يقدم هذا المستند تعليمات حول كيفية تكوين برنامج Cisco IOS® وعملاء Windows 2000 لبروتوكول نفق الطبقة 2 (L2TP) باستخدام خادم مصادقة الإنترنت (IAS) الخاص ب Microsoft.
ارجع إلى L2TP عبر IPsec بين Windows 2000/XP PC و PIX/ASA 7.2 باستخدام مثال تكوين مفتاح مشترك مسبقا للحصول على مزيد من المعلومات حول كيفية تكوين L2TP عبر أمان IP (IPSec) من عملاء Microsoft Windows 2000/2003 و XP عن بعد إلى جهاز أمان PIX الخاص بالمكتب المشترك باستخدام مفاتيح مشتركة مسبقا مع خادم Microsoft Windows 2003 IAS RADIUS لمصادقة المستخدم.
ارجع إلى تكوين L2TP عبر IPSec من عميل Windows 2000 أو XP إلى مركز Cisco VPN 3000 Series Concentrator باستخدام مفاتيح مشتركة مسبقا للحصول على مزيد من المعلومات حول كيفية تكوين L2TP عبر IPSec من عملاء Microsoft Windows 2000 و XP البعيدين إلى موقع شركة باستخدام طريقة مشفرة.
لا توجد متطلبات أساسية خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
المكون الاختياري ل Microsoft IAS المثبت على خادم Microsoft 2000 متقدم مع Active Directory
موجه Cisco 3600
برنامج IOS الإصدار c3640-io3s56i-mz.121-5.T من Cisco
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للعثور على مزيد من المعلومات حول الأوامر المستخدمة في هذا المستند.
يستخدم هذا المستند إعداد الشبكة التالي:
يستخدم هذا المستند تجمعات IP هذه لعملاء الطلب الهاتفي:
موجه العبارة: من 192.168.1.2 إلى 192.168.1.254
LNS: من 172.16.10.1 إلى 172.16.10.1
تأكد من تثبيت Microsoft IAS. لتثبيت Microsoft IAS، قم بتسجيل الدخول كمسؤول وإكمال الخطوات التالية:
تحت خدمات الشبكة، تحقق من مسح جميع خانات الاختيار.
حدد خانة الاختيار خادم مصادقة الإنترنت (IAS) ثم انقر على موافق.
في معالج مكونات Windows، انقر فوق التالي. إذا طلب منك ذلك، قم بإدخال القرص المضغوط الخاص بنظام التشغيل Windows 2000.
عند نسخ الملفات المطلوبة، انقر فوق إنهاء ثم قم بإغلاق جميع النوافذ. لا تحتاج إلى إعادة التشغيل.
أكمل الخطوات التالية:
من أدوات إدارية، افتح وحدة تحكم خادم مصادقة الإنترنت وانقر على العملاء.
في مربع الاسم المألوف، أدخل عنوان IP الخاص بخادم الوصول إلى الشبكة (NAS).
انقر فوق إستخدام IP هذا.
في القائمة المنسدلة العميل-المورد، تأكد من تحديد معيار RADIUS.
في مربعي سر مشترك وتأكيد سر مشترك، أدخل كلمة المرور ثم انقر على إنهاء.
في شجرة وحدة التحكم، انقر بزر الماوس الأيمن على خدمة مصادقة الإنترنت، ثم انقر على بدء.
إغلاق وحدة التحكم.
على عكس CiscoSecure، فإن قاعدة بيانات مستخدم خادم مصادقة طلب المستخدم البعيد (RADIUS) ل Windows 2000 مرتبطة بشدة بقاعدة بيانات مستخدم Windows.
في حالة تثبيت Active Directory على خادم Windows 2000، قم بإنشاء مستخدمي الطلب الهاتفي الجدد من مستخدمي Active Directory وأجهزة الكمبيوتر.
إذا لم يتم تثبيت Active Directory، يمكنك إستخدام المستخدمين المحليين والمجموعات المحلية من الأدوات الإدارية لإنشاء مستخدمين جدد.
أكمل هذه الخطوات لتكوين المستخدمين باستخدام Active Directory:
في وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، قم بتوسيع مجالك.
انقر بزر الماوس الأيمن فوق تمرير المستخدمين لتحديد مستخدم جديد.
قم بإنشاء مستخدم جديد يسمى TAC.
أدخل كلمة مرورك في شاشات كلمة المرور وتأكيد كلمة المرور.
امسح يجب على المستخدم تغيير كلمة المرور في خيار تسجيل الدخول التالي وانقر فوق التالي.
فتح مربع خصائص TAC للمستخدم. قم بالتبديل إلى علامة التبويب الطلب الهاتفي.
تحت إذن الوصول عن بعد (طلب هاتفي أو VPN)، انقر فوق السماح بالوصول، ثم انقر فوق موافق.
أكمل هذه الخطوات لتكوين المستخدمين في حالة عدم تثبيت Active Directory:
من الأدوات الإدارية، انقر فوق إدارة الكمبيوتر.
قم بتوسيع وحدة تحكم إدارة الكمبيوتر وانقر فوق المستخدمين المحليين والمجموعات المحلية.
انقر بزر الماوس الأيمن فوق تمرير المستخدمين لتحديد مستخدم جديد.
دخلت كلمة في الكلمة الكلمة ويؤكد كلمة شاشة.
امسح يجب على المستخدم تغيير كلمة المرور في خيار تسجيل الدخول التالي وانقر فوق التالي.
فتح مربع خصائص TAC للمستخدم الجديد. قم بالتبديل إلى علامة التبويب الطلب الهاتفي.
تحت إذن الوصول عن بعد (طلب هاتفي أو VPN)، انقر فوق السماح بالوصول، ثم انقر فوق موافق.
أكمل الخطوات التالية لتطبيق نهج الوصول عن بعد:
من أدوات إدارية، افتح وحدة التحكم في خادم مصادقة الإنترنت وانقر فوق سياسات الوصول عن بعد.
انقر فوق الزر إضافة في تحديد الشروط للمطابقة وإضافة نوع الخدمة. أختر النوع المتوفر كإطار. قم بإضافتها إلى الأنواع المحددة واضغط على موافق.
انقر زر إضافة على تحديد الشروط لتطابق وإضافة البروتوكول المؤطر. أختر النوع المتوفر ك PPP. قم بإضافتها إلى الأنواع المحددة واضغط على موافق.
انقر فوق الزر إضافة في تحديد الشروط للمطابقة وإضافة Windows-Groups لإضافة مجموعة Windows التي ينتمي إليها المستخدم. أختر المجموعة وإضافتها إلى الأنواع المحددة. اضغط على OK.
عند السماح بالوصول في حالة تمكين خصائص أذن الطلب الهاتفي، حدد منح إذن الوصول عن بعد.
إغلاق وحدة التحكم.
أكمل الخطوات التالية لتكوين عميل Windows 2000 ل L2TP:
من قائمة ابدأ، أختر إعدادات، ثم اتبع أحد المسارات التالية:
لوحة التحكم > إتصالات الشبكة والطلب الهاتفي
أو
إتصالات الشبكة والطلب الهاتفي > إجراء اتصال جديد
أستخدم المعالج لإنشاء اتصال يسمى L2TP. يتصل هذا الاتصال بشبكة خاصة من خلال الإنترنت. تحتاج أيضا إلى تحديد عنوان IP لبوابة نفق L2TP أو اسمها.
