使用Telnet進行遠程系統管理(Using Telnet for Remote System Management)
IDS系統日誌信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
(一)、配置Telnet控制檯訪問(Configuring Telnet Console Access)
按照以下步驟來配置Telnet控制檯訪問:
下例爲上述過程的配置列表。
接收請求和發送系統日誌陷阱
下表中的命令定義了PIX防火牆可以從位於內部接口上的主機192.168.3.2接收
SNMP請求,但不向任意主機發送SNMP系統日誌.
注意 這些指令僅用於SNMPc (CiscoWorks for Windows)。
cfwHardwareInformation.6 :
在此表中,只有cfwHardwareStatusValue包含數值,即active或standby來表示每個單元的狀態。
在HP OpenView Browse MIB應用的“MIB值”窗口中,MIB查詢範例生成以下信息:
在HP OpenView Browse MIB應用的“MIB值”窗口中,MIB查詢範例生成以下信息:
注意 這三行對每個在show blocks命令的輸出中列出的塊大小進行重複.
IDS系統日誌信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
一、使用Telnet進行遠程系統管理(Using Telnet for Remote System Management) 在內部和第三接口上可經由Telnet訪問控制檯。第三接口是與PIX防火牆中第三個可用插槽相連的網絡。您可用show nameif命令瀏覽第三接口。列表從上往下的第三項是第三接口。
串行控制檯讓單一用戶配置PIX防火牆,但很多情況下這對有多位管理員的站點來說不太方便。PIX防火牆允許您從任意內部接口上的主機經由Telnet訪問串行控制檯。配置了IPSec後,您就可使用Telnet從外部接口遠程管理PIX防火牆的控制檯。本部分包括以下內容:
? 配置Telnet控制檯訪問(Configuring Telnet Console Access)
? 測試Telnet訪問(Testing Telnet Access)
? 保護外部接口上的Telnet連接(Securing a Telnet Connection on the Outside Interface)
? Trace Channel特性(Trace Channel Feature)
(一)、配置Telnet控制檯訪問(Configuring Telnet Console Access)
按照以下步驟來配置Telnet控制檯訪問:
步驟1
使用PIX防火牆telnet命令。例如,如想讓一臺位於內部接口之上、地址爲192.168.1.2的主機訪問PIX防火牆,就輸入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
使用PIX防火牆telnet命令。例如,如想讓一臺位於內部接口之上、地址爲192.168.1.2的主機訪問PIX防火牆,就輸入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果設置了IPSec,您即可讓位於外部接口上的主機訪問PIX防火牆控制檯。具體信息請參見"保護外部接口上的Telnet連接(Securinga Telnet Connection on the Outside Interface)"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside
步驟2
如需要,可對PIX防火牆在斷開一個Telnet會話前,該會話可閒置的時間長度進行設置。默認值5分鐘對大多數情況來說過短,需予以延
長直至完成所有生產前測試和糾錯。按下例所示設置較長的閒置時間。telnet timeout 15;
如需要,可對PIX防火牆在斷開一個Telnet會話前,該會話可閒置的時間長度進行設置。默認值5分鐘對大多數情況來說過短,需予以延
長直至完成所有生產前測試和糾錯。按下例所示設置較長的閒置時間。telnet timeout 15;
步驟3
如果您想用認證服務器來保護到控制檯的訪問,您可使用aaa authentication telnet console命令,它需要您在驗證服務器上有一個用戶名和口令。當您訪問控制檯時,PIX防火牆提示您提供這些登錄條件。如果驗證服務器離線,您仍可使用用戶名pix和由enable password命令設置的口令訪問控制檯。
如果您想用認證服務器來保護到控制檯的訪問,您可使用aaa authentication telnet console命令,它需要您在驗證服務器上有一個用戶名和口令。當您訪問控制檯時,PIX防火牆提示您提供這些登錄條件。如果驗證服務器離線,您仍可使用用戶名pix和由enable password命令設置的口令訪問控制檯。
步驟4 用write memory命令保存配置中的命令
(二)、測試Telnet訪問(Testing Telnet Access) 執行以下步驟來測試Telnet訪問:
步驟1
從主機啓動一個到PIX防火牆接口IP地址的Telnet會話。如果您正使用Windows 95或Windows NT,點擊Start>Run來啓動Telnet會話。例如,
如果內部接口IP地址是192.168.1.1,輸入以下命令。telnet 192.168.1.1
從主機啓動一個到PIX防火牆接口IP地址的Telnet會話。如果您正使用Windows 95或Windows NT,點擊Start>Run來啓動Telnet會話。例如,
如果內部接口IP地址是192.168.1.1,輸入以下命令。telnet 192.168.1.1
步驟2
PIX防火牆提示您輸入口令:
PIX防火牆提示您輸入口令:
PIX passwd:
輸入cisco,然後按Enter鍵。您即登錄到PIX防火牆上了。
默認口令爲cisco,您可用passwd命令來更改它。
您可在Telnet控制檯上輸入任意您可從串行控制檯上設置的命令,但如果您重啓PIX防火牆,您將需在其重啓動後登錄PIX防火牆。
一些Telnet應用,如Windows 95或Windows NT Telnet會話可能不支持通過箭頭鍵使用的PIX防火牆命令歷史記錄特性。然而,您可按Ctrl-P來獲取最近輸入的命令。
步驟3
一旦您建立了Telnet訪問,您可能想在糾錯時瀏覽ping(探查)信息。您可用debug icmp trace命令瀏覽來自Telnet會話的ping信息。Trace Channel特性也對debug的顯示有影響,這將在"Trace Channel特性(Trace Channel Feature)"中詳述。
一旦您建立了Telnet訪問,您可能想在糾錯時瀏覽ping(探查)信息。您可用debug icmp trace命令瀏覽來自Telnet會話的ping信息。Trace Channel特性也對debug的顯示有影響,這將在"Trace Channel特性(Trace Channel Feature)"中詳述。
成功的ping信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步驟4
此外,您可使用Telnet控制檯會話來瀏覽系統日誌信息:
