科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道思科VPN十大常见问题及其解决方法(下)

思科VPN十大常见问题及其解决方法(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

思科提供了许多处理VPN连接性的方法,这使得排除VPN的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的VPN性能到PIX防火墙所提供的VPN服务,再到思科的VPN Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科VPN配置。

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 网络安全 VPN 思科

  • 评论
  • 分享微博
  • 分享邮件
 问题六:某些路由器/固件组合引起了客户端的VPN连接问题

  思科的VPN客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:

  固件版本低于1.44的Linksys BEFW11S4

  固件版本低于2.15的Asante FR3004 Cable/DSL 路由器

  Nexland Cable/DSL 路由器型号 ISB2LAN

  如果所有其它的措施都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。

  问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结

  在这种情况下,用户会看到一个错误消息,类似于“VPN Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( VPN连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:

  用户可能输入了不正确的组口令

  用户可能并没有为远程VPN端点键入恰当的名称或IP地址

  用户可能存在着其它的互联网连接问题

  基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。

  问题八:从NAT设备后建立一个VPN连接时,发生故障;或者建立一个到NAT设备后的VPN服务器的连接时,发生故障。

  在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科VPN硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。

  如果你正将一个PIX防火墙既用作防火墙又用作VPN端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科VPN集中器,就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后,在集中器上,转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且,还要保障任何在用户端点上使用的客户端都支持NAT-T。

    问题九:用户成功地建立了一个VPN链接,不过却周期性的掉线。

  同样,为了明确问题,你还要检查多个地方。首先,确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式,也没有启动屏幕保护程序。在VPN客户期望到达一个VPN服务器的持续连接时,待命模式、休眠模式能够中断你的网络连接。为了节省电力,你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。

  如果使用了无线技术,你的用户有可能漫游到一个无线信号很弱(或不存在)的地方,那么VPN有可能因此断开。还有,你的用户的网络电缆可能有问题,也有可能是路由器或互联网连接的问题,或者是其它的物理连接问题。

  还有这样一些报告指出,如果一个VPN端点(PIX或3000集中器)耗尽其IP地址池中的资源,也会导致在客户端上导致这种错误。

  问题十:某用户报告说,计算机在本地网络上不再可“见”,即使VPN客户端被禁用。

  其它症状还可能包括用户网络上的其它许多计算机不能Ping通VPN计算机,即使这台计算机能够看到网络上的其它计算机。出现这种情况,这个用户有可能启用了VPN客户端上的内置防火墙。如果防火墙被启用,它就会保持运行状态,甚至在客户端不运行时仍然如此。要解决问题,就要打开客户端,并从选项(options)页上,取消选择“stateful firewall”选项的复选框。

  以上介绍的仅是思科VPN中的十个比较常见的问题及其解决方法,不过,可以看作是抛砖引玉。关注IT专家网,关注最新安全信息。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章