隧道远程访问
远程访问 时间:2021-04-04 阅读:()
最常用的L2L和远程访问IPSecVPN故障排除解决方案目录简介先决条件要求使用的组件规则IPsecVPN配置不起作用问题解决方案启用NAT穿透(RAVPN问题1)正确测试连接启用ISAKMP启用/禁用PFS清除旧的或现有的安全关联(隧道)验证ISAKMP生存时间启用或禁用ISAKMPKeepalive重新输入或恢复预共享密钥预共享密钥不匹配删除并重新应用加密映射验证sysopt命令是否存在(仅限PIX/ASA)验证ISAKMP身份验证空闲/会话是否超时验证ACL是否正确且是否绑定到加密映射验证ISAKMP策略验证路由是否正确验证转换集是否正确验证加密映射序列号和名称以及在IPsec隧道启动/结束时加密映射是否应用到正确的接口验证对等体IP地址是否正确验证隧道组和组名称禁用L2L对等体的XAUTHVPN池耗尽VPNClient流量的延迟问题VPNClient无法与ASA/PIX连接问题解决方案问题解决方案VPNClient在第一次尝试时经常丢弃连接或出现以下错误:"SecurityVPNConnectionterminatedbypeer.
Reason433"消息.
或"安全VPN连接由对等体原因终止433:(对等体未指定原因)"问题解决方案1解决方案2解决方案3解决方案4远程访问和EZVPN用户连接到VPN,但是无法访问外部资源问题解决方案无法访问DMZ中的服务器VPNClient无法解析DNS分割隧道—无法访问Internet或排除的网络发夹连接本地LAN访问专用网络重叠无法连接超过三个VPNClient用户问题解决方案配置同时登录数使用CLI配置ASA/PIX配置集中器建立隧道后无法启动会话或应用程序并且传输缓慢问题解决方案CiscoIOS路由器—更改路由器的外部接口(隧道末端接口)中的MSS值PIX/ASA7.
X—请参阅PIX/ASA文档无法从ASA/PIX启动VPN隧道问题解决方案无法通过VPN隧道传递流量问题解决方案为同一个加密映射上的VPN隧道配置备用对等体问题解决方案禁用/重新启动VPN隧道问题解决方案一些隧道未加密问题解决方案错误:-%ASA-5-713904:Group=DefaultRAGroup,IP=x.
x.
x.
x,客户端使用不受支持的事务模式v2版本.
隧道终止.
问题解决方案错误:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)问题解决方案Error:Theauthentication-server-groupnonecommandhasbeendeprecated问题解决方案当在VPN隧道一端启用QoS时出现错误消息问题解决方案警告:cryptomapentrywillbeincomplete问题解决方案错误:-%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside问题解决方案错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
问题解决方案错误消息-%PIX|ASA-4-407001:拒绝本地主机接口名称的流量:inside_address,超出许可证数量限制问题解决方案错误消息-%VPN_HW-4-PACKET_ERROR:问题解决方案错误消息:Commandrejected:deletecryptoconnectionbetweenVLANXXXXandXXXX,first.
问题解决方案错误消息-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:丢弃数据包—会话x.
x.
x.
x:27331到x.
x.
x.
x:23[发起方(标志0,因子0)响应方(标志1,因子2)]的"窗口缩放"选项无效问题解决方案%ASA-5-305013:匹配正向和反向的非对称NAT规则.
请更新此问题流问题解决方案%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type问题解决方案%ASA-5-720012:(VPN辅助)无法更新备用设备(或)%ASA-6-720012上的IPSec故障切换运行时数据:(VPN单元)无法在备用单元上更新IPsec故障切换运行时数据问题解决方案错误:-%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0问题解决方案Error:%ASA-3-752006:TunnelManagerfailedtodispatchaKEY_ACQUIREmessage.
问题解决方案Error:%ASA-4-402116:IPSEC:ReceivedanESPpacket(SPI=0x99554D4E,sequencenumber=0x9E)fromXX.
XX.
XX.
XX(user=XX.
XX.
XX.
XX)toYY.
YY.
YY.
YY解决方案由于错误0xffffffff而未能启动64位VA安装程序以启用虚拟适配器问题解决方案Error5:此连接条目不存在主机名.
UnabletomakeVPNconnection.
问题解决方案在Windows7中CiscoVPNClient无法与数据卡一起使用问题解决方案警告消息:"VPNfunctionalitymaynotworkatall"问题解决方案IPSec填充错误问题解决方案远程站点电话上的停播延迟时间问题解决方案VPN隧道在每18个小时之后断开问题解决方案LAN到LAN隧道重新协商之后无法维持通信流量问题解决方案错误消息指示已达到加密功能的带宽问题解决方案问题:虽然入站解密流量起作用,但IPsec隧道的出站加密流量可能会失效.
解决方案其他AG_INIT_EXCH消息显示在"showcryptoisakmpsa"和"debug"命令输出中出现调试消息"ReceivedanIPCmessageduringinvalidstate"相关信息简介本文档包含IPSecVPN问题的最常见解决方案.
这些解决方案直接来自Cisco技术支持已解决的服务请求.
其中许多解决方案可以在对IPSecVPN连接进行深入故障排除之前实施.
因此,在您开始排除连接故障和致电思科技术支持之前,本文档可为您提供通用程序的检查表进行尝试.
如果需要站点到站点VPN和远程访问VPN的配置示例文档,请参阅配置示例和技术说明的远程访问VPN、使用PIX的站点到站点VPN(L2L)、使用IOS的站点到站点VPN(L2L)注意:尽管本文档中的配置示例用于路由器和安全设备,但几乎所有这些概念也适用于VPN3000集中器.
注:请参阅IP安全故障排除—了解和使用debug命令,以解释用于对CiscoIOS软件和PIX上的IPsec问题进行故障排除的常用debug命令.
注意:ASA/PIX不会通过IPsecVPN隧道传递组播流量.
注意:您可以使用命令查找工具(仅限注册客户)查找本文档中使用的命令.
警告:本文档中介绍的许多解决方案都可能导致设备上所有IPsecVPN连接暂时中断.
建议根据更改控制策略小心实施这些解决方案.
先决条件要求思科建议您了解以下思科设备上的IPsecVPN配置:CiscoPIX500系列安全设备qCiscoPIX5500系列安全设备qCiscoIOS路由器qCiscoVPN3000系列集中器(可选)q使用的组件本文档中的信息基于以下软件和硬件版本:CiscoPIX5500系列安全设备qCiscoPIX500系列安全设备qCiscoIOSq本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
IPsecVPN配置不起作用问题最近配置或修改的IPSecVPN解决方案不起作用.
当前IPSecVPN配置不再起作用.
解决方案本部分包含最常见IPSecVPN问题的解决方案.
虽然这些解决方案未以任何特定顺序列出,但在您进行深入故障排除以及致电TAC之前,可以将它们用作验证或尝试的项目清单.
所有这些解决方案都直接来自TAC服务请求,并且已解决众多的用户问题.
启用NAT穿透(RAVPN问题1)q正确测试连接q启用ISAKMPq启用/禁用PFSq清除旧的或现有的安全关联(隧道)q验证ISAKMP生存时间q启用或禁用ISAKMPKeepaliveq重新输入或恢复预共享密钥q预共享密钥不匹配q删除并重新应用加密映射q验证sysopt命令是否存在(仅限PIX/ASA)q验证ISAKMP身份q验证空闲/会话是否超时q验证ACL是否正确且绑定到加密映射q验证ISAKMP策略q验证路由是否正确q验证转换集是否正确q验证加密映射序列号和名称q验证对等体IP地址是否正确q验证隧道组和组名称q禁用L2L对等体的XAUTHqVPN池耗尽qVPNClient流量的延迟问题q注意:由于空间考虑,这些部分中的某些命令已降到第二行.
启用NAT穿透(RAVPN问题1)通过NAT穿透(NAT-T),VPN流量可以通过NAT或PAT设备,例如LinksysSOHO路由器.
如果未启用NAT-T,通常VPNClient用户似乎可以连接到PIX或ASA而不会出现问题,但是他们无法访问安全设备之后的内部网络.
如果您未在NAT/PAT设备中启用NAT-T,则会在PIX/ASA中收到错误消息regulartranslationcreationfailedforprotocol50srcinside:10.
0.
1.
26dstoutside:10.
9.
69.
4同样,如果无法从同一IP地址同时登录,则会显示SecureVPNconnectionterminatedlocallybyclient.
Reason412:Theremotepeerisnolongerresponding错误消息.
在前端VPN设备中启用NAT-T,以解决此错误.
注意:在CiscoIOS软件版本12.
2(13)T及更高版本中,NAT-T在CiscoIOS中默认启用.
以下是用于在Cisco安全设备上启用NAT-T的命令.
以下示例中的20是keepalive时间(默认值).
PIX/ASA7.
1及更低版本pix(config)#isakmpnat-traversal20PIX/ASA7.
2(1)及更高版本securityappliance(config)#cryptoisakmpnat-traversal20要使命令正常工作,还需要修改客户端.
在CiscoVPNClient中,选择ConnectionEntries并单击Modify.
此时将打开一个新窗口,您必须在其中选择Transport选项卡.
在该选项卡下,选中EnableTransparentTunneling和IPSecoverUDP(NAT/PAT)单选按钮.
然后,单击Save并测试连接.
注意:此命令对PIX6.
x和PIX/ASA7.
x都相同.
注意:通过配置ACL允许NAT-T、UDP500和ESP端口的UDP4500非常重要,因为PIX/ASA充当NAT设备.
要了解有关PIX/ASA中ACL配置的详细信息,请参阅配置一条通过防火墙(执行NAT)的IPSec隧道.
VPN集中器选择Configuration>TunnelingandSecurity>IPSEC>NATTransparency>Enable:IPsecoverNAT-T以在VPN集中器上启用NAT-T.
注意:NAT-T也让多个VPNClient可通过PAT设备同时连接到任意前端,而不管它是PIX、路由器还是集中器.
正确测试连接VPN连接最好通过执行加密的端点设备之后的设备进行测试,然而许多用户在执行加密的设备上使用ping命令测试VPN连接.
虽然ping通常可实现此目的,但使ping命令源自正确的接口非常重要.
如果ping的来源不正确,则VPN连接可能表现为已发生故障,但实际上它仍在正常工作.
以下述方案为例:路由器A加密ACLaccess-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255路由器B加密ACLaccess-list110permitip192.
168.
200.
00.
0.
0.
255192.
168.
100.
00.
0.
0.
255在此情况下,ping必须来源于任一个路由器之后的"内部"网络.
这是因为加密ACL仅配置为加密具有那些源地址的流量.
源自任一路由器的面向Internet接口的ping不会进行加密.
在特权EXEC模式下使用ping命令的扩展选项,可以使ping源自路由器的"内部"接口:routerA#pingProtocol[ip]:TargetIPaddress:192.
168.
200.
10Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddressorinterface:192.
168.
100.
1Typeofservice[0]:SetDFbitinIPheader[no]:Validatereplydata[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.
168.
200.
1,timeoutis2seconds:Packetsentwithasourceaddressof192.
168.
100.
1!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=/4ms假设该图中的路由器已替换为PIX或ASA安全设备.
用于测试连接的ping也可以源自具有inside关键字的内部接口:securityappliance#pinginside192.
168.
200.
10Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.
168.
200.
10,timeoutis2seconds:!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms注意:不建议您使用ping来锁定安全设备的内部接口.
如果必须使用ping来定位内部接口,则必须在该接口上启用management-access,否则设备不会应答.
securityappliance(config)#management-accessinside注意:当连接出现问题时,即使VPN的第1阶段也不会启动.
在ASA上,如果连接失败,SA输出与此示例类似,它可能会指示不正确的加密对等体配置和/或不正确ISAKMP提议配置:Router#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_WAIT_MSG2注:状态可能从MM_WAIT_MSG2到MM_WAIT_MSG5,这表示主模式(MM)中相关状态交换失败.
注意:当第1阶段为up时,加密SA输出与以下示例类似:Router#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_ACTIVE启用ISAKMP如果根本没有任何迹象表明IPSecVPN隧道已启动,则可能是由于尚未启用ISAKMP.
请确保已在设备上启用了ISAKMP.
使用以下命令之一可在您的设备上启用ISAKMP:CiscoIOSrouter(config)#cryptoisakmpenableqCiscoPIX7.
1及更低版本(使用所需接口替换outside)pix(config)#isakmpenableoutsideqCiscoPIX/ASA7.
2(1)及更高版本(使用所需接口替换outside)securityappliance(config)#cryptoisakmpenableoutsideq在外部接口上启用ISAKMP时,也可能会出现以下错误:UDP:ERROR-socket62465inusedERROR:IkeReceiverInit,unabletobindtoport该错误的原因可能是,可以在该接口上启用isakmp之前,ASA/PIS之后的客户端通过PAT转换到udp端口500.
删除PAT转换(clearxlate)之后,就可以启用isakmp.
注意:请务必确保UDP500和4500端口号保留用于与对等体协商ISAKMP连接.
注意:当接口上未启用ISAKMP时,VPN客户端显示一条类似于以下消息的错误消息:SecureVPNconnectionterminatedlocallybyclient.
Reason412:Theremotepeerisnolongerresponding注意:要解决此错误,请在VPN网关的加密接口上启用ISAKMP.
启用/禁用PFS在IPsec协商中,完全转发保密(PFS)可确保每个新的加密密钥与任何先前密钥不相关.
在两个隧道对等体上启用或禁用PFS;否则,在PIX/ASA/IOS路由器中不会建立LAN到LAN(L2L)IPSec隧道.
PIX/ASA:默认情况下PFS处于禁用状态.
要启用PFS,请在组策略配置模式下使用pfs命令并指定enable关键字.
要禁用PFS,请输入disable关键字.
hostname(config-group-policy)#pfs{enable|disable}要从正在运行的配置中删除PFS属性,请输入此命令的no形式.
一个组策略可以从另一个组策略继承PFS的值.
请输入此命令的no形式,以防止继承值.
hostname(config-group-policy)#nopfsIOS路由器:要指定在此加密映射条目请求新的安全关联时IPsec必须要求PFS,或者IPsec在接收新安全关联的请求时需要PFS,请在加密映射配置模式下使用setpfs命令.
要指定IPsec不可以请求PFS,请使用此命令的no形式.
默认情况下,不会请求PFS.
如果使用此命令时未指定任何组,则group1会用作默认值.
setpfs[group1|group2]nosetpfs对于setpfs命令:group1—指定在执行新的Diffie-Hellman交换时,IPsec必须使用768位Diffie-Hellman主模数组.
qgroup2—指定在执行新的Diffie-Hellman交换时,IPsec必须使用1024位Diffie-Hellman主模组.
q示例:Router(config)#cryptomapmap10ipsec-isakmpRouter(config-crypto-map)#setpfsgroup2注意:完全转发保密(PFS)是Cisco专有技术,在第三方设备上不支持.
清除旧的或现有的安全关联(隧道)如果IOS路由器中出现以下错误消息,则导致该问题的原因是SA已过期或已被清除.
远程隧道终端设备不知道它使用了已过期的SA来发送数据包(并非SA建立数据包).
建立新的SA后,通信将恢复,因此请启动隧道间的相关流量来创建新的SA并重新建立隧道.
%CRYPTO-4-IKMP_NO_SA:IKEmessagefromx.
x.
x.
xhasnoSA如果您清除ISAKMP(阶段I)和IPsec(阶段II)安全关联(SA),这是解决IPsecVPN问题的最简单而且通常也是最佳的解决方案.
如果清除SA,通常可以解决各种错误消息和奇怪行为问题,而无需进行故障排除.
虽然此方法可以在任何情况下轻松使用,但是在更改当前IPSecVPN配置或对其进行添加之后,几乎都需要清除SA.
而且,虽然可以仅清除特定的安全关联,但是在设备上全局清除SA时好处最多.
注意:一旦清除了安全关联,就有必要通过隧道发送流量以重新建立它们.
警告:除非指定要清除的安全关联,否则此处列出的命令可以清除设备上的所有安全关联.
如果其他IPSecVPN隧道处于使用中,请小心执行操作.
在清除安全关联之前,请查看它们CiscoIOSrouter#showcryptoisakmpsarouter#showcryptoipsecsaCiscoPIX/ASA安全设备securityappliance#showcryptoisakmpsasecurityappliance#showcryptoipsecsa1.
注意:CiscoPIX6.
x和PIX/ASA7.
x的这些命令相同清除安全关联.
可以如粗体所示输入每个命令或同时输入与命令一起显示的选项.
CiscoIOSISAKMP(阶段I)router#clearcryptoisakmpconnectionidofSAIPsec(阶段II)router#clearcryptosacountersResettheSAcountersmapClearallSAsforagivencryptomappeerClearallSAsforagivencryptopeerspiClearSAbySPICiscoPIX/ASA安全设备ISAKMP(阶段I)securityappliance#clearcryptoisakmpsaIPsec(阶段II)securityappliance#clearcryptoipsecsacountersClearIPsecSAcountersentryClearIPsecSAsbyentrymapClearIPsecSAsbymappeerClearIPsecSAbypeer2.
验证ISAKMP生存时间如果用户在L2L隧道中频繁地断开连接,则问题可能是在ISAKMPSA中配置了较短的生存时间.
如果在ISAKMP的生存时间内出现任何差异,您会收到%PIX|ASA-5-713092:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Failureduringphase1rekeyingattemptduetocollision错误消息.
对于FWSM,您会收到%FWSM-5-713092:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Failureduringphase1rekeyingattemptduetocollision错误消息.
在两个对等体中配置相同的值,以解决该错误.
默认值为86,400秒(24小时).
通常,较短的生存时间可提供更安全的ISAKMP协商(在某种程度上),但是,由于生存时间较短,安全设备建立未来的IPSecSA也更快.
当来自两个对等体的两个策略包含相同的加密、散列、身份验证和Diffie-Hellman参数值,并且远程对等体的策略指定的生存时间小于或等于对比策略中的生存时间时,即视为策略匹配.
如果生存时间不同,将使用较短的生存时间(来自远程对等体的策略).
如果找不到可接受的匹配,IKE将拒绝协商,并且无法建立IKESA.
指定SA生存时间.
以下示例设置的生存时间为4小时(14400秒).
默认值为86400秒(24小时).
PIX/ASAhostname(config)#isakmppolicy2lifetime14400IOS路由器R2(config)#cryptoisakmppolicy10R2(config-isakmp)#lifetime86400如果超出配置的最大生存时间,在终止VPN连接时您会收到以下错误消息:SecureVPNConnectionterminatedlocallybytheClient.
Reason426:MaximumConfiguredLifetimeExceeded.
要解决该错误消息,请将lifetime值设置为0,以将IKE安全关联的生存时间设置为无限.
VPN将始终处于连接状态并且不会终止.
hostname(config)#isakmppolicy2lifetime0您也可以通过禁用组策略中的re-xauth来解决问题.
启用或禁用ISAKMPKeepalive如果配置ISAKMPKeepalive,则它有助于防止LAN到LAN或远程访问VPN偶尔被丢弃,这包括VPNClient、隧道和一段非活动时间之后丢弃的隧道.
此功能使隧道端点可以监控远程对等体的持续存在状态,以及向该对等体报告其自己的存在状态.
如果对等体没有响应,则端点会删除连接.
要使ISAKMPkeepalive起作用,两个VPN端点必须支持它们.
使用以下命令在CiscoIOS中配置ISAKMPkeepalive:router(config)#cryptoisakmpkeepalive15q使用以下命令,以在PIX/ASA安全设备上配置ISAKMPkeepalive:CiscoPIX6.
xpix(config)#isakmpkeepalive15CiscoPIX/ASA7.
x及更高版本(针对名为10.
165.
205.
222的隧道组)securityappliance(config)#tunnel-group10.
165.
205.
222ipsec-attributessecurityappliance(config-tunnel-ipsec)#isakmpkeepalivethreshold15retry10在某些情况下,必须禁用此功能以便解决问题,例如,如果VPNClient位于阻止DPD数据包的防火墙之后.
CiscoPIX/ASA7.
x及更高版本(针对名为10.
165.
205.
222的隧道组)禁用IKEkeepalive处理(默认情况下处于启用状态).
securityappliance(config)#tunnel-group10.
165.
205.
222ipsec-attributessecurityappliance(config-tunnel-ipsec)#isakmpkeepalivedisable禁用CiscoVPNClient4.
x的Keepalive在发生问题的客户端PC上,选择%SystemRoot%>ProgramFiles>CiscoSystems>VPNClient>Profiles,以禁用IKEkeepalive,并在适用的情况下编辑连接的PCF文件.
将ForceKeepAlives=0(默认值)更改为ForceKeepAlives=1.
q注意:Keepalive是思科专有协议,不受第三方设备支持.
重新输入或恢复预共享密钥在许多情况下,IPSecVPN隧道不能启动的原因可能只是一个简单的输入错误.
例如,在安全设备上,预共享密钥在输入后即变为隐藏状态.
这种混淆使无法查看密钥是否不正确.
请确定您在每个VPN终端上正确输入了任何预共享密钥.
重新输入密钥以确保其正确;这是可以帮助避免深入排除故障的简单解决方案.
在远程访问VPN中,请检查CiscoVPNClient中是否输入了有效的组名称和预共享密钥.
如果VPNClient和前端设备之间的组名称/预共享密钥不匹配,可能就会出现以下错误.
112:41:51.
90002/18/06Sev=Warning/3IKE/0xE3000056ThereceivedHASHpayloadcannotbeverified212:41:51.
90002/18/06Sev=Warning/2IKE/0xE300007DHashverificationfailed314:37:50.
56210/05/06Sev=Warning/2IKE/0xE3000099Failedtoauthenticatepeer(Navigator:904)414:37:50.
59310/05/06Sev=Warning/2IKE/0xE30000A5UnexpectedSWerroroccurredwhileprocessingAggressiveModenegotiator:(Navigator:2202)514:44:15.
93710/05/06Sev=Warning/2IKE/0xA3000067ReceivedUnexpectedInitialContactNotify(PLMgrNotify:888)614:44:36.
57810/05/06Sev=Warning/3IKE/0xE3000056ThereceivedHASHpayloadcannotbeverified714:44:36.
59310/05/06Sev=Warning/2IKE/0xE300007DHashverificationfailed.
.
.
maybeconfiguredwithinvalidgrouppassword.
814:44:36.
60910/05/06Sev=Warning/2IKE/0xE3000099Failedtoauthenticatepeer(Navigator:904)914:44:36.
64010/05/06Sev=Warning/2IKE/0xE30000A5UnexpectedSWerroroccurredwhileprocessingAggressiveModenegotiator:(Navigator:2202)您也可以恢复预共享密钥,而无需在PIX/ASA安全设备上进行任何配置更改.
