إستخدام SNMP مع أجهزة الأمان PIX/ASA
المحتويات
المقدمة
يمكنك مراقبة أحداث النظام على PIX باستخدام بروتوكول إدارة الشبكة البسيط (SNMP). يوضح هذا المستند كيفية إستخدام SNMP مع PIX، والذي يتضمن:
-
أوامر بتشغيل SNMP من خلال PIX أو إلى PIX
-
إخراج PIX العينة
-
دعم قاعدة معلومات الإدارة (MIB) في برنامج PIX الإصدار 4.0 والإصدارات الأحدث
-
مستويات الملائمة
-
أمثلة مستوى خطورة syslog
-
مشكلات اكتشاف أجهزة PIX و SNMP
ملاحظة: منفذ snmpget/snmpwalk هو UDP/161. منفذ إختبارات SNMP هو UDP/162.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى برنامج جدار حماية PIX الآمن من Cisco الإصدار 4.0 والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المنتجات ذات الصلة
كما يمكن إستخدام هذا التكوين مع جهاز الأمان القابل للتكيف (ASA) من Cisco، الإصدار 7.x.
الاصطلاحات
تم تضمين بعض سطور المخرجات وبيانات السجل في هذا المستند لاعتبارات المسافات.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
SNMP من خلال PIX/ASA
أفخاخ من الخارج إلى الداخل
للسماح بالمهام بالدخول من 50.50.50.50 إلى 10.10.10.10:
conduit permit udp host 50.50.50.75 eq snmptrap host 50.50.50.50 static (inside,outside) 50.50.50.75 10.10.10.10 netmask 255.255.255.255 0 0
إذا كنت تستخدم قوائم التحكم في الوصول (ACLs)، المتاحة في PIX 5.0 والإصدارات الأحدث، بدلا من القنوات:
access-list Inbound permit udp host 50.50.50.50 host 50.50.50.75 eq snmptrap access-group Inbound in interface outside
يوضح ال PIX:
302005: Built UDP connection for faddr 50.50.50.50/2388 gaddr 50.50.50.75/162 laddr 10.10.10.10/162
أفخاخ من الداخل إلى الخارج
يتم السماح بحركة المرور الصادرة بشكل افتراضي (في غياب القوائم الصادرة) ويظهر PIX:
305002: Translation built for gaddr 50.50.50.80 to laddr 10.31.1.5 302005: Built UDP connection for faddr 50.50.50.50/162 gaddr 50.50.50.80/2982 laddr 10.31.1.5/2982
الاقتراع في الخارج في الداخل
للسماح بالاقتراع من 171.68.118.118 إلى 10.10.10.20:
static (inside,outside) 171.68.118.150 10.10.10.20 netmask 255.255.255.255 0 0 conduit permit udp host 171.68.118.150 eq snmp host 171.68.118.118
إذا كنت تستخدم قوائم التحكم في الوصول، متوفرة في PIX 5. 0 والإصدارات الأحدث، بدلا من القنوات:
access-list Inbound permit udp host 171.68.118.118 host 171.68.118.150 eq snmp access-group Inbound in interface outside
الاقتراع من الداخل إلى الخارج
يتم السماح بحركة المرور الصادرة بشكل افتراضي (في غياب القوائم الصادرة) ويظهر PIX:
305002: Translation built for gaddr 99.99.99.11 to laddr 172.18.124.115 302005: Built UDP connection for faddr 99.99.99.5/161 gaddr 99.99.99.11/36086 laddr 172.18.124.115/36086
SNMP إلى PIX/ASA
دعم MIB حسب الإصدار
هذه هي إصدارات دعم قاعدة معلومات الإدارة (MIB) في PIX:
-
برنامج جدار حماية PIX الإصدارات 4.0 حتى 5.1—مجموعات الأنظمة والواجهات ل MIB-II (ارجع إلى RFC 1213
) ولكن ليس مجموعات AT أو ICMP أو TCP أو UDP أو EGP أو الإرسال أو IP أو SNMP Cisco-SYSLOG-MIB-V1SMI.MY. -
برنامج جدار حماية PIX الإصدار 5.1.x والإصدارات الأحدث—قواعد معلومات الإدارة (MIB) السابقة وCisco-Memory-POOL-MIB.my وفرع النظام cfw من Cisco-Firewall-MIB.my.
