Sem fio : Dispositivos de segurança Cisco PIX 500 Series

Utilizando SNMP com Security Appliances PIX/ASA

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (29 Dezembro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
SNMP Através do PIX/ASA
      Interceptações de Fora para Dentro
      Interceptações de Dentro para Fora
      Polling de Fora para Dentro
      Polling de Dentro para Fora
SNMP para o PIX/ASA
      Suporte a MIB por Versão
      Ativação do SNMP no PIX/ASA
      SNMP para o PIX/ASA - Polling
      SNMP para o PIX/ASA - Interceptações
Problemas de SNMP
      Descoberta PIX
      Descoberta de Dispositivos no PIX
      Descoberta de Dispositivos Fora do PIX
snmpwalk do PIX Versão 6.2
Informações a Serem Coletadas ao Abrir uma Solicitação de Serviço do TAC
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

É possível monitorar os eventos do sistema no PIX por meio do SNMP (Simple Network Management Protocol). Este documento descreve como utilizar o SNMP com o PIX, incluindo:

  • Comandos para executar o SNMP através do PIX ou para o PIX

  • Exemplo de saída do PIX

  • Suporte a MIB (Management Information Base) no PIX Software Release 4.0 e posterior

  • Níveis de interceptação

  • exemplos de nível de gravidade do syslog

  • problemas na descoberta de dispositivos PIX e SNMP

Nota: A porta para snmpget/snmpwalk é a UDP/161. A porta para interceptações SNMP é a UDP/162.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Secure PIX Firewall Software Releases 4.0 e posteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

  • Cisco Adaptive Security Appliance (ASA) versão 7.x

Convenções

Algumas linhas de saída e dados de log deste documento foram quebradas por motivos de espaço.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

SNMP Através do PIX/ASA

Interceptações de Fora para Dentro

pixsnmp_a.gif

Para permitir interceptações de 50.50.50.50 para 10.10.10.10:

 conduit permit udp host 50.50.50.75 eq snmptrap host 50.50.50.50
 static (inside,outside) 50.50.50.75 10.10.10.10 netmask 255.255.255.255 0 0

Se você utilizar ACLs (listas de controle de acesso), disponíveis no PIX 5.0 e posterior, em vez de conduítes:

access-list Inbound permit udp host 50.50.50.50 host 50.50.50.75 eq snmptrap
access-group Inbound in interface outside

O PIX mostrará:

302005: Built UDP connection for faddr 50.50.50.50/2388
   gaddr 50.50.50.75/162 laddr 10.10.10.10/162

Interceptações de Dentro para Fora

pixsnmp_b.gif

Por padrão, o tráfego de saída é permitido (na falta de listas de saída), e o PIX mostra:

305002: Translation built for gaddr 50.50.50.80 to laddr 10.31.1.5
302005: Built UDP connection for faddr 50.50.50.50/162
   gaddr 50.50.50.80/2982 laddr 10.31.1.5/2982

Polling de Fora para Dentro

pixsnmp_c.gif

Para permitir o polling de 171.68.118.118 para 10.10.10.20:

static (inside,outside) 171.68.118.150 10.10.10.20 netmask 255.255.255.255 0 0
conduit permit udp host 171.68.118.150 eq snmp host 171.68.118.118

Se você utilizar ACLs, disponíveis no PIX 5.0 e posterior, em vez conduítes:

access-list Inbound permit udp host 171.68.118.118 host 171.68.118.150 eq snmp
access-group Inbound in interface outside

Polling de Dentro para Fora

pixsnmp_d.gif

Por padrão, o tráfego de saída é permitido (na falta de listas de saída), e o PIX mostra:

305002: Translation built for gaddr 99.99.99.11 to laddr 172.18.124.115
302005: Built UDP connection for faddr 99.99.99.5/161
   gaddr 99.99.99.11/36086 laddr 172.18.124.115/36086

SNMP para o PIX/ASA

Suporte a MIB por Versão

Estas são as versões que oferecem suporte a MIB no PIX:

Nota: A seção com suporte do PROCESS MIB é a ramificação cpmCPUTotalTable da ramificação cpmCPU da ramificação ciscoProcessMIBObjects. Não há suporte para as ramificações ciscoProcessMIBNotifications e ciscoProcessMIBconformance nem para as duas tabelas, cpmProcessTable e cpmProcessExtTable, na ramificação cpmProcess da ramificação ciscoProcessMIBObjects do MIB.

