Guía de mantenimiento del router AR-Preguntas frecuentes (VPN)

102 0 0 0

2.11 VPN

2.11.1 ¿Qué tipos de VPN punto a punto admite el dispositivo?

 

El dispositi****dmite GRE, IPSec, VLL, L2TP y SSL VPN.

A partir de V200R002C00, el dispositi****dmite L2TP y SSL VPN. A partir de V200R003C00, el dispositi****dmite VLL.

Los túneles GRE pueden encapsular paquetes de unidifusión y multidifusión.

Los túneles IPSec solo pueden encapsular y cifrar paquetes de unidifusión. Para cifrar paquetes de multidifusión, use GRE sobre IPSec.

Como una tecnología de tunneling de capa 2 punto a punto basada en MPLS, VLL permite que los paquetes de datos atraviesen las redes utilizando diferentes medios.

Los túneles L2TP transmiten paquetes PPP a través de la red pública y admiten la autenticación de usuarios y el acceso remoto, pero tienen poca seguridad. Puedes usar L2TP sobre IPSec para mejorar la seguridad.

Basado en el protocolo HTTPS, SSL VPN utiliza el cifrado de datos, la autenticación de identidad del usuario y los mecanismos de verificación de la integridad del mensaje del protocolo SSL para garantizar el acceso remoto seguro a las intranets empresariales.

 

2.11.2 ¿Puede tener efecto la MTU de la interfaz del túnel GRE?

Si establece un valor de MTU en una interfaz de túnel GRE, se verá afectado el reenvío de paquetes de datos a través del túnel GRE. Si la longitud del paquete excede el valor de MTU en la interfaz del túnel, el dispositivo fragmenta el paquete.

 

2.11.3 ¿Qué protocolos de enrutamiento de unidifusión y protocolos de multidifusión admite GRE?

 

La encapsulación de enrutamiento genérico (GRE) admite los siguientes protocolos de enrutamiento de Unicast:

 

Protocolos de enrutamiento estático

 

OSPF

 

ISIS

 

DEP

 

BGP

 

GRE es compatible con el protocolo de multidifusión independiente (PIM), un protocolo de multicast.

 

2.11.4 ¿Cuáles son las causas de una falla en el establecimiento del túnel GRE?

 

Las causas de un fallo en el establecimiento del túnel GRE son las siguientes:

 

·         Las interfaces en ambos extremos de un túnel utilizan diferentes modos de encapsulación de túnel.

 

·         Una dirección IP, una dirección de origen del túnel y una dirección de destino del túnel no están configuradas para las interfaces en ambos extremos del túnel. La dirección de origen de un extremo no es la dirección de destino del otro extremo.

 

·         No hay una ruta accesible entre las direcciones de origen y destino del túnel.

 

·         La detección de actividad está configurada, pero los parámetros en ambos extremos de un túnel son inconsistentes.

 

·         Las configuraciones de la tecla GRE en ambos extremos de un túnel son inconsistentes.

 

2.11.5 ¿Qué protocolos de comunicación de cifrado admite IPSec y cuáles son sus diferencias?

IPSec es compatible con los encabezados de autenticación (AH) y los protocolos de carga de seguridad de encapsulación (ESP). Las diferencias entre estos protocolos son:

 

AH: proporciona autenticación de origen de datos, verificación de integridad de datos y servicios anti-reproducción. El remitente realiza el algoritmo de hash en la carga IP y en todos los campos de encabezado de un paquete IP, excepto en los campos variables para generar un resumen del mensaje. El receptor recalcula el resumen del mensaje según el paquete IP recibido y compara los dos resúmenes del mensaje para determinar si el paquete IP se ha modificado durante la transmisión. AH no cifra la carga IP. AH es aplicable para transmitir datos no confidenciales.

 

ESP: encripta la carga útil de IP además de proporcionar todas las funciones de AH. ESP puede cifrar y autenticar la carga útil de IP, pero no protege el encabezado del paquete de IP. ESP se puede utilizar para transmitir datos confidenciales.

 

AH y ESP se pueden utilizar de forma independiente o en conjunto. Cuando AH y ESP se usan juntos, la encapsulación ESP y luego la encapsulación AH se realizan en un paquete IP para mejorar la seguridad.

 

2.11.6 ¿Cuántos túneles IPSec se pueden establecer en una AR?

 

La cantidad de túneles IPSec admitidos por AR depende de la versión.

