思科配置常见问题及其解决方法
思科提供了许多处理连接性的 方法 ,这使得排除的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的性能到PIX防火墙所提供的服务,再到思科的 Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科配置。不过,下面我将会为您解决类似的问题提供一个很好的起点,欢迎大家参考和学习。
问题一:某个运行互联网连接共享的用户不能安装思科3000 客户端。
这个问题易于解决。用户需要在安装客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。
此外,还要保证用户们知道客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)
关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个客户端。如果对此你有任何问题,并且需要支持,可以先卸载 其它 的客户端,然后再打电话寻求支持。
问题二:日志指示一个密钥问题
如果与预共享密钥有关的日志中存在着错误,你就可能在连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:
sakmp key password address xx.xx.xx.xx netmask 255.255.255.255
在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。
问题三:在试图连接到时,运行防火墙软件的用户 报告 错误
在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:
UDP 端口: 500, 1000 和 10000
IP 协议 50 (ESP)
为IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
问题四:家庭用户抱怨说,在连接建立后,他们不能访问其家用网络上的其它资源。
一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:
group groupname split-tunnel split_tunnel_acl
你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:
access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any
或者任何你指定的IP地址范围。
在一个思科Cisco Series 3000 Concentrator 上,你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行:转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”,并且从“客户配置(Client Config)”选项卡中,选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项,并在你应该由保护的站点上创建一个网络列表,而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。
问题五:一个远程用户的网络正在使用与服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client 4.6,环境:Windows 2000/XP)
对这些特定的 操作系统 来说,这可能有点儿特别,不过诊断Cisco 4.6的这些IP地址冲突可能会使人灰心丧气。在这些情况下,由于冲突的存在,那些假定通过隧道的通信仍保留在本地。
在受到影响的客户端上,单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”,在适配器上右击,并选择“属性(Properties)”。在“属性(Properties)”页上,选择TCP/IP,然后单击“属性(Properties)”按钮。下一步,单击“高级(Advanced)”选项,找到“Interface Metric”选项,将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。
问题六:某些路由器/固件组合引起了客户端的连接问题
思科的客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:
固件版本低于1.44的Linksys BEFW11S4
固件版本低于2.15的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型号 ISB2LAN
如果所有其它的 措施 都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。
问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结
在这种情况下,用户会看到一个错误消息,类似于“ Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( 连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:
用户可能输入了不正确的组口令
用户可能并没有为远程端点键入恰当的名称或IP地址
用户可能存在着其它的互联网连接问题
基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。
问题八:从NAT设备后建立一个连接时,发生故障;或者建立一个到NAT设备后的服务器的连接时,发生故障。
在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。
如果你正将一个PIX防火墙既用作防火墙又用作端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科集中器,就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后,在集中器上,转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且,还要保障任何在用户端点上使用的客户端都支持NAT-T。
问题九:用户成功地建立了一个链接,不过却周期性的掉线。
同样,为了明确问题,你还要检查多个地方。首先,确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式,也没有启动屏幕保护程序。在客户期望到达一个服务器的持续连接时,待命模式、休眠模式能够中断你的网络连接。为了节省电力,你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。
如果使用了无线技术,你的用户有可能漫游到一个无线信号很弱(或不存在)的地方,那么有可能因此断开。还有,你的用户的网络电缆可能有问题,也有可能是路由器或互联网连接的问题,或者是其它的物理连接问题。
还有这样一些报告指出,如果一个端点(PIX或3000集中器)耗尽其IP地址池中的资源,也会导致在客户端上导致这种错误。
问题十:某用户报告说,计算机在本地网络上不再可“见”,即使客户端被禁用。
其它症状还可能包括用户网络上的其它许多计算机不能Ping通计算机,即使这台计算机能够看到网络上的其它计算机。出现这种情况,这个用户有可能启用了客户端上的内置防火墙。如果防火墙被启用,它就会保持运行状态,甚至在客户端不运行时仍然如此。要解决问题,就要打开客户端,并从选项(options)页上,取消选择“stateful firewall”选项的复选框。
以上介绍的仅是思科中的十个比较常见的问题及其解决方法,不过,可以看作是抛砖引玉。
幼儿园管理存在的问题和解决对策
建立完善、健全的幼儿园后勤管理体制,对促进幼儿园后勤管理工作的有效进行,解决幼儿园后勤管理工作中存在的常见问题,进一步提升后勤管理的工作效率有着非常重要的影响。建立完善、健全的后勤管理体制,能够为后勤管理工作人员管理工作的高效进行提高科学、合理的参考依据,使管理工作能够拥有一个统一的管理标准,进而提升管理工作...