-
برنامج جدار حماية PIX الإصدارات 5.2.x والإصدارات الأحدث—قواعد معلومات الإدارة (MIB) السابقة و ipAddrTable لمجموعة IP.
-
برنامج PIX Firewall الإصدار 6.0.x والإصدارات الأحدث—قواعد معلومات الإدارة (MIB) السابقة وتعديل OID ل MIB-II لتحديد PIX حسب الطراز (وتمكين دعم CiscoView 5.2). يتم العثور على معرفات الكائنات الجديدة (OIDs) في Cisco-products-MIB؛ على سبيل المثال، يحتوي PIX 515 على OID 1.3.6.1.4.1.9.1.390.
-
برنامج جدار حماية PIX الإصدارات 6.2.x والإصدارات الأحدث—قواعد معلومات الإدارة (MIB) السابقة وCisco-Process-MIB-V1SMI.my.
-
برنامج PIX/ASA الإصدار 7.x—قواعد معلومات الإدارة (MIB) السابقة و IF-MIB، SNMPv2-MIB، ENTITY-MIB، Cisco-remote-access-monitor-MIB، Cisco-crypto-Accelerator-MIB، Altiga-Global-REG.
ملاحظة: القسم المدعوم من قاعدة معلومات الإدارة الخاصة بالعملية هو فرع CPMCPUTotalTable من فرع CPMCPU الخاص بفرع CiscoProcessMIBObjects. لا يوجد دعم لفرع تطبيقات CiscoProcessMIBNotiations أو فرع التوافق CiscoProcessMIB أو الجدولين، cpmProcessTable و cpmProcessExtTable، في فرع CPMprocess الخاص بفرع CiscoProcessMIBObjects الخاص ب MIB.
تشغيل SNMP في PIX/ASA
قم بإصدار هذه الأوامر للسماح بالاقتراع/الاستعلامات والمعاينات في PIX:
snmp-server host #.#.#.#
!--- IP address of the host allowed to poll !--- and where to send traps.
snmp-server community <whatever>
snmp-server enable traps
تتيح إصدارات برامج PIX الإصدار 6.0.x والإصدارات الأحدث المزيد من القابلية للتعديل فيما يتعلق بالمخازن والاستعلامات.
snmp-server host #.#.#.# !--- The host is to be sent traps and can query. snmp-server host #.#.#.# trap !--- The host is to be sent traps and cannot query. snmp-server host #.#.#.# poll !--- The host can query but is not to be sent traps.
تتيح الإصدارات 7.x من برنامج PIX/ASA مزيدا من القابلية للتعديل فيما يتعلق بالمخازن والاستفسارات.
hostname(config)#snmp-server host <interface_name> <ip_address> trap community <community string> !--- The host is to be sent traps and cannot query !--- with community string specified. hostname(config)#snmp-server host <interface_name> <ip_address> poll community <community string> !--- The host can query but is not to be sent traps !--- with community string specified.
ملاحظة: حدد الملائمة أو الاستطلاع إذا كنت تريد قصر NMS على إستقبال الملائمات فقط أو الاستعراض (الاقتراع) فقط. بشكل افتراضي، يمكن أن تستخدم NMS كلا الدالتين.
يتم إرسال إختبارات SNMP على منفذ UDP 162 بشكل افتراضي. يمكنك تغيير رقم المنفذ باستخدام الكلمة الأساسية udp-port.
SNMP ل PIX/ASA - الاقتراع
تعتمد المتغيرات التي يرجعها PIX على دعم قاعدة معلومات الإدارة في الإصدار. يوجد إخراج مثال من snmpwalk ل PIX الذي يشغل 6.2.1 في نهاية هذا المستند. ترجع الإصدارات السابقة من البرامج قيم قاعدة معلومات الإدارة (MIB) التي تمت الإشارة إليها مسبقا فقط.