  •  
  • V200R001C00 y V200R001C01:
  • Serie AR1200: 1000
  • Serie AR2200: 2000
  • Serie AR3200: 3000
  • V200R002C00, V200R002C01 y V200R002C02:
  • Serie AR150: 30
  • Serie AR200: 75
  • Serie AR1200: 2000
  • Serie AR2200: 4000
  • Serie AR3200: 6000
  • V200R003C00:
  • Serie AR150: 30
  • Serie AR200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204: 2000
  • AR2220, AR2240: 4000
  • Serie AR3200: 6000
  • V200R003C01:
  • Serie AR150: 30
  • Serie AR200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204: 2000
  • AR2220, AR2240: 4000
  • Serie AR3200: 6000
  • V200R005C00:
  • Serie AR150: 30
  • Serie AR160: 30
  • Serie AR200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204: 2000
  • AR2220, AR2240 (usando SRU40 o SRU60), AR3200 (usando SRU40 o      SRU60) series: 4000
  • AR2240 (utilizando SRU80), AR3200 (utilizando SRU80) series: 6000
  • V200R005C10:
  • Series AR150 y 160 & 200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204: 2000
  • AR2220, AR2240 (usando SRU40 o SRU60), AR3200 (usando SRU40 o      SRU60) series: 4000
  • AR2240 (utilizando SRU80, SRU200 o SRU400), AR3200 (utilizando      SRU80, SRU200 o SRU400) de la serie: 6000
  • V200R005C20:
  • Series AR150 y 160 & 200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204: 2000
  • AR2220, AR2240 (usando SRU40 o SRU60), AR3200 (usando SRU40 o      SRU60) series: 4000
  • AR2240 (utilizando SRU80, SRU200 o SRU400), AR3200 (utilizando SRU80,      SRU200 o SRU400) de la serie: 6000
  • V200R005C30 y las versiones posteriores:
  • Series AR100 y AR150 y 160 y 200: 75
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204, AR2204E, AR2204E-D:      2000
  • AR2220, AR2240 (usando SRU40 o SRU60), AR2240C (usando SRU40C), AR3200      (usando SRU40 o SRU60) series: 4000
  • AR2240 (usando SRU80, o SRU100E, SRU200, o SRU200E, o SRU400),      AR3200 (usando SRU80, o SRU100E, SRU200, o SRU200E, o SRU400) de la serie:      6000

 

2.11.7 ¿Qué aging mode admite una SA?

Una asociación de seguridad (SA) admite los siguientes tipos de vida útil:

El tiempo de vida basado en el tiempo: el período de tiempo que puede existir una SA después de su establecimiento.

La vida útil basada en el tráfico: el volumen de tráfico máximo que puede procesar una SA.

Cuando se alcanza la hora o el volumen de tráfico especificado, la SA se vuelve inválida Cuando la SA esté a punto de caducar, IKE negociará una nueva SA para IPSec. De esta manera, se establece una nueva SA cuando la antigua SA deja de ser válida. Antes de que se establezca la nueva SA, los dos extremos usan la antigua SA para proteger los flujos de datos. Cuando se establece la nueva SA, los dos extremos utilizan inmediatamente la nueva SA.

 

2.11.8 ¿Cómo rectifico la falla en ver la información de SA ejecutando el comando display ipsec sa después de configurar IPSec?

 

Para corregir el fallo, realice las siguientes operaciones:

1.    Realice la operación de ping para verificar la conectividad de la red pública.

 

2.    Si el túnel IPSec se establece a través de la negociación IKE, ejecute el comando display ike sa para verificar si IKE SA se ha establecido correctamente.

 

3.    Espere unos 10 segundos y ejecute nuevamente el comando ipsec sa de pantalla.

 

4.    Ejecute el comando display interface brief para verificar que la interfaz vinculada a la política IPSec esté en estado Up.

