思科配置常見(jiàn)問(wèn)題及其解決方法
思科配置常見(jiàn)問(wèn)題及其解決方法
思科提供了許多處理連接性的方法,這使得排除的故障和解決問(wèn)題成為一個(gè)并不輕松的問(wèn)題。從包括在某些思科路由器中的性能到PIX防火墻所提供的服務(wù),再到思科的 Concentrator,其中的每一個(gè)都有其自身的特點(diǎn)。考慮到選項(xiàng)的復(fù)雜性,本文所討論的這些技巧并不一定適用于所有的思科配置。不過(guò),下面學(xué)習(xí)啦小編將會(huì)為您解決類似的問(wèn)題提供一個(gè)很好的起點(diǎn),歡迎大家參考和學(xué)習(xí)。
問(wèn)題一:某個(gè)運(yùn)行互聯(lián)網(wǎng)連接共享的用戶不能安裝思科3000 客戶端。
這個(gè)問(wèn)題易于解決。用戶需要在安裝客戶端之前在其機(jī)器上禁用ICS。筆者建議用戶用一個(gè)支持防火墻的路由器代替ICS。注意,如果機(jī)器只是通過(guò)另外一個(gè)使用ICS的機(jī)器進(jìn)行連接的話,這樣做就不必要了。要禁用ICS,可以單擊“開始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服務(wù)(Services)”/“Internet連接共享(Internet Connection Sharing)”,并禁用“在啟動(dòng)時(shí)加載(Load On Startup)”選項(xiàng)。
此外,還要保證用戶們知道客戶端禁用了XP的歡迎屏幕和快速用戶切換,這些通常用在多用戶的家用電腦中。組合鍵[Ctrl]+[Alt]+[Delete]仍適用,而且用戶需要鍵入其用戶名和口令。(注意:快速用戶切換可以通過(guò)禁用客戶端的‘登錄前開始’特性禁用。不過(guò),這也有其自身的問(wèn)題,因此,除非你確實(shí)需要快速用戶切換,筆者并不推薦這樣做。)
關(guān)于客戶端安裝的另外一個(gè)問(wèn)題:思科并不推薦在同一的PC上安裝多個(gè)客戶端。如果對(duì)此你有任何問(wèn)題,并且需要支持,可以先卸載其它的客戶端,然后再打電話尋求支持。
問(wèn)題二:日志指示一個(gè)密鑰問(wèn)題
如果與預(yù)共享密鑰有關(guān)的日志中存在著錯(cuò)誤,你就可能在連接的任何一端上錯(cuò)配密鑰。這種情況下,你的日志會(huì)指明客戶端與服務(wù)器之間的交換很好地切合IKE的首要模式安全性。在這種交換之后,日志會(huì)指明一個(gè)密鑰問(wèn)題。要解決之,可以在集中器上找到“配置(Configuration)”/“系統(tǒng)(System)”/“隧道協(xié)議(Tunneling Protocol)”/“IPSec局域網(wǎng)到局域網(wǎng)(IPSec LAN-to-LAN)”選項(xiàng),并選擇你的IPSec配置。在預(yù)共享密鑰(Preshared Key)字段中,輸入你的預(yù)共享密鑰。在一個(gè)用于與集中器關(guān)聯(lián)的思科PIX防火墻上,應(yīng)使用命令:
sakmp key password address xx.xx.xx.xx netmask 255.255.255.255
在這里的口令即是你的預(yù)共享密鑰。用于你的集中器中的密鑰和PIX防火墻上的密鑰應(yīng)當(dāng)正確地匹配。
問(wèn)題三:在試圖連接到時(shí),運(yùn)行防火墻軟件的用戶報(bào)告錯(cuò)誤
在防火墻軟件中,有一些端口需要打開,如BlackIce(BlackIce也存在著與思科的客戶端相關(guān)的其它問(wèn)題。你可以參考它的發(fā)布注釋尋求更多的信息。),Zone Alarm,Symantec,還有Windows平臺(tái)的其它互聯(lián)網(wǎng)安全程序,以及Linux系統(tǒng)上的ipchains 和 iptables??傮w而言,如果用戶在其軟件中打開了下面的端口,你就該看到一些抱怨的終結(jié):
UDP 端口: 500, 1000 和 10000
IP 協(xié)議 50 (ESP)
為IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
問(wèn)題四:家庭用戶抱怨說(shuō),在連接建立后,他們不能訪問(wèn)其家用網(wǎng)絡(luò)上的其它資源。
