2023年12月24日发(作者:)

责任编辑:赵志远 投稿信箱:netadmin@

故障诊断与处理Trouble ShootingVPN内网访问故障探寻■ 枝江市职业教育中心 杨华 枝江市第二高级中学 姚圣勇VPN对于网络工程师是再熟悉不过的技术,在日常运维及其他办公领域中应用广泛,但对于网络入门者来讲掌握未必那么到位,会出现各种问题,有时还关联到其他的网络基础知识。下面就通过两个较为典型的故图1 网络拓扑图编者按: VPN技术尽管较为常见,但有时在搭建时有些人仍旧会犯一些低级错误,导致不该有的故障。本文就围绕VPN内网访问时的两个典型错误加以分析。内网访问远在宜昌的内网资源,现已在宜昌端防火墙上做好SSL-VPN配置,在北京端通过SSL客户端正确连接到VPN服务端,也获取了VPN-IP:192.168.20.10。故障探寻1.客户端PC1成功连接到VPN服务障案例加以剖析。网络环境在如图1所示的网络拓扑图中,北京的客户要通过图2 两个网段的IPv4路由表器后,不能访问任何资源,外网也上不了,宜昌端的内网资源都无法访问。【上接第152页】是在建必须更改,可通过Linux命令“chage –M 99999 oracle”,即可使该账号的密码永不过期,或将密码过期时间配置成符合公司安全策略。

间占满,最终导致数据库被挂起应用系统无法登录。同时暴露出我们运维工作中一些薄弱的环节。另外我们对于Exadata操作系统的安全配置不够熟悉,未能及时发现用户密码过期的情况,导致排查故障时找不到正确的方向,就因为操作系统的小问题引发了整个应用系统的故障。立等效性的时候所有节点的密码必须一致。同时注意到,在resecure步骤运行完以后,会设置ssh的登录超时时间。此配置实际上参数文件/etc/ssh/sshd config 中添加了一行

ClientAlivelnterval 30。操作系统中Oracle账号被修改成了90天密码过期总结此次故障是正是由于未及时按照规定更改操作系统密码导致定时任务无法正常运行,从而引发归档日志空 2019.05153

Trouble Shooting

故障诊断与处理责任编辑:赵志远 投稿信箱:netadmin@通过简单沟通,用户在配置时只是简单按照教程进行了规矩的搭建,IP地址分配也是一样,这样就造成了192.168.20.0这个网段根本没有在对方的子网规划内,交换机、防火墙上根本就没有它的踪影,VPN只是打开了一个通道,让外网的客户端连接到自己的内网来,如图2所示,有宜昌端只有两个网段192.168.4.0和192.168.3.0,根本不知道192.168.20.0的存在,因此只要在相应网络设备上VLAN、路由等配置时把此网段加进去即可,通过正确配置,引入这个VPN网段,可以正常访问。2.经过重新配置后,客户端PC1总算可以访问外网,也可以访问SERVER1上的资源,但问题又来了,无法访问SERVER0上的资源。在这种情况下,应该说VPN配置及网络配置没有问题了,这应该是一种特例了。细心的朋友会发现SERVER0的网段跟PC1的本地网段是一样的,会不会是因为此呢?看一下PC1端的本地路由表,如图3所示。本地的网络IP段与远在VPN服务端的IP段是同一网段,其实这种情况还是比较常见,这个时候要分析一下路由表的访问原则,首先优先满足本地接口的路由(在网络设备上就是直连路由),如果没有找到可访问的路由,才会去找静态默认路由。这样看来,PC1端不能访问SERVER0也就很正常了,因为本身有一个到192.168.3.0网段的接口路由,它会在本地网段努力去找SERVER0的IP,当然无法访问了。有人马上会想到,把其中任何一方的网段改一下不就万事大吉了吗?这是一种方图4 查看添加路由之后的路由表图3 PC1端的本地路由表法,但操作上不便,因为这要更改整个网络结构的相关参数了,而且要有一定的管理权限才能做。其实可以在本地路由表上做做功课,添加一条路由,让它优于之前的路由。route add

192.168.3.0

mask 255.255.255.0

192.168.20.10 metric 65再来查看路由表,如图4所示。效果很明显,路由表多了一条本地接口的路由,在相同的路由配置下,跃点数越小,优先级越高,这样192.168.3.0这个网段就走VPN-IP192.168.20.10这个接口了,PC1就可以顺利访问SERVER1上的资源了。结语之所以有以上的错误存在,一般是初学者仅仅停留在技术的配置外表上,没有对网络的内涵有深刻的理解。所以,对于网络技术的学习,还是要循序渐近,一步一个脚印,不要光注重先进应用的外表,而忽略了技术的细节。1542019.05