请参阅PIX/ASA7.
x:预共享密钥恢复.
警告:如果删除与加密相关的命令,则可能会关闭一个或所有VPN隧道.
请小心使用以下命令,在按照这些步骤操作之前,请参阅您组织的更改控制策略.
使用以下命令,以删除和重新输入IOS中对等体10.
0.
0.
1或vpngroup组的预共享密钥secretkey:CiscoLAN到LANVPNrouter(config)#nocryptoisakmpkeysecretkeyaddress10.
0.
0.
1router(config)#cryptoisakmpkeysecretkeyaddress10.
0.
0.
1Cisco远程访问VPNrouter(config)#cryptoisakmpclientconfigurationgroupvpngrouprouter(config-isakmp-group)#nokeysecretkeyrouter(config-isakmp-group)#keysecretkeyq使用以下命令,以删除和重新输入PIX/ASA安全设备中对等体10.
0.
0.
1的预共享密钥secretkey:CiscoPIX6.
xpix(config)#noisakmpkeysecretkeyaddress10.
0.
0.
1pix(config)#isakmpkeysecretkeyaddress10.
0.
0.
1CiscoPIX/ASA7.
x及更高版本securityappliance(config)#tunnel-group10.
0.
0.
1ipsec-attributessecurityappliance(config-tunnel-ipsec)#nopre-shared-keysecurityappliance(config-tunnel-ipsec)#pre-shared-keysecretkeyq预共享密钥不匹配启动VPN隧道操作的连接断开.
发生此问题的原因可能是阶段I协商期间预共享密钥不匹配.
如以下示例所示,showcryptoisakmpsa命令中的MM_WAIT_MSG_6消息表示预共享密钥不匹配:ASA#showcryptoisakmpsaActiveSA:1RekeySA:0(Atunnelwillreport1Activeand1RekeySAduringrekey)TotalIKESA:11IKEPeer:10.
7.
13.
20Type:L2LRole:initiatorRekey:noState:MM_WAIT_MSG_6要解决此问题,请在两个设备上重新输入预共享密钥;预共享密钥必须唯一并且相匹配.
有关详细信息,请参阅重新输入或恢复预共享密钥.
删除并重新应用加密映射如果您清除安全关联,但未解决IPsecVPN问题,则请删除并重新应用相关加密映射,以便解决各种各样的问题,包括间歇性丢弃VPN隧道和一些VPN站点无法显示.
警告:如果从接口删除加密映射,则它肯定会关闭与该加密映射关联的所有IPsec隧道.
请小心按照以下步骤操作,在继续之前,请考虑您组织的更改控制策略.
使用以下命令,以删除和替换CiscoIOS中的加密映射:首先从接口中删除加密映射.
请使用cryptomap命令的no形式.
router(config-if)#nocryptomapmymap继续使用no形式,以删除整个加密映射.
router(config)#nocryptomapmymap10替换对等体10.
0.
0.
1的接口Ethernet0/0上的加密映射.
此示例显示所需的最低加密映射配置:router(config)#cryptomapmymap10ipsec-isakmprouter(config-crypto-map)#matchaddress101router(config-crypto-map)#settransform-setmySETrouter(config-crypto-map)#setpeer10.
0.
0.
1router(config-crypto-map)#exitrouter(config)#interfaceethernet0/0router(config-if)#cryptomapmymapq使用以下命令,以删除和替换PIX或ASA上的加密映射:首先从接口中删除加密映射.
请使用cryptomap命令的no形式.
securityappliance(config)#nocryptomapmymapinterfaceoutside继续使用no形式,以删除其他加密映射命令.
securityappliance(config)#nocryptomapmymap10matchaddress101securityappliance(config)#nocryptomapmymapsettransform-setmySETsecurityappliance(config)#nocryptomapmymapsetqpeer10.
0.
0.
1替换对等体10.
0.
0.
1的加密映射.
此示例显示所需的最低加密映射配置:securityappliance(config)#cryptomapmymap10ipsec-isakmpsecurityappliance(config)#cryptomapmymap10matchaddress101securityappliance(config)#cryptomapmymap10settransform-setmySETsecurityappliance(config)#cryptomapmymap10setpeer10.
0.
0.
1securityappliance(config)#cryptomapmymapinterfaceoutside注意:如果删除并重新应用加密映射,则如果头端的IP地址已更改,这也可解决连接问题.
验证sysopt命令是否存在(仅限PIX/ASA)sysoptconnectionpermit-ipsec和sysoptconnectionpermit-vpn命令允许来自IPsec隧道的数据包及其有效负载绕过安全设备上的接口ACL.
如果未启用其中的一个命令,则安全设备上终止的IPSec隧道可能会失败.
在安全设备软件版本7.
0及更低版本中,此情况的相关sysopt命令为sysoptconnectionpermit-ipsec.
在安全设备软件版本7.
1(1)及更高版本中,此情况的相关sysopt命令为sysoptconnectionpermit-vpn.
在PIX6.
x中,默认情况下此功能处于禁用状态.
使用PIX/ASA7.
0(1)及更高版本时,默认情况下此功能处于启用状态.
使用以下show命令可确定您的设备上是否已启用相关sysopt命令:CiscoPIX6.
xpix#showsysoptnosysoptconnectiontimewaitsysoptconnectiontcpmss1380sysoptconnectiontcpmssminimum0nosysoptnodnsaliasinboundnosysoptnodnsaliasoutboundnosysoptradiusignore-secretnosysoptuauthallow-http-cachenosysoptconnectionpermit-ipsec!
---sysoptconnectionpermit-ipsecisdisablednosysoptconnectionpermit-pptpnosysoptconnectionpermit-l2tpnosysoptipsecpl-compatibleqCiscoPIX/ASA7.
xsecurityappliance#showrunning-configallsysoptnosysoptconnectiontimewaitsysoptconnectiontcpmss1380sysoptconnectiontcpmssminimum0nosysoptnodnsaliasinboundnosysoptnodnsaliasoutboundnosysoptradiusignore-secretsysoptconnectionpermit-vpn!
---sysoptconnectionpermit-vpnisenabled!
---Thisdeviceisrunning7.
2(2)q使用以下命令可针对您的设备启用正确的sysopt命令:CiscoPIX6.
x和PIX/ASA7.
0pix(config)#sysoptconnectionpermit-ipsecqCiscoPIX/ASA7.
1(1)及更高版本securityappliance(config)#sysoptconnectionpermit-vpnq注:如果不想使用sysoptconnection命令,则必须在外部ACL中明确允许所需流量,即从源到目的地的相关流量,例如从远程设备的LAN到本地设备的LAN,以及从远程设备外部接口到本地设备外部接口的"UDP端口500".
验证ISAKMP身份如果IPsecVPN隧道在IKE协商时出现故障,则该故障可能归结于PIX或其对等体未能识别其对等体的身份.
当两个对等体使用IKE建立IPSec安全关联时,每个对等体会将其ISAKMP身份发送到远程对等体.
对等体发送的是其IP地址还是主机名,取决于每个对等体自身设置的ISAKMP身份.
默认情况下,PIX防火墙单元的ISAKMP身份设置为IP地址.
通常,请以相同的方式设置安全设备及其对等体的身份,以避免IKE协商失败.
要对发送至对等体的阶段2ID进行设置,请在全局配置模式下使用isakmpidentity命令cryptoisakmpidentityaddress!
---IftheRAorL2L(site-to-site)VPNtunnelsconnect!
---withpre-sharedkeyasauthenticationtype或者cryptoisakmpidentityauto!
---IftheRAorL2L(site-to-site)VPNtunnelsconnect!
---withISAKMPnegotiationbyconnectiontype;IPaddressfor!
---presharedkeyorcertDNforcertificateauthentication.
或者cryptoisakmpidentityhostname!
---Usesthefully-qualifieddomainnameof!
---thehostexchangingISAKMPidentityinformation(default).
!
---Thisnamecomprisesthehostnameandthedomainname.
在使用PIX/ASA配置迁移工具将配置从PIX移动到ASA之后,VPN隧道未能启动;日志中出现以下消息:[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,StalePeerTblEntryfound,removing!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,construct_ipsec_delete():NoSPItoidentifyPhase2SA!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
因为在默认情况下,PIX设置为将连接识别为hostname,而ASA识别为为了解决此问题,请在全局配置模式下使用cryptoisakmpidentity命令,如下所示:cryptoisakmpidentityhostname!
---Usethefully-qualifieddomainnameof!
---thehostexchangingISAKMPidentityinformation(default).
!
---Thisnamecomprisesthehostnameandthedomainname.
当您收到Receivedanun-encryptedINVALID_COOKIEcryptoisakmpidentityaddress命令以解决问题.
注意:从软件版本7.
2(1)中弃用了isakmpidentity命令.
有关详细信息,请参阅Cisco安全设备命令参考7.
2版.
验证空闲/会话是否超时如果空闲超时设置为30分钟(默认值),则意味着如果超过30分钟没有流量通过隧道,则将丢弃该隧道.
VPNClient将在30分钟后断开连接,而不管空闲超时的设置如何,并且将出现PEER_DELETE-IKE_DELETE_UNSPECIFIED将idletimeout和sessiontimeout配置为none,以便让隧道始终为up,并且让隧道即使在使用第三方设备时也不会被丢弃.
PIX/ASA7.
x及更高版本在组策略配置模式下或用户名配置模式下输入vpn-idle-timeout命令,以配置用户超时时长:hostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#vpn-idle-timeoutnone请在组策略配置模式下或用户名配置模式下,使用vpn-session-timeout命令为VPN连接配置最大时长.
hostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#vpn-session-timeoutnone注:当您配置了tunnel-all时,您无需配置idle-timeout,因为即使配置了VPN空闲超时,它也不会工作,因为所有流量都通过隧道(因为已配置tunnel-all).
因此,相关流量(或甚至是PC生成的流量)将引人关注且不会让Idle-timeout产生作用.
CiscoIOS路由器在全局配置模式下或加密映射配置模式下,使用cryptoipsecsecurity-associationidle-time命令以配置IPsecSA空闲计时器.
默认情况下,IPsecSA空闲计时器处于禁用状态.
cryptoipsecsecurity-associationidle-timeseconds时间单位为seconds,即空闲计时器允许非活动对等体维持SA的时间.
seconds参数的有效值范围是60到86400.
验证ACL是否正确且是否绑定到加密映射典型的IPSecVPN配置中会使用两个访问列表.
一个访问列表用于免除从NAT进程发送至VPN隧道的流量.
另一个访问列表用于定义要加密的流量;其中包括LAN到LAN设置中的加密ACL或远程访问配置中的分割隧道ACL.
如果这些ACL未配置或配置不正确,则流量在VPN隧道中可能只会向一个方向流动,或者根本不通过该隧道发送.
注意:确保在全局配置模式下使用cryptomapmatchaddress命令,将加密ACL与加密映射绑定在一起.
请确保已配置了完成IPSecVPN配置所需的所有访问列表,且这些访问列表定义了正确的流量.
此列表包含在您怀疑ACL是导致IPSecVPN出现问题的原因时要检查的简单项目.
确保NAT免除和加密ACL指定正确的流量.
q如果有多个VPN隧道和多个加密ACL,请确保这些ACL不会重叠.
注意:在VPN集中器上,您可能会看到类似以下的日志:TunnelRejected:IKEpeerdoesnotmatchremotepeerasdefinedinL2Lpolicy为了避免出现此消息以及为了启动隧道,请确保加密ACL不重叠,且任何其他已配置VPN隧道未使用相同的相关流量.
q请勿重复使用ACL.
即使NAT免除ACL和加密ACL指定的是相同流量,也请使用两个不同的访问列表.
q对于远程访问配置,请勿对具有动态加密映射的相关流量使用访问列表.
这会导致VPNClient无法连接到前端设备.
如果为远程访问VPN配置的加密ACL不正确,将会收到%ASA-3-713042:IKEInitiatorunabletofindpolicy:Intf2错误消息.
注意:如果这是VPN站点到站点隧道,请确保将访问列表与对等体匹配.
它们必须在对等体上按相反顺序排列.
有关说明如何在CiscoVPNClient和PIX/ASA之间设置远程访问VPN连接的示例配置,请参阅PIX/ASA7.
x和CiscoVPNClient4.
x通过Windows2003IASRADIUS(针对ActiveDirectory)进行的身份验证配置示例.
q请确保您的设备已配置为使用NAT免除ACL.
在路由器上,这意味着您使用route-map命令.
在PIX或ASA上,这意味着您使用nat(0)命令.
LAN到LAN配置和远程访问配置都需要使用NAT免除ACL.
此处,IOS路由器配置为免除来自NAT在192.
168.
100.
0/24和192.
168.
200.
0/24或192.
168.
1.
0/24之间发送的流量.
发送至其他任何位置的流量受NAT过载影响:access-list110denyip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255access-list110denyip192.
168.
100.
00.
0.
0.
255192.
168.
1.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255anyroute-mapnonatpermit10matchipaddress110ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload此处,PIX配置为免除来自NAT在192.
168.
100.
0/24和192.
168.
200.
0/24或192.
168.
1.
0/24之间发送的流量.
例如,所有其他流量都受NAT过载影响:access-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0access-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0nat(inside)0access-listnoNATnat(inside)10.
0.
0.
00.
0.
0.
0global(outside)1interface注意:NAT免除ACL仅与IP地址或IP网络配合使用,例如上述示例(access-listnoNAT),并且必须与加密映射ACL相同.
NAT免除ACL不适用于端口号(例如,23、25等等).
注意:在VOIP环境中,网络之间的语音呼叫通过VPN进行通信,如果NAT0ACL配置不正确,则语音呼叫将不起作用.
在执行深入VOIP故障排除之前,建议检查VPN连接状态,因为可能是NAT免除ACL错误配置引起的问题.
注意:如果NAT免除(nat0)ACL中配置错误,您会收到错误消息,如图所示.
%PIX-3-305005:Notranslationgroupfoundforicmpsrcoutside:192.
168.
100.
41dstinside:192.
168.
200.
253(type8,code0)%ASA-3-305005:NotranslationgroupfoundforudpsrcOutside:x.
x.
x.
x/pdstInside:y.
y.
y.
y/p注意:不正确示例:qaccess-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0eq25如果NAT免除(nat0)不起作用,请尝试将其删除并发出NAT0命令以使其正常工作.
请确保您的ACL不是落后的,并且类型正确.
必须从配置ACL的设备的角度编写LAN到LAN配置的加密ACL和NAT免除ACL.
这意味着ACL必须彼此镜像.
在以下示例中,在192.
168.
100.
0/24和192.
168.
200.
0/24之间建立了LAN到LAN隧道.
路由器A加密ACLaccess-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255路由器B加密ACLaccess-list110permitip192.
168.
200.
00.
0.
0.
255192.
168.
100.
00.
0.
0.
255注意:虽然此处未说明,但PIX和ASA安全设备也使用这一概念.
在PIX/ASA中,远程访问配置的分割隧道ACL必须是允许流量流入VPNClient需要访问的网络的标准访问列表.
IOS路由器可使用分割隧道的扩展ACL.
注意:在扩展访问列表中,在分割隧道ACL中的源位置使用"any"类似于禁用分割隧道.
请在分割隧道的扩展ACL中仅使用源网络.
注意:正确示例:access-list140permitip10.
1.
0.
00.
0.
255.
25510.
18.
0.
00.
0.
255.
255注意:不正确示例:access-list140permitipany10.
18.
0.
00.
0.
255.
255CiscoIOSrouter(config)#access-list10permitip192.
168.
100.
0router(config)#cryptoisakmpclientconfigurationgroupMYGROUProuter(config-isakmp-group)#acl10CiscoPIX6.
xpix(config)#access-list10permit192.
168.
100.
0255.
255.
255.
0pix(config)#vpngroupMYGROUPsplit-tunnel10CiscoPIX/ASA7.
xsecurityappliance(config)#access-list10standardpermit192.
168.
100.
0255.
255.
255.
0securityappliance(config)#group-policyMYPOLICYinternalsecurityappliance(config)#group-policyMYPOLICYattributessecurityappliance(config-group-policy)#split-tunnel-policytunnelspecifiedsecurityappliance(config-group-policy)#split-tunnel-network-listvalue10q如果在ASA上错误配置或未配置NONATACL,则在ASA8.
3中会出现以下错误:%ASA-5-305013NATudpsrcoutsidex.
x.
x.
x/xxxxxdstinside:x.
x.
x.
x/xxNAT为了解决此问题,请验证配置是否正确,如果设置不正确,请重新配置.
站点到站点VPN隧道的ASA版本8.
3中的NAT免除配置:HOASA和BOASA之间必须使用版本8.
3建立站点到站点VPN,ASA和BOASA都使用版本8.
3.
HOASA上的NAT免除配置如下所示:objectnetworkobj-localsubnet192.
168.
100.
0255.
255.
255.
0objectnetworkobj-remotesubnet192.
168.
200.
0255.
255.
255.
0nat(inside,outside)1sourcestaticobj-localobj-localdestinationstaticobj-remoteobjremote验证ISAKMP策略如果IPSec隧道未启动,请检查ISAKMP策略是否与远程对等体匹配.
此ISAKMP策略适用于站点到站点(L2L)和远程访问IPSecVPN.
如果CiscoVPNClient或站点到站点VPN无法与远程端设备建立隧道,请检查两个对等体是否包含相同的加密、散列、身份验证和Diffie-Hellman参数值,并检查远程对等体策略何时指定了生存时间小于或等于发起方发送的策略中的生存时间.
如果生存时间不相同,则安全设备会使用较短的生存时间.
如果不存在可接受的匹配,则ISAKMP将拒绝协商,并且无法建立SA.
"Error:UnabletoremovePeerTblEntry,Removingpeerfrompeertablefailed,nomatch!
"以下是详细日志消息:4|Mar24201010:21:50|713903:IP=X.
X.
X.
X,Error:UnabletoremovePeerTblEntry3|Mar24201010:21:50|713902:IP=X.
X.
X.
X,Removingpeerfrompeertablefailed,nomatch!
3|Mar24201010:21:50|713048:IP=X.
X.
X.
X,Errorprocessingpayload:PayloadID:14|Mar24201010:21:49|713903:IP=X.
X.
X.
X,InformationExchangeprocessingfailed5|Mar24201010:21:49|713904:IP=X.
X.
X.
X,Receivedanun-encryptedNO_PROPOSAL_CHOSENnotifymessage,dropping通常,由于ISAKMP策略不匹配或缺少NAT0语句就会出现此消息.
此外,系统还会显示以下消息:ErrorMessage%PIX|ASA-6-713219:QueueingKEY-ACQUIREmessagestobeprocessedwhenP1SAiscomplete.
此消息表明阶段2消息在阶段1完成后正在排队.
此错误消息可能是由以下原因之一造成的:任何对等体上的阶段不匹配qACL正在阻止对等体完成阶段1q此消息通常紧跟Removingpeerfrompeertablefailed,nomatch!
错误消息.
如果CiscoVPNClient无法连接前端设备,则问题可能是ISAKMP策略不匹配.
前端设备必须与CiscoVPNClient的其中一个IKE建议匹配.
注意:对于在PIX/ASA上使用的ISAKMP策略和IPsec转换集,CiscoVPN客户端不能将策略与DES和SHA结合使用.
如果您使用DES,则需要使用MD5散列算法,也可以使用其他组合,如3DES和SHA以及3DES和MD5.
验证路由是否正确路由几乎是每个IPSecVPN部署的关键部分.
请确保您的加密设备(如路由器和PIX或ASA安全设备)具有正确的路由信息,以便通过您的VPN隧道发送流量.
而且,如果您的网关设备之后存在其他路由器,请确保这些路由器了解如何到达隧道,并且了解另一端所使用的网络类型.
VPN部署中的路由的一个关键组件是反向路由注入(RRI).
RRI会在VPN网关的路由表中放置远程网络或VPNClient的动态条目.
这些路由对安装路由的设备以及网络中的其他设备非常有用,这是因为RRI安装的路由可以通过路由协议(如EIGRP或OSPF)进行再分配.
在LAN到LAN配置中,每个端点包含的路由所指向的网络应对流量进行加密,这一点非常重要.
在本例中,路由器A必须具有通往路由器B后面的网络的路由10.
89.
129.
2.
路由器B必须具有到192.
168.
100.
0/24的类似路由:确保每个路由器知道相应路由的第一种方法是为每个目标网络配置静态路由.
例如,路由器A可以配置如下路由语句:iproute0.
0.
0.
00.
0.
0.
0172.
22.
1.
1iproute192.
168.
200.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
210.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
220.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
230.
0255.
255.
255.
010.
89.
129.
2如果路由器A已替换为PIX或ASA,则配置看起来与以下内容相似:routeoutside0.
0.
0.
00.
0.
0.
0172.
22.
1.
1routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2如果每个端点之后存在大量网络,则静态路由的配置将变得难以维护.
建议您依照所述使用反向路由注入.
RRI会将加密ACL中列出的所有远程网络的路由放置在路由表中.
例如,路由器A的加密ACL和加密映射看起来与以下内容相似:access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255q192.
168.
210.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
220.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
230.
00.
0.
0.
255cryptomapmyMAP10ipsec-isakmpsetpeer10.
89.
129.
2reverse-routesettransform-setmySETmatchaddress110如果路由器A已替换为PIX或ASA,则配置看起来与以下内容相似:access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
210.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
220.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
230.
0255.
255.
255.
0cryptomapmyMAP10matchaddresscryptoACLcryptomapmyMAP10setpeer10.
89.
129.
2cryptomapmyMAP10settransform-setmySETcryptomapmymap10setreverse-route在远程访问配置中,路由更改并非始终必要.
然而,如果在VPN网关路由器或安全设备之后存在其他路由器,这些路由器需要以某种方式识别出VPNClient的路径.
在以下示例中,假设VPNClient在连接时的给定地址在10.
0.
0.
0/24范围内.
如果网关和其他路由器之间当前没有使用任何路由协议,则路由器(如路由器2)上可以使用静态路由:iproute10.
0.
0.
0255.
255.
255.
0192.
168.
100.
1如果网关和其他路由器之间正在使用某种路由协议(EIGRP或OSPF),则建议依照所述使用反向路由注入.
RRI会自动将VPNClient的路由添加到网关的路由表中.
然后,这些路由可以分发到网络中的其他路由器.
CiscoIOS路由器:cryptodynamic-mapdynMAP10settransform-setmySETreverse-routecryptomapmyMAP60000ipsec-isakmpdynamicdynMAPCiscoPIX或ASA安全设备:cryptodynamic-mapdynMAP10settransform-setmySETcryptodynamic-mapdynMAP10setreverse-routecryptomapmyMAP60000ipsec-isakmpdynamicdynMAPq注意:如果为VPN客户端分配的IP地址池与头端设备的内部网络重叠,则会发生路由问题.
