???????-?????? : Устройства защиты Cisco PIX серии 500

Диагностика диспетчера устройств PIX

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (28 марта 2016) | Отзыв


Содержание


Введение

Этот документ поясняет порядок действий, которым можно руководствоваться при решении проблем с программным обеспечением PIX Device Manager (PDM).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования. Однако содержание допустимо до последней версии кода (6.3.3 во время создания документа).

  • Программное обеспечение Cisco PIX Firewall, версия 6.1(1)

  • Версия PDM 1.1 (2)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Решите проблемы доступа PDM

Проверьте установку программного обеспечения PDM

Необходимо удовлетворить эти два требования для доступа к PDM.

  • Ключ активации Стандарта шифрования данных (DES) или Стандарта тройного шифрования данных (3DES) включен на вашем PIX.

  • Отдельный образ программного обеспечения для PDM загружен на Флэше PIX.

Введите команду Show version из командной строки PIX, чтобы проверить соответствие этим требованиям. Версия Межсетевого экрана PIX должна быть 6.0 или позже. Эта информация появляется.

pixfirewall#show version
Cisco Secure PIX Firewall Version 6.1(1)
PIX Device Manager Version 1.1(2)   
<snip>
Licensed Features:
Failover:   Enabled
VPN-DES:    Enabled
VPN-3DES:   Disabled

Если вы пропускаете линии, которые указывают на ваш PIX или версии PDM, и если и DES и 3DES отключены, вы не в состоянии обратиться к программному обеспечению PDM. Если у вас нет ключа DES, можно получить разрядный PIX 56 Ключ для обновления лицензии (только зарегистрированные клиенты) от Cisco Downloads. Если у вас нет ключа DES, и вы не зарегистрированный пользователь, можно получить бесплатный ключ при передаче Электронного письма licensing@cisco.com с серийным номером PIX, как это появляется в команде Show version на PIX.

Если необходимо установить ключ, необходимо повторно загрузить программное обеспечение PIX. Это - единственный способ, которым можно установить ключ DES/3DES. См. Обновление Межсетевого экрана PIX от Помощника при загрузке или Раздела Режим мониторинга Обновления программного обеспечения для межсетевого экрана Cisco Secure PIX для пошаговой процедуры для повторной загрузки программного обеспечения PIX.

Установите программное обеспечение PDM

Если вам уже не установили программное обеспечение PDM, загружаете его copy tftp flash:pdm команда. Не используйте команду флэш-памяти tftp copy tftp.

Затем, выполните процедуры в Установке PDM на Межсетевом экране PIX, чтобы установить и выполнить программное обеспечение PDM на Межсетевом экране PIX.

Установите программное обеспечение PDM

После того, как вы устанавливаете программное обеспечение PDM и включили DES/3DES, выполните настройку из командной строки PIX для устанавливания PDM, чтобы работать на PIX и включить определенные хосты или сети, для которых вы хотите предоставить доступ к PDM. Гарантируйте, что год корректен, когда вы проходите вопросы программы установки, или генерируемый сертификат недопустим. Доменное имя, используемое в настройке, может быть названием вашего домена или любой произвольно выбранной строки в форме <text.text>, который вы используете для генерации ключа; разрешение имен не должно работать. Кроме того, нажмите ENTER для выбора значений по умолчанию.

Пример процесса установки показывают здесь.

pixfirewall(config)#setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]:
Clock (UTC):
  Year [2001]:
  Month [Dec]:
  Day [7]:
  Time [17:43:35]:
Inside IP address [127.0.0.1]: 172.16.1.2
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [pixfirewall]:
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

The following configuration will be used:
Enable password: <current password>
Clock (UTC): 17:43:35 Dec 7 2001
Inside IP address: 172.16.1.2
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43

Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: e6dd475b 322e8674 1dc237c3 543afdef
[OK]
pixfirewall(config)#

Программное обеспечение PDM доступа

Введите https://<pix_interface_ip_address> в вашем браузере для доступа к программному обеспечению PDM. Примером этого синтаксиса является https://172.16.1.2.

Когда имя пользователя/поле пароля подходит и если аутентификация AAA (проверка подлинности, авторизация и учет) не включена, то Пароль Telnet PIX должен войти в поле пароля. Если аутентификация AAA (проверка подлинности, авторизация и учет) идет (такой как на Telnet к PIX, и PIX просит имя пользователя/пароль вместо просто пароля), то имя пользователя PIX должно войти в коробку имени пользователя и пароль в поле пароля.

