Tecnología inalámbrica : Dispositivos de seguridad Cisco PIX de la serie 500

Preguntas frecuentes sobre Secure PIX Firewall de Cisco

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (21 Enero 2009) | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento contiene Preguntas frecuentes (FAQ) sobre el firewall PIX de Cisco Secure.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Hardware

Q. Quiero instalar una nueva tarjeta de interfaz en mi Cisco Secure PIX Firewall. ¿Cuál ranuro debo instalarlo adentro?

A. Cada modelo de PIX es diferente. Vaya a la documentación sobre PIX y seleccione su versión de software. De esa página, la guía de instalación selecta, y entonces selecciona instalar a una placa de circuitos para los diagramas detallados y las instrucciones.

Q. Estoy intentando instalar una nueva tarjeta de interfaz en mi Cisco Secure PIX Firewall. Aparentemente, la tarjeta es demasiado grande para todas las ranuras. ¿Tengo la parte incorrecta?

A. Es normal que algunos de los dientes de oro en el indicador luminoso LED amarillo de la placa muestra gravedad menor extiendan más allá del borde del socket.

Q. Mi Cisco Secure PIX Firewall enviado con dos placas Ethernet. Estoy agregando las interfaces adicionales y ahora no inicia al comando prompt.

A. La cantidad de interfaces compatibles depende del modelo PIX, de la versión de software y de la licencia. Refiera a la documentación sobre PIX para descubrir sobre las interfaces físicas máximas, y a las interfaces VLAN máximas que se pueden configurar en PIX 6.3 (la última versión a partir de la escritura de este documento).

Q. Necesito establecer una conexión de consola con mi Cisco Secure PIX Firewall. ¿Qué tipo de cable debo usar?

A. Use un cable módem nulo de DB9 a DB9, disponible en la mayoría de los negocios de informática. A veces, el firewall PIX de Cisco Secure se entrega con dos adaptadores DB9 a RJ-45. Si usted tiene estos adaptadores, conecte uno con el Cisco Secure PIX Firewall, y el otro con el puerto serial de su PC. Para realizar la conexión entre dos adaptadores RJ-45, utilice un cable transpuesto de consola (no un cable de cruce). Fije sus configuraciones de HyperTerminal al N81, sin control de flujo, 9600 baudios. Si usted todavía tiene problema, marque su configuración del puerto COM PC y verifiquela se pone y trabaja correctamente. Si usted se siente confiado todo lo demás se pone correctamente, la prueba en un router o un Switch y ve si usted consigue un prompt allí. Refiera a la documentación sobre PIX para su versión de software PIX para más información. De esa página, la guía de instalación selecta, y entonces selecciona las Instalaciones del cable de interfaz para los diagramas detallados y las instrucciones.

Q. ¿Dónde está la unidad de disquete en el modelo PIX 520?

A. Está situada detrás de una pequeña placa de metal en el frente en la esquina superior izquierda. Quite los dos tornillos ajustados a mano para obtener acceso. Refiera a instalar un PIX 520 o un modelo anterior para más direcciones.

Q. Mi Cisco Secure PIX Firewall está conectado directamente con un router, pero las luces de link no se adelantan y ninguno de los dos dispositivos puede hacer ping el otro. ¿Cuál es el problema?

A. Aseegurese que usted utiliza un buen cable cruzado para conectar el PIX directamente con un router. Si usted conecta el PIX con un hub o switch, utilice un cable Ethernet directo recto.

Q. ¿Cómo puedo decir la diferencia de velocidad del procesador en las placas Gigabit Ethernet en el PIX? ¿Por ejemplo, cómo puedo decir la diferencia entre el PIX-1GE-66 y los indicadores luminosos LED amarillo de la placa muestra gravedad menor del PIX-1GE?

A. Interfaz y mirada de la demostración del tipo en esta línea:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

El i82542 representa 33 MHz y el i82543 representa 66 MHz.

Q. ¿Si compro las placas de red de una fuente con excepción de Cisco y las utilizo en el PIX, se soportan?

A. No.

Q. Al iniciar, el PIX informa acerca de los Pedidos de interrupción (IRQ) de la Tarjeta de interfaz de red (NIC), algunos de los cuales se usan dos veces (duplicados). ¿Esto causa un problema?

A. Estos mensajes son normales y pueden ignorarse:

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Q. ¿Cuando el PIX con las tarjetas de interfaz de la red Ethernet en gigabit (NIC) inicia, el PIX señala que el NIC Interrumpe pedido (los IRQ) como siendo el “irq el 255." hace esta causa un problema?

