转自:第四帝国 发表于: 2008-10-28 22:00 来源: UC帝国
首先,本文源自Cisco UC Team,作者应该是adam。这里就是抛砖引玉,慢慢丰富资料
第一大类:Callmanager
1.OS product key:
BTOO-VQES-CCJU-IEBI
2.增加subscriber 服务器
(1). 在publisher上增加一个server
(2). 在subscriber上手动启动需要的服务
(3). login 到CLI界面, utils dbreplication status检查数据库复制的状态
3.如何实现批量地添加和修改话机/用户或修改指定属性
4.BAT无法插入带中文的内容:
含中文的CSV文件应采用UTF-8编码方式保存
5.自定义service无法显示中文内容:
包含中文的asp文件保存时应采用UTF-8编码方式。
6.无法手动话设置机
1.在话机上按setting键,屏幕右上角显示上锁的图标。
2.按** # 解锁。图标变成打开的锁。
3.设置其他参数
7.无法为话机设置固定的IP地址
1. 在话机上按setting钮
2. 按 3 选择 Network Configuration.
3. 选择DHCP
4. 按 softkey NO.
5. 按 softkey Save.
6. 选择IP address
7. 输入IP 地址,小数点按*键
8. 按 softkey Save
8.为话机设置指定的tftp server
1. 在话机上按setting钮
2. 按 3 选择 Network Configuration.
3. 选择TFTP server
4. 输入IP 地址,小数点按*键
5. 按 softkey Save
9.清除话机上所有的配置
CallManager 4
1. 在话机上按setting钮
2. 按 3 选择 Network Configuration.
3. 按 33 选择 Erase Configuration.
4. 电话重启.
CallManager 5
1. 在话机上按setting钮
2. 按** # 解锁。图标变成打开的锁
3. 选择要清除的设置选项
4. 按屏幕最右侧的”清除” softkey
10.IP Communicator软电话按键显示为乱码
1. 删除IE的cookie。
2. 重新运行CIPC
11.话机经常死机,通话异常中断
升级话机的phone load。
12.如何在CallManager 上检查IP phone 话机状态
选择Device > Phone > Search
话机状态含义:
Registered: 话机目前在线,正常注册到CallManager。
Unregistered: 话机目前不在线,但是曾经正常注册到CallManager过。
Not Found: 话机目前不在线,并且从未在CallManager注册过。
13.Partition, calling search space是配置在电话上还是配置在号码上好
每一台电话上可以设置多个电话号码(Directory number), 每个号码称为一条线(line)。每个号码可以有自己独立的属性。
因此建议将partition, calling search space尽量配置在号码上, 即在Directory number页面做配置,而不是在Phone的页面去设置。
如果在号码上的域中未做特殊配置,CallManager 将使用电话上对应的属性;如果电话上也未配置,CallManager 将使用Device Pool中对应域的属性设置。
14.如何设置本地化的参数
选择Device > Phone, 进入话机配置页面
Network Locale:
定义了和本地电信网相关的参数:tones and cadences
User Locale:
定义了和用户相关的参数:语言和字体等
15.如何定制电话上号码的显示内容
Directory number: 电话液晶屏第一行显示的是本机的第一个号码,一般是分机号。如果设置了external phone mask,则显示external phone mask + directory number,即完整的市话外线号码。
Line Text Label: 每条线按钮左侧的显示。一般是电话使用者的名字,或者是所在的位置,如会议室一。可以是双字节字符。如未配置,则显示号码。
Line Text Label ASCII: 当话机不支持双字节字符时,将显示此内容。
Display: 电话接通后在对方话机上显示的你的名字。如未配置,则显示号码。
ASCII Display:当被叫话机不支持双字节字符时,将显示此内容。
Alerting Name: 对方拨打你的分机,振铃时,在对方话机上显示的你的名字。如未配置,则显示号码。
Alerting Nam ASCII: 当话机不支持双字节字符时,将显示此内容。
16.在SRST环境下中文用户名如何处理
在切换到SRST状态时,系统不支持中文。话机上的原来的中文部分无法正常显示。
在号码配置中的Line Text Label ASCII, ASCII Display, Alerting Nam ASCII域中填入对应的拼音或者英文。在SRST时,系统将使用 这些内容显示到话机上。
17.可以接电话却无法呼叫其他分机
检查被叫号码所在的partition是否在己方的calling search space中。
18.可以从外线呼入,但是无法呼出
1. 检查语音网关所在的partition是否在己方的calling search space中。
2. 在语音网关上debug isdn q931或debug csm voice 。
看来自CallManager 的呼叫是否送达网关。
3. 检查主叫及被叫号码是否正确
对于有DID功能的用户。当用户发起的呼叫进入PSTN网时,电信运营商会检查用户的主叫号码是否合法,即是否在它分配给该用户的号段范围内。如果非法,则会拒绝该呼叫。
常见原因是主叫号码只送了分机号,没有包括局向部分。
4. 检查reject原因代码。
19.可以正常呼入呼出,也可以手工转电话,但是外线呼入再call forward all到手机或市话总是失败
从外线打入再Call forward all转出时,主叫号码是原外线号码,不是用户的内部号码。因此被运营商认为非法,会拒绝该呼叫。
解决方法:
和电信运营商协商,放松检查
Work around:
在CallManager上设置修改主叫号码,转换到合法的号码范围。
缺点是被叫方将看到不正确的主叫号码。
1. 增加一个partition: CFWALL_PT
2. 增加一个calling search space: CFWALL_CSS
3. 增加一个translation pattern:
Translation Pattern 为空
partition: CFWALL_PT
calling search space: 可以拨打外线的CSS。
Calling Party Transform Mask:一个固定的合法号码,例如:85155000
4. 选择要更新的号码Call Forward and Call Pickup Settings > Forward All > Calling Search Space > CFWALL_CSS
20.本地呼叫和拨打异地分机都正常,但是异地出PSTN网失败
原因是主叫号码不在异地号码的范围内,被对方运营商拒绝。
解决方法同上。
21.呼叫异地分机时,如何将主叫本地分机号和异地的分机号区别开来
在CallManager 之间的intercluster trunk设置界面,设置Calling Number Transform,增加代表地域的区号。
22.分机可以呼出外线,但是外线拨入时提示“此号码不存在”
其中一条外线在网关上配置工作正常,但是没有在CallManager上进行相应的MGCP配置。
