思科提供了许多处理VPN连接性的方法,这使得排除VPN的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的VPN性能到PIX防火墙所提供的VPN服务,再到思科的VPN Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科VPN配置。不过,本文将会为您解决类似的VPN问题提供一个很好的起点。
问题一:某个运行互联网连接共享的用户不能安装思科3000 VPN客户端。
这个问题易于解决。用户需要在安装VPN客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果VPN机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。
此外,还要保证用户们知道VPN客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)
关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个VPN客户端。如果对此你有任何问题,并且需要支持,可以先卸载其它的客户端,然后再打电话寻求支持。
问题二:日志指示一个密钥问题
如果与预共享密钥有关的日志中存在着错误,你就可能在VPN连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与VPN服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:
sakmp key password address xx.xx.xx.xx netmask 255.255.255.255
在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。
问题三:在试图连接到VPN时,运行防火墙软件的用户报告错误
在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的VPN客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:
UDP 端口: 500, 1000 和 10000
IP 协议 50 (ESP)
为IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
问题四:家庭VPN用户抱怨说,在VPN连接建立后,他们不能访问其家用网络上的其它资源。
一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:
vpngroup vpngroupname split-tunnel split_tunnel_acl
你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:
access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 [1] [2] [3] 下一页 |