A. Este mensaje es normal y puede ser ignorado:

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Q. ¿Cuales son las configuraciones de hardware predeterminadas para PIX?

Plataforma 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM (MB) 8 32 32/64 32/64 128 128/256 512/1024

Q. ¿Puedo actualizar el bíos PIX?

A. No.

Software - Instalación y actualizaciones

Q. Cuando intento a TFTP pixNNN.exe a mi PIX, recibo los errores que estado el “número mágico incorrecto.” ¿Qué estoy haciendo mal?

A. Usted necesita cargar el archivo del .bin, no el archivo del .exe. El archivo del .exe es un self-extracting archive que contiene el archivo del .bin (entre otras cosas).

Nota: El archivo del .bin se utiliza solamente para las versiones de software PIX 5.0.x y anterior. Copie el archivo del .exe a un directorio temporal en su unidad de disco duro PC y funcione con el programa para extraer los archivos. Luego copie el archivo pixNNN.bin a su servidor TFTP.

Q. Cuando intento actualizar mi software desde un disquete, el escudo de protección PIX de Cisco Secure continúa realizando en un loop cada vez que intenta leer el disquete. ¿Cuál es el problema?

A. Aseegurese el disco se formata (utilice el formato de comando de DOS A:), después utilizan correctamente el rawrite para poner la imagen en el disco floppy. Si el proceso falla, intente la operación de un diverso PC.

Nota: La actualización desde un disquete es válida sólo para las versiones 5.0.x y anteriores del software PIX.

Q. Estoy instalando un nuevo Cisco Secure PIX Firewall que aparece ser configurado correctamente. Mi LAN era conectado directamente con mi router de Internet. Ahora con el PIX en el lugar, mis usuarios en el LAN no pueden salir. ¿Cuál es el problema?

A. Existen algunas pocas posibilidades diferentes.

Q. Agregué recientemente a un router interno para conectar una segunda red interna con mi Cisco Secure PIX Firewall. Los usuarios entre el firewall PIX de Cisco Secure y el router interno puede acceder a Internet exitosamente pero no pueden comunicarse con esta nueva red interna. Los usuarios de la nueva red no pueden penetrar al router interno. ¿Cuál es el problema?

A. Usted debe ingresar una Specific Route Inside Statement en el PIX para la esta nueva red a través del nuevo router. Usted puede también ingresar una Specific Route Inside Statement para la red principal a través de este router, que permite el crecimiento futuro.

Por ejemplo, si su red existente es 192.168.1.0/24 y su nueva red es 192.168.2.0/24, el acceso de Ethernet de su router interno es 192.168.1.2. La Configuración del router del PIX aparece similar a esto:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

o (la red principal):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Las estaciones de trabajo entre el Cisco Secure PIX Firewall y el router deben tener su punta del gateway al router, no el PIX. Aunque están conectadas directamente, tienen problemas que acceden la nueva red interna si su gateway no señala al router. El router debe tener un default gateway que dirija todo el tráfico desconocido a la interfaz interior del Cisco Secure PIX Firewall. La instalación de una ruta para esta nueva red en el PIX no trabaja tampoco. PIX no enruta o redirige fuera de la interfaz que recibió el paquete. A diferencia de un router, el PIX no puede los paquetes de Routes detrás a través de la misma interfaz donde el paquete fue recibido inicialmente. También, aseegurese su sentencia NAT incluye la nueva red o la red principal que usted está agregando.

Q. ¿Cómo determino cuánta memoria flash tiene mi PIX?

A. Si usted realiza un comando show version en su PIX, y el tamaño de Flash no se da en el MB, después utilice esta tabla para ver cuánto Flash tiene su PIX.

i28F020 512 KB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - 16 MB del PIX 506 - el resto del PIXes
estratos 16 MB

Por ejemplo, si su salida del comando show version parece esto:

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

La cantidad de memoria Flash es 16 MB.

Q. ¿Cuándo necesito utilizar una nueva clave de activación para el PIX?

A. Usted necesita una nueva clave de activación cuando usted actualiza un PIX de un conjunto del software restringido a un conjunto que soporte las características adicionales, tales como más conexiones, Conmutación por falla, IPSec, o interfaces adicionales. También, una nueva clave de activación es a veces necesaria después de una actualización de Flash en un PIX.