有关详细信息,请参阅专用网络重叠部分.
验证转换集是否正确确保两个端点上的转换集所要使用的IPsec加密和散列算法是相同的.
有关详细信息,请参阅Cisco安全设备配置指南的命令参考部分.
注意:对于在PIX/ASA上使用的ISAKMP策略和IPsec转换集,CiscoVPN客户端不能将策略与DES和SHA结合使用.
如果您使用DES,则需要使用MD5散列算法,也可以使用其他组合,如3DES和SHA以及3DES和MD5.
验证加密映射序列号和名称以及在IPsec隧道启动/结束时加密映射是否应用到正确的接口如果在同一加密映射中配置了静态和动态对等体,则加密映射条目的顺序非常重要.
动态加密映射条目的序列号必须高于其他所有静态加密映射条目.
如果静态条目的编号高于动态条目,则与这些对等体的连接会失败,并会发生如下所示的调试.
IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,QMFSMerror(P2struct&0x49ba5a0,messid0xcd600011)!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
注意:安全设备中的每个接口仅允许一个动态加密映射.
以下是一个正确编号的加密映射示例,其中包含一个静态条目和一个动态条目.
请注意,动态条目具有最高的序列号,并且已留下空间以便添加其他静态条目:cryptodynamic-mapcisco20settransform-setmysetcryptomapmymap10matchaddress100cryptomapmymap10setpeer172.
16.
77.
10cryptomapmymap10settransform-setmysetcryptomapmymapinterfaceoutsidecryptomapmymap60000ipsec-isakmpdynamiccisco注意:加密映射名称区分大小写.
注意:当动态加密人序列不正确导致对等体命中错误的加密映射时,也可以看到此错误消息,而且该错误消息还可通过定义相关流量的不匹配加密访问列表来显示:%ASA-3-713042:IKEInitiatorunabletofindpolicy:对于要在同一个接口中终止多个VPN隧道的方案,我们需要创建名称相同但序列号不同的加密映射(每个接口仅允许一个加密映射).
这也同样适用于路由器、PIX和ASA.
要了解有关在同一个接口中具有不同序列号的相同加密映射的集线器PIX配置的详细信息,请参阅为集线器和远程PIX之间的IPsec配置VPNClient和扩展身份验证.
同样,要了解有关针对L2L和远程访问VPN方案的加密映射配置的详细信息,请参阅PIX/ASA7.
X:将新隧道或远程访问添加到现有的L2LVPN.
验证对等体IP地址是否正确对于PIX/ASA安全设备7.
xLAN到LAN(L2L)IPsecVPN配置,您必须在tunnel-grouptypeipsec-l2l命令中将隧道组的指定为远程对等体IP地址(远程隧道端),以创建和管理IPsec的连接特定记录的数据库.
在tunnelgroupname和Cryptomapsetaddress命令中对等体IP地址必须匹配.
使用ASDM配置VPN时,将使用正确的对等体IP地址自动生成隧道组名称.
如果未正确配置对等体IP地址,则日志中会包含以下消息,可以通过正确配置对等体IP地址来解决该问题.
[IKEv1]:Group=DefaultL2LGroup,IP=x.
x.
x.
x,ERROR,hadproblemsdecryptingpacket,probablyduetomismatchedpre-sharedkey.
Aborting在PIX6.
xLAN到LAN(L2L)IPSecVPN配置中,对等体IP地址(远程隧道端)必须与加密映射中的isakmpkeyaddress和setpeer命令匹配,以便成功创建IPSecVPN连接.
当在ASA加密配置中未正确配置对等体IP地址时,ASA无法建立VPN隧道,且仅会在MM_WAIT_MSG4阶段挂起.
为了解决此问题,请更正配置中的对等体IP地址.
以下是当VPN隧道在MM_WAIT_MSG4状态挂起时,showcryptoisakmpsa命令的输出.
hostname#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_WAIT_MSG4验证隧道组和组名称%PIX|ASA-3-713206:TunnelRejected:Conflictingprotocolsspecifiedbytunnel-groupandgroup-policy当由于组策略中指定的允许隧道与隧道组配置中的允许隧道不同而丢弃隧道时,会显示此消息.
group-policyhf_group_policyattributesvpn-tunnel-protocoll2tp-ipsecusernamehfremoteattributesvpn-tunnel-protocoll2tp-ipsecBothlinesshouldread:vpn-tunnel-protocolipsecl2tp-ipsec针对"默认组中现有的协议策略"启用"默认组中的IPSec"策略.
group-policyDfltGrpPolicyattributesvpn-tunnel-protocolL2TP-IPSecIPSecwebvpn禁用L2L对等体的XAUTH如果LAN到LAN隧道和远程访问VPN隧道配置在同一个加密映射中,则系统会对LAN到LAN对等体提示XAUTH信息,且LAN到LAN隧道出现故障,在showcryptoisakmpsa命令的输出中显示"CONF_XAUTH".
以下是SA输出的示例:Router#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idslotstatusX.
X.
X.
XY.
Y.
Y.
YCONF_XAUTH102230ACTIVEX.
X.
X.
XZ.
Z.
Z.
ZCONF_XAUTH101970ACTIVE注意:此问题仅适用于CiscoIOS和PIX6.
x.
而PIX/ASA7.
x不受此问题的影响,因为它使用隧道组.
请在输入isakmp密钥时使用no-xauth关键字,以使设备不提示对等体提供XAUTH信息(用户名和口令).
此关键字会禁用静态IPSec对等体的XAUTH.
在同一个加密映射中配置了L2L和RAVPN的设备上输入与以下类似的命令:router(config)#cryptoisakmpkeycisco123address172.
22.
1.
164no-xauth在PIX/ASA7.
x用作EasyVPN服务器的场景中,由于Xauth问题,EasyVPNClient无法连接到前端.
禁用PIX/ASA中的用户身份验证,以便解决该问题(如下所示):ASA(config)#tunnel-groupexample-grouptypeipsec-raASA(config)#tunnel-groupexample-groupipsec-attributesASA(config-tunnel-ipsec)#isakmpikev1-user-authenticationnone请参阅本文档的其他部分,以了解有关isakmpikev1-user-authentication命令的详细信息.
VPN池耗尽当分配给VPN池的IP地址范围不足时,可通过两种方法扩大IP地址的供给:取消现有范围,然后定义新范围.
示例如下:CiscoASA(config)#noiplocalpooltestvpnpool10.
76.
41.
1-10.
76.
41.
254CiscoASA(config)#iplocalpooltestvpnpool10.
76.
41.
1-10.
76.
42.
2541.
当不连续子网添加到VPN池时,您可以定义两个独立的VPN池,然后按照"隧道组属性"下的顺序进行指定.
示例如下:CiscoASA(config)#iplocalpooltestvpnpoolAB10.
76.
41.
1-10.
76.
42.
254CiscoASA(config)#iplocalpooltestvpnpoolCD10.
76.
45.
1-10.
76.
45.
254CiscoASA(config)#tunnel-grouptesttyperemote-accessCiscoASA(config)#tunnel-grouptestgeneral-attributesCiscoASA(config-tunnel-general)#address-pool(inside)testvpnpoolABtestvpnpoolCDCiscoASA(config-tunnel-general)#exit2.
您指定池所遵循的顺序非常重要,因为ASA按照池在此命令中的出现顺序从这些池中分配地址.
注意:group-policyaddress-pools命令中的address-pools设置始终覆盖tunnel-groupaddress-pool命令中的本地池设置.
VPNClient流量的延迟问题当VPN连接出现延迟问题时,请按顺序验证以下项以解决问题:验证数据包的MSS是否可以进一步减小.
1.
如果使用的是IPsec/tcp而不是IPsec/udp,则请配置VPNpreserve-vpn-flow.
2.
重新载入CiscoASA.
3.
VPNClient无法与ASA/PIX连接问题当X-authX与RADIUS服务器一起使用时,CiscoVPNClient无法进行身份验证.
解决方案问题可能是xauth超时.
增加AAA服务器的超时值以解决此问题.
例如:Hostname(config)#aaa-servertestprotocolradiushostname(config-aaa-server-group)#aaa-servertesthost10.
2.
3.
4hostname(config-aaa-server-host)#timeout10问题当X-authX与RADIUS服务器一起使用时,CiscoVPNClient无法进行身份验证.
解决方案首先,请确保身份验证正常工作.
要缩小问题的范围,请先验证ASA本地数据库的身份验证.
tunnel-grouptggroupgeneral-attributesauthentication-server-groupnoneauthentication-server-groupLOCALexit如果正常工作,那么问题应该与Radius服务器配置有关.
验证Radius服务器与ASA的连接.
如果ping正常工作,未出任何问题,则请检查ASA的Radius相关配置和Radius服务器上的数据库配置.
您可使用debugradius命令对Radius相关问题进行故障排除.
有关debugradius输出的示例,请参阅此示例输出.
注意:在ASA上使用debug命令之前,请参阅以下文档:警告消息.
VPNClient在第一次尝试时经常丢弃连接或出现以下错误:"SecurityVPNConnectionterminatedbypeer.
Reason433"消息.
或"安全VPN连接由对等体原因终止433:(对等体未指定原因)"问题当CiscoVPNClient用户试图连接前端VPN设备时,可能会收到此错误消息.
"VPNclientdropsconnectionfrequentlyonfirstattempt"或"SecurityVPNConnectionterminatedbypeer.
Reason433"消息.
或"SecureVPNConnectionterminatedbyPeerReason433:(ReasonNotSpecifiedbyPeer)"或"AttemptedtoassignnetworkorbroadcastIPaddress,removing(x.
x.
x)frompool"解决方案1问题可能在于通过ASA/PIX、Radius服务器、DHCP服务器或通过Radius服务器用作DHCP服务器来分配IP池.
请使用debugcrypto命令,以验证网络掩码和IP地址是否正确.
同时,请确认IP池不包括网络地址和广播地址.
Radius服务器必须可以将正确的IP地址分配到客户端.
解决方案2如果扩展身份验证失败,也会发生此问题.
您必须检查AAA服务器以对此错误进行故障排除.
检查服务器和客户端上的服务器身份验证密码并重新加载AAA服务器也许可解决此问题.
解决方案3此问题的另一种解决方法是禁用威胁检测功能.
如果不同的不完整安全关联(SA)有多个重发,则启用了威胁检测功能的ASA会认为发生了扫描攻击,并且VPN端口会被标记为主要攻击者.
尝试禁用威胁检测功能,因为此功能会对ASA的处理造成大量开销.
使用以下命令禁用威胁检测:nothreat-detectionbasic-threatnothreat-detectionscanning-threatshunnothreat-detectionstatisticsnothreat-detectionrate有关此功能的详细信息,请参阅威胁检测.
注意:这可作为一种解决方法,用于验证这是否解决了实际问题.
确保禁用CiscoASA上的威胁检测,这实际上会削弱几个安全功能,例如减少扫描尝试、无效SPI的DoS、使应用检测和不完整会话失败的数据包.
解决方案4未正确配置转换集时,也会出现此问题.
正确配置转换集可解决问题.
远程访问和EZVPN用户连接到VPN,但是无法访问外部资源问题远程访问用户连接到VPN后,将无法连接到Internet.
远程访问用户无法访问位于同一个设备上其他VPN之后的资源.
远程访问用户仅可访问本地网络.
解决方案尝试以下解决方案,以便解决此问题:无法访问DMZ中的服务器qVPNClient无法解析DNSq分割隧道—无法访问Internet或排除的网络q发夹连接q本地LAN访问q专用网络重叠q无法访问DMZ中的服务器VPNClient建立与VPN前端设备(PIX/ASA/IOS路由器)的IPsec隧道之后,VPNClient用户即可访问内部网络(10.
10.
10.
0/24)资源,但是他们无法访问DMZ网络(10.
1.
1.
0/24).
图解检查分割隧道,在前端设备中添加NONAT配置,以访问DMZ网络中的资源.
示例ASA/PIXciscoasa#showrunning-config!
---Splittunnelfortheinsidenetworkaccessaccess-listvpnusers_spitTunnelAclpermitip10.
10.
10.
0255.
255.
0.
0any!
---SplittunnelfortheDMZnetworkaccessaccess-listvpnusers_spitTunnelAclpermitip10.
1.
1.
0255.
255.
0.
0any!
---CreateapoolofaddressesfromwhichIPaddressesareassigned!
---dynamicallytotheremoteVPNClients.
iplocalpoolvpnclient192.
168.
1.
1-192.
168.
1.
5!
---Thisaccesslistisusedforanatzerocommandthatprevents!
---trafficwhichmatchestheaccesslistfromundergoingNAT.
!
---NoNatfortheDMZnetwork.
access-listnonat-dmzpermitip10.
1.
1.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0!
---NoNatfortheInsidenetwork.
access-listnonat-inpermitip10.
10.
10.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0!
---NAT0preventsNATfornetworksspecifiedintheACLnonat.
nat(DMZ)0access-listnonat-dmznat(inside)0access-listnonat-inASA版本8.
3配置:此配置显示如何配置DMZ网络的NAT免除,以便让VPN用户可访问DMZ网络:objectnetworkobj-dmzsubnet10.
1.
1.
0255.
255.
255.
0objectnetworkobj-vpnpoolsubnet192.
168.
1.
0255.
255.
255.
0nat(inside,dmz)1sourcestaticobj-dmzobj-dmzdestinationstaticobj-vpnpoolobj-vpnpool在添加对应NAT配置的新条目之后,请清除Nat转换.
ClearxlateClearlocal验证:如果已建立隧道,请转到CiscoVPNClient并选择Status>RouteDetails,以检查是否已显示DMZ和内部网络的安全路由.
请参阅PIX/ASA7.
x:DMZ中的邮件服务器访问配置示例,以了解有关如何设置PIX防火墙以便访问位于隔离区(DMZ)网络中的邮件服务器的详细信息.
请参阅PIX/ASA7.
x:将新隧道或远程访问添加到现有的L2LVPN,以了解将新VPN隧道或远程访问VPN添加到已经存在的L2LVPN配置的必需步骤.
请参阅PIX/ASA7.
x:在ASA上允许VPNClient使用分割隧道的配置示例,以了解有关如何允许VPNClient在通过隧道进入Cisco自适应安全设备(ASA)5500系列安全设备时访问Internet的分步说明.
请参阅PIX/ASA7.
x和CiscoVPNClient4.
x通过Windows2003IASRADIUS(针对ActiveDirectory)进行的身份验证配置示例,以了解有关如何在CiscoVPNClient(适用于Windows的4.
x版本)和PIX500系列安全设备7.
x之间设置远程访问VPN连接的详细信息.
VPNClient无法解析DNS在建立隧道之后,如果VPNClient无法解析DNS,则可能是前端设备(ASA/PIX)中的DNS服务器配置存在问题.
此外,请检查VPNClient和DNS服务器之间的连接.
DNS服务器配置必须在组策略下配置,并在隧道组常规属性中的组策略下应用;例如:!
---Createthegrouppolicynamedvpn3000and!
---specifytheDNSserverIPaddress(172.
16.
1.
1)!
---andthedomainname(cisco.
com)inthegrouppolicy.
group-policyvpn3000internalgroup-policyvpn3000attributesdns-servervalue172.
16.
1.
1default-domainvaluecisco.
com!
---Associatethegrouppolicy(vpn3000)tothetunnelgroup!
---usingthedefault-group-policy.
tunnel-groupvpn3000general-attributesdefault-group-policyvpn3000VPNClient无法根据名称连接内部服务器VPNClient无法根据名称对远程端或前端内部网络的主机或服务器执行ping操作.
您需要启用ASA上的split-dns配置以解决此问题.
分割隧道—无法访问Internet或排除的网络分割隧道使远程访问IPSec客户端可以有条件地以加密形式通过IPsec隧道定向数据包,或者以明文形式将数据包定向到网络接口,并解密,然后在网络中将数据包路由到最终目标.
默认情况下,分割隧道处于禁用状态,这是指tunnelallsplit-tunnel-policy{tunnelall|tunnelspecified|excludespecified}注意:只有CiscoVPN客户端(而不是EZVPN客户端)才支持excludespecified选项.
ciscoasa(config-group-policy)#split-tunnel-policyexcludespecified有关分割隧道的详细配置示例,请参阅以下文档:PIX/ASA7.
x:在ASA上允许VPNClient使用分割隧道的配置示例q路由器允许VPNClient使用分割隧道连接IPsec和Internet的配置示例qVPN3000集中器上针对VPNClient使用分割隧道的配置示例q发夹连接对于进入某接口然后又从同一接口路由出去的VPN流量,此功能非常有用.
例如,如果您建立了集中星型VPN网络,其中安全设备是中央,而远程VPN网络是分支,为使分支之间彼此通信,流量必须进入安全设备,然后再流向其他分支.
请使用same-security-traffic配置,以允许从同一接口进入和退出.
securityappliance(config)#same-security-trafficpermitintra-interface本地LAN访问远程访问用户连接到VPN并且仅能连接到本地网络.
有关详细配置示例,请参阅PIX/ASA7.
x:允许VPNClient的本地LAN访问.
专用网络重叠问题如果无法在建立隧道之后访问内部网络,请检查分配给VPNClient的IP地址是否与前端设备之后的内部网络重叠.
解决方案请始终确保池中要分配给VPNClient、前端设备的内部网络和VPNClient内部网络的IP地址位于不同的网络中.
您可以分配具有不同子网的同一个主网络,但是有时会发生路由问题.
有关进一步示例,请参阅无法访问DMZ中的服务器部分的图解和示例.
无法连接超过三个VPNClient用户问题只有三个VPNClient可以连接到ASA/PIX;连接第四个客户端时将失败.
失败时,将显示以下错误消息:SecureVPNConnectionterminatedlocallybytheclient.
Reason413:UserAuthenticationfailed.
tunnelrejected;themaximumtunnelcounthasbeenreached解决方案在大多数情况下,此问题与组策略中的同时登录设置以及最大会话限制相关.
尝试以下解决方案,以便解决此问题:配置同时登录数q使用CLI配置ASA/PIXq配置集中器q有关详细信息,请参阅CiscoASA5500系列版本5.
2的所选ASDMVPN配置过程中的配置组策略部分.
配置同时登录数如果选中了ASDM中的Inherit复选框,则系统仅允许默认的用户同时登录数.
同时登录数的默认值是3.
要解决此问题,请增加同时登录数的值.
启动ASDM,然后导航到Configuration>VPN>GroupPolicy.
1.
选择相应的Group并单击Edit按钮.
2.
在General选项卡中,取消选中ConnectionSettings下与SimultaneousLogins相对应的Inherit复选框.
在字段中选择相应的值.
3.
注意:此字段的最小值是0,表示禁用登录并且阻止用户访问.
注意:当您使用来自不同PC的相同用户帐户登录时,当前会话(从使用相同用户帐户的另一PC建立的连接)将终止,并建立新会话.
这是默认行为,且不受VPN同时登录数影响.
使用CLI配置ASA/PIX完成以下步骤,以便配置所需的同时登录数.
在本示例中,选择20作为所需的值.
ciscoasa(config)#group-policyBryanattributesciscoasa(config-group-policy)#vpn-simultaneous-logins20要了解有关该命令的详细信息,请参阅Cisco安全设备命令参考7.
2版.
在全局配置模式下使用vpn-sessiondbmax-session-limit命令,将VPN会话数限制为小于安全设备允许的值.
使用该命令的no重新使用命令,以覆盖当前设置.
vpn-sessiondbmax-session-limit{session-limit}本示例显示如何将VPN最大会话限制数设置为450:hostname#vpn-sessiondbmax-session-limit450配置集中器错误消息2093210/26/200714:37:45.
430SEV=3AUTH/5RPT=186310.
19.
187.
229Authenticationrejected:Reason=Simultaneousloginsexceededforuserhandle=623,server=(none),user=10.
19.
187.
229,domain=解决方案完成以下步骤,以便配置所需的同时登录数.
针对此SA,您也可以尝试将SimultaneousLogins设置为5:依次选择Configuration>UserManagement>Groups>Modify10.
19.
187.
229>General>SimultaneousLogins,然后将登录数更改为5.
建立隧道后无法启动会话或应用程序并且传输缓慢问题建立IPSec隧道后,应用程序或会话不能在隧道中启动.
解决方案使用ping命令,以检查网络或查看是否可从您的网络访问应用程序服务器.
可能是从路由器或PIX/ASA设备通过的临时数据包的最大数据段大小(MSS)有问题(特别是已设置SYN位的TCP数据段).
CiscoIOS路由器—更改路由器的外部接口(隧道末端接口)中的MSS值运行以下命令,以更改路由器的外部接口(隧道末端接口)中的MSS值:Router>enableRouter#configureterminalRouter(config)#interfaceethernet0/1Router(config-if)#iptcpadjust-mss1300Router(config-if)#end以下消息显示了TCPMSS的调试输出:Router#debugiptcptransactionsSep518:42:46.
247:TCP0:statewasLISTEN->SYNRCVD[23->10.
0.
1.
1(38437)]Sep518:42:46.
247:TCP:tcb32290C0connectionto10.
0.
1.
1:38437,peerMSS1300,MSSis1300Sep518:42:46.
247:TCP:sendingSYN,seq580539401,ack6015751Sep518:42:46.
247:TCP0:Connectionto10.
0.
1.
1:38437,advertisingMSS1300Sep518:42:46.
251:TCP0:statewasSYNRCVD->ESTAB[23->10.
0.
1.
1(38437)]MMS按照配置在路由器上调整到1300.
有关详细信息,请参阅PIX/ASA7.
x和IOS:VPN分段.
PIX/ASA7.
X—请参阅PIX/ASA文档由于产生MTU大小错误消息和MSS问题,因此无法正确访问Internet或者通过隧道的传输缓慢.
请参阅以下文档,以解决该问题:PIX/ASA7.
x和IOS:VPN分段qPIX/ASA7.
0问题:超出MSS-HTTP客户端无法浏览某些网站q无法从ASA/PIX启动VPN隧道问题您无法从ASA/PIX接口启动VPN隧道,并且建立隧道后,远程端点/VPNClient无法对VPN隧道上ASA/PIX的内部接口执行ping操作.
例如,VPNClient可能无法通过VPN隧道启动到ASA内部接口的SSH或HTTP连接.
解决方案除非在全局配置模式下配置management-access命令,否则无法从隧道的另一端对PIX的内部接口执行ping操作.
PIX-02(config)#management-accessinsidePIX-02(config)#showmanagement-accessmanagement-accessinside注意:此命令还有助于通过VPN隧道启动到ASA内部接口的ssh或http连接.
