VPN网络常见问题解答.ppt

VPN网络常见问题解答 Q1、VPN的通信协议、端口用了哪些，防火墙是否需要放开？ 回答：VPN设备采用了UDP、TCP、ESP、AH协议，协议号分别为17、6、50、51，使用的端口有：500/UDP、4500/UDP、2012/UDP、2013/TCP、2014/TCP。另外安全包还使用了11/UDP、12/UDP，因此，如果网络中有防火墙的话（包括ISP商）需要将上述端口放开，以保证VPN的正常通信。 Q2、网关或安全包的信任设备列表为空？ 回答： 检查是否已经拨号成功。 检查策略服务器的地址是否填写正确，可以与网管员确认。 确认策略服务器是否在线，可以ping　策略服务器的地址。 检查证书是否导入，或证书是否合法，指的是证书是否是由中心统一发放的。 Q3、硬件网关能下载信任设备列表，但隧道建立不成功，隧道灯始终不变为篮色？ 回答： 查看隧道的对端端点的ID是否在信任列表中存在，如不存在，则说明对端端点与你不在同一个安全域里，属不可信任设备，可与网管员联系。 查看隧道的对端端点是否在线，如对端不在线，隧道肯定不能建立。 可点击“刷新隧道列表”按钮，重新刷新隧道状态，因为界面不是即时刷新状态的。 询问ISP商是否有防火墙设置，对VPN通信端口：500/UDP、4500/UDP、2012/UDP、2013/TCP、2014/TCP是否开放 Q4、修改了硬件网关的配置，当时生效了，但重启后又无效了？ 回答：由于硬件网关在运行时采用的是Ramdisk，因此修改配置当时生效，但并没有保存到电子盘中，如要想使它永久生效，在修改配置后，须点击“存盘”。 Q5、两个VPN设备都在NAT后，能不能通信？ 回答： 由于不同的NAT的实现方式不一样，没有一个统一的标准，因此如果两个NAT后的设备不能直接建立隧道，可采用中间转发的方式实现通信，即通过都与第三个不在NAT后的设备建立隧道，数据包通过第三个设备转发。具体操作如下： 将设备1与设备3建立好一条隧道。 将设备2与设备3建立好一条隧道。 在设备1上添加一条虚拟路由，目的地是设备2后的网段，走1??3这条隧道。 在设备2上添加一条虚拟路由，目的地是设备1后的网段，走2??3这条隧道。 Q6、隧道建立正常，但VPN网络不通？ 回答： 这种问题一般有三个可能，一是虚拟路由表错误，二是防火墙的原因，三是路由的原因。具体操作如下： 检查对方的子网是否在虚拟路由表中存在。 如果虚拟路由存在，检查它所对应的隧道名称是否正确，即是否是与通信对端的VPN端点建立的隧道（通过中间转发的例外）。 检查防火墙规则是否允许这两个子网的数据包通过。 检查主机的路由表是否是从VPN的内网口走。 如果是安全包，点击“系统设置”页面，查看“安全策略控制”框里的与Internet相连的网络接口是否已经处于应用状态，如不是请先选中该网络接口，再将下面的“对选定的网络接口应用安全策略控制”的复选框钩上。 如还不通，通知对方做同样的检查。 Q7、隧道建立后，能ping通对方子网的部分主机，但其中有一台主机ping不通？ 回答： 检查防火墙是否对远端这台主机的地址做了特别的限制。 检查远端这台主机的路由表，查看它的回应包的路由是否转给了VPN的内网口。 Q8、ADSL拨号在线时间太长，是否需要重拨？ 回答：由于ISP商及一些拨号设备的原因，如果ADSL拨号在线时间太长，需要重新复位，在此情况下，上网也是不通了，可以简单的将拨号Modem重起一次。 Q9、如果ADSL拨号需要一个电话号码，硬件网关不能直接拨号？ 回答：某些地方的ADSL拨号不仅需要用户名、口令，还需要电话号码，由于硬件网关的拨号程序没有电话号码这一选项，此时它不能负责拨号的功能，只能用一台Windows机器拨号，因为ISP商会提供这种拨号的Windows平台的驱动程序，将硬件网关安装在这台机器里面，拨号的机器同时还做NAT，可以安装Sygate之类的软件 Q10、安全包能下载信任设备列表，但隧道建立不成功，隧道灯始终不变为篮色？ 回答： 如果机器安装了第三方的防火墙软件，可尝试退出安装的防火墙，如问题解决，请与江南所工程师联系。 询问ISP商是否有防火墙设置，对VPN通信端口：500/UDP、4500/UDP、2012/UDP、2013/TCP、2014/TCP是否开放 Q11、一台安装了安全包的笔记本或台式机在公司的VPN网关内，此时从外面一个装了安全包的机器能访问公司内的其它机器，却访问不了这台机器 ？ 回答：因为装了安全包的机器访问公司内网时，用的是它的虚拟网卡地址做源地址，当访问公司内一台装了安全包的机器时，如果两台机器的虚拟网卡地址在同一个网段，此时回应包将不能正确路由，解决办法有两个： 停用公司内那台安装了安全包的机器的虚