الأسئلة المتداولة حول مركز Cisco VPN 3000

المقدمة

يجيب هذا المستند على الأسئلة المتداولة (FAQs) حول مركز VPN 3000 Series من Cisco.

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

عام

س. ماذا تعني رسالة الخطأ خدمة مفقودة"؟

أ. في حالة عدم إرسال حركة مرور بين مركز الشبكة الخاصة الظاهرية (VPN) وعميل الشبكة الخاصة الظاهرية (VPN) لفترة من الوقت، يتم إرسال حزمة اكتشاف نظير ميت (DPD) من مركز الشبكة الخاصة الظاهرية (VPN) إلى عميل الشبكة الخاصة الظاهرية (VPN) لضمان أن النظير الخاص بها لا يزال موجودا. إذا كانت هناك مشكلة اتصال بين نظاري الشبكة الخاصة الظاهرية (VPN) حيث لا يستجيب عميل الشبكة الخاصة الظاهرية (VPN) إلى مركز الشبكة الخاصة الظاهرية (VPN)، فإن مركز الشبكة الخاصة الظاهرية (VPN) يستمر في إرسال حزم DPD على مدى فترة من الوقت. يؤدي هذا إلى إنهاء النفق وإنشاء الخطأ إذا لم يستلم إستجابة أثناء ذلك الوقت. ارجع إلى معرف تصحيح الأخطاء من Cisco CSCdz45586 (يلزم وجود عقد دعم).

الخطأ يجب أن يبدو هكذا:

SEV=4 AUTH/28 RPT=381 XXX.XXX.XXX.XX User [SomeUser] disconnected:
Duration: HH:MM:SS Bytes xmt: 19560 Bytes rcv: 17704 Reason: 
Lost Service YYYY/MM/DD HH:MM:SS XXX.XXX.XXX.XXX
syslog notice 
45549 MM/DD/YYYY HH:MM:SS SEV=4 IKE/123 RPT=XXX.XXX.XXX.XXX
Group [SomeDefault] User [SomeUser]
IKE lost contact with remote peer, deleting connection (keepalive type: DPD)

السبب: لم يستجب نظير IKE البعيد لرسائل keepalives ضمن الإطار الزمني المتوقع، لذلك تم حذف الاتصال بنظير IKE. وتتضمن الرسالة آلية البقاء على قيد الحياة المستخدمة. يمكن إعادة تكوين هذه المشكلة فقط إذا تم قطع اتصال الواجهة العامة أثناء جلسة عمل النفق النشط. يحتاج العميل إلى مراقبة اتصال الشبكة لديه نظرا لأنه يتم إنشاء هذه الأحداث لتحديد السبب الجذري لمشكلات اتصال الشبكة المحتملة لديه.

قم بتعطيل IKE keepalive بالانتقال إلى ٪System Root٪\Program Files\Cisco Systems\VPN Client\Profile على جهاز الكمبيوتر العميل الذي يواجه المشكلة، وقم بتحرير ملف PCF (حيثما ينطبق ذلك) للاتصال.

قم بتغيير 'ForceKeepAlives=0' (الافتراضي) إلى 'ForceKeepAlives=1'.

إذا إستمرت المشكلة، افتح طلب خدمة مع دعم Cisco التقني وأزود العميل "عارض السجل" وسجل مركز الشبكة الخاصة الظاهرية (VPN) كلما حدثت المشكلة.

Q. ماذا تعني رسائل الخطأ q_send" التي تم الكشف عنها لقائمة انتظار EMQ1؟

أ. تحدث رسالة الخطأ هذه عندما يكون هناك الكثير من أحداث/معلومات تصحيح الأخطاء في المخزن المؤقت. ليس له أي تأثير سلبي سوى فقدان بعض رسائل الحدث. حاول تقليل الأحداث إلى الحد الأدنى المطلوب لمنع الرسالة.

q. لا تزال مجموعتي المحذوفة تظهر في تكوين مركز الشبكة الخاصة الظاهرية (VPN). كيف يمكنني حذف هذا؟

a. انسخ التكوين إلى محرر نصوص (مثل Notepad) وحرر أو حذف معلومات المجموعة المتأثرة المشار إليها بواسطة [ipaddrgrouppool #.0]. قم بحفظ التكوين وتحميله إلى مركز VPN. ويرد مثال على ذلك هنا.

!--- Change to 14.1 or any other number that is not in use !--- any number other than 0).

