思科me如何配置漫遊
Ⅰ 思科配置常見問題及其解決方法
思科提供了許多處理連接性的 方法 ,這使得排除的故障和解決問題成為一個並不輕松的問題。從包括在某些思科路由器中的性能到PIX防火牆所提供的服務,再到思科的 Concentrator,其中的每一個都有其自身的特點。考慮到選項的復雜性,本文所討論的這些技巧並不一定適用於所有的思科配置。不過,下面我將會為您解決類似的問題提供一個很好的起點,歡迎大家參考和學習。
問題一:某個運行互聯網連接共享的用戶不能安裝思科3000 客戶端。
這個問題易於解決。用戶需要在安裝客戶端之前在其機器上禁用ICS。筆者建議用戶用一個支持防火牆的路由器代替ICS。注意,如果機器只是通過另外一個使用ICS的機器進行連接的話,這樣做就不必要了。要禁用ICS,可以單擊“開始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服務(Services)”/“Internet連接共享(Internet Connection Sharing)”,並禁用“在啟動時載入(Load On Startup)”選項。
此外,還要保證用戶們知道客戶端禁用了XP的歡迎屏幕和快速用戶切換,這些通常用在多用戶的家用電腦中。組合鍵[Ctrl]+[Alt]+[Delete]仍適用,而且用戶需要鍵入其用戶名和口令。(注意:快速用戶切換可以通過禁用客戶端的‘登錄前開始’特性禁用。不過,這也有其自身的問題,因此,除非你確實需要快速用戶切換,筆者並不推薦這樣做。)
關於客戶端安裝的另外一個問題:思科並不推薦在同一的PC上安裝多個客戶端。如果對此你有任何問題,並且需要支持,可以先卸載 其它 的客戶端,然後再打電話尋求支持。
問題二:日誌指示一個密鑰問題
如果與預共享密鑰有關的日誌中存在著錯誤,你就可能在連接的任何一端上錯配密鑰。這種情況下,你的日誌會指明客戶端與伺服器之間的交換很好地切合IKE的首要模式安全性。在這種交換之後,日誌會指明一個密鑰問題。要解決之,可以在集中器上找到“配置(Configuration)”/“系統(System)”/“隧道協議(Tunneling Protocol)”/“IPSec區域網到區域網(IPSec LAN-to-LAN)”選項,並選擇你的IPSec配置。在預共享密鑰(Preshared Key)欄位中,輸入你的預共享密鑰。在一個用於與集中器關聯的思科PIX防火牆上,應使用命令:
sakmp key password address xx.xx.xx.xx netmask 255.255.255.255
在這里的口令即是你的預共享密鑰。用於你的集中器中的密鑰和PIX防火牆上的密鑰應當正確地匹配。
問題三:在試圖連接到時,運行防火牆軟體的用戶 報告 錯誤
在防火牆軟體中,有一些埠需要打開,如BlackIce(BlackIce也存在著與思科的客戶端相關的其它問題。你可以參考它的發布注釋尋求更多的信息。),Zone Alarm,Symantec,還有Windows平台的其它互聯網安全程序,以及Linux系統上的ipchains 和 iptables。總體而言,如果用戶在其軟體中打開了下面的埠,你就該看到一些抱怨的終結:
UDP 埠: 500, 1000 和 10000
IP 協議 50 (ESP)
為IPSec/TCP而配置的TCP 埠
NAT-T 埠 4500
問題四:家庭用戶抱怨說,在連接建立後,他們不能訪問其家用網路上的其它資源。
一般而言,這種問題是由於禁用了隧道分離造成的。雖然隧道分離會引起安全風險,可以通過採取強健的、增強的安全策略而將這些風險減輕到某個程度,並自動地擴展到客戶端連接(例如,一個策略可能要求安裝最新的反病毒軟體或安裝一個防火牆)。在一個PIX上,可以使用這個命令來啟用隧道分離:
group groupname split-tunnel split_tunnel_acl
你應當用對應的訪問列表命令來定義哪些內容可以通過加密的通道,哪些通信可以以明文的形式發送出去。例如:
access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any
或者任何你指定的IP地址范圍。
