問題1:運行互聯網連接共享的用戶不能安裝Cisco 3000客戶端。
這個問題很容易解決。在安裝客戶端之前,用戶需要在他們的機器上禁用ICS。我建議用戶使用支持防火墻的路由器,而不是ICS。請註意,如果機器僅通過另壹臺使用ICS的機器連接,則沒有必要這樣做。要禁用ICS,您可以單擊?開始?/?控制面板?/?管理工具?/?服務?/?互聯網連接共享?,並禁用?啟動時加載?選項。
此外,確保用戶知道客戶端禁用了XP的歡迎屏幕和快速用戶切換,這些功能通常用於多用戶家用電腦。組合鍵[Ctrl]+[Alt]+[Delete]仍然適用,用戶需要鍵入他們的用戶名和密碼。(註:快速用戶切換可以通過禁用客戶端的?登錄前啟動?該功能被禁用。不過這本身就有問題,所以除非妳真的需要快速的用戶切換,否則我不推薦。)
關於客戶端安裝的另壹個問題:Cisco不建議在同壹臺PC上安裝多個客戶端。如果您對此有任何疑問並需要支持,您可以先卸載其他客戶端,然後尋求支持。
問題2:日誌指出了壹個關鍵問題。
如果日誌中有與預共享密鑰相關的錯誤,您可能會在連接的任何壹端不匹配密鑰。在這種情況下,您的日誌將指示客戶端和服務器之間的交換符合IKE的主模式安全性。交換之後,日誌會指出壹個關鍵問題。要解決,可以在集中器上找。配置?/?系統?/?隧道協議?/?IPSec局域網到局域網?選項並選擇您的IPSec配置。在預共享密鑰字段中,輸入您的預共享密鑰。在用於與集中器關聯的Cisco PIX防火墻上,您應該使用以下命令:
sakmp密鑰密碼地址xx.xx.xx.xx網絡掩碼255.255.255.255
這裏的密碼是您的預共享密鑰。集中器中使用的密鑰和PIX防火墻上的密鑰應該正確匹配。
問題3:當試圖連接時,運行防火墻軟件的用戶報告錯誤。
在防火墻軟件中,有壹些端口是需要打開的,比如BlackIce(BlackIce也有其他與思科的客戶端相關的問題。有關更多信息,您可以參考其發行說明。),Zone Alarm,Symantec,Windows平臺上的其他互聯網安全程序,Linux系統上的ipchains和iptables。壹般來說,如果用戶在其軟件中打開以下端口,您應該會看到壹些投訴的結束:
UDP端口:500、1000和10000。
IP協議50 (ESP)
為IPSec/TCP配置的TCP端口。
NAT-T端口4500
問題4:家庭用戶抱怨連接建立後無法訪問家庭網絡上的其他資源。
壹般來說,這個問題是由於禁用隧道分離造成的。雖然隧道隔離會導致安全風險,但通過采用健壯的、增強的安全策略,可以在壹定程度上減輕這些風險,並自動擴展到客戶端連接(例如,策略可能要求安裝最新的防病毒軟件或防火墻)。在PIX上,您可以使用以下命令來啟用隧道:
組組名分割隧道分割隧道acl
您應該使用相應的訪問列表命令來定義哪些內容可以通過加密通道傳輸,哪些通信可以明文發送。例如:
訪問列表拆分隧道acl允許ip 10.0.0.0 255.255.0.0 any
或者您指定的任何IP地址範圍。
在Cisco Cisco系列集中器上,您需要告訴設備哪些網絡應該通過加密通道進行通信。這可以通過以下步驟完成:轉到?配置?/?用戶管理?/?基群?,又從何而來?客戶端配置?選項卡,選擇?列表中只有隧道網絡?選項,並在您應該保護的站點上創建壹個網絡列表,然後在?分割隧道網絡列表?從下拉列表框中選擇此網絡列表。
問題5:遠程用戶的網絡與服務器的本地網絡使用相同的IP地址範圍(使用支持虛擬適配器的客戶端4.6,環境:Windows 2000/XP)。
對於這些特定的操作系統來說,這可能有點特殊,但在Cisco 4.6中診斷這些IP地址沖突可能會令人沮喪。在這些情況下,由於沖突的存在,那些應該通過隧道的通信保持在本地。
