Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Dépannage de PIX Device Manager

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit le processus de résolution des problèmes liés au logiciel PIX Device Manager (PDM).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et matériel suivantes : Cependant, le contenu est valide jusqu'à la dernière version du code (6.3.3 au moment de la création de document).

  • Version de logiciel de Logiciels pare-feu Cisco PIX 6.1(1)

  • Version 1.1(2) PDM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Résolvez les problèmes PDM Access

Vérifiez l'installation de logiciel PDM

Vous devez répondre à ces deux exigences afin d'accéder à PDM.

  • Un Norme de chiffrement de données (DES) ou une clé d'activation de Norme 3DES (Triple Data Encryption Standard) est activé sur votre PIX.

  • Une image logicielle distincte pour PDM est chargée sur l'éclair du PIX.

Sélectionnez la commande de show version de la ligne de commande PIX de vérifier que vous répondez à ces exigences. La version de Pare-feu PIX doit être 6.0 ou plus tard. Ces informations apparaissent.

pixfirewall#show version
Cisco Secure PIX Firewall Version 6.1(1)
PIX Device Manager Version 1.1(2)   
<snip>
Licensed Features:
Failover:   Enabled
VPN-DES:    Enabled
VPN-3DES:   Disabled

Si vous manquez les lignes qui indiquent vos versions PIX ou PDM, et si le DES et les 3DES sont désactivés, vous ne pouvez pas accéder au logiciel PDM. Si vous n'avez pas une clé DES, vous pouvez obtenir la clé de mise à niveau de licence PIX 56-bit (clients enregistrés seulement) des téléchargements de Cisco. Si vous n'avez pas une clé DES et vous n'êtes pas un utilisateur enregistré, vous pouvez obtenir une clé gratuite quand vous envoyez un courrier électronique à licensing@cisco.com avec le numéro de série du PIX pendant qu'il apparaît dans la commande de show version sur le PIX.

Si vous devez installer la clé, vous devez recharger le logiciel PIX. C'est la seule manière que vous pouvez installer la clé DES/3DES. Référez-vous à améliorer le Pare-feu PIX de la section de Boothelper ou de mode moniteur de mise à niveau logicielle pour le pare-feu Cisco Secure PIX pour une procédure pas à pas pour une recharge de logiciel PIX.

Installez le logiciel PDM

Si vous ne faites pas déjà installer le logiciel PDM, chargez-le avec l'éclair de copy tftp : commande de pdm. N'utilisez pas la commande d'instantané de copy tftp.

Ensuite, suivez les procédures en installant PDM sur un Pare-feu PIX pour installer et exécuter le logiciel PDM sur un Pare-feu PIX.

Logiciel de l'installation PDM

Après que vous installiez le logiciel PDM et fassiez activer DES/3DES, exécutez le programme d'installation de la ligne de commande PIX afin d'installer PDM pour s'exécuter sur le PIX, et pour activer les hôtes spécifiques ou les réseaux pour lesquels vous voulez permettre l'accès à PDM. Assurez-vous que l'année est correcte quand vous passez par les questions de configuration, ou le certificat généré est non valide. Le nom de domaine utilisé dans l'installation peut être le nom de votre domaine ou de n'importe quelle chaîne arbitrairement choisie sous forme de <text.text> que vous utilisez pour la génération de clés ; la résolution de noms n'a pas besoin de fonctionner. En outre, commande de la presse ENTERIN pour choisir les valeurs par défaut.

Un exemple de la procédure d'installation est affiché ici.

pixfirewall(config)#setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]:
Clock (UTC):
  Year [2001]:
  Month [Dec]:
  Day [7]:
  Time [17:43:35]:
Inside IP address [127.0.0.1]: 172.16.1.2
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [pixfirewall]:
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

The following configuration will be used:
Enable password: <current password>
Clock (UTC): 17:43:35 Dec 7 2001
Inside IP address: 172.16.1.2
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: e6dd475b 322e8674 1dc237c3 543afdef
[OK]
pixfirewall(config)#

Logiciel d'Access PDM

Tapez le <pix_interface_ip_address> de https:// en votre navigateur pour accéder au logiciel PDM. Un exemple de cette syntaxe est https://172.16.1.2.

Quand la case de nom d'utilisateur/mot de passe monte et si l'authentification d'AAA n'est pas allumée, alors le mot de passe de telnet PIX doit entrer dans le cadre Password. Si l'authentification d'AAA est allumée (comme en fonction un telnet au PIX, et le PIX demande un nom d'utilisateur/mot de passe au lieu juste d'un mot de passe), alors le nom d'utilisateur PIX doit entrer dans la case de nom d'utilisateur et le mot de passe dans le cadre Password.