此外,您可使用Telnet控制檯會話來瀏覽系統日誌信息:
a. 用logging monitor 7命令啓動信息顯示。"7"將使所有系統日誌級別均得以顯示。如果您正在生產模式下使用PIX防火牆,您可能希望使用logging buffered 7命令脣?信息存儲在您可用show logging命令瀏覽的緩存中,還可用clear logging命令清理緩存以便更方便地瀏覽。如想停止緩存信息,使用no logging buffered命令。
您也可將數目從7降至較小值,如3,以限制所顯示的信息數。b. 如果您輸入logging monitor命令,然後輸入terminal monitor命令來使信息在您的Telnet會話中顯示。如想禁止信息顯示,使用terminal no monitor命令。
例1給出了使用Telnet允許主機訪問PIX防火牆控制檯的命令。
例1 使用Telnet
例1 使用Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一個telnet命令允許單一主機,10.1.1.11用Telnet訪問PIX防火牆控制檯。網絡掩模的最後八位字節中的數值255表明只有指定主機可訪問該控制檯。
第二個telnet命令允許192.168.3.0網絡上的所有主機訪問PIX防火牆控制檯。網絡掩模的最後八位字節中的數值0允許那一網絡中的所有主機進行訪問。然而,Telnet只允許16臺主機同時訪問PIX防火牆控制檯。
(三)、保護外部接口上的Telnet連接 (Securing a Telnet Connection on the Outside Interface)
本部分講述如何保護到PIX防火牆的外部接口的PIX防火牆控制檯Telnet連接。它包括以下內容:
本部分講述如何保護到PIX防火牆的外部接口的PIX防火牆控制檯Telnet連接。它包括以下內容:
? 概述(Overview)
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也適用於您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5來保護您的Telnet連接。在下一部分的舉例中,PIX防火牆的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址來自於虛擬地址池,爲10.1.2.0。
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也適用於您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5來保護您的Telnet連接。在下一部分的舉例中,PIX防火牆的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址來自於虛擬地址池,爲10.1.2.0。
有關此命令的具體信息,請參見《Cisco PIX防火牆命令參考》中telnet命令頁。
您將需在您的VPN客戶機上設置兩個安全策略。一個用於保護您的Telnet連接,另一個保護您到內部網絡的連接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分僅適用於您使用Cisco Secure VPN Client的情況。如想對您到PIX防火牆的外部接口的Telnet連接加密,則將以下步驟作爲您PIX防火牆配置的一部分加以執行
步驟1
創建一個access-list命令語句,定義需從PIX防火牆到使用來自
本地虛擬地址池中目的地址的VPN客戶機而進行保護的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
創建一個access-list命令語句,定義需從PIX防火牆到使用來自
本地虛擬地址池中目的地址的VPN客戶機而進行保護的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步驟2
定義哪臺主機可用Telnet訪問PIX防火牆控制檯:
telnet 10.1.2.0 255.255.255.0 outside
從本地池和外部接口指定VPN客戶機的地址。
定義哪臺主機可用Telnet訪問PIX防火牆控制檯:
telnet 10.1.2.0 255.255.255.0 outside
從本地池和外部接口指定VPN客戶機的地址。
步驟3
在VPN客戶機中,創建一個安全策略,將遠程方身份識別IP地址與網關IP地址定義爲相同--PIX防火牆外部接口的IP地址。在此例中,PIX防火牆的外部IP地址爲168.20.1.5。
在VPN客戶機中,創建一個安全策略,將遠程方身份識別IP地址與網關IP地址定義爲相同--PIX防火牆外部接口的IP地址。在此例中,PIX防火牆的外部IP地址爲168.20.1.5。
步驟4
配置VPN客戶機上的其它安全策略,以與PIX防火牆的安全策略相配。
配置VPN客戶機上的其它安全策略,以與PIX防火牆的安全策略相配。
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分僅適用於您使用Cisco VPN 3000 Client的情況。如想對您到PIX防火牆的外部接口的Telnet連接加密,則將以下步驟作爲您PIX防火牆配置的一部分加以執行。在下例中,PIX防火牆外部接口的IP地址爲168.20.1.5,Cisco VPN 3000 Client的IP地址來自於虛擬地址池,爲10.1.2.0。
定義哪臺主機可用Telnet訪問PIX防火牆。從本地池和外部接口指定VPN客戶機的地址。
telnet 10.1.2.0 255.255.255.0 outside
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令將其輸出送至Trace Channel。其它所有debug命令則並非如此。Trace Channel的使用改變了您在PIX防火牆控制檯或Telnet會話期間瀏覽屏幕上輸出結果的方式。
如果一個debug命令不使用Trace Channel,每個會話都獨立運作,意味着任意從會話中啓動的命令只出現在該會話中。在默認狀態下,不使用Trace Channel的會話的輸出是禁用的。
Trace Channel的位置取決於您在控制檯會話的同時還運行着一個同步Telnet控制檯會話,還是您只使用PIX防火牆串行控制檯:
o 如果您僅使用PIX防火牆串行控制檯,所有debug命令都顯示在串行控制檯上。
o 如果您有一個串行控制檯會話和一個Telnet控制檯會話同時訪問控制檯,那麼無論您在何處輸入debug命令,輸出均顯示在Telnet控制檯會話上。
o 如果您有2個或更多Telnet控制檯會話,則第一個會話是Trace Channel。如果那一會話關閉,那麼串行控制檯會話變成Trace Channel。隨後是訪問控制檯的下一Telnet控制檯會話成爲Trace Channel。
debug 命令在所有Telnet和串行控制檯會話間共享。
注意 Trace Channel特性的缺點是,如果一位管理員正使用串行控制檯,另一管理員啓動一個Telnet控制檯會話,則串行控制檯上的debug命令輸出會在毫無警告的情況下停止。此外,Telnet控制檯會話上的管理員將突然看到debug命令的輸出,這可能是其不希望出現的局面。如果您正使用串行控制檯,且未出現debug命令的輸出 ,使用who命令來查看是否有Telnet控制檯會話正在運行。