介绍几个插花的网站。
榕树盆景养护管理常见问题? 453 楼 榕树盆景养护知识及回答 454 楼 榕树盆景栽培,榕树盆景养护 455 楼 榕树盆景怎样制作和养护 457 楼 榕树桩景播种育苗及其快速培植法 458 楼 山石盆景的形式 459 楼 山石盆景的选材 460 楼 山石盆景的制作 461 楼 山石盆景应多面观赏 462 楼 山石盆景养护四防 463 楼 斧劈石加...
社区医院的常见问题
其实,社区医生在国外叫全科医生,知识面要求全,要对辖区里面的老百姓的常见病了解,而且对大病能早期发现。如果按照中等发达国家水平配置,平均5000人配备一个全科医生,那全市约需2400名全科医生。但如今对高素质全科医生培养的投入远远不够。面对全科医生紧缺的情况,一些社区卫生服务中心实行公开招聘...
哈佛神兽后方来车报警灯怎么不亮
哈佛神兽后方来车报警灯不亮可以调整一下仪表的功能或是控制的线回路不良。常见问题是控制开关手柄及其引出线插头发热接触不良。盲区监测系统:1、由于汽车后视镜存在视觉盲区,变道之前就看不到盲区的车辆,如果盲区内有超车车辆,此时变道就会发生碰撞事故。2、在大雨天气、大雾天气、夜间光线昏暗,更加难以...
三级医院的急诊科设置与管理规范
第三十一条 医院及医务管理部门应指定专兼职人负责急诊科管理,指挥与协调重大抢救和急诊患者出口问题。第五章 监督管理第三十二条 卫生行政部门可以设置急诊医学质量控制中心或者有关其他组织对辖区内医疗机构的急诊科进行质量评估与检查指导。第三十三条 医疗机构应当对卫生行政部门及其委托的急诊医学质量控制中心或者其他...
全科医学常见健康问题目录
全科医学领域涉及广泛,涵盖众多健康问题。本文将逐一介绍这些常见问题,帮助您全面了解全科医学范畴内的健康问题。第一章 营养与营养性疾病 良好的营养是维持健康的基础。营养性疾病如营养不良、肥胖症、维生素和矿物质缺乏等,可能引发多种健康问题。营养不足或过剩都会对身体造成负面影响,需通过均衡饮食...
请问磊科路由器登录密码忘了怎么办 磊科路由器常见问题解决【方法...
答:用户手册仅针对普通家庭用户提供了最常用的一般配置,各种高级功能请访问磊科中文官方网站,官方网站对其他的诸如“如何配置二级路由,无线路由做AP用”等问题有详细说明。问:忘记了上网的账号和密码了怎么办?答:可以先准备好开户人的身份证,然后打电话给运营商(如:电信10000或者网通10010...
超车时盲点不亮
超车时盲点不亮故障如下。1、控制的线回路不良,常见问题是控制开关手柄及其引出线插头发热接触不良。2、盲点监测系统又叫并线辅助系统,英文简称BSM或者BLIS,是汽车上的一款安全类的高科技配置,主要功能是扫除后视镜盲区,通过微波雷达探测车辆两侧的后视镜盲区中的超车车辆,对驾驶者以提醒,从而避免在变道...
企业局域网常见问题 局域网常见问题及处理办法的研究
在实际运行过程中,以下几个问题比较突出,影响了校园网络的正常运行。一、网内计算机联网异常 1.某一台联网计算机联网异常 首先分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确。在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP\/IP协议的正确性。
常见的光纤故障及其解决方案
或许你注意到了在我的常见光纤问题列表中,信号衰减是频繁出现的一个词。幸运的是,有一种被成为信号衰减检测(losstesting)的技术可以用于对光纤信号衰减的程度进行测量。 这项技术需要把一个光发生器接到一个功率表上。你可以设置你希望通过光发生器进行测试的信号dBm范围以及波长...