Para pedir una clave de activación non-56-bit, envíe un correo electrónico a licensing@cisco.com y proporcione esta información:

  • El número de serie de PIX (o, si usted está haciendo una actualización de Flash, el número de serie en la placa Flash)

  • El resultado de un comando show version publicado en el PIX

  • Su versión de software PIX actual

  • Tipo de licencia requerido (DES, 3DES, restringidos a sin restricción).

  • El número del derecho, número del Número de orden de compra, de pedido, o número del PAK

  • Su nombre de la compañía y direccionamiento completos

Vaya a la página de la clave de actualización de licencia PIX 56-bit (clientes registrados solamente) a pedir una clave de activación 56-bit.

Vaya a la página del registro de la licencia de Cisco ASA 3DES/AES (clientes registrados solamente) a pedir una clave de activación AES/3DES.

Nota: Una clave de activación 56-bit se requiere para el cifrado usando el IPSec.

Q. ¿Puede el PIX pasar tráfico IPX o AppleTalk?

A. No, el PIX es un Firewall IP solamente.

Q. ¿Hace el direccionamiento secundario en interfaz del soporte de PIX?

A. A diferencia del ½ del ¿Â de Cisco IOSïÂ, el PIX no soporta el direccionamiento secundario en interfaz.

Q. ¿Hace el 802.1Q del soporte de PIX en sus interfaces?

A. Sí, en PIX 6.3 se agrega una nueva función, donde el PIX puede crear las interfaces lógicas. Cada interfaz lógica corresponde a un VLA N en el Switch. Refiérase con los VLA N con el Firewall para más información.

Q. ¿Hace el soporte de PIX SSH?

A. Sí, consulte SSH - Interno o Externo donde encontrará un procedimiento paso a paso para configurar SSH. PIX utiliza SSH version 1.

Software - Falla

Q. Hago dos Firewall del Secure PIX de Cisco configurar en una topología de fallas. El Cisco Secure PIX Firewall continúa fallando encima, hacia adelante y hacia atrás a lo largo del día. ¿Por qué ocurre esto?

A. Para que la Conmutación por falla trabaje correctamente, debe ser configurada correctamente. Antes de la versión 5.1, todas las interfaces se deben configurar con una dirección IP que sea única en cada subred correspondiente, y todas las interfaces deben ser conectadas físicamente. Esto incluye las interfaces que usted no utiliza actualmente. Con las versiones 5.1 y posteriores, se puede cerrar una interfaz que está en desuso. Sin embargo, usted necesita apagar el mismo Número de interfaz en ambo PIXes. Antes de la versión 5.1, la Conmutación por falla manda un paquete de saludo cada interfaz, incluso si son apagan. Espera recibir una contestación detrás. Si no recibe ninguna contestación después de que varias tentativas, Conmutación por falla activen. También marque si el PIX principal puede hacer ping las interfaces de la Conmutación por falla, si no, marque si las interfaces están para arriba. También, si están conectadas vía un Switch, marque las interfaces del switch.

Q. ¿Cuánto tiempo es la falla PIX cable y puedo utilizar un cable más largo?

A. El cable serial que entrega Cisco es de seis pies de largo. La distribución de clavijas está en la documentación del Firewall PIX de Cisco para su versión de software PIX. Los cables más largos no se han probado. El uso de un cable más largo no está sin apoyo. En PIX 6.2 hay una nueva función llamada la “falla de LAN” que permite el uso de una interfaz dedicada en el PIX como el cable con fallas. Refiera a la documentación de la versión 6.2 del firewall PIX para más información.

Q. ¿Se puede una interfaz VLAN utilizar en la Conmutación por falla?

A. El VLA N físico y lógico es soportado por la Conmutación por falla. La restricción es que los comandos failover lan interface y failover link no pueden utilizar una interfaz VLAN lógica.

Q. ¿La característica del servidor DHCP se soporta con la Conmutación por falla?

A. No, el servidor DHCP no se soporta con la Conmutación por falla, ni es un PIX configurado para obtener una dirección IP vía el DHCP (puesto que usted necesita el comando failover interface-name ip address para que la Conmutación por falla sea configurada).

Q. Hago dos Firewall del Secure PIX de Cisco configurar en una topología de fallas. Uno tiene una licencia sin restricción y el otro tiene una licencia de la Conmutación por falla. ¿Qué sucede si ambos Firewall PIX pierden el poder y solamente la unidad de transmisión por falla inicia la salvaguardia?