[ipaddrgrouppool 14.0]
rowstatus=1 
rangename= 
startaddr=172.18.124.1 
endaddr=172.18.124.2

س. هل من الممكن الحصول على خوادم SDI أساسية متعددة؟

أ. لا يمكن لتركيزات VPN 3000 إلا تنزيل ملف سري عقدة واحدة في كل مرة. في إصدار SDI قبل 5.0، يمكنك إضافة العديد من خوادم SDI، ولكن يجب أن تشترك جميعها في نفس الملف السري للعقدة (فكر فيه كخوادم أساسية وخوادم نسخ إحتياطي). في SDI صيغة 5.0، أنت يستطيع فقط دخلت ال SDI واحد أساسي نادل (ال backup نادل يكون عددت في العقدة سر مبرد) ونسخة متماثلة نادل.

س. أنا أستلم شهادة SSL ستنتهي خلال 28 يوما" رسالة خطأ المصدر. ماذا علي أن أفعل؟

أ. تشير الرسالة إلى أن شهادة طبقة مأخذ التوصيل الآمنة (SSL) ستنتهي صلاحيتها في غضون 28 يوما. تستخدم هذه الشهادة للاستعراض إلى إدارة الويب عبر HTTPS. يمكنك ترك الترخيص مع الإعدادات الافتراضية، أو يمكنك تكوين خيارات مختلفة قبل أن تقوم بتوليد الشهادة الجديدة. حدد التكوين > النظام > بروتوكولات الإدارة > SSL للقيام بذلك. حدد إدارة > إدارة الشهادات وانقر فوق إنشاء لتجديد الشهادة.

إذا كنت قلقا بشأن الأمان على مركز الشبكة الخاصة الظاهرية (VPN) لديك وترغب في منع الوصول غير المصرح به، فقم بتعطيل بروتوكول HTTP و/أو HTTPS على الواجهة العامة من خلال الانتقال إلى التكوين > إدارة السياسة > إدارة حركة مرور البيانات > عوامل التصفية. إذا كنت بحاجة إلى الوصول إلى مركز الشبكة الخاصة الظاهرية (VPN) لديك عبر الإنترنت من خلال HTTP أو HTTPS، فيمكنك تحديد الوصول بناء على عنوان المصدر من خلال الانتقال إلى الإدارة > حقوق الوصول > قائمة التحكم في الوصول. يمكنك إستخدام القائمة "تعليمات" الموجودة في الركن العلوي الأيمن من الإطار للحصول على مزيد من المعلومات.

س. كيف يمكنني عرض معلومات المستخدم في قاعدة بيانات المستخدم الداخلية؟ لا يظهر عندما أنظر في ملف التكوين.

a. حدد إدارة > حقوق الوصول > إعدادات الوصول، واختر config file encryption=none، واحفظ التكوين لعرض المستخدمين وكلمات المرور. يجب أن تكون قادرا على البحث عن المستخدم المحدد.

س - كم عدد المستخدمين الذين يمكنهم تخزين قاعدة البيانات الداخلية؟

أ. يعتمد عدد المستخدمين على الإصدار ويتم تحديده في قسم التكوين > إدارة المستخدم في دليل المستخدم لإصدار مركز VPN 3000. إجمالي 100 مستخدم أو مجموعة (يجب أن يساوي مجموع المستخدمين والمجموعات 100 أو أقل) ممكن في إصدارات VPN 3000 من 2.2 إلى 2.5.2. في إصدارات الشبكة الخاصة الظاهرية (VPN) رقم 3.0 والإصدارات الأحدث، يظل عدد مركزات 3005 و 3015 عند 100. بالنسبة لتمركز الشبكة الخاصة الظاهرية (VPN) 3030 و 3020، يكون الرقم 500، وبالنسبة لتركيزات الشبكة الخاصة الظاهرية (VPN) 3060 أو 3080، يكون الرقم 1000. كما أن إستخدام خادم مصادقة خارجي يحسن قابلية التوسع والإدارة.

Q. ما هو الفرق بين العبارة الافتراضية للنفق والبوابة الافتراضية؟

أ. يستخدم مركز VPN 3000 بوابة النفق الافتراضية لتوجيه المستخدمين النفقي داخل الشبكة الخاصة (عادة الموجه الداخلي). يستخدم مركز الشبكة الخاصة الظاهرية (VPN) البوابة الافتراضية لتوجيه الحزم إلى الإنترنت (عادة الموجه الخارجي).

Q. إذا وضعت مركز الشبكة الخاصة الظاهرية (VPN) طراز 3000 الخاص بي خلف جدار حماية أو موجه يشغل قوائم التحكم في الوصول، فما هي المنافذ والبروتوكولات التي أحتاج إليها للسماح بالمرور؟

أ. يسرد هذا المخطط المنافذ والبروتوكولات.