Если авторизация для выполнения команд PIX идет (в Версии PIX 6.2 или позже), и некоторые пользователи не могут сделать всех команд (таких как write terminal, write memory или configure terminal), то те пользователи так же ограничены в PDM (к мониторингу PIX только, или к выполнению подмножества команд). В PIX 6.2 или позже, можно определить, есть ли у пользователя самые мощные привилегии (15), когда вы выполняете Telnet в PIX как тот пользователь и выполняете показ curpriv команда в режиме включения.

Устранение неполадок

Если вы продолжаете испытывать проблемы с PDM, попробуйте некоторые из этих предложений.

  • Проверьте, что PDM установлен должным образом.

    show version
    .
    Cisco PIX Firewall Version 6.1(1)
    Cisco PIX Device Manager Version 1.0(2)
    .
  • Проверьте, что включен Ключ активации DES.

    show version
    .
    VPN-DES: Enabled
    .
  • Проверьте, что прокси не включен в браузере.

  • Выполните команду show clock, чтобы проверить, что программное обеспечение установлено в течение корректного года. Модифицируйте год если необходимое использование этой команды.

    clock set <hh:mm:ss> <month> <day> <year> 
    
  • Под нормальной работой, когда PIX установлен в течение правильного времени, соединяющегося с PDM, вызывает генерацию сертификата, который видим с командой show ca mypubkey rsa. Если существует некоторый вопрос относительно того, были ли часы установлены должным образом во время исходного соединения, перезагрузите часы, как описано в предыдущем шаге. Выполните команду ca zeroize rsa для удаления существующего сертификата, затем воссоединитесь с PDM для порождения ключевой регенерации.

  • Проверьте, что можно соединиться с использованием https://.

  • Перед загрузкой программного обеспечения PDM к PIX удостоверьтесь, что FTP программного обеспечения PDM является передачей двоичной информации путем ввода bin на командной строке Передачи FTP. Если передача была в ASCII или если файл PDM иначе поврежден, можно получить Сообщение "pdm is not installed".

  • Проверьте, что браузер, который вы используете, имеет соответствующую версию Java.

    • Для Microsoft Internet Explorer, на Системе Windows, выбирают Start> Run и вводят wjview, чтобы определить версию (или ввести wjview в командной строке DOS). Пример выходных данных показывают в этих выходных данных.

      Microsoft (R) VM for Java, 5.0 Release 5.0.0.3802

      Последние четыре цифры должны быть 3167 или больше для работы с PDM.

      Можно также проверить версию Java, установленную на ПК через Панель управления> Java> О. Если ваш ПК не имеет требуемого Программного обеспечения Java, можно загрузить его от веб-сайта Sun leavingcisco.com. После того, как вы установите требуемую Версию Java, закроете все окна браузера (или перезагрузка), прежде чем вы попытаетесь обратиться к PDM.

    • Для Netscape 4.5.x или 4.7.x, необходимо отключить Дополнительный модуль Java Plug-in, если это установлено. Для отключения плагина выберите Edit> Preferences> Advanced и заставьте Разрешать Дополнительный модуль Java Plug-in отключать. Если вы не видите флажок, то Подключаемый модуль Java не используется по умолчанию.

  • Проверьте выполнение поддерживаемого обозревателя для версии PDM, который вы используете. Браузер или Версии Java кроме того, что протестировано, не могли бы работать.

  • Если некоторые станции могут соединиться с PIX для управления, и другие не могут, удостовериться, что у вас есть запись для IP-адреса каждого модуля, который управляет PIX.

    http <ip_address> [netmask] [if_name]
    http server enable
    
  • Если вы видите сообщение, которое говорит, что "PIX имеет номер версии неизвестных", тогда это обычно - результат одного из условий, перечисленных в этом документе, не встречаемом, таких как:

    • Версия PDM не соглашается с Версией PIX (проверьте документацию PDM для предварительных условий).

    • Версия браузера не поддерживается (проверьте документацию PDM для предварительных условий).

    • Версия Java является неправильной, или Подключаемый модуль Java включен.

Если все остальное отказывает, свяжитесь с технической поддержкой Cisco. Будьте подготовлены предоставить выходные данные команды show tech от PIX, отладить ssl от PIX, Вывод на консоль Java от вашего браузера и информацию о вашей версии браузера, чтобы помочь решать вопрос.


Дополнительные сведения


Document ID: 7104