二、IDS系統日誌信息(IDS Syslog Messages)
?PIX防火牆經由系統日誌列出了單分組(原子)Cisco入侵檢測系統(IDS)簽字信息。所支持的信息列表請參見《Cisco PIX防火牆系統日誌信息》。
此版本中所有簽字信息不受PIX防火牆支持。IDS系統日誌信息均以%PIX-4-4000nn開始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
選項:
sig_num 簽字號。具體信息參見《Cisco安全入侵檢測系統2.2.1用戶指南》。
sig_msg 簽字信息——幾乎與NetRanger簽字信息相同。
Ip_addr 簽字適用的本地到遠程地址。
Int_name 簽字最初發出的接口名。
您可用以下命令確定顯示哪些信息:
ip audit signature signature_number disable
將一項全局策略與一個簽名相連。用於禁用某一簽名或不讓某一簽名進行審計。
no ip audit signature signature_number
從簽名處刪除策略。用於重新使用某一簽名。
show ip audit signature [signature_number]
顯示禁用簽名。
ip audit info [action [alarm] [drop] [reset]]
指定對於分類爲信息簽名的簽名所採取的默認行動。
alarm選項表示,當發現某一分組中籤名匹配,PIX防火牆就將事件報告給所有已配置的系統日誌服務器。drop選項丟棄不合格的分組。reset選項丟棄不合格的分組,並且如果它是一條有效連接的一部分,則關閉該連接。默認值爲alarm。如想取消事件響應,使用不帶action選項的ip audit info命令。
no ip audit info
設置針對分類爲信息的簽名而採取的行動,調查默認行動。
show ip audit info
顯示默認信息行動。
ip audit attack [action [alarm] [drop] [reset]]
指定對於攻擊簽名所應採取的默認行動。action選項如前所定義。 no ip audit attack
將針對攻擊簽名而採取的行爲是默認行爲。
show ip audit attack
顯示默認攻擊行動。審計策略(審計規則)定義了所有可應用於某一接口的簽名的屬性以及一系列行動。使用審計策略,用戶可限制審計的流量或指定簽名匹配時採取的行動。每個審計策略由一個名稱識別,可針對信息或攻擊簽名進行定義。每個接口可有2個策略,一個用於信息簽名,另一個用於攻擊簽名。如果定義的策略中無行動,則採取已配置的默認行動。每個策略需要一個不同名稱。
ip audit name audit_name info[action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的信息簽名之外,所有信息簽名均被認爲是策略的一部分。行動與前面描述的相同。
no ip audit name audit_name [info]
刪除審計策略audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的攻擊簽名之外,所有攻擊簽名均被認爲是策略的一部分。行動與前面描述的相同。
no ip audit name audit_name [attack]
刪除審計規定audit_name。
show ip audit name [name [info|attack]]
顯示所有審計策略或按名稱和可能的類型顯示特定策略。
ip audit interface if_name audit_name
向某一接口應用審計規定或策略(經由ip audit name命令)。
no ip audit interface [if_name]
從某一接口刪除一個策略。
show ip audit interface
顯示接口配置。
三、使用DHCP(Using DHCP)
PIX防火牆支持動態主機配置協議(DHCP)服務器和DHCP客戶機。DHCP是一個協議,向互聯網主機提供自動配置參數。此協議有兩個組成部分:
用於從DHCP服務器向主機(DHCP客戶機)提供主機特定配置參數的協議
用於向主機分配網絡地址的機制
DHCP服務器是向DHCP客戶機提供配置參數的計算機,DHCP客戶機則是使用DHCP獲得網絡配置參數的計算機或網絡設備。
用於向主機分配網絡地址的機制
DHCP服務器是向DHCP客戶機提供配置參數的計算機,DHCP客戶機則是使用DHCP獲得網絡配置參數的計算機或網絡設備。
在PIX防火牆中實施DHCP服務器和DHCP客戶機特性的主要目的是大大簡化PIX防火牆單元的配置。
本部分包括以下內容:
DHCP客戶機(DHCP Client)
DHCP服務器(DHCP Server)
DHCP客戶機(DHCP Client)
DHCP服務器(DHCP Server)
DHCP客戶機(DHCP Client)
PIX防火牆中的DHCP客戶機支持經過專門設計,適用於小型辦公室、家庭辦公室(SOHO)環境,這些環境中使用PIX防火牆直接與支持DHCP服務器功能的DSL或電纜調制解調器相連。隨着PIX防火牆上DHCP客戶機特性的實施,PIX防火牆對DHCP服務器來說即可作爲DHCP客戶機,允許服務器用IP地址、子網掩模和可選的默認路由來配置單元的啓動接口
不支持使用DHCP客戶機特性從通用DHCP服務器獲取IP地址的操作。此外,PIX防火牆DHCP客戶機不支持故障轉換配置。
爲支持PIX防火牆中的DHCP客戶機特性,進行了以下改進:
增強了ip address和show ip address命令:
- ip address if_name dhcp [setroute] [retry retry_cnt]
- ip address outside dhcp [setroute] [retry retry_cnt]
- show ip address if_name dhcp
添加了新的debug命令:
添加了新的debug命令:
- debug dhcpc packet
- debug dhcpc detail
- debug dhcpc error
ip address dhcp命令可在指定PIX防火牆接口上啓動DHCP客戶機特性。可選setroute參數讓PIX防火牆使用DHCP服務器返回的默認網關參數來設置默認路由。
ip address dhcp命令可在指定PIX防火牆接口上啓動DHCP客戶機特性。可選setroute參數讓PIX防火牆使用DHCP服務器返回的默認網關參數來設置默認路由。
debug dhcpc命令爲啓動的DHCP客戶機特性提供糾錯工具。
用於實施DHCP客戶機的PIX防火牆命令在《Cisco PIX防火牆命令參考》的ip address命令頁和debug命令頁中介紹。具體信息請參見這些命令頁。
注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。這樣,ISP就無需向PIX防火牆分配靜態IP地址了。使用帶interface關鍵字的global命令來使PAT使用DHCP所需的外部接口IP地址。有關global命令的具體信息,請參見《Cisco PIX防火牆命令參考》中的global命令頁。
