思科VPN配置十大常见问题及其解决 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 思科VPN配置十大常见问题及其解决

‹‹ 上一主题 | 下一主题 ››

48 1/5 1 2 3 4 5 ››

白君子

举人

UID 1160
精华 0
积分 2951
帖子 649
威望 88
金钱 1676
贡献 0
阅读权限 20
注册 2009-5-20
状态离线

楼主

大中小

使用道具

发表于 2010-11-10 10:28 资料短消息加为好友

分享到：

思科VPN配置十大常见问题及其解决

来源：置顶网

思科提供了许多处理VPN连接性的方法，这使得排除VPN的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的VPN性能到PIX防火墙所提供的VPN服务，再到思科的VPN Concentrator，其中的每一个都有其自身的特点。

考虑到选项的复杂性，本文所讨论的这些技巧并不一定适用于所有的思科VPN配置。不过，本文将会为您解决类似的VPN问题提供一个很好的起点。

问题一：某个运行互联网连接共享的用户不能安装思科3000 VPN客户端。

这个问题易于解决。用户需要在安装VPN客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意，如果VPN机器只是通过另外一个使用ICS的机器进行连接的话，这样做就不必要了。要禁用ICS，可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”，并禁用“在启动时加载(Load On Startup)”选项。

此外，还要保证用户们知道VPN客户端禁用了XP的欢迎屏幕和快速用户切换，这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用，而且用户需要键入其用户名和口令。(注意：快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过，这也有其自身的问题，因此，除非你确实需要快速用户切换，笔者并不推荐这样做。)

关于客户端安装的另外一个问题：思科并不推荐在同一的PC上安装多个VPN客户端。如果对此你有任何问题，并且需要支持，可以先卸载其它的客户端，然后再打电话寻求支持。

问题二：日志指示一个密钥问题

如果与预共享密钥有关的日志中存在着错误，你就可能在VPN连接的任何一端上错配密钥。这种情况下，你的日志会指明客户端与VPN服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后，日志会指明一个密钥问题。要解决之，可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项，并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中，输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上，应使用命令：

sakmp key password address xx.xx.xx.xx netmask 255.255.255.255

在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。

问题三：在试图连接到VPN时，运行防火墙软件的用户报告错误

在防火墙软件中，有一些端口需要打开，如BlackIce(BlackIce也存在着与思科的VPN客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。)，Zone Alarm，Symantec，还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言，如果用户在其软件中打开了下面的端口，你就该看到一些抱怨的终结：

UDP 端口： 500, 1000 和 10000

IP 协议 50 (ESP)

为IPSec/TCP而配置的TCP 端口

NAT-T 端口 4500

问题四：家庭VPN用户抱怨说，在VPN连接建立后，他们不能访问其家用网络上的其它资源。

一般而言，这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险，可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度，并自动地扩展到客户端连接(例如，一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上，可以使用这个命令来启用隧道分离：

vpngroup vpngroupname split-tunnel split_tunnel_acl

你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道，哪些通信可以以明文的形式发送出去。例如：

access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any

或者任何你指定的IP地址范围。

在一个思科Cisco Series 3000 VPN Concentrator 上，你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行：转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”，并且从“客户配置(Client Config)”选项卡中，选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项，并在你应该由VPN保护的站点上创建一个网络列表，而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。

问题五：一个远程用户的网络正在使用与VPN服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client VPN 4.6,环境：Windows 2000/XP)

对这些特定的操作系统来说，这可能有点儿特别，不过诊断Cisco VPN 4.6的这些IP地址冲突可能会使人灰心丧气。在这些情况下，由于冲突的存在，那些假定通过VPN隧道的通信仍保留在本地。

在受到影响的客户端上，单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”，在适配器上右击，并选择“属性(Properties)”。在“属性(Properties)”页上，选择TCP/IP，然后单击“属性(Properties)”按钮。下一步，单击“高级(Advanced)”选项，找到“Interface Metric”选项，将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。VPN适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。

白君子

举人

UID 1160
精华 0
积分 2951
帖子 649
威望 88
金钱 1676
贡献 0
阅读权限 20
注册 2009-5-20
状态离线

沙发

大中小

使用道具

发表于 2010-11-10 10:29 资料短消息加为好友

思科提供了许多处理VPN连接性的方法，这使得排除VPN的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的VPN性能到PIX防火墙所提供的VPN服务，再到思科的VPN Concentrator，其中的每一个都有其自身的特点。

考虑到选项的复杂性，本文所讨论的这些技巧并不一定适用于所有的思科VPN配置。不过，本文将会为您解决类似的VPN问题提供一个很好的起点。

问题一：某个运行互联网连接共享的用户不能安装思科3000 VPN客户端。

这个问题易于解决。用户需要在安装VPN客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意，如果VPN机器只是通过另外一个使用ICS的机器进行连接的话，这样做就不必要了。要禁用ICS，可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”，并禁用“在启动时加载(Load On Startup)”选项。

此外，还要保证用户们知道VPN客户端禁用了XP的欢迎屏幕和快速用户切换，这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用，而且用户需要键入其用户名和口令。(注意：快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过，这也有其自身的问题，因此，除非你确实需要快速用户切换，笔者并不推荐这样做。)

关于客户端安装的另外一个问题：思科并不推荐在同一的PC上安装多个VPN客户端。如果对此你有任何问题，并且需要支持，可以先卸载其它的客户端，然后再打电话寻求支持。

问题二：日志指示一个密钥问题

如果与预共享密钥有关的日志中存在着错误，你就可能在VPN连接的任何一端上错配密钥。这种情况下，你的日志会指明客户端与VPN服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后，日志会指明一个密钥问题。要解决之，可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项，并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中，输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上，应使用命令：

sakmp key password address xx.xx.xx.xx netmask 255.255.255.255

在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。

问题三：在试图连接到VPN时，运行防火墙软件的用户报告错误

在防火墙软件中，有一些端口需要打开，如BlackIce(BlackIce也存在着与思科的VPN客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。)，Zone Alarm，Symantec，还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言，如果用户在其软件中打开了下面的端口，你就该看到一些抱怨的终结：

UDP 端口： 500, 1000 和 10000

IP 协议 50 (ESP)

为IPSec/TCP而配置的TCP 端口

NAT-T 端口 4500

问题四：家庭VPN用户抱怨说，在VPN连接建立后，他们不能访问其家用网络上的其它资源。

一般而言，这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险，可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度，并自动地扩展到客户端连接(例如，一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上，可以使用这个命令来启用隧道分离：

vpngroup vpngroupname split-tunnel split_tunnel_acl

你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道，哪些通信可以以明文的形式发送出去。例如：

access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any

或者任何你指定的IP地址范围。

在一个思科Cisco Series 3000 VPN Concentrator 上，你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行：转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”，并且从“客户配置(Client Config)”选项卡中，选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项，并在你应该由VPN保护的站点上创建一个网络列表，而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。

问题五：一个远程用户的网络正在使用与VPN服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client VPN 4.6,环境：Windows 2000/XP)

对这些特定的操作系统来说，这可能有点儿特别，不过诊断Cisco VPN 4.6的这些IP地址冲突可能会使人灰心丧气。在这些情况下，由于冲突的存在，那些假定通过VPN隧道的通信仍保留在本地。

在受到影响的客户端上，单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”，在适配器上右击，并选择“属性(Properties)”。在“属性(Properties)”页上，选择TCP/IP，然后单击“属性(Properties)”按钮。下一步，单击“高级(Advanced)”选项，找到“Interface Metric”选项，将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。VPN适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。