Problemas comunes de configuración de Cisco y sus soluciones
Cisco ofrece muchas formas de manejar las conexiones, lo que facilita la resolución de problemas. Desde las funciones incluidas en algunos enrutadores Cisco hasta los servicios proporcionados por los firewalls PIX a los concentradores de Cisco, todos tienen sus propias características únicas. Debido a la complejidad de las opciones, es posible que las técnicas analizadas en este artículo no necesariamente se apliquen a todas las configuraciones de Cisco. Sin embargo, a continuación le proporcionaré un buen punto de partida para resolver problemas similares, así que no dude en consultarlo y aprender de él.
Problema 1: Ciertos usuarios que ejecutan Conexión a Internet **** Enjoy no pueden instalar el cliente Cisco 3000.
Este problema es fácil de solucionar. El autor recomienda que los usuarios reemplacen ICS con un enrutador que admita firewalls. Tenga en cuenta que esto no es necesario si la máquina solo está conectada a través de otra máquina mediante ICS. Para desactivar ICS, haga clic en ?Iniciar? /?¿Panel de control? /? ¿Herramientas de gestión? /?¿Atender? /¿Conexión compartida a Internet? /¿Conexión compartida a Internet? ¿Cargar al inicio?
Además, asegúrese de que los usuarios sepan que el cliente desactiva la pantalla de bienvenida de XP y el cambio rápido de usuario, que son muy comunes en computadoras domésticas multiusuario. La combinación de teclas [Ctrl]+[Alt]+[Eliminar] todavía funciona y el usuario debe escribir su nombre de usuario y contraseña. (Nota: Deshabilitar la función "Iniciar antes de iniciar sesión" del cliente puede lograr un cambio rápido de usuario. Deshabilitar la función "Iniciar antes de iniciar sesión". Sin embargo, esto también traerá una serie de problemas, por lo que, a menos que realmente necesite cambiar de usuario rápidamente, el autor no lo hace. Se recomienda que haga esto).
Otro problema relacionado con la instalación del cliente: Cisco no recomienda instalar varios clientes en la misma PC. Si tiene alguna pregunta sobre esto y necesita ayuda, puede desinstalar el otro cliente y llamar a soporte.
Problema 2: El registro muestra un problema de clave
Si hay errores relacionados con la clave pre**** en el registro, puede ser que la conexión entre dos Las claves finales no coinciden. En este caso, sus registros mostrarán que el intercambio entre el cliente y el servidor es adecuado para la seguridad del modo principal de IKE. Después del intercambio, los registros mostrarán los problemas clave. ¿La solución se puede configurar en el concentrador? /?Sistema/?Protocolo de túnel? /?IPSec LAN-to-LAN? y seleccione su configuración IPSec. En el campo Clave preestablecida, ingrese la clave preestablecida. En el firewall Cisco PIX utilizado para asociarse con el concentrador, debe usar el comando:
clave sakmp contraseña dirección xx.xx.xx.xx máscara de red 255.255.255.255
La contraseña aquí es su clave preinstalada. La clave utilizada en el concentrador y la clave del firewall PIX deben coincidir correctamente.
Problema 3: Los usuarios que ejecutan software de firewall necesitan abrir algunos puertos cuando intentan conectarse a
software de firewall como BlackIce (BlackIce tiene otros problemas con los clientes de Cisco). Puede consultar sus notas de la versión para obtener más información). En términos generales, debería ver que algunas quejas ya no ocurren si los usuarios abren los siguientes puertos en su software:
Puertos UDP: 500, 1000 y 10000
Protocolo IP 50 (ESP)
Puerto TCP configurado para IPSec/TCP
Puerto NAT-T 4500
Problema nº 4: los usuarios domésticos se quejan de no poder conectarse después de establecer una conexión Acceso otros recursos en su red doméstica.
Normalmente, este problema se debe a la desactivación del túnel dividido.
Si bien el túnel dividido plantea riesgos de seguridad, estos riesgos pueden mitigarse hasta cierto punto mediante la adopción de políticas de seguridad sólidas y mejoradas que se extiendan automáticamente a las conexiones de los clientes (por ejemplo, las políticas pueden requerir software antivirus actualizado o la instalación de un firewall). En un PIX, el túnel dividido se puede habilitar usando este comando:
grupo nombre de grupo split-tunnel split_tunnel_acl
Debe usar el comando de lista de acceso correspondiente para definir qué puede pasar a través del túnel cifrado y qué Comunicaciones se pueden enviar en texto claro. Por ejemplo:
lista de acceso split_tunnel_acl permitir ip 10.0.0.0 255.255.0.0 cualquier
o cualquier rango de direcciones IP que especifique.
En un concentrador Cisco Cisco Serie 3000, es necesario indicarle al dispositivo qué redes deben comunicarse a través de canales cifrados. Los pasos específicos son los siguientes: Ir a ?Configuración? /?Gestión de usuarios? /?Grupo básico? Seleccione la opción "Solo redes de túneles en la lista" en la pestaña Configuración del cliente y seleccione el sitio que debe proteger, luego seleccione la red en el cuadro de lista desplegable "Lista de redes de túneles divididas".
