Протокол IP : Туннелирование IP

Вопросы и ответы по протоколу PPTP

22 сентября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (24 марта 2009) | Отзыв

Вопросы

Введение
Аппаратные средства
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Данный документ рассматривает часто задаваемые вопросы по протоколу туннелирования "точка-точка" (PPTP).

Дополнительные сведения об условных обозначениях данного документа см. в разделе Условные обозначения, использованные в практических рекомендациях компании Cisco.

Аппаратные средства

В. Как можно определить, что платформы поддерживают PPTP?

О. Можно определить, какие версии ПО Cisco IOS® поддерживают PPTP с помощью инструмента Feature Navigator (только для зарегистрированных пользователей). Это средство позволяет сравнивать версии программного обеспечения Cisco IOS, устанавливать соответствия между функциями Cisco IOS и CatOS и версиями программ, выбирать нужные версии программного обеспечения для поддержки оборудования.

В. Когда протокол PPTP был впервые реализован в брандмауэре Cisco Secure PIX?

О. Первый раз PPTP был реализован в брандмауэре Cisco Secure PIX версии 5.1. Дополнительную информацию см. в разделе "Виртуальные частные сети PPTP" в документе Руководство по расширенной настройке PIX.

Примечание. Версии PIX 7.x и выше не поддерживают функцию оконечных устройств для соединений по протоколу PPTP.

В. Существуют ли какие-либо дополнительные сведения о шифровании MPPE (Microsoft Point-to-Point Encryption), которые надо знать для использования этой технологии?

О. Для использования MPPE необходим протокол аутентификации с предварительным согласованием вызова Microsoft (MS-CHAP). Он работает только с системой RADIUS или с локальной аутентификацией, а сервер RADIUS должен поддерживать значения атрибутов для ключей MPPE.

В следующем списке показаны некоторые платформы и их совместимость с технологией MPPE.

  • Cisco Secure ACS для UNIX (CSUNIX) — Нет

  • Access Registrar — Нет

  • Funk RADIUS — Да

  • Cisco Secure ACS для Windows — Да

  • Сервер Microsoft Windows 2000 Internet Authentication Server — Да

В. Какая версия программного обеспечения Cisco IOS изначально поддерживала PPTP?

О. Впервые исходная поддержка PPTP была реализована в ПО Cisco IOS версии 12.0(5)XE5 на маршрутизаторах Cisco 7100/7200. Затем, начиная с ПО Cisco IOS версии 12.1(5)T, эта поддержка была реализована во всех платформах Cisco IOS.

В. Существуют ли какие-либо проблемы совместимости между продуктами Microsoft PPTP и концентратором VPN 3000?

О. Нижеприведенные сведения основаны на программном обеспечении версии 3.5 или более поздней для концентраторов серии VPN 3000 моделей 3005, 3015, 3020, 3030, 3060 и 3080, а также на операционной системе Microsoft Windows 95 и последующих.

В. Поддерживают ли маршрутизаторы под управлением Cisco IOS или брандмауэры PIX прохождение протокола PPTP или его передачу с помощью функции преобразования адресов портов PAT?

О. ПО Cisco IOS начиная с версии 12.1T поддерживает прохождение протокола PPTP или его передачу через PAT. Дополнительную информацию см. в разделе "NAT — поддержка PPTP в конфигурации с перегрузкой (с использованием PAT)" документацииКраткое описание ПО Cisco IOS версии 12.1T для первичного развертывания. Чтобы настроить передачу протокола PPTP через PAT или прохождение PPTP через маршрутизатор Cisco IOS, обратитесь к разделу IP-туннелирование — конфигурирование PPTP через PAT для сервера Microsoft PPTP.

PIX версии 6.3 и более поздние поддерживают проход PPTP или использование PPTP по PAT с помощью функции привязки PPTP. Эта функция позволяет PPTP-трафику проходить PIX, если выполнена настройка для работы с PAT. PIX выполняет постоянную проверку пакетов PPTP в процессе. Для того чтобы зафиксировать PPTP на PIX, обратитесь к разделу Настройка PPTP в документе Проверка настройки приложений (фиксация). Команда fixup protocol pptp 1723 настраивает адресную привязку PPTP.

Устранение неполадок

В. Какие порты нужно открыть в брандмауэре для создания туннелей PPTP ?

О. Откройте следующие порты.

В. Какие ошибки PPTP известны в ПО Cisco IOS?

О. Были идентифицированы следующие ошибки.

  • CSCdt46181 — дополнительную информацию см. Уязвимость PPTP в Cisco IOS.

