PPTP常見問題

下載選項

PDF (260.3 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (82.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (68.6 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2009 年 3 月 24 日

文件 ID:18761

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文解答有關點對點通道通訊協定(PPTP)的常見問題。

如需檔案慣例的詳細資訊，請參閱思科技術提示中使用的慣例。

硬體

問：如何確定哪些平台支援PPTP?

A.您可以使用Feature Navigator工具(僅限註冊客戶)確定哪些Cisco^IOS®軟體版本支持PPTP。該工具允許您比較Cisco IOS軟體版本，將Cisco IOS軟體和CatOS功能與版本相匹配，並找出支援硬體所需的軟體版本。

問：PPTP何時首次引入思科安全PIX防火牆？

A. PPTP最初是在Cisco Secure PIX防火牆5.1版中引入的。請參閱PIX 6.x:使用Radius驗證的PPTP組態範例以瞭解詳細資訊。

注意： 7.x版及更高版本不支援PIX防火牆功能上的PPTP終止。

問：我需要瞭解有關Microsoft點對點加密(MPPE)的詳細資訊嗎？

答：MPPE需要Microsoft質詢握手身份驗證協定(MS-CHAP)。它僅適用於RADIUS或本地身份驗證，並且RADIUS伺服器必須支援MPPE-Keys屬性值。

此清單顯示一些平台及其MPPE相容性。

Cisco Secure ACS for UNIX(CSUNIX) — 否

Access Registrar — 否

放克RADIUS — 是

Cisco Secure ACS for Windows — 是

Microsoft Windows 2000 Internet Authentication Server — 是

問：最初Cisco IOS軟體支援PPTP的版本是什麼？

A.PPTP最初在Cisco 7100/7200路由器上的Cisco IOS軟體版本12.0(5)XE5中受支援。然後，它遷移到Cisco IOS軟體版本12.1(5)T中的Cisco IOS通用平台支援。

問：Microsoft PPTP產品和VPN 3000集中器有哪些已知的相容性問題？

A.此資訊基於VPN 3000系列集中器軟體版本3.5及更高版本；VPN 3000系列集中器，型號3005、3015、3030、3060、3080;和Microsoft作業系統Windows 95及更高版本。
Windows 95撥號網路(DUN)1.2

DUN 1.2不支援Microsoft點對點加密(MPPE)。請安裝Windows 95 DUN 1.3以使用MPPE進行連線。您可以從Microsoft網站下載Microsoft DUN 1.3升級。
Windows NT 4.0

VPN集中器的PPTP連線完全支援Windows NT。需要Service Pack 3(SP3)或更高版本。如果運行SP3，請安裝PPTP效能和安全修補程式。有關WinNT 4.0的PPTP效能和安全升級的資訊，請參閱Microsoft網站。此問題的唯一解決方法是重新安裝NT 4.0伺服器選項包，而不在之後新增Service Pack。

注意：128位Service Pack 5不能正確處理MPPE金鑰，並且PPTP可能無法傳遞資料。如果發生這種情況，事件日誌將顯示此消息。
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
User [ testuser ] 
disconnected. Experiencing excessive packet decrypt failure.
有關詳細資訊，請參閱Microsoft文章MPPE Keys Not Handled Corrected For a 128-Bit MS-CHAP Request 。

問：Cisco IOS路由器或PIX防火牆是否支援PPTP直通或PPTP over Port Address Translation(PAT)功能？

A. Cisco IOS軟體版本12.1T及更高版本支援PPTP穿透或PPTP over PAT功能。如需詳細資訊，請參閱Cisco IOS軟體12.1T早期部署版本系列中的「NAT — 在過載（連線埠位址轉譯）組態中支援PPTP」一節。請參閱IP通道 — 配置PPTP通過PAT到Microsoft PPTP伺服器，以配置Cisco IOS路由器上的PPTP通過PAT或PPTP通過。

PIX版本6.3及更高版本支援使用PPTP修正功能的PPTP傳遞或PPTP over PAT。此功能允許在為PAT配置時PPTP流量通過PIX。PIX在過程中執行有狀態PPTP資料包檢測。請參閱配置應用檢測（修正）中有關PPTP配置的部分，以便在PIX上配置PPTP修正。fixup protocol pptp 1723命令配置PPTP修正。

