보안 어플라이언스 PIX/ASA에서 SNMP 사용

소개

SNMP(Simple Network Management Protocol)를 사용하여 PIX에서 시스템 이벤트를 모니터링할 수 있습니다. 이 문서에서는 PIX에서 SNMP를 사용하는 방법에 대해 설명합니다. 여기에는 다음이 포함됩니다.

• PIX 또는 PIX를 통해 SNMP를 실행하는 명령

• 샘플 PIX 출력

• PIX 소프트웨어 릴리스 4.0 이상에서 MIB(Management Information Base) 지원

• 트랩 수준

• syslog 심각도 수준 예

• PIX 및 SNMP 디바이스 검색 문제

참고: snmpget/snmpwalk의 포트는 UDP/161입니다. SNMP 트랩의 포트는 UDP/162입니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 Cisco Secure PIX Firewall Software Release 4.0 이상을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 컨피그레이션은 Cisco ASA(Adaptive Security Appliance) 버전 7.x에서도 사용할 수 있습니다.

표기 규칙

이 문서의 일부 출력 및 로그 데이터는 간격을 고려하여 래핑되었습니다.

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

PIX/ASA를 통한 SNMP

외부 트랩에서 내부 트랩

트랩을 50.50.50.50~10.10.10.10으로 허용하려면 다음을 수행합니다.

 conduit permit udp host 50.50.50.75 eq snmptrap host 50.50.50.50
 static (inside,outside) 50.50.50.75 10.10.10.10 netmask 255.255.255.255 0 0

PIX 5.0 이상에서 사용 가능한 ACL(Access Control List)을 사용하는 경우

access-list Inbound permit udp host 50.50.50.50 host 50.50.50.75 eq snmptrap 
access-group Inbound in interface outside

PIX에는 다음이 표시됩니다.

302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 10.10.10.10/162

내부 및 외부 트랩

아웃바운드 트래픽은 기본적으로 허용되며(아웃바운드 목록이 없는 경우) PIX에 다음이 표시됩니다.

305002: Translation built for gaddr 50.50.50.80 to laddr 10.31.1.5
302005: Built UDP connection for faddr 50.50.50.50/162 
   gaddr 50.50.50.80/2982 laddr 10.31.1.5/2982

외부에서 내부 폴링하기

171.68.118.118에서 10.10.10.20으로 폴링을 허용하려면 다음을 수행합니다.

static (inside,outside) 171.68.118.150 10.10.10.20 netmask 255.255.255.255 0 0
conduit permit udp host 171.68.118.150 eq snmp host 171.68.118.118

ACL을 사용하는 경우 PIX 5.0 이상에서 사용 가능하며, 관로 대신 다음을 수행합니다.

access-list Inbound permit udp host 171.68.118.118 host 171.68.118.150 eq snmp 
access-group Inbound in interface outside

내부 폴링을 외부로

아웃바운드 트래픽은 기본적으로 허용되며(아웃바운드 목록이 없는 경우) PIX에 다음이 표시됩니다.

305002: Translation built for gaddr 99.99.99.11 to laddr 172.18.124.115
302005: Built UDP connection for faddr 99.99.99.5/161
   gaddr 99.99.99.11/36086 laddr 172.18.124.115/36086

PIX/ASA에 대한 SNMP

버전별 MIB 지원

다음은 PIX의 MIB 지원 버전입니다.

• PIX Firewall Software 버전 4.0부터 5.1까지 - MIB-II의 시스템 및 인터페이스 그룹(RFC 1213 참조) AT, ICMP, TCP, UDP, EGP, 전송, IP 또는 SNMP 그룹 CISCO-SYSLOG-MIB-V1SMI.my.

• PIX Firewall Software 버전 5.1.x 이상—이전 MIB 및 CISCO-MEMORY-POOL-MIB.my 및 CISCO-FIREWALL-MIB.my의 cfwSystem 분기.

• PIX Firewall Software 버전 5.2.x 이상—이전 MIB 및 IP 그룹의 ipAddrTable.

• PIX Firewall Software 버전 6.0.x 이상—이전 MIB 및 MIB-II OID의 수정으로 모델별로 PIX를 식별하고 CiscoView 5.2 지원을 활성화합니다. 새 OID(개체 식별자)는 CISCO-PRODUCTS-MIB에서 찾을 수 있습니다. 예를 들어 PIX 515에는 OID 1.3.6.1.4.1.9.1.390이 있습니다.