23.某些800号电话无法接通,其他的可以
部分国际服务的800号电话在网通和中国电信使用不同的接入号。根据租用的线路,选择相应的号码。
24.电话可以振铃并接通,却听不到声音,并马上中断
主被叫语音编码方式不匹配, 又没有配置transcoder资源可以进行转换。
IP Phone的默认codec是 G.711 ulaw
中国默认codec是 G.711 alaw
25.可以拨打Hunt group成员的号码,但是拨Hunt Pilot号码失败
1. 检查Hunt Pilot的设置
2. “Reset” Hunt Pilot
26.接电话时,第二个电话拨入却听不到忙音提示
当我们在接电话时,如果有第二个电话打入,话机将提示有第二个电话进来,让接听者决定是否要hold第一个电话去接听 第二个电话。而此时第二个电话的呼叫方听到的只是电话振铃的回铃音,并不知道被叫方正在接听电话。目前CallManager 不能支持客户化的提示“您所拨叫的用户正在通话中,请不要挂机”。
CallManager 的默认设置是每个号码可以同时可以接受两路呼入。要修改这个参数要进到directory number的设置界面,找到busy trigger参数,默认值是2。修改成1 后,第二路呼入将听到忙音。
27.调整转入语音信箱前响铃的时间
系统层面的timer:
System > Service Parameter > Callmanager > Clusterwide Parameters (Feature - Forward) > Forward No Answer Timer (default = 12)
每个号码的timer:
Directory Number > No Answer Ring Duration (seconds)
28.所有attendant console的operator都log off了,但是外线呼入仍不转到语音信箱
在Attendant console对应的Hunt Group中,选择使用User Member 的方式定义成员,而不是使用Device Member的方式。
当一个User退出登录后,其对应的号码也同时离开Attendant console的Hunt Group。新的呼叫就不会被路由到该话机。
29.打长途权限的控制方式
两种方式可以实现长途权限控制
方法一:针对不同的号码设置不同的权限.
将代表国内,国际的route pattern分别放入不同partition。再设置相应的calling search space。不同的号码或话机,分配不同的calling search space 。
只有有权限的话机和号码才可以打长途。
方法二:针对不同的用户设置不同的权限
有长途权限的每个用户分配一个FAC码。在他拨长途是当做密码输入,进行控制,并可以根据FAC码计费。
每个FAC码在系统中必须是唯一的。因此实施中应通过随机数生成软件,一次生成足量的FAC码,以确保其唯一性。
不同的route pattern可以分别设置不同的FAC级别,只有拥有高于其级别的FAC码的用户才可以拨打此route pattern对应的号码。因此,此方式可以实现非常灵活精确的控制。
注:不能打长途的用户可以通过有权限的用户帮助拨打,再转接过来的方式实现长途功能。
30.如何实现服务热线电话
依次配置Line Group, Hunt List, Hunt Pilot
31.如何实现按0, 即转总机
1. 选择 Route Plan > Translation Pattern
2. 在Translation Pattern域内填入“0”
3. 在 Called Party Transform Mask域填入总机接线员的实际分机号
32.如何实现摘机自动直拨(PLAR)
1. Create a partition.
2. Create a CSS
3. Create a translation pattern.
Select the desired partition name and CSS that were previously created in Step 1 and Step 2. Finally, under Called Party Transformation Mask, enter the Hotdial number that you want the phone to dial when it goes off-hook.
Note: Ensure that the Translation Pattern field is left blank.
4. select the CSS that you configured in Step 2 for the PLAR phone's CSS
控制转语音信箱前的响铃时间
33.如何实现在missed call, answered call中的外线号码前自动加9
1. Create a partition called Translate_PT.
2. Create a Calling Search Space (CSS) called Translate_CSS.
The only partition to be assigned to this CSS is Translate_PT.
3. Assign the Translate_CSS to a gateway. As configured in step 2, the gateway can only access the Translate_PT partition and cannot reach any phone directly.
4. Create a translation pattern with the internal extension
a) Select Translate_PT from the Partition drop−down list.
b) Select
c) Select Internal_Phones CSS from the Calling Search Space drop−down list.
d) Check the Route this pattern checkbox.
e) Check the Use Calling Party's External Phone Number Mask checkbox
f) Under the Calling Party Transformation section, enter 9XXXXXXXXXX or a pattern that matches the internal dialing plan, in the Calling Party Transform Mask field.
g) To verify that no phone can reach this translation pattern, ensure that the CSS assigned to the phones does not include this translation pattern. In this case, Translate_PT cannot be included in any CSS which contains phones.
34.分析号码路由和号码转换是否正确的工具
CallManager 4.X
1. 安装Cisco CallManager Dialed Number Analyzer
选择Application > Install Plugins > Dialed Number Analyzer Plugin
2. 登录DNA
Start > Programs > Cisco Dialed Number Analyzer > Cisco Dialed Number Analyzer.