啓動DHCP客戶機特性和設置默認路由(Enabling the DHCP Client Feature and Setting Default Route)
爲在給定PIX防火牆接口上啓動DHCP客戶機特性並經由DHCP服務器設置默認路由,需將ip address dhcp setroute命令作爲您整個PIX防火牆配置的一部分加以配置,這其中包括setroute選項。指定將在其上啓動DHCP客戶機的接口名。
DHCP服務器(DHCP Server)
PIX防火牆中的DHCP服務器支持經過了專門設計,適用於使用PIX 506的遠程家庭或分支機構(ROBO)環境。與PIX防火牆相連的是PC客戶機和其它網絡設備(DHCP客戶機),它們建立了不安全(未加密)或安全(使用IPSec加密)的網絡連接來訪問企業或公司網絡。作爲一個DHCP服務器,PIX防火牆通過使用DHCP向DHCP客戶機提供了網絡配置參數。這些配置參數爲DHCP客戶機提供了用於訪問企業網的網絡參數,以及在網絡中網絡服務(如DNS服務器)使用的參數。
在5.3版軟件發佈前,PIX防火牆DHCP服務器支持10個DHCP客戶機、PIX防火牆5.3及更高版本在PIX防火牆上支持32個DHCP客戶機,在其它平臺上支持256個。在6.0或更高版本中,PIX防火牆DHCP服務器支持256個DHCP客戶機。您不能使用C類網絡掩模爲256個客戶機配置1個DHCP服務器。例如,如果一家公司有C類網絡地址172.17.1.0,帶網絡掩模255.255.255.0,那麼172.17.1.0(網絡IP)和172.17.1.255(廣播)不可能在DHCP地址池範圍之內。此外,一個地址用於PIX防火牆接口。因此,如果用戶使用C類網絡掩模,就只能最多擁有253個DHCP客戶機。如想配置256個客戶機,就不能使用C類網絡掩模。
注意 PIX防火牆DHCP服務器不支持BOOTP請求和故障轉換配置。用於實施DHCP服務器特性的PIX防火牆命令在《Cisco PIX防火牆命令參考》的dhcp命令頁和debug命令頁中介紹。具體信息請參見這些命令頁。
配置DHCP服務器特性(Configuring the DHCP Server Feature)
確保在啓動DHCP服務器特性前,使用ip address命令來配置IP地址和inside接口的子網掩模。
按照以下步驟來在給定PIX防火牆接口上啓動DHCP服務器特性。(步驟1到6爲必需)。
步驟1
使用dhcpd address命令指定一個DHCP地址池。PIX防火牆將向客戶機分配此池中的地址之一併在給定長度的時間內使用。默認值爲inside接口。例如:
dhcp address 10.0.1.101-10.0.1.110 inside
使用dhcpd address命令指定一個DHCP地址池。PIX防火牆將向客戶機分配此池中的地址之一併在給定長度的時間內使用。默認值爲inside接口。例如:
dhcp address 10.0.1.101-10.0.1.110 inside
步驟2
(可選)指定客戶機將使用的DNS服務器的IP地址。您最多可指定2個DNS服務器。例如:dhcpd dns 209.165.201.2 209.165.202.129
(可選)指定客戶機將使用的DNS服務器的IP地址。您最多可指定2個DNS服務器。例如:dhcpd dns 209.165.201.2 209.165.202.129
步驟3
(可選)指定客戶機將使用的WINS服務器的IP地址。您最多可指定2個WINS服務器。例如:dhcpd wins 209.165.201.5
(可選)指定客戶機將使用的WINS服務器的IP地址。您最多可指定2個WINS服務器。例如:dhcpd wins 209.165.201.5
步驟4
指定授予客戶機的租用時間長度。這相當於客戶機在租用到期前可使用分配給它的IP地址的時間長度(以秒爲單位)。默認值爲3600秒。例如:
dhcpd lease 3000
指定授予客戶機的租用時間長度。這相當於客戶機在租用到期前可使用分配給它的IP地址的時間長度(以秒爲單位)。默認值爲3600秒。例如:
dhcpd lease 3000
步驟5
(可選)配置客戶機將使用的域名。例如:dhcpd domain example.com
(可選)配置客戶機將使用的域名。例如:dhcpd domain example.com
步驟6
啓動PIX防火牆中的DHCP端口監督程序,以接收啓動接口上的DHCP客戶機請求。現在您僅可在inside接口(默認值)上啓動DHCP服務器特性。例如:
dhcpd enable inside
啓動PIX防火牆中的DHCP端口監督程序,以接收啓動接口上的DHCP客戶機請求。現在您僅可在inside接口(默認值)上啓動DHCP服務器特性。例如:
dhcpd enable inside
下例爲上述過程的配置列表。
! set the ip address of the inside interface
ip address inside 10.0.1.2 255.255.255.0
! configure the network parameters the client will use once in the corporate network and
dhcpd address 10.0.1.101-10.0.1.110
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server daemon on the inside interface
dhcpd enable inside
下例爲DHCP地址池和DNS服務器地址的配置,帶啓動了DHCP服務器特性的內部接口:
dhcpd address 10.0.1.100-10.0.1.108
dhcpd dns 209.165.200.227
dhcpd enable
下例爲DHCP地址池的配置,使用auto_config命令來配置dns,wins和域參數: dhcpd address 10.0.1.100-10.0.1.108
dhcpd auto_config
dhcpd enable
下面是遠程辦公室中一個PIX防火牆上所配置的DHCP服務器和IPSec特性的部分配置範例。PIX 506單元的VPN對等設備是另一PIX防火牆,它的外部接口IP地址爲209.165.200.228,作爲公司網絡的網關。
! configure interface ip address
ip address outside 209.165.202.129 255.255.255.0
ip address inside 172.17.1.1 255.255.255.0
! configure ipsec with corporate pix
access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0
ipsec transform-set myset esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address ipsec-peer
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set peer 209.165.200.228