A. El firewall PIX con la licencia de la Conmutación por falla se piensa para ser utilizado solamente para la Conmutación por falla y no en el modo autónomo. Cuando ambos Firewall PIX pierden el poder y solamente la unidad de transmisión por falla inicia la salvaguardia, es como si la unidad de transmisión por falla se utilice en el modo autónomo. Si una unidad de transmisión por falla se utiliza en el modo autónomo, la unidad reinicia por lo menos una vez que cada 24 horas hasta que la unidad se vuelva al deber de la Conmutación por falla, cuando detecta la presencia del Firewall del PIX principal.

Preguntas de software adicionales

Q. ¿El PIX adelante IGMP trafica?

A. La versión 6.2 del Software PIX Firewall le permite para configurar estáticamente las rutas de Multicast o para utilizar a una dirección del ayudante del Internet Group Management Protocol (IGMP) para remitir los informes IGMP y para salir de los avisos.

Esta lista resume el soporte multidifusión en esta versión.

  • Los filtros de la lista de acceso se pueden aplicar al tráfico Multicast a los protocolos específicos y a los puertos del permit or deny.

  • El Network Address Translation (NAT) y el Port Address Translation (PAT) se pueden realizar en las direcciones de origen del paquete de multidifusión solamente.

  • Los paquetes de datos de multidifusión con las direcciones destino en el intervalo de direcciones 224.0.0.0/24 no se remiten. Sin embargo, todo lo demás en el intervalo de direcciones 224.0.0.0/8 se remite.

  • Los paquetes IGMP para los grupos de dirección dentro de 224.0.0.0 a través del rango de 224.0.0.255 no se remiten porque estos direccionamientos son reservados para el uso del protocolo.

  • El NAT no se realiza en los paquetes IGMP. Cuando se configura el reenvío IGMP, el PIX adelante los paquetes IGMP (informe y licencia) con la dirección IP de la interfaz del ayudante como la dirección IP de origen.

Q. ¿El PIX tiene una característica de Troubleshooting que pueda asir la traza del paquete para considerar los contenidos de paquetes detalladamente?

A. La captura de paquetes de los soportes de la versión 6.2 del Software PIX Firewall a oler o “considera” cualquier tráfico validado o bloqueado por el PIX. Una vez que se captura la información del paquete, usted puede visualizar esa información en la consola, transferirla a un archivo a través de la red por medio de un servidor TFTP o acceder a ella por medio de un navegador Web con Secure HTTP. Observe que el PIX no captura el tráfico sin relación a sí mismo en el mismo segmento de red. Además, esta característica de la captura de paquetes no incluye el sistema de archivos, la resolución de nombre DNS, o el soporte del modo promiscuo.

Q. ¿Hace el soporte de PIX OSPF?

A. La implementación del firewall PIX en el código de la versión 6.3 soporta el intra-area, el inter-area, y las rutas externo. Esta versión también soporta la distribución de las Static rutas a los procesos y a la redistribución de ruta del Open Shortest Path First (OSPF) entre los procesos OSPF.

Q. ¿Hace el soporte de PIX PPPoE?

A. La versión 6.2 del Software PIX Firewall soporta el Point-to-Point Protocol over Ethernet (PPPoE). El soporte para L2TP/PPTP/PPPoE se ha quitado de la versión 7.0 y posterior del Software PIX Firewall. (El PPPoE proporciona un método estándar para usar la autenticación PPP sobre una red Ethernet y es utilizado por muchos Proveedores de servicios de Internet (ISP) para conceder el acceso de las máquinas del cliente a sus redes, comúnmente con el DSL.) el PPPoE se soporta en las interfaces exteriores del dispositivo de seguridad de la serie del Cisco PIX 500.

Q. ¿El SFTP se soporta con el PIX?

A. No. En una conexión FTP típica, el cliente o el servidor debe comunicarle al otro qué puerto utilizará para la transferencia de datos. El PIX puede examinar esta conversación y abrir ese puerto. Sin embargo, con el SFTP se cifra esta conversación y el PIX no puede determinar qué puertos falla abrirse y la conexión SFTP en última instancia.

Una solución alternativa posible en esta situación es utilizar a un cliente SFTP que soporte el uso de un “canal de datos claro.” Con esta opción habilitada, el PIX puede determinar qué puerto necesita ser abierto.

Q. ¿Hay una manera de filtrar los paquetes de correo electrónico en el Cisco Secure PIX Firewall? ¿Por ejemplo, puedo tener el filtro del Cisco Secure PIX Firewall “yo luv usted” virus?

A. El Cisco Secure PIX Firewall no realiza el filtrado de contenido en la capa de la aplicación. Es decir no examina la porción de datos del paquete TCP. Por lo tanto, no puede filtrar contenido de correo electrónico. La mayoría de los servidores del correo de los modernos pueden filtrar en la capa de la aplicación.

