Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Pare-feu Cisco Secure PIX - Forum Aux Questions

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document contient une foire aux questions (FAQ) au sujet du pare-feu Cisco Secure PIX.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Matériel

Q. Je veux installer une nouvelle carte d'interface dans mon pare-feu Cisco Secure PIX. Queest-ce que je raine devrais l'installer dedans ?

A. Chaque modèle de PIX est différent. Allez à la documentation PIX et sélectionnez votre version de logiciel. De cette page, le guide d'installation choisi, et sélectionnent alors installer un circuit imprimé pour les diagrammes détaillés et les instructions.

Q. J'essaye d'installer une nouvelle carte d'interface dans mon pare-feu Cisco Secure PIX. La carte semble être trop grande pour les emplacements l'uns des. Ai-je la partie fausse ?

A. Il est normal que certaines des dents d'or sur la carte étendent après la périphérie du socket.

Q. My Cisco Secure PIX Firewall expédié avec deux cartes Ethernet. J'ajoute les interfaces supplémentaires et maintenant il ne démarre pas à l'invite de commande.

A. Le nombre d'interfaces prises en charge dépend du modèle de PIX, de la version de logiciel, et de l'autorisation. Référez-vous à la documentation PIX pour découvrir au sujet des interfaces physiques maximum, et aux interfaces VLAN maximum qui peuvent être configurées sur PIX 6.3 (la dernière version en date du de l'écriture de ce document).

Q. Je dois établir une connexion de console avec mon pare-feu Cisco Secure PIX. Quel un peu câble est-ce que je devrais utiliser ?

A. Utilisez un DB9 au câble null modem DB9, fourni par la plupart des boutiques informatiques. Parfois le pare-feu Cisco Secure PIX se transporte avec deux DB9 aux adaptateurs de RJ-45. Si vous avez ces adaptateurs, connectez un au pare-feu Cisco Secure PIX, et l'autre au port série de votre PC. Utilisez un câble inversé (pas un câble croisé) pour se connecter entre les deux adaptateurs de RJ-45. Placez vos configurations de HyperTerminal à N81, aucun contrôle de flux, 9600 bauds. Si vous avez toujours le problème, vérifiez votre configuration des ports COM PC et vérifiez-la est installé et fonctionne correctement. Si vous êtes sûr tout autrement est installé correctement, le teste sur un routeur ou un commutateur et voit si vous y arrivez une demande. Référez-vous à la documentation PIX pour votre pour en savoir plus de version du logiciel PIX. De cette page, le guide d'installation choisi, et sélectionnent alors installer des câbles d'interface pour les diagrammes détaillés et les instructions.

Q. Où est le lecteur de disquette sur le modèle PIX 520 ?

A. Il se trouve derrière une petite plaque de métal sur l'avant dans le coin supérieur gauche. Retirez les deux vis serrées de Finger pour accéder. Référez-vous à installer un PIX 520 ou le modèle antérieur pour plus de directions.

Q. My Cisco le Secure PIX Firewall est directement connecté à un routeur, mais les lumières de lien n'avancent pas et ni l'un ni l'autre de périphérique ne peut cingler l'autre. Quel est le problème ?

A. Assurez-vous que vous utilisez un bon câble croisé pour connecter le PIX directement à un routeur. Si vous connectez le PIX à un hub ou à un commutateur, utilisez un câble Ethernet traversant droit.

Q. Comment est-ce que je peux faire la différence de vitesse du processeur sur des cartes Gigabit Ethernet dans le PIX ? Est-ce que par exemple, comment je peux faire la différence entre le PIX-1GE-66 et les cartes PIX-1GE ?

A. Tapez l'interface d'exposition et regardez cette ligne :

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

L'i82542 représente 33 MHZ et l'i82543 représente 66 MHZ.

Q. Si j'achète des cartes réseau d'une source autre que Cisco et les utilise dans le PIX, sont-elles prises en charge ?

A. Non.

Q. Quand le PIX démarre, le PIX signale la demande d'interruption du network interface card (NIC) (IRQs) et certains d'entre eux sont utilisés deux fois (des doublons). Est-ce que ceci pose un problème ?

A. Ces messages sont normaux et peuvent être ignorés :

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Q. Quand les PIX avec les cartes d'interface de réseau Gigabit Ethernet (NIC) démarrent, le PIX signale-il les demandes d'interruption NIC (IRQs) comme étant le « irq 255." fait cette cause un problème ?

A. Ce message est normal et peut être ignoré :

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Q. Quelles sont les configurations matérielles par défaut pour le PIX ?

Plate-forme 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 Pi 200 Pi 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM (MO) 8 32 32/64 32/64 128 128/256 512/1024

Q. Est-ce que je peux améliorer le bios PIX ?

A. Non.

Logiciel - Installation et mises à jour

Q. Quand j'essaye à TFTP pixNNN.exe à mon PIX, je reçois les erreurs qui énoncent le « mauvais nombre magique. » Quel suis-je faisant mal ?