注意:此信息对于DMZ接口也适用.
例如,如果您想要对PIX/ASA的DMZ接口执行ping操作或想要从DMZ接口启动隧道,则需要使用management-accessDMZ命令.
PIX-02(config)#management-accessDMZ注意:如果VPN客户端无法连接,请确保ESP和UDP端口已打开,但是,如果这些端口未打开,则尝试在TCP10000上连接,在VPN客户端连接条目下选择此端口.
右键单击modify>transport选项卡>IPsecoverTCP.
请参阅PIX/ASA7.
x可支持任意端口上的IPsecoverTCP配置示例,以了解IPsecoverTCP的详细信息.
无法通过VPN隧道传递流量问题您无法通过VPN隧道传递流量.
解决方案由于出现CiscoBugIDCSCtb53186(仅限注册用户)中描述的问题,因此发生此问题.
为了解决此问题,请重新加载ASA.
有关详细信息,请参阅漏洞.
当ESP数据包被阻止时,此问题也可能会出现.
为了解决此问题,请重新配置VPN隧道.
当数据未加密,而只是在VPN隧道上解密时,可能会发生此问题,如下面的输出所示:ASA#shcryptoipsecsapeerx.
x.
x.
xpeeraddress:y.
y.
y.
yCryptomaptag:IPSec_map,seqnum:37,localaddr:x.
x.
x.
xaccess-listtestpermitiphostxx.
xx.
xx.
xxhostyy.
yy.
yy.
yylocalident(addr/mask/prot/port):(xx.
xx.
xx.
xx/255.
255.
255.
255/0/0)remoteident(addr/mask/prot/port):(yy.
yy.
yy.
yy/255.
255.
255.
255/0/0)current_peer:y.
y.
y.
y#pktsencaps:0,#pktsencrypt:0,#pktsdigest:0#pktsdecaps:393,#pktsdecrypt:393,#pktsverify:393#pktscompressed:0,#pktsdecompressed:0#pktsnotcompressed:0,#pktscompfailed:0,#pktsdecompfailed:0#pre-fragsuccesses:0,#pre-fragfailures:0,#fragmentscreated:0#PMTUssent:0,#PMTUsrcvd:0,#decapsulatedfrgsneedingreassembly:0#senderrors:0,#recverrors:0为了解决此问题,请检查以下项:如果加密访问列表与远程站点匹配,且NAT0访问列表正确.
1.
如果路由正确,且流量确实发生在通过内部的外部接口.
示例输出显示解密完成,但是未发生加密.
2.
如果已在ASA上配置sysoptpermitconnection-vpnVPN命令.
如果未配置,请配置此命令,因为它可让ASA免除来自接口ACL检查的加密/VPN流量.
3.
为同一个加密映射上的VPN隧道配置备用对等体问题您可能想要为单个VPN隧道使用多个备用对等体.
解决方案配置多个对等体相当于提供了一个回退列表.
对于每个隧道,安全设备会尝试与列表中的第一个对等体协商.
如果该对等体不响应,则安全设备会按照顺序与列表中的下一个对等体协商,直到对等体做出响应或在列表中不再有对等体.
ASA应具有已配置为主对等体的加密映射.
辅助对等体可添加在主对等体之后.
此示例配置将主对等体显示为X.
X.
X.
X,备用对等体为Y.
Y.
Y.
Y:ASA(config)#cryptomapmymap10setpeerX.
X.
X.
XY.
Y.
Y.
Y有关详细信息,请参阅思科安全设备命令参考第8.
0版中的加密映射集对等体部分.
禁用/重新启动VPN隧道问题为了暂时禁用VPN隧道并重新启动服务,请完成此部分所述的程序.
解决方案在全局配置模式下使用cryptomapinterface命令以删除之前在接口上定义的加密映射集.
使用此命令的noform,从接口中删除加密映射集.
hostname(config)#nocryptomapmap-nameinterfaceinterface-name此命令可删除任何活动安全设备接口的加密映射集,并且使IPsecVPN隧道在该接口上保持不活动状态.
要重新启动接口上的IPsec隧道,在该接口可提供IPsec服务之前,您必须将加密映射集分配到接口.
hostname(config)#cryptomapmap-nameinterfaceinterface-name一些隧道未加密问题当VPN网关上配置了大量隧道时,一些隧道不传递流量.
ASA不会收到那些隧道的加密数据包.
解决方案由于ASA未能通过隧道传递加密数据包,因此出现此问题.
在ASP表中创建了重复的加密规则.
这是已知问题,并已归档到BugIDCSCtb53186(仅限注册用户)以解决此问题.
为了解决此问题,请重新加载ASA或将软件升级到已修复此漏洞的版本.
错误:-%ASA-5-713904:Group=DefaultRAGroup,IP=x.
x.
x.
x,客户端使用不受支持的事务模式v2版本.
隧道终止.
问题显示%ASA-5-713904:Group=DefaultRAGroup,IP=99.
246.
144.
186,ClientisusingaunsupportedTransactionModev2version.
Tunnelterminated误消息.
解决方案显示TransactionModev2ASAIKEV6V2请使用IKE模式配置V6版本来解决此错误.
错误:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)问题%ASA-6-722036:GroupUserIPTransmittinglargepacket1220(threshold1206)错误消息显示在ASA的日志中.
此日志意味着什么如何解决该问题解决方案此日志消息说明已向客户端发送了一个大型数据包.
数据包的源不能识别客户端的MTU.
这也可能是由于对不可压缩的数据进行了压缩所致.
解决方法是使用svccompressionnone命令关闭SVC压缩,即可解决问题.
Error:Theauthentication-server-groupnonecommandhasbeendeprecated问题如果将VPN配置从运行7.
0.
x版本的PIX/ASA传输到运行7.
2.
x的其他安全设备上,您会收到以下错误消息:ERROR:Theauthentication-server-groupnonecommandhasbeendeprecated.
The"isakmpikev1-user-authenticationnone"commandintheipsec-attributesshouldbeusedinstead.
解决方案7.
2(1)及更高版本中不再支持authentication-server-group命令.
此命令已作废,并已转移到tunnel-groupgeneral-attributes配置模式.
有关此命令的详细信息,请参阅命令参考中的isakmpikev1-user-authentication部分.
当在VPN隧道一端启用QoS时出现错误消息问题如果在VPN隧道的一端启用QoS,您可能会收到以下错误消息:IPSEC:ReceivedanESPpacket(SPI=0xDB6E5A60,sequencenumber=0x7F9F)from10.
18.
7.
11(user=ghufhi)to172.
16.
29.
23thatfailedanti-replaychecking解决方案当隧道的一端执行QoS时,通常会产生此消息.
当检测到数据包顺序不正确时,会发生这种情况.
您可以禁用QoS以停止此错误,但是只要流量可以通过隧道就可以忽略此错误.
警告:cryptomapentrywillbeincomplete问题当您运行cryptomapmymap20ipsec-isakmp命令时,您可能会收到以下错误:cryptomapentrywillbeincomplete例如:ciscoasa(config)#cryptomapmymap20ipsec-isakmpWARNING:cryptomapentrywillbeincomplete解决方案这是在您定义新加密映射时的正常警告,提醒您在其生效之前必须配置参数,例如access-list(匹配地址)、转换集以及对等体地址.
此外,如果配置中未显示您键入的用于定义加密映射的第一行代码,这也属于正常现象.
错误:-%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside问题无法通过vpn隧道传递大型ping数据包.
当我们尝试传递大型ping数据包时,会收到错误%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside解决方案禁用签名2150和2151以解决此问题.
禁用签名后,ping工作正常.
请使用以下命令禁用签名:ASA(config)#ipauditsignature2151disableASA(config)#ipauditsignature2150disable错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
问题我在ASA的日志消息中收到了以下错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
解决方案要解决此错误,请使用cryptoipsecsecurity-associationreplaywindow-size命令来改变窗口大小.
hostname(config)#cryptoipsecsecurity-associationreplaywindow-size1024注意:思科建议您使用完整的1024窗口大小来消除任何反重播问题.
错误消息-%PIX|ASA-4-407001:拒绝本地主机接口名称的流量:inside_address,超出许可证数量限制问题少数主机无法连接到互联网,且此错误消息显示在系统日志中:-%PIX|ASA-4-407001:inside_address解决方案当用户数量超过所用许可证的用户限制时会收到此错误消息.
通过将许可证升级到包括更多用户数即可解决此错误.
根据需要,用户许可证可以包括50、100或无限用户数.
错误消息-%VPN_HW-4-PACKET_ERROR:问题-%VPN_HW-4-PACKET_ERROR:错误消息指示路由器收到的带HMAC的ESP数据包不匹配.
此错误可能由以下问题所引起:有缺陷的VPNH/W模块q损坏的ESP数据包q解决方案为了解决此错误消息:除非出现流量中断,否则请忽略该错误消息.
q如果出现流量中断,请替换模块.
q错误消息:Commandrejected:deletecryptoconnectionbetweenVLANXXXXandXXXX,first.
问题当您尝试将允许的VLAN添加到交换机上的中继端口时,会显示以下错误消息:Commandrejected:VLANXXXXVLANXXXX.
无法修改WAN边缘中继以允许附加VLAN.
换言之,您无法在IPSECVPNSPA主干中添加VLAN.
此命令被拒绝,因为如果允许此命令,将导致加密连接接口VLAN归属于接口的允许VLAN列表,从而造成潜在的IPSec安全漏洞.
请注意,此行为适用于所有中继端口.
解决方案不应该使用noswitchporttrunkallowedvlan(vlanlist)switchporttrunkallowedvlannone"switchporttrunkallowedvlanremove(vlanlist)"错误消息-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:丢弃数据包—会话x.
x.
x.
x:27331到x.
x.
x.
x:23[发起方(标志0,因子0)响应方(标志1,因子2)]的"窗口缩放"选项无效问题当您尝试从VPN隧道远端的设备远程登录时,或者当您尝试从路由器本身远程登录时,会出现此错误:-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:—x.
x.
x.
x:27331x.
x.
x.
x:23[0012]""解决方案根据需要,用户许可证可以包括50、100或无限用户数.
添加窗口缩放功能以允许在长肥网络(LFN)中快速传输数据.
这些典型连接具有非常高的带宽,同时具有高延迟.
卫星连接网络是LFN的一个示例,因为卫星链路始终具有高传播延迟,但通常具有高带宽.
要启用窗口扩展以支持LFN,TCP窗口大小必须大于65,535.
通过将TCP窗口大小增加到65,535以上,可以解决此错误消息.
%ASA-5-305013:匹配正向和反向的非对称NAT规则.
请更新此问题流问题VPN隧道启动后,会显示以下错误消息:%ASA-5-305013NAT解决方案为了解决此问题,当与使用NAT的主机不在同一个接口上时,请使用映射地址而不是实际地址来连接到主机.
此外,如果应用嵌入IP地址,请启用inspect命令.
%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type问题如果VPN隧道未能启动,会显示以下错误消息:%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type解决方案由于错误配置(即,当对等体上的策略或ACL未配置为相同时)而导致出现此消息.
策略和ACL匹配后,隧道会启动,不出现任何问题.
%ASA-5-720012:(VPN辅助)无法更新备用设备(或)%ASA-6-720012上的IPSec故障切换运行时数据:(VPN单元)无法在备用单元上更新IPsec故障切换运行时数据问题当您尝试升级思科自适应安全设备(ASA)时,会显示以下错误消息之一:%ASA-5-720012VPNIPSec%ASA-6-720012VPNIPsec解决方案这些错误消息是信息性错误.
这些消息不影响ASA或VPN的功能.
当由于备用装置上的对应IPsec隧道已删除,而导致VPN故障切换子系统无法更新与IPsec相关的运行时数据时,会显示这些消息.
为了解决这些问题,请在活动装置上发出wrstandby命令.
这两个漏洞已归档以纠正此行为,并升级到已修复这些漏洞的ASA软件版本.
有关详细信息,请参阅CiscoBugIDCSCtj58420(仅限注册用户)和CSCtn56517(仅限注册用户).
错误:-%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0问题%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0错误消息显示且隧道未能启动.
解决方案当未为L2L隧道配置IKE对等地址时,会显示此消息.
可通过更改加密映射的序列号,然后删除并重新应用加密映射来解决此错误.
Error:%ASA-3-752006:TunnelManagerfailedtodispatchaKEY_ACQUIREmessage.
问题"%ASA-3-752006:KEY_ACQUIRE"错误消息记录到CiscoASA.
解决方案此错误消息由于加密映射或隧道组的错误配置而造成.
确保两者均正确配置.
有关此错误消息的详细信息,请参阅错误752006.
以下是一些纠正措施:删除加密ACL(例如,关联到动态映射).
q删除未使用的IKEv2相关配置(如有).
q验证加密ACL是否正确匹配.
q删除重复的访问列表条目(如有).
qError:%ASA-4-402116:IPSEC:ReceivedanESPpacket(SPI=0x99554D4E,sequencenumber=0x9E)fromXX.
XX.
XX.
XX(user=XX.
XX.
XX.
XX)toYY.
YY.
YY.
YY在LAN到LANVPN隧道设置中,在ASA的一端会收到以下错误消息:SA10.
32.
77.
6710.
105.
30.
1icmpSA10.
32.
77.
67/255.
255.
255.
255/ip/0remote_proxy10.
105.
42.
192/255.
255.
255.
224/ip/0解决方案您需要验证在VPN隧道的两端定义的相关流量访问列表.
两者都应作为准确的镜像匹配.
由于错误0xffffffff而未能启动64位VA安装程序以启用虚拟适配器问题当AnyConnect未能连接时,会收到Failedtolaunch64-bitVAinstallertoenablethevirtualadapterduetoerror0xffffffff解决方案要解决此问题,请执行以下步骤:转至System>InternetCommunicationManagement>InternetCommunication设置并确保已禁用TurnOffAutomaticRootCertificatesUpdate.
1.
如果已禁用,则请禁用已分配到受影响机器的GPO的整个管理模板部分,然后再次测试.
2.
有关详细信息,请参阅关闭自动根证书更新(TurnoffAutomaticRootCertificatesUpdate).
Error5:此连接条目不存在主机名.
UnabletomakeVPNconnection.
问题在新PC安装时,会收到Error5:UnabletomakeVPNconnection错误消息.
解决方案此问题归于CiscoBugIDCSCso94244(仅限注册用户).
有关详细信息,请参阅此Bug.
在Windows7中CiscoVPNClient无法与数据卡一起使用问题在Windows7中CiscoVPNClient无法与数据卡一起使用.
解决方案安装在Windows7上的CiscoVPNClient无法与3G连接一起使用,因为在Windows7中安装的CiscoVPNClient上不支持数据卡.
警告消息:"VPNfunctionalitymaynotworkatall"问题当尝试在ASA的外部接口上启用isakmp时,会收到以下警告消息:ASA(config)#cryptoisakmpenableoutsideWARNING,systemisrunninglowonmemory.
Performancemaystarttodegrade.
VPNfunctionalitymaynotworkatall.
此时,通过ssh访问ASA.
HTTPS停止,且其他SSL客户端也受影响.
解决方案此问题归结于不同模块(例如,记录器和加密)的内存要求不同.
确保您未执行loggingqueue0命令.
它将队列大小设置为8192且内存分配暴涨.
在ASA5505和ASA5510等平台中,这种内存分配容易让其他模块(IKE等)没有内存可用.
我们已记录CiscoBugIDCSCtb58989(仅限注册用户)以解决类似的行为.
为了解决此问题,请将记录队列配置为较小的值,例如512.
IPSec填充错误问题会收到以下错误消息:%PIX|ASA-3-402130:CRYPTO:ReceivedanESPpacket(SPI=0xXXXXXXX,sequencenumber=0xXXXX)fromx.
x.
x.
x(user=user)toy.
y.
y.
ywithincorrectIPsecpadding解决方案因为IPSecVPN在不用散列算法的情况下协商,所以会出现此问题.
数据包散列可确保ESP通道的完整性检查.
因此,在没有散列的情况下,CiscoASA会在未经检测的情况下接受畸形数据包,并且它会尝试为这些数据包解码.
但是,由于这些数据包是畸形的,ASA在为数据包解码时会查找缺陷.
这样会导致出现填充错误消息.
建议在VPN的转换集中包括散列算法并确保尽量减少对等体之间链路的畸形数据包.
远程站点电话上的停播延迟时间问题在远程站点电话上遇到停播延迟时间.
如何解决这一问题解决方案禁用skinny和sip检查以解决此问题:asa(config)#noinspectsipasa(config)#noinspectskinnyVPN隧道在每18个小时之后断开问题即使生存时间设置为18小时,VPN隧道也会在每24个小时之后断开.
解决方案生存时间是SA可以用于密钥更新的最大时间.
您在配置中输入作为生存时间的值不同于SA的密钥更新时间.
因此,必须在当前SA到期之前协商一个新的SA(或在IPsec情况下为SA对).
密钥更新时间必须始终短于生存时间,以便在第一次密钥更新尝试失败的情况下允许多次尝试.
RFC未指定如何计算密钥更新时间.
这留给实施者自行裁量.
因此,如果所用的平台和软件版本等不同,时间也会不同.
有些实施可使用随机因子来计算密钥更新计时器.
例如,如果ASA发起隧道,则正常情况下,它将在64800秒重新键入,即为86400的75%.
如果路由器发起,则ASA可以等待更长时间,以给对等体更多时间来启动重新键.
因此,正常来说,VPN会话会每18个小时断开以使用另一个密钥进行VPN协商.
这样做时不得导致任何VPN丢弃或问题.
LAN到LAN隧道重新协商之后无法维持通信流量问题LAN到LAN隧道重新协商之后无法维持通信流量.
解决方案ASA监控通过其中的每个连接,并依照应用检查功能在其状态表中维护一个条目.
通过VPN的加密流量细节以安全关联(SA)数据库的形式进行维护.
对于LAN到LANVPN连接,它维护两种不同的通信流量.
一个是VPN网关之间的加密流量.
另一个是VPN网关背后的网络资源和另一端后面的终端用户之间的通信流量.
当VPN终止时,删除此特殊SA的流量详细信息.
但是,此TCP连接的ASA维护的状态表条目由于无活动而变得过时,进而妨碍下载.
这意味着在用户应用终止时,ASA将仍保留该特殊流量的TCP连接.
但是,TCP连接将丢失,并最终在TCP空闲计时器到期后超时.
通过引入被称为PersistentIPSecTunneledFlows的功能解决了此问题.
CiscoASA集成了一条新命令sysoptconnectionpreserve-vpn-flows,以便在VPN隧道重新协商时保留状态表信息.
默认情况下禁用该命令.
通过启用此命令,当L2LVPN从中断恢复并重新建立隧道时,CiscoASA将维护TCP状态表信息.
错误消息指示已达到加密功能的带宽问题2900系列路由器上会收到以下错误消息:Error:Mar2010:51:29:%CERM-4-TX_BW_LIMIT:securityk985000KbpsTx解决方案这是已知问题,它是由于美国政府签发严格的指南而导致.
根据这一点,securityk9许可证只允许负载加密的速率接近90Mbps且限制设备的已加密隧道数/TLS会话数.
有关加密导出限制的详细信息,请参阅思科ISRG2SEC和HSEC许可.
如果是思科设备,它派生出小于85Mbps的单向流量进出ISRG2路由器,双向总计为170Mbps.
此要求适用于思科1900、2900和3900ISRG2平台.
此命令可帮助您查看以下限制:Router#showplatformcerm-informationCryptoExportRestrictionsManager(CERM)Information:CERMfunctionality:ENABLEDResourceMaximumLimitAvailableTxBandwidth(inkbps)8500085000RxBandwidth(inkbps)8500085000Numberoftunnels225225NumberofTLSsessions10001000---Outputtruncated----已提交一个漏洞来纠正此行为.
有关详细信息,请参阅CiscoBugIDCSCtu24534(仅限注册用户).
为了避免此问题,您需要购买HSECK9许可证.
"hseck9"功能许可证提供增强的负载加密功能,增加VPN隧道计数和安全语音会话.
有关CiscoISR路由器许可证的详细信息,请参阅软件激活.
问题:虽然入站解密流量起作用,但IPsec隧道的出站加密流量可能会失效.
解决方案在多次密钥更新但未清除触发条件之后,会在IPsec连接上发现到此问题.
通过检查showaspdrop命令的输出并验证发出的每个出站数据包的到期VPN情景计数器是否增大,即可确定是否存在此问题.
有关详细信息,请参阅CiscoBugIDCSCtd36473(仅限注册用户).
其他AG_INIT_EXCH消息显示在"showcryptoisakmpsa"和"debug"命令输出中如果未启动隧道,AG_INIT_EXCH消息会出现在showcryptoisakmpsa命令的输出以及调试输出中.
原因可能是由于isakmp策略不匹配,或者路径上的端口udp500遭阻塞.
出现调试消息"ReceivedanIPCmessageduringinvalidstate"此消息是告知性消息,与VPN隧道的断开没有任何关系.
相关信息PIX/ASA7.
0问题:超出MSS-HTTP客户端无法浏览某些网站qPIX/ASA7.
x和IOS:VPN分段qCiscoASA5500系列安全设备qCiscoPIX500系列安全设备qIPsec协商/IKE协议qCiscoVPN3000系列集中器q技术支持和文档-CiscoSystemsq
Reason433"消息.
或"安全VPN连接由对等体原因终止433:(对等体未指定原因)"问题解决方案1解决方案2解决方案3解决方案4远程访问和EZVPN用户连接到VPN,但是无法访问外部资源问题解决方案无法访问DMZ中的服务器VPNClient无法解析DNS分割隧道—无法访问Internet或排除的网络发夹连接本地LAN访问专用网络重叠无法连接超过三个VPNClient用户问题解决方案配置同时登录数使用CLI配置ASA/PIX配置集中器建立隧道后无法启动会话或应用程序并且传输缓慢问题解决方案CiscoIOS路由器—更改路由器的外部接口(隧道末端接口)中的MSS值PIX/ASA7.
X—请参阅PIX/ASA文档无法从ASA/PIX启动VPN隧道问题解决方案无法通过VPN隧道传递流量问题解决方案为同一个加密映射上的VPN隧道配置备用对等体问题解决方案禁用/重新启动VPN隧道问题解决方案一些隧道未加密问题解决方案错误:-%ASA-5-713904:Group=DefaultRAGroup,IP=x.
x.
x.
x,客户端使用不受支持的事务模式v2版本.
隧道终止.