 

5.    Verifique que IPSec esté configurado correctamente.

 

2.11.9 La comunicación de la red privada falla después de configurar IPSec. ¿Cuáles son las causas?

 

  • Las redes privadas no se comunican entre sí después de configurar      IPSec. Las posibles causas son las siguientes:
  • Las direcciones públicas de dos dispositivos habilitados para IPSec      no pueden hacer ping entre sí.
  • El flujo de datos definido para la encapsulación IPSec es el mismo      que el definido para NAT. Puede ejecutar el comando display acl all para      ver la regla de ACL correspondiente. En este caso, utilice uno de los      siguientes métodos para evitar la superposición del flujo de datos:
  •  
  • Asegúrese de que la dirección IP de destino en la regla ACL      referenciada por IPSec esté denegada en la regla ACL referenciada *****AT.      Al hacerlo, el dispositivo no realiza NAT en el flujo de datos protegido      por IPSec.
  • La regla ACL a la que hace referencia IPSec coincide con la      dirección IP traducida *****AT.
  • El dispositi****prende incorrectamente las rutas privadas. La      interfaz de salida a la red privada de destino no es la interfaz de red      pública con IPSec habilitado.

 

2.11.10 IPSec no surte efecto cuando tanto IPSec como NAT se configuran en una interfaz de dispositivo. ¿Cómo se resuelve este problema?

 

Si NAT está configurado en una interfaz a la que se aplica una política IPSec, es posible que IPSec no tenga efecto. Puede utilizar los siguientes métodos:

Configure la dirección IP de destino que coincida con la cláusula de denegación en una ACL referenciada *****AT como la dirección IP de destino en una ACL referenciada por IPSec. En este caso, los flujos de datos protegidos por IPSec no son traducidos *****AT.

Configure la regla ACL referenciada *****AT para que coincida con la dirección IP traducida *****AT.

6711c418de1945a6a6d6c41745fe9374 NOTA:

Después de configurar una regla de denegación en NAT, se recomienda que ejecute el comando reset session all o reset nat session all para eliminar las entradas de NAT incorrectas.

 

2.11.11 ¿La interfaz con una dirección IP dinámica admite IPSec?

Sí.

 

Cuando la interfaz local tiene una dirección IP dinámica y la interfaz de igual tiene una dirección IP fija, configure una plantilla de política IPSec en la interfaz de igual para implementar IPSec.

 

A continuación se usa la interfaz 3G como ejemplo para implementar la negociación automática IKE.

 

Dirección IP dinámica

 

#

ike peer peer_3g_1 

 pre-shared-key cipher %@%@VsiNAx"H;$1jaO'QE%[=I\O6%@%@  //Set the pre-shared key to huawei.

 remote-address 10.5.39.160  //Specify a fixed IP address for the peer end.

#

ipsec proposal ipsec  //Use the default security parameters.

#

ipsec policy ipsec 1 isakmp  //Configure an IPSec policy and import the policy on a 3G interface.

 security acl 3000

 ike-peer peer_3g_1

 proposal ipsec

#

interface Cellular0/0/0

 ipsec policy ipsec   //Configure the IPSEC policy on the 3G interface.

#

acl 3000  //Configure ACL rules. The IPSec policy protects packets that match ACL rules.

...

#

Fixed IP address

#

ipsec proposal ipsec

#

ike peer peer_3g_2   //The peer end uses a dynamic IP address.

 pre-shared-key cipher %@%@VsiNAx"H;$1jaO'QE%[=I\O6%@%@  //Set the pre-shared key to huawei.

#

ipsec policy-template temp 1  //Configure an IPSec policy template.

 ike-peer peer_3g_2

 proposal ipsec

#

ipsec policy ipsec 1 isakmp template temp  //Configure an IPSec policy and bind the policy to the template.

#

interface GigabitEthernet 1/0/0  //This interface uses a fixed IP address.

 ipsec policy ipsec

 ip address 10.5.39.160 255.255.255.255

#

 

NOTA:

En V200R002C00 y versiones anteriores, ejecute el comando huawei de clave compartida para establecer la clave compartida previamente en huawei.

 

En V200R008C00 y versiones posteriores, los parámetros v1 y v2 se eliminan del ike peer-name [v1 | v2] comando. Para configurar el protocolo IKE, ejecute la versión {1 | 2} comando.

 

2.11.12 ¿El AR es compatible con L2TP?

 

El AR soporta L2TPv2 de V200R002C00.                    

2.11.13 ¿El dispositivo es compatible con VPDN?

PDN proporciona tres tecnologías comunes de túneles:

Protocolo de túnel punto a punto (PPTP)

Reenvío de capa 2 (L2F)

Protocolo de tunneling de capa 2 (L2TP)

L2TP hereda las ventajas de los protocolos L2F y PPTP. Se usa ampliamente para conectar una sola o una pequeña cantidad de terminales remotos a una intranet empresarial a través de la red pública.

