最常用L2L和远程访问IPSecVPN故障排除解决方案.PDF

最常用的 L2L 和远程访问 IPSec VPN 故障排除解 决方案 目录 简介 先决条件 要求 使用的组件 规则 IPSec VPN配置不工作 问题 解决方案 启用 NAT 穿透（RA VPN 问题 1） 正确测试连接 启用 ISAKMP 启用/禁用 PFS 清除旧的或现有的安全关联（隧道） 验证 ISAKMP 生存时间 启用或禁用 ISAKMP Keepalive 重新输入或恢复预共享密钥 预共享密钥不匹配 删除并重新应用加密映射 验证 sysopt 命令是否存在（仅限 PIX/ASA） 验证 ISAKMP 身份 验证空闲/会话是否超时 验证ACL是对加密映射的正确和已绑定的 验证 ISAKMP 策略 验证路由是否正确 验证转换集正确 验证加密映射序号，并且名称并且那加密映射在IPSec隧道开始/末端的正确的接口应用 验证对等体 IP 地址是否正确 验证隧道组和组名称 禁用 L2L 对等体的 XAUTH VPN缓冲获得用尽 与延迟的问题VPN客户端流量的 VPN Client 无法与 ASA/PIX 连接 问题 解决方案 问题 解决方案 VPN客户端常见丢包连接在第一次尝试或“安全VPN连接由对等体终止。原因433.或“安全VPN连接 由对等体433:(Reason终止没指定的对等体原因)” 问题 解决方案 1 解决方案 2 解决方案 3 解决方案 4 远程访问和 EZVPN 用户连接到 VPN，但是无法访问外部资源 问题 解决方案 无法访问 DMZ 中的服务器 VPN Client 无法解析 DNS 分割隧道 — 无法访问 Internet 或排除的网络 发夹 本地 LAN 访问 专用网络重叠 无法连接超过三个 VPN Client 用户 问题 解决方案 配置同时登录数 使用 CLI 配置 ASA/PIX 配置集中器 建立隧道后无法启动会话或应用程序并且传输缓慢 问题 解决方案 Cisco IOS 路由器 — 更改路由器的外部接口（隧道末端接口）中的 MSS 值 PIX/ASA 7.X — 参阅 PIX/ASA 文档 无法从 ASA/PIX 启动 VPN 隧道 问题 解决方案 无法通过在VPN通道间的流量 问题 解决方案 配置VPN的备份对等请建立隧道在同样加密映射 问题 解决方案 禁用/重新启动VPN通道 问题 解决方案 没加密的一些通道 问题 解决方案 Error: - %ASA-5-713904 ：Group = DefaultRAGroup, IP = x.x.x.x, Client is using an unsupported Transaction Mode v2 version.Tunnel terminated. 问题 解决方案 Error: - %ASA-6-722036 ：Group client-group User xxxx IP x.x.x.x Transmitting large packet 1220 (threshold 1206) 问题 解决方案 Error:The authentication-server-group none command has been deprecated 问题 解决方案 当在 VPN 隧道一端启用 QoS 时出现错误消息 问题 解决方案 警告：crypto map entry will be incomplete 问题 解决方案 Error: - %ASA-4-400024 ：IDS:2151 Large ICMP packet from to on interface outside 问题 解决方案 Error: - %PIX|ASA-4-402119 ：IPSEC ：Received a protocol packet (SPI=spi, sequence number seq_num) from remote_IP (username) to local_IP that failed anti-replay checking. 问题 解决方案 错误消息 - %PIX|ASA-4-407001:Deny traffic for local-host interface_name: inside_address，超过 的编号许可证限制 问题 解决方案 错误消息- %VPN_HW-4-PACKET_ERROR ： 问题 解决方案 错误消息：Command rejected:VLAN和之间的删除crypto连接，首先。