地址: >
思科提供了许多处理连接性的 方法 ,这使得排除的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的性能到PIX防火墙所提供的服务,再到思科的 Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科配置。不过,下面我将会为您解决类似的问题提供一个很好的起点,欢迎大家参考和学习。
问题一:某个运行互联网连接共享的用户不能安装思科3000 客户端。
这个问题易于解决。用户需要在安装客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。
此外,还要保证用户们知道客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)
关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个客户端。如果对此你有任何问题,并且需要支持,可以先卸载 其它 的客户端,然后再打电话寻求支持。
问题二:日志指示一个密钥问题
如果与预共享密钥有关的日志中存在着错误,你就可能在连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:
sakmp key password address xxxxxxxx netmask 255255255255
在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。
问题三:在试图连接到时,运行防火墙软件的用户 报告 错误
在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:
UDP 端口: 500, 1000 和 10000
IP 协议 50 (ESP)
为IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
问题四:家庭用户抱怨说,在连接建立后,他们不能访问其家用网络上的其它资源。
一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:
group groupname split-tunnel split_tunnel_acl
你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:
access-list split_tunnel_acl permit ip 10000 25525500 any
或者任何你指定的IP地址范围。
在一个思科Cisco Series 3000 Concentrator 上,你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行:转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”,并且从“客户配置(Client Config)”选项卡中,选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项,并在你应该由保护的站点上创建一个网络列表,而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。
问题五:一个远程用户的网络正在使用与服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client 46,环境:Windows 2000/XP)
对这些特定的 *** 作系统 来说,这可能有点儿特别,不过诊断Cisco 46的这些IP地址冲突可能会使人灰心丧气。在这些情况下,由于冲突的存在,那些假定通过隧道的通信仍保留在本地。
在受到影响的客户端上,单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”,在适配器上右击,并选择“属性(Properties)”。在“属性(Properties)”页上,选择TCP/IP,然后单击“属性(Properties)”按钮。下一步,单击“高级(Advanced)”选项,找到“Interface Metric”选项,将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。
问题六:某些路由器/固件组合引起了客户端的连接问题
思科的客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:
固件版本低于144的Linksys BEFW11S4
固件版本低于215的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型号 ISB2LAN
如果所有其它的 措施 都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。
问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结
在这种情况下,用户会看到一个错误消息,类似于“ Connection terminated locally by the Client Reason 403: Unable to contact the security gateway”( 连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:
用户可能输入了不正确的组口令
用户可能并没有为远程端点键入恰当的名称或IP地址
用户可能存在着其它的互联网连接问题
基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。
问题八:从NAT设备后建立一个连接时,发生故障;或者建立一个到NAT设备后的服务器的连接时,发生故障。
在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。
