安全 : Cisco PIX 500 系列安全设备

Cisco 安全 PIX 防火墙常见问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


问题


简介

本文档包含有关 Cisco Secure PIX 防火墙的常见问题(常见问题解答)。

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

硬件

Q. 我要在 Cisco Secure PIX 防火墙中安装新接口卡。应该将它安装在哪个插槽中?

A. 每个 PIX 型号都是不同的。请转到 PIX 文档,然后选择您的软件版本。从该页上选择Installation Guide,然后点击nstalling a Circuit Board ,了解详细的图表和指示。

Q. 我正尝试在 Cisco Secure PIX 防火墙中安装新接口卡。此卡对于任何一个插槽都显得太大。我的部件错了吗?

A. 卡上的金牙超过插槽边缘是一种正常现象。

Q. 我的 Cisco Secure PIX 防火墙配备两张以太网卡。我正在添加附加接口,但它现在不能启动到命令提示符。

A. 支持的接口数取决于 PIX 型号、软件版本和许可。请参见PIX文档,查找关于在PIXs6.3(截止撰写本文时的最新版本)上能够配置的最大物理接口和最大VLAN接口数量的信息。

Q. 我需要建立与 Cisco Secure PIX 防火墙的控制台连接。应该使用哪种电缆?

A. 请使用 DB9 到 DB9 无调制解调器电缆,该电缆在大多数计算机商店都有售。有时,Cisco Secure PIX 防火墙配备两个 DB9 到 RJ-45 适配器。如果您有这些适配器,可将其中一个连接到 Cisco Secure PIX 防火墙上,而将另一个连接到 PC 的串行端口。请使用一条全反电缆(不是交叉电缆)将两个 RJ-45 适配器连接起来。将您的 HyperTerminal 设置为 N81,无流控制,9600 波特。如果仍有问题,请检查 PC COM 端口配置并验证其是否正确设置且正常工作。如果您确信正确完成了所有设置,请在路由器上对其进行测试,查看是否获得提示。有关详细信息,请参阅您的 PIX 软件版本的 PIX 文档。从该页中先后选择 Installation GuideInstalling Interface Cables 以获得详细的图表和说明。

Q. PIX 520 型号上的软驱在哪里?

A. 它在前面的左上角的小的金属盘之后。卸下两个手拧螺丝即可访问。有关详细信息,请参阅安装 PIX 520 或早期型号

Q. 我的 Cisco Secure PIX 防火墙直接连接到路由器上,但是链路指示灯不亮,并且两台设备不能互相 ping 通对方。这是怎么回事?

A. 请确保您用来将 PIX 直接连接到路由器的交叉电缆是好的。如果要将 PIX 连接到集线器或交换机,请使用直通以太网电缆。

Q. 如何分辨 PIX 中千兆以太网卡的处理器速度区别?例如,如何分辩PIX-1GE-66和PIX-1GE卡之间的差别?

A. 键入 show interface,然后查看此行:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

i82542 代表 33 MHz,而 i82543 则代表 66 MHz。

Q. 如果我的网卡是从 Cisco 以外的来源购买的,然后我将其用在 PIX 中,该卡是否受支持?

A. 不能。

Q. 当PIX引导时,PIX报告网络接口卡(NIC) 中断请求(IRQ),并且部分请求使用两次(重复项) 。这会导致问题吗?

A. 以下消息是正常的,可以忽略:

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Q. 当安装了千兆以太网网络接口卡 (NIC) 的 PIX 启动时,PIX 所报告的 NIC 中断请求 (IRQ) 为“irq 255”。这会导致问题吗?

A. 以下消息是正常的,可以忽略:

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Q. PIX 的默认硬件配置是什么?

