VPN连接速度下降如何处理

VPN连接很慢。

最近，省中心安装了一套新的科技计划网上申报系统。该系统工作在VPN网络环境下，其数据库位于省中心局域网内的一个文件服务器上。市级客户端用户可以通过VPN网络和Web进行访问和申报。运行一段时间后，我发现访问网上申报系统的速度很慢，有时打开系统的一个简单登录页面就要花很长时间。估计中间肯定有问题，就给省中心的工程师打电话，问他们科技计划网上申报系统软件开发有没有限制。在仔细检查和测试后，其他工程师回答说，该系统的软件设置没有限制，其他城市的用户可以正常访问该系统。既然这个系统没有问题，那么作者单位的局域网和省中心之间的网络是不是有问题？

作者的局域网是一个简单的两层结构。每个办公室的计算机通过100M双绞线连接到局域网的普通二层交换机。普通的二层交换机直接连接到硬件防火墙，并通过自己的路由功能共享互联网。宽带接入设备连接在硬件防火墙后，通过2M光纤线路接入互联网，局域网内所有计算机使用静态IP地址接入互联网。省中心的网络结构与作者所在单位的局域网基本相同。这两个本地区域通过各自的硬件防火墙创建的VPN网络通道连接，各市级用户需要访问的科技计划网上申请系统部署安装在省中心局域网的一个文件服务器上。

追踪失败的原因

由于作者所在单位的局域网与省中心局域网之间的VPN连接通道是通过硬件防火墙创建的，按理说其网络传输速度要比软件防火墙快得多，相应的VPN网络连接速度应该也很快。因此，笔者打算从本地局域网入手；在我自己的电脑上，我依次点击“开始”/“运行”命令。在弹出的系统运行对话框中，我输入字符串命令“ping 10.172.168.1”(其中10.172.168.1是本地局域网的网关地址)。点击回车键后，我从后面返回的结果信息中发现ping值为1ms。然后，使用ping命令测试由本地ISP分配给作者的单元的WAN端口地址。测试结果显示一切正常，中间没有掉包、掉线现象。这说明本地局域网和本地ISP之间的线路是正常的，也说明本地局域网没有问题。

接下来，笔者开始测试连接局域网时，省中心对应的WAN口地址。从返回的结果来看，ping值达到了20ms，但在此期间没有出现丢包或掉包的情况，说明作者所在的局域网与省中心的广域网连接没有问题。在使用ping命令测试省中心局域网的网关地址时，笔者发现这个测试的结果是50ms，测试过程中存在数据包丢失和掉线现象。好像是省中心广域网的端口地址和对应的网关地址有问题。这个网络通道包含的传输介质主要有硬件防火墙设备、宽带接入设备和双绞线网络。会不会是其中一个有问题？

带着这种想法，笔者立即联系了省中心的技术人员，恳求他们更换连接宽带接入设备和硬件防火墙设备的双绞线网络。在更换了一根网线后，笔者继续用ping命令测试省中心的网关地址，发现返回的结果还是和上次一样，显示双绞线网络没有问题，那么现在唯一可能导致的问题就是硬件防火墙设备和宽带接入设备。

省中心接入各地级市单位网络时，使用的设备几乎都是同一型号，而且都是一次性购买的。从理论上讲，它们的工作性能是相似的。于是，笔者请省中心的技术人员帮忙更换可能有问题的宽带接入设备。更换成功后，笔者再次进行ping测试，观察省中心局域网网关地址是否能正常ping通，结果还是失败。这说明以上问题不是宽带接入造成的。这很奇怪。问题出在硬件防火墙设备上吗？

考虑到硬件防火墙设备买的时间不长，笔者估计设备硬件质量没有问题。参数设置会出现问题吗？不得已，我只好请省中心的工作人员登录硬件防火墙设备的后台管理界面，记录一些重要参数。然后我和他对比了本地局域网防火墙的相关参数，看参数设置有没有问题。果然，这一努力没有白费。省中心工作人员在检查硬件防火墙设备的端口参数时发现，硬件防火墙设备与二层交换机连接端口的工作模式设置为100M，全双工模式，而硬件防火墙设备与宽带接入设备连接端口的工作模式设置为自适应模式。但是笔者发现本地局域网使用的硬件防火墙设备，其局域网连接端口和广域网连接端口都设置为100M，都是全双工模式。是这种差异导致VPN连接速度下降吗？

解决故障现象

笔者查阅了这款硬件防火墙的参数说明书后发现，这款防火墙的局域网连接端口和广域网连接端口默认为自适应模式，但在实际组网中，笔者清楚的记得这些端口都应该设置为100M，全双工模式，那么为什么省中心硬件防火墙的一个端口在100M，全双工模式，另一个端口为自适应模式呢？看来很可能是工作人员在工作中忘记修改这个参数的设置了；因此，笔者请求省中心工作人员将硬件防火墙对应的WAN连接端口的工作模式由自适应状态改为100M全双工模式。修改后，笔者继续使用ping命令测试省中心的网关地址。这次笔者看到了一个明显不同的测试结果:ping测试值从之前的50ms变成了30ms，测试过程中没有出现数据包丢失和掉线的情况。

此时，笔者从本地局域网的一台电脑上随机访问了省中心的网上申报系统，结果是打开很快。至此，VPN连接速度下降的故障现象已被成功解决。

最后的总结

仔细回顾上面的故障排除过程，笔者认为之所以在解决网络故障上走了一些弯路，是因为笔者简单的认为省中心和本地局域网使用的网络结构几乎一样，主要网络设备都是集中采购统一配置的，所以两者的区别是毋庸置疑的。事实上，由于工作人员的疏忽，省中心硬件防火墙的广域网连接速度与局域网连接速度不匹配；众所周知，当连接端口处于100M全双工模式时，硬件防火墙可以同时接收和发送数据，但当连接端口处于自适应模式时，硬件防火墙无法同时接收和发送数据，因此VPN连接速度会下降。