يظهر الاتصال الجديد في نافذة إتصالات الشبكة والطلب الهاتفي ضمن لوحة التحكم. من هنا، انقر على زر الماوس الأيمن لتحرير الخصائص.
ضمن علامة التبويب الشبكة، تأكد من أن نوع الخادم الذي أتصل به تم تعيينه على L2TP.
إذا كنت تخطط لتخصيص عنوان داخلي ديناميكي لهذا العميل من البوابة، إما من خلال تجمع محلي أو DHCP، فحدد بروتوكول TCP/IP. تأكد من تكوين العميل للحصول على عنوان IP تلقائيا. يمكنك أيضا إصدار معلومات DNS تلقائيا.
يسمح لك الزر خيارات متقدمة بتعريف معلومات WINS و DNS الثابتة.
تسمح لك علامة التبويب خيارات بإيقاف تشغيل IPSec، أو تعيين نهج مختلف للاتصال.
تحت علامة التبويب الأمان، يمكنك تحديد معلمات مصادقة المستخدم، مثل PAP أو CHAP أو MS-CHAP أو تسجيل الدخول إلى مجال Windows.
عند تكوين الاتصال، يمكنك النقر فوقه نقرا مزدوجا لتشغيل شاشة تسجيل الدخول، ثم الاتصال.
قم بتحرير خصائص اتصال الطلب الهاتفي L2TP الذي أنشأته للتو. انقر بزر الماوس الأيمن على الاتصال الجديد L2TP للحصول على إطار خصائص L2TP.
تحت علامة التبويب شبكة، انقر فوق خصائص بروتوكول الإنترنت (TCP/IP). انقر نقرا مزدوجا على علامة التبويب خيارات متقدمة. انتقل إلى علامة التبويب خيارات، وانقر فوق خصائص أمان IP، وإذا كان عدم إستخدام IPSec محددا، فافحص IP مرتين.
ملاحظة: لدى عملاء Microsoft Windows 2000 خدمة الوصول عن بعد ووكيل النهج الافتراضيين اللذين ينشئان، بشكل افتراضي، سياسة لحركة مرور L2TP. لا يسمح هذا النهج الافتراضي بحركة مرور L2TP بدون IPSec والتشفير. يمكنك تعطيل السلوك الافتراضي ل Microsoft عن طريق تحرير محرر سجل عميل Microsoft. يتم توفير إجراء تحرير سجل Windows وتعطيل النهج الافتراضي ل IPSec لحركة مرور L2TP في هذا القسم. ارجع إلى وثائق Microsoft لتحرير سجل Windows.
أستخدم "محرر السجل" (Regedt32.exe) لإضافة إدخال السجل الجديد لتعطيل IPSec. راجع وثائق Microsoft أو موضوع تعليمات Microsoft ل Regedt32.exe للحصول على مزيد من المعلومات.
يجب إضافة قيمة التسجيل BanIpSec إلى كل كمبيوتر نقطة نهاية مستند إلى Windows 2000 لاتصال L2TP أو IPSec لمنع إنشاء عامل التصفية التلقائي لحركة مرور L2TP و IPSec. عند تعيين قيمة تسجيل BanIpSec على واحد، لا يقوم الكمبيوتر الذي يستند إلى Windows 2000 بإنشاء عامل التصفية التلقائي الذي يستخدم مصادقة CA. بدلا من ذلك، فإنه يتحقق من نهج IPSec محلي أو نهج IPSec ل Active Directory. لإضافة قيمة التسجيل BanIpSec إلى الكمبيوتر المستند إلى Windows 2000، أستخدم Regedt32.exe لتحديد موقع هذا المفتاح في السجل:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
إضافة قيمة التسجيل هذه إلى هذا المفتاح:
Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1
ملاحظة: يجب إعادة تشغيل الكمبيوتر الذي يستند إلى نظام التشغيل Windows 2000 حتى تصبح التغييرات نافذة المفعول. ارجع إلى مقالات Microsoft التالية للحصول على مزيد من التفاصيل:
Q258261 - تعطيل سياسة IPsec المستخدمة مع L2TP
Q240262- كيفية تكوين اتصال L2TP/IPSec باستخدام مفتاح مشترك مسبقا
توضح هذه التكوينات الأوامر المطلوبة ل L2TP بدون IPSec. وبمجرد أن يعمل هذا التكوين الأساسي، يمكنك أيضا تكوين IPSec.
أنجيلا |
---|
Building configuration... Current configuration : 1595 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname angela ! logging rate-limit console 10 except errors !--- Enable AAA services here. aaa new-model aaa authentication login default group radius local aaa authentication login console none aaa authentication ppp default group radius local aaa authorization network default group radius local enable password ww ! memory-size iomem 30 ip subnet-zero ! ! no ip finger no ip domain-lookup ip host rund 172.17.247.195 ! ip audit notify log ip audit po max-events 100 ip address-pool local ! ! !--- Enable VPN/VPDN services and define groups and !--- specific variables required for the group. vpdn enable no vpdn logging ! vpdn-group L2TP_Windows 2000Client !--- Default L2TP VPDN group. !--- Allow the Router to accept incoming requests. accept-dialin protocol L2TP virtual-template 1 no L2TP tunnel authentication !--- Users are authenticated at the NAS or LNS !--- before the tunnel is established. This is not !--- required for client-initiated tunnels. ! ! call rsvp-sync ! ! ! ! ! ! ! controller E1 2/0 ! ! interface Loopback0 ip address 172.16.10.100 255.255.255.0 ! interface Ethernet0/0 ip address 10.200.20.2 255.255.255.0 half-duplex ! interface Virtual-Template1 ip unnumbered Loopback0 peer default ip address pool default ppp authentication ms-chap ! ip local pool default 172.16.10.1 172.16.10.10 ip classless ip route 0.0.0.0 0.0.0.0 10.200.20.1 ip route 192.168.1.0 255.255.255.0 10.200.20.250 no ip http server ! radius-server host 10.200.20.245 auth-port 1645 acct-port 1646 radius-server retransmit 3 radius-server key cisco ! dial-peer cor custom ! ! ! ! ! line con 0 exec-timeout 0 0 login authentication console transport input none line 33 50 modem InOut line aux 0 line vty 0 4 exec-timeout 0 0 password ww ! end angela# *Mar 12 23:10:54.176: L2TP: I SCCRQ from RSHANMUG-W2K1.cisco.com tnl 5 *Mar 12 23:10:54.176: Tnl 8663 L2TP: New tunnel created for remote RSHANMUG-W2K1.cisco.com, address 192.168.1.56 *Mar 12 23:10:54.176: Tnl 8663 L2TP: O SCCRP to RSHANMUG-W2K1.cisco.com tnlid 5 *Mar 12 23:10:54.180: Tnl 8663 L2TP: Tunnel state change from idle to wait-ctl-reply *Mar 12 23:10:54.352: Tnl 8663 L2TP: I SCCCN from RSHANMUG-W2K1.cisco.com tnl 5 *Mar 12 23:10:54.352: Tnl 8663 L2TP: Tunnel state change from wait-ctl-reply to established *Mar 12 23:10:54.352: Tnl 8663 L2TP: SM State established *Mar 12 23:10:54.356: Tnl 8663 L2TP: I ICRQ from RSHANMUG-W2K1.cisco.com tnl 5 *Mar 12 23:10:54.356: Tnl/Cl 8663/44 L2TP: Session FS enabled *Mar 12 23:10:54.356: Tnl/Cl 8663/44 L2TP: Session state change from idle to wait-connect *Mar 12 23:10:54.356: Tnl/Cl 8663/44 L2TP: New session created *Mar 12 23:10:54.356: Tnl/Cl 8663/44 L2TP: O ICRP to RSHANMUG-W2K1.cisco.com 5/1 *Mar 12 23:10:54.544: Tnl/Cl 8663/44 L2TP: I ICCN from RSHANMUG-W2K1.cisco.com tnl 5, cl 1 *Mar 12 23:10:54.544: Tnl/Cl 8663/44 L2TP: Session state change from wait-connect to established *Mar 12 23:10:54.544: Vi1 VPDN: Virtual interface created