crypto map mymap interface outside
sysopt connection permit-ipsec
nat (inside) 0 access-list ipsec-peer
isakmp policy 10 authentication preshare
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 3600
isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
!configure dhcp server address
dhcpd address 172.17.1.100-172.17.1.109
dhcpd dns 192.168.0.20
dhcpd wins 192.168.0.10
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server on inside interface
dhcpd enable
! use outside interface ip as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface
四、使用SNMP(Using SNMP)
snmp_server命令使PIX防火牆可發送SNMP陷阱,以便PIX防火牆可從遠程監控。
使用snmp-server host命令來指定哪些系統可接受SNMP陷阱。此部分包括下列內容:
使用snmp-server host命令來指定哪些系統可接受SNMP陷阱。此部分包括下列內容:
簡介(Introduction)
MIB支持(MIB Support)
SNMP使用率說明(SNMP Usage Notes)
SNMP陷阱(SNMP Traps)
編輯Cisco Syslog MIB文件(Compiling Cisco Syslog MIB Files)
使用防火牆和內存池MIB(Using the Firewall and Memory Pool MIBs)
簡介(Introduction)
可用的PIX防火牆SNMP MIB-II組有系統(System)和接口(Interfaces)。
Cisco防火牆MIB和Cisco內存池MIB也可用。
MIB支持(MIB Support)
SNMP使用率說明(SNMP Usage Notes)
SNMP陷阱(SNMP Traps)
編輯Cisco Syslog MIB文件(Compiling Cisco Syslog MIB Files)
使用防火牆和內存池MIB(Using the Firewall and Memory Pool MIBs)
簡介(Introduction)
可用的PIX防火牆SNMP MIB-II組有系統(System)和接口(Interfaces)。
Cisco防火牆MIB和Cisco內存池MIB也可用。
所有SNMP值僅爲只讀(RO)
使用SNMP,您可以監控PIX防火牆上的系統事件。SNMP事件可以讀取,但PIX防
火牆上的信息不能用SNMP更改。SNMP管理站可用的PIX防火牆SNMP陷阱如下所示:
火牆上的信息不能用SNMP更改。SNMP管理站可用的PIX防火牆SNMP陷阱如下所示:
? 通用陷阱
- 上鍊路和下鏈路(電纜與接口相連與否;電纜與正在工作還是與非工作狀
態的接口相連)
- 冷啓動
- 驗證故障(公用字符串不匹配)
- 上鍊路和下鏈路(電纜與接口相連與否;電纜與正在工作還是與非工作狀
態的接口相連)
- 冷啓動
- 驗證故障(公用字符串不匹配)
? 經由Cisco Syslog MIB發送的與安全相關的事件:
- 拒絕全局訪問
- 故障轉換系統日誌信息
- 系統日誌信息
- 拒絕全局訪問
- 故障轉換系統日誌信息
- 系統日誌信息
使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型瀏覽器來接收
SNMP陷阱並瀏覽MIB。SNMP陷阱出現於UDP端口162。
SNMP陷阱並瀏覽MIB。SNMP陷阱出現於UDP端口162。
MIB支持(MIB Support)
注意 PIX防火牆不支持Cisco系統日誌MIB的瀏覽。您可瀏覽MIB-II的系統和接口
組。MIB的瀏覽與發送陷阱不同。瀏覽意味着從管理站執行MIB樹的snmpget或
snmpwalk命令以確定數值。
組。MIB的瀏覽與發送陷阱不同。瀏覽意味着從管理站執行MIB樹的snmpget或
snmpwalk命令以確定數值。
PIX防火牆平臺中的系統OID
PIX平臺
系統 OID
系統 OID
PIX 506
.1.3.6.1.4.1.9.1.389
.1.3.6.1.4.1.9.1.389
PIX 515
.1.3.6.1.4.1.9.1.390
.1.3.6.1.4.1.9.1.390
PIX 520
.1.3.6.1.4.1.9.1.391
.1.3.6.1.4.1.9.1.391
PIX 525
.1.3.6.1.4.1.9.1.392
.1.3.6.1.4.1.9.1.392
PIX 535
.1.3.6.1.4.1.9.1.393
.1.3.6.1.4.1.9.1.393
其它
.1.3.6.1.4.1.9.1.227 (初始PIX 防火牆OID)
.1.3.6.1.4.1.9.1.227 (初始PIX 防火牆OID)
接收請求和發送系統日誌陷阱
按照以下步驟來接收請求並從PIX防火牆向SNMP管理站發送陷阱:
步驟1
用snmp-server host命令確定SNMP管理站的IP地址。
用snmp-server host命令確定SNMP管理站的IP地址。
步驟2
按需設置snmp-server的location、contact和community口令選項。如果您只需發送冷啓動、上鍊路、下鏈路通用陷阱,則無需進一步配置。如果您僅想接收SNMP請求,則無需進一步配置。
按需設置snmp-server的location、contact和community口令選項。如果您只需發送冷啓動、上鍊路、下鏈路通用陷阱,則無需進一步配置。如果您僅想接收SNMP請求,則無需進一步配置。
步驟3
添加一條snmp-server enable traps命令語句?/td>
添加一條snmp-server enable traps命令語句?/td>
步驟4
用logging history命令設置記錄級別:
用logging history命令設置記錄級別:
logging history debugging
我們建議您在初始設置和測試期間使用debugging級別。然後將級別從debugging降至較低數值以用於生產。
(logging history命令爲SNMP系統日誌信息設置嚴重程度)。
步驟5
開始用logging on命令向管理站發送系統日誌陷阱。
開始用logging on命令向管理站發送系統日誌陷阱。
步驟6
如想禁止發送系統日誌陷阱,則使用no logging on或no snmp-server enable traps命令。
如想禁止發送系統日誌陷阱,則使用no logging on或no snmp-server enable traps命令。
下表中的命令定義了PIX防火牆可以從位於內部接口上的主機192.168.3.2接收
SNMP請求,但不向任意主機發送SNMP系統日誌.