 

Actualmente, el dispositivo solo admite L2TP y puede reenviar paquetes PPTP y L2F.

                                                    

2.11.14 ¿Se puede usar L2TP en escenarios donde se implementan LNS activos y en espera?

 

L2TP se puede utilizar en escenarios donde se implementan LNS activos y en espera. Cuando falla el LNS activo, los servicios se conmutan al LNS en espera. Sin embargo, las solicitudes de conexión L2TP iniciadas por el LAC no pueden alcanzar el LNS activo. Para garantizar que las solicitudes de conexión L2TP se envíen al LNS en espera, debe configurar la dirección IP del LNS en espera en el LAC, de modo que cuando la primera dirección IP no esté disponible, el LAC envíe los paquetes de solicitud a la dirección del LNS en espera.

 

2.11.15 ¿Cuántos túneles L2TP se pueden establecer en un dispositivo?

 

  • La cantidad de túneles L2TP que se pueden establecer en un      dispositivo se muestra a continuación.
  •  
  • Series AR100 y AR120 y AR150 y AR160 y AR200: 16
  • Serie AR1200, AR2201-48FE, AR2202-48FE, AR2204, AR2204E, AR2204E-D:      128
  • AR2220, AR2220E, AR2240 (utilizando SRU40 o SRU60), AR3200      (utilizando SRU40 o SRU60) series: 512
  • AR2240 (con SRU80 o SRU100E), AR3200 (con SRU80 o SRU100E) de la      serie: 1024
  • AR2240 (con SRU200 o SRU200E), AR3200 (con SRU200 o SRU200E)      series: 2048. Sin embargo, cuando el dispositivo se utiliza como LAC, el      número máximo de túneles L2TP no puede exceder el número de grupos L2TP,      es decir, 1024 .
  •  
  • AR2240 (usando SRU400), AR3200 (usando SRU400) serie: 4096. Sin embargo,      cuando el dispositivo se usa como LAC, el número máximo de túneles L2TP no      puede exceder el número de grupos L2TP, es decir, 1024.
  •  
  • AR3600 (utilizando SRUX5) series: 1 a 2048. Sin embargo, cuando el      dispositivo se utiliza como LAC, el número máximo de túneles L2TP no puede      exceder el número de grupos L2TP, es decir, 1024.

 

2.11.16 ¿Cuáles son las causas de la falla del acceso telefónico de L2TP?

 

Las causas de la falla de marcado de L2TP son las siguientes:

 

El firewall implementado en la red pública o el firewall incorporado en la PC descarta los paquetes L2TP.

El puerto L2TP correspondiente, generalmente el puerto UDP 1701, está deshabilitado o ocupado. Por ejemplo: ACL o NAT está configurado en el puerto.

El nombre de usuario y la contraseña configurados en el LAC son incorrectos, o ningún usuario relacionado está configurado en el LNS. Compruebe si la contraseña del usuario en la vista AAA está configurada para cifrar pero no para el formato de cifrado irreversible.

La dirección de configuración, como la dirección estática de la interfaz VT, es incorrecta.

Los modos de autenticación del túnel son diferentes.

La renegociación de LCP no está configurada.

El grupo de direcciones no puede cumplir los requisitos del usuario o no se configura ningún grupo de direcciones.

Ninguna dirección de puerta de enlace está reservada en el grupo de direcciones IP, por lo que la dirección de la puerta de enlace se asigna a los usuarios.

LAC y LNS no tienen rutas accesibles entre sí.

Se ha especificado un nombre de túnel remoto incorrecto en la vista de grupo L2TP.

El dominio de autenticación está configurado incorrectamente.

Los paquetes de control enviados por el cliente de PC no llevan el número SQ, por lo que la negociación L2TP falla.

Cuando se utiliza el cifrado IPSec, los parámetros IPSec en ambos extremos son diferentes.

 

2.11.17 ¿Por qué las redes privadas no pueden comunicarse después de que el acceso telefónico a L2TP es exitoso?