• PIX Firewall Software 버전 6.2.x 이상—이전 MIB 및 CISCO-PROCESS-MIB-V1SMI.my.

• PIX/ASA Software Version 7.x - 이전 MIB 및 IF-MIB, SNMPv2-MIB, ENTITY-MIB, CISCO-REMOTE-ACCESS-MONITOR-MIB, CISCO-CRYPTO-ACCELERATOR-MIB, ALTIGA-GLOBAL-REG.

참고: PROCESS MIB에서 지원되는 섹션은 ciscoProcessMIBObjects 분기의 cpmCPU 분기의 cpmCPUTotalTable 분기입니다. ciscoProcessMIBNotifications 분기, ciscoProcessMIBconformance 분기 또는 MIB의 ciscoProcessMIBObjects 분기에 있는 cpmProcessTable 및 cpmProcessExtTable 두 개의 테이블(cpmProcessTable)은 지원되지 않습니다.

PIX/ASA에서 SNMP 켜기

PIX에서 폴링/쿼리 및 트랩을 허용하려면 다음 명령을 실행합니다.

snmp-server host #.#.#.#

!--- IP address of the host allowed to poll !--- and where to send traps.

snmp-server community <whatever>
snmp-server enable traps

PIX Software Versions 6.0.x 이상 버전에서는 트랩 및 쿼리와 관련된 세분화를 더욱 세부적으로 수행할 수 있습니다.

snmp-server host #.#.#.#

!--- The host is to be sent traps and can query.

snmp-server host #.#.#.# trap 

!--- The host is to be sent traps and cannot query.

snmp-server host #.#.#.# poll 

!--- The host can query but is not to be sent traps.

PIX/ASA Software Versions 7.x를 사용하면 트랩 및 쿼리와 관련하여 더욱 세분화할 수 있습니다.

hostname(config)#snmp-server host <interface_name> <ip_address> trap 
               community <community string>

!--- The host is to be sent traps and cannot query !--- with community string specified.

hostname(config)#snmp-server host <interface_name> <ip_address> poll 
               community <community string>

!--- The host can query but is not to be sent traps !--- with community string specified.

참고: NMS를 트랩 수신만 또는 브라우징(폴링)으로 제한하려면 트랩 또는 폴링을 지정합니다. 기본적으로 NMS는 두 기능을 모두 사용할 수 있습니다.

SNMP 트랩은 기본적으로 UDP 포트 162에서 전송됩니다. udp-port 키워드로 포트 번호를 변경할 수 있습니다.

PIX/ASA에 대한 SNMP - 폴링

PIX에서 반환하는 변수는 버전의 mib 지원에 따라 달라집니다. PIX가 실행되는 스몰6.2.1 출력의 예는 이 문서의 끝에 있습니다. 이전 버전의 소프트웨어는 이전에 표시된 mib 값만 반환합니다.

PIX/ASA에 대한 SNMP - 트랩

참고: PIX 방화벽용 SNMP OID는 PIX 방화벽에서 전송되는 SNMP 이벤트 트랩에 표시됩니다. PIX 소프트웨어 버전 6.0까지 OID 1.3.6.1.4.1.9.1.227이 PIX 방화벽 시스템 OID로 사용되었습니다. 새 모델별 OID는 CISCO-PRODUCTS-MIB에서 찾을 수 있습니다.

PIX에서 트랩을 켜려면 다음 명령을 실행합니다.

snmp-server host #.#.#.#

!--- IP address of the host allowed to do queries !--- and where to send traps.

snmp-server community 
      
      
        snmp-server enable traps 
      

트랩 버전 4.0 - 5.1

PIX Software 4.0 이상을 사용하는 경우 다음 트랩을 생성할 수 있습니다.

cold start = 1.3.6.1.6.3.1.1.5.1
link_up = 1.3.6.1.6.3.1.1.5.4
link_down = 1.3.6.1.6.3.1.1.5.3
syslog trap (clogMessageGenerated) = 1.3.6.1.4.1.9.9.41.2.0.1

트랩 변경(PIX 5.1)

PIX 소프트웨어 버전 5.1.1 이상에서는 트랩 레벨이 syslog 트랩의 syslog 레벨과 분리됩니다. PIX는 여전히 syslog 트랩을 전송하지만 더 세분화된 구성을 수행할 수 있습니다. 이 예에서는 raw trapd.log 파일(HP OpenView [HPOV] 또는 Netview의 경우 동일)에 3개의 link_up 트랩과 7개의 다른 syslog ID가 포함된 9개의 syslog 트랩이 포함되었습니다. 101003, 104001, 11005, 111007, 199002, 302005, 305002

trapd.log의 예

952376318 1 Mon Mar 06 15:58:38 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=199002: 
PIX startup completed. Beginning operation. 5=0;1 .1.3.6.1.4.1.9.9.4 1.2.0.1 0

952376318 1 Mon Mar 06 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) 
Switching to ACTIVE - no failover cable.

