Cisco VPN 5000 集中器与客户端常见问题

下载选项

PDF (276.3 KB)
在各种设备上使用 Adobe Reader 查看
ePub (108.1 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (97.9 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2008 年 5 月 2 日

文档 ID:6322

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍有关Cisco VPN 5000系列集中器和Cisco VPN 5000客户端的常见问题。

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

问：为什么我会收到“错误：返回InitSTEP。在Windows XP的VPN 5000客户端中找不到STEP VxD"错误，如何解决此问题？

答：当VPN客户端无法绑定或无法访问必需的VPN服务时，就会发生此错误。用于Windows XP的VPN 5000客户端包括自动启动程序以安装网络驱动程序的安装程序。如果程序因任何原因而失败，请使用此程序手动安装网络驱动程序。

使用“安装VPN Client for Windows XP”部分安装VPN客户端软件。

以管理员或具有管理员权限的用户身份登录系统。

选择开始>设置>网络和Internet连接>网络连接。

双击适当的Local Area Connection。

单击 Properties。

单击 Install。

选择服务.

单击 Add。

单击“Have Disk(使用磁盘)”。

输入netcs.inf、netcs_m.inf和step.sys文件所在文件夹的路径。在大多数情况下，这与VPN客户端安装文件的文件夹相同。

单击OK以安装驱动程序。

安装驱动程序后，关闭“Network and Dial-up Connections（网络和拨号连接）”窗口。

重新启动计算机。

问：VPN 5000集中器是否支持Macintosh OS 10.3（也称为Panther）中的本地VPN客户端？

答：VPN 5000集中器尚未使用除Macintosh操作系统(OS)10.1.5以外的任何设备进行测试。Panther版本不能声明支持。它从未在VPN 5000集中器的上下文中被查看，只在Cisco VPN客户端上被查看。如果需要以后的操作系统支持，请考虑转到Cisco VPN客户端。此外，10.3中的本地VPN客户端是第2层隧道协议(L2TP)上的IPSec，VPN 5000集中器不支持该协议。

问：当我尝试在Macintosh OS X 10.3上运行Cisco VPN 5000 5.2.2客户端时，我收到一个内核扩展错误。我应该做什么？

答：如Cisco VPN 5000客户端5.2.3版Macintosh操作系统(OS)X发行版本注释中所述，Cisco VPN 5000客户端最高支持10.1.x版。版本10.3不支持它。但是，可以使VPN客户端正常工作。运行安装脚本后，重置两个已安装文件的权限。此输出是一个示例。

注意：思科不支持此配置。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

问：当我使用Auto-Connect to Default Before Logon（登录前自动连接）功能与拨号连接时，为什么用户的电话簿选项会灰显？

答：发生这种情况的典型原因是系统上注册、准入和状态协议(RAS)的安装部分、不正确或缺失。请尝试卸载并重新安装Windows RAS，而不是在VPN客户端上执行重新安装。

问：“错误ID = -1”是什么意思？

答：这是当VPN 5000客户端版本10.0安装在Macintosh OS 10.1上时出现的Macintosh操作系统(OS)错误消息，目前尚不支持。该错误表示内核不匹配。请参阅Bug工具包(仅注册客户)以查找有关Cisco Bug ID CSCdv57716的详细信息。以下是错误示例：

问：错误0、错误4、错误6、错误7和错误14表示什么？

这份清单解释了它们的含义：

Error 0 — 当没有为VPN 5000集中器配置Internet密钥交换(IKE)策略部分，或者尚未为该VPN组配置配置IKE配置时，会发生此错误。

错误4 - VPN 5000集中器上没有可用的VPN资源。这意味着VPN 5000集中器已达到此组的最大连接数。它也可能意味着配置包含语法不正确的LocalIPNet，如“LocalIPNet=204.144.171.64”（应定义/26或另一个掩码）。

错误6 — 如果VPN 5000集中器配置了用户名“Bob”，并且用户输入了“bob”（使用正确的密码），则VPN 5000集中器返回VPN服务器错误6。如果用户输入“Bob”和错误的密码，则VPN 5000集中器还返回错误6。如果VPN 5000集中器运行DES代码并尝试使用3DES转换，如ESP(MD5、3DES)，则错误6会返回到VPN 5000客户端。非导出代码(3DES)后面有一个“US”（例如，5.0US版），它可以使用3DES加密方法。所有Cisco VPN 5000集中器均随附DES代码。如果仅使用DES代码，请删除3DES转换并使用另一个转换。

Error 7 — 此错误表示您的VPN 5000集中器配置了当前对代码版本处于非活动状态的IKE策略。目前，对于5.x版代码，所有3DES和G2策略都处于非活动状态。删除这些策略，并将IKE策略设置为MD5_DES_G1或SHA_DES_G1。

Error 14 — 这是RADIUS错误，其中VPN 5000集中器未从RADIUS服务器接收正确信息，以允许VPN 5000客户端登录。

受影响的产品:

Cisco VPN 5000集中器系列的Windows 95-98 VPN客户端

Cisco VPN 5000集中器系列的Windows NT 4.0 VPN客户端

用于Cisco VPN 5000集中器系列的Macintosh操作系统(OS)VPN客户端

Cisco VPN 5000集中器系列的Linux内核2.2.5 VPN客户端

用于Cisco VPN 5000集中器系列的SPARC Solaris VPN客户端

Cisco VPN 5001 集中器

Cisco VPN 5002 集中器

Cisco VPN 5008 集中器

受影响的版本:

所有5.x版本

问：IPSec客户端的Linksys®路由器有什么问题？

答：Linksys®路由器仅在固件版本1.34或更高版本（1.39是最新版本）上支持IPSec连接。应在Linksys®路由器上启用IPSec传递。

问：为VPN 5000客户端指定用户名时允许使用哪些字符？

A.用户名和域区分大小写，可以包含1到60个字母数字字符。这包括“at”符号(@)。有关详细信息，请参阅VPN用户。

此用户名非法（“ — ”字符无效）：
[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

问：在VPN 5000集中器上可以定义多少个内部用户？

答：始终建议您对大型实施使用RADIUS或安全ID(SDI)身份验证。内部用户的数量取决于您的配置大小。最大配置大小为65,500字节。要查看此信息，请查看show configuration命令输出的最后一行。例如：
Configuration size is 6732 out of 65500 bytes.

问：在VPN 5001、VPN 5002和VPN 5008集中器上可以配置多少个隧道？

答：VPN 5001集中器最多可支持1,500个隧道，VPN 5002集中器可支持多达10,000个隧道，而VPN 5008集中器可支持每个线卡最多40,000个隧道。

Q. Modinfo和dmesg命令显示什么内容？

答： modinfo命令显示加载了哪些模块和加载了多少个模块。dmesg命令显示启动系统日志消息。

问：如何完全删除Linux®客户端？

答：安装时，会创建这些文件或将这些文件放置在您的系统上：

/etc/vpn_config — 建议保留此配置，因为它是VPN 5000客户端配置。

/etc/rc.d/init.d/vpn — 这是加载“vpnmod”内核模块的引导时脚本。

/etc/rc.d/rc3.d/s85.vpn — 这是指向/etc/rc.d/init.d/vpn的链接。

/etc/rc.d/rc5.d/s85.vpn — 这是指向/etc/rc.d/init.d/vpn的链接。

/usr/local/bin/open_tunnel — 这将打开隧道连接。

/usr/local/bin/close_tunnel — 这将关闭隧道。

/usr/local/bin/vpn_control — 这是用于打开调试标志的故障排除工具。它主要用于开发。

/lib/modules/<kernelversion>/COMPvpn/vpnmod — 这是内核模块。执行uname -r 命令以确定<kernelversion>。

如果删除这些文件，然后重新启动，则可以有效卸载客户端。或者，您可以运行/usr/local/bin/close_tunnel和/etc/rc.d/init.d/vpnstop，然后删除上述文件。

/etc/vpn_config文件是客户端配置。它包含服务器、用户名和密码信息。如果计划重新安装VPN客户端，建议您保留此文件的副本。

问：VPN 5000客户端软件是否与Nortel®外联网接入客户端或任何其他客户端存在于同一机箱中？是否支持此方案？

答：Cisco VPN客户端版本4.0及更高版本可以共存。请参阅VPN客户端版本4.0发行版本注释的与第三方VPN供应商共存部分。

问：是否有可用的Macintosh OS X DES版本？

答：不，但有3DES版本可用。

问：VPN 5002集中器运行热的指示是什么？

答：如果VPN 5002集中器中扩展服务处理器(ESP)卡上的过温LED亮起，或者如果设备存在其他温度问题，则可能是内置空气过滤器被灰尘堵塞并阻碍空气流动。要更换空气过滤器，请参阅“Replacing the Air Filter(更换空气过滤器)”以获得进一步说明。

问：使用VPN 5001集中器和VPN 5000客户端软件版本5.1.7是否支持H.323会话？

答：不，不能支持它们，因为IP地址嵌入在数据包的数据部分中。VPN 5000客户端无法访问或修改此地址。

问：在VPN 5000集中器连接到Cisco IOS®路由器的LAN到LAN情况下，我注意到，在一小时后，它们之间不会同步重新生成密钥。如何解决此问题？

答：通常通过在VPN 5000集中器配置中设置“keymanage=reliable”来解决此问题。但是，当Cisco IOS设备具有动态IP地址时，它不起作用。

问：“<local7.warn>macvpn fTCP ERR:Unknown next_proto， 69 from 172.21.139.5"错误消息是否为？

答：当VPN集中器收到端口为80的数据包，并且删除报头后，未找到ESP数据包时，会显示假TCP(fTCP)消息。VPN集中器仅接收IPSec(ESP)数据包，并丢弃其他任何数据包。当Code Red蠕虫在Internet上发布时，此警告会填充许多客户机上的系统日志缓冲区。此错误消息可能表示您的计算机已受感染，正在尝试通过端口fTCP访问VPN 5000集中器。