 

  • Cuando      el acceso telefónico a L2TP es exitoso, las redes privadas pueden fallar      en la comunicación debido a las siguientes causas:
  •  
  • El      firewall está habilitado en el host interno.
  • La      subred local y la intranet remota están en el mismo segmento de red.
  • La      dirección de acceso telefónico de L2TP está en el mismo segmento de red      que el usuario de la LAN, pero la función ARP del proxy está      deshabilitada.
  • El      valor de MTU en la interfaz virtual es incorrecto. El valor de MTU más      todas las longitudes de encabezado no pueden exceder la interfaz MTU. De      lo contrario, los paquetes se descartarán si el dispositivo no admite la      fragmentación de paquetes.
  • El      valor de TCP MSS en la interfaz virtual es incorrecto. Asegúrese de que el      valor de MSS más todas las longitudes de encabezado no puedan exceder la      MTU. De lo contrario, la transmisión de paquetes podría verse afectada.
  • La      renegociación de LCP no está configurada.
  • LAC y      LNS no tienen rutas accesibles entre sí.
  • La      autenticación del túnel no está configurada.
  • Cuando      se utiliza el cifrado IPSec, el flujo de datos no coincide con la ACL.

 

 

 

2.11.18 ¿Por qué la comunicación de la red privada se retrasa después de que el acceso telefónico a L2TP es exitoso?

 

La encapsulación L2TP aumenta la longitud de los paquetes IP. Cuando la longitud del paquete excede la MTU de enlace, el remitente debe fragmentar los paquetes, que luego son reensamblados por el receptor. La fragmentación y el reensamblaje consumen recursos de la CPU. Cuando muchos paquetes necesitan fragmentarse, los recursos de la CPU serán insuficientes, lo que disminuirá la velocidad de acceso y causará la pérdida de paquetes.

 

Por lo tanto, el valor de MTU en la interfaz VT debe ser menor o igual a la longitud del encabezado de encapsulación de los paquetes L2TP (42 bytes con un número de serie, y 38 bytes de lo contrario) restado del valor de MTU en la interfaz de salida física (1500 bytes por defecto). Por ejemplo, cuando el valor de MTU en la interfaz física de salida es 1500 bytes por defecto, y la longitud del encabezado de encapsulación de los paquetes L2TP es 42 bytes, el valor debe ser menor o igual a 1458 bytes.

 

Si una interfaz física realiza la fragmentación de paquetes nuevamente después de que el paquete se fragmenta en la interfaz VT correspondiente, el rendimiento del dispositivo se degrada. Para evitar este caso, se recomienda establecer el valor de MTU de la interfaz VT en el rango de 1400 a 1450.

 

Cuando los paquetes TCP encapsulados por L2TP exceden la MTU de enlace, la operación de ping a la red privada se retrasará. En este caso, las páginas web pueden no mostrarse normalmente o los inicios de sesión remotos pueden fallar. Se recomienda que ajuste el valor de TCP MSS en la interfaz VT para asegurarse de que la longitud de los paquetes TCP encapsulados por L2TP sea menor o igual que la MTU del enlace. La encapsulación L2TP aumenta la longitud de los paquetes IP. Cuando la longitud del paquete excede la MTU de enlace, el remitente debe fragmentar los paquetes, que luego son reensamblados por el receptor. La fragmentación y el reensamblaje consumen recursos de la CPU. Cuando muchos paquetes necesitan fragmentarse, los recursos de la CPU serán insuficientes, lo que disminuirá la velocidad de acceso y causará la pérdida de paquetes.

 

Por lo tanto, el valor de MTU en la interfaz VT debe ser menor o igual a la longitud del encabezado de encapsulación de los paquetes L2TP (42 bytes con un número de serie, y 38 bytes de lo contrario) restado del valor de MTU en la interfaz de salida física (1500 bytes por defecto). Por ejemplo, cuando el valor de MTU en la interfaz física de salida es 1500 bytes por defecto, y la longitud del encabezado de encapsulación de los paquetes L2TP es 42 bytes, el valor debe ser menor o igual a 1458 bytes.

 

Si una interfaz física realiza la fragmentación de paquetes nuevamente después de que el paquete se fragmenta en la interfaz VT correspondiente, el rendimiento del dispositivo se degrada. Para evitar este caso, se recomienda establecer el valor de MTU de la interfaz VT en el rango de 1400 a 1450.

 

Cuando los paquetes TCP encapsulados por L2TP exceden la MTU de enlace, la operación de ping a la red privada se retrasará. En este caso, las páginas web pueden no mostrarse normalmente o los inicios de sesión remotos pueden fallar. Se recomienda que ajuste el valor de TCP MSS en la interfaz VT para asegurarse de que la longitud de los paquetes TCP encapsulados por L2TP sea menor o igual que la MTU del enlace.

