如何使用本地身份驗證配置VPN 3000集中器PPTP

下載選項

  • PDF     (684.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (438.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (842.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2006 年 12 月 6 日
文件 ID:14101

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

Cisco VPN 3000集中器支援本地Windows客戶端的點對點隧道協定(PPTP)隧道方法。這些VPN集中器提供40位和128位加密支援,以實現安全的可靠連線。

請參閱使用適用於Windows RADIUS身份驗證的Cisco Secure ACS配置VPN 3000集中器PPTP,以使用思科安全訪問控制伺服器(ACS)為使用擴展身份驗證的PPTP使用者配置VPN集中器。

必要條件

需求

嘗試此配置之前,請確保滿足Cisco VPN 3000集中器支援PPTP加密的時間?中提到的先決條件。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 4.0.4.A版的VPN 3015集中器

  • 帶PPTP客戶端的Windows PC

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

網路圖表

此文件使用以下網路設定:

altigapptp-diag.gif

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

使用本地身份驗證配置VPN 3000集中器

完成以下步驟,使用本地身份驗證配置VPN 3000集中器。

  1. 在VPN集中器中配置各自的IP地址,並確保您已建立連線。

  2. 確保在Configuration > User Management > Base Group PPTP/L2TP頁籤中選擇PAP身份驗證。

    altigapptp-1.gif

  3. 選擇Configuration > System > Tunneling Protocols > PPTP,並確保選中Enabled

    altigapptp-2.gif

  4. 選擇Configuration > User Management > Groups > Add,然後配置PPTP組。在本例中,組名為「pptpgroup」,密碼(和驗證密碼)為「cisco123」。

    altigapptp-3.gif

  5. 在組的General頁籤下,確保在身份驗證協定中啟用PPTP選項。

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. 在PPTP/L2TP頁籤下,啟用PAP身份驗證並禁用加密(加密可以在將來任何時間啟用)。

    altigapptp-5.gif

  7. 選擇Configuration > User Management > Users > Add,然後使用口令cisco123配置PPTP身份驗證的本地使用者(稱為「pptpuser」)。將使用者置於先前定義的「pptpgroup」中:

    altigapptp-6.gif

  8. 在使用者的General頁籤下,確保在隧道協定中啟用PPTP選項。

    altigapptp-7.gif

  9. 選擇Configuration > System > Address Management > Pools以定義地址管理的地址池。

    altigapptp-8.gif

  10. 選擇Configuration > System > Address Management > Assignment,並指示VPN集中器使用地址池。

    altigapptp-9.gif

Microsoft PPTP客戶端配置

注意:此處提供的有關配置Microsoft軟體的任何資訊均不附帶對Microsoft軟體的任何保修或支援。Microsoft leavingcisco.com支援Microsoft軟體。

Windows 98 — 安裝和配置PPTP功能

安裝 

完成以下步驟以安裝PPTP功能。

  1. 選擇Start > Settings > Control Panel > Add New Hardware(Next)> Select from List > Network Adapter(Next)

  2. 在左側面板中選擇Microsoft,在右側面板中選擇Microsoft VPN Adapter

設定

完成以下步驟以配置PPTP功能。

  1. 選擇Start > Programs > Accessories > Communications > Dial Up Networking > Make new connection

  2. 在Select a device提示符下使用Microsoft VPN Adapter連線。VPN伺服器IP是3000隧道端點。

Windows 98預設身份驗證使用密碼加密(例如CHAP或MSCHAP)。要最初禁用此加密,請選擇Properties > Server types,然後取消選中Encrypted PasswordRequire Data Encryption框。

Windows 2000 — 配置PPTP功能

完成以下步驟以配置PPTP功能。

  1. 選擇Start > Programs > Accessories > Communications > Network and Dialup connections > Make new connection

  2. 按一下Next,然後選擇Connect to a private network through the Internet > Dial a connection previous(如果使用LAN,則不要選擇此選項)。

  3. 再次按一下Next,然後輸入隧道端點(VPN 3000集中器的外部介面)的主機名或IP。在本例中,IP地址為161.44.17.1。

選擇Properties > Security for the connection > Advanced將密碼型別新增為PAP。預設值為MSCHAP和MSCHAPv2,而不是CHAP或PAP。

資料加密可在此區域中配置。您可以先將其禁用。

Windows NT

您可以在Microsoft的網站上訪問有關為PPTP設定Windows NT客戶端的資訊leavingcisco.com

Windows Vista

完成以下步驟以配置PPTP功能。

  1. Start按鈕中選擇Connect To

  2. 選擇設定連線或網路

  3. 選擇Connect to a workplace,然後按一下Next

  4. 選擇Use my Internet Connection(VPN)

