이 문서에서는 PPTP(Point-to-Point Tunnel Protocol)에 대해 자주 묻는 질문을 다룹니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁에 사용된 표기 규칙을 참조하십시오.
A. Feature Navigator 도구를 사용하여 어떤 Cisco IOS® Software 릴리스가 PPTP를 지원하는지 확인할 수 있습니다(등록된 고객만). 이 툴을 사용하여 Cisco IOS 소프트웨어 릴리스를 비교하고, Cisco IOS 소프트웨어 및 CatOS 기능을 릴리스와 일치시키고, 하드웨어를 지원하는 데 필요한 소프트웨어 릴리스를 확인할 수 있습니다.
A. PPTP는 Cisco Secure PIX 방화벽 버전 5.1에 처음 도입되었습니다. PIX 6.x를 참조하십시오.자세한 내용은 PPTP with Radius Authentication Configuration 예를 참조하십시오.
참고: 버전 7.x 이상에서는 PIX 방화벽 기능의 PPTP 종료가 지원되지 않습니다.
A. MPPE에는 MS-CHAP(Microsoft Challenge Handshake Authentication Protocol)가 필요합니다. RADIUS 또는 로컬 인증에서만 작동하며 RADIUS 서버는 MPPE-Keys 특성 값을 지원해야 합니다.
이 목록에는 일부 플랫폼과 해당 MPPE 호환성이 표시됩니다.
UNIX용 Cisco Secure ACS(CSUNIX) - 아니요
액세스 등록자 - 아니요
펑크 RADIUS - 예
Windows용 Cisco Secure ACS - 예
Microsoft Windows 2000 인터넷 인증 서버 - 예
A. PPTP는 Cisco 7100/7200 라우터의 Cisco IOS Software 릴리스 12.0(5)XE5에서 처음에 지원되었습니다.그런 다음 Cisco IOS Software 릴리스 12.1(5)T의 Cisco IOS 일반 플랫폼 지원으로 전환했습니다.
A. 이 정보는 VPN 3000 Series Concentrator 소프트웨어 릴리스 3.5 이상을 기반으로 합니다.VPN 3000 Series Concentrator, 모델 3005, 3015, 3030, 3060, 3080;및 Microsoft 운영 체제 Windows 95 이상
Windows 95 DUN(전화 접속 네트워킹) 1.2
Microsoft MPPE(Point-to-Point Encryption)는 DUN 1.2에서 지원되지 않습니다. MPPE를 사용하여 연결하려면 Windows 95 DUN 1.3을 설치하십시오.Microsoft 웹 사이트에서 Microsoft DUN 1.3 업그레이드 를 다운로드할 수 있습니다.
Windows NT 4.0
Windows NT는 VPN Concentrator에 대한 PPTP 연결에 대해 완벽하게 지원됩니다.서비스 팩 3(SP3) 이상이 필요합니다.SP3을 실행하는 경우 PPTP 성능 및 보안 패치를 설치합니다.WinNT 4.0용 PPTP 성능 및 보안 업그레이드에 대한 자세한 내용은 Microsoft의 웹 사이트를 참조하십시오.이에 대한 유일한 해결 방법은 나중에 서비스 팩을 추가하지 않고 NT 4.0 서버 옵션 팩을 다시 설치하는 것입니다.
참고: 128비트 서비스 팩 5는 MPPE 키를 제대로 처리하지 않으며 PPTP에서 데이터를 전달하지 못할 수 있습니다.이 경우 이벤트 로그에 이 메시지가 표시됩니다.
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 User [ testuser ] disconnected. Experiencing excessive packet decrypt failure.자세한 내용은 128비트 MS-CHAP 요청에 대한 Microsoft 문서 MPPE 키가 올바르게 처리되지 않음 을 참조하십시오.
A. Cisco IOS Software 릴리스 12.1T 이상에서는 PPTP 통과 또는 PPTP over PAT 기능을 지원합니다.자세한 내용은 Cisco IOS Software 12.1T Early Deployment Release Series의 "NAT - Support for PPTP in an Overload (Port Address Translation) Configuration(오버로드의 PPTP 지원(포트 주소 변환) 컨피그레이션)" 섹션을 참조하십시오.Cisco IOS 라우터에서 PPTP over PAT 또는 PPTP 통과를 구성하려면 IP Tunneling - Configuring PPTP Through PAT to a Microsoft PPTP Server를 참조하십시오.
PIX 버전 6.3 이상에서는 PPTP 수정 기능을 사용하여 PPTP 통과 또는 PPTP over PAT를 지원합니다.이 기능을 사용하면 PAT에 대해 구성된 경우 PPTP 트래픽이 PAT를 통과할 수 있습니다.PIX는 프로세스에서 상태 저장 PPTP 패킷 검사를 수행합니다.PIX에 대한 PPTP 수정을 구성하려면 Configuring Application Inspection (Fixup)의 PPTP 컨피그레이션에 대한 섹션을 참조하십시오.fixup protocol pptp 1723 명령은 PPTP 수정을 구성합니다.
A. 이 포트를 엽니다.
TCP/1723
IP 프로토콜/47 GRE
자세한 내용은 PIX를 통한 PPTP 연결 허용을 참조하십시오.
A. 이러한 버그가 식별되었습니다.
CSCdt46181(등록된 고객만 해당) - 자세한 내용은 Cisco IOS PPTP 취약성을 참조하십시오.
CSCdz47290(등록된 고객만 해당) - CEF(Cisco Express Forwarding)가 전역적으로 활성화된 경우 PPTP 고속/프로세스 스위칭이 중단되었습니다.
CSCdx86482(등록된 고객만) - PPTP 터널링이 중단되었습니다.
CSCdt11570(등록된 고객만 해당) - 128비트 Microsoft MPPE(Point-to-Point Encryption)는 하드웨어 ISM(Integrated Services Module)에서 작동하지 않습니다.
CSCdt66607(등록된 고객만) - PPTP 128비트 MPPE는 Windows용 Cisco Secure ACS에서 작동하지 않습니다.
CSCdu19654(등록된 고객만) - PPTP에 실패합니다.
CSCdv50861(등록된 고객만) - MPPE는 Windows 2000과 협상하지 않습니다.
등록된 고객은 Cisco Bug Toolkit(등록된 고객만)을 사용하여 자세한 버그 정보를 볼 수 있습니다.
A. PPTP의 몇 가지 제한 사항입니다.
PPTP는 Cisco CEF(Express Forwarding) 및 프로세스 스위칭만 지원합니다.고속 스위칭은 지원되지 않습니다.
Cisco IOS 소프트웨어는 PPTP PNS(Network Server)로서 자발적 터널링만 지원합니다.
MPPE 지원을 위해 암호화 이미지가 필요합니다.MPPE는 MS-CHAP(Microsoft Challenge Authentication Protocol) 인증을 필요로 하며 MPPE는 TACACS+에서 지원되지 않습니다.
A. 이 디버그를 찾아봐.
디버그 aaa 인증
디버그 aaa 권한 부여
디버그 반경
디버그 ppp 협상
디버그 ppp 인증
vpdn 이벤트 디버그
디버그 vpdn 오류
debug vpdn l2x-packet
디버그 ppp mppe 이벤트
디버그 ppp chap
이러한 중요한 이벤트를 찾습니다.
SCCRQ = Start-Control-Connection-Request - message code bytes 9 and 10 = 0001 SCCRP = Start-Control-Connection-Reply OCRQ = Outgoing-Call-Request - message code bytes 9 and 10 = 0007 OCRP = Outgoing-Call-Reply
A. 이 오류는 라우터와 PC가 인증을 협상할 수 없음을 나타냅니다.예를 들어 SPAP(Shiva PAP) 및 MS-CHAP(Microsoft Challenge Authentication Protocol) 버전 2에 대한 PC 인증 프로토콜을 설정하고 라우터가 버전 2를 수행할 수 없는 경우 CHAP에 대한 라우터를 설정한 경우 라우터의 debug negotiation 명령에서 이 출력을 표시합니다.
04:30:55: Vi1 LCP: Failed to negotiate with peer또 다른 예는 vpdn 그룹 1 ppp 암호화 맵 40에 라우터가 설정되어 있고 PC가 "암호화 허용 안 함"으로 설정되어 있는 경우입니다. PC가 연결되지 않고 "Error 734"를 생성하며 라우터의 debug ppp negotiation 명령에 이 출력이 표시됩니다.
04:51:55: Vi1 LCP: I PROTREJ [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)
A. 이 오류는 원격 컴퓨터가 필요한 데이터 암호화 유형을 지원하지 않음을 의미합니다.예를 들어 "encrypted only"로 PC를 설정하고 라우터에서 pptp encrypt ppe auto 명령을 삭제하면 PC와 라우터가 암호화에 동의할 수 없습니다.debug ppp negotiation 명령은 이 출력을 표시합니다.
04:41:09: Vi1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)또 다른 예로는 라우터 MPPE RADIUS 문제가 있습니다.ppp 암호화 맵 자동을 위한 라우터를 설정하고 "RADIUS 서버에 대한 인증으로 MPPE 키를 반환하지 않는 암호화 허용"을 위한 PC를 설정하면 PC에 "Error 742:원격 컴퓨터가 필요한 데이터 암호화 유형을 지원하지 않습니다." 라우터 디버깅에는 "Call-Clear-Request"(바이트 9 및 10 = 0x000C = 12 = RFC당 Call-Clear-Request)가 나와 있습니다.
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ
A. 배치 파일(batch.bat)을 실행하여 Microsoft 라우팅을 수정하여 이 문제를 해결합니다.기본값을 삭제하고 기본 경로를 다시 설치합니다(PPTP 클라이언트가 할당된 IP 주소(예: 192.168.1.1).
이 예에서 라우터 내부의 네트워크는 10.13.1.x입니다.
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1 route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1
A. PPTP 문제 해결 시 고려해야 할 몇 가지 Microsoft 관련 문제가 여기에 나열됩니다.자세한 내용은 제공된 링크의 Microsoft 기술 자료를 참조하십시오.
RAS 클라이언트에서 로그오프하면 RAS(Windows Remote Access Service) 연결이 자동으로 끊어집니다.RAS 클라이언트에서 KeepRasConnections 레지스트리 키를 활성화하여 연결 상태를 유지할 수 있습니다.
캐시된 자격 증명으로 로그온할 때 사용자에게 경고가 표시되지 않음
Windows 기반 워크스테이션 또는 구성원 서버에서 도메인에 로그온하는 동안 도메인 컨트롤러를 찾을 수 없는 경우 이 문제를 나타내는 오류 메시지가 표시되지 않습니다.대신 캐시된 자격 증명을 사용하여 로컬 컴퓨터에 로그온합니다.
도메인 검증 및 기타 이름 확인 문제를 위해 LMHOSTS 파일을 작성하는 방법
TCP/IP 네트워크에서 이름 확인 문제가 발생하는 경우 Lmhosts 파일을 사용하여 NetBIOS 이름을 확인해야 할 수 있습니다.이름 확인 및 도메인 검증에 사용할 Lmhosts 파일을 생성하려면 특정 절차를 따라야 합니다.