MIB支持(MIB Support)
可使用Cisco防火墙MIB和Cisco内存池MIB。
PIX防火墙不支持Cisco防火墙MIB中的下列特性:
cfwSecurityNotification NOTIFICATION-TYPE
cfwContentInspectNotification NOTIFICATION-TYPE
cfwConnNotification NOTIFICATION-TYPE
cfwAccessNotification NOTIFICATION-TYPE
cfwAuthNotification NOTIFICATION-TYPE
cfwGenericNotification NOTIFICATION-TYPE
SNMP使用率说明(SNMP Usage Notes)
如果接口可访问,MIB-II ifEntry.ifAdminStatus对象返回1,如果您用interface命令的shutdown选项关闭接口,则返回2。
SNMP“ifOutUcastPkts”对象现正确地返回输出分组数。
SNMP模块产生的系统日志信息现可指明接口名而非接口号。
SNMP陷阱(SNMP Traps)
陷阱与浏览不同,它们是受控设备向管理站就特定事件,如上链路、下链路和所生成的系统日志事件等发出的未经请求的“评论”。
PIX防火墙的SNMP对象ID(OID)显示在从PIX防火墙发送的SNMP事件陷阱中。PIX防火墙根据硬件平台提供SNMP事件陷阱和SNMP mib-2.system.sysObjectID变量的系统OID。
表13 PIX防火墙平台中的系统OID
PIX平台 系统 OID
PIX 506 .1.3.6.1.4.1.9.1.389
PIX 515 .1.3.6.1.4.1.9.1.390
PIX 520 .1.3.6.1.4.1.9.1.391
PIX 525 .1.3.6.1.4.1.9.1.392
PIX 535 .1.3.6.1.4.1.9.1.393
其它 .1.3.6.1.4.1.9.1.227 (初始PIX 防火墙OID)
两个机制与SNMP一起共用,PIX防火墙响应来自管理站的SNMP请求,且发送一个为事件通知的陷阱。PIX防火墙支持两种类型的陷阱,即通用和系统日志陷阱。
接收请求和发送系统日志陷阱
按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱:
表14
步骤1 用snmp-server host命令确定SNMP管理站的IP地址。
步骤2 按需设置snmp-server的location、contact和community口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱,则无需进一步配置。如果您仅想接收SNMP请求,则无需进一步配置。
步骤3 添加一条snmp-server enable traps命令语句。
步骤4 用logging history命令设置记录级别:
logging history debugging
我们建议您在初始设置和测试期间使用debugging级别。然后将级别从debugging降至较低数值以用于生产。
(logging history命令为SNMP系统日志信息设置严重程度)。
步骤5 开始用logging on命令向管理站发送系统日志陷阱。
步骤6 如想禁止发送系统日志陷阱,则使用no logging on或no snmp-server enable traps命令。
>> 返回顶部
表15中的命令定义了PIX防火墙可以从位于内部接口上的主机192.168.3.2接收SNMP请求,但不向任意主机发送SNMP系统日志.
表15 实施SNMP
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
location和contact命令确定了主机的位置和谁管理主机。community命令指定了PIX防火墙SNMP代理和SNMP管理站中使用的口令,以验证两个系统间的网络访问。
编辑Cisco系统日志MIB文件(Compiling Cisco Syslog MIB Files)
为从PIX防火墙接收安全性和故障转换SNMP陷阱,就需将Cisco SMI MIB和Cisco系统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应用,您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。
您可从以下网站为PIX防火墙和其它Cisco产品选择Cisco MIB文件:
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
在此页中,从Cisco安全和VPN选择列表中选择PIX Firewall。
按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑入您的浏览器:
表16
步骤1 获得Cisco系统日志MIB文件。
步骤2 启动SNMPc。
步骤3 点击Config>Complile MIB。
步骤4 滚动光标至列表底部,并点击最后一项。
步骤5 点击Add。
步骤6 发现Cisco系统日志MIB文件。
注意 对某些应用来说,只有带.mib扩展名的文件可以在SNMPc的文件选择窗口中显示。带.my扩展名的Cisco系统日志MIB文件不会显示。在此例中,您应手工地将.my扩展名改为.mib扩展名。
步骤7 点击CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)并点击OK。
步骤8 滚动光标至列表底部,并点击最后一项。
步骤9 点击Add。
步骤10 发现文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)并点击OK。
步骤11 滚动光标至列表底部,并点击最后一项。
步骤12 点击Add。
步骤13 发现文件CISCO-SMI.my (CISCO-SMI.mib)并点击OK。
步骤14 滚动光标至列表底部,并点击最后一项。
步骤15 点击Add。
步骤16 发现文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)并点击OK。
步骤17 点击Load All。
步骤18 如无错误,重启SNMPc。
注意 这些指令仅用于SNMPc (CiscoWorks for Windows)。
使用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)
Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。
本部分包括以下内容:
ipAddrTable说明(ipAddrTable Notes)
浏览故障转换状态(Viewing Failover Status)
验证内存使用率(Verifying Memory Usage)
浏览连接数(Viewing The Connection Count)
浏览系统缓存使用率(Viewing System Buffer Usage)