平台 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM (MB) 8 32 32/64 32/64 128 128/256 512/1024

Q. 我可以升级 PIX BIOS 吗?

A. 不能。

软件 - 安装和升级

Q. 当我尝试将 pixNNN.exe TFTP 到我的 PIX 时,我收到提示“bad magic number”的错误。问题出在何处?

A. 您需要加载 .bin 文件,而不是 .exe 文件。.exe 文件是包含 .bin 文件(和其他文件)的自解压缩存档。

注意: .bin 文件仅用于 PIX 软件版本 5.0.x 及早期版本。将 .exe 文件复制到您的 PC 硬盘驱动器上的临时目录,然后运行该程序以提取文件。然后将 pixNNN.bin 文件复制到您的 TFTP 服务器。

Q. 我正在尝试从软盘升级软件,每次 Cisco Secure PIX 防火墙在读磁盘时都陷入死循环。这是怎么回事?

A. 确保磁盘已正确格式化(使用 DOS 命令 format A:),然后使用 rawrite 将镜像放至软盘上。如果此过程失败,请尝试从其他 PC 执行该操作。

注意: 从软盘升级仅对 PIX 软件版本 5.0.x 及早期版本有效。

Q. 我正在安装新的 Cisco Secure PIX 防火墙,该防火墙看上去已正确配置。我的 LAN 过去是直接连接到 Internet 路由器的。而现在,在设置了 PIX 后,我在 LAN 上的用户无法进行对外访问。这是怎么回事?

A. 有几种不同的可能性。

Q. 我最近添加了一台内部路由器,该路由器可以将另一个内部网络连接到 Cisco Secure PIX 防火墙。Cisco Secure PIX防火墙和内部路由器之间的用户能够成功访问互联网,但他们不能与新内部网络通信。新网络的用户无法通过内部路由器。这是怎么回事?

A. 您必须将特定的路由内部语句输入到 PIX 中,才能使这个新的网络通过新的路由器。您也可以输入特定的路由内部语句使主网络通过此路由器,以备将来扩展所需。

例如,如果您现有的网络是192.168.1.0/24,新网络是192.168.2.0/24,那么内部路由器的以太网端口是192.168.1.2。PIX 的路由配置类似如下所示:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

或者(对于主要网络):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Cisco Secure PIX 防火墙和路由器之间的工作站应将其网关指向路由器,而不是 PIX。如果其网关未指向路由器,则即使直接连接起来,这些工作站也无法访问新的内部网络。路由器应该有一个默认网关,用于将所有未知数据流定向到 Cisco Secure PIX 防火墙的内部接口。在 PIX 中为此新网络安装的路由也不会工作。PIX不路由也不重定向收到信息包的接口。与路由器不同,PIX 不能通过最初接收数据包的那个接口路由回数据包。而且,确保您的 NAT 语句包括您正添加的新网络或主网。

Q. 如何确定我的 PIX 有多少闪存?

A. 如果在 PIX 上执行 show version 命令,且闪存大小不是以 MB 为单位,请使用下表来查看您的 PIX 有多少闪存。

i28F020 512 KB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - PIX 506 16 MB - 所有其他 PIX
16 MB

例如,如果您的 show version 命令的输出如下所示:

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

则闪存容量为 16 MB。

Q. 我什么时候需要对 PIX 使用新的激活密钥?

A. 当您将 PIX 从一个受限制的软件套件升级到支持附加功能(例如更多连接、故障转移、IPSec 或其他接口)的套件时,需要一个新的激活密钥。此外,升级 PIX 上的闪存之后有时也必须要有新的激活密钥。

要请求非 56 位的激活密钥,请将电子邮件发送到 licensing@cisco.com 并提供以下信息:

  • PIX 序列号(或闪存卡上的序列号,如果您正在进行闪存升级的话)

