網(wǎng)管員基礎(chǔ)知識(shí)：VPN接入故障巧解決

網(wǎng)友提問(wèn)：

本人是企業(yè)的一名網(wǎng)絡(luò)管理員，企業(yè)規(guī)模比較大，在國(guó)內(nèi)多個(gè)省市都有分支機(jī)構(gòu)，企業(yè)的性質(zhì)屬于金融業(yè)，因此很多內(nèi)網(wǎng)應(yīng)用與服務(wù)都需要適當(dāng)?shù)谋Ｃ?。在?shí)際工作中我們通過(guò)VPN設(shè)備實(shí)現(xiàn)將遠(yuǎn)程分支機(jī)構(gòu)連接到內(nèi)網(wǎng)的功能，通過(guò)VPN設(shè)備完成內(nèi)網(wǎng)接入服務(wù)。不過(guò)在實(shí)際接入中卻出現(xiàn)了在遠(yuǎn)程計(jì)算機(jī)VPN客戶(hù)端無(wú)法順利連接到VPN設(shè)備并接入內(nèi)網(wǎng)。不管是使用默認(rèn)的admin帳戶(hù)還是自己重新建立的員工帳戶(hù)都無(wú)法連接。不知道這個(gè)原因是由什么造成的，希望專(zhuān)家可以幫助我解決此難題，本人使用的產(chǎn)品設(shè)備是Biguard公司的VPN安全設(shè)備S10。

解答：

一般來(lái)說(shuō)要想順利的接入VPN安全設(shè)備，首先需要針對(duì)VPN安全設(shè)備特別是相應(yīng)端口的IP地址進(jìn)行配置，其次要建立相應(yīng)的具備VPN遠(yuǎn)程撥號(hào)接入的帳號(hào)，同時(shí)還要給予該帳戶(hù)一定的內(nèi)網(wǎng)應(yīng)用權(quán)限。

如果在連接VPN安全設(shè)備出現(xiàn)超時(shí)或者網(wǎng)絡(luò)中斷等問(wèn)題故障多來(lái)自于VPN相應(yīng)端口IP地址等信息配置錯(cuò)誤，如果提示帳戶(hù)權(quán)限不足或者連接后無(wú)法使用內(nèi)網(wǎng)資源，那么問(wèn)題就出現(xiàn)在帳戶(hù)權(quán)限分配和權(quán)限指派上。

根據(jù)這位讀者描述在訪(fǎng)問(wèn)遠(yuǎn)程VPN安全設(shè)備并輸入相應(yīng)具備接入權(quán)限帳戶(hù)信息后連接卻出現(xiàn)——“login failed! you have no permission to use standalone network extender”，這個(gè)錯(cuò)誤提示的意思是該用戶(hù)沒(méi)有權(quán)限使用遠(yuǎn)程撥號(hào)接入客戶(hù)端程序。因此我們就應(yīng)該到VPN安全設(shè)備中尋找該帳戶(hù)對(duì)應(yīng)的權(quán)限是否設(shè)置合理，經(jīng)過(guò)查詢(xún)才發(fā)現(xiàn)原來(lái)之前在建立softer帳戶(hù)時(shí)直接選擇了“啟動(dòng)組設(shè)置”，該選項(xiàng)的意思就是該帳戶(hù)的所有權(quán)限都繼承上級(jí)用戶(hù)組，帳戶(hù)屬于哪個(gè)組就嚴(yán)格按照該組的權(quán)限在VPN接入后進(jìn)行分配。由于該用戶(hù)只建立了帳戶(hù)而沒(méi)有給予其所在組分配相應(yīng)的訪(fǎng)問(wèn)權(quán)限，所以在遠(yuǎn)程連接時(shí)就會(huì)出現(xiàn)上述錯(cuò)誤提示。

要想順利解決此問(wèn)題可以從兩個(gè)方面實(shí)現(xiàn)，其一是編輯帳戶(hù)信息將“組設(shè)置”選擇為“關(guān)閉”，這樣每個(gè)帳戶(hù)都將按照自己的權(quán)限進(jìn)行分配，而不再繼承用戶(hù)組的設(shè)置信息。關(guān)閉組設(shè)置后我們就可以針對(duì)softer帳戶(hù)使用的網(wǎng)上鄰居，network exterder服務(wù)，transport extender服務(wù)等等應(yīng)用做具體設(shè)置了，從而解決上述問(wèn)題保證softer帳戶(hù)順利連接VPN安全設(shè)備并通過(guò)帳戶(hù)驗(yàn)證。當(dāng)然我們直接針對(duì)softer所在組進(jìn)行權(quán)限劃分也可以實(shí)現(xiàn)上述功能，具體如何操作就要看各位讀者的實(shí)際情況了。

除了帳戶(hù)權(quán)限問(wèn)題外有時(shí)我們通過(guò)默認(rèn)管理員帳戶(hù)連接遠(yuǎn)程VPN安全設(shè)備也會(huì)出現(xiàn)“LOGIN error access denied:not allowed to login from WAN”的提示，這是因?yàn)槟J(rèn)情況下出于VPN設(shè)備的安全考慮都沒(méi)有開(kāi)啟WAN接口的管理員登錄權(quán)限，自然管理員帳戶(hù)無(wú)法通過(guò)遠(yuǎn)程直接連接VPN設(shè)備。同樣有兩種方法解決此難題，第一是先通過(guò)其他帳戶(hù)連接VPN設(shè)備接入內(nèi)容，然后再在內(nèi)網(wǎng)中通過(guò)HTTP或其他管理工具連接VPN設(shè)備，達(dá)到進(jìn)入管理界面設(shè)置必要參數(shù)的目的。而另外一種方法則是事先在VPN設(shè)備中開(kāi)啟遠(yuǎn)程接入與管理權(quán)限，一般該設(shè)置在“高級(jí)設(shè)置”->“遠(yuǎn)程訪(fǎng)問(wèn)”下，我們將默認(rèn)的關(guān)閉遠(yuǎn)程配置修改成“啟動(dòng)遠(yuǎn)程入口及遠(yuǎn)程配置”，這樣我們就可以通過(guò)admin帳戶(hù)在遠(yuǎn)程計(jì)算機(jī)直接登錄VPN設(shè)備了。當(dāng)然為了安全我們可以指定具備遠(yuǎn)程連接權(quán)限的地址信息，由于篇幅關(guān)系這方面的內(nèi)容與操作方法請(qǐng)各位感興趣的讀者自行研究。只有設(shè)置了合理的權(quán)限，我們才能夠順利的在遠(yuǎn)程客戶(hù)機(jī)上通過(guò)普通帳戶(hù)或管理帳戶(hù)連接VPN安全設(shè)備進(jìn)行相應(yīng)的內(nèi)網(wǎng)接入與權(quán)限管理工作。

【推薦閱讀】

◆網(wǎng)管軟件專(zhuān)區(qū) 

◆企業(yè)網(wǎng)管員如何監(jiān)控公司網(wǎng)絡(luò)健康運(yùn)行

◆網(wǎng)管員技巧：網(wǎng)絡(luò)監(jiān)控軟件的部署經(jīng)驗(yàn)

◆網(wǎng)管軟件的成長(zhǎng)之路還有多長(zhǎng)

◆IT運(yùn)維管理專(zhuān)區(qū)