或 https://
3. 选择Analysis > Analyzer.
CallManager 5.X
1. 登录CallManager 管理界面,在右上角的Navigation下拉菜单中选择“Cisco Unified CallManager Serviceability”, 点击GO
2. 点击Tool > Dialed Number Analyzer
3. 点击 Analysis > Analayzer
35.启动CDR呼叫记录
1. 登录CallManager 管理界面点击System > Service Parameter > Cisco Callmanager > System
Enable CDREnabled 和CallDiagnosticsEnabled
2. Restart Cisco CAR Scheduler service
3. 在CallManager 管理界面,在右上角的Navigation下拉菜单中选择“Cisco Unified CallManager Serviceability”, 点击GO
4. 登录CallManager Tools > Service Activation.
36.查询某个用户的电话呼叫的历史记录
普通用户登录后可以察看自己的呼叫记录;CDR管理员登录后,可以查询所以人员的呼叫记录。
CallManager 4.X
1. 安装Cisco CDR Analysis and Reporting
选择Application > Install Plugins > CDR Analysis and Reporting
2. 登录CDR有两种方式:
For CAR system administrators only — From Cisco Unified CallManager Serviceability, choose Tools > CDR Analysis and Reporting.
For CAR users or administrators — From the web browser, enter https://
首次登录时默认的用户名是admin,口令也是admin
CallManager 5.X
1. 登录CallManager 管理界面,在右上角的Navigation下拉菜单中选择“Cisco Unified CallManager Serviceability”, 点击GO
2. 点击Tool > CDR Analysis and Reporting
3. 用要查询的用户名登录
37.查询所有用户的呼叫记录
CallManager 4.X
1. 使用用户名admin,口令admin登录
2. 添加CallManager 用户到管理员组
3. https://
4. 查看所有通话记录
CallManager 5.X
1. 在CallManager 上添加用户到Standard CAR Admin Users用户组
2. 登录CallManager 管理界面,在右上角的Navigation下拉菜单中选择“Cisco Unified CallManager Serviceability”, 点击GO
3. 点击Tool > CDR Analysis and Reporting
4. 用该用户名登录
5. 查看所有通话记录: 点击 User Reports >
6. 输出所有通话记录: 点击 CDR > Export CDR/CMR
38.话机无法显示其他电话的当前状态
话机的calling search space配置不正确。
If you do not select a different calling search space for presence requests, the SUBSCRIBE Calling Search Space defaults to None.
You apply the SUBSCRIBE Calling Search Space to the SIP trunk, phone, end user, or autogenerated device profile (for phones with extension mobility support only).
The SUBSCRIBE Calling Search Space associated with an end user gets used for extension mobility calls.
39.更换IP Phone 7970话机背景图片
40.更换IP Phone 7970话机铃声
铃声格式为raw:
Raw PCM (no header)
8000 samples per second
8 bits per sample
uLaw compression
Maximum ring size—16080 samples
Minimum ring size—240 samples
Number of samples in the ring is evenly divisible by 240.
Ring starts and ends at the zero crossing.
文件名:Ringlist.xml
41.升级话机的软件
1) 下载相应型号话机的phone code。
SCCP版本:cmterm-79XX-sccp.x-x-x
SIP版本:cmterm-79XX-sip.x-x-x
CallManager 4的版本是 .zip或.exe后缀的文件
CallManager 5的版本是 .cop后缀的文件
2) 上载到CallManager server
从CallManager 管理界面,点击右上角的下来菜单,登录IPT platform
v选择Software Upgrades > Upload tftp File.
3) 在对应话机的设置中,指定phone load的名字
4) 重启CallManager TFTP service
5) 重启话机
42.更新话机软件,连接第三方SIP server
1) 下载相应型号话机的SIP phone code。
注意:CallManager 5的版本是 .cop后缀的文件
2) 上载到CallManager server
从CallManager 管理界面,点击右上角的下来菜单,登录IPT platform
选择Software Upgrades > Install/Upgrade.
3) 在对应话机的设置中,指定phone load的名字
4) 重启话机
详细设置参见:Converting a Cisco 7940/7960 CallManager Phone to a SIP Phone
注意只有7940/7960/7905/7912可以连接第三方SIP Server,其余都不可以。
43.CallManager 无法和Active Directory同步
1. 登录CallManager 管理界面
2. 选择System > LDAP > LDAP System, 选择Enable Synchronizing from LDAP Server
3. 选择System > LDAP > LDAP Directory
LDAP Manager Distinguished Name域应填写:用户名@域名 (e.g.: administrator@ldap.com)
LDAP User Search Base ou=UC,dc=ldap,dc=com
44.CallManager 5.0的用户
CallManager 5的用户创建之后,不属于任何的group。需要把它增加的到Standard CCM End Users
如果用于CTI或者JTAPI,请加入CTI enabled
45.Upgrade from CallManager 4.0 to 5.0
新server的hostname和ip address必须和原server的完全一致。
备份成的文件,文件名不可以改动。
46.IP phone service
当你修改服务URL或者其中的参数时,确保“Update Subscription”,否则用户需要重新预订服务以正确重建URL
47.Attendant console directory not update
1. 登录CallManager 管理界面
2. Application > attendant console server > User File update
此处可以上载用户自定义的attendant console目录文件CorporateDirectory.txt
删除当前的CorporateDirectory.txt,在客户端登录时会根据当前目录重新生成