Ativação do SNMP no PIX/ASA

Execute os seguintes comandos para permitir polling/consultas e interceptações no PIX.

snmp-server host #.#.#.#

!--- Endereço IP do host com permissão para consultar
!--- e para onde as interceptações serão enviadas.

snmp-server community <whatever>
snmp-server enable traps

As versões 6.0 e posteriores do PIX Software permitem maior granularidade com relação a interceptações e consultas.

snmp-server host #.#.#.#

!--- O host pode receber interceptações e fazer consultas.

snmp-server host #.#.#.# trap 

!--- O host pode receber interceptações e não pode fazer consultas.

snmp-server host #.#.#.# poll 

!--- O host pode fazer consultas, mas não receber interceptações.

As versões 7.x do PIX/ASA Software permitem maior granularidade com relação a interceptações e consultas.

hostname(config)#snmp-server host <interface_name> <ip_address> trap community <community string>

!--- O host pode receber interceptações e não pode fazer consultas
!--- com a sequência de comunidade especificada.

hostname(config)#snmp-server host <interface_name> <ip_address> poll community <community string>

!--- O host pode fazer consultas, mas não receber interceptações
!--- com a sequência de comunidade especificada.

Nota: Especifique trap ou poll se desejar limitar o NMS somente ao recebimento de interceptações ou à pesquisa (polling). Por padrão, o NMS pode utilizar ambas as funções.

As interceptações SNMP são enviadas na porta UDP 162, por padrão. Você pode alterar o número da porta com a palavra-chave udp-port.

SNMP para o PIX/ASA - Polling

As variáveis que o PIX retorna dependem do suporte a mib disponível na versão. No final deste documento, há um exemplo de saída de snmpwalk de um PIX que executa a versão 6.2.1. Versões anteriores do software retornam apenas os valores de mib indicados anteriormente.

SNMP para o PIX/ASA - Interceptações

Nota: Um OID do SNMP para o PIX Firewall é exibido nas interceptações de eventos SNMP enviadas do PIX Firewall. O OID 1.3.6.1.4.1.9.1.227 era utilizado como o OID do sistema PIX Firewall até a versão 6.0 do PIX Software. Os OIDs específicos dos novos modelos são encontrados no CISCO-PRODUCTS-MIB.

Execute estes comandos para ativar interceptações no PIX:

snmp-server host #.#.#.#

!--- Endereço IP do host com permissão para fazer consultas
!--- e para onde as interceptações serão enviadas.

snmp-server community <whatever>
snmp-server enable traps

Interceptações - Versão 4.0 Até 5.1

Ao utilizar o PIX Software 4.0 e posterior, você poderá gerar estas interceptações:

cold start = 1.3.6.1.6.3.1.1.5.1
link_up = 1.3.6.1.6.3.1.1.5.4
link_down = 1.3.6.1.6.3.1.1.5.3
syslog trap (clogMessageGenerated) = 1.3.6.1.4.1.9.9.41.2.0.1

Alterações nas Interceptações (PIX 5.1)

No PIX Software versão 5.1.1 e posterior, os níveis de interceptação são diferentes dos níveis de syslog para as interceptações de syslog. O PIX ainda envia interceptações de syslog, porém, é possível configurar maior granularidade. Este exemplo de arquivo trapd.log bruto (que é o mesmo para o HP OpenView [HPOV] ou o Netview) incluía 3 interceptações link_up e 9 interceptações de syslog, com 7 ids de syslog diferentes: 101003, 104001, 111005, 111007, 199002, 302005, 305002.

Exemplo de trapd.log

952376318 1 Mon Mar 06 15:58:38 2000 10.31.1.150 - 1=20 2=7
   3=Syslog Trap 4=199002:
PIX startup completed. Beginning operation. 5=0;1 .1.3.6.1.4.1.9.9.4 1.2.0.1 0

952376318 1 Mon Mar 06 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary)
Switching to ACTIVE - no failover cable.