الخدمة	رقم البروتوكول	منفذ المصدر	غاية ميناء
اتصال التحكم في PPTP	6 (TCP)	1023	1723
تضمين نفق PPTP	47 (GRE)	غير متوفر	غير متوفر
إدارة مفاتيح ISAKMP/IPSec	17 (UDP)	500	500
تضمين نفق IPSec	50 (ESP)	غير متوفر	غير متوفر
شفافية IPSec NAT	17 (UDP)	10000 (الافتراضي)	10000 (الافتراضي)

ملاحظة: منفذ شفافية ترجمة عنوان الشبكة (NAT) قابل للتكوين لأي قيمة في نطاق 4001 حتى 49151. في الإصدارات 3.5 أو الأحدث، يمكنك تكوين IPsec عبر TCP بالانتقال إلى التكوين > النظام > بروتوكولات الاتصال النفقي > IPSec > IPSec عبر TCP. يمكنك إدخال ما يصل إلى 10 منافذ TCP منفصلة بفاصلة (1 - 65535). إذا تم تكوين هذا الخيار، فتأكد من السماح بهذه المنافذ في جدار الحماية أو الموجه الذي يشغل قوائم التحكم في الوصول.

س. كيف يمكنني إعادة مركز الشبكة الخاصة الظاهرية (VPN) إلى إعدادات المصنع الافتراضية؟

a. من شاشة إدارة الملفات، احذف ملف "config" وأعد التمهيد. في حالة حذف هذا الملف دون قصد، يتم الاحتفاظ بنسخة إحتياطية، "config.bak".

س. هل يمكنني إستخدام TACACS+ للمصادقة الإدارية؟ ما الذي يجب أن أذكره عندما أفعل ذلك؟

أ. نعم، بدءا من الإصدار 3.0 من مركز VPN 3000، يمكنك إستخدام TACACS+ للمصادقة الإدارية. بعد تكوين TACACS+، تأكد من إختبار المصادقة قبل تسجيل الخروج. قد يمنعك التكوين غير الصحيح ل TACACS+ من الوصول. وهذا يتطلب تسجيل دخول منفذ وحدة تحكم من أجل تعطيل TACACS+ وإصلاح المشكلة.

س. ماذا أفعل عندما تنسى كلمة المرور الإدارية؟

أ. في الإصدارات 2.5.1 والإصدارات الأحدث، قم بتوصيل جهاز كمبيوتر بمنفذ وحدة التحكم بمركز الشبكة الخاصة الظاهرية (VPN) باستخدام كبل تسلسلي RS-232 متناظر التوجيه مع جهاز الكمبيوتر الذي تم تعيينه لما يلي:

• 9600 بت في الثانية

• 8 وحدات بت بيانات

• بلا تماثل

• بت إيقاف واحد

• التحكم في تدفق الأجهزة على

• محاكاة VT100

أعد تمهيد مركز الشبكة الخاصة الظاهرية (VPN). بعد اكتمال التحقق التشخيصي، يظهر سطر مكون من ثلاث نقاط (...) على وحدة التحكم. اضغط على Ctrl-C خلال ثلاث ثوان بعد ظهور هذه النقاط. تعرض قائمة تتيح لك إعادة ضبط كلمات مرور النظام إلى إعداداتها الافتراضية.

س. ما هو الغرض من اسم المجموعة وكلمة مرور المجموعة؟

أ. يتم إستخدام اسم المجموعة وكلمة مرور المجموعة لإنشاء تجزئة يتم إستخدامها بعد ذلك لإنشاء اقتران أمان.

س - هل يقوم ARP الوكيل الوكيل لتركيز الشبكة الخاصة الظاهرية (VPN) نيابة عن المستخدمين الذين يتم إنشاء قنوات لهم؟

ج. نعم.

س. أين أضع مركز VPN 3000 في ما يتعلق بجدار حماية الشبكة؟

ألف - يمكن وضع مركز الشبكة الخاصة الظاهرية 3000 أمام أو خلف أو مواز أو داخل المنطقة المجردة من السلاح (المنطقة المجردة من السلاح) لجدار الحماية. ليس من المستحسن أن يكون لديك الواجهات العامة والخاصة في شبكة LAN الظاهرية نفسها (VLAN).

q. هل هناك أي طريقة لتعطيل ARP للوكيل على مركز Cisco VPN 3000؟

a. لا يمكن تعطيل بروتوكول تحليل عنوان الوكيل (ARP) على مركز Cisco VPN 3000.