3. 登录CallManager serviceability管理界面,
4. Tools > Control Center – Feature service > Attendant Server > restart
5. 在客户端重新登录 AC client
目录存在本地目录Program Files > Cisco > attendant console > user list
第二大类:Unity
1.用administrator身份都无法登录Unity管理员界面
完全按照Cisco安装指南安装的Unity有专门的Unity管理员帐户 ,windows 的administrator用户也无权登录Unity管理界面。
请使用UnityAdmin或UnityInstall用户登录windows。
2.可以远程登录管理员界面,但是在server本地无法登录
IE的cookie问题。不要用IE浏览器的Favorites连接或者桌面的Unity Administrator快捷连接。直接在浏览器地址栏手工输入 http://x.x.x.x/web/sa
3.批量增加语音信箱用户
项目实施时,可以使用Unity Bulk Import大批量地增加用户
1. 创建语音信箱用户模板
a) 登录Unity 管理员界面:http://
b) 点击 Subscribers > Subscribers template
c) 设置所有用户共同的特性, 如:用户语言,时区,默认密码等
2. 创建包含语音信箱用户信息的CSV文件
内容包括各用户不同的信息部分,格式为:
ALIAS, LAST_NAME, FIRST_NAME, DTMF_ACCESS_ID
3. 在Unity server上,点击Start > Programs > Unity > Cisco Unity Bulk Import
4. 依屏幕提示操作
4.批量删除语音信箱用户
仅从Unity的管理界面删除subscriber,不能同时自动删除该用户对应的exchange用户。Exchange mailbox用于实际保存对应Unity用户的语音留言文件。
使用Unity Bulk Subscriber Delete可以同时删除这两类用户。
1. 在Unity server上,点击Start > Programs > Unity > Cisco Unity Tools Depot
2. 点击左侧的Unity Bulk Subscriber Delete
3. 依屏幕提示操作
5.批量修改语音信箱用户的属性
1. 在Unity server上,点击Start > Programs > Unity > Cisco Unity Tools Depot
2. 点击左侧的Unity Bulk Edit
3. 依屏幕提示操作
6.创建CallManager用户同时创建相应的Unity 语音信箱用户
在日常维护中增加少量新用户时,可以采用以下步骤一次增加CallManager 和Unity上的用户,而不用分别登录两个server,分两次分别创建帐户。
CallManager 4.X
a. Click User > Global Directory.
b. From the list of users, click the name of the applicable user
c. Click the Create Voice Mailbox link that appears next to the Primary Extension.
与CallManager 4.X集成的方法如下:
1. Browse to CallManager Serviceability > Tools > Control Center, click the CallManager server name, and confirm that the RIS data collector is activated and running.
2. Copy the Voicemailbox.asp file from one of the following locations to the C:\CiscoWebs\Admin directory:
CommServer\Cscoserv\Concerto\Ccmpages\Skate
The application URL at http://
3. Log on to the Unity server by using the Unity installation account.
4. On the Unity server, from a Command Prompt window, run the CommServer\Cscoserv\Concerto\Setup.bat file.
5. Follow the onscreen instructions to complete installation of the Unity CallManager Integrated Mailbox Configuration wizard.
6. From the Services window, stop and restart the Tomcat service.
CallManager 5.X以上可以通过添加Application Server来绑定Unity,在给用户创建DN的时候可以添加Unity用户
7.有语音留言但是话机上的留言灯不亮
在Unity上设置每日定时对Unity数据库和话机留言灯的状态进行同步。
1. 在 Unity server上, click Start > Programs > Cisco Unity > Manage Integrations.
2. 选择对应的集成,点击Properties, 调整每日进行同步 MWI 操作的时间,选择Resynchronize
8.如何测试留言灯是否可以工作
1. 在分机上拨MWI on对应的号码,电话留言灯应该变亮
2. 在分机上拨MWI off对应的号码,电话留言灯应该变灭
9.没有语音信箱的话机,仍可以使用语音信箱键
话机的Voice Mail Profile, 选择“None”选项,是指使用Device Pool中默认的值。
“No Voice Mail”选项才是,没有语音信箱。Message 按钮才不会生效。
10.如何在其他分机上听取给自己的留言
1. 拨打语音信箱的领示号
2. 听到语音提示后,按*键
3. 按提示输入分机号码和密码
11.利用Unity实现自动应答总机
1. 拨打语音信箱的领示号
2. 听到语音提示后,按#键
3. 按提示拨分机号
注:所拨的分机号,必须有对应的语音信箱
12.总机下班后,所有呼叫转到专用的语音信箱
1. 创建一个CTI port:
点击Device > Phone > Add a new phone > CTI port
选择call forward all 到语音信箱
2. 为CTI port对应的号码创建一个语音信箱
3. 在Attendant console对应的Hunt Group中,最后一个成员选择使用Device Member,加入CTI port对应的号码, 选中 always route member
13.无法执行从电话听取电子邮件
1. 检查是否已经安装了unified message license
2. 在该用户profile的class of service项中,检查是否已经enable了该项功能
3. 检查windows server默认语言设置
Step 1 On the Windows Start menu, click Settings > Control Panel > Regional Options.
Step 2 On the General tab, in the Your Locale (Location) list, click Chinese (PRC).
Step 3 In the Language Settings for the System box, click Simplified Chinese.
If you have a multi-lingual system, choose additional languages as applicable.
Step 4 Click Set Default. The Set System Locale dialog box opens.
Step 5 In the Select Appropriate Locale list, click Chinese (PRC).
Step 6 Restart the Cisco Unity server for the changes to take effect.