952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376332 1 Mon Mar 06 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) 
Failover cable not connected (this unit)

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=305002: 
Translation built for gaddr 50.50.50.75 to laddr 171.68.118.118 5=2800;1 
.1.3.6.1.4.1.9.9.41.2.0.1 0

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162 
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111005: console end configuration: OK 
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

각 트랩 설명 - trapd.log

199002 (syslog)
4=199002: PIX startup completed. Beginning operation. 
5=0;1 .1.3.6.1.4.1.9.9.41.2.0.1 0



104001 (syslog)
Mar 6 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) 
Switching to ACTIVE - no failover cable.


101003 (syslog)
952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


101003 (syslog)
Mar 6 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) Failover cable not 
connected (this unit)


305002 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=305002: Translation built for gaddr 50.50.50.75 
   to laddr 171.68.118.118 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


302005 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162 
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111007 (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111005 (syslog)
952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111005: console end configuration: OK 
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

syslog 심각도 수준 예

이 7개의 메시지를 설명하기 위해 문서에서 복제됩니다.

Alert:
  %PIX-1-101003:(Primary) failover cable not connected (this unit)
  %PIX-1-104001:(Primary) Switching to ACTIVE (cause:reason)
  Notification:
  %PIX-5-111005:IP_addr end configuration: OK
  %PIX-5-111007:Begin configuration: IP_addr reading from device.
  Informational:
  %PIX-6-305002:Translation built for gaddr IP_addr to laddr IP_addr
  %PIX-6-302005:Built UDP connection for faddr faddr/fport gaddr gaddr/gport 
     laddr laddr/lport
  %PIX-6-199002:Auth from laddr/lport to faddr/fport failed 
     (server IP addr failed) in interface int name.

syslog 심각도 수준 해석

레벨	의미
0	시스템을 사용할 수 없음 - 긴급
1	즉각적인 조치 수행 - 알림
2	Critical 조건 - Critical
3	오류 메시지 - 오류
4	경고 메시지 - 경고
5	정상이지만 심각한 상태 - 알림
6	정보 - 정보
7	디버그 메시지 - 디버그

트랩 하위 집합에 대해 PIX 5.1 이상 구성

PIX 구성에 다음이 있는 경우:

snmp-server host inside #.#.#.#

생성된 유일한 트랩은 표준 트랩입니다. 콜드 스타트(cold start), 링크 업 및 링크 다운(syslog 아님)

PIX 구성에 다음이 있는 경우:

snmp-server enable traps
logging history debug

모든 표준 및 모든 syslog 트랩이 생성됩니다. 이 예에서는 syslog 항목 101003, 104001, 11005, 111007, 19002, 302005 및 305002 및 PIX에서 생성한 기타 모든 syslog 출력이 있습니다. 디버그에 대해 설정된 로깅 기록 및 이러한 트랩 번호는 알림, 경고 및 정보 수준에 있으므로 수준 디버깅에는 다음이 포함됩니다.

PIX 구성에 다음이 있는 경우:

snmp-server enable traps
logging history (a_level_below_debugging)

그러면 debug 아래의 레벨의 모든 표준 및 모든 트랩이 생성됩니다. logging history notification 명령을 사용하는 경우 긴급, 경고, 위험, 오류, 경고 및 알림 수준의 모든 syslog 트랩이 포함됩니다(정보 또는 디버그 레벨은 제외). 이 경우 111005, 111007, 101003, 104001(그리고 PIX가 라이브 네트워크에서 생성하는 모든 것)이 포함됩니다.

PIX 구성에 다음이 있는 경우:

snmp-server enable traps
logging history whatever_level
no logging message 305002
no logging message 302005
no logging message 111005

메시지 305002, 302005, 11005는 생성되지 않습니다. 기록 디버그를 로깅하기 위한 PIX가 설정된 경우 104001, 101003, 111007, 199002 및 기타 모든 PIX 메시지가 표시되지만 나열된 3(305002, 302005, 11105) 메시지는 표시되지 않습니다.