  • 在 PIX 上发出 show version 命令的结果

  • 当前 PIX 软件版本

  • 所需许可证类型(DES、3DES、受限制到不受限制)。

  • 授权号、采购订单号、销售订单号或 PAK 编号

  • 公司全名和地址

转到 PIX 56 位许可证升级密钥仅限注册用户)页请求 56 位激活密钥。

转到 Cisco ASA 3DES/AES 许可证注册仅限注册用户)页请求 AES/3DES 激活密钥。

注意: 使用 IPsec 加密时需要 56 位激活密钥。

Q. PIX 允许 IPX 或 AppleTalk 数据流通过吗?

A. 不允许。PIX 是只针对 IP 的防火墙。

Q. PIX 是否在接口上支持辅助编址?

A. 不同于思科IOS�, PIX不支持接口上的二级寻址。

Q. PIX 在其接口上支持 802.1Q 吗?

A. 支持,在 PIX 6.3 中添加了新功能,通过该功能 PIX 可以创建逻辑接口。每个逻辑接口都与交换机中的 VLAN 相对应。有关详细信息,请参阅将 VLAN 与防火墙一起使用

Q. PIX 是否支持 SSH?

A. 支持,请参阅 SSH - 内部或外部,此文档为您提供了用于配置 SSH 的分步过程。PIX 使用 SSH 版本 1。

软件 - 故障转移

Q. 我有两个按故障转移拓扑结构配置的 Cisco Secure PIX 防火墙。Cisco Secure PIX 防火墙整天不断地、反反复复地进行故障转移。为什么会发生这种情况?

A. 要使故障转移正常工作,必须正确地对其进行配置。在5.1前的版本,所有接口必须配置各子网上一个唯一的IP地址,并且所有接口必须物理上已连接。这包括您当前不使用的接口。使用版本 5.1 及更高版本时,可以关闭未使用的接口,但需在两个 PIX 中都关闭同一接口编号。在版本 5.1 以前,故障转移会从每个接口向外发送 Hello 数据包,即使该接口已关闭。它应该收到回复。如果尝试几次之后没有收到回复,故障转移将激活。还检查主PIX是否能ping故障切换接口,如果不能,请检查接口是否处于UP状态。另外,如果是通过交换机连接的,请检查交换机接口。

Q. PIX 故障转移电缆有多长?我能使用更长的电缆吗?

A. Cisco 配备的串行电缆有六英尺长。引脚布局可在您的 PIX 软件版本的 Cisco PIX 防火墙文档中找到。尚未测试过更长的电缆。不支持使用更长的电缆。在PIX 6.2中,有一种称为"LAN故障切换"的新功能,允许使用PIX上的一个专用接口作为故障切换电缆。有关详细信息,请参阅 PIX 防火墙版本 6.2 文档

Q. VLAN 接口能用于故障转移吗?

A. 故障转移支持物理 VLAN 和逻辑 VLAN。限制是 failover lan interfacefailover link 命令不能使用一个逻辑 VLAN 接口。

Q. 故障转移支持 DHCP 服务器功能吗?

A. 不支持,故障转移不支持 DHCP 服务器,也不能将 PIX 配置为通过 DHCP 获取 IP 地址(因为您需要使用 failover interface-name ip address 命令才能配置故障转移)。

Q. 我有两个按故障转移拓扑结构配置的 Cisco Secure PIX 防火墙。其中一个有不受限的许可证,另一个有故障转移许可证。如果两个 PIX 防火墙同时断电并且仅故障转移单元启动了备份,会发生什么情况?

A. 具有故障转移许可证的 PIX 防火墙只能用于故障转移,并且不能在独立模式下使用。当两个 PIX 防火墙同时断电,并且仅故障转移单元启动了备份时,其情形类似于故障转移单元在独立模式下使用。如果在独立模式下使用,故障转移单元至少每 24 小时就会重新启动一次,直至感知到主 PIX 防火墙的存在并恢复履行其故障转移责职。

其他软件问题

Q. PIX 是否转发 IGMP 数据流?

A. PIX防火墙软件版本6.2使您能静态地配置组播路由或使用用来转发IGMP报告和离开公告的互联网组管理协议(IGMP)帮助地址。

此列表概述了此版本中的多播支持。

  • 可将访问列表过滤器应用到多播数据流以允许或拒绝特定协议和端口。

  • 只能对多播数据包源地址执行网络地址转换 (NAT) 和端口地址转换 (PAT)。

  • 不会转发其目标地址在 224.0.0.0/24 地址范围内的多播数据包,但会转发 224.0.0.0/8 地址范围内的所有其他数据包。

  • 不会转发 224.0.0.0 - 224.0.0.255 范围内地址组的 IGMP 数据包,因为这些地址是协议所用的保留地址。

  • 不对 IGMP 数据包执行 NAT。如果配置了IGMP转发,PIX将转发IGMP信息包(报告和离开),将辅助接口的IP地址作为该信息包的源IP地址。

Q. PIX是否有一个故障排除功能,即获取数据包踪迹,以详细查看数据包的内容?

A. PIX 防火墙软件版本 6.2 支持信息包的捕获或“查看”任何被 PIX 接收或阻塞的数据流。一旦获取数据包信息,您即可查看控制台上的信息,使用TFTP服务器,通过网络将其传输到一个文件,或者使用安全HTTP,通过Web浏览器访问。注意PIX不在同一个网段上捕获与本身无关的数据流。另外,此数据包捕获功能不包括文件系统、DNS 域名解析或混合模式支持。