س. أين يمكنني العثور على الأخطاء المرفوعة ضد مركز VPN 3000؟

أ. يمكن للمستخدمين إستخدام أداة البحث عن الأخطاء (يلزم وجود عقد دعم) للعثور على معلومات تفصيلية حول الأخطاء.

س. أين يمكنني العثور على أمثلة التكوين لتمركز VPN 3000؟

أ. بالإضافة إلى وثائق مركز VPN 3000، يمكن العثور على مزيد من أمثلة التكوين على صفحة دعم مركز Cisco VPN 3000 Series.

س. كيف يمكنني زيادة التسجيل للحصول على تصحيح أفضل للأحداث المحددة؟

أ. يمكنك الانتقال إلى التكوين > النظام > الأحداث > الفئات وتكوين الأحداث المحددة (مثل IPsec أو PPTP) للحصول على تصحيح أخطاء أفضل. يجب تشغيل تصحيح الأخطاء فقط طوال مدة ممارسة أستكشاف الأخطاء وإصلاحها لأنه قد يتسبب في انخفاض الأداء. بالنسبة لتصحيح أخطاء IPsec، قم بتشغيل IKE و iKEDBG و IPSec و IPSECDBG و AUTH و authdbg. إذا كنت تستخدم شهادات، فقم بإضافة فئة CERT إلى القائمة.

س. كيف يمكنني مراقبة حركة المرور إلى مركز VPN 3000؟

أ. تتيح لك واجهة HTML التي تأتي مع مركز VPN 3000 إمكانية الحصول على وظائف المراقبة الأساسية إذا كنت تنظر تحت المراقبة > جلسات العمل. كما يمكن مراقبة مركز VPN 3000 من خلال بروتوكول إدارة الشبكة البسيط (SNMP) باستخدام مدير SNMP من إختيارك. بدلا من ذلك، يمكنك شراء حل إدارة الأمان / VPN من Cisco (VMS). يوفر نظام VMS من Cisco وظائف أساسية لمساعدتك في حالة نشر سلسلة مركز VPN 3000 ويتطلب المراقبة التفصيلية للوصول عن بعد والشبكات الخاصة الظاهرية (VPN) من موقع إلى موقع، استنادا إلى IPsec و L2TP و PPTP. ارجع إلى حل إدارة أمان شبكة VPN للحصول على مزيد من التفاصيل حول الأجهزة الافتراضية (VMS).

س. هل تحتوي سلسلة مركز VPN 3000 من Cisco على جدار حماية مدمج؟ إذا كان الأمر كذلك، فما هي الميزات التي يتم دعمها؟

a. بينما تحتوي السلسلة على إمكانيات تصفية/منفذ عديم الحالة و NAT، تقترح Cisco إستخدام جهاز مثل جدار حماية PIX الآمن من Cisco لجدار حماية الشركة.

q. ما هي خيارات التوجيه وبروتوكولات VPN المدعومة من قبل سلسلة مركز VPN 3000 من Cisco؟

أ. تدعم السلسلة خيارات التوجيه التالية:

• بروتوكول معلومات التوجيه Routing Information Protocol (اختصاره RIP)

• بروتوكول معلومات التوجيه (RIP2)

• بروتوكول فتح أقصر مسار أولاً (OSPF)

• مسارات ثابتة

• بروتوكول تكرار جهاز التوجيه الظاهري (VRRP)

تتضمن بروتوكولات VPN المدعومة بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP)، و L2TP، و L2TP / IPsec، و IPsec مع أو بدون جهاز NAT بين VPN 3000 والعميل الطرفي. تعرف IPsec من خلال NAT بشفافية NAT.

س. ما هي آليات / أنظمة المصادقة التي تدعمها سلسلة مركز VPN 3000 من Cisco لأجهزة الكمبيوتر العميلة؟

أ. يتم دعم مجال NT أو وكيل RADIUS أو RADIUS أو معرف أمان RSA (SDI) والشهادات الرقمية والمصادقة الداخلية.

س. هل يمكنني إجراء ترجمة عناوين الشبكة (NAT) الثابتة للمستخدمين الذين يتعاملون مع مركز VPN 3000؟

a. أنت يستطيع فقط عملت أيسر عنوان ترجمة (ضرب) للمستخدمين خارج. أنت يستطيع لا يتم NAT ساكن إستاتيكي على ال VPN 3000 مركز.