如果你正将一个PIX防火墙既用作防火墙又用作端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科集中器,就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后,在集中器上,转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且,还要保障任何在用户端点上使用的客户端都支持NAT-T。
问题九:用户成功地建立了一个链接,不过却周期性的掉线。
同样,为了明确问题,你还要检查多个地方。首先,确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式,也没有启动屏幕保护程序。在客户期望到达一个服务器的持续连接时,待命模式、休眠模式能够中断你的网络连接。为了节省电力,你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。
如果使用了无线技术,你的用户有可能漫游到一个无线信号很弱(或不存在)的地方,那么有可能因此断开。还有,你的用户的网络电缆可能有问题,也有可能是路由器或互联网连接的问题,或者是其它的物理连接问题。
还有这样一些报告指出,如果一个端点(PIX或3000集中器)耗尽其IP地址池中的资源,也会导致在客户端上导致这种错误。
问题十:某用户报告说,计算机在本地网络上不再可“见”,即使客户端被禁用。
其它症状还可能包括用户网络上的其它许多计算机不能Ping通计算机,即使这台计算机能够看到网络上的其它计算机。出现这种情况,这个用户有可能启用了客户端上的内置防火墙。如果防火墙被启用,它就会保持运行状态,甚至在客户端不运行时仍然如此。要解决问题,就要打开客户端,并从选项(options)页上,取消选择“stateful firewall”选项的复选框。
以上介绍的仅是思科中的十个比较常见的问题及其解决方法,不过,可以看作是抛砖引玉。
1登入路由器,输入enbale命令启动超级用户模式,在该模式下,输入enable password命令
2
输入configure terminal命令,启动全局配置模式
3
输入config-register 0x2142命令
4
输入end命令,并输入write erase命令删除路由器当前的启动配置1、为了确定原因,第一步将获取同样多关于问题的信息尽可能,以下信息为确定问题的原因是重要的,控制台日志,系统日志信息-如果路由器设置发送日志到系统日志服务器,你可以能得到信息关于发生什么。
2、show technical-support命令是许多不同的命令的编译包括show version、show running-config和show stacks。当路由器运行到问题时,技术人员通常请求此信息排除硬件问题故障,在执行重新加载或 重新启动之前 收集show technical-support 是重要的因为这些动作能造成关于问题的所有信息丢失。
3、完全启动顺序如果路由器经历引导程序错误。崩溃信息文件关于获得崩溃信息文件可以查找在检索信息从崩溃信息文件,如果有show命令的 输出从你的思科设备(你能使用Output Interpreter显示潜在问题和修正,使用Output Interpreter,你必须是一个 注册的用户,登录,并且安排Javascript 被启用。
二、路由器奇偶错误
如果奇偶错误只一次出现,它认为单独事件干扰并且行动不需要采取,更多信息关于单个事件翻倒可以查找在提高网络可用性,如果路由器报告多个奇偶校验错误, 然后这是硬件问题的征兆,这些故障类型可以由软件或硬件造成
三、路由器pxf处理器故障
1、情况下Parallel Express Forwarding处理器被启用,如果你是不确定的或是PXF的经验问题,验证思科快速转发和PXF 启用,使用PXF处理,你必须有IP被启用的思科快速转发交换,通过查看show running-config命令的输出验证此,如果思科快速转发启用, IPCEF在配置输出,果PXF失效,ip pxf在配置输出没有显示。
2、show c7300 pxf interface all命令发现从该接口收到信息包是否是PXF处理或丢弃 。
四、路由器OIR问题
1、路由器基于接口的准备机制为线路卡的在线热插拔,你能终止特定的线路卡数据流,关闭所有接口,并且通过使用以下命令撤销线路卡:Router# hw-module slot slot-number stop。
2、路卡是在被撤销过程中时,等待直到OIR命令之前与线路卡有关是绿色在发出任何。并且,如果线路卡是在被激活过程中,等待直到OIR命令之前与卡有关是在发出任何。
3、hw-module slot slot-number stop命令终止数据流, 打开绿色的OIR LED,并且关闭所有线路卡接口从思科7304路由器 去除线路卡没有打乱的数据流。 当仍然有数据流运行时,你不应该去除线路卡。终止关键字通过线路卡接口终止数据流并且撤销线路卡。
4、-module slot slot-number start命令重新启动线路卡并且关闭了OIR LED,放置卡返回联机。 如果使用了hw-module slot slot-number stop命令,则使用hw-module slot slot-number start命令恢复活动线路卡,也用于hw-module slot slot-number start 命令恢复被撤销的归结于若干故障的线路卡,你能通过实际去除和再插入卡也恢复活动线路卡没有使用hw-module slot slot-number start命令。
通过上面的介绍,相信你一定了解其故障的原因了,这只是思科路由会出现问题的一部分。个人理解:cisco路由器日志是对最近的一些事件的结果的描述。就像show命令,告诉的是一个结果,可能是报告一些正确的信息,例如接口起来了,路由协议中的邻居起来了;或者是一些报告一些错误的信息,IP地址的重复等等。