SNMP إلى PIX/ASA - ملائمات
ملاحظة: SNMP OID لشاشات جدار حماية PIX في ملائمات أحداث SNMP التي يتم إرسالها من جدار حماية PIX. تم إستخدام OID 1.3.6.1.4.1.9.1.227 ك PIX Firewall System OID حتى إصدار برنامج PIX 6.0. يتم العثور على معرفات الأجهزة (OID) الخاصة بالنموذج الجديد في Cisco-products-MIB.
أصدرت هذا أمر أن يلتفت ملائمة في ال PIX:
snmp-server host #.#.#.#
!--- IP address of the host allowed to do queries !--- and where to send traps.
snmp-server community
snmp-server enable traps
إختبارات الإصدار 4.0 حتى 5.1
عند إستخدام برنامج PIX الإصدار 4. 0 والإصدارات الأحدث، يمكنك إنشاء الملائمات التالية:
cold start = 1.3.6.1.6.3.1.1.5.1 link_up = 1.3.6.1.6.3.1.1.5.4 link_down = 1.3.6.1.6.3.1.1.5.3 syslog trap (clogMessageGenerated) = 1.3.6.1.4.1.9.9.41.2.0.1
تغييرات الملائمة (PIX 5.1)
في PIX برمجية صيغة 5.1.1 وفيما بعد، الفخ مستوى يفصل من ال syslog مستوى ل ال syslog فخاخ. لا يزال PIX يرسل فخاخ syslog، ولكن يمكن تكوين المزيد من القابلية للتعديل. يتضمن هذا المثال لملف trapd.log (وهذا هو نفسه ل HP OpenView [HPOV] أو NetView) 3 إختبارات إرتباط_up و 9 إختبارات syslog، مع 7 معرفات syslog مختلفة: 101003، 104001، 11005، 11007، 199002، 302005، 305002.
مثال على trapd.log
952376318 1 Mon Mar 06 15:58:38 2000 10.31.1.150 - 1=20 2=7 3=Syslog Trap 4=199002: PIX startup completed. Beginning operation. 5=0;1 .1.3.6.1.4.1.9.9.4 1.2.0.1 0 952376318 1 Mon Mar 06 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) Switching to ACTIVE - no failover cable. 952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 952376332 1 Mon Mar 06 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) Failover cable not connected (this unit) 952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 3=Syslog Trap 4=305002: Translation built for gaddr 50.50.50.75 to laddr 171.68.118.118 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 gaddr 50.50.50.75/162 laddr 171.68.118.118/162 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 3=Syslog Trap 4=111005: console end configuration: OK 5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0
وصف كل ملائمة - trapd.log
199002 (syslog) 4=199002: PIX startup completed. Beginning operation. 5=0;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 104001 (syslog) Mar 6 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) Switching to ACTIVE - no failover cable. 101003 (syslog) 952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 101003 (syslog) Mar 6 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) Failover cable not connected (this unit) 305002 (syslog) 952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 3=Syslog Trap 4=305002: Translation built for gaddr 50.50.50.75 to laddr 171.68.118.118 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 302005 (syslog) 952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 gaddr 50.50.50.75/162 laddr 171.68.118.118/162 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 Linkup (linkup) 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 Linkup (linkup) 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 Linkup (linkup) 952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 .1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0 Linkup (syslog) 952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 111007 (syslog) 952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0 111005 (syslog) 952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 3=Syslog Trap 4=111005: console end configuration: OK 5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0
أمثلة مستوى خطورة Syslog
وهذه تستنسخ من الوثائق لإيضاح الرسائل السبع.
Alert:
%PIX-1-101003:(Primary) failover cable not connected (this unit)
%PIX-1-104001:(Primary) Switching to ACTIVE (cause:reason)
Notification:
%PIX-5-111005:IP_addr end configuration: OK
%PIX-5-111007:Begin configuration: IP_addr reading from device.
Informational:
%PIX-6-305002:Translation built for gaddr IP_addr to laddr IP_addr
%PIX-6-302005:Built UDP connection for faddr faddr/fport gaddr gaddr/gport
laddr laddr/lport
%PIX-6-199002:Auth from laddr/lport to faddr/fport failed
(server IP addr failed) in interface int name.
ترجمة مستويات خطورة syslog
| مستوى | معنى |
|---|---|
| 0 | نظام غير قابل للاستخدام - طارئ |
| 1 | إتخاذ إجراء فوري - تنبيه |
| 2 | حالة حرجة - حرجة |
| 3 | رسالة خطأ - خطأ |
| 4 | رسالة تحذير - تحذير |
| 5 | حالة عادية ولكن ذات أهمية - الإخطار |
| 6 | إعلامية - إعلامية |
| 7 | رسالة تصحيح الأخطاء - تصحيح الأخطاء |
تكوين PIX 5.1 والإصدارات الأحدث لمجموعة فرعية من الملائمات
إذا كان تكوين PIX:
snmp-server host inside #.#.#.#
الملائمات الوحيدة التي تم إنشاؤها هي الملائمات القياسية: بداية باردة، ربط لأعلى وربط لأسفل (ليس syslog).
إذا كان تكوين PIX:
snmp-server enable traps logging history debug
ثم يتم إنشاء كل الملائمات القياسية وكل syslog traps. في مثالنا، هذه هي إدخالات syslog 101003 و 104001 و 111005 و 111007 و 199002 و 302005 و 305002، وأي إخراج آخر من syslog ينتج PIX. لأن محفوظات التسجيل المعينة لتصحيح الأخطاء وأرقام الملائمة هذه موجودة في مستويات الإعلام والتنبيه والمعلومات، فإن تصحيح أخطاء المستوى يتضمن ما يلي:
إذا كان تكوين PIX:
snmp-server enable traps logging history (a_level_below_debugging)
ثم يتم إنشاء كل الملائمات القياسية وكل الملائمات على المستوى أسفل تصحيح الأخطاء. إذا تم إستخدام الأمر logging history notification ، فإن هذا سيتضمن جميع فخاخ syslog في مستويات الطوارئ والتنبيه والحرجة والخطأ والتحذير والإخطار (ولكن ليس مستويات الإعلام أو تصحيح الأخطاء). وفي حالتنا، سوف يتم تضمين أعوام 11005 و 111007 و 101003 و 104001 (وأيا كانت الحالات الأخرى التي قد تولدها شبكة PIX في شبكة مباشرة).
إذا كان تكوين PIX:
snmp-server enable traps logging history whatever_level no logging message 305002 no logging message 302005 no logging message 111005
ثم لا يتم إنتاج الرسائل 305002 و 302005 و 111005. مع تعيين PIX لتصحيح أخطاء محفوظات التسجيل، يمكنك مشاهدة الرسائل 104001 و 101003 و 111007 و 199002 وجميع رسائل PIX الأخرى، ولكن ليس ال 3 المدرجة (305002 و 302005 و 11005).
تكوين PIX/ASA 7.x لمجموعة فرعية من الملائمات
إذا كان تكوين PIX:
snmp-server host
community
الملائمات الوحيدة التي يتم إنشاؤها هي الملائمات القياسية: المصادقة، البدء البارد، الارتباط لأعلى والارتباط لأسفل (ليس syslog).
التكوين المتبقي مماثل للإصدار 5. 1 من برنامج PIX والإصدارات الأحدث، باستثناء الإصدار 7.x من PIX/ASA، فإن الأمر snmp-server enable traps يحتوي على خيارات إضافية مثل IPsec والوصول عن بعد والوحدة
ملاحظة: ارجع إلى قسم تمكين SNMP من مراقبة جهاز الأمان لمعرفة المزيد حول إختبارات SNMP في PIX/ASA
مشاكل SNMP
اكتشاف PIX
إذا كان PIX يستجيب لاستعلام SNMP وأبلغ OID الخاص به باسم 1.3.6.1.4.1.9.1.227 أو في إصدارات برنامج PIX Firewall 6.0 أو الأحدث، كمعرف مدرج في Cisco-Products-MIB لذلك النموذج، فإن PIX يعمل كما تم تصميمه.
في إصدارات رمز PIX قبل 5.2.x عندما كان هناك دعم مضاف ل ipAddrTable لمجموعة IP، قد لا تتمكن محطات إدارة الشبكة من رسم PIX على الخريطة كPIX. يجب أن تكون محطة إدارة الشبكة قادرة دائما على اكتشاف حقيقة وجود PIX إذا كانت قادرة على إختبار PIX، ولكنها قد لا تقوم برسمه على أنه PIX - وهو صندوق أسود به 2 أضواء. بالإضافة إلى الحاجة إلى دعم IPaddrTable الخاص بمجموعة IP، يجب أن تفهم HPOV و NetView ومعظم محطات إدارة الشبكة الأخرى أن OID الذي يتم إرجاعه بواسطة PIX هو معرف PIX ليظهر الرمز المناسب.
تمت إضافة دعم CiscoView لإدارة PIX في CiscoView 5.2؛ يلزم أيضا الإصدار 6.0.x من PIX. في إصدارات PIX السابقة، يسمح تطبيق إدارة من إنتاج جهة خارجية ل HPOV Network Node Manager بتحديد جدران الحماية الخاصة ب PIX والأنظمة التي تعمل ببرنامج PIX Firewall Manager لإدارة جدار حماية PIX.
اكتشاف الأجهزة داخل PIX
إذا تم تكوين PIX بشكل صحيح، فإنه يقوم بتمرير استعلامات SNMP وملائمات من الخارج إلى الداخل. نظرا لتكوين ترجمة عنوان الشبكة (NAT) عادة على PIX، يلزم توفر إحصائيات للقيام بذلك. المشكلة هي عندما تقوم محطة إدارة الشبكة بالمشي السريع للعنوان العام، والذي يثبت إلى عنوان خاص داخل الشبكة، فإن الرأس الخارجي للحزمة لا يوافق على المعلومات الموجودة في ipAddrTable. هنا يتم المشي 171.68.118.150، وهو ثابت إلى 10.10.10.20 داخل PIX ويمكنك أن ترى حيث الجهاز 171.68.118.150 يبلغ عن أنه يحتوي على واجهتين: 10.10.10.20 و 10.31.1.50:
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.20 : IpAddress: 10.10.10.20 ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50
هل سيكون هذا منطقيا لمحطة إدارة الشبكة؟ ربما لا. سيكون نفس الإصدار موجودا في الملائمات: إذا كانت الواجهة 10.31.1.50 سيتم إبطالها، سيكون الجهاز 171.68.118.150 قد أبلغ عن وجود الواجهة 10.31.1.50.
تتمثل المشكلة الأخرى في محاولة إدارة شبكة داخلية من الخارج في "رسم" الشبكة. إذا كانت محطة الإدارة هي NetView أو HPOV، فإن هذه المنتجات تستخدم برنامج مساعدة "NetMon" لقراءة جداول المسارات من الأجهزة. يتم إستخدام جدول المسار في الاكتشاف. لا يدعم بروتوكول PIX ما يكفي من RFC 1213 
لإعادة جدول توجيه إلى محطة إدارة الشبكة، ولأسباب أمنية، فإن هذه ليست فكرة جيدة على أي حال. بينما تقوم الأجهزة الموجودة داخل ال PIX بالإبلاغ عن جداول المسارات الخاصة بها عند الاستعلام عن الجهاز الثابت، تقوم جميع أجهزة IP العامة (المحطات) بالإبلاغ عن جميع الواجهات الخاصة. إذا لم تكن العناوين الخاصة الأخرى داخل PIX تحتوي على إحصائيات، فلا يمكن الاستعلام عنها. أما إذا كان لديهم إحصائيات، فلا يمكن لمحطة إدارة الشبكة معرفة طبيعة هذه الحالات.
اكتشاف الأجهزة الموجودة خارج PIX
نظرا لأن إحدى محطات إدارة الشبكة داخل PIX تستعلم عن عنوان عام يبلغ عن واجهات "عامة"، فإن الاكتشاف من الخارج إلى الداخل لا ينطبق.
هنا، 171.68.118.118 في الداخل و 10.10.10.25 في الخارج. عندما سار 171.68.118.118 في 10.10.10.25، أبلغ المربع بشكل صحيح عن الواجهات الخاصة به، أي أن الرأس هو نفسه الموجود داخل الحزمة:
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.25 : IpAddress: 10.10.10.25 ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50
الإصدار 6.2 من PIX
تم إستخدام الأمر snmpwalk -c العام <pix_ip_address>على محطة إدارة HPOV لإجراء snmpwalk. تم تحميل جميع قواعد معلومات الإدارة (MIB) المتوفرة ل PIX 6.2 قبل إجراء عملية التنقل.
system.sysDescr.0 : DISPLAY STRING- (ascii):
Cisco PIX Firewall Version 6.2(1)
system.sysObjectID.0 : OBJECT IDENTIFIER:
.iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.390
system.sysUpTime.0 : Timeticks: (6630200) 18:25:02.00
system.sysContact.0 : DISPLAY STRING- (ascii):
system.sysName.0 : DISPLAY STRING- (ascii): satan
system.sysLocation.0 : DISPLAY STRING- (ascii):
system.sysServices.0 : INTEGER: 4
interfaces.ifNumber.0 : INTEGER: 3
interfaces.ifTable.ifEntry.ifIndex.1 : INTEGER: 1
interfaces.ifTable.ifEntry.ifIndex.2 : INTEGER: 2
interfaces.ifTable.ifEntry.ifIndex.3 : INTEGER: 3
interfaces.ifTable.ifEntry.ifDescr.1 : DISPLAY STRING- (ascii):
PIX Firewall 'outside' interface
interfaces.ifTable.ifEntry.ifDescr.2 : DISPLAY STRING- (ascii):
PIX Firewall 'inside' interface
interfaces.ifTable.ifEntry.ifDescr.3 : DISPLAY STRING- (ascii):
PIX Firewall 'intf2' interface
interfaces.ifTable.ifEntry.ifType.1 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifType.2 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifType.3 : INTEGER: ethernet-csmacd
interfaces.ifTable.ifEntry.ifMtu.1 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifMtu.2 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifMtu.3 : INTEGER: 1500
interfaces.ifTable.ifEntry.ifSpeed.1 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifSpeed.2 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifSpeed.3 : Gauge32: 10000000
interfaces.ifTable.ifEntry.ifPhysAddress.1 : OCTET STRING-
(hex): length = 6
0: 00 50 54 fe ea 30 -- -- -- -- -- -- -- -- -- --
.PT..0..........
interfaces.ifTable.ifEntry.ifPhysAddress.2 : OCTET STRING- (hex): length = 6
0: 00 50 54 fe ea 31 -- -- -- -- -- -- -- -- -- --
.PT..1..........
interfaces.ifTable.ifEntry.ifPhysAddress.3 : OCTET STRING- (hex): length = 6
0: 00 90 27 42 fb be -- -- -- -- -- -- -- -- -- --
..'B............
interfaces.ifTable.ifEntry.ifAdminStatus.1 : INTEGER: up
interfaces.ifTable.ifEntry.ifAdminStatus.2 : INTEGER: up
interfaces.ifTable.ifEntry.ifAdminStatus.3 : INTEGER: down
interfaces.ifTable.ifEntry.ifOperStatus.1 : INTEGER: up
interfaces.ifTable.ifEntry.ifOperStatus.2 : INTEGER: up
interfaces.ifTable.ifEntry.ifOperStatus.3 : INTEGER: down
interfaces.ifTable.ifEntry.ifLastChange.1 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifLastChange.2 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifLastChange.3 : Timeticks: (6630200) 18:25:02.00
interfaces.ifTable.ifEntry.ifInOctets.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInOctets.2 : Counter: 19120151
interfaces.ifTable.ifEntry.ifInOctets.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInUcastPkts.2 : Counter: 1180
interfaces.ifTable.ifEntry.ifInUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInNUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInNUcastPkts.2 : Counter: 246915
interfaces.ifTable.ifEntry.ifInNUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.2 : Counter: 0
interfaces.ifTable.ifEntry.ifInDiscards.3 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.1 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.2 : Counter: 0
interfaces.ifTable.ifEntry.ifInErrors.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutOctets.1 : Counter: 60
interfaces.ifTable.ifEntry.ifOutOctets.2 : Counter: 187929
interfaces.ifTable.ifEntry.ifOutOctets.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutUcastPkts.1 : Counter: 1
interfaces.ifTable.ifEntry.ifOutUcastPkts.2 : Counter: 2382
interfaces.ifTable.ifEntry.ifOutUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutNUcastPkts.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutDiscards.3 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.1 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.2 : Counter: 0
interfaces.ifTable.ifEntry.ifOutErrors.3 : Counter: 0
interfaces.ifTable.ifEntry.ifSpecific.1 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
interfaces.ifTable.ifEntry.ifSpecific.2 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
interfaces.ifTable.ifEntry.ifSpecific.3 : OBJECT IDENTIFIER:
.ccitt.zeroDotZero
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.212.3.3.1 : IpAddress:
212.3.3.1
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.48.66.47 : IpAddress:
10.48.66.47
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1 : IpAddress:
127.0.0.1
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.212.3.3.1 : INTEGER: 1
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.10.48.66.47 : INTEGER: 2
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.127.0.0.1 : INTEGER: 3
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.212.3.3.1 : IpAddress:
255.255.255.0