 

2.11.19 ¿Qué puedo hacer si una PC que ejecuta el sistema operativo Windows 7 o XP no logra establecer un L2TP en un túnel IPSec con el dispositivo?

 

La posible causa de un fallo en el establecimiento del túnel L2TP sobre IPSec entre una PC que ejecuta el sistema operativo Windows 7 o XP y el dispositivo es que el registro del sistema no se modifica.

 

A continuación se describe cómo modificar el registro del sistema operativo Windows 7 para no utilizar la autenticación de certificado digital.

 

 

NOTA:

Las operaciones en el sistema operativo Windows 7 de 64 bits son las mismas que las del sistema operativo de 32 bits.

 

Elija Start > cmd y accede regedit para abrir registry edit.

 

Click derecho sobre  New Value #1 and elija Rename para renombrar el archivo ProhibitIpSec.

Click derecho sobre ProhibitIpSec y elija Modify.

En la ventana Edit DWORD (32-bit) Value, configure el valor Value data en 1 y seleccione and Hexadecimal como se muestra en la figura.

 

Reinicie la PC para que la configuración tenga efecto.

Figura 2-11 Editor del Registro 


180032wkaial8i2s842u4z.png?image.png


2.11.20 ¿Qué puedo hacer si un gran número de usuarios de L2TP se desconectan cuando el tráfico de la interfaz supera el límite de ancho de banda?

 

El administrador del dispositivo puede ejecutar el comando qos gts cir cir-value [ cbs cbs-value ] en la interfaz desde la que los usuarios de L2TP se conectan. Se recomienda al administrador que establezca un valor cir-value  en función de la velocidad real de la interfaz física y el valor cbs-value a 1500. Esto puede evitar la invalidación de paquetes de detección de usuarios L2TP en caso de ráfaga de tráfico.

 

2.11.21 El dispositivo reenvía incorrectamente los paquetes L2TP.

Causa posible:

Si la interfaz VT en el LNS está configurada con una máscara de subred que no es de 32 bits, la interfaz VT reenvía todos los paquetes que coincidan con la ruta del segmento de la red si solo hay un usuario de acceso telefónico VPN, incluso si los paquetes no están destinados a usuarios finales. Si hay varios usuarios de acceso telefónico a VPN, el dispositivo no reenvía los paquetes porque no puede determinar el usuario de VPN destinado en función de la ruta del segmento de red.

Solución:

Establezca la máscara de subred de la interfaz VT en 32 bits.

 

2.11.22 Si la autenticación de túnel L2TP está habilitada para el acceso telefónico a L2TP, ¿cuál es la contraseña de autenticación predeterminada?

De forma predeterminada, la contraseña de autenticación del túnel está vacía en un router.

Por motivos de seguridad, la autenticación de túnel L2TP está habilitada de forma predeterminada. En caso de que la prueba de conectividad de la red o la recepción de una solicitud de conexión enviada por un extremo remoto desconocido, desactive la autenticación del túnel L2TP. Se recomienda que habilite la autenticación de túnel L2TP.

Si una PC inicia el acceso telefónico a L2TP, se recomienda que configure el comando de deshacer la autenticación del túnel en el LNS para deshabilitar la autenticación del túnel L2TP.

 

2.11.23 A partir de qué versión ¿Admite el dispositivo NAT Traversal en L2TP?

 

Desde la versión  V200R002C00SPC200, los dispositivos soportan esta función.

 

2.11.24 El acceso telefónico a L2TP es exitoso luego de que se muestran decenas de intentos y se muestra el error 691. ¿Por qué?

 

Después de configurar L2TP en el dispositivo, los usuarios pueden marcar correctamente después de varios intentos y se muestra el error 691 durante los intentos. La causa es que el dispositivo solo admite mensajes de desafío de 16 bytes. Cuando los mensajes de desafío no son de 16 bytes, la autenticación CHAP falla y se muestra el error 691 que indica el nombre de usuario o el error de contraseña. Configure la renegociación de L2TP para que el LNS y el cliente puedan negociar los mensajes de desafío de 16 bytes.

 

2.11.25 ¿Cómo puedo localizar rápidamente por qué el LAC no puede configurar un túnel L2TP con el LNS?