952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit)
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376332 1 Mon Mar 06 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary)
Failover cable not connected (this unit)

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7
   3=Syslog Trap 4=305002:
Translation built for gaddr 50.50.50.75 to laddr 171.68.118.118 5=2800;1
.1.3.6.1.4.1.9.9.41.2.0.1 0

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6
   3=Syslog Trap 4=111005: console end configuration: OK
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

Descrição de Cada Interceptação - trapd.log

199002 (syslog)
4=199002: PIX startup completed. Beginning operation.
5=0;1 .1.3.6.1.4.1.9.9.41.2.0.1 0



104001 (syslog)
Mar 6 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary)
Switching to ACTIVE - no failover cable.


101003 (syslog)
952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit)
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


101003 (syslog)
Mar 6 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) Failover cable not
connected (this unit)


305002 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7
   3=Syslog Trap 4=305002: Translation built for gaddr 50.50.50.75
   to laddr 171.68.118.118 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


302005 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111007 (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111005 (syslog)
952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6
   3=Syslog Trap 4=111005: console end configuration: OK
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

Exemplos de Nível de Gravidade de syslog

Estes exemplos são reproduzidos com base na documentação para ilustrar as sete mensagens.

Alert:
  %PIX-1-101003:(Primary) failover cable not connected (this unit)
  %PIX-1-104001:(Primary) Switching to ACTIVE (cause:reason)
  Notification:
  %PIX-5-111005:IP_addr end configuration: OK
  %PIX-5-111007:Begin configuration: IP_addr reading from device.
  Informational:
  %PIX-6-305002:Translation built for gaddr IP_addr to laddr IP_addr
  %PIX-6-302005:Built UDP connection for faddr faddr/fport gaddr gaddr/gport
     laddr laddr/lport
  %PIX-6-199002:Auth from laddr/lport to faddr/fport failed
     (server IP addr failed) in interface int name.

Interpretação dos Níveis de Gravidade de syslog

Nível

Significado

0

Sistema inutilizável - emergência

1

Tomar ação imediata - alerta

2

Condição crítica - crítico

3

Mensagem de erro - erro

4

Mensagem de aviso - aviso

5

Condição normal, mas significativa - notificação

6

Informativo - informativo

7

Mensagem de depuração - depuração

Configuração do PIX 5.1 e Posterior para um Subconjunto de Interceptações

Se a configuração do PIX incluir:

snmp-server host inside #.#.#.#

as únicas interceptações geradas serão as padrão: cold start, link up e link down (não syslog).

Se a configuração do PIX incluir:

snmp-server enable traps
logging history debug

todas as interceptações padrão e de syslog serão geradas. No exemplo, estas são as entradas de syslog 101003, 104001, 111005, 111007, 199002, 302005 e 305002, além de qualquer outra saída de syslog gerada pelo PIX. Como o histórico de log definido para depuração e esses números de interceptação encontram-se nos níveis de notificação, alerta e informativo, a depuração de nível inclui:

Se a configuração do PIX incluir:

snmp-server enable traps
logging history (a_level_below_debugging)

todas as interceptações padrão e todas as interceptações no nível abaixo de depuração serão geradas. Se o comando logging history notification for utilizado, todas as interceptações de syslog nos níveis de emergência, de alerta, crítico, de erro, de aviso e de notificação (mas não nos níveis informativo e de depuração) serão incluídas. Nesse caso, 111005, 111007, 101003 e 104001 (e quaisquer outras geradas pelo PIX em uma rede ativa) seriam incluídas.

Se a configuração do PIX incluir:

snmp-server enable traps
logging history whatever_level
no logging message 305002
no logging message 302005
no logging message 111005

as mensagens 305002, 302005 e 111005 não serão produzidas. Com o PIX definido para logging history debug, você verá as mensagens 104001, 101003, 111007, 199002 e todas as outras mensagens do PIX, menos as três listadas (305002, 302005, 111005).

Configuração do PIX/ASA 7 para um Subconjunto de Interceptações

Se a configuração do PIX incluir:

snmp-server host <interface name> <ip address> community <community string>

as únicas interceptações geradas serão as padrão: authentication, cold start, link up e link down (não syslog).