14.如何利用语言信箱打长途
1. 登录管理员界面
2. 在左侧窗口,选择Subscribers > Subscribers
3. 点击窗口右上角的搜索,选择对应的用户
4. 在左侧窗口,选择Caller Input
5. 在右侧窗口的键盘上,点击要使用的键(例如:1)
6. 点击键盘右侧的Send caller to > Caller System Transfer
7. 修改个人的欢迎词,加入提示:按1拨其他号码,或在“嘀”声后留言。
15.如何监测Unity收到的Callmanager发送过来的号码
Tools Depot > View port
16.通话实时录音
电话接通后,一方按conference softkey,再拨专门用于录音的领示号,再按conference softkey,将Unity 当做三方会议接进来,由Unity进行录音。
录音过程中,没隔一定时间,通话方会听到嘀声,提示正在录音。
配置方法如下:
1. Create a Live Record Pilot Point in CCM and set its CallFwdAll to the VM pilot of the system
2. Create a Call Routing Rule in Unity
Create a Forwarded Call routing rule and specify the DNIS and the Forwarding Station number of the CCM Route Point Pilot that you created above.
Send calls to: Start Live Record
详细配置文档:
http://www.ciscounitytools.com/H ... veRecordAppNote.htm
17.加入其他windows domain
1. 将server从domain方式改成workgroup方式:
执行Start > Run > dcprom
2. 加入其他domain
18.Unity server 磁盘满
Unity server 磁盘满
The customer UnityDB log file had grown too large. Pls do the following to shrink:
How to Squeeze UnityDB if it grows to large:
1. Bring up command prompt
2. osql –E
3. use unitydb
4. go
5. backup log unitydb with no_log
6. go
7. dbcc shrinkdatabase(unitydb)
8. go
9. exit
执行结果,类似以下输出:
C:\>osql -E
1> use unitydb
2> go
1> backup log unitydb with no_log
2> go
1> dbcc shrinkdatabase(unitydb)
2> go
DbId FileId CurrentSize MinimumSize UsedPages EstimatedPages
------ ------ ----------- ----------- ----------- --------------
6 1 2392 80 2384 2384
6 2 63 63 56 56
(2 rows affected)
DBCC execution completed. If DBCC printed error messages, contact your system
administrator.
1> exit
2009年6月8日星期一
《Cisco UC项目常见问题及解决方法》(11月8日更新)
2009年5月22日星期五
Cisco ASA Web VPN 配置详解
Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.1(3)
Compiled on Thu 07-Aug-08 20:53 by builders
System image file is "disk0:/asa804-k8.bin"
Config file at boot was "startup-config"
zyxa-asa5510 up 2 hours 14 mins
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05
0: Ext: Ethernet0/0 : address is 0023.5e56.6554, irq 9
1: Ext: Ethernet0/1 : address is 0023.5e56.6555, irq 9
2: Ext: Ethernet0/2 : address is 0023.5e56.6556, irq 9
3: Ext: Ethernet0/3 : address is 0023.5e56.6557, irq 9
4: Ext: Management0/0 : address is 0023.5e56.6553, irq 11
5: Int: Not used : irq 11
6: Int: Not used : irq 5
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 50
Inside Hosts : Unlimited
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Disabled
Security Contexts : 0
GTP/GPRS : Disabled
VPN Peers : 250
WebVPN Peers : 2
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions : 2
This platform has a Base license.
Serial Number: JMX1250L26R
Running Activation Key: 0xf730e04b 0x5c75460f 0xc09149b4 0x99dc5cc0 0x8a3a33b4
Configuration register is 0x1
Configuration last modified by enable_15 at 05:10:01.499 UTC Fri May 22 2009
实验环境如拓朴图。
在做实验之前让我们先来了解一下SSL VPN。
目前市场上VPN产品很多,而且技术各异,就比如传统的 IPSec VPN 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN 作为远程安全接入技术,主要看重的是其接入控制功能。
SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。 SSL VPN 提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。 SSL VPN 能对加密隧道进行细分,从而使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可控功能。另外, SSL VPN 还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入 IPSec VPN 来说几乎是不可能实现的。
SSL VPN 基本上不受接入位置限制,可以从众多 Internet 接入设备、任何远程位置访问网络资源。 SSL VPN 通信基于标准 TCP/UDP 协议传输,因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。 IPSec VPN 在稍复杂的网络结构中难于实现,因为它很难实现防火墙和 NAT 遍历,无力解决 IP 地址冲突。另外, SSL VPN 能实现从可管理企业设备或非管理设备接入,如家用 PC 或公共 Internet 接入场所,而 IPSec VPN 客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入 IPSec VPN 在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入, SSL VPN 要理想得多。
SSL VPN 不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。 IPSec VPN 需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于升级,对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。 IPSec 解决方案初始成本较低,但运行支撑成本高。如今,已有 SSL 开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于 LAN 中一样;同时提供应用层接入,进行 Web 应用和许多客户端 / 服务器应用访问。
了解了上述基本因素之后,下面我们将开始实验:
第一步,ASA的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-webvpn)# svc enable
#上述配置是在外网口上启动WEBVPN,并同时启动SSL VPN功能
2、SSL VPN配置准备工作
#创建SSL VPN用户地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL VPN数据流不做NAT翻译
Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0
255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-vpn
3、WEB VPN隧道组与策略组的配置
#创建名为mysslvpn-group-policy的组策略
Archasa(config)# group-policy mysslvpn-group-policy internal
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn
Archasa(config-group-policy)# webvpn
#在组策略中启用SSL VPN
Archasa(config-group-webvpn)# svc enable
Archasa(config-group-webvpn)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#创建SSL VPN用户
Archasa(config-webvpn)# username test password woaicisco
#把mysslvpn-group-plicy策略赋予用户test
Archasa(config)# username test attributes
Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
#使用用户地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
Archasa(config-tunnel-webvpn)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# tunnel-group-list enable
4、配置SSL VPN隧道分离
#注意,SSL VPN隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA的INSIDE地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整个配置就完成了,下面可以进行测试:
在浏览器中输入https://192.168.0.1访问WEB VPN,在随后弹出的对话框中输入用户名和密码单击登陆。
这时系统会弹出要求安装SSL VPN CLIENT程序,单击“YES”,系统自动安装并连接SSLVPN,在SSLVPN连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。
草率此就,有不对的地方请予以指正,谢谢!