如有不足请高手指教。问题一:路由器的系统日志怎么理解?请帮分析解释都什么意思?谢谢! 这个要从下往上看,先看最下面一句
May 26 03:34:01 DHCP lease IP 1921680103 to xue-370bc67673f 00-26-18-12-90-6e
这一句显然不是系统启动时的东西,因为系统已经能够正常工作并且可以分配DHCP客户地址。这一句的意思是5月26日26 03:34:01,DHCP服务为物理地址是00-2弗-18-12-90-6e,机器名是xue-370bc67673f 的设备分配了1921680103 这个地址。这一句以后还要多次出现,再遇到就不解释了。而且,每一句前面都是日期和时间,也都不再说了。
往上看
May 26 03:34:03 WAN Dialup Try to establish PPPoE line
是外网口通过拔号尝试建立PPPOE连接。
May 26 03:34:09 PPPoE line connected
连接建立很快,6秒时间,两条日志之间的时间差是6秒,本句说PPPOE已经连接上了。
May 26 03:34:12 (IPsec) Pass-Through enabled
May 26 03:34:12 (PPTP) Pass-Through enabled
May 26 03:34:12 (L2TP) Pass-Through enabled
这三句是说,三种方式被允许了: (IPsec) 、 (PPTP)、 (L2TP)。
May 26 03:34:12 RTSP ALG enabled
实时流传输协议RTSP被允许通过,这个协议是对流媒体传送的。这个协议不熟,因此不知道ALG什么意思。
May 26 03:34:12 URL Blocking disabled
这句应该是说禁止URL访问这个功能被禁止了,也就是说允许URL访问
May 26 03:34:12 Block WAN PING enabled
禁止外网口的PING功能,也就是你PING它的广域网地址,是没有回应的。
May 26 03:34:12 Anti-spoofing disabled
应该是反IP欺诈功能关闭了。
May 26 03:34:12 Remote management is disabled
远程管理功能关闭
May 26 04:01:50 PPPoE Idle Timeout!! Disconnect PPPoE line
PPPOE一直没有数据,超时了,PPPOE连接中断了。
May 26 04:02:49 WAN Dialup Try to establish PPPoE line
又尝试建立PPPOE连接
May 26 04:02:55 PPPoE line connected
又建立起来了。
May 26 04:02:58 Remote management is disabled
May 26 04:02:58 Anti-spoofing disabled
May 26 04:02:58 Block WAN PING enabled
May 26 04:02:58 URL Blocking disabled
May 26 04:02:58 RTSP ALG enabled
May 26 04:02:58 (IPsec) Pass-Through enabled
May 26 04:02:58 (PPTP) Pass-Thr>>
问题二:解释路由器系统日志 你怎么wan口的设置是dhcp呢?如果是拨号,需要改成pppoe方式(设置宽带帐号和密码)
1)下面的log说明wan口没有拿到任何地址(ip,掩码和网关)
# W1 = DHCP : W = 0000 : M = 0000 : G = 0000
2)路由器发出的dhcp请求,都是没有得到响应的:
0days, 00:39:27, DHCPC: eth1 recv no OFFER, DHCP Service unavailable
问题三:路由器系统日志怎么看 路由器中的日志显示局域网中有ARP攻击,断网很有可能是由于ARP攻击造成的。首先你的清理掉局域网中的ARP攻击后再看是否掉线。。。请采纳。
问题四:路由器日志是什么意思 网络和连接设备的使用日志;如果满意,请给分!
问题五:无线路由器怎么查询系统日志 不懂,电脑在公司被偷,和家里的路由器有何关系。
问题六:路由器的日志怎么看,怎么根据日志判断路由器的问题 登录路由器设置界面后就可以在系统工具里面查看日志。
日志功能可通过在路由器上设定日志主机的IP地址,并在相应的UNIX主机上作一些必要的设置来实现。
在路由器运行过程中路由器会向日志主机发送日志。日志包括链路建立失败信息包过滤日志信息等等。通过登录到日志主机,系统管理员可以了解日志事件,对日志进行分析。日志可以帮助管理员进行故障定位、故障排除,还可以帮助管理员对网络安全进行管理。
问题七:请问下CISCO路由器查看系统日志的命令 show logging
问题八:无线路由器的系统日志可以清除吗 可以的,你可以进他的网站设置已下
问题九:求助路由器上的系统日志显示 去路由器的官网看看 升级一下你的路由器 估计是你们的网络运营商又开始封杀路由器了
问题十:怎么看路由器系统日志,经常断请帮忙看看什么问题 15分 很遗憾的告诉楼主,光图中的信息看不出是什么原因导致掉线命令:access-list {1-99} {permit/deny} source-ip source-wildcard [log]
说明:wildcard为反掩码,host表示特定主机等同于19216823 0000;any表示所有的源或目标等同于0000 255255255255 ;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方
如何查看ACL都过滤了哪些流量?
在需要记录的acl条目的最后加一个log关键字,另外需要配置设备的日志语句及日志服务器,在此不做说明。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)