2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录

简介
先决条件
要求
使用的组件
规则
Ident 协议
症状
故障排除
解决问题
相关的思科支持社区讨论
相关信息

简介

如果通过PIX防火墙为了使用Telnet、FTP、HTTP或者POP,您也许偶尔地注意需要很长时间连接到服务器,或者您也许不能访问您希望的服务器。

此的两个可能原因是与使用涉及的缺乏反向域名服务器(DNS)条目(参考的差或FTP/HTTP性能不稳定通过PIX)或问题IDENT协议,在本文被讨论。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Ident 协议

Telnet、POP邮件, FTP和HTTP服务器有时用于IDENT协议识别流入的用户。

当用户请求服务,服务器设法启动IDENT连接上一步往在防火墙后的客户端识别首次连接进程的用户名。PIX拦截此IDENT连接和静静地丢弃它。所以,服务器从未收到其期望的响应,并且也许不允许用户连接。

因为能允许局外人获取您的安全网络,机要知识多数用户思考IDENT协议安全侵害。

症状

这些症状能表明IDENT协议引起问题:

故障排除

完成这些步骤排除故障。

  1. 设置您的记录日志为调试级别用logging trap debugging命令(PIX软件版本4.2及以上版本)。

  2. 如果配置Syslog的一台主机,请使用logging host [in_if_name] ip_address命令发送系统日志输出到该主机。

  3. 通过系统日志输出读。寻找目的地端口到其中一台内部的" deny TCP inbound "消息(受影响的)机器是113,是IDENT。TCP日志的示例下面显示。

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. 如果看不到其中任一“拒绝”消息如描述,请尝试此步骤。从防火墙的外面,看到使用的nslookup是否能解析在您的全局池的地址。如果不能,您的主机IP地址在DNS也许不注册。通过PIX参考差或FTP/HTTP性能不稳定欲知更多信息。

解决问题

警告 警告: 可以认为安全风险是否允许端口113流量。在您执行已有命令或添加静态/conduit或者静态/访问列表对前,请参见您的站点安全策略。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 6370