疑難排解

問：為了容納PPTP隧道，應該在防火牆上開啟哪些埠？

A.打開這些埠。

TCP/1723

IP通訊協定/47 GRE

有關詳細資訊，請參閱允許PPTP連線通過PIX。

問：已知的Cisco IOS軟體PPTP錯誤是什麼？

A.已確認以下錯誤：

CSCdt46181(僅限註冊客戶) — 有關詳細資訊，請參閱 Cisco IOS PPTP漏洞。

CSCdz47290(僅限註冊客戶) — 全域性啟用思科快速轉發(CEF)時，PPTP快速/進程交換中斷。

CSCdx86482(僅限註冊客戶)- PPTP隧道已中斷。

CSCdt1570(僅限註冊客戶)- 128位Microsoft點對點加密(MPPE)在硬體整合服務模組(ISM)上無法正常工作。

CSCdt6607(僅限註冊客戶)- PPTP 128位MPPE無法與適用於Windows的Cisco Secure ACS配合使用。

CSCdu19654(僅限註冊客戶)- PPTP失敗。

CSCdv50861(僅限註冊客戶)- MPPE不與Windows 2000協商。

已註冊客戶可以使用Cisco Bug Toolkit(僅限註冊客戶)來檢視錯誤詳細資訊，以瞭解詳細資訊。

PPTP有什麼侷限性？

A.這是PPTP的一些限制。

PPTP僅支援Cisco Express Forwarding(CEF)和進程交換。不支援快速交換。

Cisco IOS軟體僅支援作為PPTP網路伺服器(PNS)的自願通道。

您需要加密映像來支援MPPE。MPPE需要Microsoft質詢身份驗證協定(MS-CHAP)身份驗證，而TACACS+不支援MPPE。

問：對路由器上的PPTP進行故障排除時，應該查詢哪些重要的調試事件？

A.查找這些調試。

debug aaa authentication

debug aaa authorization

debug radius

debug ppp negotiation

debug ppp authentication

debug vpdn events

debug vpdn errors

debug vpdn l2x-packet

debug ppp mppe events

debug ppp chap

看看這些重大事件。
SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

問：當我收到消息「錯誤734」然後斷開連線時，這意味著什麼？

A.此錯誤表示路由器和PC無法協商身份驗證。例如，如果為Shiva PAP(SPAP)和Microsoft Challenge Authentication Protocol(MS-CHAP)版本2（當路由器無法執行版本2時）設定PC身份驗證協定，並將路由器設定為CHAP，則路由器上的debug ppp negotiation命令會顯示此輸出。
04:30:55: Vi1 LCP: Failed to negotiate with peer
另一個示例是如果路由器設定為vpdn group 1 ppp encrypt mppe 40 required，而PC設定為「不允許加密」。 PC沒有連線並產生「錯誤734」，路由器上的debug ppp negotiation命令會顯示此輸出。
04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

「錯誤742」是什麼意思？

A.此錯誤表示遠端電腦不支援所需的資料加密型別。例如，如果將PC設定為「僅加密」並從路由器刪除pptp encrypt mppe auto命令，則PC和路由器無法就加密達成一致。debug ppp negotiation命令會顯示此輸出。
04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)
另一個範例涉及路由器MPPE RADIUS問題。如果您將路由器設定為ppp encrypt mppe auto required，並將PC設定為「允許通過身份驗證對RADIUS伺服器進行加密但不返回MPPE金鑰」，則您會在PC上看到一個錯誤，指出「錯誤742:遠端電腦不支援所需的資料加密型別。」路由器偵錯顯示如下所示的「Call-Clear-Request」（位元組9和10 = 0x000C = 12 =每個RFC的Call-Clear-Request）。
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

我想我遇到了切分通道問題。當PC上出現PPTP隧道、PPTP路由器的度量高於以前的預設度量並且失去連線時，該怎麼做？

A.運行批處理檔案(batch.bat)以修改Microsoft路由以解決此問題。刪除預設路由並重新安裝預設路由（您必須知道PPTP客戶端分配的IP地址，如192.168.1.1）。

在本例中，路由器內的網路是10.13.1.x。
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

問：對PPTP進行故障排除時，需要考慮哪些問題？

答：此處列出了排除PPTP故障時要考慮的幾個與Microsoft有關的問題。有關詳細資訊，請訪問Microsoft知識庫提供的連結。

如何在註銷後保持RAS連線處於活動狀態

從RAS客戶端註銷時，Windows遠端訪問服務(RAS)連線將自動斷開。通過在RAS客戶端上啟用KeepRasConnections登錄檔項，可以保持連線。

使用快取憑據登入時不會提示使用者

如果您從基於Windows的工作站或成員伺服器登入到域，但找不到域控制器，則不會收到指示此問題的錯誤消息。而是使用快取的憑據登入到本地電腦。

如何針對域驗證和其他名稱解析問題編寫LMHOSTS檔案

如果您在TCP/IP網路上遇到名稱解析問題，您可能需要使用Lmhosts檔案來解析NetBIOS名稱。必須按照特定過程建立要在名稱解析和域驗證中使用的Lmhosts檔案。