在一個思科Cisco Series 3000 Concentrator 上,你需要告訴設備哪些網路應通過加密通道通信。可以通過如下步驟進行:轉到“配置(Configuration)”/“用戶管理(User Management)”/“基群(Base Group)”,並且從“客戶配置(Client Config)”選項卡中,選擇“Only Tunnel Networks In The List(僅列表中的隧道網路)”選項,並在你應該由保護的站點上創建一個網路列表,而且要在“Split Tunneling Network List(分離隧道網路列表)”下拉列表框中選擇這個網路列表。
問題五:一個遠程用戶的網路正在使用與伺服器的本地網路相同的IP地址范圍(採用支持虛擬適配器的Client 4.6,環境:Windows 2000/XP)
對這些特定的 操作系統 來說,這可能有點兒特別,不過診斷Cisco 4.6的這些IP地址沖突可能會使人灰心喪氣。在這些情況下,由於沖突的存在,那些假定通過隧道的通信仍保留在本地。
在受到影響的客戶端上,單擊“開始(Start)”/“控制面板(Control Panel)”/“網路和撥號連接(Network And Dialup Connections)”/“本地適配器(local adapter)”,在適配器上右擊,並選擇“屬性(Properties)”。在“屬性(Properties)”頁上,選擇TCP/IP,然後單擊“屬性(Properties)”按鈕。下一步,單擊“高級(Advanced)”選項,找到“Interface Metric”選項,將其值增加1。這就有效地告訴了你的計算機第二次使用本地適配器。適配器將可能擁有metric值1,這使它成為一個通信目地的首要選擇。
問題六:某些路由器/固件組合引起了客戶端的連接問題
思科的客戶端在一些較老的(有時是較新的)家用路由器中會產生問題,通常是針對特定的固件版本。如果你的用戶存在著一致的連接問題,就需要讓它們升級其路由器的固件,特別是在他們擁有一個較老的設備單元時。在眾多的路由器中,已知會產生思科客戶端問題的有:
固件版本低於1.44的Linksys BEFW11S4
固件版本低於2.15的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型號 ISB2LAN
如果所有其它的 措施 都失效,可以將一個空閑的路由器給用戶使用,幫助它們限制潛在的問題范圍。最終有問題的路由器可能需要替換。
問題七:用戶報告說,在他們試圖建立連接時,其客戶端連接會終結
在這種情況下,用戶會看到一個錯誤消息,類似於“ Connection terminated locally by the Client. Reason 403: Unable to contact the security gateway”( 連接被客戶端終結。原因403:不能聯繫到安全網關。)這種錯誤可能是由多種原因造成的:
用戶可能輸入了不正確的組口令
用戶可能並沒有為遠程端點鍵入恰當的名稱或IP地址
用戶可能存在著其它的互聯網連接問題
基本而言,由於某種原因,IKE協商會失效。你可以檢查客戶端的日誌,(單擊log/enable),設法找到使哈希認證無法進一步縮小問題范圍的錯誤。
問題八:從NAT設備後建立一個連接時,發生故障;或者建立一個到NAT設備後的伺服器的連接時,發生故障。
在允許傳輸期間對數據包的頭部進行修改之前,這個問題是固有的,所以這個問題出現在所有的思科硬體中。要糾正這個問題,就要在你的硬體上啟用NAT-Traversal (NAT-T),並允許UDP埠4500通過防火牆。
如果你正將一個PIX防火牆既用作防火牆又用作端點,就要在你的配置中用命令nat-traversal 20啟用NAT-T,並打開4500埠。這里的20是NAT的保持活動的時間周期。如果你擁有一個獨立的防火牆和一個思科集中器,就要在擁有集中器目標地址的防火牆上打開UDP埠4500。然後,在集中器上,轉到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,並選擇“IPSec Over NAT-T”選項。而且,還要保障任何在用戶端點上使用的客戶端都支持NAT-T。
問題九:用戶成功地建立了一個鏈接,不過卻周期性的掉線。