س. كيف يمكنني تخصيص عنوان IP ثابت لبروتوكول نفق معين من نقطة إلى نقطة (PPTP) أو لمستخدم IPsec من خلال مركز VPN 3000؟

أ. توضح هذه القائمة كيفية تعيين عناوين IP الثابتة:

• مستخدمو PPTP

  في قسم إدارة عنوان IP، بالإضافة إلى إختيار التجمع الخاص بك أو خيارات بروتوكول التكوين الديناميكي للمضيف (DHCP)، تحقق من خيار إستخدام عنوان العميل. بعد ذلك، قم بتعريف المستخدم وعنوان IP في مركز VPN 3000. يحصل هذا المستخدم دائما على عنوان IP مكون في مركز VPN عند التوصيل.

• مستخدمو IPsec

  في قسم إدارة عنوان IP، بالإضافة إلى الاختيار من التجمع الخاص بك أو خيارات DHCP، تحقق من إستخدام العنوان من خيار خادم المصادقة. بعد ذلك، قم بتعريف المستخدم وعنوان IP في مركز VPN 3000. يحصل هذا المستخدم دائما على عنوان IP المكون في مركز VPN عند التوصيل. يحصل كل الآخرين الذين ينتمون إلى نفس المجموعة أو إلى مجموعات أخرى على عنوان IP من التجمع العام أو DHCP.

  مع ال cisco VPN 3000 مركز برمجية صيغة 3،0 وفيما بعد، أنت تتلقى الخيار أن يشكل عنوان بركة على أساس مجموعة. يمكن أن تساعدك هذه الميزة في تعيين عنوان IP ثابت لمستخدم معين أيضا. إن يشكل أنت بركة لمجموعة، المستعمل مع ساكن إستاتيكي يحصل العنوان يعين إلى هم، وأعضاء آخر من ال نفسه مجموعة يحصل عنوان من المجموعة بركة. يطبق هذا فقط عندما يستعمل أنت VPN Concentrator كخادم مصادقة.

ملاحظة: إذا كنت تستخدم خادم مصادقة خارجي، فأنت بحاجة إلى إستخدام الخادم الخارجي لتعيين العناوين بشكل صحيح.

س. ما هي بعض مشاكل التوافق المعروفة مع منتجات PPTP من Microsoft ومحركات VPN 3000؟

أ. تستند هذه المعلومات إلى برنامج VPN 3000 Series Concentrator Software الإصدار 3.5 والإصدارات الأحدث، ومركزات VPN 3000 Series، الطرز 3005، 3015، 3020، 3030، 3060، 3080، و Microsoft Operating Systems Windows 95 والإصدارات الأحدث.

• شبكة الطلب الهاتفي ل Windows 95 (DUN) 1.2

  تشفير Microsoft من نقطة إلى نقطة (MPPE) غير مدعوم بموجب DUN 1.2. للاتصال باستخدام MPPE، قم بتثبيت Windows 95 DUN 1.3. يمكنك تنزيل ترقية Microsoft DUN 1.3 من موقع Microsoft على ويب.

• Windows NT 4.0

  يتم دعم Windows NT بالكامل لاتصالات بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) بمركز الشبكة الخاصة الظاهرية (VPN). يلزم توفر حزمة الخدمة 3 (SP3) أو إصدار أحدث. إذا كنت تقوم بتشغيل SP3، فيجب عليك تثبيت تصحيحات أداء وأمان PPTP. ارجع إلى موقع Microsoft على الويب للحصول على معلومات حول ترقية أداء أمان Microsoft PPTP ل WinNT 4.0 .

  لاحظ أن حزمة الخدمة 5 ذات 128 بت لا تعالج مفاتيح MPPE بشكل صحيح، وأن بروتوكول PPTP قد يفشل في تمرير البيانات. عندما يحدث ذلك، يعرض سجل الأحداث هذه الرسالة:

  103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
  User [ testuser ] 
  disconnected. Experiencing excessive packet decrypt failure.

  لحل هذه المشكلة، قم بتنزيل الترقية لمعرفة كيفية الحصول على أحدث Windows NT Service Pack 6a وWindows NT 4.0 Service Pack 6a Available. راجع مفاتيح MPPE لمقالة Microsoft التي لم يتم معالجتها بشكل صحيح لطلب 128 بت MS-CHAP للحصول على مزيد من المعلومات.

س. ما هو الحد الأقصى لعدد عوامل التصفية المسموح بها على مركز VPN 3000؟

أ. الحد الأقصى من عوامل التصفية التي يمكنك إضافتها على وحدة VPN 30xx (حتى 3030 أو 3060) ثابت على 100. يمكن للمستخدمين العثور على معلومات إضافية حول هذه المشكلة بعرض معرف تصحيح الأخطاء من Cisco CSCdw86558 (يلزم وجود عقد دعم).