2009年5月14日星期四
视频会议流量穿越ASA问题后续原理解释
1,通过协商动态分配连接资源,自动生成conn,xlate以及ACL
2,监控应用层的一些命令(安全保护)
我先解释下ASA/PIX的处理过程
当一个数据包到达ASA并请求一个连接时,ASA检查自身的ACL,如果允许这个连接,就创建一个连接项(CONNECT),然后ASA进程查找自身的(inspection)数据库,确定是否需要对此连接进行特别的处理,应用检查对数据包进行必要的修正(fixup),然后再传给目的地,会话建立成功,ASA会将识别出属于此绘画的后续数据包进行转发处理。
比如FTP,FTP是资格特殊的应用,它是用21作为目的端口,但回应的时候会用到随机端口号
client--------in-ASA-out-------ftp server
1,客户端用tcp 21端口号去连接服务器,这是第一信道,它的作用是用户认证,罗列清单(有些什么文件),同时在第一信道理包含了PORT字段告诉服务器你来连接我的什么地址,还有端口号(这个端口号是cilent随机产生的)
2,第二信道是由服务器主动发起的,但是由于此时外部进来的数据目的地址的端口号是内部client告诉ftp服务器的随机端口号,而一般我们配置outside的in方向列表是只会放些知名的端口号,而此时这个随机目的端口号的流量是无法进入内网的,所以会被丢弃,这就造成了FTP无法通过ASA
解决方案
CISCO在7.X里使用inspect ftp来解决这个问题,它的原理就是当client告诉服务器你来连接我的什么地址,还有端口号时,ASA通过7层监控来监控这个请求,这样ASA可以看到里面的client产生的随机端口来放行回来的流量
eve的解决办法
由于7.0(6)的inspect H323出现了某些问题,导致无法使回来的流量过ASA,所以只能手动来监控
1,由于我关闭了inspect H323,必须要手动做出动态放行端口的动作,所以使用如下命令
established TCP 1720 0 permitto UDP 16384 32767 permitfrom UDP 16384 32767------(里面德0表示any)
命令意义:源是any目的是1720出去的时候,放开回来的udp 16384-32767端口号
命令的意义动态放端口命令
establish A B C permitto D E permitfrom D F
使用协议A(TCP|UDP)目的端口B,源端口C,那么就允许回来的协议是D(TCP|UDP)目的端口是E,源端口是F的流量回来
2,打开inspect XDMCP
因为这个established命令需要打开这个做支持,单其实默认是打开的,这里只是提一下
为什么使用udp 16384 32767
答:因为H323会使用H225的TCP 1720来创建TCP初始化连接,然后使用H.225来协商最后RTP流使用的UDP端口号(RTP的端口号是协商出来的),而RTP得端口号是16384-32767里的偶数端口,这个端口+1后的奇数端口就是给RTCP用的,所以要放回这个范围的端口号
加上如上命令后,H323就正常了,但是这个理论上讲ASA应该不用配置就能让H323过的,可能是BUG吧,但是有一点,ASA的监控引擎毕竟支持的协议还是有限,如果你的客户那里遇到了ASA不支持的协议,而且正好这个协议的很多端口号需要协商的时候,这个命令正好有用,^_^CISCO还是为自己留了后路了,感觉还是蛮使用的,在此公享给大家,手酸死了,不敲了,有疑问可以继续跟贴问哦
2009年5月6日星期三
CISCO CME+CUE配置项目实例
2811配NM-CUE模块,用cue来实现AA以及语音信箱功能。同时28接E1线路做VG.并配有fxo用来做备用线路。IP话机有7961+7914模块,ATA用来接传真机。
AEASH-CME#sh run
Building configuration...
Current configuration : 12945 bytes
!
! Last configuration change at 04:45:11 UTC Sat Dec 29 2007 by AEASH
! NVRAM config last updated at 04:45:12 UTC Sat Dec 29 2007 by AEASH
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AEASH-CME
!
boot-start-marker
boot-end-marker
!
card type e1 0 0
enable password cisco
!
no aaa new-model
!
resource policy
!
network-clock-participate wic 0
no network-clock-participate aim 0
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.24.18.1 10.24.18.118
ip dhcp excluded-address 10.24.18.149 10.24.18.254
!
ip dhcp pool sdm-pool1
import all
network 10.24.18.0 255.255.255.0
dns-server 10.24.8.40 10.24.28.40
default-router 10.24.18.1
option 150 ip 10.24.18.1
!
!
no ip bootp server
no ip domain lookup
ip domain name yourdomain.com
ip name-server 10.24.8.40
ip name-server 10.24.28.40
!
!
isdn switch-type primary-net5
!
voice-card 0
no dspfarm
dsp services dspfarm
!
!
!
voice service voip
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
supplementary-service h450.12
h323
!
!
!
!
!
!
!
!
!
!
!
!
!
voice translation-rule 1
rule 1 /^7/ /2123087/
!
voice translation-rule 2
rule 2 /^2123087/ /7/
!
!
voice translation-profile incall
translate called 2
!
voice translation-profile pstn
translate calling 1
!
!
!
!
username AEASH secret 5 $1$p3im$yx.VX9a6N1ig6jNRLvZ2Q.
!