战油生脉: show vtp status 查看7609的VLAN来源信息是否被别的变换机覆盖了,如果不是那就是你建的时候漏了!show vtp status 看最后两行!如果没设置管理IP也看不出来!你怀疑被覆盖可以直接在3560交换机上再建个VLAN100然后到交换机7609 show vlan看有没有多出VLAN100即可验证!你说的两台设备路由相连,不管是路由器或是以路由端口相连都会使VTP不能生效!
宝山区13229074988: 思科路由器配置静态ARP配置不成功怎么回事?
战油生脉: 思科路由器配置静态ARP配置不成功的解决方法如下:一、路由器设置不正确导致的.1、首先将路由器恢复出厂设置:路由器通电状态下,顶住reset小孔或是按键十秒左右,等待路由器上的指示灯全灭重亮后,路由器恢复出厂模式成功.2、...
宝山区13229074988: 在配置思科交换机的时候出现的问题,如图,请问是什么原因? - ?
战油生脉: 你这台交换机是二层交换机吧?二层交换机是封装不了dot1q的.只需要启用trunk就可以了.另外,即使是在配置三层交换机trunk的时候,需要先封装协议,然后才能启用trunk.也就是需要先输入:switch trunk encap dot1q 然后再输入: switch mode trunk 这样才不会报错,如果反过来是会报错的.
宝山区13229074988: 关于思科路由器的配置,想请教几个问题 - ?
战油生脉: 1.思科的S口是WAN口,可转接RJ45,FA是LAN口,快速以太网口.2.由于你的掩码设置在不同网段,所以PING不通,一个0.1,一个1.1,是不能通信的,如果要通信,有两种方法,一是把掩码借位,255.255.254.0,这样就在同一网段了,但广播风险比较大;二是在路由器上建两条静太路由,192.168.0.0 255.255.255.0 192.168.1.0 和 192.168.1.0 255.255.255.0 192.168.0.0.3.小型局域网应该比较简单,设置DHCP,路由不同网段,NAT一下.
宝山区13229074988: 思科交换机配置问题 - ?
战油生脉: 交换机跟PC连起来,不用配置就会边绿色的.只是你连接线用的交叉线,应该用直通线的
宝山区13229074988: 思科路由器配置问题 - ?
战油生脉: 从你的路由表上看来,你的路由器上只直连了一个网段172.16.3.0 而172.16.1.0和2.0应该都不是在这台路由器上,是在对端的路由器上 因为你的路由配置很明显了 访问的是172.16.1.0段,下一跳地址是172.16.2.2,肯定都不是在本台设备上面 既然下一跳地址是2.2的话,那你的路由器上肯定应该还有个172.16.2.0段的IP端口的,路由表上没有显示直连2.0这个网段,那就是你没有把172.16.2.1这个地址配到端口上去,所以才不承认你这条静态路由
宝山区13229074988: cisco路由器串口配置问题(原来问题操作错了,没有解决) - ?
战油生脉: 1、你可能忘配置时钟速率了吧,否则不应该line protocol is down.尝试添加 clock rate 640002、静态路由应该没问题 以上是我的分析,仅供参考.
宝山区13229074988: cisco 2811 配置问题 - ?
战油生脉: 第一 网络间相互访问 你要做好路由根据你的描述1.直接做默认路由就可以ip classlessiproute 0.0 0.0 X.X或者f0/0X.X 是你F0/0的接口地址2.根据网络中的路由协议 比如 OSPF RIP EGRIP这些协议 在网络中宣告自己的直连网络第二 你出去做的默...
宝山区13229074988: 思科3560G配置问题 - ?
战油生脉: 这是设备的setup配置模式.从上面的接口中选择一个用来管理这个设备的接口,比如选择fastethernet0/0,一定要写全名,然后会让你配置此接口的IP地址和子网掩码.看例子:开机后显示:% Please...
宝山区13229074988: cisco 的简单配置问题 - ?
战油生脉: Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0 Router(config-if)#ip add 10.1.1.1 255.255.255.0 Router(config-if)#no shu %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %...