一般而言,這種問(wèn)題是由于禁用了隧道分離造成的。雖然隧道分離會(huì)引起安全風(fēng)險(xiǎn),可以通過(guò)采取強(qiáng)健的、增強(qiáng)的安全策略而將這些風(fēng)險(xiǎn)減輕到某個(gè)程度,并自動(dòng)地?cái)U(kuò)展到客戶端連接(例如,一個(gè)策略可能要求安裝最新的反病毒軟件或安裝一個(gè)防火墻)。在一個(gè)PIX上,可以使用這個(gè)命令來(lái)啟用隧道分離:
group groupname split-tunnel split_tunnel_acl
你應(yīng)當(dāng)用對(duì)應(yīng)的訪問(wèn)列表命令來(lái)定義哪些內(nèi)容可以通過(guò)加密的通道,哪些通信可以以明文的形式發(fā)送出去。例如:
access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any
或者任何你指定的IP地址范圍。
在一個(gè)思科Cisco Series 3000 Concentrator 上,你需要告訴設(shè)備哪些網(wǎng)絡(luò)應(yīng)通過(guò)加密通道通信??梢酝ㄟ^(guò)如下步驟進(jìn)行:轉(zhuǎn)到“配置(Configuration)”/“用戶管理(User Management)”/“基群(Base Group)”,并且從“客戶配置(Client Config)”選項(xiàng)卡中,選擇“Only Tunnel Networks In The List(僅列表中的隧道網(wǎng)絡(luò))”選項(xiàng),并在你應(yīng)該由保護(hù)的站點(diǎn)上創(chuàng)建一個(gè)網(wǎng)絡(luò)列表,而且要在“Split Tunneling Network List(分離隧道網(wǎng)絡(luò)列表)”下拉列表框中選擇這個(gè)網(wǎng)絡(luò)列表。
問(wèn)題五:一個(gè)遠(yuǎn)程用戶的網(wǎng)絡(luò)正在使用與服務(wù)器的本地網(wǎng)絡(luò)相同的IP地址范圍(采用支持虛擬適配器的Client 4.6,環(huán)境:Windows 2000/XP)
對(duì)這些特定的操作系統(tǒng)來(lái)說(shuō),這可能有點(diǎn)兒特別,不過(guò)診斷Cisco 4.6的這些IP地址沖突可能會(huì)使人灰心喪氣。在這些情況下,由于沖突的存在,那些假定通過(guò)隧道的通信仍保留在本地。
在受到影響的客戶端上,單擊“開始(Start)”/“控制面板(Control Panel)”/“網(wǎng)絡(luò)和撥號(hào)連接(Network And Dialup Connections)”/“本地適配器(local adapter)”,在適配器上右擊,并選擇“屬性(Properties)”。在“屬性(Properties)”頁(yè)上,選擇TCP/IP,然后單擊“屬性(Properties)”按鈕。下一步,單擊“高級(jí)(Advanced)”選項(xiàng),找到“Interface Metric”選項(xiàng),將其值增加1。這就有效地告訴了你的計(jì)算機(jī)第二次使用本地適配器。適配器將可能擁有metric值1,這使它成為一個(gè)通信目地的首要選擇。
問(wèn)題六:某些路由器/固件組合引起了客戶端的連接問(wèn)題
思科的客戶端在一些較老的(有時(shí)是較新的)家用路由器中會(huì)產(chǎn)生問(wèn)題,通常是針對(duì)特定的固件版本。如果你的用戶存在著一致的連接問(wèn)題,就需要讓它們升級(jí)其路由器的固件,特別是在他們擁有一個(gè)較老的設(shè)備單元時(shí)。在眾多的路由器中,已知會(huì)產(chǎn)生思科客戶端問(wèn)題的有:
固件版本低于1.44的Linksys BEFW11S4
固件版本低于2.15的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型號(hào) ISB2LAN
如果所有其它的措施都失效,可以將一個(gè)空閑的路由器給用戶使用,幫助它們限制潛在的問(wèn)題范圍。最終有問(wèn)題的路由器可能需要替換。
問(wèn)題七:用戶報(bào)告說(shuō),在他們?cè)噲D建立連接時(shí),其客戶端連接會(huì)終結(jié)
