Cisco PIX Device Manager インストレーション ガイド
ヒントとトラブルシューティング
ヒントとトラブルシューティング
発行日;2012/01/11 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ヒントとトラブルシューティング

PIX Firewall への接続の確認

PDM の使用に関するヒント

トラブルシューティング

ヒントとトラブルシューティング

この章では、PDM の使用に関するヒント、および PDM の基本的なトラブルシューティングの症状および解決方法について説明します。 Technical Assistance Center(「このマニュアルについて」を参照)に連絡する前に、この情報を参照してください。

ここでは、次の項目について説明します。

「PIX Firewall への接続の確認」

「PDM の使用に関するヒント」

「トラブルシューティング」

PIX Firewall への接続の確認

PIX Firewall と通信するには、コンピュータが IP アドレスを持っている必要があります。また、コンピュータが別の LAN 上にある場合は、コンピュータに PIX Firewall へのルートが設定されていることも必要です。

デフォルト ゲートウェイ IP アドレスの設定については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

PDM を介して PIX Firewall にアクセスできない場合は、次の手順に従います。


ステップ 1 コンソール コマンド プロンプトに show ip interface inside を入力して、ブラウザに入力した IP アドレスが、PIX Firewall の内部インターフェイスに割り当てた IP アドレスと同じかどうか確認します。これらの IP アドレスは、接続を確立するために同じである必要があります。

ステップ 2 コンソール ワークステーションのネットワーク設定を調べ、コンソール ワークステーションが PIX Firewall にどのように接続されているか確認します。

ステップ 3 ネットワーク ケーブルが接続されていることを確認します。

ワークステーションを直接 PIX Firewall 装置のイーサネット インターフェイスに接続している場合でも、クロス ケーブルを使用したり、ハブまたはスイッチを PIX Firewall とコンピュータの間に追加します。

ステップ 4 システムが動作していないことを LED が示す場合は、PIX Firewall 装置のインターフェイスの IP アドレスを ping します。たとえば、内部インターフェイスの IP アドレスが 10.1.1.1 の場合、次のコマンドを入力して PIX Firewall を ping します。

ping 10.1.1.1
 

ping が失敗した場合は、電源またはネットワーク接続に問題があります。


) コンソール オペレーティング システムが traceroute、tracert、または類似のコマンドをサポートしている場合は、それらのコマンドをコンピュータと PIX Firewall の間におけるルーティングのトラブルシューティングに使用します。


ステップ 5 次のコマンドを入力して、ブラウザから PDM に接続できます。

https://pix_inside_interface_ip_address

) 「s」を「https」に追加します。追加しない場合は接続できません。HTTPS (HTTP over SSL)は、PDM を使用して構成または監視している PIX Firewall とブラウザとの間のセキュアな接続を実現します。


ステップ 6 ブラウザからまだ PDM にアクセスできない場合は、次の点を確認します。

a. PIX Firewall ソフトウェア バージョン 6.3 を実行している。ソフトウェアのバージョンを確認するには、show version コマンドを入力し、コマンド出力の最初の行を確認します。

b. PDM バージョン 3.0 をインストールしている。PIX Firewall 装置に PDM バージョン 3.0 がインストールされているかどうかを確認するには、show version コマンドを入力し、コマンド出力の 2 行目を確認します。

c. 使用可能な HTTP サーバがある。使用可能な HTTP サーバがあるかどうかを確認するには、show http コマンドを入力し、コマンド出力の最初の行を確認します。

d. PIX Firewall 装置が PC/ワークステーションの PDM へのアクセスを許可している。PIX Firewall 装置が PC/ワークステーションの PDM へのアクセスを許可しているかどうかを確認するには、show http コマンドを入力し、コマンド出力を確認します。

ステップ 7 ブラウザからまだ PDM にアクセスできない場合は、「このマニュアルについて」を参照してください。


 

PDM の使用に関するヒント

PDM を簡単に使用するために、次のヒントに従ってください。

PIX Firewall コンソールからコンフィギュレーションのサイズを見ることができます。
PIX Firewall 装置にコンピュータを接続している場合、および Telnet でコンソールにアクセスしている場合のどちらの場合も、サイズを確認できます。

コンフィギュレーションのサイズは、イネーブル モードのパスワードを入力した後 show flashfs コマンドを使用すると、次のように表示されます。

pixdoc515(config)# show flashfs
flash file system: version:2 magic:0x12345679
file 0: origin: 0 length:1511480
file 1: origin: 2883584 length:1639
file 2: origin: 0 length:0
file 3: origin: 3014656 length:4311804
file 4: origin: 8257536 length:280
 

file 1」の行の、「length」パラメータの後に、コンフィギュレーションの文字数が表示されます。この例では、コンフィギュレーションは 1639 文字で構成されています。この数字を 1024 で除算し、キロバイト数を算出します。この例のコンフィギュレーションは、1,6 KB を少し超えています。