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.48.66.47 : IpAddress:
255.255.254.0
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.127.0.0.1 : IpAddress:
255.255.255.255
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.212.3.3.1 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.10.48.66.47 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.127.0.0.1 : INTEGER: 0
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.212.3.3.1 : INTEGER:
65535
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.10.48.66.47 : INTEGER:
65535
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.127.0.0.1 : INTEGER:
65535
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolName.1 :
DISPLAY STRING- (ascii): PIX system memory
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolAlternate.1 :
INTEGER: 0
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolValid.1 :
INTEGER: true
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolUsed.1 :
Gauge32: 21430272
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolFree.1 :
Gauge32: 12124160
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolLargestFree.1 :
Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotalPhysicalIndex.1 : INTEGER: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5sec.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal1min.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5min.1 : Gauge32: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
6 : OCTET STRING- (ascii):
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
7 : OCTET STRING- (ascii):
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
6 : INTEGER: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
7 : INTEGER: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
6 : OCTET STRING- (ascii): Failover Off
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
7 : OCTET STRING- (ascii): Failover Off
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.3 : OCTET STRING- (ascii): maximum number of allocated 4 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.5 : OCTET STRING- (ascii): fewest 4 byte blocks available
since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.8 : OCTET STRING- (ascii): current number of available 4 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.3 : OCTET STRING- (ascii): maximum number of allocated 80 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.5 : OCTET STRING- (ascii): fewest 80 byte blocks available
since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.8 : OCTET STRING- (ascii): current number of available 80 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.3 : OCTET STRING- (ascii): maximum number of allocated 256 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.5 : OCTET STRING- (ascii): fewest 256 byte blocks available
since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.8 : OCTET STRING- (ascii): current number of available 256 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.3 : OCTET STRING- (ascii): maximum number of allocated 1550 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.5 : OCTET STRING- (ascii): fewest 1550 byte blocks available
since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.8 : OCTET STRING- (ascii): current number of available 1550 byte blocks
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.3 : Gauge32: 1600
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.5 : Gauge32: 1599
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.8 : Gauge32: 1600
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.3 : Gauge32: 400
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.5 : Gauge32: 374
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.8 : Gauge32: 400
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.3 : Gauge32: 500
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.5 : Gauge32: 498
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.8 : Gauge32: 500
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.3 : Gauge32: 1252
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.5 : Gauge32: 865
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.8 : Gauge32: 867
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatDescription.40.6 :
OCTET STRING- (ascii): number of connections currently in use
by the entire firewall
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatDescription.40.7 :
OCTET STRING- (ascii): highest number of connections in use
at any one time since system startup
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatCount.40.6 :
Counter: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatCount.40.7 :
Counter: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatValue.40.6 :
Gauge32: 0
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
cfwConnectionStatValue.40.7 :
Gauge32: 0
End of MIB View.
معلومات للتجميع إذا قمت بفتح حالة مركز المساعدة الفنية
| إذا كنت لا تزال بحاجة إلى مساعدة بعد إكمال خطوات أستكشاف الأخطاء وإصلاحها في هذا المستند وتريد فتح حالة باستخدام Cisco TAC، فتأكد من تضمين هذه المعلومات لاستكشاف أخطاء جدار حماية PIX وإصلاحها. |
|---|
|
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
29-Dec-2006 |
الإصدار الأولي |
التعليقات