A configuração restante é semelhante à do PIX Software versão 5.1 e posterior, com exceção do PIX/ASA versão 7.x, onde o comando snmp-server enable traps possui outras opções como ipsec, remote-access e entity

Nota: Consulte a seção Ativação do SNMP do documentoMonitorando o Security Appliance para obter mais informações sobre interceptações SNMP no PIX/ASA

Problemas de SNMP

Descoberta PIX

Se o PIX responder a uma consulta SNMP e relatar seu OID como 1.3.6.1.4.1.9.1.227 ou, no PIX Firewall Software versões 6.0 ou posteriores, como um ID listado no CISCO-PRODUCTS-MIB para esse modelo, isso indicará que o PIX está funcionando conforme planejado.

Nas versões do código PIX anteriores à 5.2.x em que o suporte para a ipAddrTable do grupo IP foi incluído, é possível que as estações de gerenciamento de rede não sejam capazes de desenhar o PIX no mapa como um PIX. Uma estação de gerenciamento de rede deverá ser sempre capaz de detectar a existência do PIX se conseguir efetuar ping nele, mas talvez não o desenhe como um PIX - uma caixa preta com 2 luzes. Além de precisar do suporte da ipAddrTable do grupo IP, o HPOV, o Netview e a maioria das outras estações de gerenciamento de rede precisam entender que o OID retornado pelo PIX refere-se a um PIX para que o ícone correto seja exibido.

O suporte do CiscoView para o gerenciamento do PIX foi incluído no CiscoView 5.2; o PIX versão 6.0.x também é necessário. Nas versões anteriores do PIX, um aplicativo de gerenciamento de terceiros permite que o HPOV Network Node Manager identifique os PIX Firewalls e os sistemas que executam o PIX Firewall Manager.

Descoberta de Dispositivos no PIX

Se o PIX estiver configurado corretamente, ele passará as consultas e as interceptações SNMP de fora para dentro. Como o NAT (Tradução de Endereço de Rede) é normalmente configurado no PIX, endereços estáticos seriam necessários para fazer isso. O problema é que, quando a estação de gerenciamento de rede faz um snmpwalk do endereço público, o qual é estático para um endereço privado na rede, o cabeçalho externo do pacote não corresponde às informações da ipAddrTable. Aqui 171.68.118.150 é examinado, o qual é estático para 10.10.10.20 no PIX, e você pode observar onde o dispositivo 171.68.118.150 relata que possui duas interfaces: 10.10.10.20 e 10.31.1.50:

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.20 : IpAddress: 10.10.10.20
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

Isso fará sentido para uma estação de gerenciamento de rede? Provavelmente não. O mesmo problema ocorrerá com as interceptações: caso a interface 10.31.1.50 devesse ser desativada, o dispositivo 171.68.118.150 relataria que ela estava inativa.

Outro problema ao tentar gerenciar uma rede interna externamente é "desenhar" a rede. Se a estação de gerenciamento for o Netview ou o HPOV, esses produtos utilizarão um daemon "netmon" para ler as tabelas de rota dos dispositivos. Essa tabela é utilizada na descoberta. O PIX não oferece suporte suficiente à RFC 1213 leavingcisco.com de modo a retornar uma tabela de roteamento para uma estação de gerenciamento de rede e, por motivos de segurança, essa não é uma boa ideia. Enquanto os dispositivos internos do PIX relatam suas tabelas de rota quando o endereço estático é consultado, todos os dispositivos IP públicos (estáticos) relatam todas as interfaces privadas. Se os outros endereços privados do PIX não possuírem endereços estáticos, eles não poderão ser consultados. Se eles possuírem endereços estáticos, a estação de gerenciamento de rede não terá como saber quais são esses endereços.

Descoberta de Dispositivos Fora do PIX

Como as estações de gerenciamento de rede internas do PIX consultam um endereço público que relata interfaces "públicas", os problemas de descoberta de fora para dentro não se aplicam.