在受影響的客戶端上,單擊?開始?/?控制面板?/?網絡和撥號連接?/?本地適配器?,右鍵單擊適配器並選擇?屬性?。妳在線嗎?屬性?頁面上,選擇TCP/IP並單擊?屬性?按鈕。接下來,點擊?高級?選項,找到了嗎?接口度量?選項將其值增加1。這有效地告訴您的計算機第二次使用本地適配器。適配器的度量值可能是1,這使它成為通信目的地的首選。
問題6:壹些路由器/固件組合導致客戶端連接問題。
思科的客戶在壹些舊的(有時是新的)家用路由器上會有問題,通常是針對特定的固件版本。如果您的用戶壹直有連接問題,您需要要求他們升級路由器的固件,尤其是如果他們有壹個較舊的設備單元。在許多路由器中,已知會導致Cisco客戶端問題的路由器有:
Linksys BEFW11S4的固件版本低於1.44。
固件版本低於2.15的Asante FR3004電纜/DSL路由器。
Nexland電纜/DSL路由器型號ISB2LAN
如果所有其他措施都失敗了,用戶可以使用空閑路由器來幫助他們限制潛在問題的範圍。最終出現問題的路由器可能需要更換。
問題7:用戶報告說,當他們試圖建立連接時,他們的客戶端連接將被終止。
在這種情況下,用戶將看到類似於?客戶端在本地終止了連接。原因403:無法聯系安全網關?(客戶端終止了連接。原因403:無法聯系安全網關。)此錯誤可能由多種原因造成:
用戶可能輸入了不正確的組密碼。
用戶可能沒有為遠程端點鍵入適當的名稱或IP地址。
用戶可能有其他互聯網連接問題。
基本上,由於某種原因,IKE協商會失敗。您可以檢查客戶端的日誌(單擊“日誌/啟用”),並嘗試找到使哈希驗證無法進壹步縮小問題範圍的錯誤。
問題8:從NAT設備後面建立連接時,出現故障;或者建立到NAT設備後面的服務器的連接。
在傳輸過程中允許修改數據包的報頭之前,這個問題是固有的,所以這個問題出現在所有Cisco硬件中。要解決這個問題,您應該在硬件上啟用NAT-Traversal (NAT-T ),並允許UDP端口4500通過防火墻。
如果您使用PIX防火墻作為防火墻和端點,您應該在您的配置中使用命令nat-traversal 20啟用NAT-T並打開端口4500。這裏,20是保持NAT活動的時間段。如果您有獨立的防火墻和Cisco集中器,您應該使用集中器的目的地址在防火墻上打開UDP端口4500。然後,上集中器,去?配置/隧道和安全/IPSec/NAT透明性?,然後選擇?NAT-T上的IPSec?選項。此外,還必須確保用戶端點上使用的任何客戶端都支持NAT-T。
問題9:用戶成功地建立了壹個鏈接,但是周期性地丟棄了它。
同樣,為了弄清問題,妳得查很多地方。首先,確保用戶的計算機沒有處於待機模式、休眠模式或啟動屏幕保護程序。當客戶希望持續連接到服務器時,待機模式和休眠模式可能會中斷您的網絡連接。為了省電,您的用戶也可以配置他們的計算機在壹段時間後關閉網絡適配器(網卡)。
如果您使用無線技術,您的用戶可能會漫遊到無線信號弱(或不存在)的地方,因此他們可能會斷開連接。此外,您的用戶的網絡電纜、路由器或互聯網連接可能有問題,或者其他物理連接問題。
也有壹些報告稱,如果壹個端點(PIX或3000集中器)耗盡了其IP地址池中的資源,也會導致客戶端出現此錯誤。
問題10:用戶報告計算機在本地網絡中不再可用?再見?,即使客戶端被禁用。
其他癥狀可能包括用戶網絡上的許多其他計算機無法Ping通該計算機,即使該計算機可以看到網絡上的其他計算機。在這種情況下,該用戶可能啟用了客戶端上的內置防火墻。如果防火墻已啟用,它將保持運行,即使客戶端沒有運行。要解決該問題,請打開客戶端並取消選擇?從選項頁。狀態防火墻?選項的復選框。
以上介紹只是思科常見的十個問題及其解決方案,但也算是壹個開始。