问题解决方案错误:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)问题解决方案Error:Theauthentication-server-groupnonecommandhasbeendeprecated问题解决方案当在VPN隧道一端启用QoS时出现错误消息问题解决方案警告:cryptomapentrywillbeincomplete问题解决方案错误:-%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside问题解决方案错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
问题解决方案错误消息-%PIX|ASA-4-407001:拒绝本地主机接口名称的流量:inside_address,超出许可证数量限制问题解决方案错误消息-%VPN_HW-4-PACKET_ERROR:问题解决方案错误消息:Commandrejected:deletecryptoconnectionbetweenVLANXXXXandXXXX,first.
问题解决方案错误消息-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:丢弃数据包—会话x.
x.
x.
x:27331到x.
x.
x.
x:23[发起方(标志0,因子0)响应方(标志1,因子2)]的"窗口缩放"选项无效问题解决方案%ASA-5-305013:匹配正向和反向的非对称NAT规则.
请更新此问题流问题解决方案%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type问题解决方案%ASA-5-720012:(VPN辅助)无法更新备用设备(或)%ASA-6-720012上的IPSec故障切换运行时数据:(VPN单元)无法在备用单元上更新IPsec故障切换运行时数据问题解决方案错误:-%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0问题解决方案Error:%ASA-3-752006:TunnelManagerfailedtodispatchaKEY_ACQUIREmessage.
问题解决方案Error:%ASA-4-402116:IPSEC:ReceivedanESPpacket(SPI=0x99554D4E,sequencenumber=0x9E)fromXX.
XX.
XX.
XX(user=XX.
XX.
XX.
XX)toYY.
YY.
YY.
YY解决方案由于错误0xffffffff而未能启动64位VA安装程序以启用虚拟适配器问题解决方案Error5:此连接条目不存在主机名.
UnabletomakeVPNconnection.
问题解决方案在Windows7中CiscoVPNClient无法与数据卡一起使用问题解决方案警告消息:"VPNfunctionalitymaynotworkatall"问题解决方案IPSec填充错误问题解决方案远程站点电话上的停播延迟时间问题解决方案VPN隧道在每18个小时之后断开问题解决方案LAN到LAN隧道重新协商之后无法维持通信流量问题解决方案错误消息指示已达到加密功能的带宽问题解决方案问题:虽然入站解密流量起作用,但IPsec隧道的出站加密流量可能会失效.
解决方案其他AG_INIT_EXCH消息显示在"showcryptoisakmpsa"和"debug"命令输出中出现调试消息"ReceivedanIPCmessageduringinvalidstate"相关信息简介本文档包含IPSecVPN问题的最常见解决方案.
这些解决方案直接来自Cisco技术支持已解决的服务请求.
其中许多解决方案可以在对IPSecVPN连接进行深入故障排除之前实施.
因此,在您开始排除连接故障和致电思科技术支持之前,本文档可为您提供通用程序的检查表进行尝试.
如果需要站点到站点VPN和远程访问VPN的配置示例文档,请参阅配置示例和技术说明的远程访问VPN、使用PIX的站点到站点VPN(L2L)、使用IOS的站点到站点VPN(L2L)注意:尽管本文档中的配置示例用于路由器和安全设备,但几乎所有这些概念也适用于VPN3000集中器.
注:请参阅IP安全故障排除—了解和使用debug命令,以解释用于对CiscoIOS软件和PIX上的IPsec问题进行故障排除的常用debug命令.
注意:ASA/PIX不会通过IPsecVPN隧道传递组播流量.
注意:您可以使用命令查找工具(仅限注册客户)查找本文档中使用的命令.
警告:本文档中介绍的许多解决方案都可能导致设备上所有IPsecVPN连接暂时中断.
建议根据更改控制策略小心实施这些解决方案.
先决条件要求思科建议您了解以下思科设备上的IPsecVPN配置:CiscoPIX500系列安全设备qCiscoPIX5500系列安全设备qCiscoIOS路由器qCiscoVPN3000系列集中器(可选)q使用的组件本文档中的信息基于以下软件和硬件版本:CiscoPIX5500系列安全设备qCiscoPIX500系列安全设备qCiscoIOSq本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
IPsecVPN配置不起作用问题最近配置或修改的IPSecVPN解决方案不起作用.
当前IPSecVPN配置不再起作用.
解决方案本部分包含最常见IPSecVPN问题的解决方案.
虽然这些解决方案未以任何特定顺序列出,但在您进行深入故障排除以及致电TAC之前,可以将它们用作验证或尝试的项目清单.
所有这些解决方案都直接来自TAC服务请求,并且已解决众多的用户问题.
启用NAT穿透(RAVPN问题1)q正确测试连接q启用ISAKMPq启用/禁用PFSq清除旧的或现有的安全关联(隧道)q验证ISAKMP生存时间q启用或禁用ISAKMPKeepaliveq重新输入或恢复预共享密钥q预共享密钥不匹配q删除并重新应用加密映射q验证sysopt命令是否存在(仅限PIX/ASA)q验证ISAKMP身份q验证空闲/会话是否超时q验证ACL是否正确且绑定到加密映射q验证ISAKMP策略q验证路由是否正确q验证转换集是否正确q验证加密映射序列号和名称q验证对等体IP地址是否正确q验证隧道组和组名称q禁用L2L对等体的XAUTHqVPN池耗尽qVPNClient流量的延迟问题q注意:由于空间考虑,这些部分中的某些命令已降到第二行.
启用NAT穿透(RAVPN问题1)通过NAT穿透(NAT-T),VPN流量可以通过NAT或PAT设备,例如LinksysSOHO路由器.
如果未启用NAT-T,通常VPNClient用户似乎可以连接到PIX或ASA而不会出现问题,但是他们无法访问安全设备之后的内部网络.
如果您未在NAT/PAT设备中启用NAT-T,则会在PIX/ASA中收到错误消息regulartranslationcreationfailedforprotocol50srcinside:10.
0.
1.
26dstoutside:10.
9.
69.
4同样,如果无法从同一IP地址同时登录,则会显示SecureVPNconnectionterminatedlocallybyclient.
Reason412:Theremotepeerisnolongerresponding错误消息.
在前端VPN设备中启用NAT-T,以解决此错误.
注意:在CiscoIOS软件版本12.
2(13)T及更高版本中,NAT-T在CiscoIOS中默认启用.
以下是用于在Cisco安全设备上启用NAT-T的命令.
以下示例中的20是keepalive时间(默认值).
PIX/ASA7.
1及更低版本pix(config)#isakmpnat-traversal20PIX/ASA7.
2(1)及更高版本securityappliance(config)#cryptoisakmpnat-traversal20要使命令正常工作,还需要修改客户端.
在CiscoVPNClient中,选择ConnectionEntries并单击Modify.
此时将打开一个新窗口,您必须在其中选择Transport选项卡.
在该选项卡下,选中EnableTransparentTunneling和IPSecoverUDP(NAT/PAT)单选按钮.
然后,单击Save并测试连接.
注意:此命令对PIX6.
x和PIX/ASA7.
x都相同.
注意:通过配置ACL允许NAT-T、UDP500和ESP端口的UDP4500非常重要,因为PIX/ASA充当NAT设备.
要了解有关PIX/ASA中ACL配置的详细信息,请参阅配置一条通过防火墙(执行NAT)的IPSec隧道.
VPN集中器选择Configuration>TunnelingandSecurity>IPSEC>NATTransparency>Enable:IPsecoverNAT-T以在VPN集中器上启用NAT-T.
注意:NAT-T也让多个VPNClient可通过PAT设备同时连接到任意前端,而不管它是PIX、路由器还是集中器.
正确测试连接VPN连接最好通过执行加密的端点设备之后的设备进行测试,然而许多用户在执行加密的设备上使用ping命令测试VPN连接.
虽然ping通常可实现此目的,但使ping命令源自正确的接口非常重要.
如果ping的来源不正确,则VPN连接可能表现为已发生故障,但实际上它仍在正常工作.
以下述方案为例:路由器A加密ACLaccess-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255路由器B加密ACLaccess-list110permitip192.
168.
200.
00.
0.
0.
255192.
168.
100.
00.
0.
0.
255在此情况下,ping必须来源于任一个路由器之后的"内部"网络.
这是因为加密ACL仅配置为加密具有那些源地址的流量.
源自任一路由器的面向Internet接口的ping不会进行加密.
在特权EXEC模式下使用ping命令的扩展选项,可以使ping源自路由器的"内部"接口:routerA#pingProtocol[ip]:TargetIPaddress:192.
168.
200.
10Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddressorinterface:192.
168.
100.
1Typeofservice[0]:SetDFbitinIPheader[no]:Validatereplydata[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.
168.
200.
1,timeoutis2seconds:Packetsentwithasourceaddressof192.
168.
100.
1!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=/4ms假设该图中的路由器已替换为PIX或ASA安全设备.
用于测试连接的ping也可以源自具有inside关键字的内部接口:securityappliance#pinginside192.
168.
200.
10Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.
168.
200.
10,timeoutis2seconds:!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms注意:不建议您使用ping来锁定安全设备的内部接口.
如果必须使用ping来定位内部接口,则必须在该接口上启用management-access,否则设备不会应答.
securityappliance(config)#management-accessinside注意:当连接出现问题时,即使VPN的第1阶段也不会启动.
在ASA上,如果连接失败,SA输出与此示例类似,它可能会指示不正确的加密对等体配置和/或不正确ISAKMP提议配置:Router#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_WAIT_MSG2注:状态可能从MM_WAIT_MSG2到MM_WAIT_MSG5,这表示主模式(MM)中相关状态交换失败.
注意:当第1阶段为up时,加密SA输出与以下示例类似:Router#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_ACTIVE启用ISAKMP如果根本没有任何迹象表明IPSecVPN隧道已启动,则可能是由于尚未启用ISAKMP.
请确保已在设备上启用了ISAKMP.
使用以下命令之一可在您的设备上启用ISAKMP:CiscoIOSrouter(config)#cryptoisakmpenableqCiscoPIX7.
1及更低版本(使用所需接口替换outside)pix(config)#isakmpenableoutsideqCiscoPIX/ASA7.
2(1)及更高版本(使用所需接口替换outside)securityappliance(config)#cryptoisakmpenableoutsideq在外部接口上启用ISAKMP时,也可能会出现以下错误:UDP:ERROR-socket62465inusedERROR:IkeReceiverInit,unabletobindtoport该错误的原因可能是,可以在该接口上启用isakmp之前,ASA/PIS之后的客户端通过PAT转换到udp端口500.
删除PAT转换(clearxlate)之后,就可以启用isakmp.
注意:请务必确保UDP500和4500端口号保留用于与对等体协商ISAKMP连接.
注意:当接口上未启用ISAKMP时,VPN客户端显示一条类似于以下消息的错误消息:SecureVPNconnectionterminatedlocallybyclient.
Reason412:Theremotepeerisnolongerresponding注意:要解决此错误,请在VPN网关的加密接口上启用ISAKMP.
启用/禁用PFS在IPsec协商中,完全转发保密(PFS)可确保每个新的加密密钥与任何先前密钥不相关.
在两个隧道对等体上启用或禁用PFS;否则,在PIX/ASA/IOS路由器中不会建立LAN到LAN(L2L)IPSec隧道.
PIX/ASA:默认情况下PFS处于禁用状态.
要启用PFS,请在组策略配置模式下使用pfs命令并指定enable关键字.
要禁用PFS,请输入disable关键字.
hostname(config-group-policy)#pfs{enable|disable}要从正在运行的配置中删除PFS属性,请输入此命令的no形式.
一个组策略可以从另一个组策略继承PFS的值.
请输入此命令的no形式,以防止继承值.
hostname(config-group-policy)#nopfsIOS路由器:要指定在此加密映射条目请求新的安全关联时IPsec必须要求PFS,或者IPsec在接收新安全关联的请求时需要PFS,请在加密映射配置模式下使用setpfs命令.
要指定IPsec不可以请求PFS,请使用此命令的no形式.
默认情况下,不会请求PFS.
如果使用此命令时未指定任何组,则group1会用作默认值.
setpfs[group1|group2]nosetpfs对于setpfs命令:group1—指定在执行新的Diffie-Hellman交换时,IPsec必须使用768位Diffie-Hellman主模数组.
qgroup2—指定在执行新的Diffie-Hellman交换时,IPsec必须使用1024位Diffie-Hellman主模组.
q示例:Router(config)#cryptomapmap10ipsec-isakmpRouter(config-crypto-map)#setpfsgroup2注意:完全转发保密(PFS)是Cisco专有技术,在第三方设备上不支持.
清除旧的或现有的安全关联(隧道)如果IOS路由器中出现以下错误消息,则导致该问题的原因是SA已过期或已被清除.
远程隧道终端设备不知道它使用了已过期的SA来发送数据包(并非SA建立数据包).
建立新的SA后,通信将恢复,因此请启动隧道间的相关流量来创建新的SA并重新建立隧道.
%CRYPTO-4-IKMP_NO_SA:IKEmessagefromx.
x.
x.
xhasnoSA如果您清除ISAKMP(阶段I)和IPsec(阶段II)安全关联(SA),这是解决IPsecVPN问题的最简单而且通常也是最佳的解决方案.
如果清除SA,通常可以解决各种错误消息和奇怪行为问题,而无需进行故障排除.
虽然此方法可以在任何情况下轻松使用,但是在更改当前IPSecVPN配置或对其进行添加之后,几乎都需要清除SA.
而且,虽然可以仅清除特定的安全关联,但是在设备上全局清除SA时好处最多.
注意:一旦清除了安全关联,就有必要通过隧道发送流量以重新建立它们.
警告:除非指定要清除的安全关联,否则此处列出的命令可以清除设备上的所有安全关联.
如果其他IPSecVPN隧道处于使用中,请小心执行操作.
在清除安全关联之前,请查看它们CiscoIOSrouter#showcryptoisakmpsarouter#showcryptoipsecsaCiscoPIX/ASA安全设备securityappliance#showcryptoisakmpsasecurityappliance#showcryptoipsecsa1.
注意:CiscoPIX6.
x和PIX/ASA7.
x的这些命令相同清除安全关联.
可以如粗体所示输入每个命令或同时输入与命令一起显示的选项.
CiscoIOSISAKMP(阶段I)router#clearcryptoisakmpconnectionidofSAIPsec(阶段II)router#clearcryptosacountersResettheSAcountersmapClearallSAsforagivencryptomappeerClearallSAsforagivencryptopeerspiClearSAbySPICiscoPIX/ASA安全设备ISAKMP(阶段I)securityappliance#clearcryptoisakmpsaIPsec(阶段II)securityappliance#clearcryptoipsecsacountersClearIPsecSAcountersentryClearIPsecSAsbyentrymapClearIPsecSAsbymappeerClearIPsecSAbypeer2.
验证ISAKMP生存时间如果用户在L2L隧道中频繁地断开连接,则问题可能是在ISAKMPSA中配置了较短的生存时间.
如果在ISAKMP的生存时间内出现任何差异,您会收到%PIX|ASA-5-713092:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Failureduringphase1rekeyingattemptduetocollision错误消息.
对于FWSM,您会收到%FWSM-5-713092:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Failureduringphase1rekeyingattemptduetocollision错误消息.
在两个对等体中配置相同的值,以解决该错误.
默认值为86,400秒(24小时).
通常,较短的生存时间可提供更安全的ISAKMP协商(在某种程度上),但是,由于生存时间较短,安全设备建立未来的IPSecSA也更快.
当来自两个对等体的两个策略包含相同的加密、散列、身份验证和Diffie-Hellman参数值,并且远程对等体的策略指定的生存时间小于或等于对比策略中的生存时间时,即视为策略匹配.
如果生存时间不同,将使用较短的生存时间(来自远程对等体的策略).
如果找不到可接受的匹配,IKE将拒绝协商,并且无法建立IKESA.
指定SA生存时间.
以下示例设置的生存时间为4小时(14400秒).
默认值为86400秒(24小时).
PIX/ASAhostname(config)#isakmppolicy2lifetime14400IOS路由器R2(config)#cryptoisakmppolicy10R2(config-isakmp)#lifetime86400如果超出配置的最大生存时间,在终止VPN连接时您会收到以下错误消息:SecureVPNConnectionterminatedlocallybytheClient.
Reason426:MaximumConfiguredLifetimeExceeded.
要解决该错误消息,请将lifetime值设置为0,以将IKE安全关联的生存时间设置为无限.
VPN将始终处于连接状态并且不会终止.
hostname(config)#isakmppolicy2lifetime0您也可以通过禁用组策略中的re-xauth来解决问题.
启用或禁用ISAKMPKeepalive如果配置ISAKMPKeepalive,则它有助于防止LAN到LAN或远程访问VPN偶尔被丢弃,这包括VPNClient、隧道和一段非活动时间之后丢弃的隧道.
此功能使隧道端点可以监控远程对等体的持续存在状态,以及向该对等体报告其自己的存在状态.
如果对等体没有响应,则端点会删除连接.
要使ISAKMPkeepalive起作用,两个VPN端点必须支持它们.
使用以下命令在CiscoIOS中配置ISAKMPkeepalive:router(config)#cryptoisakmpkeepalive15q使用以下命令,以在PIX/ASA安全设备上配置ISAKMPkeepalive:CiscoPIX6.
xpix(config)#isakmpkeepalive15CiscoPIX/ASA7.
x及更高版本(针对名为10.
165.
205.
222的隧道组)securityappliance(config)#tunnel-group10.
165.
205.
222ipsec-attributessecurityappliance(config-tunnel-ipsec)#isakmpkeepalivethreshold15retry10在某些情况下,必须禁用此功能以便解决问题,例如,如果VPNClient位于阻止DPD数据包的防火墙之后.
CiscoPIX/ASA7.
x及更高版本(针对名为10.
165.
205.
222的隧道组)禁用IKEkeepalive处理(默认情况下处于启用状态).
securityappliance(config)#tunnel-group10.
165.
205.
222ipsec-attributessecurityappliance(config-tunnel-ipsec)#isakmpkeepalivedisable禁用CiscoVPNClient4.
x的Keepalive在发生问题的客户端PC上,选择%SystemRoot%>ProgramFiles>CiscoSystems>VPNClient>Profiles,以禁用IKEkeepalive,并在适用的情况下编辑连接的PCF文件.
将ForceKeepAlives=0(默认值)更改为ForceKeepAlives=1.
q注意:Keepalive是思科专有协议,不受第三方设备支持.
重新输入或恢复预共享密钥在许多情况下,IPSecVPN隧道不能启动的原因可能只是一个简单的输入错误.
例如,在安全设备上,预共享密钥在输入后即变为隐藏状态.
这种混淆使无法查看密钥是否不正确.
请确定您在每个VPN终端上正确输入了任何预共享密钥.
重新输入密钥以确保其正确;这是可以帮助避免深入排除故障的简单解决方案.
在远程访问VPN中,请检查CiscoVPNClient中是否输入了有效的组名称和预共享密钥.
如果VPNClient和前端设备之间的组名称/预共享密钥不匹配,可能就会出现以下错误.
112:41:51.
90002/18/06Sev=Warning/3IKE/0xE3000056ThereceivedHASHpayloadcannotbeverified212:41:51.
90002/18/06Sev=Warning/2IKE/0xE300007DHashverificationfailed314:37:50.
56210/05/06Sev=Warning/2IKE/0xE3000099Failedtoauthenticatepeer(Navigator:904)414:37:50.
59310/05/06Sev=Warning/2IKE/0xE30000A5UnexpectedSWerroroccurredwhileprocessingAggressiveModenegotiator:(Navigator:2202)514:44:15.
93710/05/06Sev=Warning/2IKE/0xA3000067ReceivedUnexpectedInitialContactNotify(PLMgrNotify:888)614:44:36.
57810/05/06Sev=Warning/3IKE/0xE3000056ThereceivedHASHpayloadcannotbeverified714:44:36.
59310/05/06Sev=Warning/2IKE/0xE300007DHashverificationfailed.
.
.
maybeconfiguredwithinvalidgrouppassword.
814:44:36.
60910/05/06Sev=Warning/2IKE/0xE3000099Failedtoauthenticatepeer(Navigator:904)914:44:36.
64010/05/06Sev=Warning/2IKE/0xE30000A5UnexpectedSWerroroccurredwhileprocessingAggressiveModenegotiator:(Navigator:2202)您也可以恢复预共享密钥,而无需在PIX/ASA安全设备上进行任何配置更改.
请参阅PIX/ASA7.
x:预共享密钥恢复.
警告:如果删除与加密相关的命令,则可能会关闭一个或所有VPN隧道.
请小心使用以下命令,在按照这些步骤操作之前,请参阅您组织的更改控制策略.
使用以下命令,以删除和重新输入IOS中对等体10.
0.
0.
1或vpngroup组的预共享密钥secretkey:CiscoLAN到LANVPNrouter(config)#nocryptoisakmpkeysecretkeyaddress10.
0.
0.
1router(config)#cryptoisakmpkeysecretkeyaddress10.
0.
0.
1Cisco远程访问VPNrouter(config)#cryptoisakmpclientconfigurationgroupvpngrouprouter(config-isakmp-group)#nokeysecretkeyrouter(config-isakmp-group)#keysecretkeyq使用以下命令,以删除和重新输入PIX/ASA安全设备中对等体10.
0.
0.
1的预共享密钥secretkey:CiscoPIX6.
xpix(config)#noisakmpkeysecretkeyaddress10.
0.
0.
1pix(config)#isakmpkeysecretkeyaddress10.
0.
0.
1CiscoPIX/ASA7.
x及更高版本securityappliance(config)#tunnel-group10.
0.
0.
1ipsec-attributessecurityappliance(config-tunnel-ipsec)#nopre-shared-keysecurityappliance(config-tunnel-ipsec)#pre-shared-keysecretkeyq预共享密钥不匹配启动VPN隧道操作的连接断开.
发生此问题的原因可能是阶段I协商期间预共享密钥不匹配.
如以下示例所示,showcryptoisakmpsa命令中的MM_WAIT_MSG_6消息表示预共享密钥不匹配:ASA#showcryptoisakmpsaActiveSA:1RekeySA:0(Atunnelwillreport1Activeand1RekeySAduringrekey)TotalIKESA:11IKEPeer:10.
7.
13.
20Type:L2LRole:initiatorRekey:noState:MM_WAIT_MSG_6要解决此问题,请在两个设备上重新输入预共享密钥;预共享密钥必须唯一并且相匹配.
有关详细信息,请参阅重新输入或恢复预共享密钥.
删除并重新应用加密映射如果您清除安全关联,但未解决IPsecVPN问题,则请删除并重新应用相关加密映射,以便解决各种各样的问题,包括间歇性丢弃VPN隧道和一些VPN站点无法显示.
警告:如果从接口删除加密映射,则它肯定会关闭与该加密映射关联的所有IPsec隧道.
请小心按照以下步骤操作,在继续之前,请考虑您组织的更改控制策略.