for *Mar 12 23:10:54.544: Vi1 PPP: Phase is DOWN, Setup [0 sess, 0 load] *Mar 12 23:10:54.544: Vi1 VPDN: Clone from Vtemplate 1 filterPPP=0 blocking *Mar 12 23:10:54.620: Tnl/Cl 8663/44 L2TP: Session with no hwidb *Mar 12 23:10:54.624: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 12 23:10:54.624: Vi1 PPP: Using set call direction *Mar 12 23:10:54.624: Vi1 PPP: Treating connection as a callin *Mar 12 23:10:54.624: Vi1 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load] *Mar 12 23:10:54.624: Vi1 LCP: State is Listen *Mar 12 23:10:54.624: Vi1 VPDN: Bind interface direction=2 *Mar 12 23:10:56.556: Vi1 LCP: I CONFREQ [Listen] id 1 len 44 *Mar 12 23:10:56.556: Vi1 LCP: MagicNumber 0x595E7636 (0x0506595E7636) *Mar 12 23:10:56.556: Vi1 LCP: PFC (0x0702) *Mar 12 23:10:56.556: Vi1 LCP: ACFC (0x0802) *Mar 12 23:10:56.556: Vi1 LCP: Callback 6 (0x0D0306) *Mar 12 23:10:56.556: Vi1 LCP: MRRU 1614 (0x1104064E) *Mar 12 23:10:56.556: Vi1 LCP: EndpointDisc 1 Local *Mar 12 23:10:56.556: Vi1 LCP: (0x1317012E07E41982EB4EF790F1BF1862) *Mar 12 23:10:56.556: Vi1 LCP: (0x10D0AC00000002) *Mar 12 23:10:56.556: Vi1 AAA/AUTHOR/FSM: (0): LCP succeeds trivially *Mar 12 23:10:56.556: Vi1 LCP: O CONFREQ [Listen] id 1 len 15 *Mar 12 23:10:56.556: Vi1 LCP: AuthProto MS-CHAP (0x0305C22380) *Mar 12 23:10:56.556: Vi1 LCP: MagicNumber 0x4E1B09B8 (0x05064E1B09B8) *Mar 12 23:10:56.560: Vi1 LCP: O CONFREJ [Listen] id 1 len 34 *Mar 12 23:10:56.560: Vi1 LCP: Callback 6 (0x0D0306) *Mar 12 23:10:56.560: Vi1 LCP: MRRU 1614 (0x1104064E) *Mar 12 23:10:56.560: Vi1 LCP: EndpointDisc 1 Local *Mar 12 23:10:56.560: Vi1 LCP: (0x1317012E07E41982EB4EF790F1BF1862) *Mar 12 23:10:56.560: Vi1 LCP: (0x10D0AC00000002) *Mar 12 23:10:56.700: Vi1 LCP: I CONFACK [REQsent] id 1 len 15 *Mar 12 23:10:56.700: Vi1 LCP: AuthProto MS-CHAP (0x0305C22380) *Mar 12 23:10:56.704: Vi1 LCP: MagicNumber 0x4E1B09B8 (0x05064E1B09B8) *Mar 12 23:10:56.704: Vi1 LCP: I CONFREQ [ACKrcvd] id 2 len 14 *Mar 12 23:10:56.704: Vi1 LCP: MagicNumber 0x595E7636 (0x0506595E7636) *Mar 12 23:10:56.704: Vi1 LCP: PFC (0x0702) *Mar 12 23:10:56.704: Vi1 LCP: ACFC (0x0802) *Mar 12 23:10:56.704: Vi1 LCP: O CONFACK [ACKrcvd] id 2 len 14 *Mar 12 23:10:56.708: Vi1 LCP: MagicNumber 0x595E7636 (0x0506595E7636) *Mar 12 23:10:56.708: Vi1 LCP: PFC (0x0702) *Mar 12 23:10:56.708: Vi1 LCP: ACFC (0x0802) *Mar 12 23:10:56.708: Vi1 LCP: State is Open *Mar 12 23:10:56.708: Vi1 PPP: Phase is AUTHENTICATING, by this end [0 sess, 0 load] *Mar 12 23:10:56.708: Vi1 MS-CHAP: O CHALLENGE id 28 len 21 from angela *Mar 12 23:10:56.852: Vi1 LCP: I IDENTIFY [Open] id 3 len 18 magic 0x595E7636 MSRASV5.00 *Mar 12 23:10:56.872: Vi1 LCP: I IDENTIFY [Open] id 4 len 27 magic 0x595E7636 MSRAS-1- RSHANMUG-W2K1 *Mar 12 23:10:56.880: Vi1 MS-CHAP: I RESPONSE id 28 len 57 from tac *Mar 12 23:10:56.880: AAA: parse name=Virtual-Access1 idb type=21 tty=-1 *Mar 12 23:10:56.880: AAA: name=Virtual-Access1 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 channel=0 *Mar 12 23:10:56.884: AAA/MEMORY: create_user (0x6273D024) user='tac' ruser='' port='Virtual-Access1' rem_addr='' authen_type=MSCHAP service=PPP priv=1 *Mar 12 23:10:56.884: AAA/AUTHEN/START (3634835145): port='Virtual-Access1' list='' action=LOGIN service=PPP *Mar 12 23:10:56.884: AAA/AUTHEN/START (3634835145): using default list *Mar 12 23:10:56.884: AAA/AUTHEN/START (3634835145): Method=radius (radius) *Mar 12 23:10:56.884: RADIUS: ustruct sharecount=0 *Mar 12 23:10:56.884: RADIUS: Initial Transmit Virtual-Access1 id 173 10.200.20.245:1645, Access-Request, len 129 *Mar 12 23:10:56.884: Attribute 4 6 0AC81402 *Mar 12 23:10:56.884: Attribute 5 6 00000001 *Mar 12 23:10:56.884: Attribute 61 6 00000001 *Mar 12 23:10:56.884: Attribute 1 5 7461631A *Mar 12 23:10:56.884: Attribute 26 16 000001370B0A0053 *Mar 12 23:10:56.884: Attribute 26 58 0000013701341C01 *Mar 12 23:10:56.884: Attribute 6 6 00000002 *Mar 12 23:10:56.884: Attribute 7 6 00000001 *Mar 12 23:10:56.900: RADIUS: Received from id 173 10.200.20.245:1645, Access-Accept, len 116 *Mar 12 23:10:56.900: Attribute 7 6 00000001 *Mar 12 23:10:56.900: Attribute 6 6 00000002 *Mar 12 23:10:56.900: Attribute 25 32 502605A6 *Mar 12 23:10:56.900: Attribute 26 40 000001370C22F6D5 *Mar 12 23:10:56.900: Attribute 26 12 000001370A061C4E *Mar 12 23:10:56.900: AAA/AUTHEN (3634835145): status = PASS *Mar 12 23:10:56.900: Vi1 AAA/AUTHOR/LCP: Authorize LCP *Mar 12 23:10:56.900: Vi1 AAA/AUTHOR/LCP (1995716469): Port='Virtual-Access1' list='' service=NET *Mar 12 23:10:56.900: AAA/AUTHOR/LCP: Vi1 (1995716469) user='tac' *Mar 12 23:10:56.900: Vi1 AAA/AUTHOR/LCP (1995716469): send AV service=ppp *Mar 12 23:10:56.900: Vi1 AAA/AUTHOR/LCP (1995716469): send AV protocol=lcp *Mar 12 23:10:56.900: Vi1 AAA/AUTHOR/LCP (1995716469): found list default *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/LCP (1995716469): Method=radius (radius) *Mar 12 23:10:56.904: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR (1995716469): Post authorization status = PASS_REPL *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/LCP: Processing AV service=ppp *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/LCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:10:56.904: Vi1 MS-CHAP: O SUCCESS id 28 len 4 *Mar 12 23:10:56.904: Vi1 PPP: Phase is UP [0 sess, 0 load] *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM: (0): Can we start IPCP? *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM (2094713042): Port='Virtual-Access1' list='' service=NET *Mar 12 23:10:56.904: AAA/AUTHOR/FSM: Vi1 (2094713042) user='tac' *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM (2094713042): send AV service=ppp *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM (2094713042): send AV protocol=ip *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM (2094713042): found list default *Mar 12 23:10:56.904: Vi1 AAA/AUTHOR/FSM (2094713042): Method=radius (radius) *Mar 12 23:10:56.908: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:10:56.908: Vi1 AAA/AUTHOR (2094713042): Post authorization status = PASS_REPL *Mar 12 23:10:56.908: Vi1 AAA/AUTHOR/FSM: We can start IPCP *Mar 12 23:10:56.908: Vi1 IPCP: O CONFREQ [Closed] id 1 len 10 *Mar 12 23:10:56.908: Vi1 IPCP: Address 172.16.10.100 (0x0306AC100A64) *Mar 12 23:10:57.040: Vi1 CCP: I CONFREQ [Not negotiated] id 5 len 10 *Mar 12 23:10:57.040: Vi1 CCP: MS-PPC supported bits 0x01000001 (0x120601000001) *Mar 12 23:10:57.040: Vi1 LCP: O PROTREJ [Open] id 2 len 16 protocol CCP (0x80FD0105000A120601000001) *Mar 12 23:10:57.052: Vi1 IPCP: I CONFREQ [REQsent] id 6 len 34 *Mar 12 23:10:57.052: Vi1 IPCP: Address 0.0.0.0 (0x030600000000) *Mar 12 23:10:57.052: Vi1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Mar 12 23:10:57.052: Vi1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Mar 12 23:10:57.052: Vi1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Mar 12 23:10:57.052: Vi1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Mar 12 23:10:57.052: Vi1 AAA/AUTHOR/IPCP: Start. Her address 0.0.0.0, we want 0.0.0.0 *Mar 12 23:10:57.056: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:10:57.056: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:10:57.056: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:10:57.056: Vi1 AAA/AUTHOR/IPCP: Done. Her address 0.0.0.0, we want 0.0.0.0 *Mar 12 23:10:57.056: Vi1 IPCP: Pool returned 172.16.10.1 *Mar 12 23:10:57.056: Vi1 IPCP: O CONFREJ [REQsent] id 6 len 28 *Mar 12 23:10:57.056: Vi1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Mar 12 23:10:57.056: Vi1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Mar 12 23:10:57.056: Vi1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Mar 12 23:10:57.056: Vi1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Mar 12 23:10:57.060: Vi1 IPCP: I CONFACK [REQsent] id 1 len 10 *Mar 12 23:10:57.060: Vi1 IPCP: Address 172.16.10.100 (0x0306AC100A64) *Mar 12 23:10:57.192: Vi1 IPCP: I CONFREQ [ACKrcvd] id 7 len 10 *Mar 12 23:10:57.192: Vi1 IPCP: Address 0.0.0.0 (0x030600000000) *Mar 12 23:10:57.192: Vi1 AAA/AUTHOR/IPCP: Start. Her address 0.0.0.0, we want 172.16.10.1 *Mar 12 23:10:57.192: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:10:57.192: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:10:57.192: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:10:57.192: Vi1 AAA/AUTHOR/IPCP: Done. Her address 0.0.0.0, we want 172.16.10.1 *Mar 12 23:10:57.192: Vi1 IPCP: O CONFNAK [ACKrcvd] id 7 len 10 *Mar 12 23:10:57.192: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:10:57.324: Vi1 IPCP: I CONFREQ [ACKrcvd] id 8 len 10 *Mar 12 23:10:57.324: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP: Start. Her address 172.16.10.1, we want 172.16.10.1 *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): Port='Virtual-Access1' list='' service=NET *Mar 12 23:10:57.324: AAA/AUTHOR/IPCP: Vi1 (413757991) user='tac' *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): send AV service=ppp *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): send AV protocol=ip *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): send AV addr*172.16.10.1 *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): found list default *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP (413757991): Method=radius (radius) *Mar 12 23:10:57.324: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR (413757991): Post authorization status = PASS_REPL *Mar 12 23:10:57.324: Vi1 AAA/AUTHOR/IPCP: Reject 172.16.10.1, using 172.16.10.1 *Mar 12 23:10:57.328: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:10:57.328: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:10:57.328: Vi1 AAA/AUTHOR/IPCP: Processing AV addr*172.16.10.1 *Mar 12 23:10:57.328: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:10:57.328: Vi1 AAA/AUTHOR/IPCP: Done. Her address 172.16.10.1, we want 172.16.10.1 *Mar 12 23:10:57.328: Vi1 IPCP: O CONFACK [ACKrcvd] id 8 len 10 *Mar 12 23:10:57.328: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:10:57.328: Vi1 IPCP: State is Open *Mar 12 23:10:57.332: Vi1 IPCP: Install route to 172.16.10.1 *Mar 12 23:10:57.904: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up *Mar 12 23:11:06.324: Vi1 LCP: I ECHOREP [Open] id 1 len 12 magic 0x595E7636 *Mar 12 23:11:06.324: Vi1 LCP: Received id 1, sent id 1, line up |
angela#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1 LocID RemID Remote Name State Remote Address Port Sessions 8663 5 RSHANMUG-W2K1.c est 192.168.1.56 1701 1 LocID RemID TunID Intf Username State Last Chg Fastswitch 44 1 8663 Vi1 tac est 00:00:18 enabled %No active L2F tunnels %No active PPTP tunnels %No active PPPoE tunnels *Mar 12 23:11:16.332: Vi1 LCP: I ECHOREP [Open] id 2 len 12 magic 0x595E7636 *Mar 12 23:11:16.332: Vi1 LCP: Received id 2, sent id 2, line upsh caller ip Line User IP Address Local Number Remote Number <-> Vi1 tac 172.16.10.1 - - in angela#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 10.200.20.1 to network 0.0.0.0 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.16.10.0/24 is directly connected, Loopback0 C 172.16.10.1/32 is directly connected, Virtual-Access1 10.0.0.0/24 is subnetted, 1 subnets C 10.200.20.0 is directly connected, Ethernet0/0 S 192.168.1.0/24 [1/0] via 10.200.20.250 S* 0.0.0.0/0 [1/0] via 10.200.20.1 *Mar 12 23:11:26.328: Vi1 LCP: I ECHOREP [Open] id 3 len 12 magic 0x595E7636 *Mar 12 23:11:26.328: Vi1 LCP: Received id 3, sent id 3, line up172.16.10.1 angela#ping 172.16.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 156/160/168 ms
إضافة الأمر ppp encrypt mppe 40 تحت الواجهة virtual-template 1. تأكد من تحديد التشفير في عميل Microsoft أيضا.
