Безопасность : Устройства защиты Cisco PIX серии 500

Мониторинг межсетевого экрана Cisco Secure PIX с помощью SNMP и Syslog через VPN-туннель

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Межсетевые экраны Cisco Secure PIX обычно используются в развертываниях сквозных VPN-соединениях, где межсетевые экраны PIX используются как оконечные устройства IPSec VPN. В простых конфигурациях с соединением между двумя объектами и в более сложной схеме звезды иногда требуется контролировать все межсетевые экраны PIX с помощью сервера SNMP и сервера syslog, расположенных на центральном узле.

Примечание: Для настройки PIX 7.x использование SNMP и системного журнала через VPN-туннель, обратитесь к PIX/ASA 7.x с Примером Конфигурации системного журнала.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Выпуск 6.3 (3) программного обеспечения Cisco PIX Firewall

  • Брандмауэр PIX 520 и 515

  • Система Solaris, которая выполняет HPOV 6.1 как SNMP и сервер системного журнала

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Обратитесь к Использованию SNMP с межсетевым экраном Cisco Secure PIX для получения общей информации о том, как использовать SNMP для мониторинга межсетевого экрана Cisco Secure PIX.

Обратитесь к Устанавливанию Системного журнала PIX для получения общей информации о том, как установить системный журнал на межсетевом экране Cisco Secure PIX.

Это цели для этого примера конфигурации:

  • Имейте данные между 10.99.99.x и 172.18.124.x зашифрованные сети. Это включает наличие syslog и SNMP между сетью 10.99.99.x и SNMP/syslog-сервером 172.18.124.112.

  • Возможность иметь оба PIX передает системный журнал к серверу SNMP/системного журнала.

  • Возможность сделать запросы SNMP и передать trap-сообщения с обоих PIX на сервер SNMP/системного журнала.

Настройка

Этот пример конфигурации демонстрирует, как контролировать межсетевой экран Cisco Secure PIX с помощью SNMP и системного журнала через существующие VPN-туннели.

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/4094-pix-vpn-4094a-1.gif

Конфигурации

Эти конфигурации используются в данном документе:

Локальный межсетевой экран PIX (PIX 520)
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password OnTrBUG1Tp0edmkr encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix-520b
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- This access control list (ACL) defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also includes the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind the PIX 515.

access-list 101 permit ip 172.18.124.0 255.255.255.0 10.99.99.0 255.255.255.0

!--- These lines cover SNMP (TCP/UDP port - 161), SNMP TRAPS(TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) from SNMP/syslog server to the 
!--- outside interface of the remote PIX.
 
access-list 101 permit tcp host 172.18.124.112 host 192.168.1.2 eq 161
access-list 101 permit udp host 172.18.124.112 host 192.168.1.2 eq 161
access-list 101 permit tcp host 172.18.124.112 host 192.168.1.2 eq 162
access-list 101 permit udp host 172.18.124.112 host 192.168.1.2 eq 162
access-list 101 permit udp host 172.18.124.112 host 192.168.1.2 eq 514
pager lines 24
logging on
logging trap debugging
logging history debugging

!--- Define logging host information.

logging facility 16
logging host inside 172.18.124.112
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 192.168.1.1 255.255.255.0
ip address inside 172.18.124.211 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 192.168.1.4

!--- Bypass NAT for IPsec traffic.

nat (inside) 0 access-list 101
conduit permit udp any any 
conduit permit tcp any any 
conduit permit icmp any any 
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius
http server enable
http 172.18.124.112 255.255.255.255 inside

!--- Define SNMP configuration.

snmp-server host inside 172.18.124.112
no snmp-server location
no snmp-server contact
snmp-server community test
snmp-server enable traps
floodguard enable

!--- IPsec configuration. 

sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set myset esp-des esp-md5-hmac 
crypto map vpn 10 ipsec-isakmp
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 192.168.1.2
crypto map vpn 10 set transform-set myset
crypto map vpn interface outside
isakmp enable outside
isakmp key ******** address 192.168.1.2 netmask 255.255.255.255 
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:03b5bc406e18006616ffbaa32caeccd1
: end

