PPTP 常见问题

下载选项

PDF (243.9 KB)
在各种设备上使用 Adobe Reader 查看
ePub (82.2 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (68.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2009 年 3 月 24 日

文档 ID:18761

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档讨论有关点对点隧道协议 (PPTP) 的常见问题。

有关文档规则的详细信息，请参阅 Cisco 技术提示中使用的规则。

Hardware

问：如何确定哪些平台支持PPTP?

答：您可以使用功能导航^器工具（仅限注册客户）确定哪些Cisco IOS®软件版本支持PPTP。该工具可用于比较 Cisco IOS 软件版本，将 Cisco IOS 软件和 CatOS 功能与各版本进行匹配，并查明支持您的硬件所需的软件版本。

问：PPTP是何时在Cisco Secure PIX防火墙中首次引入的？

答：PPTP最初在Cisco Secure PIX防火墙版本5.1中引入。请参阅PIX 6.x:PPTP with Radius Authentication配置示例以了解详细信息。

注意：版本7.x及更高版本不支持PIX防火墙功能上的PPTP终端。

问：我是否需要了解有关Microsoft点对点加密(MPPE)的详细信息？

答：MPPE需要Microsoft质询握手身份验证协议(MS-CHAP)。它只与RADIUS或本地认证一起使用，并且RADIUS服务器必须支持MPPE键的属性值。

下表显示了一些平台及其 MPPE 兼容性。

Cisco Secure ACS for UNIX (CSUNIX) - 不支持

Access Registrar - 不支持

Funk RADIUS - 支持

Cisco Secure ACS for Windows - 支持

Microsoft Windows 2000 Internet 身份验证服务器 - 支持

问：最初支持PPTP的Cisco IOS软件是哪个版本？

答：PPTP最初在Cisco 7100/7200路由器的Cisco IOS软件版本12.0(5)XE5中受支持。随后在 Cisco IOS 软件版本 12.1(5)T 中转为 Cisco IOS 的一般平台支持。

问： Microsoft PPTP产品和VPN 3000集中器存在哪些已知兼容性问题？

答：此信息基于VPN 3000系列集中器软件版本3.5及更高版本；VPN 3000 系列集中器（型号 3005、3015、3030、3060、3080）；以及 Microsoft 操作系统 Windows 95 和更高版本。
Windows 95 Dial-Up Networking (DUN) 1.2

DUN 1.2不支持Microsoft点对点加密(MPPE)。请安装Windows 95 DUN 1.3以使用MPPE进行连接。可以从 Microsoft 网站下载Microsoft DUN 1.3 升级文件。
Windows NT 4.0

对 VPN 集中器的 PPTP 连接完全支持 Windows NT。需要 Service Pack 3 (SP3) 或更高版本。如果运行 SP3，请安装 PPTP 性能和安全修补程序。有关用于 WinNT 4.0 的 PPTP 性能和安全升级文件的信息，请参阅 Microsoft 的网站。此问题的唯一解决方法是重新安装 NT 4.0 服务器选项包，且随后不添加 Service Pack。

注意： 128位Service Pack 5无法正确处理MPPE密钥，并且PPTP可能无法传递数据。发生这种情况时，事件日志显示以下消息。
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
User [ testuser ] 
disconnected. Experiencing excessive packet decrypt failure.
有关详细信息，请参阅以下 Microsoft 文章：未针对 128 位 MS-CHAP 请求正确处理 MPPE 密钥。

问：Cisco IOS路由器或PIX防火墙是否支持PPTP直通或PPTP over Port Address Translation(PAT)功能？

答： Cisco IOS软件版本12.1T及更高版本支持PPTP直通或PTP over PAT功能。有关详细信息，请参阅 Cisco IOS 软件 12.1T 早期部署版系列的“NAT - 超载（端口地址转换）配置中的 PPTP 支持”部分。若要在 Cisco IOS 路由器上配置通过 PAT 的 PPTP 或 PPTP 穿透功能，请参阅 IP 隧道 - 配置通过 PAT 指向 Microsoft PPTP 服务器的 PPTP。

使用 PPTP 修正功能的 PIX 6.3 版和更高版本支持 PPTP 穿透功能或通过 PAT 的 PPTP。配置为采用 PAT 时，此功能允许 PPTP 数据流通过 PIX。PIX 在进程中执行有状态的 PPTP 数据包检查。若要在 PIX 上配置 PPTP 修正功能，请参阅“配置应用程序检查（修正）”中有关 PPTP 配置的部分。fixup protocol pptp 1723 命令用于配置 PPTP 修正。

