揭密数据在VPN通道传输过程

为了更好地解决VPN访问外网不畅的故障现象，我们还有必要来了解一下上网数据信息在VPN网络连接通道中的传输过程。我们知道，VPN网络连接接口其实就是一个点对点方式的虚拟链路接口，当VPN网络连接接口收到网络访问包时，该连接接口就会把从网络层获取得来的数据信息包封装成PPP点对点格式的数据帧，同时对该数据帧进行安全加密操作，之后再把安全封装好的数据帧信息传输到指定的网关那里，这里所提到的网关其实就是VPN工作站自己，因此这个被安全封装的上网数据信息帧又被重新返回给本地工作站再次进行处理，这次处理操作实际上就是再次对上网数据信息帧进行封装的过程。

那么VPN工作站为什么需要重复对上网数据信息帧进行封装呢?这是因为第一次进行安全封装的数据帧往往只能通过虚拟的VPN网络连接接口进行传输，要想将上网数据信息通过实际的网络连接接口进行传输，还需要在实际的网络链路层中重新进行一次安全封装操作才行。而在最终封装成符合网络链路层传输要求的数据帧之前，往往要对第一次封装过的上网数据信息帧进行其他的多级封装，这是由于按照规定是无法直接把PPP点对点格式的数据帧封装在另一个链路层数据帧中的，这需要在PPP点对点格式的数据帧之前添加一些报头，例如最简单的是添加一个GRE报头和IP报头。

当上网数据信息帧被封装到符合网络层传输要求时，比方说在封装到IP报头的时候，还需要在这个过程中进行一次路由指定，这是因为上网数据信息包必须要明确地发送到目标远程VPN服务器那里，上网数据信息包需要在这里寻找到一条能够到达目标远程VPN服务器的路由，之后上网数据信息就在目标路由的指定下将数据送到特定的网络接口进行处理。

应对VPN访问外网不畅的方案

通过上面的分析，我们不难看出，使用VPN网络连接访问单位内部网络时，一定要让通过VPN网络连接传输的数据信息包先到达VPN网络虚拟连接接口进行处理，倘若没有经过虚拟VPN网络连接接口处理的话，那么通过VPN网络连接出去的数据信息包就没有经过安全加密环节，这些的数据信息在Internet通道中传输时，自然就会影响到单位内部网络的安全性。

当我们在VPN网络连接属性设置界面中将“在远程网络上使用默认网关”项目取消选中时，尽管远程局域网网络能通过Internet通道到达目标网站内容，可是这个访问过程没有通过虚拟VPN网络连接端口进行传输，那样一来上网信息就没有经过安全加密处理，这样的话上网信息的安全性就无法得到保证，很显然这并不是VPN网络访问真正想要实现的目的，所以简单地将“在远程网络上使用默认网关”项目取消选中显然是不可取的。

退一步来说，即使我们将远程局域网的内网IP地址分配给VPN工作站，一旦将“在远程网络上使用默认网关”项目的选中状态取消，同样也会出现路由寻径问题，因为此时所有发送到本地工作子网中的数据信息包都将被自动路由到远程局域网网络中。为了有效防止VPN工作站出现这种路由寻径错误，我们可以尝试为VPN工作站分配一个特殊的IP地址，确保该地址不能与VPN工作站所处的本地工作子网地址范围相同，不过要与远程局域网工作子网地址范围相同。

但是，如果将VPN网络连接属性设置界面中的“在远程网络上使用默认网关”选项保持选中，我们就不能实现同时访问远程局域网和Internet网络的目的，这显然是一个两难问题，针对这种问题我们目前还没有找到一个合适的设置方法，只能在不同的工作环境中使用不同的网络设置来解决网络连接问题。由于将VPN网络连接属性设置界面中的“在远程网络上使用默认网关”项目取消选中，一定会影响远程局域网的安全运行。

为此，在远程局域网对安全要求较高的情况下，我们肯定要选中“在远程网络上使用默认网关”选项;对于那些既想访问Internet网络又想访问远程局域网的的朋友来说，我们不妨尝试使用HTTP代理实现访问Internet网络的目的，该功能大部分代理服务器往往是支持的。例如，要是我们希望VPN工作站能够同时访问Internet网络和远程局域网时，可以考虑在VPN服务器中安装专业的代理服务器程序，例如可以安装专业的Wingate工具程序;之后从系统的“开始”菜单中启动运行Wingate程序，打开“Users”选项设置页面，再双击“Assumed users”选项，然后单击其后界面中的“By IP Address”选项卡，在对应的选项设置页面中单击“Add”按钮，如此一来我们就能看到Location设置对话框了，在这里输入需要访问代理服务器的VPN工作站IP地址，同时将对应界面中的“Guest”项目选中，最后单击“OK”按钮，那样一来指定的VPN工作站就能通过代理服务器来访问Internet网络中的内容了。