A. Vous devez charger le fichier.bin, pas le fichier .exe. Le fichier .exe est un self-extracting archive qui contient le fichier.bin (notamment).

Remarque: Le fichier.bin est utilisé seulement pour les versions du logiciel PIX 5.0.x et plus tôt. Copiez le fichier .exe sur un répertoire provisoire sur votre disque dur de l'ordinateur et lancez le programme pour extraire les fichiers. Copiez alors le fichier de pixnnn.bin plus de sur votre serveur TFTP.

Q. Quand j'essaye d'améliorer mon logiciel d'une disquette, le pare-feu Cisco Secure PIX maintient aller dans une boucle chaque fois qu'il essaye de lire le disque. Quel est le problème ?

A. Assurez-vous que le disque est correctement formaté (utilisez le format de commande DOS A :), puis emploie le rawrite pour mettre l'image sur la disquette. Si le processus échoue, essayez l'exécution d'un PC différent.

Remarque: La mise à jour d'une disquette est valide seulement pour les versions du logiciel PIX 5.0.x et plus tôt.

Q. J'installe un nouveau pare-feu Cisco Secure PIX qui semble être configuré correctement. Mon RÉSEAU LOCAL était connecté directement à mon routeur internet. Maintenant avec le PIX en place, mes utilisateurs sur le RÉSEAU LOCAL ne peuvent pas sortir. Quel est le problème ?

A. Il y a quelques différentes possibilités.

Q. J'ai récemment ajouté un routeur interne pour connecter une seconde à l'intérieur de réseau à mon pare-feu Cisco Secure PIX. Les utilisateurs entre le pare-feu Cisco Secure PIX et le routeur interne peuvent avec succès arriver à l'Internet, mais ils ne peuvent pas parler à ce nouveau, intérieur réseau. Les utilisateurs sur le nouveau réseau ne peuvent pas obtenir après le routeur interne. Quel est le problème ?

A. Vous devez entrer dans une artère spécifique à l'intérieur de déclaration dans le PIX pour ce nouveau réseau par le nouveau routeur. Vous pouvez également entrer dans une artère spécifique à l'intérieur de déclaration pour le principal réseau par ce routeur, qui tient compte de la croissance future.

Par exemple, si votre réseau existant est 192.168.1.0/24 et votre nouveau réseau est 192.168.2.0/24, le port Ethernet de votre routeur interne est 192.168.1.2. La configuration de route du PIX ressemble à ceci :

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

ou (le principal réseau) :

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Les stations de travail entre le pare-feu Cisco Secure PIX et le routeur devraient avoir leur point de passerelle au routeur, pas le PIX. Quoiqu'ils soient directement connectés, ils ont des problèmes accédant au nouveau réseau interne si leur passerelle n'indique pas le routeur. Le routeur devrait avoir une passerelle par défaut qui dirige tout le trafic inconnu vers l'interface interne du pare-feu Cisco Secure PIX. L'installation d'une artère pour ce nouveau réseau dans le PIX ne fonctionne pas non plus. Le PIX ne conduit pas ou réoriente outre de l'interface qu'il a reçu le paquet. À la différence d'un routeur, le PIX ne peut pas conduire des paquets de retour par la même interface où le paquet a été au commencement reçu. En outre, assurez-vous que votre déclaration nat inclut le nouveau réseau ou le réseau principal que vous ajoutez.

Q. Comment est-ce que je détermine combien de mémoire flash mon PIX a ?

A. Si vous exécutez une commande de show version sur votre PIX, et la taille de la mémoire Flash n'est pas indiquée dans le Mo, alors employez cette table pour voir combien d'éclair votre PIX a.

i28F020 512 KO
AT29C040A 2 Mo
atmel 2 Mo
i28F640J5 8 Mo - PIX 506 16 Mo - tout autre PIXes
strates 16 Mo

Par exemple, si votre sortie de commande de show version ressemble à ceci :

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

La quantité de mémoire Flash est 16 Mo.

Q. Quand est-ce que je dois utiliser une nouvelle clé d'activation pour le PIX ?

A. Vous avez besoin d'une nouvelle clé d'activation quand vous améliorez un PIX d'un lot de logiciels restreint à un paquet qui prend en charge des fonctionnalités supplémentaires, telles que plus de connexions, de Basculement, d'IPsec, ou d'interfaces supplémentaires. En outre, une nouvelle clé d'activation est parfois nécessaire après une mise à niveau Flash sur un PIX.

Afin de demander une clé d'activation non-56-bit, envoyez un email à licensing@cisco.com et fournissez ces informations :

  • Le numéro de série de PIX (ou, si vous faites une mise à niveau Flash, le numéro de série sur la carte flash)

  • Le résultat d'une commande émise de show version sur le PIX

  • Votre version du logiciel PIX en cours

  • Type de licence requise (DES, 3DES, limités à sans restriction).