*Mar 12 23:27:36.608: L2TP: I SCCRQ from RSHANMUG-W2K1.cisco.com tnl 13 *Mar 12 23:27:36.608: Tnl 31311 L2TP: New tunnel created for remote RSHANMUG-W2K1.cisco.com, address 192.168.1.56 *Mar 12 23:27:36.608: Tnl 31311 L2TP: O SCCRP to RSHANMUG-W2K1.cisco.com tnlid 13 *Mar 12 23:27:36.612: Tnl 31311 L2TP: Tunnel state change from idle to wait-ctl-reply *Mar 12 23:27:36.772: Tnl 31311 L2TP: I SCCCN from RSHANMUG-W2K1.cisco.com tnl 13 *Mar 12 23:27:36.772: Tnl 31311 L2TP: Tunnel state change from wait-ctl-reply to established *Mar 12 23:27:36.776: Tnl 31311 L2TP: SM State established *Mar 12 23:27:36.780: Tnl 31311 L2TP: I ICRQ from RSHANMUG-W2K1.cisco.com tnl 13 *Mar 12 23:27:36.780: Tnl/Cl 31311/52 L2TP: Session FS enabled *Mar 12 23:27:36.780: Tnl/Cl 31311/52 L2TP: Session state change from idle to wait-connect *Mar 12 23:27:36.780: Tnl/Cl 31311/52 L2TP: New session created *Mar 12 23:27:36.780: Tnl/Cl 31311/52 L2TP: O ICRP to RSHANMUG-W2K1.cisco.com 13/1 *Mar 12 23:27:36.924: Tnl/Cl 31311/52 L2TP: I ICCN from RSHANMUG-W2K1.cisco.com tnl 13, cl 1 *Mar 12 23:27:36.928: Tnl/Cl 31311/52 L2TP: Session state change from wait-connect to established *Mar 12 23:27:36.928: Vi1 VPDN: Virtual interface created for *Mar 12 23:27:36.928: Vi1 PPP: Phase is DOWN, Setup [0 sess, 0 load] *Mar 12 23:27:36.928: Vi1 VPDN: Clone from Vtemplate 1 filterPPP=0 blocking *Mar 12 23:27:36.972: Tnl/Cl 31311/52 L2TP: Session with no hwidb *Mar 12 23:27:36.976: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 12 23:27:36.976: Vi1 PPP: Using set call direction *Mar 12 23:27:36.976: Vi1 PPP: Treating connection as a callin *Mar 12 23:27:36.976: Vi1 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load] *Mar 12 23:27:36.976: Vi1 LCP: State is Listen *Mar 12 23:27:36.976: Vi1 VPDN: Bind interface direction=2 *Mar 12 23:27:38.976: Vi1 LCP: TIMEout: State Listen *Mar 12 23:27:38.976: Vi1 AAA/AUTHOR/FSM: (0): LCP succeeds trivially *Mar 12 23:27:38.976: Vi1 LCP: O CONFREQ [Listen] id 1 len 15 *Mar 12 23:27:38.976: Vi1 LCP: AuthProto MS-CHAP (0x0305C22380) *Mar 12 23:27:38.976: Vi1 LCP: MagicNumber 0x4E2A5593 (0x05064E2A5593) *Mar 12 23:27:38.984: Vi1 LCP: I CONFREQ [REQsent] id 1 len 44 *Mar 12 23:27:38.984: Vi1 LCP: MagicNumber 0x4B4817ED (0x05064B4817ED) *Mar 12 23:27:38.984: Vi1 LCP: PFC (0x0702) *Mar 12 23:27:38.984: Vi1 LCP: ACFC (0x0802) *Mar 12 23:27:38.984: Vi1 LCP: Callback 6 (0x0D0306) *Mar 12 23:27:38.984: Vi1 LCP: MRRU 1614 (0x1104064E) *Mar 12 23:27:38.984: Vi1 LCP: EndpointDisc 1 Local *Mar 12 23:27:38.984: Vi1 LCP: (0x1317012E07E41982EB4EF790F1BF1862) *Mar 12 23:27:38.984: Vi1 LCP: (0x10D0AC0000000A) *Mar 12 23:27:38.984: Vi1 LCP: O CONFREJ [REQsent] id 1 len 34 *Mar 12 23:27:38.984: Vi1 LCP: Callback 6 (0x0D0306) *Mar 12 23:27:38.984: Vi1 LCP: MRRU 1614 (0x1104064E) *Mar 12 23:27:38.984: Vi1 LCP: EndpointDisc 1 Local *Mar 12 23:27:38.988: Vi1 LCP: (0x1317012E07E41982EB4EF790F1BF1862) *Mar 12 23:27:38.988: Vi1 LCP: (0x10D0AC0000000A) *Mar 12 23:27:39.096: Vi1 LCP: I CONFACK [REQsent] id 1 len 15 *Mar 12 23:27:39.096: Vi1 LCP: AuthProto MS-CHAP (0x0305C22380) *Mar 12 23:27:39.096: Vi1 LCP: MagicNumber 0x4E2A5593 (0x05064E2A5593) *Mar 12 23:27:39.128: Vi1 LCP: I CONFREQ [ACKrcvd] id 2 len 14 *Mar 12 23:27:39.128: Vi1 LCP: MagicNumber 0x4B4817ED (0x05064B4817ED) *Mar 12 23:27:39.128: Vi1 LCP: PFC (0x0702) *Mar 12 23:27:39.128: Vi1 LCP: ACFC (0x0802) *Mar 12 23:27:39.128: Vi1 LCP: O CONFACK [ACKrcvd] id 2 len 14 *Mar 12 23:27:39.128: Vi1 LCP: MagicNumber 0x4B4817ED (0x05064B4817ED) *Mar 12 23:27:39.128: Vi1 LCP: PFC (0x0702) *Mar 12 23:27:39.128: Vi1 LCP: ACFC (0x0802) *Mar 12 23:27:39.128: Vi1 LCP: State is Open *Mar 12 23:27:39.128: Vi1 PPP: Phase is AUTHENTICATING, by this end [0 sess, 0 load] *Mar 12 23:27:39.128: Vi1 MS-CHAP: O CHALLENGE id 32 len 21 from angela *Mar 12 23:27:39.260: Vi1 LCP: I IDENTIFY [Open] id 3 len 18 magic 0x4B4817ED MSRASV5.00 *Mar 12 23:27:39.288: Vi1 LCP: I IDENTIFY [Open] id 4 len 27 magic 0x4B4817ED MSRAS-1- RSHANMUG-W2K1 *Mar 12 23:27:39.296: Vi1 MS-CHAP: I RESPONSE id 32 len 57 from tac *Mar 12 23:27:39.296: AAA: parse name=Virtual-Access1 idb type=21 tty=-1 *Mar 12 23:27:39.296: AAA: name=Virtual-Access1 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 channel=0 *Mar 12 23:27:39.296: AAA/MEMORY: create_user (0x6273D528) user='tac' ruser='' port='Virtual-Access1' rem_addr='' authen_type=MSCHAP service=PPP priv=1 *Mar 12 23:27:39.296: AAA/AUTHEN/START (2410248116): port='Virtual-Access1' list='' action=LOGIN service=PPP *Mar 12 23:27:39.296: AAA/AUTHEN/START (2410248116): using default list *Mar 12 23:27:39.296: AAA/AUTHEN/START (2410248116): Method=radius (radius) *Mar 12 23:27:39.296: RADIUS: ustruct sharecount=0 *Mar 12 23:27:39.300: RADIUS: Initial Transmit Virtual-Access1 id 181 10.200.20.245:1645, Access-Request, len 129 *Mar 12 23:27:39.300: Attribute 4 6 0AC81402 *Mar 12 23:27:39.300: Attribute 5 6 00000001 *Mar 12 23:27:39.300: Attribute 61 6 00000001 *Mar 12 23:27:39.300: Attribute 1 5 7461631A *Mar 12 23:27:39.300: Attribute 26 16 000001370B0AFC72 *Mar 12 23:27:39.300: Attribute 26 58 0000013701342001 *Mar 12 23:27:39.300: Attribute 6 6 00000002 *Mar 12 23:27:39.300: Attribute 7 6 00000001 *Mar 12 23:27:39.312: RADIUS: Received from id 181 10.200.20.245:1645, Access-Accept, len 116 *Mar 12 23:27:39.312: Attribute 7 6 00000001 *Mar 12 23:27:39.312: Attribute 6 6 00000002 *Mar 12 23:27:39.312: Attribute 25 32 