同樣,為了明確問題,你還要檢查多個地方。首先,確認用戶的計算機並沒有進入Standby Mode (待命模式)、休眠模式,也沒有啟動屏幕保護程序。在客戶期望到達一個伺服器的持續連接時,待命模式、休眠模式能夠中斷你的網路連接。為了節省電力,你的用戶還有可能配置其計算機使其在一段時間之後關閉一個網路適配器(網卡)。
如果使用了無線技術,你的用戶有可能漫遊到一個無線信號很弱(或不存在)的地方,那麼有可能因此斷開。還有,你的用戶的網路電纜可能有問題,也有可能是路由器或互聯網連接的問題,或者是其它的物理連接問題。
還有這樣一些報告指出,如果一個端點(PIX或3000集中器)耗盡其IP地址池中的資源,也會導致在客戶端上導致這種錯誤。
問題十:某用戶報告說,計算機在本地網路上不再可“見”,即使客戶端被禁用。
其它症狀還可能包括用戶網路上的其它許多計算機不能Ping通計算機,即使這台計算機能夠看到網路上的其它計算機。出現這種情況,這個用戶有可能啟用了客戶端上的內置防火牆。如果防火牆被啟用,它就會保持運行狀態,甚至在客戶端不運行時仍然如此。要解決問題,就要打開客戶端,並從選項(options)頁上,取消選擇“stateful firewall”選項的復選框。
以上介紹的僅是思科中的十個比較常見的問題及其解決方法,不過,可以看作是拋磚引玉。
Ⅱ 如何多個無線路由器漫遊設置
在無線區域網中漫遊————
無線漫遊的配置與應用
目前,無線網路已經悄然成為現代化時尚辦公的的新寵,但單個AP的覆蓋面積有限,因此一些覆蓋面較大的公司往往會安置兩個或兩個以上AP,已達到在公司范圍之內都能使用無線網路的目的,但這是會產生這樣的問題,當移動用戶再不同的AP之間切換時每次都要查找無線網路,重新連接,非常麻煩。有沒有好的方法呢?無線漫遊方案就可以輕松解決這個問題。
什麼是無線漫遊(Roaming)?
當網路跨度很大的大型企業,在公司中部署無線區域網時,某些員工可能需要完全的移動通訊能力,這就必須採用無線漫遊的連接方案。由於無線電波再傳播過程中會不斷衰減,導致無線AP的通訊范圍被限定在一定的距離之內。當網路環境存在多個AP時,他們的信號覆蓋范圍會有一定的重合,再用網線把多個AP用網線連接起來,無線客戶端用戶可以在不同AP覆蓋的區域內任意移動,都能保持網路連接,這就塵宴搭是無線漫遊。在使用時無線網卡能夠自動發現附近信號強度最大的AP,並通過這個AP收發數據,保持不間斷的網路連接。相派拿信大家都用過手機吧,手機從一個基站的覆蓋范圍移動到另一個基站的覆蓋范圍時,能提供不間斷無縫通話能力,這就是利用了無線漫遊功能。
其實無線區域網的漫遊功能與手機的漫遊功能原理上完全一樣。
無線漫遊的具體配置方法:
1.無線AP的配置:
由於無線漫遊必須由多個AP組成,所以要事先分配好每個AP
的IP地址,並保證所以AP的IP地址在同一網段,必須設置相同的ESSID!如果為了保證無線網路的安全,我們可以對AP進行WEP加密,但是所以AP加密的方式和加密的秘密必須相同!關掉廣播SSID,有必要的話還可設置MAC地址過濾,防止非法客戶端通過無線網路入侵你的區域網。
為了實現漫遊,我們必須把多個AP的信號覆蓋范圍互相重疊,如果覆蓋范圍重疊的AP之間使用的有信號重疊的信道,它們在信號傳輸時就會互相干擾,從而降低了網路性能和效率。因此各個AP覆蓋區域所佔信道之間必須遵循一定的規范,有相互重疊的區域的AP不能選用同一信道。802.11b協議工作在2.4000GHz~2.4835GHz信道上,一共存在著相互重疊的11個信道,在這11個信道中只有三個信道是不重疊的,分別是信道1、6、11(見圖)。利用這三個信道蜂窩是覆蓋是最合適的。
2.放置無線AP位置原則:
無線AP的位置應當盡可能放在高處。無線信號是直線傳播的,每遇到一個障礙物,無線信號就會被削減一部分,將無線AP置於相對較高的位置,祥升可以有效的避開AP與網卡之間的固定或移動障礙物,從而保證無線網路的覆蓋范圍,保障無線網路的通暢,如果AP的高度不夠,僅靠配備大增益天線的效果是非常有限的。應當保證無線AP與客戶端之間不要超過兩堵牆,否則就要考慮增加AP數量,以保證無線信號的強度。
要實現無線漫遊,要求各個AP之間無縫連接,必須使相鄰AP的覆蓋區域有少量重疊,重疊區域大小取決於區域中的用戶數量和網路使用率。要盡可能避免無線信號盲區!
3.無線網卡的設置:
對於移動客戶端來說,無線漫遊和用一個AP的連接沒有什麼不同,無需特殊設置。在Windows98/Me/2000系統下,需要安裝無線網卡附送的無線客戶端管理軟體,進行設置後接入無線網路,實現無線漫遊。如果你採用的是Windows XP系統,則不需要安裝管理軟體。將無線網卡的驅動程序和管理軟體安裝完成後,無線網卡需要設置和無線AP相同的ESSID以及WEP加密方式和密碼,選擇Ingrastructure(構架模式),不要選擇Ad-Hoc(點對點模式)。網卡的IP地址根據實際情況自己配置。這樣就可以實現無線漫遊了!
Ⅲ Cisco1242AG無線AP怎麼設置無線漫遊
真正的無逢漫遊需要使用AC統一管理,然後把AP設置為瘦AP模式。
Ⅳ 如何為多個域用戶設置相同的漫遊配置文件
在Windows Server 2003域管理模式,使用漫遊配置文件,可以把登錄到域中的用戶的配置文件存儲在伺服器上。這樣做的好處:把域用戶的配置文件統一存儲在伺服器上,便於管理員統一備份;在辦公環境下,多人共用電腦,有利用用戶存儲、使用自己的文件。
1、准備工作——在伺服器上建立一個共享文件,添加許可權——域用戶可以修改。
2、把用戶配置文件復制到伺服器。
①以管理員的身份從客戶機登錄到域。
②把用戶配置文件復制到伺服器。
打開「系統屬性」的「高級」選項卡,打開用戶配置文件,選中要復制到伺服器的用戶配置文件,單擊「復制到...」按鈕,在彈出的復制到對話框輸入復制目的文件,路徑是UNC路徑。
設置配置文件的使用許可權:單擊"更改"按鈕,彈出對話框,選擇可以使用此配置文件的用戶。
復制用戶配置文件的相關設置。
3、伺服器端設置
在域控制器是運行"Active Directory用戶和計算機",打開用戶Gates的屬性,在配置文件選項卡的用戶配置文件路徑中輸入遠程配置路徑。
4、使用漫遊配置文件
從客戶機登錄到域,可以看到用戶的配置文件類型為:漫遊配置文件。
從另一個客戶機登錄,測試一下效果
三,讓域用戶使用本地用戶配置文件
1.本地用戶aa,設置好了郵箱和列印機,開好帳號aa屬於域用戶;
2.使用域帳號aa登陸到域,電腦會從新生成aa域用戶的配置文件;什麼都沒有,郵箱和列印機都沒有配置
3.使用Microsoft的用戶遷移工具,然後編寫一個bat的批處理文件,批處理文件代碼給大家看看:微軟用戶遷移工具為:moveuser.exe
代碼如下:moveuser.exe kevin-pc\aa kevin.com\aa /k /y
其中:kevin-pc為計算機名,或者之前的域名,kevin.com為域名;意思是,將本地kevin-pc電腦用戶aa的配置文件,遷移,使域用戶[email protected]用戶使用kevin-pc上aa的用戶配置文件;
注意:moveuse.exe和bat文件要在同一目錄下。
Ⅳ 求思科路由器的全部配置命令
思科路由器常用配置命令一覽表:
1、Exec commands:
<1-99> 恢復一個會話
bfe 手工應急模式設置
clear 復位功能
clock 管理系統時鍾
configure 進入設置模式
connect 打開一個終端
從tftp伺服器拷貝設置文件或把設置文件拷貝到tftp伺服器上
debug 調試功能
disable 退出優先命令狀態
disconnect 斷開一個網路連接
enable 進入優先命令狀態
erase 擦除快閃內存
exit 退出exce模式
help 交互幫助系統的描述
lat 打開一個本地傳輸連接
lock 鎖定終端
login 以一個用戶名登錄
logout 退出終端
mbranch 向樹形下端分支跟蹤多路由廣播
mrbranch 向樹形上端分支跟蹤反向多路由廣播
name-connection 給一個存在的網路連接命名