最初に PIX Firewall とともに PDM を使用する際、PDM は、PIX Firewall 構成に PDM 固有のコマンドを保存するための許可を求めてきます。これらのコマンドは、PDM のネットワーク トポロジ情報の更新に必要なものであり、PIX Firewall のネットワーク セキュリティ ポリシーには影響しません。プロンプトでこれらのコマンドを受け入れないこともできますが、ネットワーク トポロジ情報がなければ、PDM は PIX Firewall の監視しか実行できません。したがって、PDM では、これらのコマンドを受け入れないと、Monitoring タブへのアクセスが制限されます。

Microsoft Internet Explorer では、認証を受け取るプロンプトで Always trust content from Cisco Systems チェックボックスをオンにすると、次に PDM を実行したときに認証を自動的に受け取ります。

Netscape Communicator または Navigator の場合は、Remember this decision チェック ボックスをオンにすると PDM を実行したときに認証を自動的に受け取ります。

次に、ワークステーションでの PDM のパフォーマンスに影響する条件を示します。

複数の PDM セッションを 1 台のワークステーション上で実行できます。実行可能な PDM セッションの上限は、メモリや CPU 速度、ブラウザの種類などワークステーションのリソースによって変わります。

PDM アプレットのダウンロード所要時間は、ワークステーションと PIX Firewall 装置間の接続速度に大きく影響されます。最小 56 Kbps の接続速度が必要です。3.84 Mbps 以上の速度を推奨します。PDM アプレットが一度ワークステーションにロードされると、PDM の動作に接続速度はほとんど影響しなくなります。

ワークステーションのリソースが少ない場合は、PDM を起動する前にブラウザを閉じ、再度開きます。

PDM の警告については、『 Cisco PIX Device Manager Release Notes Version 3.0 』の「警告」の項を参照してください。

トラブルシューティング

PDM の警告については、『 Cisco PIX Device Manager Release Notes Version 3.0 』の「警告」の項を参照してください。

表 5-1 に、基本的な PDM トラブルシューティング シナリオを示します。

 

表 5-1 一般的なトラブルシューティングの症状、状況、および解決方法

症状
状況
解決方法

ブラウザでセキュリティ認証を再度受け取るように要求される。

ホスト名またはドメイン名が変更されました。

これは正常です。 セキュリティ証明書を再度受け入れます(PIX Firewall 装置のホスト名またはドメインを変更した場合、ブラウザは新しいセキュリティ認証の受領を要求します)。

ブラウザでパスワードの再入力を要求される。

PIX Firewall 装置のパスワードを変更した場合、ブラウザは認証のため、パスワードの再入力を要求する可能性があります。

Java プラグインを使用する場合、ブラウザはユーザ名とパスワードを 2 回要求します。

新規および変更したパスワードを入力します。

PIX Firewall に接続中、タイムスタンプが未来の日付だというメッセージが認証によって表示される。

ユーザが PIX Firewall に接続するたびに、証明書のタイムスタンプに関するメッセージがブラウザによって表示されます。

PIX Firewall の時計の設定をリセットするには、PDM で Configuration > System Properties > Administration > Clock 画面にアクセスします。 証明書のタイムスタンプを確認するには、PDM を使用して、IKE > Certificate > Enrollment で VPN 画面を見ます。 また、show ca certificate コマンドを使用して、証明書のタイムスタンプを確認することもできます。

ブラウザが PDM にアクセスできない。

PDM にアクセスしようとすると、Internet Explorer では「the page cannot be displayed」というメッセージが表示され、Netscape Communicator では「network connection was refused by the server」というメッセージが表示されます。

1. https:// pix_inside_interface_ip_address 」への接続に「http」ではなく「 https 」を使用していることを確認します。「http」を使用して接続を確立することはできません。「 https 」を使用する必要があります。

2. 接続できない場合は show version コマンドを入力して、DES または 3DES を使用するための適切なアクティベーション キーを持っているか確認します。持っていない場合は、続行する前に適切なアクティベーション キーを入手します。DES または 3DES の使用をサポートするアクティベーション キーがあることを確認した後、それでも接続できない場合は「PIX Firewall への接続の確認」を参照してください。

Grant をクリックすると PDM がクラッシュする。

Netscape バージョン 4.73 で PDM を使用している場合に認証データベースが破損すると、次のことを実行したときにブラウザがクラッシュすることがあります。

1. デジタル認証を使用するアプレットを実行する。

2. 認証を新しくする。

3. 更新された認証で新規アプレットを実行する。

4. PDM を起動する。

5. Grant をクリックして PDM を起動する。

これは、Windows、Sun Solaris、または Linux で発生し、Netscape Java Virtual Machine(JVM)で問題となります。

これを回避するには、Netscape ディレクトリから、破損した cert7.db ファイル(認証データベース ファイル)を見付けて削除します。Netscape を再度実行すると、新しい cert7.db ファイルが作成されます。

ただし、この操作により、信頼性があるとして以前に受け入れた証明書がすべて削除されます (これには、他のサイトから受け入れた証明書や手動で入力した証明書が含まれます)。

ヘルプ ファイルが破損しているように見える。

これは、Microsoft Internet Explorer 5.0 を使用している場合に HTTP 1.1 が使用可能になっていないと発生することがあります。

これは、PDM がオンライン ヘルプ ファイルを圧縮するためです。Internet Explorer では圧縮されたファイルを適切に処理するために HTTP 1.1 が使用可能になっている必要があります。

Internet Explorer で、 Tools > Internet Options > Advanced をクリックします。 HTTP 1.1 settings へスクロール ダウンします。
Use HTTP 1.1 チェックボックスをオンにします。 Apply をクリックします。ブラウザを閉じて再起動します。

プロキシ サーバを使用している場合は、 Use HTTP 1.1 through proxy connections チェックボックスをオンにします。

適切に表示されないグラフィックスまたはアイコンがある。

サポートされていない Java プラグインを使用して PDM を実行しています(PDM は、Java プラグイン 1.3.1、1.4.0、および 1.4.1 をサポートしています)。

サポートされている Java プラグインをインストールしている場合、それがデフォルトの Java Virtual Machine(JVM)であることを確認します。

次のことを実行して、Java プラグインがデフォルト JVM であることを確認します。

Internet Explorer では、 Tools > Internet Options をクリックします。 Advanced タブをクリックします。スクロール ダウンします。 Java (Sun) の項を検索します。 検出されたら、 Use Java 2 がオンであることを確認します。

Netscape では、 Edit > Preferences をクリックします。 Advanced をクリックします。 Enable Java Plugin チェックボックスがオンになっていることを確認します。

ユーザが PDM にアクセスできない。

PDM を使用している単一の PIX Firewall 装置に 6 人以上のユーザがアクセスしようとすると、許可されている同時セッションの最大数を超えてしまいます。現行バージョンでは、ユーザの最大数は 5 人です。

1. 6 人以上のユーザが PIX Firewall にアクセスする必要がある場合、1 人または複数のユーザが Telnet 経由で PIX Firewall コンソールを使用できます。

2. PDM 管理者のセッションが使用されていないことが分かっており、そのセッションを閉じる場合は、Monitoring タブの PDM Users パネルにアクセスします。

3. 接続されていないセッションの IP アドレスが分かる場合は、その行を選択し、Disconnect をクリックします。これで別の管理者が PDM にアクセスできます。

PDM の起動が遅い。

PDM が起動する速さは、コンピュータの RAM の空き容量およびウイルス スキャン ソフトウェアが実行されているかどうかに依存します。

1. 使用可能な RAM を増やすには、他のアプリケーションを閉じます。

2. PDM アプレットのダウンロード所要時間は、ワークステーションと PIX Firewall 装置間の接続速度に大きく影響されます。最小 56 Kbps の接続速度が必要です。3.84 Mbps 以上の速度を推奨します。PDM アプレットが一度ワークステーションにロードされると、PDM の動作に接続速度はほとんど影響しなくなります。

3. 第 1 章の「PC/ワークステーションの要件」の「ロード時間の短縮」を参照します。

PDM のパフォーマンスが低い。

Java プラグインを使用しており、ホスト名ではなく IP アドレスを使用して PIX Firewall にアクセスする場合は、PDM のパフォーマンスが大幅に低下します。これは、PIX Firewall のホスト名が DNS 内にもローカルの hosts ファイル内にも存在しない場合に起こります。

PIX Firewall のホスト名が DNS 内にあるかどうか確認します。 Windows を実行しており、ネットワーク内に DNS がない場合、または DNS に PIX Firewall エントリがない場合は、「hosts」ファイルを変更します。

Windows NT、2000、および XP の場合、hosts ファイルは C:\WINNT\system32\drivers\etc\hosts にあります。

Windows 98 および ME の場合、hosts ファイルは C:\Windows\hosts にあります。

hosts ファイル内の各行は、「<ip> <hostname>」という形式です。次に例を示します。

192.168.1.1 pixfirewall.example.com

PDM のMonitoring タブにしかアクセスできない。

ある PIX Firewall CLI コマンドおよびコマンドの組み合せを使用すると、PDM へのアクセスが制限され、Monitoringタブにしかアクセスできなくなります。

これらのコマンドおよびコマンドの組み合せの詳細については、『 Cisco PIX Device Manager Release Notes Version 3.0 』を参照してください。