    注意:如果系統提示「是否要使用已有的連線」,請選擇「否」,建立一個新連線,然後單擊「下一步」

  5. 例如,在「Internet Address」欄位中,鍵入pptp.vpn.univ.edu

  6. 例如,在Destination Name欄位中,鍵入UNIVVPN

  7. User Name欄位中,鍵入您的UNIV登入ID。您的UNIV登入ID是@univ.edu之前的電子郵件地址的一部分。

  8. 在「Password」欄位中,輸入您的UNIV登入ID密碼。

  9. 按一下Create按鈕,然後按一下Close按鈕。

  10. 要在建立VPN連線後連線到VPN伺服器,請按一下「開始」,然後按一下「連線到」

  11. 在視窗中選擇VPN連線,然後按一下Connect

新增MPPE(加密)

新增加密之前,請確保PPTP連線在不加密的情況下正常工作。例如,按一下PPTP客戶端上的Connect按鈕以確保連線完成。如果您決定要求加密,則必須使用MSCHAP身份驗證。在VPN 3000上,選擇Configuration > User Management > Groups。然後,在組的PPTP/L2TP頁籤下,取消選中PAP,選中MSCHAPv1,並選中PPTP加密所需

altigapptp-10.gif

PPTP客戶端應重新配置為可選或必需的資料加密和MSCHAPv1(如果是一個選項)。

驗證

本節提供的資訊可用於確認您的組態是否正常運作。

驗證VPN集中器

您可以從Microsoft PPTP客戶端配置部分中以前建立的PPTP客戶端進行撥號,從而啟動PPTP會話。

使用VPN集中器上的「管理」(Administration)>「管理會話」(Administer Sessions)視窗檢視所有活動PPTP會話的引數和統計資訊。

檢驗PC

在PC的命令模式下發出ipconfig命令,以檢視PC具有兩個IP地址。一個是自己的IP地址,另一個由VPN集中器從IP地址池中分配。在本示例中,IP地址172.16.1.10是由VPN集中器分配的IP地址。

altigapptp-15.gif

偵錯

如果連線不起作用,則可以將PPTP事件類調試新增到VPN集中器。選擇Configuration > System > Events > Classes > ModifyAdd(如此處所示)。PPTPDBG和PPTPDCODE事件類也可用,但可能提供太多資訊。

altigapptp-11.gif

可從Monitoring > Filterable Event Log中檢索事件日誌。

altigapptp-12.gif

VPN 3000偵錯 — 良好驗證 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

按一下PPTP user status Details視窗檢查Windows PC上的引數。

altigapptp-16.gif

疑難排解

您可能會遇到以下錯誤:

  • 使用者名稱或密碼不正確

    VPN 3000 Concentrator調試輸出: 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    使用者看到的消息(來自Windows 98): 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    使用者看到的消息(來自Windows 2000):

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • 在PC上選擇「需要加密」,但在VPN集中器上未選擇

    使用者看到的消息(來自Windows 98): 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    使用者看到的消息(來自Windows 2000): 

    Error 742: The remote computer does not support 
the required data encryption type

  • 在僅支援40位加密的PC的VPN集中器上選擇「需要加密」(128位)

    VPN 3000 Concentrator調試輸出: 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    使用者看到的消息(來自Windows 98): 

    Error 742:  The remote computer does not support 
the required data encryption type.

    使用者看到的消息(來自Windows 2000): 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • VPN 3000集中器配置了MSCHAPv1,PC配置了PAP,但他們無法就身份驗證方法達成一致

    VPN 3000 Concentrator調試輸出: 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    使用者看到的消息(來自Windows 2000): 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

須排解的Microsoft可能問題

  • 如何在註銷後保持RAS連線處於活動狀態

    從Windows遠端訪問服務(RAS)客戶端註銷時,所有RAS連線都會自動斷開連線。在RAS客戶端上的登錄檔中啟用KeepRasConnections項,以便在註銷後保持連線。有關詳細資訊,請參閱Microsoft知識庫文章leavingcisco.com- 158909。

  • 使用快取憑據登入時不會提示使用者

    此問題的症狀是:當您嘗試從基於Windows的工作站或成員伺服器登入到域時,找不到域控制器,並且未顯示錯誤消息。而是使用快取的憑據登入到本地電腦。有關詳細資訊,請參閱Microsoft知識庫文章leavingcisco.com- 242536

  • 如何針對域驗證和其他名稱解析問題編寫LMHOSTS檔案

    在某些情況下,您的TCP/IP網路上會遇到名稱解析問題,您需要使用LMHOSTS檔案來解析NetBIOS名稱。本文討論用於建立LMHOSTS檔案以幫助進行名稱解析和域驗證的正確方法。有關詳細資訊,請參閱Microsoft知識庫文章leavingcisco.com- 180094

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
11-Dec-2001
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您