  • Le nombre d'autorisation, numéro de bon de commande, numéro de commande, ou nombre PAK

  • Votre pleins nom de la société et adresse

Allez à la page de clé de mise à niveau de licence PIX 56-bit (clients enregistrés seulement) demander une clé d'activation 56-bit.

Allez à la page d'enregistrement de permis de 3DES/AES Cisco ASA (clients enregistrés seulement) demander une clé d'activation AES/3DES.

Remarque: Une clé d'activation 56-bit est exigée pour le cryptage utilisant IPsec.

Q. L'IPX de passage PIX ou l'AppleTalk peut-il trafiquer ?

A. Non, le PIX est un Pare-feu réservé à l'IP.

Q. Fait-il l'adressage secondaire de prise en charge de PIX sur des interfaces ?

A. À la différence de Cisco IOSÝ, le PIX ne prend en charge pas l'adressage secondaire sur des interfaces.

Q. Fait-il le 802.1Q de prise en charge de PIX sur ses interfaces ?

A. Oui, dans PIX 6.3 une nouvelle caractéristique est ajoutée, où PIX peut créer des interfaces logiques. Chaque interface logique correspond à un VLAN dans le commutateur. Référez-vous en utilisant des VLAN avec le pour en savoir plus de Pare-feu.

Q. Fait-il le SSH de prise en charge de PIX ?

A. Oui, référez-vous au SSH - Intérieur ou extérieur qui te fournit une procédure pas à pas pour configurer le SSH. PIX utilise la version SSH 1.

Logiciel - Basculement

Q. Je fais configurer deux pare-feu Cisco Secure PIX dans une topologie de Basculement. Le pare-feu Cisco Secure PIX continue à basculer, dans les deux sens tout au long de la journée. Que se passe-t-il ?

A. Pour que le Basculement fonctionne correctement, il doit être correctement configuré. Avant version 5.1, toutes les interfaces doivent être configurées avec un IP address qui est seul sur chaque sous-réseau respectif, et toutes les interfaces doivent être physiquement connectées. Ceci inclut des interfaces que vous ne utilisez pas actuellement. Avec la version 5.1 et ultérieures, vous pouvez arrêt une interface inutilisée. Cependant, vous avez besoin d'arrêt le même nombre d'interface sur des les deux PIXes. Avant version 5.1, le Basculement envoie bonjour à un paquet chaque interface, même si ils sont arrêt. Il compte recevoir une réponse de retour. S'il ne reçoit aucune réponse après que plusieurs tentatives, Basculement lance. Vérifiez également si le PIX primaire peut cingler les interfaces de Basculement, sinon, vérifiez si les interfaces sont en hausse. Également, s'ils sont connectés par l'intermédiaire d'un commutateur, vérifiez les interfaces commutateur.

Q. De quelle longueur le PIX est-il peux du câble de basculement est-ce qu'et j'utiliser un câble plus long ?

A. Les bateaux de Cisco de câble série est de six pieds de long. La broche est dans la documentation sur le pare-feu de Cisco PIX pour votre version du logiciel PIX. Des câbles plus longs n'ont pas été testés. L'utilisation d'un câble plus long n'est pas non vérifiée. Dans PIX 6.2 il y a une nouvelle caractéristique appelée le « Basculement de RÉSEAU LOCAL » qui permet l'utilisation d'une interface dédiée sur le PIX comme câble de basculement. Référez-vous au pour en savoir plus de documentation de version 6.2 de Pare-feu PIX.

Q. Une interface VLAN peut-elle être utilisée dans le Basculement ?

A. Le VLAN physique et logique sont pris en charge par Basculement. La restriction est que les commandes d'interface de réseau local de Basculement et de lien de Basculement ne peuvent pas utiliser une interface VLAN logique.

Q. La caractéristique de serveur DHCP est-elle prise en charge avec le Basculement ?

A. Non, le serveur DHCP n'est pas pris en charge avec le Basculement, ni est un PIX configuré pour obtenir une adresse IP par l'intermédiaire du DHCP (puisque vous avez besoin de la commande d'IP address d'interface-nom de Basculement pour que le Basculement soit configuré).

Q. Je fais configurer deux pare-feu Cisco Secure PIX dans une topologie de Basculement. On a un permis sans restriction et l'autre a un permis de Basculement. Que se produit si les deux Pare-feu PIX perdent l'alimentation et seulement les démarrages d'unité de Basculement sauvegardent ?

A. Le Pare-feu PIX avec le permis de Basculement est destiné pour être utilisé seulement pour le Basculement et pas en mode autonome. Quand les deux Pare-feu PIX perdent l'alimentation et seulement les démarrages d'unité de Basculement sauvegardent, elle est comme si l'unité de Basculement est utilisée en mode autonome. Si une unité de Basculement est utilisée en mode autonome, les réinitialisations d'unité du moins une fois que toutes les 24 heures jusqu'à ce que l'unité soit retournée à l'intervention de Basculement, quand elle sent la présence du Pare-feu de PIX primaire.