س - ما هو الحد الأقصى لعدد المسارات في الخط 30xx من مركزات الشبكات الخاصة الظاهرية؟

ألف - العدد الأقصى للمسارات هو:

• كان مركز الشبكة الخاصة الظاهرية VPN 3005 يحتفظ فيما سبق بحد أقصى يبلغ 200 مسار. وقد أزداد هذا العدد الآن إلى 350 طريقا. راجع معرف تصحيح الأخطاء من Cisco CSCeb35779 (يلزم وجود عقد دعم) للحصول على مزيد من التفاصيل.

• لقد تم إختبار مركز الشبكة الخاصة الظاهرية (VPN) 3030 لما يصل إلى 10000 مسار.

• يتناسب حد جدول التوجيه على محولات VPN 3030 و 3060 و 3080 مع الموارد / الذاكرة المتوفرة في كل جهاز.

• لا يحتوي مركز VPN 3015 على حد أقصى محدد مسبقا. وهذا ينطبق على بروتوكول معلومات التوجيه (RIP) وفتح أقصر مسار أولا (OSPF).

• مركز VPN 3020 - بسبب القيود التي تفرضها Microsoft، لا يمكن لأجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows XP تلقي عدد كبير من المسارات الثابتة دون فئات (CSR). يحدد مركز VPN 3000 عدد إجراءات CSR التي يتم إدراجها في إستجابة رسالة DHCP Notify عند تكوينها للقيام بذلك. يحدد مركز الشبكة الخاصة الظاهرية (VPN) 3000 عدد المسارات إلى 28-42، حسب الفئة.

س. كيف يمكنني مسح إحصائيات الواجهة بالكامل حول مركز VPN 3000؟

أ. حدد المراقبة > الإحصاءات > MIB-II > إيثرنت وأعد ضبط الإحصائيات لتوضيح الإحصائيات للجلسة الحالية. تذكروا ان ذلك لا يوضح تماما الاحصاءات. تحتاج إلى إعادة التمهيد لإعادة ضبط الإحصائيات (مقابل إعادة الضبط لأغراض المراقبة).

q. ما المنافذ التي يجب أن تسمح بها على مركز الشبكة الخاصة الظاهرية (VPN) للاتصال ببروتوكول وقت الشبكة (NTP)؟

أ. السماح بمنفذ TCP و UDP 123.

q. ما هي وظائف منافذ UDP 625xx؟

أ. يتم إستخدام المنافذ لاتصال عميل شبكة VPN بين موسع NDIS الفعلي / المحدد (DNE) ومكدس TCP / IP الخاص بالكمبيوتر الشخصي، وهي مخصصة لاستخدام التطوير الداخلي فقط. على سبيل المثال، يتم إستخدام المنفذ 62515 بواسطة عميل شبكة VPN لإرسال المعلومات إلى سجل عميل شبكة VPN. يتم عرض وظائف المنافذ الأخرى هنا.

• 62514 - خدمة Cisco Systems، Inc. VPN إلى برنامج تشغيل Cisco Systems IPsec

• 62515 - برنامج تشغيل IPsec للأنظمة من Cisco إلى Cisco Systems، Inc. VPN Service

• 62516 - خدمة Cisco Systems، Inc. VPN إلى Xauth

• 62517 - خدمة Xauth إلى Cisco Systems، Inc. VPN

• 62518 - خدمة Cisco Systems، Inc. VPN إلى CLI

• 62519 - CLI إلى خدمة Cisco Systems، Inc VPN

• 62520 - خدمة Cisco Systems، Inc. VPN إلى واجهة المستخدم

• 62521 - واجهة المستخدم إلى Cisco Systems، Inc. VPN Service

• 62522 - رسائل السجل

• 62523 - مدير الاتصال ب Cisco Systems، Inc. VPN خدمة

• 62524 - PPPTool إلى Cisco Systems، Inc. VPN خدمة

س. هل يمكنني إزالة الشريط العائم ل WebVPN؟

أ. لا يمكنك إزالة شريط الأدوات العائم أو تجنب تحميل شريط الأدوات العائم أثناء إنشاء جلسة عمل WebVPN. وذلك لأنك عندما تغلق هذا الإطار، يتم إنهاء جلسة العمل فورا وعندما تحاول تسجيل الدخول مرة أخرى، يتم تحميل النافذة مرة أخرى. هذه هي طريقة تصميم جلسات عمل WebVPN في الأصل. يمكنك إغلاق النافذة الرئيسية ولكن من غير الممكن إغلاق النافذة العائمة.