Aqui, 171.68.118.118 era interno, e 10.10.10.25, externo. Quando 171.68.118.118 examinou 10.10.10.25, o dispositivo relatou corretamente suas interfaces, ou seja, o cabeçalho é o mesmo encontrado no pacote:

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.25 : IpAddress: 10.10.10.25
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

snmpwalk do PIX Versão 6.2

O comando snmpwalk -c public <pix_ip_address> era utilizado em uma estação de gerenciamento HPOV para executar um snmpwalk. Todos os MIBs disponíveis para o PIX 6.2 eram carregados antes da execução do snmpwalk.

system.sysDescr.0 : DISPLAY STRING- (ascii):
Cisco PIX Firewall Version 6.2(1)
system.sysObjectID.0 : OBJECT IDENTIFIER:
.iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.390
system.sysUpTime.0 : Timeticks: (6630200) 18:25:02.00
system.sysContact.0 : DISPLAY STRING- (ascii):
system.sysName.0 : DISPLAY STRING- (ascii):  satan
system.sysLocation.0 : DISPLAY STRING- (ascii):
system.sysServices.0 : INTEGER: 4
interfaces.ifNumber.0 : INTEGER: 3
interfaces.ifTable.ifEntry.ifIndex.1 : INTEGER: 1
interfaces.ifTable.ifEntry.ifIndex.2 : INTEGER: 2
interfaces.ifTable.ifEntry.ifIndex.3 : INTEGER: 3
interfaces.ifTable.ifEntry.ifDescr.1 : DISPLAY STRING- (ascii):
PIX Firewall 'outside' interface
interfaces.ifTable.ifEntry.ifDescr.2 : DISPLAY STRING- (ascii):
PIX Firewall 'inside' interface
interfaces.ifTable.ifEntry.ifDescr.3 : DISPLAY STRING- (ascii):
PIX Firewall 'intf2' interface
interfaces.ifTable.ifEntry.ifType.1 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifType.2 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifType.3 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifMtu.1 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifMtu.2 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifMtu.3 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifSpeed.1 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifSpeed.2 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifSpeed.3 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifPhysAddress.1 : OCTET STRING-
(hex): length = 6
     0:  00 50 54 fe ea 30 -- -- -- -- -- -- -- -- -- --
.PT..0..........

interfaces.ifTable.ifEntry.ifPhysAddress.2 : OCTET STRING-   (hex): length = 6
     0:  00 50 54 fe ea 31 -- -- -- -- -- -- -- -- -- --
.PT..1..........

interfaces.ifTable.ifEntry.ifPhysAddress.3 : OCTET STRING-   (hex): length = 6
     0:  00 90 27 42 fb be -- -- -- -- -- -- -- -- -- --
..'B............