Questions supplémentaires de logiciel

Q. Le PIX en avant IGMP trafique-t-il ?

A. La version 6.2 de logiciel pare-feu PIX te permet de configurer statiquement des routes multicasts ou d'utiliser une adresse auxiliaire de Protocole IGMP (Internet Group Management Protocol) pour expédier des rapports IGMP et de laisser des annonces.

Cette liste récapitule le support de Multidiffusion dans cette release.

  • Des filtres de liste d'accès peuvent être appliqués au trafic de multidiffusion pour permettre ou refuser des protocoles spécifiques et des ports.

  • Le Traduction d'adresses de réseau (NAT) et la translation d'adresses d'adresse du port (PAT) peuvent être exécutés sur les adresses sources de paquet de multidiffusion seulement.

  • Des paquets de données multicast avec des adresses de destination dans la plage d'adresses 224.0.0.0/24 ne sont pas expédiés. Cependant, tout autrement dans la plage d'adresses 224.0.0.0/8 est expédié.

  • Des paquets IGMP pour des groupes d'adresse dans 224.0.0.0 par la plage de 224.0.0.255 ne sont pas expédiés parce que ces adresses sont réservées pour l'usage de protocole.

  • NAT n'est pas exécuté sur des paquets IGMP. Quand l'expédition IGMP est configuré, le PIX en avant les paquets IGMP (état et congé) avec l'adresse IP de l'interface d'aide comme adresse IP source.

Q. Le PIX a-t-il une caractéristique de dépannage qui peut saisir le tracé de paquets pour voir le contenu de paquet en détail ?

A. La saisie de paquet de supports de version 6.2 de logiciel pare-feu PIX à renifler ou « voient » n'importe quel trafic reçu ou bloqué par le PIX. Une fois que les informations de paquet sont capturées, vous pouvez visualiser les informations sur la console, les transférer vers un fichier sur le réseau utilisant un serveur TFTP, ou les accéder à par un navigateur Web utilisant le HTTP sécurisé. Notez que le PIX ne capture pas le trafic indépendant de lui-même sur le même segment de réseau. En outre, cette caractéristique de capture de paquet n'inclut pas le système de fichiers, la résolution de noms de DN, ou le support promiscueux de mode.

Q. Fait-il l'OSPF de prise en charge de PIX ?

A. L'implémentation de Pare-feu PIX en code de version 6.3 prend en charge l'intra-zone, l'inter-zone, et les artères externes. Cette release prend en charge également la distribution des artères statiques aux processus et à la redistribution de routage de Protocole OSPF (Open Shortest Path First) entre les processus OSPF.

Q. Fait-il le PPPoE de prise en charge de PIX ?

A. La version 6.2 de logiciel pare-feu PIX prend en charge le Protocole PPPoE (PPP sur Ethernet). Le soutien de L2TP/PPTP/PPPoE a été enlevé de la version 7.0 et ultérieures de logiciel pare-feu PIX. (Le PPPoE fournit une méthode standard pour l'usage de l'authentification de PPP au-dessus d'un réseau Ethernet et est utilisé par beaucoup de fournisseurs de services d'Internet (ISP) pour accorder l'accès d'ordinateurs de client à leurs réseaux, généralement par le DSL.) le PPPoE est pris en charge sur les interfaces extérieures du Cisco PIX 500 Series Security Appliance.

Q. Le SFTP est-il pris en charge par le PIX ?

A. Non. Dans une connexion FTP typique, le client ou le serveur doit indiquer à l'autre quel port utiliser pour des transfert de données. Le PIX inspecte cette conversation et ouvre ce port. Cependant, avec le SFTP cette conversation est chiffrée et le PIX ne peut pas déterminer quels ports à s'ouvrir et la connexion de SFTP échoue finalement.

Un contournement possible dans cette situation est d'utiliser un client de SFTP qui prend en charge l'utilisation « d'une voie de transmission de données claire. » Cette option étant activée, PIX devrait pouvoir déterminer quel port doit être ouvert.

Q. Y a-t-il une manière de filtrer des paquets de courriels sur le pare-feu Cisco Secure PIX ? Est-ce que par exemple, je peux avoir le filtre de pare-feu Cisco Secure PIX « je luv vous » virus ?

A. Le pare-feu Cisco Secure PIX n'exécute pas le filtrage selon le contenu à la couche application. En d'autres termes, il n'examine pas la partie données du paquet TCP. Par conséquent, il ne peut pas filtrer le contenu d'email. La plupart des serveurs de messagerie d'aujourd'hui peuvent filtrer à la couche application.

Q. Quand j'essaye d'utiliser le Traduction d'adresses de réseau (NAT) sur mon pare-feu Cisco Secure PIX utilisant les déclarations NAT/GLOBAL, j'ai des problèmes avec des utilisateurs externes ne pouvant pas accéder aux hôtes internes uniformément. Quel est le problème ?