在每部分最后的表中,每个返回值的意义都显示在括号中。
ipAddrTable说明(ipAddrTable Notes)
SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址,则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如,您可将一个地址设置为127.0.0.1,另一地址设置为127.0.0.2等。
SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前-请求的结果为基础。因此,如果两个连续接口有相同的IP 127.0.0.1(表索引),GetNext功能返回127.0.0.1,这是正确的;然而,当SNMP使用同一结果(127.0.0.1)生成下一GetNext请求,该请求与前一请求一样,从而会导致管理站无限循环。
例如:
GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
在SNMP协议中,MIB表索引必须是独一无二的,以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址,故此IP地址应独一无二;否则,SNMP代理将发生混乱并可能返回有相同IP(索引)的另一接口(行)的信息。
浏览故障转换状态(Viewing Failover Status)
Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行,您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
表17 故障转换状态对象
对象 对象类型 行1:如禁用故障转换时则返回 行1:如启用故障转换时返回 行2:如启用故障转换时返回
cfwHardwareType(表索引) Hardware 6(如为基本单元) 6(如为基本单元) 7(如为备用单元)
cfwHardwareInformation SnmpAdminString 空白 空白 空白
cfwHardwareStatusValue HardwareStatus 0(未使用) active 或 9(如为活动单元)或是standby或10(如为备用单元) active 或 9(如为活动单元)或是standby或10如为备用单元
cfwHardwareStatusDetail SnmpAdminString Failover Off 空白 空白
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 :0
cfwHardwareStatusValue.7 :0
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
在此表中,表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白,cfwHardwareStatus值为0,而cfwHardwareStatusDetail包含Failover Off,这表示故障转换状态。
启动故障转换时,MIB查询范例生成下列信息:
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
在此表中,只有cfwHardwareStatusValue包含数值,即active或standby来表示每个单元的状态。
验证内存使用率(Verifying Memory Usage)
您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行,可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。
show memory
16777216 bytes total, 5595136 bytes free
您可从以下路径访问MIB对象:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
在此列表中,第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现,如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小,cfwBufferStatInformation对象确认值的类型,而cfwBufferStatValue对象则确认每个值的字节数。
使用SSH(Using SSH)
SSH(安全壳式程式)是运行于可靠传输层上的应用,如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。
注意 在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH,您的PIX防火墙就需有一个DES或3DES激活密钥。
目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接,以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性,而Telnet的安全性只是作为较低层加密(如IPSec)和应用安全性(远程主机处的用户名/口令验证)提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话,仅起到服务器的作用,即PIX防火墙不能启动SSH连接。
具体信息,请参见《Cisco PIX防火墙命令参考指南》中的aaa和ssh命令页。
获得SSH客户机(Obtaining an SSH Client)
您可从以下网站下载SSH v1.x客户机。因为SSH 1.x和v2是完全不同的协议且不兼容,因此需确保下载支持SSH v1.x的客户机。
Windows 3.1, Windows CE, Windows 95和Windows NT 4.0——从以下网站下载免费Tera Term Pro SSH v1.x客户机:
http://hp.vector.co.jp/authors/VA002416/teraterm.html ;
Tera Term Pro的TTSSH安全性增强位于以下网站:
http://www.zip.com.au/~roca/ttssh.html ;
注意 如想使用需SSH的Tera Term Pro,下载TTSSH。TTSSH提供了一个压缩文件供您拷贝至您的系统。将压缩文件放入您安装Tera Tem Pro的那一文件夹。对于Windows 95系统来说,默认值可能是C:\Program Files\Ttempro文件夹。
Linux, Solaris, OpenBSD, AIX, IRIX, HP/UX, FreeBSD和NetBSD——从以下网站下载SSH v1.x客户机:
Macintosh(仅限国际用户)——从以下网站下载Nifty Telnet 1.1 SSH客户:
http://www.lysator.liu.se/~jonasw/freeware/niftyssh/
| 共3页: 上一页 [1] [2] 3 | ||
|
相关文章