Q. PIX 是否支持 OSPF?

A. 版本 6.3 代码中的 PIX 防火墙实施支持域内、域间和外部路由。此版本也支持静态路由到开放式最短路径优先(OSPF)进程和OSPF进程之间的路由再分配。

Q. PIX 是否支持 PPPoE?

A. PIX 防火墙软件版本 6.2 支持 Point-to-Point Protocol over 以太网 (PPPoE)。已从 PIX 防火墙软件版本 7.0 及更高版本中删除了对 L2TP/PPTP/PPPoE 的支持。(PPPoE 是一种在以太网网络上使用 PPP 身份验证的标准方法。许多 Internet 服务提供商 (ISP) 通常通过 DSL 使用 PPPoE 授予客户端计算机对其网络的访问权限。)Cisco PIX 500 系列安全设备的外部接口支持 PPPoE。

Q. PIX 是否支持 SFTP?

A. 不能。在典型的 FTP 连接中,客户端或服务器中的任何一方必须告诉另一方要用于数据传输的端口。PIX 可以检查此对话并打开该端口。但如果使用 SFTP,则此会话为加密会话,PIX 无法确定要打开哪些端口,因此 SFTP 连接最终将失败。

这种情况下,一个可能的解决方法是使用支持使用“清除数据信道”的 SFTP 客户端。启用此选项后,PIX 应该可以确定需要打开哪一个端口。

Q. 有没有什么方法可以在 Cisco Secure PIX 防火墙上过滤电子邮件数据包?例如,是否能让 Cisco Secure PIX 防火墙过滤 I LUV YOU 病毒?

A. Cisco Secure PIX 防火墙不执行应用层的内容过滤。换句话说,它不检查 TCP 数据包的数据部分。因此,它不能过滤电子邮件内容。大多数现代邮件服务器都能在应用层进行过滤。

Q. 我尝试使用 NAT/GLOBAL 语句在 Cisco Secure PIX 防火墙上使用网络地址转换 (NAT) 时,遇到了问题:外部用户无法持续访问内部主机。这是怎么回事?

A. 动态 NAT 使用 natglobal 命令创建一个临时连接/转换状态(从里向外),通常是从较高安全级别的接口通往较低安全级别的接口。当连接状态建立时,只适用在这些动态建立的转换的管道。如果在内部主机还没有建立外部连接,需要由外部建立连接的任何内部主机必须使用 static 命令进行转换。通过静态转换主机,此连接状态将永久形成映射,并且应用于此静态转换的所有输送管道一直保持开放。进行此配置后,IP 连接可以从 Internet 发起且不会间断。通过 PIX 软件版本 5.0.x 及更高版本,您可以使用访问列表,而不是管道。

Q. 我将内部 Web 服务器以静态方式转换到外部。外部用户无法进入。这是什么原因?

A. 静态映射使转换/连接成为可能。但默认情况下,Cisco Secure PIX 防火墙会拒绝所有入站连接尝试,除非该连接尝试得到了明确允许。当您将管道应用于静态转换时,将授予此“权限”。管道语句告诉Cisco Secure PIX Firewall 谁在互联网上,您希望允许通过什么地方,位于什么协议和端口上。通过 PIX 软件版本 5.0.x 及更高版本,您可以使用访问列表,而不是管道。

Q. 我在 Cisco Secure PIX 防火墙的内部接口上有一个 Web 服务器。该服务器映射到外部公共地址。我希望我的内部用户能通过DNS名称或外部地址访问此服务器。如何才能实现呢?

A. TCP规则不允许您执行此,但是有好的解决方法。例如,假设您的 Web 服务器的实际 IP 地址是 10.10.10.10,而公共地址是 99.99.99.99。DNS 将 99.99.99.99 解析为 www.mydomain.com。如果您的内部主机(例如10.10.10.25)尝试登录www.mydomain.com,浏览器将解析到99.99.99.99。然后浏览器将信息包发送到PIX,反过来,再将它发送到互联网路由器。Internet 路由器已经有直接连接的 99.99.99.x 子网。它会据此认为此数据包不是发送给它的,而是发送给直接连接的主机的,因此会丢弃此数据包。为避免出现此问题,您必须让内部主机将 www.mydomain.com 解析为其实际地址 10.10.10.10,或者令外部分段脱离 99.99.99.x 网络,这样才能将路由器配置为将此数据包路由回 PIX。

