组网状态

笔者单位通过ISA Server部署了内网的VPN服务器，当用户在Internet网络上访问上级单位内网资源时，必须先通过VPN客户端连接到单位内网。图1所示为网络结构图，其中ISA Server系统所在的服务器主机，同时安装了三块物理网卡设备，部署有ISA Server和Windows Server 2003两个不同的服务器操作系统，通过合理配置，将其中的ISA Server部署成了内网的VPN服务器，该服务器允许普通VPN客户端同时在“外网”和“内网”中呼叫，将与上级内网相连的连接配置为隔离区域，该区域只允许VPN客户端系统访问，不允许其他普通客户端系统访问。对于外网客户端用户来说，可以通过Internet网络直接拨号外网地址，与VPN服务器进行通信；对于内网客户端用户来说，需要通过局域网拨号专门的内网地址，访问单位的VPN服务器。

图1 网络结构

故障现象

完成各种配置后，网管员分别从内网和外网进行了访问测试，发现内、外网VPN客户端系统都能高效访问VPN服务器中的数据。不过近日，网管员接到报修电话，反映通过VPN客户端访问上级内网Web服务器时，网页显示速度十分缓慢。接到保修任务后，网管员认为可能是上级内网Web服务器自身有问题。登录VPN服务器，打开IE浏览器，直接访问目标Web服务器主页面，发现网页显示速度正常，显然问题不是出在上级内网Web服务器身上。

难道VPN客户端有问题？网管员立即赶到故障现场，经过反复测试，发现在单位内网的VPN服务器中，能够正常访问上级单位的内网Web服务器，而且用户在单位内网环境中，通过VPN客户端系统也能正常访问80端口的Web站点，只是在访问80端口以外的其他站点页面时，感觉到访问速度非常缓慢。

通过了解得知，为了保证Web内容的访问安全，上级内网Web服务器开通了不同Web访问端口，不同端口对应不同内容，而有的内网用户不管是访问Web服务器80端口的内容，还是访问其他端口的内容，访问速度都很正常，但内网中的绝大多数用户在访问其他端口的Web内容时速度不正常。

故障排查

既然有些用户可以正常访问80端口或其他端口的Web内容，那就意味着Web服务器自身没有问题，故障一定出在VPN客户端身上。网管员将正常的和非正常的VPN客户端放在一起进行比对检查，看到访问正常的VPN客户端没有及时安装漏洞补丁程序，而访问速度不正常的VPN客户端系统都是及时更新漏洞补丁程序的，看来问题出在这个地方。网管员初步认定可能是微软的某个漏洞补丁造成的。在ISA Server系统进入80以外端口的属性对话框，在其中的“应用程序筛选器”位置处，选中“Web代理筛选器”选项，确认后保存设置操作。之后，重新在故障VPN客户端进行Web访问测试，访问速度终于恢复了正常。

故障总结

在这次故障排查过程得到了不少启发：一是某些漏洞补丁程序自身存在Bug或与客户端系统中的部分软件存在冲突时，可能引发一些莫名其妙的网络故障。二是在排查网络故障的过程中，要合理地将一些看似关联程度不大的现象或问题，用转变思维的方法有机地联系在一起，特别是这次将Windows系统是否及时更新补丁程序用在解决Web访问的过程中。三是在日常的网络运行维护过程中，尽力养成善于思考、勤于总结的习惯，时间长了以后，就可以达到透过故障现象看到故障本质的能力。