  • CSCdz47290 — нарушена быстрая коммутация и коммутация процессов PPTP при глобальном включении метода коммутации CEF.

  • CSCdx86482 — нарушено туннелирование PPTP.

  • CSCdt11570 — 128-разрядное шифрование MPPE не работает на аппартных модулях интегрированных служб ISM.

  • CSCdt66607 — 128-разрядное шифрование MPPE для протокола PPTP не работает с Cisco Secure ACS для Windows.

  • CSCdu19654 — ошибка PPTP.

  • CSCdv50861 — модуль шифрования MPPE не взаимодействует с Windows 2000.

Зарегистрированные пользователи могут просмотреть дополнительную информацию с подробными сведениями об ошибках, используя средство Bug Toolkit (только для зарегистрированных пользователей).

В. Каковы ограничения для PPTP?

О. PPTP имеет некоторые ограничения.

  • PPTP поддерживает только Cisco Express Forwarding (CEF) и коммутацию процессов. Быстрая коммутация не поддерживается.

  • ПО Cisco IOS поддерживает только добровольное туннелирование в виде сетевого сервера PPTP (PNS).

  • Для поддержки MPPE необходимы криптографические образы. Для шифрования MPPE требуется аутентификация MS-CHAP, а MPPE не поддерживается с TACACS+.

В. На какие существенные события отладки следует обращать внимание в процессе устранения неполадок PPTP для маршрутизатора?

О. См. за следующими событиями отладки.

  • debug aaa authentication

  • debug aaa authorization

  • debug radius

  • debug ppp negotiation

  • debug ppp authentication

  • debug vpdn events

  • debug vpdn errors

  • debug vpdn l2x-packet

  • debug ppp mppe events

  • debug ppp chap

Контролируйте наступление этих важных событий.

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

В. Что означает получение сообщения "Error 734" и последующее отключение?

О. Эта ошибка показывает, что маршрутизатор и компьютер не могут согласовать аутентификацию. Например, если заданы протоколы аутентификации ПК для Shiva PAP (SPAP) и MS-CHAP версии 2 (если маршрутизатор не способен поддерживать эту версию), и задан маршрутизатор для CHAP, то в этом случае при отправке на моршрутизатор команды debug ppp negotiation, выдается следующая информация.

04:30:55: Vi1 LCP: Failed to negotiate with peer

Другим примером является ситуация, когда на маршрутизатор отправлена команда vpdn group 1 ppp encrypt mppe 40 required, а для ПК задан "запрет любого шифрования". Этот ПК не может установить соединение и выдает сообщение "Error 734," а при отправке на маршрутизатор команды debug ppp negotiation, выдается следующая информация.

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

В. Что означает сообщение "Error 742"?

О. Этот код ошибки означает, что удаленный компьютер не поддерживает требуемый тип шифрования данных. Например, если для ПК задан режим "только зашифрованный трафик", а с маршрутизатора убрана команда pptp encrypt mppe auto, то в этом случае ПК и маршрутизатор не смогут согласовать шифрование. В результате выполнения команды debug ppp negotiation отображаются следующие выходные данные.

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

Другой пример включает проблему с маршрутизатором MPPE RADIUS. Если для маршрутизатора установлено ppp encrypt mppe auto required, а ПК для "шифрования, разрешенного с аутентификацией на сервер RADIUS, не возвращает ключ MPPE", то на ПК выдается следующее сообщение об ошибке "Error 742: The remote computer does not support the required data encryption type (Ошибка 742: удаленный компьютер не поддерживает требуемый тип шифрования данных)". Отладчик маршрутизатора отображает Call-Clear-Request (bytes 9 and 10 = 0x000C = 12 = Call-Clear-Request per RFC) как показано здесь.

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

В. Кажется у меня проблема с раздельным туннелированием. Что делать, когда появляется PPTP туннель, метрика PPTP маршрутизатора выше, чем предыдущие настройки по умолчанию, и связь теряется?

О. Чтобы решить эту проблему, запустите пакетный файл (batch.bat) изменения маршрутизации Microsoft. Удалите и повторно установите заданный по умолчанию маршрутизатор (необходимо знать IP-адрес, которому назначен клиент PPTP, например 192.168.1.1).

В рассматриваемом примере сетевой адрес в маршрутизаторе равен 10.13.1.x.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

В. Какие проблемы следует учитывать при отладке PPTP?

О. Ниже перечислены некоторые проблемы, связанные с использованием Microsoft, которые необходимо учитывать при устранении неполадок PPTP. Подробнее см. Базу знаний Майкрософт и приведенные ниже ссылки.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 18761