502E05AE *Mar 12 23:27:39.312: Attribute 26 40 000001370C225042 *Mar 12 23:27:39.312: Attribute 26 12 000001370A06204E *Mar 12 23:27:39.312: AAA/AUTHEN (2410248116): status = PASS *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP: Authorize LCP *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP (2365724222): Port='Virtual-Access1' list='' service=NET *Mar 12 23:27:39.316: AAA/AUTHOR/LCP: Vi1 (2365724222) user='tac' *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP (2365724222): send AV service=ppp *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP (2365724222): send AV protocol=lcp *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP (2365724222): found list default *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP (2365724222): Method=radius (radius) *Mar 12 23:27:39.316: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR (2365724222): Post authorization status = PASS_REPL *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP: Processing AV service=ppp *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/LCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.316: Vi1 MS-CHAP: O SUCCESS id 32 len 4 *Mar 12 23:27:39.316: Vi1 PPP: Phase is UP [0 sess, 0 load] *Mar 12 23:27:39.316: Vi1 AAA/AUTHOR/FSM: (0): Can we start IPCP? *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (1499311111): Port='Virtual-Access1' list='' service=NET *Mar 12 23:27:39.320: AAA/AUTHOR/FSM: Vi1 (1499311111) user='tac' *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (1499311111): send AV service=ppp *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (1499311111): send AV protocol=ip *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (1499311111): found list default *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (1499311111): Method=radius (radius) *Mar 12 23:27:39.320: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR (1499311111): Post authorization status = PASS_REPL *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM: We can start IPCP *Mar 12 23:27:39.320: Vi1 IPCP: O CONFREQ [Closed] id 1 len 10 *Mar 12 23:27:39.320: Vi1 IPCP: Address 172.16.10.100 (0x0306AC100A64) *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM: (0): Can we start CCP? *Mar 12 23:27:39.320: Vi1 AAA/AUTHOR/FSM (327346364): Port='Virtual-Access1' list='' service=NET *Mar 12 23:27:39.324: AAA/AUTHOR/FSM: Vi1 (327346364) user='tac' *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR/FSM (327346364): send AV service=ppp *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR/FSM (327346364): send AV protocol=ccp *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR/FSM (327346364): found list default *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR/FSM (327346364): Method=radius (radius) *Mar 12 23:27:39.324: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR (327346364): Post authorization status = PASS_REPL *Mar 12 23:27:39.324: Vi1 AAA/AUTHOR/FSM: We can start CCP *Mar 12 23:27:39.324: Vi1 CCP: O CONFREQ [Closed] id 1 len 10 *Mar 12 23:27:39.324: Vi1 CCP: MS-PPC supported bits 0x01000020 (0x120601000020) *Mar 12 23:27:39.460: Vi1 CCP: I CONFREQ [REQsent] id 5 len 10 *Mar 12 23:27:39.460: Vi1 CCP: MS-PPC supported bits 0x01000001 (0x120601000001) *Mar 12 23:27:39.460: Vi1 AAA/AUTHOR/FSM: Check for unauthorized mandatory AV's *Mar 12 23:27:39.460: Vi1 AAA/AUTHOR/FSM: Processing AV service=ppp *Mar 12 23:27:39.460: Vi1 AAA/AUTHOR/FSM: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.460: Vi1 AAA/AUTHOR/FSM: Succeeded *Mar 12 23:27:39.464: Vi1 CCP: O CONFNAK [REQsent] id 5 len 10 *Mar 12 23:27:39.464: Vi1 CCP: MS-PPC supported bits 0x01000020 (0x120601000020) *Mar 12 23:27:39.472: Vi1 IPCP: I CONFREQ [REQsent] id 6 len 34 *Mar 12 23:27:39.472: Vi1 IPCP: Address 0.0.0.0 (0x030600000000) *Mar 12 23:27:39.472: Vi1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Mar 12 23:27:39.472: Vi1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Mar 12 23:27:39.472: Vi1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Mar 12 23:27:39.472: Vi1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Mar 12 23:27:39.472: Vi1 AAA/AUTHOR/IPCP: Start. Her address 0.0.0.0, we want 0.0.0.0 *Mar 12 23:27:39.472: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:27:39.472: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.472: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:27:39.472: Vi1 AAA/AUTHOR/IPCP: Done. Her address 0.0.0.0, we want 0.0.0.0 *Mar 12 23:27:39.472: Vi1 IPCP: Pool returned 172.16.10.1 *Mar 12 23:27:39.476: Vi1 IPCP: O CONFREJ [REQsent] id 6 len 28 *Mar 12 23:27:39.476: Vi1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Mar 12 23:27:39.476: Vi1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Mar 12 23:27:39.476: Vi1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Mar 12 23:27:39.476: Vi1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Mar 12 23:27:39.480: Vi1 IPCP: I CONFACK [REQsent] id 1 len 10 *Mar 12 23:27:39.484: Vi1 IPCP: Address 172.16.10.100 (0x0306AC100A64) *Mar 12 23:27:39.488: Vi1 CCP: I CONFACK [REQsent] id 1 len 10 *Mar 12 23:27:39.488: Vi1 CCP: MS-PPC supported bits 0x01000020 (0x120601000020) *Mar 12 23:27:39.596: Vi1 CCP: I CONFREQ [ACKrcvd] id 7 len 10 *Mar 12 23:27:39.596: Vi1 CCP: MS-PPC supported bits 0x01000020 (0x120601000020) *Mar 12 23:27:39.596: Vi1 AAA/AUTHOR/FSM: Check for unauthorized mandatory AV's *Mar 12 23:27:39.596: Vi1 AAA/AUTHOR/FSM: Processing