在這種情況下,用戶會(huì)看到一個(gè)錯(cuò)誤消息,類似于“ Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( 連接被客戶端終結(jié)。原因403:不能聯(lián)系到安全網(wǎng)關(guān)。)這種錯(cuò)誤可能是由多種原因造成的:
用戶可能輸入了不正確的組口令
用戶可能并沒(méi)有為遠(yuǎn)程端點(diǎn)鍵入恰當(dāng)?shù)拿Q或IP地址
用戶可能存在著其它的互聯(lián)網(wǎng)連接問(wèn)題
基本而言,由于某種原因,IKE協(xié)商會(huì)失效。你可以檢查客戶端的日志,(單擊log/enable),設(shè)法找到使哈希認(rèn)證無(wú)法進(jìn)一步縮小問(wèn)題范圍的錯(cuò)誤。
問(wèn)題八:從NAT設(shè)備后建立一個(gè)連接時(shí),發(fā)生故障;或者建立一個(gè)到NAT設(shè)備后的服務(wù)器的連接時(shí),發(fā)生故障。
在允許傳輸期間對(duì)數(shù)據(jù)包的頭部進(jìn)行修改之前,這個(gè)問(wèn)題是固有的,所以這個(gè)問(wèn)題出現(xiàn)在所有的思科硬件中。要糾正這個(gè)問(wèn)題,就要在你的硬件上啟用NAT-Traversal (NAT-T),并允許UDP端口4500通過(guò)防火墻。
如果你正將一個(gè)PIX防火墻既用作防火墻又用作端點(diǎn),就要在你的配置中用命令nat-traversal 20啟用NAT-T,并打開4500端口。這里的20是NAT的保持活動(dòng)的時(shí)間周期。如果你擁有一個(gè)獨(dú)立的防火墻和一個(gè)思科集中器,就要在擁有集中器目標(biāo)地址的防火墻上打開UDP端口4500。然后,在集中器上,轉(zhuǎn)到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并選擇“IPSec Over NAT-T”選項(xiàng)。而且,還要保障任何在用戶端點(diǎn)上使用的客戶端都支持NAT-T。
問(wèn)題九:用戶成功地建立了一個(gè)鏈接,不過(guò)卻周期性的掉線。
同樣,為了明確問(wèn)題,你還要檢查多個(gè)地方。首先,確認(rèn)用戶的計(jì)算機(jī)并沒(méi)有進(jìn)入Standby Mode (待命模式)、休眠模式,也沒(méi)有啟動(dòng)屏幕保護(hù)程序。在客戶期望到達(dá)一個(gè)服務(wù)器的持續(xù)連接時(shí),待命模式、休眠模式能夠中斷你的網(wǎng)絡(luò)連接。為了節(jié)省電力,你的用戶還有可能配置其計(jì)算機(jī)使其在一段時(shí)間之后關(guān)閉一個(gè)網(wǎng)絡(luò)適配器(網(wǎng)卡)。
如果使用了無(wú)線技術(shù),你的用戶有可能漫游到一個(gè)無(wú)線信號(hào)很弱(或不存在)的地方,那么有可能因此斷開。還有,你的用戶的網(wǎng)絡(luò)電纜可能有問(wèn)題,也有可能是路由器或互聯(lián)網(wǎng)連接的問(wèn)題,或者是其它的物理連接問(wèn)題。
還有這樣一些報(bào)告指出,如果一個(gè)端點(diǎn)(PIX或3000集中器)耗盡其IP地址池中的資源,也會(huì)導(dǎo)致在客戶端上導(dǎo)致這種錯(cuò)誤。
問(wèn)題十:某用戶報(bào)告說(shuō),計(jì)算機(jī)在本地網(wǎng)絡(luò)上不再可“見(jiàn)”,即使客戶端被禁用。
其它癥狀還可能包括用戶網(wǎng)絡(luò)上的其它許多計(jì)算機(jī)不能Ping通計(jì)算機(jī),即使這臺(tái)計(jì)算機(jī)能夠看到網(wǎng)絡(luò)上的其它計(jì)算機(jī)。出現(xiàn)這種情況,這個(gè)用戶有可能啟用了客戶端上的內(nèi)置防火墻。如果防火墻被啟用,它就會(huì)保持運(yùn)行狀態(tài),甚至在客戶端不運(yùn)行時(shí)仍然如此。要解決問(wèn)題,就要打開客戶端,并從選項(xiàng)(options)頁(yè)上,取消選擇“stateful firewall”選項(xiàng)的復(fù)選框。
以上介紹的僅是思科中的十個(gè)比較常見(jiàn)的問(wèn)題及其解決方法,不過(guò),可以看作是拋磚引玉。