Herunterladen Diese Seite drucken

Werbung

Cisco VPN 3000 Concentrator - Häufig gestellte
Fragen
Inhalt
Einführung
Allgemeines
Software
Weitere erweiterte Funktionen
Zugehörige Informationen
Einführung
Dieses Dokument beantwortet häufig gestellte Fragen (FAQs) zum Cisco VPN Concentrator der
Serie 3000.
Weitere Informationen zu Dokumentkonventionen finden Sie in den
Cisco Technical Tips
Conventions
(Technische Tipps zu Konventionen von Cisco).
Allgemeines
F. Was bedeutet die Fehlermeldung "
"?
Lost Service
Antwort: Wenn für einen bestimmten Zeitraum kein Datenverkehr zwischen dem VPN-
Concentrator und dem VPN-Client gesendet wird, wird vom VPN-Concentrator ein Dead Peer
Detection (DPD)-Paket an den VPN-Client gesendet, um sicherzustellen, dass der Peer weiterhin
vorhanden ist. Bei Verbindungsproblemen zwischen den beiden Peers, bei denen der VPN-Client
nicht auf den VPN-Concentrator reagiert, sendet der VPN-Concentrator weiterhin DPD-Pakete
über einen bestimmten Zeitraum. Dadurch wird der Tunnel beendet, und es wird ein Fehler
ausgegeben, wenn während dieser Zeit keine Antwort eingeht. Weitere Informationen finden Sie
unter Cisco Bug ID
CSCdz45586
(Support-Vertrag erforderlich).
Der Fehler sollte wie folgt aussehen:
SEV=4 AUTH/28 RPT=381 XXX.XXX.XXX.XX User [SomeUser] disconnected:
Duration: HH:MM:SS Bytes xmt: 19560 Bytes rcv: 17704 Reason:
Lost Service YYYY/MM/DD HH:MM:SS XXX.XXX.XXX.XXX
syslog notice
45549 MM/DD/YYYY HH:MM:SS SEV=4 IKE/123 RPT=XXX.XXX.XXX.XXX
Group [SomeDefault] User [SomeUser]
IKE lost contact with remote peer, deleting connection (keepalive type: DPD)
Ursache: Der Remote-IKE-Peer reagierte nicht auf Keepalives innerhalb des erwarteten
Zeitfensters, sodass die Verbindung zum IKE-Peer gelöscht wurde. Die Nachricht enthält den
verwendeten Keepalive-Mechanismus. Dieses Problem ist nur reproduzierbar, wenn die
öffentliche Schnittstelle während einer aktiven Tunnelsitzung getrennt wird. Der Kunde muss die
Netzwerkverbindung überwachen, wenn diese Ereignisse generiert werden, um die Ursache
potenzieller Netzwerkverbindungsprobleme zu ermitteln.