AV service=ppp *Mar 12 23:27:39.596: Vi1 AAA/AUTHOR/FSM: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.596: Vi1 AAA/AUTHOR/FSM: Succeeded *Mar 12 23:27:39.596: Vi1 CCP: O CONFACK [ACKrcvd] id 7 len 10 *Mar 12 23:27:39.596: Vi1 CCP: MS-PPC supported bits 0x01000020 (0x120601000020) *Mar 12 23:27:39.596: Vi1 CCP: State is Open *Mar 12 23:27:39.600: Vi1 MPPE: Generate keys using RADIUS data *Mar 12 23:27:39.600: Vi1 MPPE: Initialize keys *Mar 12 23:27:39.600: Vi1 MPPE: [40 bit encryption] [stateless mode] *Mar 12 23:27:39.620: Vi1 IPCP: I CONFREQ [ACKrcvd] id 8 len 10 *Mar 12 23:27:39.620: Vi1 IPCP: Address 0.0.0.0 (0x030600000000) *Mar 12 23:27:39.620: Vi1 AAA/AUTHOR/IPCP: Start. Her address 0.0.0.0, we want 172.16.10.1 *Mar 12 23:27:39.620: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:27:39.620: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.620: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:27:39.620: Vi1 AAA/AUTHOR/IPCP: Done. Her address 0.0.0.0, we want 172.16.10.1 *Mar 12 23:27:39.624: Vi1 IPCP: O CONFNAK [ACKrcvd] id 8 len 10 *Mar 12 23:27:39.624: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:27:39.756: Vi1 IPCP: I CONFREQ [ACKrcvd] id 9 len 10 *Mar 12 23:27:39.756: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP: Start. Her address 172.16.10.1, we want 172.16.10.1 *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): Port='Virtual-Access1' list='' service=NET *Mar 12 23:27:39.756: AAA/AUTHOR/IPCP: Vi1 (2840659706) user='tac' *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): send AV service=ppp *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): send AV protocol=ip *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): send AV addr*172.16.10.1 *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): found list default *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP (2840659706): Method=radius (radius) *Mar 12 23:27:39.756: RADIUS: unrecognized Microsoft VSA type 10 *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR (2840659706): Post authorization status = PASS_REPL *Mar 12 23:27:39.756: Vi1 AAA/AUTHOR/IPCP: Reject 172.16.10.1, using 172.16.10.1 *Mar 12 23:27:39.760: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp *Mar 12 23:27:39.760: Vi1 AAA/AUTHOR/IPCP: Processing AV mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111 *Mar 12 23:27:39.760: Vi1 AAA/AUTHOR/IPCP: Processing AV addr*172.16.10.1 *Mar 12 23:27:39.760: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded *Mar 12 23:27:39.760: Vi1 AAA/AUTHOR/IPCP: Done. Her address 172.16.10.1, we want 172.16.10.1 *Mar 12 23:27:39.760: Vi1 IPCP: O CONFACK [ACKrcvd] id 9 len 10 *Mar 12 23:27:39.760: Vi1 IPCP: Address 172.16.10.1 (0x0306AC100A01) *Mar 12 23:27:39.760: Vi1 IPCP: State is Open *Mar 12 23:27:39.764: Vi1 IPCP: Install route to 172.16.10.1 *Mar 12 23:27:40.316: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up *Mar 12 23:27:46.628: Vi1 LCP: I ECHOREP [Open] id 1 len 12 magic 0x4B4817ED *Mar 12 23:27:46.628: Vi1 LCP: Received id 1, sent id 1, line up *Mar 12 23:27:56.636: Vi1 LCP: I ECHOREP [Open] id 2 len 12 magic 0x4B4817ED *Mar 12 23:27:56.636: Vi1 LCP: Received id 2, sent id 2, line upcaller ip Line User IP Address Local Number Remote Number <-> Vi1 tac 172.16.10.1 - - in angela#show ppp mppe virtual-Access 1 Interface Virtual-Access1 (current connection) Software encryption, 40 bit encryption, Stateless mode packets encrypted = 0 packets decrypted = 16 sent CCP resets = 0 receive CCP resets = 0 next tx coherency = 0 next rx coherency = 16 tx key changes = 0 rx key changes = 16 rx pkt dropped = 0 rx out of order pkt= 0 rx missed packets = 0 *Mar 12 23:28:06.604: Vi1 LCP: I ECHOREP [Open] id 3 len 12 magic 0x4B4817ED *Mar 12 23:28:06.604: Vi1 LCP: Received id 3, sent id 3, line up angela#ping 172.16.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 188/196/204 ms angela#show ppp mppe virtual-Access 1 Interface Virtual-Access1 (current connection) Software encryption, 40 bit encryption, Stateless mode packets encrypted = 5 packets decrypted = 22 sent CCP resets = 0 receive CCP resets = 0 next tx coherency = 5 next rx coherency = 22 tx key changes = 5 rx key changes = 22 rx pkt dropped = 0 rx out of order pkt= 0 rx missed packets = 0 angela#ping 172.16.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 184/200/232 ms angela#ping 172.16.10.1sh ppp mppe virtual-Access 1 Interface Virtual-Access1 (current connection) Software encryption, 40 bit encryption, Stateless mode packets encrypted = 10 packets decrypted = 28 sent CCP resets = 0 receive CCP resets = 0 next tx coherency = 10 next rx coherency = 28 tx key changes = 10 rx key changes = 28 rx pkt dropped = 0 rx out of order pkt= 0 rx missed packets = 0 angela#
ارجع إلى معلومات مهمة عن أوامر تصحيح الأخطاء قبل أن تستخدم أوامر debug.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
إذا لم تعمل الأشياء، فالحد الأدنى من تصحيح الأخطاء يتضمن الأوامر التالية:
debug aaa authentication—يعرض معلومات حول مصادقة AAA/TACACS+.
تصحيح أخطاء تفويض المصادقة والتفويض والمحاسبة (AAA)—يعرض معلومات حول تفويض AAA/TACACS+.
debug ppp negotiation—يعرض حزم PPP المرسلة أثناء بدء تشغيل PPP، حيث يتم التفاوض حول خيارات PPP.
debug ppp authentication—يعرض رسائل بروتوكول المصادقة، والتي تتضمن عمليات تبادل حزم بروتوكول المصادقة المتباينة (CHAP) وعمليات تبادل بروتوكول مصادقة كلمة المرور (PAP).
debug radius—يعرض معلومات تصحيح الأخطاء التفصيلية المرتبطة ب RADIUS.