 

Al configurar la función L2TP, el LAC no puede configurar un túnel con el LNS. ¿Cómo puedo localizar rápidamente la falla?

 

Ejecute el comando start l2tp en el LAC para verificar si hay una ruta accesible al LNS. Si no, configure una ruta accesible al LNS.

Verifique la configuración de L2TP en el LNS y elimine el parámetro remoto especificado en el comando allow l2tp. Si se puede establecer con éxito un túnel L2TP, el LAC no puede configurar un túnel con el LNS porque el nombre del túnel en el LAC es incorrecto o el nombre del túnel especificado por el LNS es incorrecto. Utilice cualquiera de los siguientes métodos para resolver este problema:

Ejecute el comando de nombre de túnel en el LAC para establecer el nombre del túnel local en el valor del parámetro remoto especificado por el comando allow l2tp en el LNS.

Ejecute el comando allow l2tp en el LNS para cambiar el valor del parámetro remoto al nombre del túnel configurado en el LAC. Si no se configura ningún nombre de túnel local utilizando el comando de nombre de túnel en el LAC, el valor del parámetro remoto es el nombre del dispositivo del LAC.

 

2.11.26 ¿Cómo configuro el LNS que confía en el LAC para que no realice una segunda autenticación en usuarios remotos?

 

El LAC autentica a los usuarios de acceso. Una vez autenticados los usuarios, el LAC envía información de autenticación al LNS que determina si los usuarios son usuarios válidos.

 

Si el LNS confía en el LAC, puede ejecutar el comando authentication-mode none en la vista de esquema de autenticación del LNS para configurar el modo de autenticación en no autenticación. Si el comando está configurado, el LNS no realiza una segunda autenticación en usuarios remotos.

 

2.11.27 ¿Cómo cierro la sesión de un usuario L2TP?

 

Para cerrar sesión en un usuario L2TP, utilice uno de los siguientes métodos:

 

Ejecute el comando de restablecer el túnel l2tp para desconectar a la fuerza una conexión de túnel L2TP especificada y todas las sesiones en el túnel.

Ejecute el comando de reinicio de sesión l2tp para desconectar por la fuerza una sesión L2TP especificada.

 

2.11.28 ¿Cuál es el nombre de LAC cuando una PC funciona como LAC?

Cuando una PC funciona como LAC, el nombre de LAC es el nombre de la computadora.

 

En el sistema de Windows 7, use uno de los siguientes métodos para ver el nombre de la computadora.

 

Elij Control Panel > System and Security > SystemComputer name bajo Computer name, domain, and workgroup settings es el LAC name.

 

Elija Start > Run, y acceda a cmd. En la pantalla CLI que se muestra, ingrese el nombre de host. El nombre de la computadora que se muestra es el nombre de LAC.

Si el nombre de computadora de la PC excede los 30 caracteres, use los primeros 30 caracteres como el nombre de LAC.

 

2.11.29  A partir de qué versión el dispositi****dmite acceso al nombre de dominio de la puerta de enlace VPN SSL?

 

Iniciando desde V200R002C00SPC200, Los dispositivos soportan esta función.

 

2.11.30 ¿Por qué abrir la página de inicio de sesión web de la puerta de enlace SSL VPN es lento?

 

 

NOTA:

El sistema operativo Windows 7 se utiliza como ejemplo.

 

La puerta de enlace VPN SSL se ejecuta en el servidor HTTPS. Las posibles causas son las siguientes:

 

El navegador no tiene instalado ningún certificado raíz del servidor HTTPS.

El navegador tiene instalado un certificado raíz incorrecto del servidor HTTPS.

Solución 1:

 

Cuando abre la página de inicio de sesión web de la puerta de enlace VPN SSL, el sistema muestra el certificado raíz.

Instale el certificado raíz en el navegador.

 

Elija Install Certificate > Next > Place all certificates in the following store > Browse, seleccione  Trusted Root Certification Authorities, y haga click en OK.

 

Solución 2:

 

Obtenga manualmente el certificado raíz correcto del servidor HTTPS. Póngase en contacto con el administrador de la red empresarial.

Guarde el certificado raíz en el dispositivo local.

Instale el certificado raíz en el navegador.

 

Elija Install Certificate > Next > Place all certificates in the following store > Browse, seleccione Trusted Root Certification Authorities, y haga click en OK.