트랩 하위 집합에 대해 PIX/ASA 7.x 구성

PIX 구성에 다음이 있는 경우:

snmp-server host 
      
       
       
         community 
         
        
      

생성된 유일한 트랩은 표준 트랩입니다. 인증, 콜드 스타트, 링크 업 및 링크 다운(syslog 아님)

나머지 컨피그레이션은 PIX/ASA 버전 7.x를 제외하고 PIX Software 버전 5.1 이상과 유사합니다. 단, snmp-server enable traps 명령에는 ipsec, remote-access 및 entity와 같은 추가 옵션이 있습니다.

참고: PIX/ASA의 SNMP 트랩에 대한 자세한 내용은 보안 어플라이언스 모니터링의 SNMP 활성화 섹션을 참조하십시오.

SNMP 문제

PIX 검색

PIX가 SNMP 쿼리에 응답하고 해당 OID를 1.3.6.1.4.1.9.1.227 또는 PIX Firewall Software 버전 6.0 이상에서 해당 모델의 CISCO-PRODUCTS-MIB에 나열된 ID로 보고하면 PIX는 설계된 대로 작동합니다.

IP 그룹의 ipAddrTable에 대한 지원이 추가된 5.2.x 이전 버전의 PIX 코드에서는 네트워크 관리 스테이션이 맵에 PIX를 PIX로 그릴 수 없을 수 있습니다. 네트워크 관리 스테이션은 PIX를 ping할 수 있는 경우 PIX가 존재한다는 사실을 항상 탐지할 수 있어야 하지만, PIX는 블랙박스(2개의 표시등이 있는 블랙박스)로 그릴 수 없습니다. IP 그룹, HPOV, Netview 및 기타 대부분의 네트워크 관리 스테이션은 ipAddrTable을 지원해야 할 뿐만 아니라 PIX에서 반환되는 OID가 PIX의 OID임을 알아야 적절한 아이콘이 표시됩니다.

CiscoView 5.2에 PIX 관리에 대한 CiscoView 지원이 추가되었습니다. PIX 버전 6.0.x도 필요합니다. 이전 PIX 버전에서는 HPOV Network Node Manager에서 PIX Firewall Manager를 실행하는 PIX 방화벽 및 시스템을 식별할 수 있는 타사 관리 애플리케이션을 사용할 수 있습니다.

PIX 내에서 디바이스 검색

PIX가 올바르게 구성된 경우 SNMP 쿼리 및 트랩을 외부에서 내부로 전달합니다. NAT(Network Address Translation)는 일반적으로 PIX에 구성되어 있으므로, 정체는 이를 수행해야 합니다. 문제는 네트워크 관리 스테이션에서 공용 주소의 스몰오버를 수행하는데, 이는 네트워크 내부의 개인 주소에 매칭합니다. 패킷의 외부 헤더는 ipAddrTable의 정보와 일치하지 않습니다. 이 171.68.118.150은 PIX 내에서 10.10.10.20 정적으로 진행되며 장치 171.68.118.150에서 두 개의 인터페이스가 있다고 보고하는 위치를 확인할 수 있습니다. 10.10.10.20 및 10.31.1.50:

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.20 : IpAddress: 10.10.10.20
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

이것이 네트워크 관리 스테이션에 적합할까요? 아마 아닐 거야 트랩에도 동일한 문제가 발생합니다. 10.31.1.50 인터페이스가 다운될 경우 디바이스 171.68.118.150은 인터페이스 10.31.1.50이 다운되었다고 보고합니다.

외부에서 내부 네트워크를 관리하려고 할 때 또 다른 문제는 네트워크를 "그리기"하는 것입니다. 관리 스테이션이 Netview 또는 HPOV인 경우 이러한 제품은 디바이스에서 경로 테이블을 읽기 위해 "netmon" 데몬을 사용합니다. 경로 테이블은 검색에 사용됩니다. PIX는 네트워크 관리 스테이션에 라우팅 테이블을 반환할 RFC 1213 충분한 기능을 지원하지 않습니다. 보안상의 이유로 이 방법은 적합하지 않습니다. PIX 내부의 디바이스는 정적이 쿼리될 때 경로 테이블을 보고하지만 모든 공용 IP 디바이스(정적)는 모든 프라이빗 인터페이스를 보고합니다. PIX에 있는 다른 개인 주소에 정격이 없으면 쿼리할 수 없습니다. 만약 그들이 운동학을 가지고 있다면, 네트워크 관리 스테이션은 그 수학이 무엇인지 알 방법이 없습니다.