Q. Cuando intento utilizar el Network Address Translation (NAT) en mi Cisco Secure PIX Firewall usando las declaraciones NAT/GLOBAL, tengo problemas con los usuarios externos que no pueden acceder los host internos constantemente. ¿Cuál es el problema?

A. El NAT dinámico usando los comandos nat and global crea un estado de la conexión temporaria/de la traducción que se construya SIEMPRE de una interfaz de mayor nivel de seguridad a una interfaz de menor nivel de seguridad (dentro al exterior). Los conductos en estas traducciones dinámicamente construidas se aplican solamente cuando construyen al estado de la conexión. Cualquier host interior que las necesidades externas de iniciar una conexión en sin el host interior primero que establece una conexión hacia fuera, se deban traducir usando el comando static. Estáticamente traduciendo el host, asocian a este estado de la conexión permanentemente y todos los conductos aplicados a esta traducción estática siguen siendo abiertos siempre. Con esto en su lugar, las conexiones IP pueden iniciarse desde Internet sin fallas. Con el software PIX versión 5.0.x y posterior, puede usar las listas de acceso en lugar de los conductos.

Q. Tengo mi servidor Web en el interior traducido estáticamente al exterior. Los usuarios externos no pueden entrar. ¿Qué causa esto?

A. La correlación estática hace la traducción/la conexión posibles. Pero por abandono, el Cisco Secure PIX Firewall niega TODOS LOS intentos de conexión entrante a menos que esté permitido explícitamente. Se concede este “permiso” cuando usted aplica un conducto a la traducción estática. Las sentencias de conducto dicen el Cisco Secure PIX Firewall que en Internet usted quiere para permitir donde y en qué protocolo y puerto. Con el software PIX versión 5.0.x y posterior, puede usar las listas de acceso en lugar de los conductos.

Q. Tengo un servidor Web en la interfaz interior del Cisco Secure PIX Firewall. Se asocia a una dirección pública externa. Quisiera que mis usuarios interiores pudieran acceder este servidor de su nombre DNS o dirección externa. ¿Cómo puede esto ser hecha?

A. Las reglas del TCP no le permiten hacer esto, pero hay buenas soluciones alternativas. Por ejemplo, imagínese que el IP Address real de su servidor Web es 10.10.10.10 y la dirección pública es 99.99.99.99. El DNS resuelve 99.99.99.99 a www.mydomain.com. Si su host interior (por ejemplo, 10.10.10.25) intenta ir a www.mydomain.com, el navegador resuelve eso a 99.99.99.99. Luego el explorador envía ese paquete al PIX, el cual a su vez lo envía al router de Internet. El router de Internet tiene ya directamente una subred conectada de 99.99.99.x. Por lo tanto asume que el paquete no está pensado para él sino que por el contrario directamente un host conectado y cae este paquete. Para conseguir alrededor de este problema su host interior o debe resolver www.mydomain.com a su direccionamiento real de 10.10.10.10 o usted debe tomar el segmento exterior de la red 99.99.99.x así que el router puede ser configurado para rutear este paquete de nuevo al PIX.

Si su DNS reside fuera del PIX (o a través de uno de sus DMZ) usted puede utilizar el comando alias en el Cisco Secure PIX Firewall de reparar el paquete DNS para hacer que resuelve al direccionamiento de 10.10.10.10. Aseegurese le reiniciar sus PC para vaciar el caché DNS después de que usted realice este cambio. (Haga la prueba al hacer ping en www.mydomain.com antes y después de aplicar el comando alias para asegurarse de que la resolución cambie de la dirección 99.99.99.99 a la 10.10.10.10).

Si usted tiene su propio servidor DNS dentro de su red, ésta no trabaja porque de la búsqueda de DNS los transverses nunca el PIX, tan allí no son nada reparar. En este caso, configurele DNS local por consiguiente o utilice archivos los “de los host locales en sus PC para resolver este nombre. La otra opción es mejor porque es más confiable. Tome la subred 99.99.99.x del PIX y del router. Elija un esquema de numeraciónleavingcisco.com del RFC 1918 que no es utilizado internamente (o en cualquier interfaz PIX del perímetro). Luego, coloque un enunciado de ruta de regreso al PIX para esta red y recuerde cambiar su ruta PIX predeterminada hacia afuera por la nueva dirección IP del router. El router externo recibe este paquete y lo rutea de nuevo al PIX basado en su tabla de ruteo. El router ignorará no más este paquete, porque no tiene ninguna interfaz configurada en esa red.

El PIX 6.2 introduce una nueva función llamada Bidirectional NAT, que ofrece las funciones del comando alias y más.

Refiera a entender el comando alias para el Cisco Secure PIX Firewall para más información sobre el comando alias.

Refiérase con el NAT exterior en la referencia de comandos de PIX para más información sobre la función NAT bidireccional.

Nota: Si usted funciona con la versión de software 7.x del PIX/ASA se recomienda para no utilizar el comando alias. El NAT exterior con el Switch DNS se recomienda en lugar de otro. Refiera a la sección del examen DNS de aplicar el examen del Application Layer Protocol.

Q. ¿El Cisco Secure PIX Firewall soporta la correlación de puertos?

A. El cambio de dirección del puerto de entrada de los soportes de PIX con la versión de software PIX 6.0. Versiones de software PIX anteriores no soportan la correlación de puertos.

Q. ¿Puedo asociar un solo, dirección interna a más de una dirección externa?

A. El Secure PIX Firewall de Cisco sólo permite una traducción individual para un host local (interno). Si usted tiene más de dos interfaces en el Cisco Secure PIX Firewall, usted puede traducir a una dirección local a diversos direccionamientos en cada interfaz respectiva pero solamente una traducción por la interfaz se permite para cada direccionamiento. Asimismo, usted no puede hacer una correlación estática de una sola dirección externa a las direcciones locales múltiples.

Q. ¿Puedo conectar dos diversos ISP con mi Cisco Secure PIX Firewall (para el balanceo de carga)?

A. No, usted no puede balance de la carga en el PIX. El Secure PIX Firewall de Cisco está diseñado para administrar una sola ruta predeterminada. Cuando usted conecta dos ISP con un solo PIX, significa que el Firewall necesita tomar las decisiones de ruteo en un nivel mucho más inteligente. En lugar, utilice a un router de gateway fuera del PIX de modo que el PIX continúe enviando todo su tráfico a un router. Ese router puede realizar un equilibrio de ruta/carga entre los dos ISP. Una alternativa es tener dos Routers fuera del PIX usando el Hot Standby Router Protocol (HSRP) y fijado el default gateway del PIX para ser la dirección HSRP virtual. Alternativamente, (si es posible) usted puede utilizar el Open Shortest Path First (OSPF) que soporta el Equilibrio de carga entre un máximo de tres pares en una sola interfaz.

Q. ¿Cuántos PAT Address puedo tener en mi Cisco Secure PIX Firewall?

A. En el software PIX versión 5.2 y posterior, usted puede tener las direcciones de PAT múltiples por la interfaz. Softwares PIX versión anteriores no apoyan a las direcciones de PAT múltiples por la interfaz.

Q. ¿Hay una manera de decir el Cisco Secure PIX Firewall conceder más ancho de banda a los ciertos usuarios?

A. No.

Q. Necesito permitir mi acceso de usuarios a las carpetas compartidas en mi dominio de NT de los lugares remotos. ¿Cómo hago esto?

A. El protocolo NetBIOS de Microsoft permite el archivo y el USO compartido de impresora. Habilitar el NetBios a través de Internet no cumple los requerimientos de seguridad de la mayoría de las redes. Además, el NetBios es difícil de configurar usando el NAT. Si bien Microsoft lo hace más seguro a través del uso de tecnología de encripción que trabajan perfectamente con el PIX, es posible abrir los puertos necesarios.

En resumen, usted necesitará fijar las traducciones estáticas para todos los host que requieran el acceso y los conductos (o las Listas de acceso en software PIX 5.0.x y posterior) para los puertos TCP 135 y 139 y puertos 137 y 138 UDP. Usted debe utilizar un servidor de los TRIUNFOS para resolver las direcciones traducidas a los nombres de NETBIOS o el archivo correctamente configurado del local LMHOSTS en todas sus máquinas de cliente remoto. Si usted utiliza los TRIUNFOS, cada host debe tener una entrada de los WIN estáticos para el local y las direcciones traducidas de los host se acceden que. El uso del LMHOSTS debe tener ambos también, a menos que sus usuarios remotos nunca estén conectados con su red interna (por ejemplo, las laptopes). Su servidor de los TRIUNFOS debe ser accesible a Internet con los comandos static and conduit y sus host remotos se deben configurar para señalar en este servidor de los TRIUNFOS. Finalmente, los arriendos del Protocolo de configuración dinámica de host (DHCP) se deben fijar nunca para expirar. Usted puede también configurar estáticamente los IP Addresses en los host que necesitan ser accedidos de Internet.

Una manera más segura y más segura de hacer esto es configurar el Point-to-Point Tunneling Protocol (PPTP) o la encripción de IPSec. Consulte con su seguridad de la red y especialistas en diseño para otros detalles en las ramificaciones de seguridad.

Q. Estoy en la consola/Telnet del PIX y veo un error como "201008: El PIX está rechazando las nuevas conexiones.” Mi PIX no pasa ningún entrante o tráfico saliente. ¿Cuál es el problema?

A. Este error significa que usted está haciendo el “Syslog confiable TCP” a un software de servidor PIX Firewall Syslog en un sistema del Windows NT y que el sistema no responde a los mensajes de Syslog del PIX. Intente una de estas opciones para corregir este problema:

  • Vaya al servidor NT que ejecuta el PFSS y corrija el problema que guarda el servidor de validar los datos Syslog TCP del PIX. El problema es generalmente una unidad de disco duro llena o un problema con el servicio de Syslog que no se ejecuta.

  • Inhabilite la característica del Syslog TCP y vuelva a la utilidad UDP del syslog estándar. Esto puede hacerse en la línea de comandos del PIX mediante el comando logging host [in_if_name] ip_address [protocolo/puerto]. Escriba logging host ip_address, luego reescriba el comando sin la porción de protocolo/puerto. Omite el /port del protocolo estándar del UDP/514.

Nota: La característica “del Syslog confiable TCP” del PIX y del PFSS se piensa para crear una política de seguridad que los estados “si el PIX no puede registrarla, después no la haga.” Si esto no es lo que usted pensó, después usted no debe ejecutar el “Syslog confiable TCP.” En lugar, utilice las capacidades del syslog estándar que no bloquean entrante/el tráfico saliente si el servidor de Syslog es inasequible.

Q. Cuando ejecuto ciertos comandos en el PIX que accedan la configuración en el Flash (comando show config), consigo un error que los estados “el dispositivo Flash sean funcionando por otra tarea.” ¿Qué significa?

A. Esta salida muestra un ejemplo de este error:

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

Esto significa que hay otra sesión sobre el PIX donde alguien ha utilizado una terminal de la escritura o el comando similar que accede el Flash y él se está sentando en “--más--” prompt.

Para verificar esto, ejecute el comando who mientras que está registrado sobre la consola del PIX.

PIX#who
0: 14.36.1.66
PIX#

En este ejemplo, usted ve que registran a un usuario de 14.36.1.66 en el PIX vía Telnet. Usted puede utilizar el comando kill fuertemente de apagar a ese usuario.

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

Han terminado la sesión al usuario y ahora usted puede realizar su operación de destello. En el caso improbable que ésta no trabaje, una reinicialización del PIX también soluciona el problema.

Q. ¿Puedo actuar el PIX en una “una” configuración armada?

A. No, el PIX no puede actuar en una configuración “de un brazo” debido al algoritmo de seguridad adaptable bajo el cual el PIX actúa. Refiera comprensión del firewall PIX para más información.

Por ejemplo, si usted tiene un PIX con dos interfaces (interiores y exteriores) y en la interfaz interior hay una red 10.1.1.0/24. De esta red hay un router con la red 10.1.2.0/24 conectada con ella. Después, asuma que hay un servidor en la interfaz interior que es 10.1.1.5. Este host tiene una gateway predeterminada de la interfaz interior del PIX (10.1.1.1). En este escenario, asuma que el PIX tiene la información de ruteo correcta, tal como ruta 10.1.2.0 interior 255.255.255.0 10.1.1.254 donde está la dirección IP 10.1.1.254 del router. Usted puede ser que piense que el host de 10.1.1.5 puede enviar un paquete a 10.1.2.20 y este paquete va al PIX, consigue reorientado al router en 10.1.1.254, y continúa a la computadora principal de destino. Sin embargo, éste no es el caso. El PIX no envía redirecciones ICMP como un router. También, el PIX no permite que un paquete salga de una interfaz de la cual vino. Así pues, con la suposición que el host de 10.1.1.5 envió un paquete con una dirección destino de 10.1.2.20 a la interfaz interior del PIX, el PIX caería ese paquete porque fue destinado para salir la misma interfaz (la interfaz interior) en la cual vino. Esto sucede en todas las interfaces PIX, no sólo en la interfaz interior. En este escenario, la solución está para que el host de 10.1.1.5 fije su default gateway para ser la interfaz del router (10.1.1.254), y después tiene un default gateway en la punta del router al PIX (10.1.1.1).