البرنامج

س. هل تدعم WebVPN Outlook Web Access (OWA) 2003؟

ألف - يتوفر الآن دعم OWA لعام 2003 لشبكة WebVPN على مركز VPN 3000 مع تنزيلات الإصدار 4.1.7 (يلزم وجود عقد دعم).

س. من أين يمكنني الحصول على أحدث تعديلات البرامج لتركيزات VPN 3000؟

أ. يتم شحن جميع مركزات Cisco VPN 3000 باستخدام أحدث التعليمات البرمجية، ولكن يمكن للمستخدمين التحقق من التنزيلات (يلزم وجود عقد دعم) لمعرفة ما إذا كان هناك المزيد من البرامج الحالية متوفرة.

ارجع إلى صفحة وثائق مركز VPN 3000 Series من Cisco للحصول على أحدث الوثائق حول مركز VPN 3000.

س. هل أحتاج إلى خادم TFTP لترقية مركز VPN 3000؟ هل هناك طريقة بديلة لترقية المربع؟

أ. بالإضافة إلى إستخدام بروتوكول TFTP، يمكنك ترقية مركز الشبكة الخاصة الظاهرية (VPN) من خلال تنزيل أحدث البرامج على محرك الأقراص الثابتة لديك. ثم انتقل إلى الإدارة > تحديث البرامج وابحث عن البرامج التي تم تنزيلها على محرك الأقراص الثابتة لديك من مستعرض على النظام الذي يوجد به البرنامج (مثل فتح ملف). عند العثور عليه، حدد علامة التبويب تحميل.

س. ماذا تعني كلمة "k9" في آخر أسماء الرموز (مثل "vpn3000-3.0.4.rel-k9.bin")؟

أ. استبدلت تسمية "k9" لاسم الصورة تسمية 3DES المستخدمة في الأصل (على سبيل المثال، VPN3000-2.5.2.F-3des.bin). وهكذا، فإن "k9" يدل الآن على أن هذه صورة 3DES.

س. هل يجب إستخدام خيار ضغط البيانات ضمن مجموعة IPsec لكافة المستخدمين؟

أ. يزيد ضغط البيانات من متطلبات الذاكرة واستخدام وحدة المعالجة المركزية لكل جلسة مستخدم وبالتالي يقلل من الإنتاجية الإجمالية لمركز تجميع الشبكة الخاصة الظاهرية (VPN). ولهذا السبب، توصي Cisco بتمكين ضغط البيانات فقط إذا كان كل عضو في المجموعة هو مستخدم بعيد يتصل بمودم. في حالة اتصال أي عضو في المجموعة عبر النطاق الترددي العريض، لا تقم بتمكين ضغط البيانات للمجموعة. وبدلا من ذلك، يمكنك تقسيم المجموعة إلى مجموعتين، واحدة لمستخدمي المودم والأخرى لمستخدمي النطاق الترددي العريض. تمكين ضغط البيانات فقط لمجموعة مستخدمي المودم.

ميزات متقدمة أخرى

س. هل يعمل موازنة الأحمال مع إتصالات الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN)؟

أ. يكون موازنة التحميل فعالا فقط على الجلسات البعيدة التي تم بدؤها مع عميل برنامج Cisco VPN (الإصدار 3.0 والإصدارات الأحدث). يمكن لجميع العملاء الآخرين (PPTP، و L2TP) واتصالات الشبكة المحلية (LAN) إلى شبكة VPN الاتصال بمركز الشبكة الخاصة الظاهرية (VPN) الذي يتم على أساسه تمكين موازنة الأحمال، ولكن لا يمكنهم المشاركة في موازنة الأحمال.

س. كيف يمكنني فك تشفير كلمات المرور من ملف التكوين؟

أ. انتقل إلى التكوين > النظام > بروتوكولات الإدارة > XML ثم إلى الإدارة | إدارة الملفات حدد تنسيق XML. أستخدم نفس الاسم، أو مختلف، وافتح الملف لعرض كلمات المرور.

س. هل يمكنني إستخدام بروتوكول تكرار جهاز التوجيه الظاهري (VRRP) وتوزيع الأحمال معا؟

أ. أنت يستطيع لا يستعمل موازنة حمل مع VRRP. في تكوين VRRP، يظل جهاز النسخ الاحتياطي في وضع الخمول ما لم يفشل مركز VPN النشط. في تكوين موازنة التحميل، لا توجد أجهزة خاملة.

