪問服務。可以爲該計算機設置兩個別名(CNAME):WWW和MAIL。 這兩個別名的全稱就是「www.mydomain.com」和「mail.mydomain.com」。實際上他們都指向「host.mydomain.com」。 同樣的方法可以用于當您擁有多個域名需要指向同一服務器IP,此時您就可以將一個域名做A記錄指向服務器IP然後將其他的域名做別名到之前做A記錄的域名上,那麽當您的服務器IP地址變更時您就可以不必麻煩的一個一個域名更改指向了 只需要更改做A記錄的那個域名其他做別名的那些域名的指向也將自動更改到新的IP地址上了。

TTL

TTL值全稱是生存時間(Time To Live),簡單的說它表示DNS記錄在DNS服務器上緩存時間,直接的說,此值影響客戶第2次訪問您站點的速度,建議設爲7200。

要理解TTL值,請先看下面的一個例子:

假設,有這樣一個域名myhost.abc.com(其實,這就是一條DNS記錄,通常表示在abc.com域中有一台名爲myhost的主機)對應IP地址爲1.1.1.1,它的TTL爲10分鍾。這個域名或稱這條記錄存儲在一台名爲dns.abc.com的DNS服務器上。

NAT Traversal 解決方案是 UPnP IGD Working Committee 爲制定 Internet 網關設備 (IGD) 規範所從事工作的一部分。UPnP 的成員公司可以加入該委員會,也可以只選擇跟蹤其工作進展。委員會的主席是 Intel 公司的 Prakash Iyer (prakash.iyer@intel.com)。許多公司,包括 Microsoft,都在爲此而努力。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
VPN幫助移動用戶和外地員共享總部的網絡資源,創造了虛擬的網絡環境,大大方便了外地和出差的員工,但是,如果不能正常接入到VPN網絡,勢必令終端用戶和網絡工作人員感到沮喪。爲了幫助快速解決VPN故障,現在列舉常見的三種典型的IP地址導致的網絡故障。 是否必須只能靜態地址才能獲得VPN服務? 動態地址可以同樣獲得VPN接入服務,但需要搭建一個像dyndns.com那樣的服務,就是提供公網動態DNS注冊服務,然後建立CNAME DNS(別名記錄,也被稱爲規範名字。)入口,這種記錄允許您將多個名字映射到同一台計算機,即創建的Mycompany.com名字指向同一個dyndns.com。外地員工使用VPN服務先登陸Mycompany.com就可以了。但要確認一點,就是Mycompany.com CNAME的TTL(TTL值全稱是生存時間」Time To Live」)設置要正確。 原來正常登陸到VPN,但現在用DSL接入方式了,筆記本就不能接入到VPN了,請問是什麽問題? 很可能問題處在,你使用一個靜態IP地址,同時DHCP(Dynamic Host Configure Protocol, 動態主機配置協議)服務也開啓了。而VPN設置是只能具體的IP地址才能建立一個連接,所以先從內部調查原因。 另外,就是調換新的Modem或者路由器設備,或者也有可能就是ISP服務商不支持VPN,所以需要和ISP核實是否支持,另外致電設備商客戶是否支持VPN。 我是常駐外地辦公人員,此前從來沒出現過VPN接入問題。然而,ISP關閉了我個人用戶的接入賬號,讓我開通一個企業級的接入賬號,我已經換了兩個調制解調器,一個用靜態地址,另外一個用動態地址,如果直接連接到電腦上沒有問題,但是如果用了Linksys的路由器就是連接不上VPN,請問是什麽問題? 由于不清楚你的VPN和路由器星號,所以只能基于網絡症狀猜測,不是Modem和IP地址的問題,而是路由器的問題,路由器導致IP地址混亂且阻斷了VPN協議,NAT導致VPN數據不正常。 此前遇到過同樣的問題,就是路由器默認的子網和調制解調器默認的子網重疊了,或者和公司的網絡重疊了。例如,Modem和路由器都被設置成192.168.1.x用來接入,就會導致電腦不能正常接入。同樣,公司的網絡和路由器同樣使用192.168.1.x,也許能夠連接到VPN上,但實際上還是在內部網絡上,方法很簡單就是修改路由器的默認網絡就可以,包括IP地址和DHCP範圍。 更經常地,路由器默認狀態是阻止VPN協議的,導致路由器就像一個防火牆設備。例如,IPsec VPN需要路由器支持協議50或51(ESP or AH),而PPTP VPN需要路由器支持協議47(GRE),所以需要激活路由器上的功能。Linksys RT31P2,就需要設置Security/VPN Passthrough。 即使激活路由器上VPN功能,也有可能VPN隧道被NAT破壞。經常看到的現象是VPN明明是連接上了,就是沒有數據交換。大多數 VPN網關已經升級到NAT Traversal (NAT穿越)能力,這樣就避免NAT破壞VPN封裝的UDP包。但如果沒有升級到NAT Traversal,VPN就需會丟包,所以咨詢VPN設備商,是否支持NAT穿越能力。 備注: 別名記錄(CNAME) 也被稱爲規範名字。這種記錄允許您將多個名字映射到同一台計算機。 通常用于同時提供WWW和MAIL服務的計算機。例如,有一台計算機名爲「host.mydomain.com」(A記錄)。 它同時提供WWW和MAIL服務,爲了便于用戶訪問服務。可以爲該計算機設置兩個別名(CNAME):WWW和MAIL。 這兩個別名的全稱就是「www.mydomain.com」和「mail.mydomain.com」。實際上他們都指向「host.mydomain.com」。 同樣的方法可以用于當您擁有多個域名需要指向同一服務器IP,此時您就可以將一個域名做A記錄指向服務器IP然後將其他的域名做別名到之前做A記錄的域名上,那麽當您的服務器IP地址變更時您就可以不必麻煩的一個一個域名更改指向了 只需要更改做A記錄的那個域名其他做別名的那些域名的指向也將自動更改到新的IP地址上了。 TTL TTL值全稱是生存時間(Time To Live),簡單的說它表示DNS記錄在DNS服務器上緩存時間,直接的說,此值影響客戶第2次訪問您站點的速度,建議設爲7200。 要理解TTL值,請先看下面的一個例子: 假設,有這樣一個域名myhost.abc.com(其實,這就是一條DNS記錄,通常表示在abc.com域中有一台名爲myhost的主機)對應IP地址爲1.1.1.1,它的TTL爲10分鍾。這個域名或稱這條記錄存儲在一台名爲dns.abc.com的DNS服務器上。 NAT Traversal 解決方案是 UPnP IGD Working Committee 爲制定 Internet 網關設備 (IGD) 規範所從事工作的一部分。UPnP 的成員公司可以加入該委員會,也可以只選擇跟蹤其工作進展。委員會的主席是 Intel 公司的 Prakash Iyer (prakash.iyer@intel.com)。許多公司,包括 Microsoft,都在爲此而努力。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有