使用以下命令,以删除和替换CiscoIOS中的加密映射:首先从接口中删除加密映射.
请使用cryptomap命令的no形式.
router(config-if)#nocryptomapmymap继续使用no形式,以删除整个加密映射.
router(config)#nocryptomapmymap10替换对等体10.
0.
0.
1的接口Ethernet0/0上的加密映射.
此示例显示所需的最低加密映射配置:router(config)#cryptomapmymap10ipsec-isakmprouter(config-crypto-map)#matchaddress101router(config-crypto-map)#settransform-setmySETrouter(config-crypto-map)#setpeer10.
0.
0.
1router(config-crypto-map)#exitrouter(config)#interfaceethernet0/0router(config-if)#cryptomapmymapq使用以下命令,以删除和替换PIX或ASA上的加密映射:首先从接口中删除加密映射.
请使用cryptomap命令的no形式.
securityappliance(config)#nocryptomapmymapinterfaceoutside继续使用no形式,以删除其他加密映射命令.
securityappliance(config)#nocryptomapmymap10matchaddress101securityappliance(config)#nocryptomapmymapsettransform-setmySETsecurityappliance(config)#nocryptomapmymapsetqpeer10.
0.
0.
1替换对等体10.
0.
0.
1的加密映射.
此示例显示所需的最低加密映射配置:securityappliance(config)#cryptomapmymap10ipsec-isakmpsecurityappliance(config)#cryptomapmymap10matchaddress101securityappliance(config)#cryptomapmymap10settransform-setmySETsecurityappliance(config)#cryptomapmymap10setpeer10.
0.
0.
1securityappliance(config)#cryptomapmymapinterfaceoutside注意:如果删除并重新应用加密映射,则如果头端的IP地址已更改,这也可解决连接问题.
验证sysopt命令是否存在(仅限PIX/ASA)sysoptconnectionpermit-ipsec和sysoptconnectionpermit-vpn命令允许来自IPsec隧道的数据包及其有效负载绕过安全设备上的接口ACL.
如果未启用其中的一个命令,则安全设备上终止的IPSec隧道可能会失败.
在安全设备软件版本7.
0及更低版本中,此情况的相关sysopt命令为sysoptconnectionpermit-ipsec.
在安全设备软件版本7.
1(1)及更高版本中,此情况的相关sysopt命令为sysoptconnectionpermit-vpn.
在PIX6.
x中,默认情况下此功能处于禁用状态.
使用PIX/ASA7.
0(1)及更高版本时,默认情况下此功能处于启用状态.
使用以下show命令可确定您的设备上是否已启用相关sysopt命令:CiscoPIX6.
xpix#showsysoptnosysoptconnectiontimewaitsysoptconnectiontcpmss1380sysoptconnectiontcpmssminimum0nosysoptnodnsaliasinboundnosysoptnodnsaliasoutboundnosysoptradiusignore-secretnosysoptuauthallow-http-cachenosysoptconnectionpermit-ipsec!
---sysoptconnectionpermit-ipsecisdisablednosysoptconnectionpermit-pptpnosysoptconnectionpermit-l2tpnosysoptipsecpl-compatibleqCiscoPIX/ASA7.
xsecurityappliance#showrunning-configallsysoptnosysoptconnectiontimewaitsysoptconnectiontcpmss1380sysoptconnectiontcpmssminimum0nosysoptnodnsaliasinboundnosysoptnodnsaliasoutboundnosysoptradiusignore-secretsysoptconnectionpermit-vpn!
---sysoptconnectionpermit-vpnisenabled!
---Thisdeviceisrunning7.
2(2)q使用以下命令可针对您的设备启用正确的sysopt命令:CiscoPIX6.
x和PIX/ASA7.
0pix(config)#sysoptconnectionpermit-ipsecqCiscoPIX/ASA7.
1(1)及更高版本securityappliance(config)#sysoptconnectionpermit-vpnq注:如果不想使用sysoptconnection命令,则必须在外部ACL中明确允许所需流量,即从源到目的地的相关流量,例如从远程设备的LAN到本地设备的LAN,以及从远程设备外部接口到本地设备外部接口的"UDP端口500".
验证ISAKMP身份如果IPsecVPN隧道在IKE协商时出现故障,则该故障可能归结于PIX或其对等体未能识别其对等体的身份.
当两个对等体使用IKE建立IPSec安全关联时,每个对等体会将其ISAKMP身份发送到远程对等体.
对等体发送的是其IP地址还是主机名,取决于每个对等体自身设置的ISAKMP身份.
默认情况下,PIX防火墙单元的ISAKMP身份设置为IP地址.
通常,请以相同的方式设置安全设备及其对等体的身份,以避免IKE协商失败.
要对发送至对等体的阶段2ID进行设置,请在全局配置模式下使用isakmpidentity命令cryptoisakmpidentityaddress!
---IftheRAorL2L(site-to-site)VPNtunnelsconnect!
---withpre-sharedkeyasauthenticationtype或者cryptoisakmpidentityauto!
---IftheRAorL2L(site-to-site)VPNtunnelsconnect!
---withISAKMPnegotiationbyconnectiontype;IPaddressfor!
---presharedkeyorcertDNforcertificateauthentication.
或者cryptoisakmpidentityhostname!
---Usesthefully-qualifieddomainnameof!
---thehostexchangingISAKMPidentityinformation(default).
!
---Thisnamecomprisesthehostnameandthedomainname.
在使用PIX/ASA配置迁移工具将配置从PIX移动到ASA之后,VPN隧道未能启动;日志中出现以下消息:[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,StalePeerTblEntryfound,removing!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,construct_ipsec_delete():NoSPItoidentifyPhase2SA!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
因为在默认情况下,PIX设置为将连接识别为hostname,而ASA识别为为了解决此问题,请在全局配置模式下使用cryptoisakmpidentity命令,如下所示:cryptoisakmpidentityhostname!
---Usethefully-qualifieddomainnameof!
---thehostexchangingISAKMPidentityinformation(default).
!
---Thisnamecomprisesthehostnameandthedomainname.
当您收到Receivedanun-encryptedINVALID_COOKIEcryptoisakmpidentityaddress命令以解决问题.
注意:从软件版本7.
2(1)中弃用了isakmpidentity命令.
有关详细信息,请参阅Cisco安全设备命令参考7.
2版.
验证空闲/会话是否超时如果空闲超时设置为30分钟(默认值),则意味着如果超过30分钟没有流量通过隧道,则将丢弃该隧道.
VPNClient将在30分钟后断开连接,而不管空闲超时的设置如何,并且将出现PEER_DELETE-IKE_DELETE_UNSPECIFIED将idletimeout和sessiontimeout配置为none,以便让隧道始终为up,并且让隧道即使在使用第三方设备时也不会被丢弃.
PIX/ASA7.
x及更高版本在组策略配置模式下或用户名配置模式下输入vpn-idle-timeout命令,以配置用户超时时长:hostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#vpn-idle-timeoutnone请在组策略配置模式下或用户名配置模式下,使用vpn-session-timeout命令为VPN连接配置最大时长.
hostname(config)#group-policyDfltGrpPolicyattributeshostname(config-group-policy)#vpn-session-timeoutnone注:当您配置了tunnel-all时,您无需配置idle-timeout,因为即使配置了VPN空闲超时,它也不会工作,因为所有流量都通过隧道(因为已配置tunnel-all).
因此,相关流量(或甚至是PC生成的流量)将引人关注且不会让Idle-timeout产生作用.
CiscoIOS路由器在全局配置模式下或加密映射配置模式下,使用cryptoipsecsecurity-associationidle-time命令以配置IPsecSA空闲计时器.
默认情况下,IPsecSA空闲计时器处于禁用状态.
cryptoipsecsecurity-associationidle-timeseconds时间单位为seconds,即空闲计时器允许非活动对等体维持SA的时间.
seconds参数的有效值范围是60到86400.
验证ACL是否正确且是否绑定到加密映射典型的IPSecVPN配置中会使用两个访问列表.
一个访问列表用于免除从NAT进程发送至VPN隧道的流量.
另一个访问列表用于定义要加密的流量;其中包括LAN到LAN设置中的加密ACL或远程访问配置中的分割隧道ACL.
如果这些ACL未配置或配置不正确,则流量在VPN隧道中可能只会向一个方向流动,或者根本不通过该隧道发送.
注意:确保在全局配置模式下使用cryptomapmatchaddress命令,将加密ACL与加密映射绑定在一起.
请确保已配置了完成IPSecVPN配置所需的所有访问列表,且这些访问列表定义了正确的流量.
此列表包含在您怀疑ACL是导致IPSecVPN出现问题的原因时要检查的简单项目.
确保NAT免除和加密ACL指定正确的流量.
q如果有多个VPN隧道和多个加密ACL,请确保这些ACL不会重叠.
注意:在VPN集中器上,您可能会看到类似以下的日志:TunnelRejected:IKEpeerdoesnotmatchremotepeerasdefinedinL2Lpolicy为了避免出现此消息以及为了启动隧道,请确保加密ACL不重叠,且任何其他已配置VPN隧道未使用相同的相关流量.
q请勿重复使用ACL.
即使NAT免除ACL和加密ACL指定的是相同流量,也请使用两个不同的访问列表.
q对于远程访问配置,请勿对具有动态加密映射的相关流量使用访问列表.
这会导致VPNClient无法连接到前端设备.
如果为远程访问VPN配置的加密ACL不正确,将会收到%ASA-3-713042:IKEInitiatorunabletofindpolicy:Intf2错误消息.
注意:如果这是VPN站点到站点隧道,请确保将访问列表与对等体匹配.
它们必须在对等体上按相反顺序排列.
有关说明如何在CiscoVPNClient和PIX/ASA之间设置远程访问VPN连接的示例配置,请参阅PIX/ASA7.
x和CiscoVPNClient4.
x通过Windows2003IASRADIUS(针对ActiveDirectory)进行的身份验证配置示例.
q请确保您的设备已配置为使用NAT免除ACL.
在路由器上,这意味着您使用route-map命令.
在PIX或ASA上,这意味着您使用nat(0)命令.
LAN到LAN配置和远程访问配置都需要使用NAT免除ACL.
此处,IOS路由器配置为免除来自NAT在192.
168.
100.
0/24和192.
168.
200.
0/24或192.
168.
1.
0/24之间发送的流量.
发送至其他任何位置的流量受NAT过载影响:access-list110denyip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255access-list110denyip192.
168.
100.
00.
0.
0.
255192.
168.
1.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255anyroute-mapnonatpermit10matchipaddress110ipnatinsidesourceroute-mapnonatinterfaceFastEthernet0/0overload此处,PIX配置为免除来自NAT在192.
168.
100.
0/24和192.
168.
200.
0/24或192.
168.
1.
0/24之间发送的流量.
例如,所有其他流量都受NAT过载影响:access-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0access-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0nat(inside)0access-listnoNATnat(inside)10.
0.
0.
00.
0.
0.
0global(outside)1interface注意:NAT免除ACL仅与IP地址或IP网络配合使用,例如上述示例(access-listnoNAT),并且必须与加密映射ACL相同.
NAT免除ACL不适用于端口号(例如,23、25等等).
注意:在VOIP环境中,网络之间的语音呼叫通过VPN进行通信,如果NAT0ACL配置不正确,则语音呼叫将不起作用.
在执行深入VOIP故障排除之前,建议检查VPN连接状态,因为可能是NAT免除ACL错误配置引起的问题.
注意:如果NAT免除(nat0)ACL中配置错误,您会收到错误消息,如图所示.
%PIX-3-305005:Notranslationgroupfoundforicmpsrcoutside:192.
168.
100.
41dstinside:192.
168.
200.
253(type8,code0)%ASA-3-305005:NotranslationgroupfoundforudpsrcOutside:x.
x.
x.
x/pdstInside:y.
y.
y.
y/p注意:不正确示例:qaccess-listnoNATextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0eq25如果NAT免除(nat0)不起作用,请尝试将其删除并发出NAT0命令以使其正常工作.
请确保您的ACL不是落后的,并且类型正确.
必须从配置ACL的设备的角度编写LAN到LAN配置的加密ACL和NAT免除ACL.
这意味着ACL必须彼此镜像.
在以下示例中,在192.
168.
100.
0/24和192.
168.
200.
0/24之间建立了LAN到LAN隧道.
路由器A加密ACLaccess-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255路由器B加密ACLaccess-list110permitip192.
168.
200.
00.
0.
0.
255192.
168.
100.
00.
0.
0.
255注意:虽然此处未说明,但PIX和ASA安全设备也使用这一概念.
在PIX/ASA中,远程访问配置的分割隧道ACL必须是允许流量流入VPNClient需要访问的网络的标准访问列表.
IOS路由器可使用分割隧道的扩展ACL.
注意:在扩展访问列表中,在分割隧道ACL中的源位置使用"any"类似于禁用分割隧道.
请在分割隧道的扩展ACL中仅使用源网络.
注意:正确示例:access-list140permitip10.
1.
0.
00.
0.
255.
25510.
18.
0.
00.
0.
255.
255注意:不正确示例:access-list140permitipany10.
18.
0.
00.
0.
255.
255CiscoIOSrouter(config)#access-list10permitip192.
168.
100.
0router(config)#cryptoisakmpclientconfigurationgroupMYGROUProuter(config-isakmp-group)#acl10CiscoPIX6.
xpix(config)#access-list10permit192.
168.
100.
0255.
255.
255.
0pix(config)#vpngroupMYGROUPsplit-tunnel10CiscoPIX/ASA7.
xsecurityappliance(config)#access-list10standardpermit192.
168.
100.
0255.
255.
255.
0securityappliance(config)#group-policyMYPOLICYinternalsecurityappliance(config)#group-policyMYPOLICYattributessecurityappliance(config-group-policy)#split-tunnel-policytunnelspecifiedsecurityappliance(config-group-policy)#split-tunnel-network-listvalue10q如果在ASA上错误配置或未配置NONATACL,则在ASA8.
3中会出现以下错误:%ASA-5-305013NATudpsrcoutsidex.
x.
x.
x/xxxxxdstinside:x.
x.
x.
x/xxNAT为了解决此问题,请验证配置是否正确,如果设置不正确,请重新配置.
站点到站点VPN隧道的ASA版本8.
3中的NAT免除配置:HOASA和BOASA之间必须使用版本8.
3建立站点到站点VPN,ASA和BOASA都使用版本8.
3.
HOASA上的NAT免除配置如下所示:objectnetworkobj-localsubnet192.
168.
100.
0255.
255.
255.
0objectnetworkobj-remotesubnet192.
168.
200.
0255.
255.
255.
0nat(inside,outside)1sourcestaticobj-localobj-localdestinationstaticobj-remoteobjremote验证ISAKMP策略如果IPSec隧道未启动,请检查ISAKMP策略是否与远程对等体匹配.
此ISAKMP策略适用于站点到站点(L2L)和远程访问IPSecVPN.
如果CiscoVPNClient或站点到站点VPN无法与远程端设备建立隧道,请检查两个对等体是否包含相同的加密、散列、身份验证和Diffie-Hellman参数值,并检查远程对等体策略何时指定了生存时间小于或等于发起方发送的策略中的生存时间.
如果生存时间不相同,则安全设备会使用较短的生存时间.
如果不存在可接受的匹配,则ISAKMP将拒绝协商,并且无法建立SA.
"Error:UnabletoremovePeerTblEntry,Removingpeerfrompeertablefailed,nomatch!
"以下是详细日志消息:4|Mar24201010:21:50|713903:IP=X.
X.
X.
X,Error:UnabletoremovePeerTblEntry3|Mar24201010:21:50|713902:IP=X.
X.
X.
X,Removingpeerfrompeertablefailed,nomatch!
3|Mar24201010:21:50|713048:IP=X.
X.
X.
X,Errorprocessingpayload:PayloadID:14|Mar24201010:21:49|713903:IP=X.
X.
X.
X,InformationExchangeprocessingfailed5|Mar24201010:21:49|713904:IP=X.
X.
X.
X,Receivedanun-encryptedNO_PROPOSAL_CHOSENnotifymessage,dropping通常,由于ISAKMP策略不匹配或缺少NAT0语句就会出现此消息.
此外,系统还会显示以下消息:ErrorMessage%PIX|ASA-6-713219:QueueingKEY-ACQUIREmessagestobeprocessedwhenP1SAiscomplete.
此消息表明阶段2消息在阶段1完成后正在排队.
此错误消息可能是由以下原因之一造成的:任何对等体上的阶段不匹配qACL正在阻止对等体完成阶段1q此消息通常紧跟Removingpeerfrompeertablefailed,nomatch!
错误消息.
如果CiscoVPNClient无法连接前端设备,则问题可能是ISAKMP策略不匹配.
前端设备必须与CiscoVPNClient的其中一个IKE建议匹配.
注意:对于在PIX/ASA上使用的ISAKMP策略和IPsec转换集,CiscoVPN客户端不能将策略与DES和SHA结合使用.
如果您使用DES,则需要使用MD5散列算法,也可以使用其他组合,如3DES和SHA以及3DES和MD5.
验证路由是否正确路由几乎是每个IPSecVPN部署的关键部分.
请确保您的加密设备(如路由器和PIX或ASA安全设备)具有正确的路由信息,以便通过您的VPN隧道发送流量.
而且,如果您的网关设备之后存在其他路由器,请确保这些路由器了解如何到达隧道,并且了解另一端所使用的网络类型.
VPN部署中的路由的一个关键组件是反向路由注入(RRI).
RRI会在VPN网关的路由表中放置远程网络或VPNClient的动态条目.
这些路由对安装路由的设备以及网络中的其他设备非常有用,这是因为RRI安装的路由可以通过路由协议(如EIGRP或OSPF)进行再分配.
在LAN到LAN配置中,每个端点包含的路由所指向的网络应对流量进行加密,这一点非常重要.
在本例中,路由器A必须具有通往路由器B后面的网络的路由10.
89.
129.
2.
路由器B必须具有到192.
168.
100.
0/24的类似路由:确保每个路由器知道相应路由的第一种方法是为每个目标网络配置静态路由.
例如,路由器A可以配置如下路由语句:iproute0.
0.
0.
00.
0.
0.
0172.
22.
1.
1iproute192.
168.
200.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
210.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
220.
0255.
255.
255.
010.
89.
129.
2iproute192.
168.
230.
0255.
255.
255.
010.
89.
129.
2如果路由器A已替换为PIX或ASA,则配置看起来与以下内容相似:routeoutside0.
0.
0.
00.
0.
0.
0172.
22.
1.
1routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2routeoutside192.
168.
200.
0255.
255.
255.
010.
89.
129.
2如果每个端点之后存在大量网络,则静态路由的配置将变得难以维护.
建议您依照所述使用反向路由注入.
RRI会将加密ACL中列出的所有远程网络的路由放置在路由表中.
例如,路由器A的加密ACL和加密映射看起来与以下内容相似:access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
200.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255q192.
168.
210.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
220.
00.
0.
0.
255access-list110permitip192.
168.
100.
00.
0.
0.
255192.
168.
230.
00.
0.
0.
255cryptomapmyMAP10ipsec-isakmpsetpeer10.
89.
129.
2reverse-routesettransform-setmySETmatchaddress110如果路由器A已替换为PIX或ASA,则配置看起来与以下内容相似:access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
200.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
210.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
220.
0255.
255.
255.
0access-listcryptoACLextendedpermitip192.
168.
100.
0255.
255.
255.
0192.
168.
230.
0255.
255.
255.
0cryptomapmyMAP10matchaddresscryptoACLcryptomapmyMAP10setpeer10.
89.
129.
2cryptomapmyMAP10settransform-setmySETcryptomapmymap10setreverse-route在远程访问配置中,路由更改并非始终必要.
然而,如果在VPN网关路由器或安全设备之后存在其他路由器,这些路由器需要以某种方式识别出VPNClient的路径.
在以下示例中,假设VPNClient在连接时的给定地址在10.
0.
0.
0/24范围内.
如果网关和其他路由器之间当前没有使用任何路由协议,则路由器(如路由器2)上可以使用静态路由:iproute10.
0.
0.
0255.
255.
255.
0192.
168.
100.
1如果网关和其他路由器之间正在使用某种路由协议(EIGRP或OSPF),则建议依照所述使用反向路由注入.
RRI会自动将VPNClient的路由添加到网关的路由表中.
然后,这些路由可以分发到网络中的其他路由器.
CiscoIOS路由器:cryptodynamic-mapdynMAP10settransform-setmySETreverse-routecryptomapmyMAP60000ipsec-isakmpdynamicdynMAPCiscoPIX或ASA安全设备:cryptodynamic-mapdynMAP10settransform-setmySETcryptodynamic-mapdynMAP10setreverse-routecryptomapmyMAP60000ipsec-isakmpdynamicdynMAPq注意:如果为VPN客户端分配的IP地址池与头端设备的内部网络重叠,则会发生路由问题.
有关详细信息,请参阅专用网络重叠部分.
验证转换集是否正确确保两个端点上的转换集所要使用的IPsec加密和散列算法是相同的.
有关详细信息,请参阅Cisco安全设备配置指南的命令参考部分.
注意:对于在PIX/ASA上使用的ISAKMP策略和IPsec转换集,CiscoVPN客户端不能将策略与DES和SHA结合使用.
如果您使用DES,则需要使用MD5散列算法,也可以使用其他组合,如3DES和SHA以及3DES和MD5.
验证加密映射序列号和名称以及在IPsec隧道启动/结束时加密映射是否应用到正确的接口如果在同一加密映射中配置了静态和动态对等体,则加密映射条目的顺序非常重要.
动态加密映射条目的序列号必须高于其他所有静态加密映射条目.
如果静态条目的编号高于动态条目,则与这些对等体的连接会失败,并会发生如下所示的调试.
IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,QMFSMerror(P2struct&0x49ba5a0,messid0xcd600011)!
[IKEv1]:Group=x.
x.
x.
x,IP=x.
x.
x.
x,Removingpeerfromcorrelatortablefailed,nomatch!
注意:安全设备中的每个接口仅允许一个动态加密映射.
以下是一个正确编号的加密映射示例,其中包含一个静态条目和一个动态条目.
请注意,动态条目具有最高的序列号,并且已留下空间以便添加其他静态条目:cryptodynamic-mapcisco20settransform-setmysetcryptomapmymap10matchaddress100cryptomapmymap10setpeer172.
16.
77.
10cryptomapmymap10settransform-setmysetcryptomapmymapinterfaceoutsidecryptomapmymap60000ipsec-isakmpdynamiccisco注意:加密映射名称区分大小写.