 

2.11.31 Después de que un usuario inicie sesión en Outlook Web Access 2010 a través de SSL VPN Gateway, el usuario no puede iniciar sesión en Outlook Web Access 2007. ¿Cómo se resuelve el problema?

 

Las direcciones de Outlook web access 2007 y 2010 se configuran a través de la función de proxy web de SSL VPN. Después de que un usuario inicia sesión en Outlook Web Access 2010, el usuario no puede iniciar sesión en Outlook Web Access 2007. El sistema muestra un mensaje que indica el tiempo de espera de la sesión. Esto se debe a que Outlook Web Access 2010 reserva la información de autenticación del usuario en el búfer del navegador y dicha información no puede ser procesada por Outlook Web Access 2007.

 

Si el usuario desea iniciar sesión en Outlook Web Access 2007, realice las siguientes operaciones:

Cierre sesión en Outlook Web Access 2010.

Cierre el navegador, vuelva a abrirlo e inicie sesión en la puerta de enlace VPN SSL.

En la lista de proxy web, haga clic en la dirección de Outlook Web Access 2007 e ingrese el nombre de usuario y la contraseña para iniciar sesión en la cuenta de correo electrónico.

 

2.11.32  ¿Qué redes admite L3VPN?

La red privada virtual de capa 3 (L3VPN) es compatible con las siguientes redes:

 

BGP básica / MPLS IP VPN

 

Inter-AS VPN, incluyendo la Opción A, la Opción B y la Opción C

 

¿Se pueden configurar L3VPN y GRE al mismo tiempo?

 

Los dispositivos soportan esta función desde la version V200R005C00.

 

2.11.34 ¿Cómo hago modificaciones efectivas después de modificar el modo de distribución de etiquetas?

 

Ejecute el comando reset mpls ldp para el reset de las instancias LDP de las networks publicas.

 

2.11.35 ¿Por qué no se pueden importar las rutas cuando los números AS en la VPN IP BGP / MPLS son iguales?

 

Cuando el número AS en el mensaje de actualización que recibirá el dispositivo habilitado para EBGP es el mismo que el número AS en el dispositivo, el dispositivo no recibe el mensaje de actualización. Esto evita los bucles de enrutamiento. En algunos casos, el dispositivo necesita recibir un mensaje de Actualización que lleva el mismo número de AS que el número de AS en el dispositivo. En las redes de Hub y Spoke, cuando Hub-PE y Hub-CE usan EBGP, el mensaje de Actualización recibido por Hub-CE contiene el número AS del Hub-PE. Para evitar que Hub-PE descarte dicho mensaje de actualización, ejecute el comando peer allow-as-loop para establecer el número de veces para el número AS repetido.

 

2.11.36  ¿El dispositivo soporta IP VPN estática de MPLS??

 

El dispositivo no admite MPLS IP VPN estática cuando los PE publicitan rutas privadas. El dispositivo solo puede usar MP-BGP para asignar etiquetas a rutas privadas; sin embargo, las etiquetas VPN no se pueden especificar manualmente y el PE remoto no se puede especificar como el vecino.

 

2.11.37 ¿Por qué no se puede establecer un túnel IPSec hasta que se reinicie?

 

Cuando es necesario enviar el mismo tráfico a la sede central pero existe un túnel IPSec entre la sucursal y la sede central para proteger el tráfico de acceso de los usuarios existentes, no se puede establecer un nuevo túnel IPSec antes de que el antiguo túnel IPSec se desmonte después de que se reinicie en el dispositivo de la sede.

Para resolver el problema, ejecute el comando ipsec remote traffic-identical accept  para permitir que los nuevos usuarios con la misma regla IPSec accedan rápidamente a la sede. Esta función envejece rápidamente una SA de IPSec existente entre la sucursal y la sede para restablecer un nuevo túnel de IPSec.

 

2.11.38 ¿Cuáles son las limitaciones de un cliente VPN SSL?

 

Un cliente SSL VPN solo admite el sistema operativo de 32 bits y el JRE Java de 32 bits.

 

2.11.39 ¿Por qué algunos paquetes de servicios se pierden después de la implementación de la VPN A2A?

 

Después de desplegar A2A VPN, los paquetes A2A VPN se descartan si su tamaño excede la interfaz MTU pero el indicador DF no se establece en 0. Para resolver el problema, ejecute el comando ipsec df-bit clear para habilitar la fragmentación de los paquetes A2A VPN.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba