安全 : Cisco PIX 500 系列安全设备

PIX Device Manager 故障排除

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文解释您能使用为了解决与PIX设备管理器(PDM)软件的问题的步骤。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本。然而,内容是有效至新版本代码(6.3.3在文档创建时)。

  • Cisco PIX 防火墙软件版本 6.1(1)

  • PDM版本1.1(2)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

解决PDM访问问题

验证PDM软件安装

您必须符合这两要求为了访问PDM。

  • 数据加密标准(DES)或三重数据加密标准(3DES)激活密钥在您的PIX启用。

  • PDM的一个独立的软件镜像在PIX闪存装载。

输入show version命令从PIX line命令验证您符合这些要求。PIX防火墙版本一定6.0或以后。此信息出现。

pixfirewall#show version
Cisco Secure PIX Firewall Version 6.1(1)
PIX Device Manager Version 1.1(2)   
<snip>
Licensed Features:
Failover:   Enabled
VPN-DES:    Enabled
VPN-3DES:   Disabled

如果未命中指示您的PIX或PDM版本的线路,并且,如果DES和3DES禁用,不能访问PDM软件。如果没有一DES密钥,您能从Cisco下载获得PIX 56-bit许可证升级密钥(仅限注册用户)。如果没有一DES密钥,并且不是注册用户,您能得到免费密码,当您发送电子邮件对licensing@cisco.com用PIX的序列号时,当在show version命令看起来在PIX。

如果需要安装密钥,您必须重新加载PIX软件。这是唯一方法您能安装DES/3DES密钥。参考升级从升级Cisco Secure PIX防火墙的软件启动帮助或监控模式部分的PIX防火墙PIX软件重新加载的一个逐步程序的。

安装PDM软件

如果已经不安排PDM软件安装,请装载它与copy tftp flash :pdm命令。请勿使用copy tftp flash命令

其次,依照PIX防火墙上安装PDM的程序,在PIX防火墙上安装和运行PDM软件。

设置PDM软件

在您安装PDM软件并且安排DES/3DES启用后,从PIX line命令请运行设置为了设置PDM运行在PIX和启用您希望对允许对PDM的特定主机或网络。保证年正确,当您通过设置问题时,或者生成的证书无效。用于设置的域名可以是您的域或所有任意地选择的字符串名称以您使用密钥生成的<text.text>的形式;名字解析不需要工作。并且,请按ENTERIN命令选择默认值。

安装过程的示例显示此处。

pixfirewall(config)#setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]:
Clock (UTC):
  Year [2001]:
  Month [Dec]:
  Day [7]:
  Time [17:43:35]:
Inside IP address [127.0.0.1]: 172.16.1.2
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [pixfirewall]:
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

The following configuration will be used:
Enable password: <current password>
Clock (UTC): 17:43:35 Dec 7 2001
Inside IP address: 172.16.1.2
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: e6dd475b 322e8674 1dc237c3 543afdef
[OK]
pixfirewall(config)#

访问PDM软件

键入在您的浏览器的https:// <pix_interface_ip_address>访问PDM软件。此语法示例是https://172.16.1.2

当用户名/密码方框出现时,并且,如果AAA认证不打开,然后PIX远程登录密码在密码框需要进来。如果AAA认证打开(例如对PIX的一Telnet和PIX请求用户名/密码而不是密码),则PIX用户名在用户名方框和密码需要进来在密码框。

如果pix命令授权打开(在PIX版本6.2或以上),并且某些用户不能执行所有命令(例如write terminalwrite memory或者configure terminal),则那些用户在PDM类似被限制(对监控仅PIX,或者执行命令的一子集)。在PIX 6.2中或以后,您能确定用户是否有最强大的权限(15),当您执行一Telnet到PIX作为该用户并且发出show curpriv命令在特权模式时。

故障排除

如果继续遇到与PDM的问题,请尝试其中一些建议。

  • 检查PDM适当地安装。

    show version
    .
    Cisco PIX Firewall Version 6.1(1)
    Cisco PIX Device Manager Version 1.0(2)
    .
  • 检查DES激活密钥启用。

    show version
    .
    VPN-DES: Enabled
    .
  • 检查代理在浏览器没有启用。

  • 发出show clock命令验证软件设置正确年。使用此命令,如果需要,修改年。

    clock set <hh:mm:ss> <month> <day> <year> 
    
  • 在正常操作下,当PIX设置在正确时间,连接PDM会导致证书生成,使用show ca mypubkey rsa命令,可以查看证书生成。如果出现原始连接的时钟是否正确设置的问题时,请按以前的步骤重新设置时钟。发出ca zeroize rsa命令为了删除现有的证书,然后重新连接与PDM导致关键重新生成。

  • 验证您能连接使用https://

  • 在您下载PDM软件到PIX前,请确保PDM软件的FTP是二进制转换通过键入在FTP发送line命令的bin。如果转移在ASCII或,如果PDM文件是否则损坏的,您能接收" PDM is not installed "消息。

  • 验证您使用的浏览器有适当的Java版本。

    • 对于微软Internet Explorer, windows系统的,请选择Start > Run并且键入wjview为了确定版本(或键入wjview在DOS提示符)。输出示例:在此输出中显示。

      Microsoft (R) VM for Java, 5.0 Release 5.0.0.3802

      最后四个位需要是3167或更加极大为了与PDM一起使用。

      您能也验证在您的PC安装的JAVA版本通过控制面板> Java >。如果您的PC没有需要的Java软件,您能从Sun网站下载它leavingcisco.com在您安装需要的Java版本后,请结束所有浏览器窗口(或重新启动),在您尝试访问PDM前。

    • 对于Netscape,如果安装, 4.5.x或4.7.x,您需要禁用Java插件选项。为了禁用plug-in,选择Edit > Preferences > Advanced和设置Enable (event) Java插件选项禁用。如果看不到复选框,默认情况下则没有使用Java插件。

  • 验证您运行您使用PDM的版本的一个支持的浏览器。除什么之外的浏览器或Java版本测试也许不工作。

  • 如果一些站点能连接到管理的PIX,并且其他不能,确保,您有管理PIX每个单元的IP地址的一个条目。

    http <ip_address> [netmask] [if_name]
    http server enable
    
  • 如果看到说“的消息PIX有未知版本号”,然后这通常是结果在本文列出的其中一个条件不满足,例如:

    • PDM版本不与PIX版本一致(请检查PDM文档前提条件)。

    • 不支持浏览器版本(请检查PDM文档前提条件)。

    • Java版本不正确或Java插件启用。

如果所有发生故障,请与思科技术支持联系。请准备提供输出一show tech命令从PIX、调试ssl从PIX, Java控制台输出从您的浏览器和信息关于您的浏览器版本帮助解决问题。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 7104