注意:当动态加密人序列不正确导致对等体命中错误的加密映射时,也可以看到此错误消息,而且该错误消息还可通过定义相关流量的不匹配加密访问列表来显示:%ASA-3-713042:IKEInitiatorunabletofindpolicy:对于要在同一个接口中终止多个VPN隧道的方案,我们需要创建名称相同但序列号不同的加密映射(每个接口仅允许一个加密映射).
这也同样适用于路由器、PIX和ASA.
要了解有关在同一个接口中具有不同序列号的相同加密映射的集线器PIX配置的详细信息,请参阅为集线器和远程PIX之间的IPsec配置VPNClient和扩展身份验证.
同样,要了解有关针对L2L和远程访问VPN方案的加密映射配置的详细信息,请参阅PIX/ASA7.
X:将新隧道或远程访问添加到现有的L2LVPN.
验证对等体IP地址是否正确对于PIX/ASA安全设备7.
xLAN到LAN(L2L)IPsecVPN配置,您必须在tunnel-grouptypeipsec-l2l命令中将隧道组的指定为远程对等体IP地址(远程隧道端),以创建和管理IPsec的连接特定记录的数据库.
在tunnelgroupname和Cryptomapsetaddress命令中对等体IP地址必须匹配.
使用ASDM配置VPN时,将使用正确的对等体IP地址自动生成隧道组名称.
如果未正确配置对等体IP地址,则日志中会包含以下消息,可以通过正确配置对等体IP地址来解决该问题.
[IKEv1]:Group=DefaultL2LGroup,IP=x.
x.
x.
x,ERROR,hadproblemsdecryptingpacket,probablyduetomismatchedpre-sharedkey.
Aborting在PIX6.
xLAN到LAN(L2L)IPSecVPN配置中,对等体IP地址(远程隧道端)必须与加密映射中的isakmpkeyaddress和setpeer命令匹配,以便成功创建IPSecVPN连接.
当在ASA加密配置中未正确配置对等体IP地址时,ASA无法建立VPN隧道,且仅会在MM_WAIT_MSG4阶段挂起.
为了解决此问题,请更正配置中的对等体IP地址.
以下是当VPN隧道在MM_WAIT_MSG4状态挂起时,showcryptoisakmpsa命令的输出.
hostname#showcryptoisakmpsa1IKEPeer:XX.
XX.
XX.
XXType:L2LRole:initiatorRekey:noState:MM_WAIT_MSG4验证隧道组和组名称%PIX|ASA-3-713206:TunnelRejected:Conflictingprotocolsspecifiedbytunnel-groupandgroup-policy当由于组策略中指定的允许隧道与隧道组配置中的允许隧道不同而丢弃隧道时,会显示此消息.
group-policyhf_group_policyattributesvpn-tunnel-protocoll2tp-ipsecusernamehfremoteattributesvpn-tunnel-protocoll2tp-ipsecBothlinesshouldread:vpn-tunnel-protocolipsecl2tp-ipsec针对"默认组中现有的协议策略"启用"默认组中的IPSec"策略.
group-policyDfltGrpPolicyattributesvpn-tunnel-protocolL2TP-IPSecIPSecwebvpn禁用L2L对等体的XAUTH如果LAN到LAN隧道和远程访问VPN隧道配置在同一个加密映射中,则系统会对LAN到LAN对等体提示XAUTH信息,且LAN到LAN隧道出现故障,在showcryptoisakmpsa命令的输出中显示"CONF_XAUTH".
以下是SA输出的示例:Router#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idslotstatusX.
X.
X.
XY.
Y.
Y.
YCONF_XAUTH102230ACTIVEX.
X.
X.
XZ.
Z.
Z.
ZCONF_XAUTH101970ACTIVE注意:此问题仅适用于CiscoIOS和PIX6.
x.
而PIX/ASA7.
x不受此问题的影响,因为它使用隧道组.
请在输入isakmp密钥时使用no-xauth关键字,以使设备不提示对等体提供XAUTH信息(用户名和口令).
此关键字会禁用静态IPSec对等体的XAUTH.
在同一个加密映射中配置了L2L和RAVPN的设备上输入与以下类似的命令:router(config)#cryptoisakmpkeycisco123address172.
22.
1.
164no-xauth在PIX/ASA7.
x用作EasyVPN服务器的场景中,由于Xauth问题,EasyVPNClient无法连接到前端.
禁用PIX/ASA中的用户身份验证,以便解决该问题(如下所示):ASA(config)#tunnel-groupexample-grouptypeipsec-raASA(config)#tunnel-groupexample-groupipsec-attributesASA(config-tunnel-ipsec)#isakmpikev1-user-authenticationnone请参阅本文档的其他部分,以了解有关isakmpikev1-user-authentication命令的详细信息.
VPN池耗尽当分配给VPN池的IP地址范围不足时,可通过两种方法扩大IP地址的供给:取消现有范围,然后定义新范围.
示例如下:CiscoASA(config)#noiplocalpooltestvpnpool10.
76.
41.
1-10.
76.
41.
254CiscoASA(config)#iplocalpooltestvpnpool10.
76.
41.
1-10.
76.
42.
2541.
当不连续子网添加到VPN池时,您可以定义两个独立的VPN池,然后按照"隧道组属性"下的顺序进行指定.
示例如下:CiscoASA(config)#iplocalpooltestvpnpoolAB10.
76.
41.
1-10.
76.
42.
254CiscoASA(config)#iplocalpooltestvpnpoolCD10.
76.
45.
1-10.
76.
45.
254CiscoASA(config)#tunnel-grouptesttyperemote-accessCiscoASA(config)#tunnel-grouptestgeneral-attributesCiscoASA(config-tunnel-general)#address-pool(inside)testvpnpoolABtestvpnpoolCDCiscoASA(config-tunnel-general)#exit2.
您指定池所遵循的顺序非常重要,因为ASA按照池在此命令中的出现顺序从这些池中分配地址.
注意:group-policyaddress-pools命令中的address-pools设置始终覆盖tunnel-groupaddress-pool命令中的本地池设置.
VPNClient流量的延迟问题当VPN连接出现延迟问题时,请按顺序验证以下项以解决问题:验证数据包的MSS是否可以进一步减小.
1.
如果使用的是IPsec/tcp而不是IPsec/udp,则请配置VPNpreserve-vpn-flow.
2.
重新载入CiscoASA.
3.
VPNClient无法与ASA/PIX连接问题当X-authX与RADIUS服务器一起使用时,CiscoVPNClient无法进行身份验证.
解决方案问题可能是xauth超时.
增加AAA服务器的超时值以解决此问题.
例如:Hostname(config)#aaa-servertestprotocolradiushostname(config-aaa-server-group)#aaa-servertesthost10.
2.
3.
4hostname(config-aaa-server-host)#timeout10问题当X-authX与RADIUS服务器一起使用时,CiscoVPNClient无法进行身份验证.
解决方案首先,请确保身份验证正常工作.
要缩小问题的范围,请先验证ASA本地数据库的身份验证.
tunnel-grouptggroupgeneral-attributesauthentication-server-groupnoneauthentication-server-groupLOCALexit如果正常工作,那么问题应该与Radius服务器配置有关.
验证Radius服务器与ASA的连接.
如果ping正常工作,未出任何问题,则请检查ASA的Radius相关配置和Radius服务器上的数据库配置.
您可使用debugradius命令对Radius相关问题进行故障排除.
有关debugradius输出的示例,请参阅此示例输出.
注意:在ASA上使用debug命令之前,请参阅以下文档:警告消息.
VPNClient在第一次尝试时经常丢弃连接或出现以下错误:"SecurityVPNConnectionterminatedbypeer.
Reason433"消息.
或"安全VPN连接由对等体原因终止433:(对等体未指定原因)"问题当CiscoVPNClient用户试图连接前端VPN设备时,可能会收到此错误消息.
"VPNclientdropsconnectionfrequentlyonfirstattempt"或"SecurityVPNConnectionterminatedbypeer.
Reason433"消息.
或"SecureVPNConnectionterminatedbyPeerReason433:(ReasonNotSpecifiedbyPeer)"或"AttemptedtoassignnetworkorbroadcastIPaddress,removing(x.
x.
x)frompool"解决方案1问题可能在于通过ASA/PIX、Radius服务器、DHCP服务器或通过Radius服务器用作DHCP服务器来分配IP池.
请使用debugcrypto命令,以验证网络掩码和IP地址是否正确.
同时,请确认IP池不包括网络地址和广播地址.
Radius服务器必须可以将正确的IP地址分配到客户端.
解决方案2如果扩展身份验证失败,也会发生此问题.
您必须检查AAA服务器以对此错误进行故障排除.
检查服务器和客户端上的服务器身份验证密码并重新加载AAA服务器也许可解决此问题.
解决方案3此问题的另一种解决方法是禁用威胁检测功能.
如果不同的不完整安全关联(SA)有多个重发,则启用了威胁检测功能的ASA会认为发生了扫描攻击,并且VPN端口会被标记为主要攻击者.
尝试禁用威胁检测功能,因为此功能会对ASA的处理造成大量开销.
使用以下命令禁用威胁检测:nothreat-detectionbasic-threatnothreat-detectionscanning-threatshunnothreat-detectionstatisticsnothreat-detectionrate有关此功能的详细信息,请参阅威胁检测.
注意:这可作为一种解决方法,用于验证这是否解决了实际问题.
确保禁用CiscoASA上的威胁检测,这实际上会削弱几个安全功能,例如减少扫描尝试、无效SPI的DoS、使应用检测和不完整会话失败的数据包.
解决方案4未正确配置转换集时,也会出现此问题.
正确配置转换集可解决问题.
远程访问和EZVPN用户连接到VPN,但是无法访问外部资源问题远程访问用户连接到VPN后,将无法连接到Internet.
远程访问用户无法访问位于同一个设备上其他VPN之后的资源.
远程访问用户仅可访问本地网络.
解决方案尝试以下解决方案,以便解决此问题:无法访问DMZ中的服务器qVPNClient无法解析DNSq分割隧道—无法访问Internet或排除的网络q发夹连接q本地LAN访问q专用网络重叠q无法访问DMZ中的服务器VPNClient建立与VPN前端设备(PIX/ASA/IOS路由器)的IPsec隧道之后,VPNClient用户即可访问内部网络(10.
10.
10.
0/24)资源,但是他们无法访问DMZ网络(10.
1.
1.
0/24).
图解检查分割隧道,在前端设备中添加NONAT配置,以访问DMZ网络中的资源.
示例ASA/PIXciscoasa#showrunning-config!
---Splittunnelfortheinsidenetworkaccessaccess-listvpnusers_spitTunnelAclpermitip10.
10.
10.
0255.
255.
0.
0any!
---SplittunnelfortheDMZnetworkaccessaccess-listvpnusers_spitTunnelAclpermitip10.
1.
1.
0255.
255.
0.
0any!
---CreateapoolofaddressesfromwhichIPaddressesareassigned!
---dynamicallytotheremoteVPNClients.
iplocalpoolvpnclient192.
168.
1.
1-192.
168.
1.
5!
---Thisaccesslistisusedforanatzerocommandthatprevents!
---trafficwhichmatchestheaccesslistfromundergoingNAT.
!
---NoNatfortheDMZnetwork.
access-listnonat-dmzpermitip10.
1.
1.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0!
---NoNatfortheInsidenetwork.
access-listnonat-inpermitip10.
10.
10.
0255.
255.
255.
0192.
168.
1.
0255.
255.
255.
0!
---NAT0preventsNATfornetworksspecifiedintheACLnonat.
nat(DMZ)0access-listnonat-dmznat(inside)0access-listnonat-inASA版本8.
3配置:此配置显示如何配置DMZ网络的NAT免除,以便让VPN用户可访问DMZ网络:objectnetworkobj-dmzsubnet10.
1.
1.
0255.
255.
255.
0objectnetworkobj-vpnpoolsubnet192.
168.
1.
0255.
255.
255.
0nat(inside,dmz)1sourcestaticobj-dmzobj-dmzdestinationstaticobj-vpnpoolobj-vpnpool在添加对应NAT配置的新条目之后,请清除Nat转换.
ClearxlateClearlocal验证:如果已建立隧道,请转到CiscoVPNClient并选择Status>RouteDetails,以检查是否已显示DMZ和内部网络的安全路由.
请参阅PIX/ASA7.
x:DMZ中的邮件服务器访问配置示例,以了解有关如何设置PIX防火墙以便访问位于隔离区(DMZ)网络中的邮件服务器的详细信息.
请参阅PIX/ASA7.
x:将新隧道或远程访问添加到现有的L2LVPN,以了解将新VPN隧道或远程访问VPN添加到已经存在的L2LVPN配置的必需步骤.
请参阅PIX/ASA7.
x:在ASA上允许VPNClient使用分割隧道的配置示例,以了解有关如何允许VPNClient在通过隧道进入Cisco自适应安全设备(ASA)5500系列安全设备时访问Internet的分步说明.
请参阅PIX/ASA7.
x和CiscoVPNClient4.
x通过Windows2003IASRADIUS(针对ActiveDirectory)进行的身份验证配置示例,以了解有关如何在CiscoVPNClient(适用于Windows的4.
x版本)和PIX500系列安全设备7.
x之间设置远程访问VPN连接的详细信息.
VPNClient无法解析DNS在建立隧道之后,如果VPNClient无法解析DNS,则可能是前端设备(ASA/PIX)中的DNS服务器配置存在问题.
此外,请检查VPNClient和DNS服务器之间的连接.
DNS服务器配置必须在组策略下配置,并在隧道组常规属性中的组策略下应用;例如:!
---Createthegrouppolicynamedvpn3000and!
---specifytheDNSserverIPaddress(172.
16.
1.
1)!
---andthedomainname(cisco.
com)inthegrouppolicy.
group-policyvpn3000internalgroup-policyvpn3000attributesdns-servervalue172.
16.
1.
1default-domainvaluecisco.
com!
---Associatethegrouppolicy(vpn3000)tothetunnelgroup!
---usingthedefault-group-policy.
tunnel-groupvpn3000general-attributesdefault-group-policyvpn3000VPNClient无法根据名称连接内部服务器VPNClient无法根据名称对远程端或前端内部网络的主机或服务器执行ping操作.
您需要启用ASA上的split-dns配置以解决此问题.
分割隧道—无法访问Internet或排除的网络分割隧道使远程访问IPSec客户端可以有条件地以加密形式通过IPsec隧道定向数据包,或者以明文形式将数据包定向到网络接口,并解密,然后在网络中将数据包路由到最终目标.
默认情况下,分割隧道处于禁用状态,这是指tunnelallsplit-tunnel-policy{tunnelall|tunnelspecified|excludespecified}注意:只有CiscoVPN客户端(而不是EZVPN客户端)才支持excludespecified选项.
ciscoasa(config-group-policy)#split-tunnel-policyexcludespecified有关分割隧道的详细配置示例,请参阅以下文档:PIX/ASA7.
x:在ASA上允许VPNClient使用分割隧道的配置示例q路由器允许VPNClient使用分割隧道连接IPsec和Internet的配置示例qVPN3000集中器上针对VPNClient使用分割隧道的配置示例q发夹连接对于进入某接口然后又从同一接口路由出去的VPN流量,此功能非常有用.
例如,如果您建立了集中星型VPN网络,其中安全设备是中央,而远程VPN网络是分支,为使分支之间彼此通信,流量必须进入安全设备,然后再流向其他分支.
请使用same-security-traffic配置,以允许从同一接口进入和退出.
securityappliance(config)#same-security-trafficpermitintra-interface本地LAN访问远程访问用户连接到VPN并且仅能连接到本地网络.
有关详细配置示例,请参阅PIX/ASA7.
x:允许VPNClient的本地LAN访问.
专用网络重叠问题如果无法在建立隧道之后访问内部网络,请检查分配给VPNClient的IP地址是否与前端设备之后的内部网络重叠.
解决方案请始终确保池中要分配给VPNClient、前端设备的内部网络和VPNClient内部网络的IP地址位于不同的网络中.
您可以分配具有不同子网的同一个主网络,但是有时会发生路由问题.
有关进一步示例,请参阅无法访问DMZ中的服务器部分的图解和示例.
无法连接超过三个VPNClient用户问题只有三个VPNClient可以连接到ASA/PIX;连接第四个客户端时将失败.
失败时,将显示以下错误消息:SecureVPNConnectionterminatedlocallybytheclient.
Reason413:UserAuthenticationfailed.
tunnelrejected;themaximumtunnelcounthasbeenreached解决方案在大多数情况下,此问题与组策略中的同时登录设置以及最大会话限制相关.
尝试以下解决方案,以便解决此问题:配置同时登录数q使用CLI配置ASA/PIXq配置集中器q有关详细信息,请参阅CiscoASA5500系列版本5.
2的所选ASDMVPN配置过程中的配置组策略部分.
配置同时登录数如果选中了ASDM中的Inherit复选框,则系统仅允许默认的用户同时登录数.
同时登录数的默认值是3.
要解决此问题,请增加同时登录数的值.
启动ASDM,然后导航到Configuration>VPN>GroupPolicy.
1.
选择相应的Group并单击Edit按钮.
2.
在General选项卡中,取消选中ConnectionSettings下与SimultaneousLogins相对应的Inherit复选框.
在字段中选择相应的值.
3.
注意:此字段的最小值是0,表示禁用登录并且阻止用户访问.
注意:当您使用来自不同PC的相同用户帐户登录时,当前会话(从使用相同用户帐户的另一PC建立的连接)将终止,并建立新会话.
这是默认行为,且不受VPN同时登录数影响.
使用CLI配置ASA/PIX完成以下步骤,以便配置所需的同时登录数.
在本示例中,选择20作为所需的值.
ciscoasa(config)#group-policyBryanattributesciscoasa(config-group-policy)#vpn-simultaneous-logins20要了解有关该命令的详细信息,请参阅Cisco安全设备命令参考7.
2版.
在全局配置模式下使用vpn-sessiondbmax-session-limit命令,将VPN会话数限制为小于安全设备允许的值.
使用该命令的no重新使用命令,以覆盖当前设置.
vpn-sessiondbmax-session-limit{session-limit}本示例显示如何将VPN最大会话限制数设置为450:hostname#vpn-sessiondbmax-session-limit450配置集中器错误消息2093210/26/200714:37:45.
430SEV=3AUTH/5RPT=186310.
19.
187.
229Authenticationrejected:Reason=Simultaneousloginsexceededforuserhandle=623,server=(none),user=10.
19.
187.
229,domain=解决方案完成以下步骤,以便配置所需的同时登录数.
针对此SA,您也可以尝试将SimultaneousLogins设置为5:依次选择Configuration>UserManagement>Groups>Modify10.
19.
187.
229>General>SimultaneousLogins,然后将登录数更改为5.
建立隧道后无法启动会话或应用程序并且传输缓慢问题建立IPSec隧道后,应用程序或会话不能在隧道中启动.
解决方案使用ping命令,以检查网络或查看是否可从您的网络访问应用程序服务器.
可能是从路由器或PIX/ASA设备通过的临时数据包的最大数据段大小(MSS)有问题(特别是已设置SYN位的TCP数据段).
CiscoIOS路由器—更改路由器的外部接口(隧道末端接口)中的MSS值运行以下命令,以更改路由器的外部接口(隧道末端接口)中的MSS值:Router>enableRouter#configureterminalRouter(config)#interfaceethernet0/1Router(config-if)#iptcpadjust-mss1300Router(config-if)#end以下消息显示了TCPMSS的调试输出:Router#debugiptcptransactionsSep518:42:46.
247:TCP0:statewasLISTEN->SYNRCVD[23->10.
0.
1.
1(38437)]Sep518:42:46.
247:TCP:tcb32290C0connectionto10.
0.
1.
1:38437,peerMSS1300,MSSis1300Sep518:42:46.
247:TCP:sendingSYN,seq580539401,ack6015751Sep518:42:46.
247:TCP0:Connectionto10.
0.
1.
1:38437,advertisingMSS1300Sep518:42:46.
251:TCP0:statewasSYNRCVD->ESTAB[23->10.
0.
1.
1(38437)]MMS按照配置在路由器上调整到1300.
有关详细信息,请参阅PIX/ASA7.
x和IOS:VPN分段.
PIX/ASA7.
X—请参阅PIX/ASA文档由于产生MTU大小错误消息和MSS问题,因此无法正确访问Internet或者通过隧道的传输缓慢.
请参阅以下文档,以解决该问题:PIX/ASA7.
x和IOS:VPN分段qPIX/ASA7.
0问题:超出MSS-HTTP客户端无法浏览某些网站q无法从ASA/PIX启动VPN隧道问题您无法从ASA/PIX接口启动VPN隧道,并且建立隧道后,远程端点/VPNClient无法对VPN隧道上ASA/PIX的内部接口执行ping操作.
例如,VPNClient可能无法通过VPN隧道启动到ASA内部接口的SSH或HTTP连接.
解决方案除非在全局配置模式下配置management-access命令,否则无法从隧道的另一端对PIX的内部接口执行ping操作.
PIX-02(config)#management-accessinsidePIX-02(config)#showmanagement-accessmanagement-accessinside注意:此命令还有助于通过VPN隧道启动到ASA内部接口的ssh或http连接.
注意:此信息对于DMZ接口也适用.
例如,如果您想要对PIX/ASA的DMZ接口执行ping操作或想要从DMZ接口启动隧道,则需要使用management-accessDMZ命令.
PIX-02(config)#management-accessDMZ注意:如果VPN客户端无法连接,请确保ESP和UDP端口已打开,但是,如果这些端口未打开,则尝试在TCP10000上连接,在VPN客户端连接条目下选择此端口.
右键单击modify>transport选项卡>IPsecoverTCP.
请参阅PIX/ASA7.
x可支持任意端口上的IPsecoverTCP配置示例,以了解IPsecoverTCP的详细信息.
无法通过VPN隧道传递流量问题您无法通过VPN隧道传递流量.
解决方案由于出现CiscoBugIDCSCtb53186(仅限注册用户)中描述的问题,因此发生此问题.
为了解决此问题,请重新加载ASA.
有关详细信息,请参阅漏洞.
当ESP数据包被阻止时,此问题也可能会出现.
为了解决此问题,请重新配置VPN隧道.
当数据未加密,而只是在VPN隧道上解密时,可能会发生此问题,如下面的输出所示:ASA#shcryptoipsecsapeerx.
x.
x.
xpeeraddress:y.
y.
y.
yCryptomaptag:IPSec_map,seqnum:37,localaddr:x.
x.
x.
xaccess-listtestpermitiphostxx.
xx.
xx.
xxhostyy.
yy.
yy.
yylocalident(addr/mask/prot/port):(xx.
xx.
xx.
xx/255.
255.
255.
255/0/0)remoteident(addr/mask/prot/port):(yy.
yy.
yy.
yy/255.