Werbung

loading

Inhaltszusammenfassung für Cisco VPN 3000 Concentrator Serie

  • Seite 1 Allgemeines Software Weitere erweiterte Funktionen Zugehörige Informationen Einführung Dieses Dokument beantwortet häufig gestellte Fragen (FAQs) zum Cisco VPN Concentrator der Serie 3000. Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
  • Seite 2 Deaktivieren Sie IKE-Keepalive, indem Sie %System Root%\Programme\Cisco Systems\VPN Client\Profiles auf dem Client-PC aufrufen, auf dem das Problem auftritt, und bearbeiten Sie die PCF-Datei (falls zutreffend) für die Verbindung. Ändern Sie 'ForceKeepAlives=0' (Standard) in 'ForceKeepAlives=1'. Wenn das Problem weiterhin besteht, öffnen Sie eine Serviceanfrage beim...
  • Seite 3 können Sie den Zugriff basierend auf der Quelladresse unter Administration > Access Rights > Access Control List (Verwaltung > Zugriffsrechte > Zugriffskontrollliste) festlegen. Weitere Informationen erhalten Sie im Hilfemenü in der rechten oberen Ecke des Fensters. F. Wie kann ich die Benutzerinformationen in der internen Benutzerdatenbank anzeigen? Sie wird nicht angezeigt, wenn ich die Konfigurationsdatei sehe.
  • Seite 4 Wert im Bereich von 4001 bis 49151 konfiguriert werden. In Version 3.5 oder höher können Sie IPsec über TCP konfigurieren, indem Sie Configuration > System > Tunneling Protocols > IPSec > IPSec über TCP wählen. Sie können bis zu 10 kommagetrennte TCP-Ports (1 - 65535) eingeben. Wenn diese Option konfiguriert ist, stellen Sie sicher, dass diese Ports in Ihrer Firewall oder Ihrem Router Zugriffskontrolllisten ausführen dürfen.
  • Seite 5 F. Verfügt die Cisco VPN Concentrator Serie 3000 über eine integrierte Firewall? Wenn ja, welche Funktionen werden unterstützt? Antwort: Während die Serie über integrierte Funktionen für Stateless-Port/Filterung und NAT verfügt, empfiehlt Cisco die Verwendung eines Geräts wie der Cisco Secure PIX Firewall für die Unternehmens-Firewall.
  • Seite 6 Konzentrator. Dieser Benutzer erhält bei der Verbindung immer die im VPN-Concentrator konfigurierte IP-Adresse. Alle anderen, die derselben Gruppe oder anderen Gruppen angehören, erhalten eine IP-Adresse aus dem globalen Pool oder DHCP.Mit der Cisco VPN 3000 Concentrator-Software ab Version 3.0 haben Sie die Möglichkeit, einen Adresspool auf Gruppenbasis zu konfigurieren.
  • Seite 7 F. Wie viele Filter sind maximal für einen VPN 3000-Konzentrator zulässig? Antwort: Die maximale Anzahl der Filter, die Sie auf einer VPN 30xx-Einheit hinzufügen können (selbst auf einer 3030- oder 3060-Einheit), ist auf 100 festgelegt. Benutzer können weitere Informationen zu diesem Problem finden, indem Sie die Cisco Bug-ID CSCdw86558 anzeigen (Support-Vertrag erforderlich).
  • Seite 8 Senden von Informationen an das VPN-Client-Protokoll verwendet. Weitere Portfunktionen sind hier aufgeführt. 62514 - Cisco Systems, Inc. VPN Service to Cisco Systems IPsec Driver 62515 - Cisco Systems IPsec-Treiber für Cisco Systems, Inc. VPN-Service 62516 - Cisco Systems, Inc. VPN-Service bis XAUTH 62517 - XAUTH to Cisco Systems, Inc.
  • Seite 9 Antwort: Die Datenkomprimierung erhöht die Speicheranforderungen und die CPU-Auslastung für jede Benutzersitzung und reduziert somit den Gesamtdurchsatz des VPN Concentrator. Aus diesem Grund empfiehlt Cisco, die Datenkomprimierung nur zu aktivieren, wenn jedes Mitglied der Gruppe ein Remote-Benutzer ist, der eine Verbindung mit einem Modem herstellt. Wenn ein Mitglied der Gruppe über Breitband eine Verbindung herstellt, aktivieren Sie keine...
  • Seite 10 Antwort: Der Lastenausgleich ist nur bei Remote-Sitzungen wirksam, die mit dem Cisco VPN Software Client (Version 3.0 und höher) initiiert wurden. Alle anderen Clients (PPTP, L2TP) und LAN-zu-LAN-Verbindungen können eine Verbindung zu einem VPN-Konzentrator herstellen, für den der Lastenausgleich aktiviert ist. Sie können jedoch nicht am Lastenausgleich teilnehmen.
  • Seite 11 2.500 Remote-Standorte unterstützen. Ein Dual-Homed VPN-Gerät, das an die Spoke-Standorte ausgeht, zählt als zwei der maximal 20 Geräte, die überwacht werden können. Zugehörige Informationen Support-Seite für Cisco VPN 3000 Concentrator Cisco VPN 3000 Client Support-Seite Technischer Support und Dokumentation für Cisco Systeme...