إذا كانت المصادقة تعمل، ولكن هناك مشاكل في تشفير Microsoft من نقطة إلى نقطة (MPPE)، فاستخدم أحد الأوامر التالية:
debug ppp mppe ربط—يعرض كل حركة مرور MPPE الصادرة الصادرة.
debug ppp mppe event—يعرض تكرارات MPPE الأساسية.
debug ppp mppe detail—يعرض معلومات MPPE المطولة.
debug vpdn l2x-packet—يعرض رسائل حول رؤوس بروتوكول إعادة توجيه المستوى 2 (L2F) وحالته.
debug vpdn events— يعرض رسائل حول الأحداث التي تعد جزءا من إنشاء النفق العادي أو إيقاف تشغيله.
debug vpdn errors—يعرض الأخطاء التي تمنع إنشاء نفق أو الأخطاء التي تتسبب في إغلاق نفق تم إنشاؤه.
debug vpdn pacdn— يعرض كل حزمة بروتوكول يتم تبادلها. قد يؤدي هذا الخيار إلى عدد كبير من رسائل تصحيح الأخطاء ويجب إستخدامه بشكل عام فقط على هيكل تصحيح الأخطاء بجلسة عمل واحدة نشطة.
show vpdn— يعرض معلومات حول نفق بروتوكول L2F النشط ومعرفات الرسائل في شبكة الاتصال الخاصة الظاهرية (VPDN).
يمكنك أيضا إستخدام الأمر show vpdn؟ لعرض أوامر show الأخرى الخاصة ب VPDN.
إفترض أن موجه البوابة هو موجه مزود خدمة الإنترنت (ISP). عندما يظهر نفق بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) على الكمبيوتر الشخصي، يتم تثبيت مسار PPTP بمقياس أعلى من الافتراضي السابق، لذلك نفقد اتصال الإنترنت. لحل هذه المشكلة، قم بتعديل توجيه Microsoft لحذف المسار الافتراضي وإعادة تثبيت المسار الافتراضي (يتطلب ذلك معرفة عنوان IP الذي تم تعيين عميل PPTP له؛ للمثال الحالي، هذا هو 172.16.10.1):
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 192.168.1.47 metric 1 route add 172.16.10.1 mask 255.255.255.0 192.168.1.47 metric 1
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
يرى مستخدم الكمبيوتر هذه الرسالة:
Error connecting to L2TP: Error 781: The encryption attempt failed because no valid certificate was found.
انتقل إلى قسم الخصائص في نافذة الاتصال الخاص الظاهري وانقر فوق علامة التبويب الأمان. قم بتعطيل خيار طلب تشفير البيانات.
فشلت محاولة اتصال L2TP لأن طبقة الأمان واجهت خطأ معالجة أثناء المفاوضات الأولية مع الكمبيوتر البعيد.
تقوم خدمات Microsoft Remote Access و Policy Agent بإنشاء نهج يتم إستخدامه لحركة مرور L2TP لأن L2TP لا يوفر تشفير. وهذا ينطبق على Microsoft Windows 2000 Advanced Server و Microsoft Windows 2000 Server و Microsoft Windows 2000 Professional.
أستخدم "محرر السجل" (Regedt32.exe) لإضافة إدخال السجل الجديد لتعطيل IPSec. ارجع إلى وثائق Microsoft أو موضوع تعليمات Microsoft ل Regedt32.exe.
يجب إضافة قيمة التسجيل BanIpSec إلى كل كمبيوتر نقطة نهاية مستند إلى Windows 2000 لاتصال L2TP أو IPSec لمنع إنشاء عامل التصفية التلقائي لحركة مرور L2TP و IPSec. عند تعيين قيمة تسجيل BanIpSec على واحد، لا يقوم الكمبيوتر الذي يستند إلى Windows 2000 بإنشاء عامل التصفية التلقائي الذي يستخدم مصادقة CA. بدلا من ذلك، فإنه يتحقق من نهج IPSec محلي أو نهج IPSec ل Active Directory. لإضافة قيمة التسجيل BanIpSec إلى الكمبيوتر المستند إلى Windows 2000، أستخدم Regedt32.exe لتحديد موقع هذا المفتاح في السجل:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
إضافة قيمة التسجيل هذه إلى هذا المفتاح:
Value Name: ProhibitIpSec Data Type: REG_DWORD Value: 1
ملاحظة: يجب إعادة تشغيل الكمبيوتر الذي يستند إلى نظام التشغيل Windows 2000 حتى تصبح التغييرات نافذة المفعول.
تتم مصادقة المستخدمين في NAS أو LNS قبل إنشاء النفق. هذا غير مطلوب للأنفاق التي بدأها العميل مثل L2TP من عميل Microsoft.
يرى مستخدم الكمبيوتر هذه الرسالة:
Connecting to 10.200.20.2.. Error 651: The modem(or other connecting device) has reported an error. Router debugs: *Mar 12 23:03:47.124: L2TP: I SCCRQ from RSHANMUG-W2K1.cisco.com tnl 1 *Mar 12 23:03:47.124: Tnl 30107 L2TP: New tunnel created for remote RSHANMUG-W2K1.cisco.com, address 192.168.1.56 *Mar 12 23:03:47.124: Tnl 30107 L2TP: O SCCRP to RSHANMUG-W2K1.cisco.com tnlid 1 *Mar 12 23:03:47.124: Tnl 30107 L2TP: Tunnel state change from idle to wait-ctl-reply *Mar 12 23:03:47.308: Tnl 30107 L2TP: I SCCCN from RSHANMUG-W2K1.cisco.com tnl 1 *Mar 12 23:03:47.308: Tnl 30107 L2TP: Got a Challenge Response in SCCCN from RSHANMUG-W2K1.cisco.com *Mar 12 23:03:47.308: AAA: parse name= idb type=-1 tty=-1 *Mar 12 23:03:47.308: AAA/MEMORY: create_user (0x6273D528) user='angela' ruser='' port='' rem_addr='' authen_type=CHAP service=PPP priv=1 *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): port='' list='default' action=SENDAUTH service=PPP *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): found list default *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): Method=radius (radius) *Mar 12 23:03:47.308: AAA/AUTHEN/SENDAUTH (4077585132): no authenstruct hwidb *Mar 12 23:03:47.308: AAA/AUTHEN/SENDAUTH (4077585132): Failed sendauthen for angela *Mar 12 23:03:47.308: AAA/AUTHEN (4077585132): status = FAIL *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): Method=LOCAL *Mar 12 23:03:47.308: AAA/AUTHEN (4077585132): SENDAUTH no password for angela *Mar 12 23:03:47.308: AAA/AUTHEN (4077585132): status = ERROR *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): no methods left to try *Mar 12 23:03:47.308: AAA/AUTHEN (4077585132): status = ERROR *Mar 12 23:03:47.308: AAA/AUTHEN/START (4077585132): failed to authenticate *Mar 12 23:03:47.308: VPDN: authentication failed, couldn't find user information for angela *Mar 12 23:03:47.308: AAA/MEMORY: free_user (0x6273D528) user='angela' ruser='' port='' rem_addr='' authen_type=CHAP service=PPP priv=1 *Mar 12 23:03:47.312: Tnl 30107 L2TP: O StopCCN to RSHANMUG-W2K1.cisco.com tnlid 1 *Mar 12 23:03:47.312: Tnl 30107 L2TP: Tunnel state change from wait-ctl-reply to shutting-down *Mar 12 23:03:47.320: Tnl 30107 L2TP: Shutdown tunnel *Mar 12 23:03:47.320: Tnl 30107 L2TP: Tunnel state change from shutting-down to idle *Mar 12 23:03:47.324: L2TP: Could not find tunnel for tnl 30107, discarding ICRQ ns 3 nr 1 *Mar 12 23:03:47.448: L2TP: Could not find tunnel for tnl 30107, discarding ICRQ ns 3 nr 2
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
23-Oct-2009 |
الإصدار الأولي |