思科配置常見問題及其解決方法

　　思科提供了許多處理連線性的方法，這使得排除的故障和解決問題成為一個並不輕鬆的問題。從包括在某些思科路由器中的效能到PIX防火牆所提供的服務，再到思科的 Concentrator，其中的每一個都有其自身的特點。考慮到選項的複雜性，本文所討論的這些技巧並不一定適用於所有的思科配置。不過，下面小編將會為您解決類似的問題提供一個很好的起點，歡迎大家參考和學習。

　　問題一：某個執行網際網路連線共享的使用者不能安裝思科3000 客戶端。

　　這個問題易於解決。使用者需要在安裝客戶端之前在其機器上禁用ICS。筆者建議使用者用一個支援防火牆的路由器代替ICS。注意，如果機器只是通過另外一個使用ICS的機器進行連線的話，這樣做就不必要了。要禁用ICS，可以單擊“開始***Start***”/“控制面板***Control Panel***”/“管理工具***Administrative Tools***”/“服務***Services***”/“Internet連線共享***Internet Connection Sharing***”，並禁用“在啟動時載入***Load On Startup***”選項。

　　此外，還要保證使用者們知道客戶端禁用了XP的歡迎螢幕和快速使用者切換，這些通常用在多使用者的家用電腦中。組合鍵[Ctrl]+[Alt]+[Delete]仍適用，而且使用者需要鍵入其使用者名稱和口令。***注意：快速使用者切換可以通過禁用客戶端的‘登入前開始’特性禁用。不過，這也有其自身的問題，因此，除非你確實需要快速使用者切換，筆者並不推薦這樣做。***

　　關於客戶端安裝的另外一個問題：思科並不推薦在同一的PC上安裝多個客戶端。如果對此你有任何問題，並且需要支援，可以先解除安裝其它的客戶端，然後再打電話尋求支援。

　　問題二：日誌指示一個金鑰問題

　　如果與預共享金鑰有關的日誌中存在著錯誤，你就可能在連線的任何一端上錯配金鑰。這種情況下，你的日誌會指明客戶端與伺服器之間的交換很好地切合IKE的首要模式安全性。在這種交換之後，日誌會指明一個金鑰問題。要解決之，可以在集中器上找到“配置***Configuration***”/“系統***System***”/“隧道協議***Tunneling Protocol***”/“IPSec區域網到區域網***IPSec LAN-to-LAN***”選項，並選擇你的IPSec配置。在預共享金鑰***Preshared Key***欄位中，輸入你的預共享金鑰。在一個用於與集中器關聯的思科PIX防火牆上，應使用命令：

　　sakmp key password address xx.xx.xx.xx netmask 255.255.255.255

　　在這裡的口令即是你的預共享金鑰。用於你的集中器中的金鑰和PIX防火牆上的金鑰應當正確地匹配。

　　問題三：在試圖連線到時，執行防火牆軟體的使用者報告錯誤

　　在防火牆軟體中，有一些埠需要開啟，如BlackIce***BlackIce也存在著與思科的客戶端相關的其它問題。你可以參考它的釋出註釋尋求更多的資訊。***，Zone Alarm，Symantec，還有Windows平臺的其它網際網路安全程式,以及Linux系統上的ipchains 和 iptables。總體而言，如果使用者在其軟體中打開了下面的埠，你就該看到一些抱怨的終結：

　　UDP 埠： 500, 1000 和 10000

　　IP 協議 50 ***ESP***

　　為IPSec/TCP而配置的TCP 埠

　　NAT-T 埠 4500

　　問題四：家庭使用者抱怨說，在連線建立後，他們不能訪問其家用網路上的其它資源。

　　一般而言，這種問題是由於禁用了隧道分離造成的。雖然隧道分離會引起安全風險，可以通過採取強健的、增強的安全策略而將這些風險減輕到某個程度，並自動地擴充套件到客戶端連線***例如，一個策略可能要求安裝最新的反病毒軟體或安裝一個防火牆***。在一個PIX上，可以使用這個命令來啟用隧道分離：

　　group groupname split-tunnel split_tunnel_acl

　　你應當用對應的訪問列表命令來定義哪些內容可以通過加密的通道，哪些通訊可以以明文的形式傳送出去。例如：

　　access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any

　　或者任何你指定的IP地址範圍。

　　在一個思科Cisco Series 3000 Concentrator 上，你需要告訴裝置哪些網路應通過加密通道通訊。可以通過如下步驟進行：轉到“配置***Configuration***”/“使用者管理***User Management***”/“基群***Base Group***”，並且從“客戶配置***Client Config***”選項卡中，選擇“Only Tunnel Networks In The List***僅列表中的隧道網路***”選項，並在你應該由保護的站點上建立一個網路列表，而且要在“Split Tunneling Network List***分離隧道網路列表***”下拉列表框中選擇這個網路列表。

　　問題五：一個遠端使用者的網路正在使用與伺服器的本地網路相同的IP地址範圍***採用支援虛擬介面卡的Client 4.6,環境：Windows 2000/XP***

