Cisco VPN 5000集中器和客戶端常見問題

下載選項

PDF (264.9 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (108.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (97.7 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2008 年 5 月 2 日

文件 ID:6322

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔解答有關Cisco VPN 5000系列集中器和Cisco VPN 5000客戶端的常見問題。

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

問：為什麼會收到「錯誤：已返回InitSTEP。在Windows XP的VPN 5000客戶端中找不到STEP VxD」錯誤，如何修復此問題？

A.此錯誤發生在VPN客戶端無法繫結或無法訪問必要的VPN服務時。用於Windows XP的VPN 5000客戶端包含一個安裝程式，該安裝程式會自動啟動程式以安裝網路驅動程式。如果程式由於任何原因而失敗，請使用此過程手動安裝網路驅動程式。

使用Installing the VPN Client for Windows XP部分安裝VPN客戶端軟體。

以管理員或具有管理員許可權的使用者身份登入系統。

選擇Start > Settings > Network and Internet Connections > Network Connections。

按兩下相應的本地連線。

按一下「Properties」。

按一下「Install」。

選擇服務。

按一下「Add」。

按一下Have Disk。

輸入netcs.inf 、 netcs_m.inf和step.sys檔案所在資料夾的路徑。在大多數情況下，這是與VPN客戶端安裝檔案相同的資料夾。

按一下OK安裝驅動程式。

安裝驅動程式後，關閉網路和撥號連線視窗。

重新啟動電腦。

問：VPN 5000集中器是否支援Macintosh OS 10.3（也稱為Panther）中的本地VPN客戶端？

答：VPN 5000 Concentrator尚未測試過Macintosh Operating System(OS)10.1.5以外的任何版本。不能要求對Panther版本的支援。它從未在VPN 5000集中器環境中檢視，僅適用於Cisco VPN客戶端。如果需要更高的作業系統支援，請考慮遷移至Cisco VPN客戶端。此外，10.3中的本地VPN客戶端是第2層隧道協定(L2TP)上的IPSec，而VPN 5000集中器不支援該協定。

問：當我嘗試在Macintosh OS X 10.3上運行Cisco VPN 5000 5.2.2客戶端時，收到核心擴展錯誤。我該怎麼做？

A.如Cisco VPN 5000客戶端5.2.3版(適用於Macintosh作業系統(OS)X)的發行說明所述，Cisco VPN 5000客戶端最多支援10.1.x版。10.3版不支援該功能。但是，可以使VPN客戶端正常工作。運行安裝指令碼後，請重置兩個已安裝檔案的許可權。以下輸出為範例。

注意：思科不支援此配置。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

問：在撥號連線中使用登入前自動連線功能時，為什麼使用者的電話簿選項變灰了？

A.這種情況的典型原因是系統上的註冊、許可和狀態協定(RAS)安裝不完整、錯誤或丟失。嘗試解除安裝並重新安裝Windows RAS，而不是在VPN客戶端上執行重新安裝。

問：「錯誤ID = -1」是什麼意思？

A.這是Macintosh作業系統(OS)錯誤消息，當Macintosh OS 10.1上安裝了VPN 5000客戶端10.0版時出現，該消息尚不受支援。該錯誤表示核心不匹配。請參閱Bug工具包(僅供註冊客戶使用)以查詢有關思科錯誤ID CSCdv57716的更多資訊。以下是錯誤示例：

問：錯誤0、錯誤4、錯誤6、錯誤7和錯誤14表示什麼？

A.此清單說明了其含義：

錯誤0 — 當沒有為VPN 5000集中器配置Internet金鑰交換(IKE)策略部分時，或者尚未為該VPN組配置配置IKE配置時，會發生此錯誤。

錯誤4 - VPN 5000集中器上沒有VPN資源可用。這意味著VPN 5000集中器已達到此組的最大連線數。這也可能表示組態包含具有不當語法的LocalIPNet，例如「LocalIPNet=204.144.171.64」（應定義/26或另一個遮罩）。

錯誤6 — 如果為VPN 5000集中器配置了使用者名稱「Bob」，並且使用者輸入了「bob」（密碼正確），則VPN 5000集中器將返回VPN伺服器錯誤6。如果使用者輸入了「Bob」和錯誤的密碼，則VPN 5000集中器也將返回錯誤6。如果VPN 5000集中器運行DES代碼並嘗試使用3DES轉換，如ESP(MD5, 3DES)，然後將錯誤6返回到VPN 5000客戶端。非匯出代碼(3DES)後面有一個「US」（例如，版本5.0US），並且可以使用3DES加密方法。所有Cisco VPN 5000集中器都附帶DES代碼。如果僅使用DES代碼，請刪除3DES轉換並使用另一個。

錯誤7 — 此錯誤表示您的VPN 5000集中器配置了代碼版本當前非活動的IKE策略。目前，對於5.x版代碼，所有3DES和G2策略都處於非活動狀態。刪除這些設定並將IKE策略設定為MD5_DES_G1或SHA_DES_G1。

錯誤14 — 這是一個RADIUS錯誤，其中VPN 5000集中器未從RADIUS伺服器接收正確資訊以允許VPN 5000客戶端登入。

受影響的產品：

適用於Cisco VPN 5000集中器系列的Windows 95-98 VPN客戶端

適用於Cisco VPN 5000集中器系列的Windows NT 4.0 VPN客戶端

適用於Cisco VPN 5000集中器系列的Macintosh作業系統(OS)VPN客戶端

適用於Cisco VPN 5000集中器系列的Linux核心2.2.5 VPN客戶端

適用於Cisco VPN 5000集中器系列的SPARC Solaris VPN客戶端

Cisco VPN 5001 Concentrator

Cisco VPN 5002 Concentrator

Cisco VPN 5008 Concentrator

受影響的版本：

所有5.x版本

問： IPSec客戶端的Linksys®路由器問題是什麼？

答：Linksys®路由器僅支援1.34或更高版本的韌體上的IPSec連線（1.39是最新版本）。應在Linksys®路由器上啟用IPSec通過。

問：為VPN 5000客戶端指定使用者名稱時，允許的字元是什麼？

A.用戶名和域區分大小寫，可組合使用1到60個字母數字字元。其中包括「at」符號(@)。有關詳細資訊，請參閱VPN使用者。

此使用者名稱非法（「 — 」字元無效）：
[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

問：在VPN 5000集中器上可以定義多少個內部使用者？

A.對於大型實施，始終建議使用RADIUS或安全ID(SDI)身份驗證。內部使用者的數量取決於配置的大小。最大配置大小為65,500位元組。若要看到此情況，請參閱show configuration命令輸出的最後一行。例如：
Configuration size is 6732 out of 65500 bytes.

問：在VPN 5001、VPN 5002和VPN 5008集中器上可以配置多少條隧道？

A. VPN 5001集中器最多可支援1,500條隧道，VPN 5002集中器最多可支援10,000條隧道，而VPN 5008集中器每個線卡最多可支援40,000條隧道。

問： modinfo和dmesg命令顯示什麼？

A. modinfo命令顯示已載入的模組及其數量。dmesg命令顯示啟動系統日誌消息。

問：如何完全刪除Linux®客戶端？

A.安裝時，會建立或放置以下檔案：

/etc/vpn_config — 建議您保留此配置，因為它是VPN 5000客戶端配置。

/etc/rc.d/init.d/vpn — 這是載入「vpnmod」核心模組的引導時指令碼。

/etc/rc.d/rc3.d/s85.vpn — 這是指向/etc/rc.d/init.d/vpn的連結。

/etc/rc.d/rc5.d/s85.vpn — 這是指向/etc/rc.d/init.d/vpn的連結。

/usr/local/bin/open_tunnel — 這將開啟隧道連線。

/usr/local/bin/close_tunnel — 關閉隧道。

/usr/local/bin/vpn_control — 這是用於啟用調試標誌的故障排除工具。它主要用於開發。

/lib/modules/<kernelversion>/COMPvpn/vpnmod — 這是核心模組。執行uname -r命令以確定<kernelversion>。

如果刪除這些檔案，然後重新啟動，則有效地解除安裝客戶端。或者，您可以運行/usr/local/bin/close_tunnel和/etc/rc.d/init.d/vpnstop，然後刪除上述檔案。

/etc/vpn_config檔案是客戶端配置。它包含伺服器、使用者名稱和密碼資訊。如果您計畫重新安裝VPN客戶端，建議您保留此檔案的副本。

問：VPN 5000客戶端軟體是否可與Nortel® Extranet Access Client或任何其他客戶端存在於同一機箱中？是否支援此功能？

A. Cisco VPN客戶端4.0版及更高版本可以共存。請參閱VPN客戶端版本4.0發行版本註釋的與第三方VPN供應商共存部分。

問：Macintosh OS X是否有DES版本？

答：沒有，但有3DES版本可用。

問：VPN 5002集中器熱運行的跡象是什麼？

A.如果VPN 5002集中器中的擴展服務處理器(ESP)卡上的「Over Temp（溫度過高）」LED指示燈亮起，或者如果裝置存在其他溫度問題，則可能是內建空氣過濾器因汙垢堵塞而阻礙空氣流動。要更換空氣過濾器，請參閱更換空氣過濾器以獲取詳細說明。

問：是否可使用VPN 5001集中器和VPN 5000客戶端軟體5.1.7版支援H.323會話？

答：不，不支援IP地址，因為IP地址已嵌入資料包的資料部分。VPN 5000客戶端無法訪問或修改此地址。

問：在VPN 5000集中器連線到Cisco IOS®路由器的LAN到LAN情況下，我注意到一小時後，它們之間的金鑰更新不再同步。如何解決此問題？

答：通常通過在VPN 5000集中器配置上設定「keymanage=reliable」來解決此問題。但是，當Cisco IOS裝置具有動態IP地址時，它不起作用。

問：「<local7.warn>macvpn fTCP ERR:「Unknown next_proto， 69 from 172.21.139.5」錯誤消息表示什麼意思？

A.當VPN集中器收到包含埠80的資料包，並且在刪除報頭後未找到ESP資料包時，會出現假冒TCP(fTCP)消息。VPN Concentrator僅接收IPSec(ESP)資料包，而丟棄其他任何內容。當Code Red蠕蟲在Internet上發佈時，此警告會填充許多客戶電腦的系統日誌緩衝區。此錯誤消息可能表示您的電腦已被感染，正在嘗試通過埠fTCP訪問VPN 5000集中器。