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
location和contact命令確定了主機的位置和誰管理主機。community命令指定
了PIX防火牆SNMP代理和SNMP管理站中使用的口令,以驗證兩個系統間的網絡訪問。
了PIX防火牆SNMP代理和SNMP管理站中使用的口令,以驗證兩個系統間的網絡訪問。
編輯Cisco系統日誌MIB文件(Compiling Cisco Syslog MIB Files)
爲從PIX防火牆接收安全性和故障轉換SNMP陷阱,就需將Cisco SMI MIB和Cisco系
統日誌MIB編輯入您的SNMP管理應用。如果您未將Cisco系統日誌MIB編輯入您的應
用,您就只能接收用於上或下鏈路、防火牆冷啓動和驗證故障的陷阱。
統日誌MIB編輯入您的SNMP管理應用。如果您未將Cisco系統日誌MIB編輯入您的應
用,您就只能接收用於上或下鏈路、防火牆冷啓動和驗證故障的陷阱。
在此頁中,從Cisco安全和VPN選擇列表中選擇PIX Firewall。
按照以下步驟使用CiscoWorks for Windows (SNMPc)將Cisco系統日誌MIB文件編輯
入您的瀏覽器:
入您的瀏覽器:
步驟1
獲得Cisco系統日誌MIB文件。
獲得Cisco系統日誌MIB文件。
步驟2
啓動SNMPc。
啓動SNMPc。
步驟3
點擊Config>Complile MIB。
點擊Config>Complile MIB。
步驟4
滾動光標至列表底部,並點擊最後一項。
滾動光標至列表底部,並點擊最後一項。
步驟5
點擊Add。
點擊Add。
步驟6
發現Cisco系統日誌MIB文件。
發現Cisco系統日誌MIB文件。
注意
對某些應用來說,只有帶.mib擴展名的文件可以在SNMPc的文件選擇窗口中顯示。帶.my擴展名的Cisco系統日誌MIB文件不會顯示。在此例中,您應手工地將.my擴展名改爲.mib擴展名。
對某些應用來說,只有帶.mib擴展名的文件可以在SNMPc的文件選擇窗口中顯示。帶.my擴展名的Cisco系統日誌MIB文件不會顯示。在此例中,您應手工地將.my擴展名改爲.mib擴展名。
步驟7
點擊CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)並點擊OK?/td>
點擊CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)並點擊OK?/td>
步驟8
滾動光標至列表底部,並點擊最後一項。
滾動光標至列表底部,並點擊最後一項。
步驟9
點擊Add。
點擊Add。
步驟10
發現文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)並點擊OK。
發現文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)並點擊OK。
步驟11
滾動光標至列表底部,並點擊最後一項。
滾動光標至列表底部,並點擊最後一項。
步驟12
點擊Add。
點擊Add。
步驟13
發現文件CISCO-SMI.my (CISCO-SMI.mib)並點擊OK。
發現文件CISCO-SMI.my (CISCO-SMI.mib)並點擊OK。
步驟14
滾動光標至列表底部,並點擊最後一項。
滾動光標至列表底部,並點擊最後一項。
步驟15
點擊Add。
點擊Add。
步驟16
發現文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)並點擊OK。
發現文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)並點擊OK。
步驟17
點擊Load All。
點擊Load All。
步驟18
如無錯誤,重啓SNMPc。
如無錯誤,重啓SNMPc。
注意 這些指令僅用於SNMPc (CiscoWorks for Windows)。
使用防火牆和內存池MIB(Using the Firewall and Memory Pool MIBs)
Cisco防火牆和內存池MIB讓您可以輪詢故障轉換和系統狀態。本部分包括以下內容:
o ipAddrTable說明(ipAddrTable Notes)
o 瀏覽故障轉換狀態(Viewing Failover Status)
o 驗證內存使用率(Verifying Memory Usage)
o 瀏覽連接數(Viewing The Connection Count)
o 瀏覽系統緩存使用率(Viewing System Buffer Usage)
在每部分最後的表中,每個返回值的意義都顯示在括號中。
ipAddrTable說明(ipAddrTable Notes)
SNMP ip.ipAddrTable的使用要求所有接口都分別有各自獨特的地址。如果接口未被分配IP地址,則其IP地址默認爲127.0.0.1。擁有重複IP地址會導致SNMP管理站無限循環。工作循環就是向每個接口分配一個不同的地址。例如,您可將一個地址設置爲127.0.0.1,另一地址設置爲127.0.0.2等。
SNMP ip.ipAddrTable的使用要求所有接口都分別有各自獨特的地址。如果接口未被分配IP地址,則其IP地址默認爲127.0.0.1。擁有重複IP地址會導致SNMP管理站無限循環。工作循環就是向每個接口分配一個不同的地址。例如,您可將一個地址設置爲127.0.0.1,另一地址設置爲127.0.0.2等。
SNMP使用一系列GetNext操作來轉換MIB樹。每個GetNext請求均以前-請求的結果爲基礎。因此,如果兩個連續接口有相同的IP 127.0.0.1(表索引),GetNext功能返回127.0.0.1,這是正確的;然而,當SNMP使用同一結果(127.0.0.1)生成下一GetNext請求,該請求與前一請求一樣,從而會導致管理站無限循環。
例如:GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
在SNMP協議中,MIB表索引必須是獨一無二的,以便代理識別MIB表的某一行。ip.AddrTable的表索引是PIX防火牆接口IP地址,故此IP地址應獨一無二;否則,SNMP代理將發生混亂並可能返回有相同IP(索引)的另一接口(行)的信息。
瀏覽故障轉換狀態(Viewing Failover Status)
