IP : 点对点隧道协议(PPTP)

PPTP 常见问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档讨论有关点对点隧道协议 (PPTP) 的常见问题。

有关文档规则的详细信息,请参阅 Cisco 技术提示中使用的规则

硬件

Q. 如何能确定哪些平台支持 PPTP?

A. 您能确定通过使用功能导航工具(仅限注册用户),哪些Cisco IOS 软件版本支持PPTP。该工具可用于比较 Cisco IOS 软件版本,将 Cisco IOS 软件和 CatOS 功能与各版本进行匹配,并查明支持您的硬件所需的软件版本。

Q. Cisco Secure PIX 防火墙何时首次引入 PPTP?

A. 回Cisco Secure PIX 防火墙 5.1 版中首次引入了 PPTP。要了解有关 Cisco PIX 安全设备运行软件版本 6.x 的相同方案的详细信息,请参阅 PIX 6.x:与RADIUS验证配置示例的PPTP欲知更多信息。

注意: 7.x 版和更高版本不支持在 PIX 防火墙上的 PPTP 终端功能。

Q. 我需要了解哪些有关 Microsoft 点对点加密 (MPPE) 的详细信息?

A. MPPE 需要 Microsoft 质询握手身份验证协议 (MS-CHAP)。它只与RADIUS或本地认证一起使用,并且RADIUS服务器必须支持MPPE键的属性值。

下表显示了一些平台及其 MPPE 兼容性。

  • Cisco Secure ACS for UNIX (CSUNIX) - 不支持

  • Access Registrar - 不支持

  • Funk RADIUS - 支持

  • Cisco Secure ACS for Windows - 支持

  • Microsoft Windows 2000 Internet 身份验证服务器 - 支持

Q. 最初支持 PPTP 的是 Cisco IOS 软件的哪个版本?

A. 最初支持 PPTP 的是 Cisco 7100/7200 路由器上的 Cisco IOS 软件版本 12.0(5)XE5。随后在 Cisco IOS 软件版本 12.1(5)T 中转为 Cisco IOS 的一般平台支持。

Q. Microsoft 的 PPTP 产品和 VPN 3000 集中器有哪些已知的兼容性问题?

A. 此信息基于:VPN 3000 系列集中器软件版本 3.5 和更高版本;VPN 3000 系列集中器(型号 3005、3015、3030、3060、3080);以及 Microsoft 操作系统 Windows 95 和更高版本。

Q. Cisco IOS 路由器或 PIX 防火墙是否支持 PPTP 穿透功能或通过端口地址转换 (PAT) 的 PPTP 功能?

A. Cisco IOS 软件版本 12.1T 和更高版本支持 PPTP 穿透功能或通过 PAT 的 PPTP 功能。有关详细信息,请参阅 Cisco IOS 软件 12.1T 早期部署版系列的“NAT - 超载(端口地址转换)配置中的 PPTP 支持”部分。若要在 Cisco IOS 路由器上配置通过 PAT 的 PPTP 或 PPTP 穿透功能,请参阅 IP 隧道 - 配置通过 PAT 指向 Microsoft PPTP 服务器的 PPTP

使用 PPTP 修正功能的 PIX 6.3 版和更高版本支持 PPTP 穿透功能或通过 PAT 的 PPTP。配置为采用 PAT 时,此功能允许 PPTP 数据流通过 PIX。PIX 在进程中执行有状态的 PPTP 数据包检查。若要在 PIX 上配置 PPTP 修正功能,请参阅“配置应用程序检查(修正)”中有关 PPTP 配置的部分。fixup protocol pptp 1723 命令用于配置 PPTP 修正。

故障排除

Q. 为支持 PPTP 隧道,应打开防火墙的哪些端口?

A. 应打开以下端口。

Q. Cisco IOS 软件已知的 PPTP Bug 有哪些?

A. 这些Bug识别:

注册用户能查看Bug详细信息通过使用Cisco Bug工具套件(仅限注册用户)欲知更多信息。

Q. 对 PPTP 有哪些限制?

A. 下面是对 PPTP 的一些限制。

  • PPTP 仅支持 Cisco 快速转发 (CEF) 和进程交换。不支持快速交换。

  • Cisco IOS 软件仅支持自主建立隧道作为 PPTP 网络服务器 (PNS)。

  • 需要有加密映像才能支持 MPPE。MPPE 需要 Microsoft 质询身份验证协议 (MS-CHAP) 身份验证,而且不支持将 MPPE 与 TACACS+ 一起使用。

Q. 排除路由器上的 PPTP 故障时,应查看哪些重要的调试事件?

A. 应查看下列调试。

应查看下列重要事件。

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

Q. 当我收到“Error 734”消息,然后被断开时,这意味着什么?

A. 此错误表明路由器和 PC 无法就身份验证进行协商。例如,如果将 PC 身份验证协议设置为 Shiva PAP (SPAP) 和 Microsoft 质询身份验证协议 (MS-CHAP) 版本 2(路由器无法运行版本 2 时),并且将路由器的协议设置为 CHAP,那么在路由器上执行 debug ppp negotiation 命令将显示以下输出。

04:30:55: Vi1 LCP: Failed to negotiate with peer

另一个示例是如果路由器设置vpdn group 1 ppp encrypt mppe 40 required,PC机便设置用于“允许的不加密”。PC 无法连接并产生“Error 734”,在路由器上执行 debug ppp negotiation 命令显示以下输出。

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

Q. “Error 742”的含义是什么?

A. 此错误表示远程计算机不支持所需的数据加密类型。例如,如果将 PC 设置为“仅加密”,并从路由器中删除 pptp encrypt mppe auto command 命令,PC 与路由器便无法就加密达成协议。debug ppp negotiation 命令显示以下输出。

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

另一个示例涉及路由器 MPPE RADIUS 的问题。如果将路由器设置为 ppp encrypt mppe auto required,将 PC 设置为“encryption allowed with authentication to a RADIUS server not returning the MPPE key”,则会在 PC 上收到以下错误:“Error 742 :The remote computer does not support the required data encryption type.”路由器调试显示“呼叫清除请求”(字节 9 和字节 10 = 0x000C = 12 = 每 RFC 的呼叫清除请求),如下所示。

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

Q. 我认为遇到了一个分割隧道问题。如果 PPTP 隧道在 PC 上打开,而 PPTP 路由器的度量值高于原来的默认值,导致连接断开,我应该怎么做?

A. 运行批处理文件 (batch.bat) 以修改 Microsoft 路由,从而解决此问题。删除默认值并重装默认路由(您必须知道PPTP客户端所分配到的IP 地址,如192.168.1.1)。

在本例中,路由器内的网络是 10.13.1.x。

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

Q. 排除 PPTP 故障时需要考虑哪些问题?

A. 下面列出了排除 PPTP 故障时要考虑的几个 Microsoft 相关问题。通过下面提供的链接,可以从 Microsoft 知识库获得详细信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 18761