interfaces.ifTable.ifEntry.ifAdminStatus.1 : INTEGER: up
interfaces.ifTable.ifEntry.ifAdminStatus.2 : INTEGER: up
interfaces.ifTable.ifEntry.ifAdminStatus.3 : INTEGER: down
interfaces.ifTable.ifEntry.ifOperStatus.1 : INTEGER: up
interfaces.ifTable.ifEntry.ifOperStatus.2 : INTEGER: up
interfaces.ifTable.ifEntry.ifOperStatus.3 : INTEGER: down
interfaces.ifTable.ifEntry.ifLastChange.1 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifLastChange.2 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifLastChange.3 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifInOctets.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInOctets.2 : Counter: 19120151
interfaces.ifTable.ifEntry.ifInOctets.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInUcastPkts.2 : Counter: 1180
interfaces.ifTable.ifEntry.ifInUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInNUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInNUcastPkts.2 : Counter: 246915
interfaces.ifTable.ifEntry.ifInNUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.2 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.2 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutOctets.1 : Counter: 60
interfaces.ifTable.ifEntry.ifOutOctets.2 : Counter: 187929
interfaces.ifTable.ifEntry.ifOutOctets.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutUcastPkts.1 : Counter: 1
interfaces.ifTable.ifEntry.ifOutUcastPkts.2 : Counter: 2382
interfaces.ifTable.ifEntry.ifOutUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.3 : Counter: 0
interfaces.ifTable.ifEntry.ifSpecific.1 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
interfaces.ifTable.ifEntry.ifSpecific.2 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
interfaces.ifTable.ifEntry.ifSpecific.3 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.212.3.3.1 : IpAddress:
212.3.3.1
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.48.66.47 : IpAddress:
10.48.66.47
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1 : IpAddress:
127.0.0.1
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.212.3.3.1 : INTEGER: 1
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.10.48.66.47 : INTEGER: 2
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.127.0.0.1 : INTEGER: 3
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.212.3.3.1 : IpAddress:
255.255.255.0
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.48.66.47 : IpAddress:
255.255.254.0
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.127.0.0.1 : IpAddress:
255.255.255.255
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.212.3.3.1 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.10.48.66.47 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.127.0.0.1 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.212.3.3.1 : INTEGER:
65535
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.10.48.66.47 : INTEGER:
65535
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.127.0.0.1 : INTEGER:
65535
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolName.1 :
DISPLAY STRING- (ascii):  PIX system memory
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolAlternate.1 :
INTEGER: 0
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolValid.1 :
INTEGER: true
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolUsed.1 :
Gauge32: 21430272
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolFree.1 :
Gauge32: 12124160
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolLargestFree.1 :
   Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotalPhysicalIndex.1 : INTEGER: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5sec.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal1min.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5min.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
6 : OCTET STRING- (ascii):
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
7 : OCTET STRING- (ascii):
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
6 : INTEGER: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
7 : INTEGER: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
6 : OCTET STRING- (ascii):   Failover Off
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
7 : OCTET STRING- (ascii):   Failover Off
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.3 : OCTET STRING- (ascii):  maximum number of allocated 4 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.5 : OCTET STRING- (ascii):  fewest 4 byte blocks available
   since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.8 : OCTET STRING- (ascii):  current number of available 4 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.3 : OCTET STRING- (ascii): maximum number of allocated 80 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.5 : OCTET STRING- (ascii): fewest 80 byte blocks available
   since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.8 : OCTET STRING- (ascii): current number of available 80 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.3 : OCTET STRING- (ascii): maximum number of allocated 256 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.5 : OCTET STRING- (ascii): fewest 256 byte blocks available
   since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
   256.8 : OCTET STRING- (ascii): current number of available 256 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.3 : OCTET STRING- (ascii):  maximum number of allocated 1550 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.5 : OCTET STRING- (ascii): fewest 1550 byte blocks available
   since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.8 : OCTET STRING- (ascii): current number of available 1550 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.3 : Gauge32: 1600
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.5 : Gauge32: 1599
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.8 : Gauge32: 1600
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.3 : Gauge32: 400
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.5 : Gauge32: 374
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.8 : Gauge32: 400
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.3 : Gauge32: 500
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.5 : Gauge32: 498
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.8 : Gauge32: 500
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.3 : Gauge32: 1252
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.5 : Gauge32: 865
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.8 : Gauge32: 867
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.6 :
OCTET STRING- (ascii):       number of connections currently in use
   by the entire firewall
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.7 :
OCTET STRING- (ascii):       highest number of connections in use
   at any one time since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.6 :
Counter: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.7 :
Counter: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.6 :
Gauge32: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.7 :
Gauge32: 0
End of MIB View.

Informações a Serem Coletadas ao Abrir uma Solicitação de Serviço do TAC

Se você ainda precisar de assistência após concluir os passos de troubleshooting descritos neste documento e desejar abrir uma solicitação de serviço no TAC da Cisco, inclua estas informações para fazer o troubleshooting do PIX Firewall.

  • Descrição do problema e detalhes relevantes de topologia

  • Troubleshooting executado antes de abrir a solicitação de serviço

  • Saída do comando show tech-support

  • Saída do comando show log após a execução do comando logging buffered debugging ou capturas do console que demonstrem o problema (se disponível)

Anexe os dados coletados à solicitação de serviço em formato de texto simples, não compactado (.txt). Você pode anexar informações à solicitação de serviço carregando-as com a Case Query Tool (somente clientes registrados). Se você não conseguir acessar essa ferramenta, envie as informações na forma de um anexo de email para attach@cisco.com com o número da solicitação de serviço na linha de assunto da sua mensagem.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 13822