Problema 5. : La red del usuario remoto utiliza el mismo rango de direcciones IP que la red local del servidor (usando Cliente 4.6 con soporte de adaptador virtual, entorno: Windows 2000/XP)
Esto puede ser peculiar de la situación de estos sistemas operativos específicos. pero diagnosticar estos conflictos de direcciones IP en Cisco 4.6 puede resultar frustrante. En estos casos, el tráfico que se supone que está tunelizado permanece local en el cliente afectado.
En el cliente afectado, haga clic en Panel de control. /Conexiones de red y de acceso telefónico/Adaptadores locales? Haga clic con el botón derecho en el adaptador y seleccione Propiedades. En la sección Propiedades del cuadro de diálogo, haga clic derecho en el adaptador y seleccione Propiedades. En la página Propiedades, seleccione TCP/IP y luego haga clic en Propiedades. Botón Propiedades. A continuación, haga clic en Avanzado. Básicamente, esto le dice a la computadora que use el adaptador local por segunda vez. El adaptador puede tener una métrica de 1, lo que lo hace preferido para la comunicación.
Problema 6: Ciertas combinaciones de enrutador/firmware pueden causar problemas de conexión del cliente.
Los clientes Cisco pueden fallar en algunos enrutadores domésticos más antiguos (y a veces más nuevos) Causa problemas, generalmente para una versión de firmware específica . Si sus usuarios han tenido problemas de conectividad, querrá pedirles que actualicen el firmware de su enrutador, especialmente si están usando una unidad más antigua. Numerosos enrutadores que se sabe que causan problemas en los clientes de Cisco incluyen:
Linksys BEFW11S4 con una versión de firmware anterior a 1.44
Enrutador de cable/DSL Asante FR3004 con una versión de firmware anterior a 2.15
Modelos de enrutador de cable/DSL Nexland. ISB2LAN
Si todo lo demás falla, se puede proporcionar a los usuarios un enrutador de repuesto para ayudar a limitar el alcance de posibles problemas. Es posible que eventualmente sea necesario reemplazar el enrutador defectuoso.
Problema 7: los usuarios informaron que la conexión de su cliente se terminó al intentar establecer una conexión.
En este caso, los usuarios verán algo similar a "El cliente terminó la conexión localmente". . Razón 403: ¿No se puede contactar con el portal de seguridad? Razón 403: ¿No se puede contactar con el portal de seguridad? ) Hay muchas razones para este error:
Es posible que el usuario haya ingresado la contraseña de grupo incorrecta
Es posible que el usuario no haya ingresado el nombre o la dirección IP correctos del punto final remoto
El usuario puede tener otros problemas de conexión a Internet
Básicamente, la negociación IKE falló por algún motivo. Puede reducir aún más el problema verificando los registros del cliente (haga clic en Registros/Habilitar) e intente encontrar errores que impidan la validación de hash.
Problema 8: No se pudo establecer una conexión desde detrás de un dispositivo NAT; o no se pudo establecer una conexión con un servidor detrás de un dispositivo NAT.
Este problema existía en todo el hardware de Cisco antes de que se permitiera la modificación de los encabezados de los paquetes durante la transmisión. Para corregir este problema, habilite NAT-Traversal (NAT-T) en el hardware y permita el puerto UDP 4500 a través del firewall.
Si está utilizando PIX Firewall como firewall y punto final, use el comando nat-traversal 20 para habilitar NAT-T en la configuración y abrir el puerto 4500. El 20 aquí es el período de tiempo que NAT permanece activo. Si tiene un firewall separado y un concentrador Cisco, abra el puerto UDP 4500 en el firewall con la dirección de destino del concentrador, luego en el concentrador vaya a Configuración/Túnel y seguridad/IPSec/Transparencia NAT y seleccione la opción IPSec sobre NAT-T. Además, asegúrese de que cualquier cliente utilizado por el usuario admita NAT-T.
Problema 9: el usuario establece correctamente un enlace, pero se desconecta periódicamente
p>
Si usan tecnología inalámbrica, sus usuarios pueden moverse. También puede haber informes de problemas con el cable de red del usuario. , enrutador o conexión a Internet, u otra conexión física. Es decir, el recurso del grupo de direcciones IP del punto final (PIX o concentrador 3000) está agotado, lo que también puede causar este error en el cliente. : Los usuarios informan que la computadora en la red local ya no está disponible incluso si el cliente está deshabilitado.
Otros síntomas pueden incluir que muchas otras computadoras en la red del usuario no puedan hacer ping a la computadora, a pesar de que el equipo está desactivado. La computadora puede ver otras computadoras en la red. Esto puede ocurrir. Es este usuario el que tiene habilitado el firewall integrado. Si el firewall está habilitado, el cliente continuará ejecutándose incluso si no se está ejecutando. , abra el cliente y desmarque la casilla de verificación de la opción Stateful Firewall en la página de opciones.
Los anteriores son solo diez de los problemas más comunes y sus soluciones en Cisco, pero pueden considerarse como una retrospectiva.