故障排除

问：为了支持PPTP隧道，应在防火墙上打开哪些端口？

A.打开这些端口。

TCP/1723

IP 协议/47 GRE

有关详细信息，请参阅允许通过 PIX 的 PPTP 连接。

问：已知的Cisco IOS软件PPTP错误是什么？

A.已经识别出这些漏洞：

CSCdt46181(仅注册客户) — 有关详细信息，请参阅Cisco IOS PPTP漏洞。

CSCdz47290(仅注册客户) — 当全局启用思科快速转发(CEF)时，PPTP快速/进程交换中断。

CSCdx86482(仅注册客户)- PPTP隧道已断开。

CSCdt11570(仅注册客户)- 128位Microsoft点对点加密(MPPE)在硬件集成服务模块(ISM)上不工作。

CSCdt66607(仅注册客户)- PPTP 128位MPPE不适用于Cisco Secure ACS for Windows。

CSCdu19654(仅注册客户)- PPTP失败。

CSCdv50861(仅注册客户)- MPPE不与Windows 2000协商。

注册客户可以使用Cisco Bug Toolkit(仅限注册客户)查看Bug详细信息，以了解详细信息。

问：PPTP有哪些限制？

答：这些是PPTP的一些限制。

PPTP 仅支持 Cisco 快速转发 (CEF) 和进程交换。不支持快速交换。

Cisco IOS 软件仅支持自主建立隧道作为 PPTP 网络服务器 (PNS)。

需要有加密映像才能支持 MPPE。MPPE 需要 Microsoft 质询身份验证协议 (MS-CHAP) 身份验证，而且不支持将 MPPE 与 TACACS+ 一起使用。

问：排除路由器上的PPTP故障时，应查找哪些重要的调试事件？

A.查找这些调试。

debug aaa authentication

debug aaa authorization

debug radius

debug ppp negotiation

debug ppp authentication

debug vpdn events

debug vpdn errors

debug vpdn l2x-packet

debug ppp mppe events

debug ppp chap

应查看下列重要事件。
SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

问：当我收到“Error 734”（错误734）后断开连接时，这意味着什么？

答：此错误表示路由器和PC无法协商身份验证。例如，如果将 PC 身份验证协议设置为 Shiva PAP (SPAP) 和 Microsoft 质询身份验证协议 (MS-CHAP) 版本 2（路由器无法运行版本 2 时），并且将路由器的协议设置为 CHAP，那么在路由器上执行 debug ppp negotiation 命令将显示以下输出。
04:30:55: Vi1 LCP: Failed to negotiate with peer
另一个示例是如果路由器设置vpdn group 1 ppp encrypt mppe 40 required，PC机便设置用于“允许的不加密”。 PC 无法连接并产生“Error 734”，在路由器上执行 debug ppp negotiation 命令显示以下输出。
04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

“错误742”是什么意思？

答：此错误表示远程计算机不支持所需的数据加密类型。例如，如果将 PC 设置为“仅加密”，并从路由器中删除 pptp encrypt mppe auto command 命令，PC 与路由器便无法就加密达成协议。debug ppp negotiation 命令显示以下输出。
04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)
另一个示例涉及路由器 MPPE RADIUS 的问题。如果将路由器设置为 ppp encrypt mppe auto required，将 PC 设置为“encryption allowed with authentication to a RADIUS server not returning the MPPE key”，则会在 PC 上收到以下错误：“Error 742 ：The remote computer does not support the required data encryption type.” 路由器调试显示“呼叫清除请求”（字节 9 和字节 10 = 0x000C = 12 = 每 RFC 的呼叫清除请求），如下所示。
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

我觉得我有分割隧道问题。如果 PPTP 隧道在 PC 上打开，而 PPTP 路由器的度量值高于原来的默认值，导致连接断开，我应该怎么做？

A.运行批处理文件(batch.bat)以修改Microsoft路由以解决此问题。删除默认值并重装默认路由(您必须知道PPTP客户端所分配到的IP 地址，如192.168.1.1)。

在本例中，路由器内的网络是 10.13.1.x。
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

问：排除PPTP故障时需要考虑哪些问题？

答：此处列出了排除PPTP故障时要考虑的几个与Microsoft相关的问题。通过下面提供的链接，可以从 Microsoft 知识库获得详细信息。

如何在注销后使 RAS 连接保持活动状态

当您从 RAS 客户端注销时，Windows 远程访问服务 (RAS) 连接会自动断开。通过在 RAS 客户端上启用 KeepRasConnections 注册表项，可以保持连接状态。

使用缓存凭证登录时，用户没有收到警报

如果从基于 Windows 的工作站或成员服务器登录到某个域且无法找到域控制器，您不会收到指示此问题的错误消息。而是使用缓存的凭证登录到本地计算机。

如何为域验证和其他名称解析问题编写 LMHOSTS 文件

如果您的 TCP/IP 网络遇到名称解析问题，可能需要使用 Lmhosts 文件解析 NetBIOS 名称。要创建Lmhosts文件，并在名字解析和域确认中使用，您必须遵从特定程序。