如果您的 DNS 位于 PIX 外部(或在它的一个 DMZ 上),则可在 Cisco Secure PIX 防火墙上使用 alias 命令来修复 DNS 数据包,从而将其解析为 10.10.10.10 这样一个地址。进行此更改后,请确保重新启动 PC 以刷新 DNS 高速缓存。(在应用 alias 命令前后,通过 ping 通 www.mydomain.com 来进行测试,以确保 99.99.99.99 到 10.10.10.10 的解析地址更改。)

如果您在网络中拥有自己的DNS服务器,这样做就不工作,因为DNS查找从不通过 PIX,那么就没有什么需要修正。在这种情况下,相应地配置您本地的DNS或使用在您PC上的本地“主机”文件决定这个名字。另一个选择更好,因为更可靠。使 99.99.99.x 子网脱离 PIX 和路由器。选择一个当前没有被内部使用的RFC1918编号机制(或在任何PIX周界接口上使用)。leavingcisco.com 然后,此网络的路由语句输入回PIX上。切记将PIX默认路由更换为路由器上的新IP地址。外部路由器将收到此数据包并根据路由表将其路由回 PIX。路由器将不再忽略此信息包,因为它没有配置在该网络的接口。

PIX 6.2 引入了称为“双向 NAT”的新功能,可提供包括 alias 命令在内的功能。

有关 alias 命令的详细信息,请参阅了解 Cisco Secure PIX 防火墙的 alias 命令

有关双向 NAT 功能的详细信息,请参阅 PIX 命令参考中的使用外部 NAT

注意: 如果您运行的是 PIX/ASA 软件版本 7.x,建议不要使用 alias 命令,而应使用带有 DNS 交换功能的外部 NAT。请参阅应用应用层协议检查DNS 检查部分。

Q. Cisco Secure PIX 防火墙是否支持端口映射?

A. 使用 PIX 软件版本 6.0 时,PIX 支持入站端口重定向。早期的 PIX 软件版本不支持端口映射。

Q. 能否将单个内部地址映射到多个外部地址?

A. Cisco Secure PIX 防火墙仅允许对本地(内部)主机进行单个一对一转换。如果Cisco安全PIX防火墙有两个以上的接口,您可将本地地址转换成为每个相应接口上的不同地址,但对于每个地址,每个接口只允许一次转换。同样,您不能将单个外部地址静态映射到多个本地地址。

Q. 能否将两个不同的 ISP 连接到 Cisco Secure PIX 防火墙(以实现负载均衡)?

A. 不能,您不能在 PIX 上进行负载均衡。Cisco Secure PIX 防火墙设计为只处理一个默认路由。如果将两个 ISP 连接到一个 PIX,即意味着防火墙需要进行更智能的路由决策。相反地,在PIX外部使用网关路由器, 以便PIX继续将所有数据流发送到路由器上。然后,该路由器就可以在两个 ISP 之间进行路由/负载均衡。另一个选择是让PIX外部的两个路由器使用热备份路由协议(HSRP),并将PIX的默认网关设置为虚拟HSRP地址。(如果可能的话)您可以使用开放式最短路径优先(OSPF)协议。该协议在单个接口上最多支持三个对等体负载平衡。

Q. 在 Cisco Secure PIX 防火墙上可以有多少个 PAT 地址?

A. 在 PIX 软件版本 5.2 及更高版本中,每个接口可以有多个 PAT 地址。早期的 PIX 软件版本不支持为每个接口配置多个 PAT 地址。

Q. 有没有什么方法可以让 Cisco Secure PIX 防火墙给予某些用户更多带宽?

A. 不能。

Q. 我需要允许我的用户从远端位置访问我的NT域上的共享文件夹。我怎样做这个?

A. Microsoft NetBIOS 协议允许文件和打印机共享。在 Internet 上启用 NetBios 不符合大多数网络的安全要求。此外,使用 NAT 很难对 NetBios 进行配置。当Microsoft使用加密技术(与PIX无缝地操作)使它变得更加安全时,这时可能要打开必要的端口。

