如何配置 VPN 3000 集中器 PPTP 以使用本地认证

下载选项

  • PDF     (665.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (438.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (841.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2006 年 12 月 6 日
文档 ID:14101

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

Cisco VPN 3000集中器支持本地Windows客户端的点对点隧道协议(PPTP)隧道方法。这些VPN集中器提供40位和128位加密支持,以实现安全的可靠连接。

要使用Cisco安全访问控制服务器(ACS)为PPTP用户配置扩展身份验证的VPN集中器,请参阅使用Cisco Secure ACS for Windows RADIUS身份验证配置VPN 3000集中器PPTP

先决条件

要求

在尝试此配置之前,请确保满足Cisco VPN 3000集中器何时支持PPTP加密?中提到的必备条件。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • VPN 3015集中器,版本4.0.4.A

  • 带PPTP客户端的Windows PC

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置:

altigapptp-diag.gif

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

使用本地身份验证配置VPN 3000集中器

完成以下步骤,以使用本地身份验证配置VPN 3000集中器。

  1. 在VPN集中器中配置各自的IP地址并确保您已建立连接。

  2. 确保在Configuration > User Management > Base Group PPTP/L2TP选项卡中选择PAP身份验证。

    altigapptp-1.gif

  3. 选择Configuration > System > Tunneling Protocols > PPTP,并确保选中Enabled

    altigapptp-2.gif

  4. 选择Configuration > User Management > Groups > Add,然后配置PPTP组。在本示例中,组名称为“pptpgroup”,密码(并验证密码)为“cisco123”。

    altigapptp-3.gif

  5. 在组的General选项卡下,确保在身份验证协议中启用了PPTP选项。

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. 在PPTP/L2TP选项卡下,启用PAP身份验证,并禁用加密(加密可以在将来任何时间启用)。

    altigapptp-5.gif

  7. 选择Configuration > User Management > Users > Add,然后使用密码cisco123配置本地用户(称为“pptpuser”)进行PPTP身份验证。将用户置于先前定义的“pptpgroup”中:

    altigapptp-6.gif

  8. 在用户的General选项卡下,确保在隧道协议中启用PPTP选项。

    altigapptp-7.gif

  9. 选择Configuration > System > Address Management > Pools以定义地址管理的地址池。

    altigapptp-8.gif

  10. 选择Configuration > System > Address Management > Assignment,并指示VPN集中器使用地址池。

    altigapptp-9.gif

Microsoft PPTP 客户端配置

注意:此处有关配置Microsoft软件的任何信息均不附带对Microsoft软件的任何保修或支持。Microsoft提供对Microsoft软件的支持leavingcisco.com

Windows 98 — 安装和配置PPTP功能

Install(安装)

完成以下步骤以安装PPTP功能。

  1. 选择开始>设置>控制面板>添加新硬件(下一步)>从列表中选择>网络适配器(下一步)

  2. 在左侧面板中选择Microsoft,在右侧面板中选择Microsoft VPN Adapter

配置

完成以下步骤以配置PPTP功能。

  1. 选择开始>程序>附件>通信>拨号网络>建立新连接

  2. 在Select a device提示符下使用Microsoft VPN适配器进行连接。VPN服务器IP是3000隧道终端。

Windows 98默认身份验证使用密码加密(例如,CHAP或MSCHAP)。要最初禁用此加密,请选择属性>服务器类型,然后取消选中加密密码需要数据加密框。

Windows 2000 - 配置 PPTP 功能

完成以下步骤以配置PPTP功能。

  1. 选择Start > Programs > Accessories > Communications > Network and Dialup connections > Make new connection

  2. 单击Next,然后选择Connect to a private network through the Internet > Dial a connection prior(如果使用LAN,请勿选择此项)。

  3. 再次单击Next,然后输入隧道终端的主机名或IP,该终端是VPN 3000集中器的外部接口。在本示例中,IP地址为161.44.17.1。

选择Properties > Security for the connection > Advanced将密码类型添加为PAP。默认值为MSCHAP和MSCHAPv2,而不是CHAP或PAP。

数据加密在此区域中可配置。您可以先将其禁用。

Windows NT

您可以在Microsoft网站上访问有关为PPTP设置Windows NT客户端的信息leavingcisco.com

Windows Vista

完成以下步骤以配置PPTP功能。

  1. 开始按钮中选择连接至

  2. 选择Set up a connection or network

  3. 选择Connect to a workplace,然后单击Next

  4. 选择Use my Internet Connection(VPN)