!
controller E1 0/0/0
framing NO-CRC4 Australia
clock source internal
pri-group timeslots 1-31
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 10.24.18.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/0/0:15
no ip address
encapsulation hdlc
isdn switch-type primary-net5
isdn incoming-voice voice
isdn T309-enable
isdn T310 120000
isdn bchan-number-order ascending
no cdp enable
!
interface Service-Engine1/0
ip unnumbered GigabitEthernet0/0
service-module ip address 10.24.18.2 255.255.255.0
service-module ip default-gateway 10.24.18.1
!
ip route 0.0.0.0 0.0.0.0 10.24.18.9
ip route 10.24.18.2 255.255.255.255 Service-Engine1/0
!
!
ip http server
no ip http secure-server
!
!
!
control-plane
!
!
!
voice-port 0/0/0:15
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
!
voice-port 0/1/0
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/1/1
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/1/2
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/1/3
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/2/0
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/2/1
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/2/2
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
voice-port 0/2/3
supervisory disconnect dualtone mid-call
cptone CN
timeouts call-disconnect 5
timeouts wait-release 5
timing hookflash-out 500
connection plar opx 7888
caller-id enable
!
!
!
!
!
dial-peer voice 7999 voip
description to-CUE
destination-pattern 7998
session protocol sipv2
session target ipv4:10.24.18.2
dtmf-relay sip-notify
codec g711ulaw
no vad
!
dial-peer voice 30 voip
description AA
destination-pattern 1001
session protocol sipv2
session target ipv4:10.24.18.2
dtmf-relay sip-notify
codec g711ulaw
no vad
!
dial-peer voice 7997 voip
destination-pattern 7997
session protocol sipv2
session target ipv4:10.24.18.2
dtmf-relay sip-notify
codec g711ulaw
no vad
!
dial-peer voice 20 pots
translation-profile incoming incall
translation-profile outgoing pstn
destination-pattern 9T
incoming called-number .
direct-inward-dial
port 0/0/0:15
!
dial-peer voice 42 pots
preference 3
destination-pattern 9T
port 0/1/1
!
dial-peer voice 43 pots
preference 3
destination-pattern 9T
port 0/1/2
!
dial-peer voice 44 pots
preference 3
destination-pattern 9T
port 0/1/3
!
dial-peer voice 45 pots
preference 3
destination-pattern 9T
port 0/2/0
!
dial-peer voice 46 pots
preference 3
destination-pattern 9T
port 0/2/1
!
dial-peer voice 47 pots
preference 3
destination-pattern 9T
port 0/2/2
!
dial-peer voice 48 pots
preference 3
destination-pattern 9T
port 0/2/3
!
dial-peer voice 80 voip
description to-HK
translation-profile outgoing hk
destination-pattern 8...
session target ipv4:10.23.18.20
codec g711ulaw
no vad
!
!
!
!
!
telephony-service
load 7960-7940 P0030702T023
load 7914 S00104000100
load ATA ATA030100SCCP040211A.zup
load 7961 SCCP41.8-0-4SR2S
max-ephones 35
max-dn 70
ip source-address 10.24.18.1 port 2000
timeouts interdigit 5
time-zone 42
voicemail 7998
max-conferences 8 gain -6
moh music-on-hold.au
web admin system name admin password cisco
dn-webedit
time-webedit
transfer-system full-consult
transfer-pattern .T
create cnf-files version-stamp 7960 Dec 28 2007 04:45:41
!
!
ephone-dn 1 dual-line
number 7801
label 7801
description Frankie Ko
name Frankie Ko
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 2 dual-line
number 7802
label 7802
description Brian Han
name Brian Han
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 3 dual-line
number 7804
label 7804
description Leo Fang
name Leo Fang
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 4 dual-line
number 7805
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 5 dual-line
number 7811
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 6 dual-line
number 7807
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 7 dual-line
number 7880
label AEA
description AEA
name AEA
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 8 dual-line
number 7980
label ACA
description ACA
name ACA
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 9 dual-line
number 7810
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 11 dual-line
number 7812
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 12 dual-line
number 7814
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 13 dual-line
number 7884
label 7884
description polycom
name polycom
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 14 dual-line
number 7888
label 7888
description Reception
name Reception
call-forward all 1001
call-forward busy 1000
call-forward noan 1000 timeout 20
!
!
ephone-dn 15 dual-line
number 7881
label 7881
description Meeting Room 1
name Meeting Room 1
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 16 dual-line
number 7882
label 7882
description Meeting Room 2
name Meeting Room 2
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 17 dual-line
number 7883
label 7883
description VC/Board Room
name VC/Board Room
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 18 dual-line
number 7994
call-forward noan 7999 timeout 30
!
!
ephone-dn 19 dual-line
number 7823
call-forward busy 7998
call-forward noan 7998 timeout 10
!
!
ephone-dn 20
number 8000 secondary 8001
mwi on-off
!
!
ephone-dn 21
number 1000
!
!
ephone-dn 31 dual-line
number 7999
!
!
ephone 1
device-security-mode none
description description Frankie Ko
username "Frankie" password 123456
mac-address 001E.4A91.DA1C
type 7961 addon 1 7914
button 1:1 7:15 8:16 9:17
button 10:14 11:2 12:3 13:4
button 14:6 15:9 16:5 17:11
button 18:12 19:19
!
!
!
ephone 2
device-security-mode none
description Brian Han
username "Brian" password 1234
mac-address 001E.4A91.DD20
type 7961 addon 1 7914
button 1:2 7:19
!
!
!
ephone 3
device-security-mode none
description Leo Fang
username "Leo" password 1234
mac-address 001E.4A5F.3724
type 7961
button 1:3
!