　　對這些特定的作業系統來說，這可能有點兒特別，不過診斷Cisco 4.6的這些IP地址衝突可能會使人灰心喪氣。在這些情況下，由於衝突的存在，那些假定通過隧道的通訊仍保留在本地。

　　在受到影響的客戶端上，單擊“開始***Start***”/“控制面板***Control Panel***”/“網路和撥號連線***Network And Dialup Connections***”/“本地介面卡***local adapter***”，在介面卡上右擊，並選擇“屬性***Properties***”。在“屬性***Properties***”頁上，選擇TCP/IP，然後單擊“屬性***Properties***”按鈕。下一步，單擊“高階***Advanced***”選項，找到“Interface Metric”選項，將其值增加1。這就有效地告訴了你的計算機第二次使用本地介面卡。介面卡將可能擁有metric值1,這使它成為一個通訊目地的首要選擇。

　　問題六：某些路由器/韌體組合引起了客戶端的連線問題

　　思科的客戶端在一些較老的***有時是較新的***家用路由器中會產生問題，通常是針對特定的韌體版本。如果你的使用者存在著一致的連線問題，就需要讓它們升級其路由器的韌體，特別是在他們擁有一個較老的裝置單元時。在眾多的路由器中，已知會產生思科客戶端問題的有：

　　韌體版本低於1.44的Linksys BEFW11S4

　　韌體版本低於2.15的Asante FR3004 Cable/DSL 路由器

　　Nexland Cable/DSL 路由器型號 ISB2LAN

　　如果所有其它的措施都失效，可以將一個空閒的路由器給使用者使用，幫助它們限制潛在的問題範圍。最終有問題的路由器可能需要替換。

　　問題七：使用者報告說，在他們試圖建立連線時，其客戶端連線會終結

　　在這種情況下，使用者會看到一個錯誤訊息，類似於“ Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”*** 連線被客戶端終結。原因403：不能聯絡到安全閘道器。***這種錯誤可能是由多種原因造成的：

　　使用者可能輸入了不正確的組口令

　　使用者可能並沒有為遠端端點鍵入恰當的名稱或IP地址

　　使用者可能存在著其它的網際網路連線問題

　　基本而言，由於某種原因，IKE協商會失效。你可以檢查客戶端的日誌，***單擊log/enable***，設法找到使雜湊認證無法進一步縮小問題範圍的錯誤。

　　問題八：從NAT裝置後建立一個連線時，發生故障;或者建立一個到NAT裝置後的伺服器的連線時，發生故障。

　　在允許傳輸期間對資料包的頭部進行修改之前，這個問題是固有的，所以這個問題出現在所有的思科硬體中。要糾正這個問題，就要在你的硬體上啟用NAT-Traversal ***NAT-T***，並允許UDP埠4500通過防火牆。

　　如果你正將一個PIX防火牆既用作防火牆又用作端點，就要在你的配置中用命令nat-traversal 20啟用NAT-T，並開啟4500埠。這裡的20是NAT的保持活動的時間週期。如果你擁有一個獨立的防火牆和一個思科集中器，就要在擁有集中器目標地址的防火牆上開啟UDP埠4500。然後，在集中器上，轉到“Configuration***配置***/ Tunneling And Security***隧道和安全性***/IPSec /NAT Transparency***NAT 透明度***”,並選擇“IPSec Over NAT-T”選項。而且，還要保障任何在使用者端點上使用的客戶端都支援NAT-T。

　　問題九：使用者成功地建立了一個連結，不過卻週期性的掉線。

　　同樣，為了明確問題，你還要檢查多個地方。首先，確認使用者的計算機並沒有進入Standby Mode ***待命模式***、休眠模式，也沒有啟動螢幕保護程式。在客戶期望到達一個伺服器的持續連線時，待命模式、休眠模式能夠中斷你的網路連線。為了節省電力，你的使用者還有可能配置其計算機使其在一段時間之後關閉一個網路介面卡***網絡卡***。

　　如果使用了無線技術，你的使用者有可能漫遊到一個無線訊號很弱***或不存在***的地方，那麼有可能因此斷開。還有，你的使用者的網路電纜可能有問題，也有可能是路由器或網際網路連線的問題，或者是其它的物理連線問題。

　　還有這樣一些報告指出，如果一個端點***PIX或3000集中器***耗盡其IP地址池中的資源，也會導致在客戶端上導致這種錯誤。

　　問題十：某使用者報告說，計算機在本地網路上不再可“見”，即使客戶端被禁用。

　　其它症狀還可能包括使用者網路上的其它許多計算機不能Ping通計算機，即使這臺計算機能夠看到網路上的其它計算機。出現這種情況，這個使用者有可能啟用了客戶端上的內建防火牆。如果防火牆被啟用，它就會保持執行狀態，甚至在客戶端不執行時仍然如此。要解決問題，就要開啟客戶端，並從選項***options***頁上，取消選擇“stateful firewall”選項的複選框。

　　以上介紹的僅是思科中的十個比較常見的問題及其解決方法，不過，可以看作是拋磚引玉。