Удаленный межсетевой экран PIX (PIX 515)
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password OnTrBUG1Tp0edmkr encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX515A
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- This ACL defines IPsec interesting traffic.
!--- This line covers traffic between the LAN segment behind two PIXes.
!--- It also covers the SNMP/syslog traffic between the SNMP/syslog server
!--- and the network devices located on the Ethernet segment behind PIX 515.

access-list 101 permit ip 10.99.99.0 255.255.255.0 172.18.124.0 255.255.255.0

 
!--- These lines cover SNMP (TCP/UDP port - 161), SNMP TRAPS (TCP/UDP port - 162) and 
!--- syslog traffic (UDP port - 514) sent from this PIX outside interface 
!--- to the SYSLOG server.

access-list 101 permit tcp host 192.168.1.2 host 172.18.124.112 eq 161 
access-list 101 permit udp host 192.168.1.2 host 172.18.124.112 eq 161
access-list 101 permit tcp host 192.168.1.2 host 172.18.124.112 eq 162
access-list 101 permit udp host 192.168.1.2 host 172.18.124.112 eq 162
access-list 101 permit udp host 192.168.1.2 host 172.18.124.112 eq 514

pager lines 24
logging on
logging timestamp
logging monitor debugging
logging trap debugging
logging history debugging

!--- Define syslog server.

logging facility 23
logging host outside 172.18.124.112
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 192.168.1.2 255.255.255.0
ip address inside 10.99.99.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 192.168.1.3

!--- Bypass NAT for IPsec traffic.

nat (inside) 0 access-list 101
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
http server enable
http 10.99.99.99 255.255.255.255 inside

!--- Define SNMP server.

snmp-server host outside 172.18.124.112
no snmp-server location
no snmp-server contact
snmp-server community test
snmp-server enable traps
floodguard enable

!--- IPsec configuration.

sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set myset esp-des esp-md5-hmac 
crypto map vpn 10 ipsec-isakmp
crypto map vpn 10 match address 101
crypto map vpn 10 set peer 192.168.1.1
crypto map vpn 10 set transform-set myset
crypto map vpn interface outside
isakmp enable outside
isakmp key ******** address 192.168.1.1 netmask 255.255.255.255 
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:edb21b64ab79eeb6eaf99746c94a1e36
: end

SNMP и сведения настройки сервера системного журнала

HPOV 6.1 используется в качестве приложения сервера SNMP.

Для сбора сведений системного журнала используется демон syslog (syslogd), и сведения системного журнала от локального и удаленного PIX хранятся в различных файлах в зависимости от настройки средства ведения журнала на межсетевом экране PIX.

/etc/syslog.conf файл имеет:

local0.debug /var/log/local.log 
local7.debug /var/log/remote.log 

На конфигурации локального PIX средство регистрации 16 соответствует LOCAL0.

На удаленной конфигурации PIX средство регистрации 23 соответствует LOCAL7.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Команды clear должны выполняться в режиме конфигурации.

  • clear crypto ipsec sa - сбрасывает сопоставления IPSec после неудачных попыток согласовать туннель VPN.

  • clear crypto isakmp sa – используется для сброса протокола ассоциаций безопасности и управления ключами в Интернет ISAKMP после безуспешных попыток согласования туннеля VPN.

  • show crypto engine ipsec – используется для отображения зашифрованных сеансов.

Устранение неполадок

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • debug crypto ipsec - используется, чтобы посмотреть, согласовывает ли клиент IPSec-часть VPN-соединения.

  • debug crypto isakmp, чтобы видеть, выполняют ли узлы согласование о части ISAKMP VPN-подключения.

