■ 枝江市职业教育中心 杨华 枝江市第二高级中学 姚圣勇

编者按： VPN技术尽管较为常见，但有时在搭建时有些人仍旧会犯一些低级错误，导致不该有的故障。本文就围绕VPN内网访问时的两个典型错误加以分析。

VPN对于网络工程师是再熟悉不过的技术，在日常运维及其他办公领域中应用广泛，但对于网络入门者来讲掌握未必那么到位，会出现各种问题，有时还关联到其他的网络基础知识。下面就通过两个较为典型的故障案例加以剖析。

图1 网络拓扑图

图2 两个网段的IPv4路由表

网络环境

在如图1所示的网络拓扑图中，北京的客户要通过内网访问远在宜昌的内网资源，现已在宜昌端防火墙上做好SSL-VPN配置，在北京端通过SSL客户端正确连接到VPN服务端，也获取了VPNIP:192.168.20.10。

故障探寻

1.客户端PC1成功连接到VPN服务器后，不能访问任何资源，外网也上不了，宜昌端的内网资源都无法访问。

通过简单沟通，用户在配置时只是简单按照教程进行了规矩的搭建，IP地址分配也是一样，这样就造成了192.168.20.0这个网段根本没有在对方的子网规划内，交换机、防火墙上根本就没有它的踪影，VPN只是打开了一个通道，让外网的客户端连接到自己的内网来，如图2所示，有宜昌端只有两个网段192.168.4.0和192.168.3.0，根本不知道192.168.20.0的 存 在，因此只要在相应网络设备上VLAN、路由等配置时把此网段加进去即可，通过正确配置，引入这个VPN网段，可以正常访问。

2.经过重新配置后，客户端PC1总算可以访问外网，也可以访问SERVER1上的资源，但问题又来了，无法访问SERVER0上的资源。

在这种情况下，应该说VPN配置及网络配置没有问题了，这应该是一种特例了。细心的朋友会发现SERVER0的网段跟PC1的本地网段是一样的，会不会是因为此呢?看一下PC1端的本地路由表，如图3所示。

本地的网络IP段与远在VPN服务端的IP段是同一网段，其实这种情况还是比较常见，这个时候要分析一下路由表的访问原则，首先优先满足本地接口的路由（在网络设备上就是直连路由），如果没有找到可访问的路由，才会去找静态默认路由。

这 样 看 来，PC1端 不能访问SERVER0也就很正常了，因为本身有一个到192.168.3.0网段的接口路由，它会在本地网段努力去找SERVER0的IP，当然无法访问了。

有人马上会想到，把其中任何一方的网段改一下不就万事大吉了吗？这是一种方法，但操作上不便，因为这要更改整个网络结构的相关参数了，而且要有一定的管理权限才能做。

图3 PC1端的本地路由表

图4 查看添加路由之后的路由表

其实可以在本地路由表上做做功课，添加一条路由，让它优于之前的路由。

r o u t e a d d 1 9 2.1 6 8.3.0 mask 255.255.255.0 192.168.20.10 metric 65

再来查看路由表，如图4所示。效果很明显，路由表多了一条本地接口的路由，在相同的路由配置下，跃点数越小，优先级越高，这样192.168.3.0这个网段就走VPN-IP192.168.20.10这个接口了，PC1就可以顺利访问SERVER1上的资源了。

结语

之所以有以上的错误存在，一般是初学者仅仅停留在技术的配置外表上，没有对网络的内涵有深刻的理解。所以，对于网络技术的学习，还是要循序渐近，一步一个脚印，不要光注重先进应用的外表，而忽略了技术的细节。