/image/gif/paws/15247/pixfaq_01.gif

Q. ¿Un PIX actúa correctamente si está conectado en un puerto troncal en un Switch?

A. Sí, sin embargo el PIX se debe configurar para el encapsulado 802.1Q. Se dirige esto hace el 802.1Q del soporte de PIX en sus interfaces?.

Q. ¿Puedo fijar un descanso en el puerto de la consola del PIX?

A. Si, esta es una nueva característica de la versión 6.3. Consulte el comando console timeout.

Q. ¿Sé que el PIX puede hacer el NAT basado en la dirección de origen, pero que puede el PIX hacer el NAT basado en el destino?

A. Únicamente en la versión 6.2 y posteriores de PIX se puede implementar NAT basado en el destino. Refiera a la documentación de la versión 6.2 del firewall PIX para más información.

Q. No puedo conseguir los soportes del Network File System (NFS) para trabajar a través del PIX. ¿Qué estoy haciendo mal?

A. El PIX no admite portmapper (puerto 111) sobre TCP. Debe configurar su NFS para reemplazarlo por UDP.

Q. ¿El PIX hace el Listas de control de acceso (ACL) del time basado?

A. A diferencia de Cisco IOS, PIX no genera ACL basadas en tiempo. Si usted autentica a los usuarios que acceden el PIX y el servidor de autenticación soporta la limitación de los usuarios a las épocas determinadas del día, entonces el PIX honra esos rechazos de usuario.

Q. ¿Puedo personalizar el texto de los mensajes de Syslog que el PIX envía?

A. Los mensajes de syslog que genera PIX están codificados en el sistema operativo y no es posible personalizarlos.

Q. ¿Puede el PIX hacer la resolución de nombre?

A. Mientras que un PIX correctamente configurado permite que el tráfico del Domain Name System (DNS) a través permita para que el interior y los dispositivos externos hagan el DNS, el PIX sí mismo no resuelve los nombres.

Q. Veo los mensajes negados “conexión” en el syslog PIX, así como niego para el Telnets a las interfaces PIX. Pero no veo niego para el otro tráfico a las interfaces PIX. ¿Es esto normal?

A. Antes de la versión 6.2.2, los mensajes de la negación para el tráfico a las interfaces PIX se limitan al Telnets negado o viran el TCP/23 hacia el lado de babor. En 6.2.3 y 6.3.1, se agregan los nuevos mensajes de Syslog cuyo el ID de syslog 710003 maneja el tráfico denegado a la interfaz PIX sí mismo.

Q. No puedo hacer ping de la red dentro del PIX a la interfaz exterior PIX, ni de la red fuera del PIX a la interfaz interior PIX. ¿Es esto normal?

A. Sí, a diferencia del Cisco IOS, el PIX no responde a las peticiones ICMP a las interfaces en el “lado lejano” del dispositivo que hace ping el PIX.

Q. ¿Puede el PIX actuar como servidor NTP?

A. No.

Q. ¿Es posible cambiar los puertos predeterminados usados para el IPSec en el PIX?

A. No.

Q. ¿Hace el Dynamic Domain Name Services del soporte de PIX (DDNS)?

A. No.

Q. Un Cisco PIX Firewall se configura para comunicar con un Auto Update Server de los trabajos de Cisco y todo el tráfico ha parado el paso con él. ¿Por qué sucede esto y cómo lo soluciono?

A. El Firewall PIX de Cisco detiene todas las conexiones nuevas si está configurado para comunicarse con el servidor Auto Update (Actualización automática) y no ha sido contactado por un lapso de tiempo. Un administrador puede cambiar el valor del período de agotamiento del tiempo de espera usando el comando auto-update timeout period.

La especificación de Actualización automática suministra la infraestructura necesaria para que las aplicaciones de administración remotas descarguen las configuraciones del PIX Firewall, las imágenes de software y para que realicen un control básico desde una ubicación centralizada. El error comunicar con el servidor hace el PIX parar el pasar de todo el tráfico.

Q. No puedo acceder la interfaz interior del PIX cuando está conectado vía un túnel VPN. ¿Cómo puedo hacer esto?

A. La interfaz interior del PIX no se puede acceder del exterior, y viceversa, a menos que el comando del Acceso de administración se configure en el modo de configuración global. Una vez que se habilita la administración de acceso, el acceso a Telnet, SSH o HTTP aún debe configurarse para los hosts deseados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Información Relacionada


Document ID: 15247