Пример отладочных выходных данных

Выходные данные SNMP

Эти примеры демонстрируют, как использовать snmpwalk для мониторинга использования буфера обоих Межсетевых экранов PIX. Идентификатор объекта (OID) для состояния буфера:

"cfwBufferStatsTable"     "1.3.6.1.4.1.9.9.147.1.2.2.1"
  • Контролируйте удаленный Межсетевой экран PIX:

    Script started on Tue Oct 09 21:53:54 2001
    # ./snmpwalk -c test 192.168.1.2 1.3.6.1.4.1.9.9.147.1.2.2.1
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.4.3 : OCTET STRING- (ascii):  
    maximum number of allocated 4 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.
    cfwBufferStatsEntry.cfwBufferStatInformation.4.5 : 
    OCTET STRING- (ascii):  fewest 4 byte blocks available since 
    system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.4.8 : OCTET STRING- (ascii):  
    current number of available 4 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.3 : OCTET STRING- (ascii): 
    maximum number of allocated 80 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.5 : OCTET STRING- (ascii): 
    fewest 80 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.8 : OCTET STRING- (ascii): 
    current number of available 80 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.3 : OCTET STRING- (ascii):        
    maximum number of allocated 256 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.5 : OCTET STRING- (ascii):        
    fewest 256 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.8 : OCTET STRING- (ascii):        
    current number of available 256 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.3 : OCTET STRING- (ascii):       
    maximum number of allocated 1550 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.
    cfwSystem.cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.5 : OCTET STRING- (ascii):       
    fewest 1550 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.8 : OCTET STRING- (ascii):       
    current number of available 1550 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.3 : OCTET STRING- (ascii):      
    maximum number of allocated 2560 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.5 : OCTET STRING- (ascii):       
    fewest 2560 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.8 : OCTET STRING- (ascii):       
    current number of available 2560 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.3 : Gauge32: 1600
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.5 : Gauge32: 1599
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.8 : Gauge32: 1600
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.3 : Gauge32: 400
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.5 : Gauge32: 399
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.8 : Gauge32: 400
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.3 : Gauge32: 750
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.5 : Gauge32: 746
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.8 : Gauge32: 749
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.3 : Gauge32: 1956
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.5 : Gauge32: 1166
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.8 : Gauge32: 1188
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.3 : Gauge32: 200
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.5 : Gauge32: 196
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.8 : Gauge32: 199
  • Контролируйте локальный межсетевой экран PIX:

    Script started on Tue Oct 09 21:54:53 2001
    # ./snmpwalk -c test 172.18.124.211  1.3.6.1.4.1.9.9.147.1.2.2.1
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.4.3 : OCTET STRING- (ascii):  
    maximum number of allocated 4 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.4.5 : OCTET STRING- (ascii):  
    fewest 4 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.4.8 : OCTET STRING- (ascii):  
    current number of available 4 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.3 : OCTET STRING- (ascii): 
    maximum number of allocated 80 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.5 : OCTET STRING- (ascii): 
    fewest 80 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.80.8 : OCTET STRING- (ascii): 
    current number of available 80 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.3 : OCTET STRING- (ascii):        
    maximum number of allocated 256 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.5 : OCTET STRING- (ascii):        
    fewest 256 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.256.8 : OCTET STRING- (ascii):        
    current number of available 256 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.3 : OCTET STRING- (ascii):       
    maximum number of allocated 1550 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.5 : OCTET STRING- (ascii):       
    fewest 1550 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.1550.8 : OCTET STRING- (ascii):       
    current number of available 1550 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.3 : OCTET STRING- (ascii):       
    maximum number of allocated 2560 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.5 : OCTET STRING- (ascii):       
    fewest 2560 byte blocks available since system startup
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatInformation.2560.8 : OCTET STRING- (ascii):       
    current number of available 2560 byte blocks
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.3 : Gauge32: 1600
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.5 : Gauge32: 1599
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.4.8 : Gauge32: 1600
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.3 : Gauge32: 400
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.5 : Gauge32: 397
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.80.8 : Gauge32: 400
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.3 : Gauge32: 1500
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.5 : Gauge32: 1497
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.256.8 : Gauge32: 1499
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.3 : Gauge32: 2468
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.5 : Gauge32: 1686
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.1550.8 : Gauge32: 1700
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.3 : Gauge32: 200
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.5 : Gauge32: 198
    cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
    cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.
    cfwBufferStatValue.2560.8 : Gauge32: 199

Блокировка команды показа

Выходные данные snmpwalk таблицы статистики буфера CFW соответствуют этой команде показа на удаленном PIX.

PIX-515A#show block
РАЗМЕР MAX Низкий CNT
4 1600 1599 1600
80 400 399 400
256 750 746 749
1550 1956 1166 1188
2560 200 196 199

Выходные данные snmpwalk таблицы статистики буфера CFW соответствуют этой команде показа на локальном PIX.

PIX-520B#show block
РАЗМЕР MAX Низкий CNT
4 1600 1599 1600
80 400 397 400
256 1500 1497 1499
1550 2468 1686 1700
2560 200 198 199

Проверьте туннель IPSec

  • Remote show crypto ipsec sa

    PIX515A#show crypto ipsec sa 
    
    
    interface: outside
        Crypto map tag: vpn, local addr. 192.168.1.2
    
       local  ident (addr/mask/prot/port): (10.99.99.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0)
       current_peer: 192.168.1.1
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 1962, #pkts encrypt: 1962, #pkts digest 1962
        #pkts decaps: 1963, #pkts decrypt: 1963, #pkts verify 1963
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, 
        #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.1.2, remote crypto endpt.: 
            192.168.1.1
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 3411a392
    
         inbound esp sas:
          spi: 0x554ad733(1430968115)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4608000/28472)
            IV size: 8 bytes
            replay detection support: Y
          spi: 0x63a866ca(1671980746)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 2, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607747/27373)
            IV size: 8 bytes
            replay detection support: Y
    
    
         inbound ah sas:
    
    
         inbound pcp sas:
    
    
         outbound esp sas:
          spi: 0x3411a392(873571218)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4608000/28463)
            IV size: 8 bytes
            replay detection support: Y
          spi: 0x7523ba4a(1965275722)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 1, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607798/27366)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
    
         outbound pcp sas:
    
    
    
       local  ident (addr/mask/prot/port): 
          (192.168.1.2/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): 
          (172.18.124.112/255.255.255.255/0/0)
       current_peer: 192.168.1.1
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 26, #pkts encrypt: 26, #pkts digest 26
        #pkts decaps: 7, #pkts decrypt: 7, #pkts verify 7
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, 
        #pkts decompress failed: 0
        #send errors 12, #recv errors 0
    
         local crypto endpt.: 192.168.1.2, remote crypto endpt.: 
            192.168.1.1
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 326421ac
    
         inbound esp sas:
          spi: 0x6eeec108(1861140744)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 6, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4608000/28159)
            IV size: 8 bytes
            replay detection support: Y
    
    
         inbound ah sas:
    
    
         inbound pcp sas:
    
       outbound esp sas:
          spi: 0x326421ac(845423020)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 5, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607994/28159)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
    
         outbound pcp sas:
  • Локальный show crypto ipsec sa:

    PIX-520B#show crypto ipsec sa 
    
    interface: outside
        Crypto map tag: vpn, local addr. 192.168.1.1
    
       local  ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.99.99.0/255.255.255.0/0/0)
       current_peer: 192.168.1.2
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 4169, #pkts encrypt: 4169, #pkts digest 4169
        #pkts decaps: 4168, #pkts decrypt: 4168, #pkts verify 4168
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, 
        #pkts decompress failed: 0
        #send errors 2, #recv errors 0
    
         local crypto endpt.: 192.168.1.1, remote crypto endpt.: 
            192.168.1.2
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 63a866ca
    
         inbound esp sas:
          spi: 0x7523ba4a(1965275722)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607560/28160)
            IV size: 8 bytes
            replay detection support: Y
    
    
         inbound ah sas:
    
    
         inbound pcp sas:
    
    
         outbound esp sas:
          spi: 0x63a866ca(1671980746)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607705/28151)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
    
         outbound pcp sas:
    
    
    
       local  ident (addr/mask/prot/port): 
          (172.18.124.112/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): 
          (192.168.1.2/255.255.255.255/0/0)
       current_peer: 192.168.1.2
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 8, #pkts encrypt: 8, #pkts digest 8
        #pkts decaps: 32, #pkts decrypt: 32, #pkts verify 32
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, 
        #pkts decompress failed: 0
        #send errors 0, #recv errors 0
    
         local crypto endpt.: 192.168.1.1, remote crypto endpt.: 
            192.168.1.2
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6eeec108
    
         inbound esp sas:
          spi: 0x326421ac(845423020)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 2, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4607993/27715)
            IV size: 8 bytes
            replay detection support: Y
    
    
         inbound ah sas:
    
    
         inbound pcp sas:
    
    
         outbound esp sas:
          spi: 0x6eeec108(1861140744)
            transform: esp-des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 1, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4608000/27706)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
    
         outbound pcp sas:

Выходные данные системного журнала

  • Вывод удаленного системного журнала событий:

    #more /var/log/remote.log
    
    Oct 11 22:28:08 192.168.1.2 Oct 11 2001 18:08:01: %PIX-6-302010: 
    0 in use, 4 most used
    Oct 11 22:28:08 192.168.1.2 Oct 11 2001 18:08:01: %PIX-6-302010: 
    0 in use, 4 most used
    Oct 11 22:38:07 192.168.1.2 Oct 11 2001 18:18:01: %PIX-6-302010: 
    0 in use, 4 most used
    Oct 11 22:38:07 192.168.1.2 Oct 11 2001 18:18:01: %PIX-6-302010: 
    0 in use, 4 most used
    Oct 11 22:47:50 192.168.1.2 Oct 11 2001 18:27:44: %PIX-5-111007: 
    Begin configuration: console reading from terminal
    Oct 11 22:47:50 192.168.1.2 Oct 11 2001 18:27:44: %PIX-5-111007: 
    Begin configuration: console reading from terminal
    Oct 11 22:47:57 192.168.1.2 Oct 11 2001 18:27:51: %PIX-5-111005: 
    console end configuration: OK
    Oct 11 22:47:57 192.168.1.2 Oct 11 2001 18:27:51: %PIX-5-111005: 
    console end configuration: OK
  • Выходные данные локального системного журнала:

    #more /var/log/local.log
    
    Oct 11 22:54:03 [172.18.124.211.2.2] %PIX-5-111005: 
    console end configuration: OK
    Oct 11 22:54:03 [172.18.124.211.2.2] %PIX-5-111005: 
    console end configuration: OK
    Oct 11 22:54:07 [172.18.124.211.2.2] %PIX-5-111007: Begin configuration: 
    console reading from terminal
    Oct 11 22:54:07 [172.18.124.211.2.2] %PIX-5-111007: Begin configuration: 
    console reading from terminal
    Oct 11 22:54:11 [172.18.124.211.2.2] %PIX-5-111005: 
    console end configuration: OK
    Oct 11 22:54:11 [172.18.124.211.2.2] %PIX-5-111005: 
    console end configuration: OK
    Oct 11 22:54:26 [172.18.124.211.2.2] %PIX-6-302010: 
       0 in use, 9 most used
    Oct 11 22:54:26 [172.18.124.211.2.2] %PIX-6-302010: 
       0 in use, 9 most used

Сведения, необходимые при обращении в Центр технической поддержки

Если после выполнения действий устранению проблем, приведенных в данном документе, все еще нужна помощь и вы хотите отправить запрос на обслуживание в Cisco TAC, обязательно включите в него следующую информацию для устранения проблем в межсетевом экране PIX.
  • Описание проблемы и соответствующие сведения о топологии
  • Перед открытием запроса на обслуживание проведены поиск и устранение неисправностей
  • Выходные данные команды show tech-support
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии)
Приложите собранные данные к запросу на обслуживание в простом текстовом формате (.txt), не архивируя вложенный файл. Можно подключить информацию к запросу на обслуживание путем загрузки его с помощью Программного средства Запроса на обслуживание (только зарегистрированные клиенты). При отсутствии доступа к средству Service Request можно отправить данные приложением электронной почты по адресу attach@cisco.com с номером сервисного запроса в строке "Тема" отправляемого сообщения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 4094