!
!
ephone 4
device-security-mode none
username "AEA2" password 1234
mac-address 001E.4A92.899B
type 7961
button 1:4
!
!
!
ephone 5
device-security-mode none
username "AEA5"
mac-address 001E.4A60.0479
type 7961 addon 1 7914
button 1:5
!
!
!
ephone 6
device-security-mode none
username "AEA3" password 1234
mac-address 001E.4A92.8815
type 7961
button 1:6
!
!
!
ephone 7
device-security-mode none
username "fax1" password vdb142763
mac-address 001D.45E8.BB86
type ata
button 1:7
!
!
!
ephone 8
device-security-mode none
username "fax2" password 1234
mac-address 1D45.E8BB.8601
type ata
button 1:8
!
!
!
ephone 9
device-security-mode none
username "AEA4" password 1234
mac-address 001E.4A92.8846
type 7961
button 1:9
!
!
!
ephone 11
device-security-mode none
username "AEA6" password 1234
mac-address 001E.4A60.05A9
type 7961
button 1:11
!
!
!
ephone 12
device-security-mode none
username "AEA7" password 1234
mac-address 001E.4A5F.39D6
type 7961 addon 1 7914
button 1:12
!
!
!
ephone 13
device-security-mode none
username "Polycome" password 1234
mac-address 001D.45E8.C201
type ata
button 1:13
!
!
!
ephone 14
device-security-mode none
description Reception
username "Reception" password 1234
mac-address 001E.4A60.05D8
type 7961 addon 1 7914
button 1:14 7:15 8:16 9:17
button 10:1 11:2 12:3 13:4
button 14:6 15:9 16:5 17:11
button 18:12 19:19
!
!
!
ephone 15
device-security-mode none
description Meeting Room 1
username "Meeting" password 1234
mac-address 001E.4A91.DC5B
type 7961
button 1:15
ephone 16
device-security-mode none
username "Meeting2" password 1234
mac-address 001E.4A91.D9E7
type 7961
button 1:16
ephone 17
device-security-mode none
username "VCBoard" password 1234
mac-address 001E.4A91.D9F4
type 7961
button 1:17
ephone 18
device-security-mode none
mac-address 1D45.E8C2.0101
type ata
button 1:18
ephone 19
device-security-mode none
username "AEA8" password 1234
mac-address 001E.4A91.D8A5
type 7961 addon 1 7914
button 1:19
!
!
!
line con 0
line aux 0
line 66
no activation-character
no exec
transport preferred none
transport input all
transport output all
line vty 0 4
login local
!
no scheduler allocate
!
end
2009年5月2日星期六
Win2003作路由 局域网共享多出口上网
适用于所有调制解调器等连接的网络共享
一、案例
本校计算机中心机房共有计算机240台,已互连为局域网,希望访问校内资源时通过校园网接口,而访问外部资源时通过ADSL接口。
二、解决
Windows XP和Windows 2003都自带ADSL宽带拨号程序,这里只要使用Windows 2003的“路由和远程访问”程序稍加配置,就可搞掂一切。
1、前提
计算机一台(配置不用很高,只要能安装Windows 2003就行),安装有Windows2003操作系统,内插3块网卡,网卡1:连接内部局域网,IP:192.168.1.1,子网掩码:255.255.255.0,网关:空,DNS:空;网卡2:连接ADSL,IP:自动获取,DNS:自动获取;网卡3:连接校园网,IP:202.203.230.2,子网掩码:255.255.255.0,网关:202.203.230.1,DNS:202.203.220.2(假设校园网网段为202.203.220.0—202.203.230.0之间,DNS服务器为202.203.220.2);
2、服务器配置
Step1.单击“开始”—“管理工具”—“路由和远程访问”,启动配置向导;选择本地服务器,单击“操作”—“配置并启用路由和远程访问 ”(图一)。单击“下一步”,选择“自定义配置”—“下一步”;复选“请求拨号连接(由分支办公室路由使用)”和“LAN路由”—“下一步”—“完成”,即可启动路由和远程访问。
Step2.选择“网络接口”,单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”,选择“使用以太网上的PPP(PPPoE)连接 ”—“下一步”—“下一步”,弹出“协议及安全措施”选项,去掉所有钩选,单击“下一步”,输入ADSL帐号和密码,“下一步”—“完成”。
Step3.新建一批处理文件route.bat,并把其快捷方式添加到“开始”—“程序”—“启动”下,编辑route.bat内容如下:
cdroute delete 0.0.0.0
route add 192.168.1.0 mask 255.255.240.0 192.168.1.1
route add 202.203.220.0 mask 255.255.240.0 202.203.230.1
route add 202.203.221.0 mask 255.255.255.0 202.203.230.1
//(自行把校园网的IP段添加上)
route add 202.203.230.0 mask 255.255.255.0 202.203.230.1
3、客户机配置
TCP/IP配置如下:IP:192.168.1.x,子网掩码:255.255.255.0,网关:192.168.1.1,首选DNS服务器:当地ADSL域名服务器IP(可向ADSL提供商查询,如昆明电信的为:202.98.160.68),备用DNS服务器:202.203.220.2。此处的DNS设置非常关键,有的人会误把DNS设为:192.168.1.1。
三、总结
使用此方法实现宽带共享,可节约购买路由器的费用,几乎不占用服务器资源,且只要往服务器上加插网卡,就可任意扩张客户机数量或外部出口。我单位400多台计算机使用此种方法共享一条2MADSL宽带将有一年,运转非常稳定,每台计算机就象在独立使用一根2MADSL在上网,同时可以快速浏览校内资源,实现网上办公,何乐而不为!