    注意:如果提示“是否要使用已有的连接”,请选择否,创建一个新连接,然后单击“下一步”

  5. 例如,在Internet Address字段中,键入pptp.vpn.univ.edu

  6. 例如,在Destination Name字段中,键入UNIVVPN

  7. User Name字段中,键入您的UNIV登录ID。您的UNIV登录ID是@univ.edu之前的电子邮件地址的一部分。

  8. 密码字段中,键入您的UNIV登录ID密码。

  9. 单击Create按钮,然后单击Close按钮。

  10. 要在创建VPN连接后连接到VPN服务器,请依次单击开始和连接

  11. 在窗口中选择VPN连接,然后单击Connect

添加MPPE(加密)

在添加加密之前,请确保PPTP连接可以在不加密的情况下工作。例如,单击PPTP客户端上的Connect按钮以确保连接完成。如果您决定要求加密,则必须使用MSCHAP身份验证。在VPN 3000上,选择Configuration > User Management > Groups。然后,在组的PPTP/L2TP选项卡下,取消选中PAP,选中MSCHAPv1,并选中PPTP加密所需

altigapptp-10.gif

PPTP客户端应重新配置为可选或所需的数据加密和MSCHAPv1(如果是一个选项)。

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

检验VPN集中器

可以通过从之前在Microsoft PPTP Client Configuration部分中创建的PPTP客户端拨号来启动PPTP会话。

使用VPN集中器上的“管理”(Administration)>“管理会话”(Administer Sessions)窗口查看所有活动PPTP会话的参数和统计信息。

检验PC

在PC的命令模式下发出ipconfig命令,以查看PC具有两个IP地址。一个是自己的IP地址,另一个由VPN集中器从IP地址池中分配。在本示例中,IP地址172.16.1.10是VPN集中器分配的IP地址。

altigapptp-15.gif

调试

如果连接不起作用,可以将PPTP事件类调试添加到VPN集中器。选择Configuration > System > Events > Classes > ModifyAdd(如下所示)。PPTPDBG和PPTPDCODE事件类也可用,但可能提供过多信息。

altigapptp-11.gif

可以从Monitoring > Filterable Event Log中检索事件日志。

altigapptp-12.gif

VPN 3000 调试 – 成功验证 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

单击PPTP user status Details窗口检查Windows PC上的参数。

altigapptp-16.gif

故障排除

您可能会遇到以下错误:

  • 用户名或密码不正确

    VPN 3000集中器调试输出: 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    用户看到的消息(来自Windows 98): 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    用户看到的消息(来自Windows 2000):

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • 在PC上选择了“需要加密”,但在VPN集中器上未选择

    用户看到的消息(来自Windows 98): 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    用户看到的消息(来自Windows 2000): 

    Error 742: The remote computer does not support 
the required data encryption type

  • 在VPN集中器上选择“需要加密”(128位),PC仅支持40位加密

    VPN 3000集中器调试输出: 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    用户看到的消息(来自Windows 98): 

    Error 742:  The remote computer does not support 
the required data encryption type.

    用户看到的消息(来自Windows 2000): 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • VPN 3000集中器配置为MSCHAPv1,PC配置为PAP,但它们无法就身份验证方法达成一致

    VPN 3000集中器调试输出: 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    用户看到的消息(来自Windows 2000): 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

要解决的可能的 Microsoft 问题

  • 如何在注销后使 RAS 连接保持活动状态

    从Windows远程访问服务(RAS)客户端注销时,所有RAS连接都会自动断开连接。在RAS客户端上的注册表中启用KeepRasConnections项,以便在注销后保持连接。有关详细信息,请参阅Microsoft知识库文章leavingcisco.com- 158909

  • 使用缓存凭证登录时,用户没有收到警报

    此问题的症状是当您尝试从基于Windows的工作站或成员服务器登录到域时,找不到域控制器,并且未显示错误消息。而是使用缓存的凭证登录到本地计算机。有关详细信息,请参阅Microsoft知识库文章leavingcisco.com- 242536

  • 如何为域验证和其他名称解析问题编写 LMHOSTS 文件

    有时,您的TCP/IP网络可能会遇到名称解析问题,您需要使用LMHOSTS文件来解析NetBIOS名称。本文讨论用于创建LMHOSTS文件的正确方法,以帮助进行名称解析和域验证。有关详细信息,请参阅Microsoft知识库文章leavingcisco.com- 180094

相关信息

修订历史记录

版本 发布日期 备注
1.0
11-Dec-2001
初始版本

此文档是否有帮助?

Feedback反馈

联系我们