PIX 외부의 디바이스 검색

PIX 내부의 네트워크 관리 스테이션은 "공용" 인터페이스를 보고하는 공용 주소를 쿼리하므로 내부 문제에 대한 외부 검색은 적용되지 않습니다.

여기, 171.68.118.118은 안에 있었고 10.10.10.25은 밖에 있었다. 171.68.118.118이 10.10.10.25을 걸었을 때 상자가 인터페이스를 올바르게 보고했습니다. 즉, 헤더가 패킷 내부와 동일합니다.

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.25 : IpAddress: 10.10.10.25
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

버전 6.2 PIX 스몰

snmpwalk -c public <pix_ip_address> 명령은 HPOV 관리 스테이션에서 snmpwalk를 수행하는 데 사용되었습니다. PIX 6.2에 사용할 수 있는 모든 MIB가 snmpwalk를 수행하기 전에 로드되었습니다.

system.sysDescr.0 : DISPLAY STRING- (ascii):  
Cisco PIX Firewall Version 6.2(1) 
system.sysObjectID.0 : OBJECT IDENTIFIER:       
.iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.390 
system.sysUpTime.0 : Timeticks: (6630200) 18:25:02.00 
system.sysContact.0 : DISPLAY STRING- (ascii): 
system.sysName.0 : DISPLAY STRING- (ascii):  satan 
system.sysLocation.0 : DISPLAY STRING- (ascii): 
system.sysServices.0 : INTEGER: 4 
interfaces.ifNumber.0 : INTEGER: 3 
interfaces.ifTable.ifEntry.ifIndex.1 : INTEGER: 1 
interfaces.ifTable.ifEntry.ifIndex.2 : INTEGER: 2 
interfaces.ifTable.ifEntry.ifIndex.3 : INTEGER: 3 
interfaces.ifTable.ifEntry.ifDescr.1 : DISPLAY STRING- (ascii):  
PIX Firewall 'outside' interface 
interfaces.ifTable.ifEntry.ifDescr.2 : DISPLAY STRING- (ascii):  
PIX Firewall 'inside' interface 
interfaces.ifTable.ifEntry.ifDescr.3 : DISPLAY STRING- (ascii):  
PIX Firewall 'intf2' interface 
interfaces.ifTable.ifEntry.ifType.1 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifType.2 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifType.3 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifMtu.1 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifMtu.2 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifMtu.3 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifSpeed.1 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifSpeed.2 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifSpeed.3 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifPhysAddress.1 : OCTET STRING-   
(hex): length = 6 
     0:  00 50 54 fe ea 30 -- -- -- -- -- -- -- -- -- --     
.PT..0.......... 

interfaces.ifTable.ifEntry.ifPhysAddress.2 : OCTET STRING-   (hex): length = 6 
     0:  00 50 54 fe ea 31 -- -- -- -- -- -- -- -- -- --     
.PT..1.......... 

interfaces.ifTable.ifEntry.ifPhysAddress.3 : OCTET STRING-   (hex): length = 6 
     0:  00 90 27 42 fb be -- -- -- -- -- -- -- -- -- --     
..'B............ 