س. هل يجب أن تمر جميع حركة مرور بيانات الشبكة الخاصة الظاهرية (VPN) لعميل الوصول عن بعد عبر نفق مشفر إلى مركز الشبكة الخاصة الظاهرية (VPN) في المؤسسة أو مزود الخدمة؟ على سبيل المثال، هل يمكن الوصول العادي إلى الويب إلى مواقع أخرى في العراء، مباشرة من خلال اتصال ISP بالإنترنت؟

ج. نعم. يعرف هذا المفهوم ب "تقسيم الاتصال النفقي." يسمح تقسيم الاتصال النفقي بالوصول الآمن إلى موارد الشركة من خلال نفق مشفر بينما يسمح بالوصول إلى الإنترنت مباشرة من خلال موارد ISP (وهذا يؤدي إلى إزالة شبكة الشركة من المسار للوصول إلى الويب). يمكن أن تدعم سلسلة مركز Cisco VPN 3000 لكل من عميل Cisco VPN وعميل جهاز VPN 3002 تقسيم الاتصال النفقي. للحصول على أمان إضافي، يمكن التحكم في هذه الميزة بواسطة مسؤول مركز الشبكة الخاصة الظاهرية (VPN) وليس المستخدم.

س. هل من الآمن إستخدام الاتصال النفقي المنقسم؟

أ. يسمح لك تقسيم الاتصال النفقي بسهولة تصفح الإنترنت أثناء الاتصال من خلال نفق VPN. ومع ذلك، فإنه قد يطرحنا بعض المخاطر إذا كان مستخدم الشبكة الخاصة الظاهرية (VPN) المتصل بشبكة الشركة معرضا للهجمات. ويوصى بأن يستخدم المستخدمون جدار حماية شخصيا في هذه الحالة. تناقش ملاحظات الإصدار الخاصة بأي إصدار معين من عميل شبكة VPN إمكانية التشغيل البيني مع جدران الحماية الشخصية.

q. كيف يعمل موازنة الأحمال على مركز Cisco VPN 3000؟

أ. يتم حساب الحمل كنسبة مئوية مشتقة من الاتصالات النشطة مقسومة على الحد الأقصى للاتصالات التي تم تكوينها. يحاول المدير دائما الحصول على أقل حمل لأنه مثقل بالحمل الإضافي (المتأصل) للحفاظ على جميع جلسات العمل الإدارية من الشبكة المحلية (LAN) إلى الشبكة المحلية (LAN)، وذلك بحساب تحميل جميع أعضاء المجموعة الآخرين، كما أنه مسؤول عن جميع عمليات إعادة توجيه العملاء.

بالنسبة لمجموعة وظيفية تم تكوينها حديثا، يتحمل المدير حوالي 1 بالمائة من التحميل قبل إنشاء أي إتصالات. وبالتالي، يقوم المدير بإعادة توجيه الاتصالات إلى مركز النسخ الاحتياطي إلى أن تكون نسبة التحميل على النسخة الاحتياطية أعلى من نسبة التحميل على الموجه. على سبيل المثال، بافتراض ركيزتين من نوع VPN 3030 في الحالات "الخاملة"، يكون حمل المدير 1 في المائة. يتم منح الوحدة الثانوية 30 اتصالا (حمل بنسبة 2 بالمائة) قبل أن يقبل المدير الاتصالات.

للتحقق من أن المدير يقبل الاتصالات، انتقل إلى التكوين > النظام > عام > جلسات العمل وأخفض الحد الأقصى لعدد الاتصالات إلى رقم منخفض بشكل اصطناعي لزيادة الحمل الموضوع على مركز VPN الاحتياطي بسرعة.

س. كم عدد أجهزة وحدة الاستقبال والبث التي يمكنها تعقب شاشة VPN؟

أ. يمكن لشاشة الشبكة الخاصة الظاهرية (VPN) تعقب 20 جهاز وحدة الاستقبال والبث. في سيناريو محوري، تتم مراقبة الاتصالات من المواقع البعيدة على وحدة الاستقبال والبث. لا توجد حاجة لمراقبة جميع المواقع البعيدة والمستخدمين نظرا لأنه يمكن تعقب هذه المعلومات على موجه الموزع. ويمكن لأجهزة وحدة الاستقبال والبث هذه دعم ما يصل إلى 20000 مستخدم عن بعد أو 2500 موقع عن بعد. يعد جهاز الشبكة الخاصة الظاهرية (VPN) ثنائي الإتجاه الذي يذهب إلى المواقع التي يتم التحدث فيها وكأنهما جهازين من أصل 20 جهازا كحد أقصى يمكن مراقبتها.

معلومات ذات صلة

• صفحة دعم مركز Cisco VPN 3000
• صفحة دعم عميل Cisco VPN 3000
• الدعم التقني والمستندات - Cisco Systems