A. NAT dynamique utilisant le nat et les commandes globales crée un déclarer provisoire de connexion/traduction qui est toujours établi d'une interface d'un niveau de sécurité plus élevé à une interface à niveau de sécurité inférieur (à l'intérieur à l'extérieur). Les conduits sur ces traductions dynamiquement établies s'appliquent seulement quand l'état de connexion est établi. Tout hôte interne que les besoins externes d'initier une connexion dans sans l'hôte interne établissant d'abord une connexion, doivent être traduit utilisant la commande statique. En traduisant statiquement l'hôte, cet état de connexion est de manière permanente tracé et tous les conduits appliqués à cette traduction statique restent ouverts à tout moment. Avec ceci en place, des connexions IP peuvent être initiées de l'Internet sans faute. Avec les versions du logiciel PIX 5.0.x et plus tard, vous pouvez utiliser des Listes d'accès au lieu des conduits.

Q. J'ai mon web server sur l'intérieur statiquement traduit à l'extérieur. Les utilisateurs externes ne peuvent pas entrer. Qu'entraîne ceci ?

A. Le mappage statique rend la traduction/connexion possibles. Mais par défaut, le pare-feu Cisco Secure PIX refuse TOUTES LES tentatives de connexion entrante à moins qu'explicitement permis. On accorde cette « autorisation » quand vous appliquez un conduit à la traduction statique. Les instructions de conduit indiquent le pare-feu Cisco Secure PIX que sur l'Internet vous voulez pour permettre où et sur quels protocole et port. Avec les versions du logiciel PIX 5.0.x et plus tard, vous pouvez utiliser des Listes d'accès au lieu des conduits.

Q. J'ai un web server sur l'interface interne du pare-feu Cisco Secure PIX. Il est tracé à une adresse publique externe. Je veux que mes utilisateurs intérieurs puissent accéder à ce serveur par son nom DNS ou adresse d'extérieur. Comment est-ce que ceci peut être fait ?

A. Les règles du TCP ne te permettent pas pour faire ceci, mais il y a des bon palliatifs. Par exemple, imaginez que la vraie adresse IP de votre web server est 10.10.10.10 et l'annonce publique est 99.99.99.99. Résolutions 99.99.99.99 de DN à www.mydomain.com. Si vos tentatives d'hôte interne (par exemple, 10.10.10.25) d'aller à www.mydomain.com, le navigateur résout cela à 99.99.99.99. Alors le navigateur envoie ce paquet au PIX, qui l'envoie consécutivement au routeur internet. Le routeur internet a déjà un sous-réseau directement connecté de 99.99.99.x. Il suppose donc que le paquet n'est pas destiné pour lui mais à la place directement un hôte connecté et relâche ce paquet. Afin de venir à bout cette question votre hôte interne ou doit résoudre www.mydomain.com à sa vraie adresse de 10.10.10.10 ou vous devez prendre le segment extérieur outre du réseau 99.99.99.x ainsi le routeur peut être configuré pour conduire ce paquet de nouveau au PIX.

Si vos DN réside en dehors du PIX (ou à travers un de son DMZs) vous pouvez utiliser la commande de pseudonyme sur le pare-feu Cisco Secure PIX de réparer le paquet de DN pour le faire résoudre à 10.10.10.10 l'adresse. Assurez-vous que vous redémarrez vos PC pour vider le cache DNS après que vous apportiez cette modification. (Le test en cinglant www.mydomain.com avant et après que la commande de pseudonyme soit appliquée de s'assurer la résolution change de 99.99.99.99 en l'adresse de 10.10.10.10.)

Si vous avez votre propre serveur DNS à l'intérieur de votre réseau, ceci ne fonctionne pas parce que de DN de consultation les transverses jamais le PIX, tellement là n'est rien à réparer. Dans ce cas, configurez-vous les DN locaux en conséquence ou utilisez les « fichiers locaux des hôtes sur vos PC pour résoudre ce nom. L'autre option est meilleure parce qu'elle est plus fiable. Prenez le sous-réseau 99.99.99.x outre du PIX et du routeur. Choisissez une structure de numérotationleavingcisco.com RFC 1918 n'étant pas utilisé intérieurement (ou sur toute interface PIX de périmètre). Alors mettez une instruction de route de nouveau au PIX pour ce réseau et souvenez-vous pour changer votre default route PIX dehors à la nouvelle adresse IP sur le routeur. Le routeur extérieur reçoit ce paquet et le conduit de nouveau au PIX basé sur sa table de routage. Le routeur n'ignorera plus ce paquet, parce qu'il n'a aucune interface configurée sur ce réseau.

PIX 6.2 introduit une nouvelle caractéristique appelée Bidirectional NAT, qui offre la fonctionnalité de la commande et de plus de pseudonyme.

Référez-vous à comprendre la commande de pseudonyme pour le pare-feu Cisco Secure PIX pour plus d'informations sur la commande de pseudonyme.