Cisco防火牆MIB的cfsHardwareStatusTable允許您確定是否啓動故障轉換以及哪個單元處在活動狀態。Cisco防火牆MIB通過cfwHardwareStatusTable對象中的兩行來指示故障轉換狀態。從PIX防火牆命令行,您可用show failover命令瀏覽故障轉換狀態。您可從以下路徑訪問對象表:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
故障轉換狀態對象
對象
對象類型
行1:如禁用故障轉換時則返回
行1:如啓用故障轉換時返回
行2:如啓用故障轉換時返?/td>
對象類型
行1:如禁用故障轉換時則返回
行1:如啓用故障轉換時返回
行2:如啓用故障轉換時返?/td>
cfwHardwareType
(表索引)
Hardware
6(如爲基本單元)
6(如爲基本單元)
7(如爲備用單元)
(表索引)
Hardware
6(如爲基本單元)
6(如爲基本單元)
7(如爲備用單元)
cfwHardware
Information
SnmpAdminString
空白
空白
空白
Information
SnmpAdminString
空白
空白
空白
cfwHardware
StatusValue
HardwareStatus
0(未使用?/td>
active 或 9(如爲活動單元)或是standby或10(如爲備用單元)
active 或 9(如爲活動單元)或是standby或10如爲備用單元
StatusValue
HardwareStatus
0(未使用?/td>
active 或 9(如爲活動單元)或是standby或10(如爲備用單元)
active 或 9(如爲活動單元)或是standby或10如爲備用單元
cfwHardware
StatusDetail
SnmpAdminString
Failover Off
空白
空白
StatusDetail
SnmpAdminString
Failover Off
空白
空白
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6
cfwHardwareStatusValue.7
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
在此表中,表索引cfwHardwareType作爲.6或.7附在每個隨後對象的最後。cfwHardwareInformation域爲空白,cfwHardwareStatus值爲0,而cfwHardwareStatusDetail包含Failover Off,這表示故障轉換狀態。
啓動故障轉換時,MIB查詢範例生成下列信息:
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
在此表中,只有cfwHardwareStatusValue包含數值,即active或standby來表示每個單元的狀態。
驗證內存使用率(Verifying Memory Usage)
您可確定Cisco內存池MIB帶有多少空閒內存。從PIX防火牆命令行,可用show memory命令瀏覽內存使用率。以下是show memory命令的輸出範例。
show memory
16777216 bytes total, 5595136 bytes free
您可從以下路徑訪問MIB對象:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable
內存使用率
對象
對象類型
返回值
對象類型
返回值
ciscoMemoryPoolType CiscoMemoryPoolTypes 1 (處理器內存)(表索引)
ciscoMemoryPoolType
1 (處理器內存)
ciscoMemoryPoolType
1 (處理器內存)
ciscoMemoryPoolName
DisplayString
PIX 系統內存
DisplayString
PIX 系統內存
ciscoMemoryPoolAlternate
Integer32
0 (無備用內存池)
Integer32
0 (無備用內存池)
ciscoMemoryPoolValid
TruthValue
true (表明其餘對象的值正確)
TruthValue
true (表明其餘對象的值正確)
ciscoMemoryPoolUsed
Gauge32
integer (目前在用的字節數-
總字節減去空閒字節)
Gauge32
integer (目前在用的字節數-
總字節減去空閒字節)
ciscoMemoryPoolFree
Gauge32
integer (當前空閒的字節數)
Gauge32
integer (當前空閒的字節數)
ciscoMemoryPoolLargestFree
Gauge32 0
(不可獲得信息)
Gauge32 0
(不可獲得信息)
在HP OpenView Browse MIB應用的“MIB值”窗口中,MIB查詢範例生成以下信息:
ciscoMemoryPoolName.1 :PIX system memory
ciscoMemoryPoolAlternate.1
ciscoMemoryPoolValid.1 :true
ciscoMemoryPoolUsed.1 :12312576
ciscoMemoryPoolFree.1 :54796288
ciscoMemoryPoolLargestFree.1
在此表中,表索引cisco MemoryPoolName作爲.1值附在每個隨後對象值的最後。cisco MemoryPoolUsed對象列出當前在用的字節數12312576,ciscoMemoryPoolFree對象則列出了當前空閒的字節數54796288。其它對象則總是列出表18中的值。
瀏覽連接數(Viewing The Connection Count)
您可從Cisco防火牆MIB中的cfwConnectionStatTable瀏覽在用的連接數。從PIX防火牆命令行,您可用show conn命令瀏覽連接數。以下是show conn命令輸出範例,可確認cfwConnectionStatTable中的信息的初始出處。
show conn
15 in use, 88 most used
cfwConectionStatTable對象表可從以下路徑訪問:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable
對象
對象類型
