AnyConnect安全移动连接错误：“VPN客户端无法设置IP过滤”

下载选项

PDF (590.4 KB)
在各种设备上使用 Adobe Reader 查看
ePub (295.7 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (246.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2013 年 7 月 29 日

文档 ID:116347

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍在输入此Cisco AnyConnect安全移动客户端VPN用户消息时应执行哪些操作：

The VPN client was unable to setup IP filtering.
A VPN connection will not be established.

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息仅基于Windows Vista和Windows 7操作系统。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

基本过滤引擎(BFE)服务

BFE是一项管理防火墙和互联网协议安全(IPsec)策略并实施用户模式过滤的服务。如果停止或禁用BFE服务，系统的安全性会大大降低。它还会导致IPsec管理和防火墙应用出现不可预知的行为。

以下系统组件取决于BFE服务：

互联网密钥交换(IKE)和经身份验证的互联网协议(AuthIP) IPsec密钥模块
互联网连接共享(ICS)
IPsec策略代理
路由和远程访问
Windows防火墙

AnyConnect安全移动客户端对主机进行路由和远程访问更改。IKEv2还依赖于IKE模块。这意味着，如果BFE服务停止，则AnyConnect安全移动客户端无法安装或用于建立安全套接字层(SSL)连接。

活动循环中存在一些威胁，这些威胁会禁用和删除BFE服务，作为感染过程中的第一步。

Win32/Sirefef (ZeroAccess)特洛伊木马

Win32/Sirefef (ZeroAccess)特洛伊木马程序是一个包含多个组件的恶意软件系列，它使用隐藏功能来隐藏其在计算机中的存在。此威胁使攻击者能够完全访问您的系统。由于其性质，负载可能因感染不同而差异很大，但常见的行为包括：

下载和执行任意文件。
远程主机的联系人。
禁用安全功能。

没有与此威胁相关的常见症状。来自已安装防病毒软件的警报通知可能是唯一的症状。

Win32/Sirefef (ZeroAccess)特洛伊木马程序尝试停止和删除以下与安全相关的服务：

Windows Defender服务(windefense)
IP帮助程序服务(iphlpsvc)
Windows安全中心服务(wscsvc)
Windows防火墙服务(mpssvc)
基本过滤引擎服务(bfe)

注意：Win32/Sirefef (ZeroAccess)特洛伊木马是一种使用高级隐身技术来阻止其检测和删除的危险威胁。由于感染此威胁，您可能需要修复并重新配置某些Windows安全功能。

问题

这些场景包括：

用户无法安装AnyConnect安全移动客户端，并收到错误消息“VPN客户端无法设置IP过滤。无法建立VPN连接。”
AnyConnect安全移动客户端最初工作正常。但是；最终用户无法再建立连接并收到错误消息“Anyconnect was not able a connection to the specified secure gateway.请再次尝试连接。”

解决方案

当看到这些错误消息时，请务必确认BFE实际是否被禁用/丢失，或者客户端是否无法识别BFE。要排除故障，请完成以下步骤：

从Windows菜单访问服务控制管理器(SCM)：
搜索BFE服务以确认其是否存在。

如果服务运行，则状态显示为Started。如果该列中有任何其他内容，则说明该服务有问题。但是，如果状态显示为“已启动”，则客户端显然无法与服务通信，并且可能存在Bug。

如果服务已禁用或未启动，可能的原因包括：

如前所述，恶意软件会首先禁用此服务。
计算机上的注册表损坏。

修复程序

第一步是使用防病毒软件扫描您的系统并对其进行消毒。如果BFE服务将被Win32/Sirefef (ZeroAccess)特洛伊木马程序再次删除，则不应恢复该服务。从此网页下载ESET SirefefCleaner工具，并将其保存到您的桌面。

此视频说明删除Win32/Sirefef (ZeroAccess)特洛伊木马的程序：

如何删除Win32/Sirefef (ZeroAccess)特洛伊木马？

删除Win32/Sirefef (ZeroAccess)特洛伊木马程序后，请验证BFE服务是否可以正常启动并保持活动状态。为此，请执行以下操作：

启动SCM，选择Extended(扩展)选项卡而非Standard（标准）。
选择BFE服务。
在左侧选择Start选项。

注意：在尝试此过程之前备份文件是一种好的做法。本文中的所有信息均按“原样”提供，对其准确性、完整性或对特定用途的适用性不做任何明示或暗示的保证。

如果此过程不起作用，请完成以下步骤：

从该网页下载ESET ServicesRepair实用程序，并将其保存到您的桌面。
执行ESET ServicesRepair实用程序。
按照提示修复BFE服务。
实用程序完成后，重新启动计算机。
计算机重新启动后，请再次安装或执行AnyConnect安全移动客户端。

注意：测试表明，在注册表文件损坏或服务损坏的大多数情况下，此工具都会有所帮助。因此，如果您遇到这些错误消息，此工具也会被证明非常有用：
- VPN客户端代理无法创建进程间通信库。
- VPN代理服务未响应。请在一分钟后重新启动此应用程序。
- 本地计算机上的Cisco Anyconnect安全移动代理服务已启动并停止。如果某些服务未被其他服务或程序使用，则这些服务将自动停止。

修订历史记录

版本	发布日期	备注
1.0	26-Jun-2013	初始版本

由思科工程师提供