no 關閉調試功能
pad 打開X.29 PAD連接
ping 發送回顯信息
ppp 開始點到點的連接協議
reload 停機並執行冷啟動
resume 恢復一個活動的網路連接
rlogin 打開遠程注冊連接
rsh 執行一個遠端命令
send 發送信息到另外的終端行
setup 運行setup命令
show 顯示正在運行系統信息
slip 開始SLIP協議
start-chat 在命令行上執行對話描述
systat 顯示終端行的信息
telnet 遠程登錄
terminal 終端行參數
test 測試子系統內存和埠
tn3270 打開一個tin3270連接
trace 跟蹤路由到目的地
undebug 退出調試功能
verify 驗證檢查閃爍文件的總數
where 顯示活動的連接
which-route 執行OSI路由表查找並顯示結果
write 把正在運行的設置寫入內存、網路、或終端
x3 在PAD上設置X.3參數
xremote 進入xremote模式
2、#show ?
access-expression 顯示訪問控製表達式
access-lists 顯示訪問控製表
apollo Apollo 網路信息
appletalk Apple Talk 信息
arap 顯示Appletalk 遠端通道統計
arp 地址解析協議表
async 訪問路由介面的終端行上的信息
bridge 前向網路資料庫
buffers 緩沖池統計
clns CLNS網路信息
clock 顯示系統時鍾
cmns 連接模式網路服務信息
compress 顯示壓縮狀態
configuration 非易失性內存的內容
controllers 埠控制狀態
debugging 調試選項狀態
decnet DEC網路信息
dialer 撥號參數和統計
dnsix 顯示Dnsix/DMPP信息
entry 排隊終端入口
extended 擴展埠信息
flash 系統閃爍信息
flh-log 閃爍裝載幫助日誌緩沖區
frame-relay 幀中繼信息
history 顯示對話層歷史命令
hosts IP域名,查找方式,名字服務,主機表
interfaces 埠狀態和設置
ip IP信息
ipx Novell IPX信息
isis IS-IS路由信息
keymap 終端鍵盤映射
lat DEC LAT信息
line 終端行信息
llc2 IBM LLC2 環路信息
lnm IBM 局網管理
local-ack 本地認知虛環路
memory 內存統計
netbios-cache NetBios命名緩沖存貯器內存
node 顯示已知LAT節點
ntp 網路時間協議
processes 活動進程統計
protocols 活動網路路由協議
queue 顯示隊列內容
queueing 顯示隊列設置
registry 功能注冊信息
rhosts 遠程主機文件
rif RIF存貯器入口
route-map 路由器信息
sdlle 顯示sdlc-llc2轉換信息
services 已知LAT服務
sessions 遠程連接信息
smds SMDS信息
source-bridge 源網橋參數和統計
spanning-tree 跨越樹形拓樸
stacks 進程堆棧應用
standby 熱支持協議信息
stun STUN狀態和設置
subsystem 顯示子系統
tcp TCP連接狀態
terminal 顯示終端設置
tn3270 TN3270 設置
translate 協議轉換信息
ttycap 終端容易表
users 顯示終端行的信息
version 系統硬、軟體狀態
vines VINES信息
whoami 當前終端行信息
x25 X.25信息
xns XNS信息
xermote Xremote統計
3、#config ?