简而言之,您需要为请求 TCP 端口 135 和 139、UDP 端口 137 和 138 的访问和管道(或 PIX 软件 5.0.x 及更高版本中的访问列表)的所有主机设置静态转换。您必须使用WINS服务器将已转换的地址解析为NETBIOS名,或在您所有的远程客户端机器上正确配置LMHOSTS文件。如果使用 WINS,则每台主机都必须为所访问主机的本地地址和已转换地址提供一个静态的 WINS 条目。使用 LMHOSTS 也应该拥有上述两个条件,除非您的远程用户从不连接您的内部网络(例如,便携式计算机)。您的 WINS 服务器一定可以访问带有 staticconduit 命令的互联网,并且远程主机必须指向该 WINS 服务器。最后,必须将动态主机配置协议 (DHCP) 租期设置为“永不过期”。另外,您还可以静态配置需要从 Internet 上访问的主机的 IP 地址。

更加安全等等安全方式执行此是配置点对点隧道协议(PPTP)或IPSec加密。有关安全分支的详细信息,请咨询您的网络安全和设计专家。

Q. 我在 PIX 的控制台/Telnet 上时看到一条错误消息,该消息类似于“201008:The PIX is disallowing new connections.”。我的 PIX 不允许任何入站或出站数据流通过。这是怎么回事?

A. 此错误表示您在对 Windows NT 系统上的 PIX 防火墙 Syslog 服务器 (PFSS) 软件执行“可靠 TCP syslog”操作,但系统不响应 PIX 的 syslog 消息。尝试以下选项之一可解决此问题:

  • 转到运行 PFSS 的 NT 服务器,解决阻止该服务器从 PIX 接受 Tcp syslog 数据的问题。该问题通常是因为硬盘驱动器已满,或者由于 syslog 服务未运行的缘故。

  • 请禁用 TCP syslog 功能并返回到标准 syslog 实用程序 UDP。可使用 logging host [in_if_name] ip_address [protocol/port] 命令,在 PIX 的命令行上进行此操作。键入 logging host ip_address ,然后再次键入该命令,但不包括协议/端口部分。它默认的标准协议/端口为 UDP/514。

注意: PIX 和 PFSS 的“可靠 TCP syslog”功能旨在创建这样的安全策略:“如果 PIX 无法记录,则不记录”。如果这不是您预期的结果,则不应运行“可靠 TCP syslog”。当 syslog 服务器不可用时,可以改用不会阻止入站/出站数据流的标准 syslog 功能。

Q. 我在 PIX 上执行某些可访问闪存中的配置的命令(show config 命令)时,收到了这样的错误信息:“The Flash device is in use by another task.”。这是什么意思?

A. 以下输出显示的是此错误的示例:

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

这意味着在 PIX 中存在另一个会话,在该会话中某个人已使用 write terminal 命令或类似的命令访问闪存并且该命令正在--更多--”提示符。

为了对此进行验证,当登录 PIX 到控制台时执行 who 命令。

PIX#who
0: 14.36.1.66
PIX#

在本示例中,您可以看到来自 14.36.1.66 的用户已通过 Telnet 登录到 PIX 中。您可以使用 kill 命令强制将该用户注销。

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

该用户已注销,现在您可以执行您的闪存操作了。有极小的可能这不工作,但重新启动PIX也可以解决该问题。

Q. 可以在“单臂”配置中运行 PIX 吗?

A. 不可以,PIX 不能在“单臂”配置中运行,因为 PIX 运行时使用自适应安全算法。有关详细信息,请参阅了解 PIX 防火墙

例如,如果您有带有两接口(内部和外部)的PIX,并在内部接口上有10.1.1.0/24网络。此网络以外有一个路由器,连接着 10.1.2.0/24 网络。接下来,假设在内部接口上有一个服务器为 10.1.1.5。此主机具有 PIX 内部接口的默认网关 (10.1.1.1)。在这种情况下,假设 PIX 可提供正确的路由信息,如 route inside 10.1.2.0 255.255.255.0 10.1.1.254,其中 10.1.1.254 为路由器的 IP 地址。您可能会认为 10.1.1.5 主机可以将数据包发送到 10.1.2.20,然后此数据包进入 PIX,被重新定向到位于 10.1.1.254 的路由器,然后进入目标主机。然而事实并非如此。与路由器不同,PIX 并不发送 ICMP 重定向消息。并且,PIX不允许信息包从它来的接口离开。因此,假定 10.1.1.5 主机将一个目标地址为 10.1.2.20 的数据包发送到 PIX 的内部接口,PIX 将丢弃该数据包,因为该数据包肯定会通过其进入的同一接口(内部接口)流出。不仅内部接口,所有 PIX 接口都是如此。这种情况下,对于 10.1.1.5 主机的解决方案是:将其默认网关设置为路由器的接口 (10.1.1.254),然后在指向 PIX 的路由器上设置默认网关 (10.1.1.1)。

/image/gif/paws/15247/pixfaq_01.gif

Q. 如果将 PIX 插入交换机的中继端口,PIX 是否会正常运行?

A. 会,但是必须针对 802.1Q 封装对 PIX 进行配置。PIX 是否在其接口上支持 802.1Q?中涉及了此问题。

Q. 是否可以在 PIX 的控制台端口上设置超时?

A. 可以,这是版本 6.3 的新功能。请参阅 console timeout 命令

Q. 我知道,PIX可以根据源地址进行网络地址转换(NAT),但它能够根据目的地进行网络地址转换(NAT)吗?

A. 仅在 PIX 版本 6.2 及更高版本中才能根据目标进行 NAT。有关详细信息,请参阅 PIX 防火墙版本 6.2 文档

Q. 我不能通过 PIX 进行网络文件系统 (NFS) 装载操作。问题出在何处?

A. PIX 不支持在 TCP 上执行端口映射(端口 111)。您应将 NFS 配置为改用 UDP。

Q. PIX 是否执行基于时间的访问控制列表 (ACL)?

A. 与 Cisco IOS 不同,PIX 不执行基于时间的 ACL。如果对访问 PIX 的用户进行身份验证,并且身份验证服务器支持将用户限定在一天的特定时间进行访问,则 PIX 允许对那些用户进行拒绝操作。

Q. 我可以自定义 PIX 发送的 syslog 消息文本吗?

A. PIX生成的系统日志消息被硬性代码到操作系统,并且不能对它们进行定制。

Q. PIX 可以进行名称解析吗?

A. 虽然 PIX 在配置正确的情况下允许域名系统 (DNS) 数据流通过,从而让内部和外部设备可以执行 DNS,但是 PIX 自身并不解析名称。

Q. 我在 PIX syslog 中看到“connection denied”消息,以及 Telnet 到 PIX 接口的访问被拒绝的信息。但是,我没有看到其他数据流到 PIX 接口的访问被拒绝的信息。这是否正常?

A. 在版本 6.2.2 之前,数据流到的 PIX 接口的拒绝消息仅限于被拒绝的 Telnet 或端口 TCP/23。在 6.2.3 和 6.3.1 中添加了新的 syslog 消息,其中的 syslog ID 710003 本身就可以处理被拒绝进入 PIX 接口的数据流。

Q. 我无法从PIX内部的网络ping通PIX外部接口,也不能从PIX外部的网络ping通PIX内部接口。这是否正常?

A. 正常。与 Cisco IOS 不同,对 ping PIX 的设备的“远端”接口的 ICMP 请求,PIX 不响应。

Q. PIX 是否可以充当 NTP 服务器?

A. 不能。

Q. 是否可以更改 PIX 上用于 IPSec 的默认端口?

A. 不能。

Q. PIX 是否支持动态域名服务 (DDNS)?

A. 不能。

Q. 已将 Cisco PIX 防火墙配置为与 CiscoWorks Auto Update Server 进行通信,但所有数据流却不再通过它。为什么会发生这种情况?应如何解决此问题?

A. 如果 Cisco PIX 防火墙已配置为与 Auto Update Server 通信且在一段时间内双方没有进行任何联系,则 Cisco PIX 防火墙将终止所有新的连接。管理员可以使用 auto-update timeout period 命令更改超时期的值。

“自动更新”规范提供了远程管理应用程序下载 PIX 防火墙配置和软件镜像以及通过集中方式执行基本监控功能所需的基础架构。无法与服务器通信会导致 PIX 拒绝让所有数据流通过。

Q. 通过 VPN 隧道连接时,我无法访问 PIX 的内部接口。如何才能执行此操作?

A. 除非已在全局配置模式下配置了 management-access 命令,否则无法从外部访问 PIX 的内部接口,反之亦然。启用 management-access 后,仍必须为所需的主机配置 Telnet、SSH 或 HTTP 访问。

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 15247