Si l'autorisation de commande PIX est allumée (dans la version de PIX 6.2 ou plus tard) et certains utilisateurs ne peuvent pas faire tout des commandes (telles que la write terminal, la write memory, ou la configure terminal), alors ces utilisateurs sont pareillement limités dans PDM (à surveiller le PIX seulement, ou à exécuter un sous-ensemble de commandes). Dans PIX 6.2 ou plus tard, vous pouvez déterminer si un utilisateur a les privilèges les plus puissants (15) quand vous exécutez un telnet dans le PIX en tant que cet utilisateur et émettez la commande de curpriv d'exposition dans le mode enable.

Dépannez

Si vous continuez à rencontrer des problèmes avec PDM, essayez certaines de ces suggestions.

  • Vérifiez que PDM est installé correctement.

    show version
    .
    Cisco PIX Firewall Version 6.1(1)
    Cisco PIX Device Manager Version 1.0(2)
    .
  • Vérifiez qu'une clé d'activation DES est activée.

    show version
    .
    VPN-DES: Enabled
    .
  • Vérifiez que le proxy n'est pas activé dans le navigateur.

  • Émettez la commande de show clock de vérifier que le logiciel est placé pendant l'année correcte. Modifiez l'année s'il y a lieu utilisant cette commande.

    clock set <hh:mm:ss> <month> <day> <year> 
    
  • Sous le fonctionnement normal, quand le PIX est placé pendant le temps correct, se connecter à PDM entraîne la génération d'un certificat qui est visible avec l'ordre de la RSA de mypubkey de l'exposition Ca. S'il y a une certaine question si l'horloge a été réglée correctement au moment de la connexion d'origine, a remis à l'état initial l'horloge comme décrit dans l'étape précédente. Émettez l'ordre de la RSA de mise à zéro Ca afin de supprimer le certificat existant, puis rebranchez avec PDM pour entraîner la régénération principale.

  • Vérifiez que vous pouvez se connecter à l'utilisation de https://.

  • Avant que vous téléchargiez le logiciel PDM au PIX, assurez-vous que le FTP du logiciel PDM est un transfert binaire en tapant le coffre sur la ligne de commande de transfert de FTP. Si le transfert était dans l'ASCII ou si le fichier PDM est autrement corrompu, vous pouvez recevoir un « PDM n'est pas » message installé.

  • Vérifiez que le navigateur que vous utilisez a la version Java appropriée.

    • Pour Microsoft Internet Explorer, sur le système Windows, le Start > Run choisi et le wjview de type afin de déterminer la version (ou taper le wjview à l'invite DOS). La sortie témoin est affichée dans cette sortie.

      Microsoft (R) VM for Java, 5.0 Release 5.0.0.3802

      Les quatre derniers chiffres doivent être 3167 ou plus grands afin de fonctionner avec PDM.

      Vous pouvez également vérifier la version de Javas installées sur votre PC par le panneau de configuration > Javas > environ. Si votre PC n'a pas le logiciel exigé de Javas, vous pouvez le télécharger du site Web de Sunleavingcisco.com . Après que vous installiez la version Java priée, clôturez toutes les fenêtres du navigateur (ou réinitialisation) avant que vous tentiez d'accéder à PDM.

    • Pour Netscape 4.5.x ou 4.7.x, vous devez désactiver l'option du plug-in Java si elle est installée. Afin de désactiver le périphérique prêt à brancher, choisi éditez > des préférences > a avancé et place l'option du plug-in Java d'enable de désactiver. Si vous ne voyez pas la case à cocher, alors le périphérique prêt à brancher de Javas n'est pas utilisé par défaut.

  • Vérifiez que vous exécutez un navigateur pris en charge pour la version de PDM que vous utilisez. Le navigateur ou les versions Java autres que ce qui sont testés ne pourrait pas travailler.

  • Si quelques stations peuvent se connecter au PIX pour la Gestion et d'autres ne peuvent pas, s'assurer que vous avez une entrée pour l'adresse IP de chaque unité qui gère le PIX.

    http <ip_address> [netmask] [if_name]
    http server enable
    
  • Si vous voyez qu'un message qui indique « Le PIX a un numéro de version d'inconnu, » alors c'est généralement un résultat d'une des conditions répertoriées dans ce document n'étant pas rencontré, comme :

    • La version PDM n'est pas conforme à la version de PIX (vérifiez la documentation PDM pour les conditions préalables).

    • La version de navigateur n'est pas prise en charge (vérifiez la documentation PDM pour les conditions préalables).

    • La version Java est incorrecte ou le périphérique prêt à brancher de Javas est activé.

Si tout le reste échoue, entrez en contact avec le support technique de Cisco. Soyez préparé pour fournir la sortie d'une commande de tech d'exposition du PIX, mettez au point le SSL du PIX, la sortie de la console Java de votre navigateur, et les informations sur votre version de navigateur pour aider à résoudre le problème.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 7104