行1:返回值
行2:返回值
對象類型
行1:返回值
行2:返回值
CfwConnectionStatService(表索引)
Services
40(IP協議)
40(IP協議)
Services
40(IP協議)
40(IP協議)
CfwConnectionStatType(表索引)
ConnectionStat
6(當前在用連接)
7(高)
ConnectionStat
6(當前在用連接)
7(高)
cfwConnectionStatDescription
SnmpAdminString
整個防火牆當前在用的連接數
自系統啓動以來曾經在用的最高連接數
SnmpAdminString
整個防火牆當前在用的連接數
自系統啓動以來曾經在用的最高連接數
cfwConnectionStatCount
Counter32
0(未用)
0(未用)
Counter32
0(未用)
0(未用)
cfwConnectionStatValue
Gauge32
Integer(在用數目)
Integer(最多使用數目)
Gauge32
Integer(在用數目)
Integer(最多使用數目)
在HP OpenView Browse MIB應用的“MIB值”窗口中,MIB查詢範例生成以下信息:
cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall
cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup
cfwConnectionStatCount.40.6
cfwConnectionStatCount.40.7
cfwConnectionStatValue.40.6 :15
cfwConnectionStatValue.40.7 :88
在此表中,表索引cfwConnectionStatService作爲.40附在每個隨後對象之後,而表索引cfwConnectionStatType則爲.6 (表示在用的連接數) 或.7(表示最多使用的連接數)。cfwConnectionStatValue對象然後可列出連接數。cfwConnectionStatCount對象常返回0值。
瀏覽系統緩存使用率(Viewing System Buffer Usage)
您可在多行cfwBufferStats表中瀏覽Cisco防火牆MIB的系統緩存使用率。系統緩存使用率提供了PIX防火牆達到其容量限制的早期報警。在命令行上,您可用show blocks命令來瀏覽此信息。以下是show blocks命令的輸出範例,顯示了cfwBufferStatsTable是如何傳播的。
show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 780 402 404
65536 8 8 8
您可在以下路徑瀏覽cfwBufferStatsTable:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable
下表列出了瀏覽系統塊使用率所需的對象。
對象
對象類型
第一行:返回值
下一行:返回值
下一行:返回值
對象類型
第一行:返回值
下一行:返回值
下一行:返回值
CfwBufferStatSize(表索引)
Unsigned32
Integer(SIZE值;例如,4字節塊則爲4)
Integer(SIZE值;例如,4字節塊則爲4)
Integer(SIZE值;例如,4字節塊則爲4)
Unsigned32
Integer(SIZE值;例如,4字節塊則爲4)
Integer(SIZE值;例如,4字節塊則爲4)
Integer(SIZE值;例如,4字節塊則爲4)
CfwBufferStatType(表索引)
ResourceStatistics
3(最大)
5(最低)
8(當前)
ResourceStatistics
3(最大)
5(最低)
8(當前)
cfwBufferStatInformation
SnmpAdminString
已分配integer字節塊的最大數目(integer是塊中的字節數)
自啓動以來可用的最少integer字節塊(integer是塊中的字節數)
當前的可用integer字節塊的數目(integer是塊中的字節數)
SnmpAdminString
已分配integer字節塊的最大數目(integer是塊中的字節數)
自啓動以來可用的最少integer字節塊(integer是塊中的字節數)
當前的可用integer字節塊的數目(integer是塊中的字節數)
cfwBufferStatValue
Gauge32
integer(最大值)
integer(最低值)
integer(當前值)
Gauge32
integer(最大值)
integer(最低值)
integer(當前值)
注意 這三行對每個在show blocks命令的輸出中列出的塊大小進行重複.
在HP OpenView Browse MIB應用的“MIB值”窗口中,MIB查詢範例生成以下信息:
cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
在此列表中,第一個表索引cfwBuffer作爲附在每個項目最後的第一個數字出現,如.4或.256。另一表索引cfwBufferStatType在第一個索引後作.3、.5或.8出現。對於每個塊大小,cfwBufferStatInformation對象確認值的類型,而cfwBufferStatValue對象則確認每個值的字節數。
使用SSH(Using SSH)
SSH(安全殼式程式)是運行於可靠傳輸層上的應用,如提供強大驗證和加密功能。PIX防火牆支持SSH版本1中提供的SSH遠程殼式程序。SSH 1也可與Cisco ISO軟件設備共用。最多可允許5個SSH客戶機同時訪問PIX防火牆控制檯。
注意 在客戶機可與PIX防火牆控制檯連接前爲PIX防火牆生成一個RSA密鑰對。爲使用SSH,您的PIX防火牆就需有一個DES或3DES激活密鑰。
目前遠程配置PIX防火牆單元的方法包括啓動一條到PIX防火牆的Telnet連接,以開始一個殼式會話並進入配置模式。此連接方法僅可提供與Telnet相同的安全性,而Telnet的安全性只是作爲較低層加密(如IPSec)和應用安全性(遠程主機處的用戶名/口令驗證)提供的。PIX防火牆SSH實施提供了一個無IPSec的安全遠程殼式會話,僅起到服務器的作用,即PIX防火牆不能啓動SSH連接.