255.
255.
255/0/0)current_peer:y.
y.
y.
y#pktsencaps:0,#pktsencrypt:0,#pktsdigest:0#pktsdecaps:393,#pktsdecrypt:393,#pktsverify:393#pktscompressed:0,#pktsdecompressed:0#pktsnotcompressed:0,#pktscompfailed:0,#pktsdecompfailed:0#pre-fragsuccesses:0,#pre-fragfailures:0,#fragmentscreated:0#PMTUssent:0,#PMTUsrcvd:0,#decapsulatedfrgsneedingreassembly:0#senderrors:0,#recverrors:0为了解决此问题,请检查以下项:如果加密访问列表与远程站点匹配,且NAT0访问列表正确.
1.
如果路由正确,且流量确实发生在通过内部的外部接口.
示例输出显示解密完成,但是未发生加密.
2.
如果已在ASA上配置sysoptpermitconnection-vpnVPN命令.
如果未配置,请配置此命令,因为它可让ASA免除来自接口ACL检查的加密/VPN流量.
3.
为同一个加密映射上的VPN隧道配置备用对等体问题您可能想要为单个VPN隧道使用多个备用对等体.
解决方案配置多个对等体相当于提供了一个回退列表.
对于每个隧道,安全设备会尝试与列表中的第一个对等体协商.
如果该对等体不响应,则安全设备会按照顺序与列表中的下一个对等体协商,直到对等体做出响应或在列表中不再有对等体.
ASA应具有已配置为主对等体的加密映射.
辅助对等体可添加在主对等体之后.
此示例配置将主对等体显示为X.
X.
X.
X,备用对等体为Y.
Y.
Y.
Y:ASA(config)#cryptomapmymap10setpeerX.
X.
X.
XY.
Y.
Y.
Y有关详细信息,请参阅思科安全设备命令参考第8.
0版中的加密映射集对等体部分.
禁用/重新启动VPN隧道问题为了暂时禁用VPN隧道并重新启动服务,请完成此部分所述的程序.
解决方案在全局配置模式下使用cryptomapinterface命令以删除之前在接口上定义的加密映射集.
使用此命令的noform,从接口中删除加密映射集.
hostname(config)#nocryptomapmap-nameinterfaceinterface-name此命令可删除任何活动安全设备接口的加密映射集,并且使IPsecVPN隧道在该接口上保持不活动状态.
要重新启动接口上的IPsec隧道,在该接口可提供IPsec服务之前,您必须将加密映射集分配到接口.
hostname(config)#cryptomapmap-nameinterfaceinterface-name一些隧道未加密问题当VPN网关上配置了大量隧道时,一些隧道不传递流量.
ASA不会收到那些隧道的加密数据包.
解决方案由于ASA未能通过隧道传递加密数据包,因此出现此问题.
在ASP表中创建了重复的加密规则.
这是已知问题,并已归档到BugIDCSCtb53186(仅限注册用户)以解决此问题.
为了解决此问题,请重新加载ASA或将软件升级到已修复此漏洞的版本.
错误:-%ASA-5-713904:Group=DefaultRAGroup,IP=x.
x.
x.
x,客户端使用不受支持的事务模式v2版本.
隧道终止.
问题显示%ASA-5-713904:Group=DefaultRAGroup,IP=99.
246.
144.
186,ClientisusingaunsupportedTransactionModev2version.
Tunnelterminated误消息.
解决方案显示TransactionModev2ASAIKEV6V2请使用IKE模式配置V6版本来解决此错误.
错误:-%ASA-6-722036:Groupclient-groupUserxxxxIPx.
x.
x.
xTransmittinglargepacket1220(threshold1206)问题%ASA-6-722036:GroupUserIPTransmittinglargepacket1220(threshold1206)错误消息显示在ASA的日志中.
此日志意味着什么如何解决该问题解决方案此日志消息说明已向客户端发送了一个大型数据包.
数据包的源不能识别客户端的MTU.
这也可能是由于对不可压缩的数据进行了压缩所致.
解决方法是使用svccompressionnone命令关闭SVC压缩,即可解决问题.
Error:Theauthentication-server-groupnonecommandhasbeendeprecated问题如果将VPN配置从运行7.
0.
x版本的PIX/ASA传输到运行7.
2.
x的其他安全设备上,您会收到以下错误消息:ERROR:Theauthentication-server-groupnonecommandhasbeendeprecated.
The"isakmpikev1-user-authenticationnone"commandintheipsec-attributesshouldbeusedinstead.
解决方案7.
2(1)及更高版本中不再支持authentication-server-group命令.
此命令已作废,并已转移到tunnel-groupgeneral-attributes配置模式.
有关此命令的详细信息,请参阅命令参考中的isakmpikev1-user-authentication部分.
当在VPN隧道一端启用QoS时出现错误消息问题如果在VPN隧道的一端启用QoS,您可能会收到以下错误消息:IPSEC:ReceivedanESPpacket(SPI=0xDB6E5A60,sequencenumber=0x7F9F)from10.
18.
7.
11(user=ghufhi)to172.
16.
29.
23thatfailedanti-replaychecking解决方案当隧道的一端执行QoS时,通常会产生此消息.
当检测到数据包顺序不正确时,会发生这种情况.
您可以禁用QoS以停止此错误,但是只要流量可以通过隧道就可以忽略此错误.
警告:cryptomapentrywillbeincomplete问题当您运行cryptomapmymap20ipsec-isakmp命令时,您可能会收到以下错误:cryptomapentrywillbeincomplete例如:ciscoasa(config)#cryptomapmymap20ipsec-isakmpWARNING:cryptomapentrywillbeincomplete解决方案这是在您定义新加密映射时的正常警告,提醒您在其生效之前必须配置参数,例如access-list(匹配地址)、转换集以及对等体地址.
此外,如果配置中未显示您键入的用于定义加密映射的第一行代码,这也属于正常现象.
错误:-%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside问题无法通过vpn隧道传递大型ping数据包.
当我们尝试传递大型ping数据包时,会收到错误%ASA-4-400024:IDS:2151LargeICMPpacketfromtooninterfaceoutside解决方案禁用签名2150和2151以解决此问题.
禁用签名后,ping工作正常.
请使用以下命令禁用签名:ASA(config)#ipauditsignature2151disableASA(config)#ipauditsignature2150disable错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
问题我在ASA的日志消息中收到了以下错误:-%PIX|ASA-4-402119:IPSEC:Receivedaprotocolpacket(SPI=spi,sequencenumber=seq_num)fromremote_IP(username)tolocal_IPthatfailedanti-replaychecking.
解决方案要解决此错误,请使用cryptoipsecsecurity-associationreplaywindow-size命令来改变窗口大小.
hostname(config)#cryptoipsecsecurity-associationreplaywindow-size1024注意:思科建议您使用完整的1024窗口大小来消除任何反重播问题.
错误消息-%PIX|ASA-4-407001:拒绝本地主机接口名称的流量:inside_address,超出许可证数量限制问题少数主机无法连接到互联网,且此错误消息显示在系统日志中:-%PIX|ASA-4-407001:inside_address解决方案当用户数量超过所用许可证的用户限制时会收到此错误消息.
通过将许可证升级到包括更多用户数即可解决此错误.
根据需要,用户许可证可以包括50、100或无限用户数.
错误消息-%VPN_HW-4-PACKET_ERROR:问题-%VPN_HW-4-PACKET_ERROR:错误消息指示路由器收到的带HMAC的ESP数据包不匹配.
此错误可能由以下问题所引起:有缺陷的VPNH/W模块q损坏的ESP数据包q解决方案为了解决此错误消息:除非出现流量中断,否则请忽略该错误消息.
q如果出现流量中断,请替换模块.
q错误消息:Commandrejected:deletecryptoconnectionbetweenVLANXXXXandXXXX,first.
问题当您尝试将允许的VLAN添加到交换机上的中继端口时,会显示以下错误消息:Commandrejected:VLANXXXXVLANXXXX.
无法修改WAN边缘中继以允许附加VLAN.
换言之,您无法在IPSECVPNSPA主干中添加VLAN.
此命令被拒绝,因为如果允许此命令,将导致加密连接接口VLAN归属于接口的允许VLAN列表,从而造成潜在的IPSec安全漏洞.
请注意,此行为适用于所有中继端口.
解决方案不应该使用noswitchporttrunkallowedvlan(vlanlist)switchporttrunkallowedvlannone"switchporttrunkallowedvlanremove(vlanlist)"错误消息-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:丢弃数据包—会话x.
x.
x.
x:27331到x.
x.
x.
x:23[发起方(标志0,因子0)响应方(标志1,因子2)]的"窗口缩放"选项无效问题当您尝试从VPN隧道远端的设备远程登录时,或者当您尝试从路由器本身远程登录时,会出现此错误:-%FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE:—x.
x.
x.
x:27331x.
x.
x.
x:23[0012]""解决方案根据需要,用户许可证可以包括50、100或无限用户数.
添加窗口缩放功能以允许在长肥网络(LFN)中快速传输数据.
这些典型连接具有非常高的带宽,同时具有高延迟.
卫星连接网络是LFN的一个示例,因为卫星链路始终具有高传播延迟,但通常具有高带宽.
要启用窗口扩展以支持LFN,TCP窗口大小必须大于65,535.
通过将TCP窗口大小增加到65,535以上,可以解决此错误消息.
%ASA-5-305013:匹配正向和反向的非对称NAT规则.
请更新此问题流问题VPN隧道启动后,会显示以下错误消息:%ASA-5-305013NAT解决方案为了解决此问题,当与使用NAT的主机不在同一个接口上时,请使用映射地址而不是实际地址来连接到主机.
此外,如果应用嵌入IP地址,请启用inspect命令.
%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type问题如果VPN隧道未能启动,会显示以下错误消息:%PIX|ASA-5-713068:Receivednon-routineNotifymessage:notify_type解决方案由于错误配置(即,当对等体上的策略或ACL未配置为相同时)而导致出现此消息.
策略和ACL匹配后,隧道会启动,不出现任何问题.
%ASA-5-720012:(VPN辅助)无法更新备用设备(或)%ASA-6-720012上的IPSec故障切换运行时数据:(VPN单元)无法在备用单元上更新IPsec故障切换运行时数据问题当您尝试升级思科自适应安全设备(ASA)时,会显示以下错误消息之一:%ASA-5-720012VPNIPSec%ASA-6-720012VPNIPsec解决方案这些错误消息是信息性错误.
这些消息不影响ASA或VPN的功能.
当由于备用装置上的对应IPsec隧道已删除,而导致VPN故障切换子系统无法更新与IPsec相关的运行时数据时,会显示这些消息.
为了解决这些问题,请在活动装置上发出wrstandby命令.
这两个漏洞已归档以纠正此行为,并升级到已修复这些漏洞的ASA软件版本.
有关详细信息,请参阅CiscoBugIDCSCtj58420(仅限注册用户)和CSCtn56517(仅限注册用户).
错误:-%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0问题%ASA-3-713063:IKEPeeraddressnotconfiguredfordestination0.
0.
0.
0错误消息显示且隧道未能启动.
解决方案当未为L2L隧道配置IKE对等地址时,会显示此消息.
可通过更改加密映射的序列号,然后删除并重新应用加密映射来解决此错误.
Error:%ASA-3-752006:TunnelManagerfailedtodispatchaKEY_ACQUIREmessage.
问题"%ASA-3-752006:KEY_ACQUIRE"错误消息记录到CiscoASA.
解决方案此错误消息由于加密映射或隧道组的错误配置而造成.
确保两者均正确配置.
有关此错误消息的详细信息,请参阅错误752006.
以下是一些纠正措施:删除加密ACL(例如,关联到动态映射).
q删除未使用的IKEv2相关配置(如有).
q验证加密ACL是否正确匹配.
q删除重复的访问列表条目(如有).
qError:%ASA-4-402116:IPSEC:ReceivedanESPpacket(SPI=0x99554D4E,sequencenumber=0x9E)fromXX.
XX.
XX.
XX(user=XX.
XX.
XX.
XX)toYY.
YY.
YY.
YY在LAN到LANVPN隧道设置中,在ASA的一端会收到以下错误消息:SA10.
32.
77.
6710.
105.
30.
1icmpSA10.
32.
77.
67/255.
255.
255.
255/ip/0remote_proxy10.
105.
42.
192/255.
255.
255.
224/ip/0解决方案您需要验证在VPN隧道的两端定义的相关流量访问列表.
两者都应作为准确的镜像匹配.
由于错误0xffffffff而未能启动64位VA安装程序以启用虚拟适配器问题当AnyConnect未能连接时,会收到Failedtolaunch64-bitVAinstallertoenablethevirtualadapterduetoerror0xffffffff解决方案要解决此问题,请执行以下步骤:转至System>InternetCommunicationManagement>InternetCommunication设置并确保已禁用TurnOffAutomaticRootCertificatesUpdate.
1.
如果已禁用,则请禁用已分配到受影响机器的GPO的整个管理模板部分,然后再次测试.
2.
有关详细信息,请参阅关闭自动根证书更新(TurnoffAutomaticRootCertificatesUpdate).
Error5:此连接条目不存在主机名.
UnabletomakeVPNconnection.
问题在新PC安装时,会收到Error5:UnabletomakeVPNconnection错误消息.
解决方案此问题归于CiscoBugIDCSCso94244(仅限注册用户).
有关详细信息,请参阅此Bug.
在Windows7中CiscoVPNClient无法与数据卡一起使用问题在Windows7中CiscoVPNClient无法与数据卡一起使用.
解决方案安装在Windows7上的CiscoVPNClient无法与3G连接一起使用,因为在Windows7中安装的CiscoVPNClient上不支持数据卡.
警告消息:"VPNfunctionalitymaynotworkatall"问题当尝试在ASA的外部接口上启用isakmp时,会收到以下警告消息:ASA(config)#cryptoisakmpenableoutsideWARNING,systemisrunninglowonmemory.
Performancemaystarttodegrade.
VPNfunctionalitymaynotworkatall.
此时,通过ssh访问ASA.
HTTPS停止,且其他SSL客户端也受影响.
解决方案此问题归结于不同模块(例如,记录器和加密)的内存要求不同.
确保您未执行loggingqueue0命令.
它将队列大小设置为8192且内存分配暴涨.
在ASA5505和ASA5510等平台中,这种内存分配容易让其他模块(IKE等)没有内存可用.
我们已记录CiscoBugIDCSCtb58989(仅限注册用户)以解决类似的行为.
为了解决此问题,请将记录队列配置为较小的值,例如512.
IPSec填充错误问题会收到以下错误消息:%PIX|ASA-3-402130:CRYPTO:ReceivedanESPpacket(SPI=0xXXXXXXX,sequencenumber=0xXXXX)fromx.
x.
x.
x(user=user)toy.
y.
y.
ywithincorrectIPsecpadding解决方案因为IPSecVPN在不用散列算法的情况下协商,所以会出现此问题.
数据包散列可确保ESP通道的完整性检查.
因此,在没有散列的情况下,CiscoASA会在未经检测的情况下接受畸形数据包,并且它会尝试为这些数据包解码.
但是,由于这些数据包是畸形的,ASA在为数据包解码时会查找缺陷.
这样会导致出现填充错误消息.
建议在VPN的转换集中包括散列算法并确保尽量减少对等体之间链路的畸形数据包.
远程站点电话上的停播延迟时间问题在远程站点电话上遇到停播延迟时间.
如何解决这一问题解决方案禁用skinny和sip检查以解决此问题:asa(config)#noinspectsipasa(config)#noinspectskinnyVPN隧道在每18个小时之后断开问题即使生存时间设置为18小时,VPN隧道也会在每24个小时之后断开.
解决方案生存时间是SA可以用于密钥更新的最大时间.
您在配置中输入作为生存时间的值不同于SA的密钥更新时间.
因此,必须在当前SA到期之前协商一个新的SA(或在IPsec情况下为SA对).
密钥更新时间必须始终短于生存时间,以便在第一次密钥更新尝试失败的情况下允许多次尝试.
RFC未指定如何计算密钥更新时间.
这留给实施者自行裁量.
因此,如果所用的平台和软件版本等不同,时间也会不同.
有些实施可使用随机因子来计算密钥更新计时器.
例如,如果ASA发起隧道,则正常情况下,它将在64800秒重新键入,即为86400的75%.
如果路由器发起,则ASA可以等待更长时间,以给对等体更多时间来启动重新键.
因此,正常来说,VPN会话会每18个小时断开以使用另一个密钥进行VPN协商.
这样做时不得导致任何VPN丢弃或问题.
LAN到LAN隧道重新协商之后无法维持通信流量问题LAN到LAN隧道重新协商之后无法维持通信流量.
解决方案ASA监控通过其中的每个连接,并依照应用检查功能在其状态表中维护一个条目.
通过VPN的加密流量细节以安全关联(SA)数据库的形式进行维护.
对于LAN到LANVPN连接,它维护两种不同的通信流量.
一个是VPN网关之间的加密流量.
另一个是VPN网关背后的网络资源和另一端后面的终端用户之间的通信流量.
当VPN终止时,删除此特殊SA的流量详细信息.
但是,此TCP连接的ASA维护的状态表条目由于无活动而变得过时,进而妨碍下载.
这意味着在用户应用终止时,ASA将仍保留该特殊流量的TCP连接.
但是,TCP连接将丢失,并最终在TCP空闲计时器到期后超时.
通过引入被称为PersistentIPSecTunneledFlows的功能解决了此问题.
CiscoASA集成了一条新命令sysoptconnectionpreserve-vpn-flows,以便在VPN隧道重新协商时保留状态表信息.
默认情况下禁用该命令.
通过启用此命令,当L2LVPN从中断恢复并重新建立隧道时,CiscoASA将维护TCP状态表信息.
错误消息指示已达到加密功能的带宽问题2900系列路由器上会收到以下错误消息:Error:Mar2010:51:29:%CERM-4-TX_BW_LIMIT:securityk985000KbpsTx解决方案这是已知问题,它是由于美国政府签发严格的指南而导致.
根据这一点,securityk9许可证只允许负载加密的速率接近90Mbps且限制设备的已加密隧道数/TLS会话数.
有关加密导出限制的详细信息,请参阅思科ISRG2SEC和HSEC许可.
如果是思科设备,它派生出小于85Mbps的单向流量进出ISRG2路由器,双向总计为170Mbps.
此要求适用于思科1900、2900和3900ISRG2平台.
此命令可帮助您查看以下限制:Router#showplatformcerm-informationCryptoExportRestrictionsManager(CERM)Information:CERMfunctionality:ENABLEDResourceMaximumLimitAvailableTxBandwidth(inkbps)8500085000RxBandwidth(inkbps)8500085000Numberoftunnels225225NumberofTLSsessions10001000---Outputtruncated----已提交一个漏洞来纠正此行为.
有关详细信息,请参阅CiscoBugIDCSCtu24534(仅限注册用户).
为了避免此问题,您需要购买HSECK9许可证.
"hseck9"功能许可证提供增强的负载加密功能,增加VPN隧道计数和安全语音会话.
有关CiscoISR路由器许可证的详细信息,请参阅软件激活.
问题:虽然入站解密流量起作用,但IPsec隧道的出站加密流量可能会失效.
解决方案在多次密钥更新但未清除触发条件之后,会在IPsec连接上发现到此问题.
通过检查showaspdrop命令的输出并验证发出的每个出站数据包的到期VPN情景计数器是否增大,即可确定是否存在此问题.
有关详细信息,请参阅CiscoBugIDCSCtd36473(仅限注册用户).
其他AG_INIT_EXCH消息显示在"showcryptoisakmpsa"和"debug"命令输出中如果未启动隧道,AG_INIT_EXCH消息会出现在showcryptoisakmpsa命令的输出以及调试输出中.
原因可能是由于isakmp策略不匹配,或者路径上的端口udp500遭阻塞.
出现调试消息"ReceivedanIPCmessageduringinvalidstate"此消息是告知性消息,与VPN隧道的断开没有任何关系.
相关信息PIX/ASA7.
0问题:超出MSS-HTTP客户端无法浏览某些网站qPIX/ASA7.
x和IOS:VPN分段qCiscoASA5500系列安全设备qCiscoPIX500系列安全设备qIPsec协商/IKE协议qCiscoVPN3000系列集中器q技术支持和文档-CiscoSystemsq
ZJI韩国BGP+CN2服务器,440元起
ZJI又上新了!商家是原Wordpress圈知名主机商:维翔主机,成立于2011年,2018年9月启用新域名ZJI,提供中国香港、台湾、日本、美国独立服务器(自营/数据中心直营)租用及VDS、虚拟主机空间、域名注册等业务。本次商家新上韩国BGP+CN2线路服务器,国内三网访问速度优秀,适用8折优惠码,优惠后韩国服务器最低每月440元起。韩国一型CPU:Intel 2×E5-2620 十二核二十四线...
vpsdime7美元/月,美国达拉斯Windows VPS,2核4G/50GB SSD/2TB流量/Hyper-V虚拟化
vpsdime怎么样?vpsdime是2013年成立的国外VPS主机商,以大内存闻名业界,主营基于OpenVZ和KVM虚拟化的Linux套餐,大内存、10Gbps大带宽、大硬盘,有美国西雅图、达拉斯、新泽西、英国、荷兰机房可选。在上个月搞了一款达拉斯Linux系统VPS促销,详情查看:vpsdime夏日促销活动,美国达拉斯vps,2G内存/2核/20gSSD/1T流量,$20/年,此次推出一款Wi...
阿里云服务器绑定域名的几个流程整理
今天遇到一个网友,他之前一直在用阿里云虚拟主机,我们知道虚拟主机绑定域名是直接在面板上绑定的。这里由于他的网站项目流量比较大,虚拟主机是不够的,而且我看他虚拟主机已经有升级过。这里要说的是,用过阿里云虚拟主机的朋友可能会比较一下价格,实际上虚拟主机价格比云服务器还贵。所以,基于成本和性能的考虑,建议他选择云服务器。毕竟他的备案都接入在阿里云。这里在选择阿里云服务器后,他就蒙圈不知道如何绑定域名。这...
远程访问为你推荐
-
vc组合金钟大奖VC组合的两个人分别叫什么?12306崩溃12306网站显示异常,什么原因啊bbs.99nets.com怎么打造完美SF75ff.com开机出现www.ami.com是什么?怎么解决啊刘祚天DJ这个职业怎么样?lunwenjiancepaperfree论文检测安全吗rawtools照片上面的RAW是什么意思,为什么不能到PS中去编辑百度关键词分析如何正确分析关键词?www.e12.com.cn上海高中除了四大名校,接下来哪所高中最好?顺便讲下它的各方面情况avtt4.comwww.51kao4.com为什么进不去啊?