Référez-vous en utilisant l'extérieur NAT dans la référence de commandes PIX pour plus d'informations sur la caractéristique NAT bidirectionnelle.

Remarque: Si vous exécutez la version de logiciel 7.x PIX/ASA elle est recommandée de ne pas utiliser la commande de pseudonyme. L'extérieur NAT avec le commutateur de DN est recommandé à la place. Référez-vous à la section d'inspection de DN d'appliquer l'inspection de protocole de la couche applicative.

Q. Le pare-feu Cisco Secure PIX prend en charge-il le mappage de ports ?

A. La redirection de port d'arrivée de prises en charge de PIX avec la version du logiciel PIX 6.0. Des versions du logiciel PIX plus tôt ne prennent en charge pas le mappage de ports.

Q. Est-ce que je peux tracer une adresse simple et intérieure à plus d'une adresse d'extérieur ?

A. Le pare-feu Cisco Secure PIX permet seulement une traduction linéaire simple pour (à l'intérieur) un hôte local. Si vous avez plus de deux interfaces sur le pare-feu Cisco Secure PIX, vous pouvez traduire une adresse locale à différentes adresses sur chaque interface respective mais seulement une traduction par interface est permise pour chaque adresse. De même, vous ne pouvez pas faire un mappage statique d'une adresse simple d'extérieur aux plusieurs adresses locales.

Q. Est-ce que je peux connecter deux autres FAI à mon pare-feu Cisco Secure PIX (pour l'Équilibrage de charge) ?

A. Non, vous ne pouvez pas équilibrer la charge sur le PIX. Le pare-feu Cisco Secure PIX est conçu pour manipuler seulement un default route. Quand vous connectez deux ISP à un PIX simple, il signifie que le Pare-feu doit prendre des décisions de routage à un niveau beaucoup plus intelligent. Au lieu de cela, utilisez un routeur de passerelle en dehors du PIX de sorte que le PIX continue à envoyer tout son trafic à un routeur. Ce routeur peut alors conduire/équilibre la charge entre les deux ISP. Une alternative est d'avoir deux Routeurs en dehors du PIX utilisant le Protocole HSRP (Hot Standby Router Protocol) et réglé la passerelle par défaut du PIX à être l'adresse virtuelle de HSRP. Alternativement, (si possible) vous pouvez utiliser le Protocole OSPF (Open Shortest Path First) qui prend en charge l'Équilibrage de charge parmi un maximum de trois pairs sur une interface unique.

Q. Queest-ce que des adresses je TAPOTE peux avoir sur mon pare-feu Cisco Secure PIX ?

A. Dans la version du logiciel PIX 5.2 et plus tard, vous pouvez avoir des plusieurs adresses PAT par interface. Des versions du logiciel PIX plus tôt ne prennent en charge pas des plusieurs adresses PAT par interface.

Q. Y a-t-il une manière de dire le pare-feu Cisco Secure PIX d'accorder plus de bande passante à certains utilisateurs ?

A. Non.

Q. Je dois permettre mon accès utilisateur aux dossiers partagés sur mon Domaine NT des sites distants. Comment est-ce que je fais ceci ?

A. Le protocole de Microsoft Netbios permet partager de fichier et d'imprimante. L'activation de Netbios à travers l'Internet ne répond pas aux exigences de sécurité de la plupart des réseaux. De plus, il est difficile configurer Netbios utilisant NAT. Tandis que Microsoft rend ce plus sécurisé utilisant les Technologies chiffrées, qui fonctionnent sans faille avec le PIX, il est possible d'ouvrir les ports nécessaires.

En bref, vous devrez placer les traductions statiques pour tous les hôtes qui exigent l'accès et les conduits (ou les Listes d'accès en logiciel PIX 5.0.x et plus tard) pour des ports TCP 135 et 139 et ports UDP 137 et 138. Vous devez l'un ou l'autre d'utilisation un serveur WINS de résoudre les adresses traduites à Netbios nomme ou à fichier lmhosts correctement configuré de gens du pays sur tous vos ordinateurs de client distant. Si vous utilisez des WINS, chaque hôte doit avoir une entrée de WINS de charge statique pour les gens du pays et des adresses traduites des hôtes qui sont accédés à. L'utilisation de LMHOSTS devrait avoir chacun des deux aussi bien, à moins que vos utilisateurs distants ne soient jamais connectés à votre réseau intérieur (par exemple, des ordinateurs portables). Votre serveur WINS doit être accessible à l'Internet avec la charge statique et des commandes de conduit et vos serveurs distants doivent être configurés pour se diriger à ce serveur WINS. En conclusion, des baux du protocole DHCP (DHCP) doivent être placés pour ne jamais expirer. Vous pouvez également statiquement configurer les adresses IP sur les hôtes qui doivent être accédés à de l'Internet.