Memory 從非易失性內存設置
Network 從TFTP網路主機設置
Overwrite-network 從TFTP網路主機設置覆蓋非易失性內存
Terminal 從終端設置
4、Configure commads:
Access-list 增加一個訪問控制域
Apollo Apollo全局設置命令
appletalk Appletalk 全局設置命令
arap Appletalk遠程進出協議
arp 設置一個靜態ARP入口
async-bootp 修改系統啟動參數
autonomous-system 本地所擁有的特殊自治系統成員
banner 定義注冊顯示信息
boot 修改系統啟動時參數
bridge 透明網橋
buffers 調整系統緩沖池參數
busy-message 定義當連接主機失敗時顯示信息
chat-script 定義一個數據機對話文本
clns 全局CLNS設置子命令
clock 設置時間時鍾
config-register 定義設置寄存器
decnet 全局DEC網路設置子命令
default-value 預設字元位值
dialer-list 創建一個撥號清單入口
dnsix-nat 為審計提供DMDM服務
enable 修改優先命令口令
end 從設置模式退出
exit 從設置模式退出
frame-relay 全局幀中繼設置命令
help 交互幫助系統的描述
hostname 設置系統網路名
iterface 選擇設置的埠
ip 全局地址設置子命令
ipx Novell/IPX全局設置命令
keymap 定義一個新的鍵盤映射
lat DEC本地傳輸協議
line 設置終端行
lnm IBM局網管理
locaddr-priority-list 在LU地址上建立優先隊列
logging 修改注冊(設備)信息
login-string 定義主機指定的注冊字元串
map-class 設置靜態表類
map-list 設置靜態表清單
menu 定義用戶介面菜單
mop 設置DEC MOP伺服器
netbios NETBIOS通道控制過濾
no 否定一個命令或改為預設設置
ntp 設置NTP
priority-list 建立特權列表
prompt 設置系統提示符
queue-list 建立常規隊列列表
rcmd 遠程命令設置命令
rcp-enable 打開Rep服務
rif 源路由進程
router-map 建立路由表或進入路由表命令模式
router 打開一個路由進程
rsh-enable 打開一個RSH服務
sap-priority-list 在SAP或MAC地址上建立一個優先隊列
service 修改網路基本服務
snmp-server 修改SNMP參數
state-machine 定義一個TCP分配狀態的機器
stun STUN全局設置命令
tacacs-server 修改TACACS隊列參數
terminal-queue 終端隊列命令
tftp-server 為網路裝載請求提供TFTP服務
tn3270 tn3270設置命令
translate 解釋全局設置命令
username 建立一個用戶名及其許可權
vines VINES全局設置命令
x25 X.25 的第三級
x29 X.29 命令
xns XNS 全局設置命令
xremote 設置Xremote
5、(config)#ip
Global IP configuration subcommands:
Accounting-list 選擇保存IP記帳信息的主機
Accounting-threshold 設置記帳入口的最大數
accounting-transits 設置通過入口的最大數
alias TCP埠的IP地址取別名
as-path BGP自治系統路徑過濾
cache-invalidate-delay 延遲IP路由存貯池的無效
classless 跟隨無類前向路由規則
default-network 標志網路作為預設網關候選
default-gateway 指定預設網(如果沒有路由IP)
domain-list 完成無資格主機的域名
domain-lookup 打開IP域名服務系統主機轉換
domain-name 定義預設域名
forward-protocol 控制前向的、物理的、直接的IP廣播
host 為IP主機表增加一個入口
host-routing 打開基於主機的路由(代理ARP和再定向)
hp-host 打開HP代理探測服務
mobile-host 移動主機資料庫
multicast-routing 打開前向IP
name-server 指定所用名字伺服器的地址
ospf-name-lookup 把OSPF路由作為DNS名顯示
pim PIM 全局命令
route 建立靜態路由
routing 打開IP路由
security 指定系統安全信息
source-route 根據源路由頭的選擇處理包
subnet-zero 允許子網0子網
tcp 全局TCP參數