interfaces.ifTable.ifEntry.ifAdminStatus.1 : INTEGER: up 
interfaces.ifTable.ifEntry.ifAdminStatus.2 : INTEGER: up 
interfaces.ifTable.ifEntry.ifAdminStatus.3 : INTEGER: down 
interfaces.ifTable.ifEntry.ifOperStatus.1 : INTEGER: up 
interfaces.ifTable.ifEntry.ifOperStatus.2 : INTEGER: up 
interfaces.ifTable.ifEntry.ifOperStatus.3 : INTEGER: down 
interfaces.ifTable.ifEntry.ifLastChange.1 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifLastChange.2 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifLastChange.3 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifInOctets.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInOctets.2 : Counter: 19120151 
interfaces.ifTable.ifEntry.ifInOctets.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInUcastPkts.2 : Counter: 1180 
interfaces.ifTable.ifEntry.ifInUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInNUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInNUcastPkts.2 : Counter: 246915 
interfaces.ifTable.ifEntry.ifInNUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutOctets.1 : Counter: 60 
interfaces.ifTable.ifEntry.ifOutOctets.2 : Counter: 187929 
interfaces.ifTable.ifEntry.ifOutOctets.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutUcastPkts.1 : Counter: 1 
interfaces.ifTable.ifEntry.ifOutUcastPkts.2 : Counter: 2382 
interfaces.ifTable.ifEntry.ifOutUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifSpecific.1 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
interfaces.ifTable.ifEntry.ifSpecific.2 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
interfaces.ifTable.ifEntry.ifSpecific.3 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.212.3.3.1 : IpAddress:   
212.3.3.1 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.48.66.47 : IpAddress: 
10.48.66.47 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1 : IpAddress:   
127.0.0.1 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.212.3.3.1 : INTEGER: 1 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.10.48.66.47 : INTEGER: 2 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.127.0.0.1 : INTEGER: 3 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.212.3.3.1 : IpAddress:        
255.255.255.0 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.48.66.47 : IpAddress:      
255.255.254.0 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.127.0.0.1 : IpAddress:        
255.255.255.255 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.212.3.3.1 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.10.48.66.47 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.127.0.0.1 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.212.3.3.1 : INTEGER: 
65535 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.10.48.66.47 : INTEGER: 
65535 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.127.0.0.1 : INTEGER: 
65535 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolName.1 : 
DISPLAY STRING- (ascii):  PIX system memory 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolAlternate.1 : 
INTEGER: 0 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolValid.1 : 
INTEGER: true 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolUsed.1 : 
Gauge32: 21430272 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolFree.1 : 
Gauge32: 12124160 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolLargestFree.1 : 
   Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotalPhysicalIndex.1 : INTEGER: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5sec.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal1min.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5min.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
6 : OCTET STRING- (ascii): 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
7 : OCTET STRING- (ascii): 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
6 : INTEGER: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
7 : INTEGER: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
6 : OCTET STRING- (ascii):   Failover Off 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
7 : OCTET STRING- (ascii):   Failover Off 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.3 : OCTET STRING- (ascii):  maximum number of allocated 4 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.5 : OCTET STRING- (ascii):  fewest 4 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.8 : OCTET STRING- (ascii):  current number of available 4 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.3 : OCTET STRING- (ascii): maximum number of allocated 80 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.5 : OCTET STRING- (ascii): fewest 80 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.8 : OCTET STRING- (ascii): current number of available 80 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.3 : OCTET STRING- (ascii): maximum number of allocated 256 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.5 : OCTET STRING- (ascii): fewest 256 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
   256.8 : OCTET STRING- (ascii): current number of available 256 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.3 : OCTET STRING- (ascii):  maximum number of allocated 1550 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.5 : OCTET STRING- (ascii): fewest 1550 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.8 : OCTET STRING- (ascii): current number of available 1550 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.3 : Gauge32: 1600 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.5 : Gauge32: 1599 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.8 : Gauge32: 1600 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.3 : Gauge32: 400 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.5 : Gauge32: 374 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.8 : Gauge32: 400 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.3 : Gauge32: 500 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.5 : Gauge32: 498 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.8 : Gauge32: 500 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.3 : Gauge32: 1252 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.5 : Gauge32: 865 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.8 : Gauge32: 867 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.6 : 
OCTET STRING- (ascii):       number of connections currently in use 
   by the entire firewall 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.7 : 
OCTET STRING- (ascii):       highest number of connections in use 
   at any one time since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.6 : 
Counter: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.7 : 
Counter: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.6 : 
Gauge32: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.7 : 
Gauge32: 0 
End of MIB View.

TAC 케이스를 열 경우 수집할 정보

이 문서의 문제 해결 단계를 완료하고 Cisco TAC에서 케이스를 열려면 PIX 방화벽 트러블슈팅을 위해 이 정보를 포함시켜야 합니다.
문제 설명 및 관련 토폴로지 세부사항 케이스를 열기 전에 수행된 트러블슈팅 show tech-support 명령의 출력 logging buffered 디버깅 명령을 사용한 실행 후 show log 명령 또는 문제를 보여 주는 콘솔 캡처(사용 가능한 경우)의 출력 수집된 데이터를 압축되지 않은 일반 텍스트 형식(.txt)으로 케이스에 첨부합니다. TAC Service Request Tool(등록된 고객만 해당)을 사용하여 정보를 업로드하여 케이스에 추가할 수 있습니다. Case Query Tool에 액세스할 수 없는 경우 이메일 첨부 파일의 정보를 attach@cisco.com으로 보낼 수 있으며, 케이스 번호는 메시지의 제목 줄에 있습니다.

관련 정보

• Cisco Secure PIX Firewall 명령 참조
• Cisco PIX 방화벽 소프트웨어 제품 지원
• RFC(Request for Comments)
• 기술 지원 및 문서 − Cisco Systems