Un plus sûr et plus de moyen sûr pour faire ceci est de configurer le cryptage de Protocole PPTP (Point-to-Point Tunneling Protocol) ou d'IPsec. Consultez votre sécurité des réseaux et spécialistes de projet pour d'autres détails sur les ramifications de Sécurité.

Q. Je suis sur la console/telnet du PIX et je vois une erreur comme "201008 : Le PIX rejette de nouvelles connexions. » Mon PIX ne passe aucun trafic entrant ou sortant. Quel est le problème ?

A. Cette erreur signifie que vous faites « le Syslog fiable de TCP » à un logiciel du PIX Firewall Syslog Server (PFSS) sur un système Windows NT et que le système ne répond pas aux messages de Syslog du PIX. Essayez une de ces options de corriger ce problème :

  • Allez au serveur NT qui exécute PFSS et corrigez le problème qui garde le serveur de recevoir des données de Syslog de TCP du PIX. Le problème est habituellement un disque dur saturé ou une question avec le service de Syslog ne s'exécutant pas.

  • Désactivez la configuration de Syslog de TCP et revenez à l'UDP standard d'utilitaire de Syslog. Ceci peut être fait sur la ligne de commande du PIX avec la commande d'ip_address d'hôte de journalisation [in_if_name] [protocole/port]. Tapez les ip_address d'hôte de journalisation, puis retapez la commande sans protocole/partie de port. Il se transfère sur le protocole standard/port d'UDP/514.

Remarque: La caractéristique « de Syslog fiable de TCP » de PIX et de PFSS est destinée pour créer une stratégie de sécurité que les états « si le PIX ne peut pas se connecter la, alors ne la fait pas. » Si n'est pas ce ce que vous avez destiné, alors vous ne devriez pas exécuter « le Syslog fiable de TCP. » Au lieu de cela, utilisez les capacités standard de Syslog qui ne bloquent pas d'arrivée/trafic sortant si le serveur de Syslog est indisponible.

Q. Quand j'exécute certaines commandes sur les PIX qui accèdent à la configuration dans l'éclair (commande de show config), j'obtiens une erreur que les états « le périphérique flash est en service par une autre tâche. » Qu'est-ce que cela signifie ?

A. Cette sortie affiche un exemple de cette erreur :

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

Ceci signifie qu'il y a une autre session sur le PIX où quelqu'un a utilisé une write terminal ou la commande semblable qui accède à l'éclair et lui se repose à l'« --plus-- » demande.

Afin de vérifier ceci, exécutez qui commandent tandis que connectés la console du PIX.

PIX#who
0: 14.36.1.66
PIX#

Dans cet exemple, vous voyez qu'un utilisateur de 14.36.1.66 est enregistré dans le PIX par l'intermédiaire du telnet. Vous pouvez utiliser la commande de mise à mort de se connecter avec force cet utilisateur.

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

L'utilisateur a été enregistré et maintenant vous pouvez exécuter votre exécution instantanée. Dans la légère occasion que ceci ne fonctionne pas, une réinitialisation du PIX résout également le problème.

Q. Est-ce que je peux actionner le PIX dans une « une » configuration armée ?

A. Non, le PIX ne peut pas fonctionner dans une configuration « manchot » en raison d'Adaptive Security Algorithm sous lequel le PIX fonctionne. Référez-vous compréhension derrière le pour en savoir plus de Pare-feu PIX.

Par exemple, si vous avez un PIX avec deux interfaces (intérieures et extérieures) et sur l'interface interne il y a un réseau 10.1.1.0/24. Outre de ce réseau il y a un routeur avec le réseau connecté 10.1.2.0/24 à lui. Ensuite, supposez qu'il y a un serveur sur l'interface interne qui est 10.1.1.5. Cet hôte a une passerelle par défaut de l'interface interne du PIX (10.1.1.1). Dans ce scénario, supposez que le PIX a les informations de routage correctes, telles que l'artère 10.1.2.0 intérieur 255.255.255.0 10.1.1.254 où 10.1.1.254 est l'adresse IP du routeur. Vous pourriez penser que l'hôte de 10.1.1.5 peut envoyer un paquet à 10.1.2.20 et ce paquet va au PIX, obtient réorienté au routeur chez 10.1.1.254, et continue à la destination host. Cependant, ce n'est pas le cas. Le PIX n'envoie pas l'ICMP réoriente comme un routeur. En outre, le PIX ne permet pas à un paquet pour laisser une interface dont il a été livré. Ainsi, avec la supposition que l'hôte de 10.1.1.5 a envoyée à un paquet avec une adresse de destination de 10.1.2.20 à l'interface interne du PIX, le PIX relâcherait ce paquet parce qu'il a été destiné à sortir la même interface (l'interface interne) sur laquelle elle a été livré. Cela vaut pour n'importe quelle interface PIX, pas simplement l'interface interne. Dans ce scénario, la solution est pour que l'hôte de 10.1.1.5 place sa passerelle par défaut pour être l'interface du routeur (10.1.1.254), et puis a une passerelle par défaut sur le point de routeur au PIX (10.1.1.1).

/image/gif/paws/15247/pixfaq_01.gif

Q. Est-ce qu'PIX fonctionne correctement si branché à un port de joncteur réseau sur un commutateur ?

A. Oui, toutefois le PIX doit être configuré pour l'encapsulation de 802.1Q. Ceci est adressé fait le 802.1Q de prise en charge de PIX sur ses interfaces ?.

Q. Est-ce que je peux placer un délai d'attente sur le port de console du PIX ?

A. Oui, c'est une nouvelle caractéristique de version 6.3. Référez-vous à la commande de délai d'attente de console.

Q. Je sais que le PIX peut faire NAT basé sur l'adresse source, mais peut le PIX faire NAT basé sur la destination ?

A. Seulement dans la version de PIX 6.2 et plus tard pouvez vous NAT basé sur la destination. Référez-vous au pour en savoir plus de documentation de version 6.2 de Pare-feu PIX.

Q. Je ne peux pas obtenir des supports de Systèmes de fichiers en réseau (NFS) pour travailler à travers le PIX. Quel suis-je faisant mal ?

A. Le PIX ne prend en charge pas le portmapper (port 111) au-dessus du TCP. Vous devriez configurer votre NFS pour utiliser l'UDP à la place.

Q. Le PIX fait-il le Listes de contrôle d'accès (ACL) basé sur temps ?

A. À la différence du Cisco IOS, le PIX ne fait pas ACLs basé sur temps. Si vous authentifiez les utilisateurs qui accèdent au PIX et le serveur d'authentification prend en charge limiter des utilisateurs aux moments particuliers du jour, alors le PIX honore ces rejets d'utilisateur.

Q. Est-ce que je peux personnaliser le texte des messages de Syslog que le PIX envoie ?

A. Les messages de Syslog que le PIX se produit sont codés en dur dans le système d'exploitation, et il n'est pas possible de les personnaliser.

Q. Le PIX peut-il faire la résolution de noms ?

A. Tandis qu'un PIX correctement configuré permet au trafic de Système de noms de domaine (DNS) pour tenir compte pour que l'intérieur et les périphériques externes fassent des DN, le PIX lui-même ne résout pas des noms.

Q. Je vois les messages refusés « par connexion » dans le Syslog PIX, aussi bien que refuse pour des telnets aux interfaces PIX. Mais je ne vois pas refuse pour l'autre trafic aux interfaces PIX. Est-ce normal ?

A. Avant version 6.2.2, les messages de refuser pour le trafic aux interfaces PIX sont limités aux telnets refusés ou mettent en communication TCP/23. Dans 6.2.3 et 6.3.1, de nouveaux messages de Syslog sont ajoutés dont l'ID de Syslog 710003 traitements refusés trafiquent à l'interface PIX elle-même.

Q. Je ne peux pas cingler du réseau à l'intérieur du PIX au PIX en dehors de l'interface, ni du réseau en dehors du PIX à l'interface interne PIX. Est-ce normal ?

A. Oui, à la différence du Cisco IOS, le PIX ne répond pas aux demandes d'ICMP aux interfaces « du côté lointain » du périphérique qui cingle le PIX.

Q. Le PIX peut-il agir en tant que serveur de NTP ?

A. Non.

Q. Est-il possible de changer les ports par défaut utilisés pour IPsec sur le PIX ?

A. Non.

Q. Fait-ils les domains name service dynamiques de prise en charge de PIX (DDNS) ?

A. Non.

Q. Un Pare-feu de Cisco PIX est configuré pour communiquer avec un serveur d'Automatique-mise à jour de travaux de Cisco et tout le trafic a arrêté le traverser. Pourquoi est-ce que ceci se produit et comment est-ce que je répare ceci ?

A. Le Pare-feu de Cisco PIX arrête toutes les nouvelles connexions s'il est configuré pour communiquer avec le serveur automatique de mise à jour et il n'a pas été entré en contact pendant une période. Un administrateur peut changer la valeur du délai d'inactivité utilisant la commande de délai d'inactivité d'automatique-mise à jour.

La spécification automatique de mise à jour fournit l'infrastructure nécessaire pour que les applications de gestion à distance téléchargent des configurations de Pare-feu PIX, des images logicielles, et pour exécutent la surveillance de base d'un emplacement centralisé. Le manque de communiquer avec le serveur fait cesser le PIX de passer tout le trafic.

Q. Je ne peux pas accéder à l'interface interne du PIX une fois connecté par l'intermédiaire d'un tunnel VPN. Comment procéder ?

A. L'interface interne du PIX ne peut pas être accédée à de l'extérieur, et vice-versa, à moins que la commande de Gestion-Access soit configurée en mode de configuration globale. Une fois la gestion d'accès activée, l'accès Telnet, SSH ou HTTP doit toujours être configuré pour les hôtes désirés.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 15247